3.如權(quán)利要求2所述的基于流式處理的TCP會(huì)話重組與統(tǒng)計(jì)數(shù)據(jù)的提取方法，其特征在于，

將TCP數(shù)據(jù)對(duì)象中的源IP、目的IP、源端口、目的端口定義成會(huì)話數(shù)據(jù)四元組，源IP+源端口與目的IP+目的端口位置調(diào)換的數(shù)據(jù)對(duì)象被認(rèn)為屬于同一次會(huì)話，將源IP與源端口以冒號(hào)連接組成字符串strl，將目的IP與目的端口以冒號(hào)連接組成字符串str2，并對(duì)strl與str2按照ASCII編碼進(jìn)行排序，將較小的字符串放置在前，由此可得對(duì)于每一個(gè)會(huì)話唯一key值，該key值將作為一次會(huì)話的區(qū)分標(biāo)準(zhǔn),同時(shí)也作為流分區(qū)的依據(jù)；

Flink同時(shí)運(yùn)行多個(gè)并行流，每一個(gè)并行流都是一個(gè)分區(qū)，每一個(gè)并行流將用來(lái)存放一組會(huì)話，通過(guò)提取數(shù)據(jù)對(duì)象的四元組信息，獲取唯一key值，該值用于流分區(qū)，分區(qū)后數(shù)據(jù)流將劃分為一組一組的會(huì)話流；

對(duì)數(shù)據(jù)流依據(jù)活動(dòng)會(huì)話進(jìn)行窗口分配，會(huì)話窗口之間互不重疊也不具有一個(gè)明確的開(kāi)始和結(jié)束，會(huì)話窗口會(huì)在設(shè)定的時(shí)間內(nèi)沒(méi)有收到任何數(shù)據(jù)的條件下關(guān)閉，當(dāng)經(jīng)過(guò)一段時(shí)間并沒(méi)有數(shù)據(jù)到達(dá)，引發(fā)會(huì)話窗口結(jié)束后，新的數(shù)據(jù)的到達(dá)將會(huì)引發(fā)建立新的會(huì)話窗口；

會(huì)話窗口采用Flink的會(huì)話窗口機(jī)制，根據(jù)TCP會(huì)話建立最長(zhǎng)等待時(shí)間，建立相應(yīng)最長(zhǎng)等待時(shí)間長(zhǎng)度的會(huì)話窗口，當(dāng)任意一條并行流上的第一個(gè)數(shù)據(jù)到達(dá)，建立一個(gè)新的會(huì)話窗口，在會(huì)話窗口上隨著數(shù)據(jù)的不斷到達(dá)進(jìn)行增量計(jì)算，并且在時(shí)間閾值到達(dá)前未收到任何數(shù)據(jù)的情況下結(jié)束該會(huì)話窗口，并輸出計(jì)算結(jié)果，對(duì)于每一條并行流，都會(huì)隨著時(shí)間推移不斷會(huì)有新的會(huì)話窗口的新建與關(guān)閉，會(huì)話的結(jié)束依據(jù)數(shù)據(jù)間隔時(shí)間來(lái)判定，使用TCP會(huì)話建立最長(zhǎng)等待時(shí)間127秒來(lái)進(jìn)行判定；

通過(guò)會(huì)話窗口觸發(fā)器用于判斷一個(gè)會(huì)話的開(kāi)始、一個(gè)會(huì)話的結(jié)束以及調(diào)用；

采用窗口計(jì)算方法從會(huì)話的開(kāi)始到會(huì)話的結(jié)束進(jìn)行累計(jì)計(jì)算，計(jì)算出會(huì)話數(shù)據(jù)結(jié)果，根據(jù)其計(jì)算結(jié)果作為窗口計(jì)算的輸出聚合到一條數(shù)據(jù)流中，由該數(shù)據(jù)流進(jìn)行進(jìn)一步的統(tǒng)計(jì)計(jì)算并得出最終的結(jié)果，算出的會(huì)話數(shù)據(jù)；采用Flink的滑動(dòng)窗口機(jī)制獲取會(huì)話數(shù)據(jù)的統(tǒng)計(jì)，所得的會(huì)話統(tǒng)計(jì)數(shù)據(jù)和前計(jì)算的出的會(huì)話數(shù)據(jù)組合，所得的會(huì)話數(shù)據(jù)組合用于網(wǎng)絡(luò)異常行為分析平臺(tái)后續(xù)的分析數(shù)據(jù)集。