本申請?zhí)峁┮环N確定數(shù)據(jù)流信息的方法、裝置及系統(tǒng)，其方法包括，獲取第一時間段內(nèi)的多個數(shù)據(jù)流的流參數(shù)，根據(jù)該多個數(shù)據(jù)流的流參數(shù)和至少一個預設(shè)訪問模式的流參數(shù)規(guī)則，得到至少一個數(shù)據(jù)流組；每個數(shù)據(jù)流組內(nèi)的數(shù)據(jù)流之間的關(guān)系滿足一個預設(shè)訪問模式的流參數(shù)規(guī)則；確定每一個數(shù)據(jù)流組的組參數(shù)。本申請實施例基于在網(wǎng)絡(luò)中實際傳輸?shù)拇罅繑?shù)據(jù)流，將具有相同訪問規(guī)則的數(shù)據(jù)流做為一個數(shù)據(jù)流組，并確定各數(shù)據(jù)流組的組參數(shù)，這些組參數(shù)可以用于制定安全規(guī)則或異常檢測等眾多安全或監(jiān)測場景中，避免現(xiàn)有完全依賴經(jīng)驗的安全工作場景，能夠更好地應用真實傳輸?shù)臄?shù)據(jù)流的信息，可以用于提高網(wǎng)絡(luò)安全的可靠性和保障。

相關(guān)申請的交叉引用

本申請要求在2020年11月13日提交中國專利局、申請?zhí)枮?02011271196.X、申請名稱為“一種挖掘互訪模式的方法、裝置和系統(tǒng)”的中國專利申請的優(yōu)先權(quán)，其全部內(nèi)容通過引用結(jié)合在本申請中。

技術(shù)領(lǐng)域

本申請涉及通信技術(shù)領(lǐng)域，尤其涉及一種確定數(shù)據(jù)流信息的方法、裝置及系統(tǒng)。

背景技術(shù)

隨著通信領(lǐng)域的業(yè)務(wù)越來越多樣化和復雜化，不同類型的終端設(shè)備數(shù)量在不斷增加，導致網(wǎng)絡(luò)的可信邊界越來越模糊化。這些終端設(shè)備由于分布范圍廣、接入地點分散，難于集中管理，很可能作為攻擊者的跳板對網(wǎng)絡(luò)進行攻擊，實現(xiàn)非法目的，造成嚴重的經(jīng)濟損失。

具體的，終端設(shè)備通過數(shù)據(jù)報文與服務(wù)器進行交互，以請求服務(wù)。對應的，服務(wù)器向終端設(shè)備發(fā)送數(shù)據(jù)報文以提供服務(wù)或發(fā)送反饋響應。終端和服務(wù)器之間交互的一組數(shù)據(jù)報文統(tǒng)稱為一條數(shù)據(jù)流。

發(fā)明內(nèi)容

本申請?zhí)峁┮环N確定數(shù)據(jù)流信息的方法、裝置及系統(tǒng)，用以挖掘?qū)嶋H在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)流所反映出的訪問規(guī)律。

第一方面，本申請?zhí)峁┝艘环N確定數(shù)據(jù)流信息的方法，該方法可以應用于第一設(shè)備，該第一設(shè)備可以是轉(zhuǎn)發(fā)設(shè)備或旁掛在轉(zhuǎn)發(fā)設(shè)備上的設(shè)備(以下簡稱為旁掛設(shè)備)或管理設(shè)備，該方法由第一設(shè)備實現(xiàn)，具體可以由第一設(shè)備的部件實現(xiàn)，如由第一設(shè)備中的處理裝置、電路、芯片等部分實現(xiàn)。該方法包括：第一設(shè)備獲取一段時間(記為第一時間段)內(nèi)的多個數(shù)據(jù)流的流參數(shù)，其中流參數(shù)包括但不限于：協(xié)議類型、終端端口號、服務(wù)器IP地址和服務(wù)器端口號；基于該多個數(shù)據(jù)流的流參數(shù)和至少一個預設(shè)訪問模式的流參數(shù)規(guī)則，得到至少一個數(shù)據(jù)流組；其中，一個預設(shè)訪問模式和一組預設(shè)的流參數(shù)規(guī)則相對應，每個數(shù)據(jù)流組所包含的數(shù)據(jù)流之間的關(guān)系滿足某一個預設(shè)的流參數(shù)規(guī)則；對于確定出的數(shù)據(jù)流組，基于該數(shù)據(jù)流組內(nèi)的數(shù)據(jù)流的流參數(shù)確定該數(shù)據(jù)流組的組參數(shù)，其中，組參數(shù)包括但不限于：服務(wù)器IP地址、服務(wù)器端口號范圍、終端端口號范圍、協(xié)議類型。具體的，組參數(shù)中的服務(wù)器端口號范圍下限為該數(shù)據(jù)流組內(nèi)的數(shù)據(jù)流中的服務(wù)器端口號最小值，服務(wù)器端口號范圍上限為該數(shù)據(jù)流組內(nèi)的數(shù)據(jù)流中的服務(wù)器端口號最大值。

通過上述設(shè)計，可以基于在網(wǎng)絡(luò)中實際傳輸?shù)拇罅繑?shù)據(jù)流，將具有相同訪問規(guī)律的數(shù)據(jù)流做為一個數(shù)據(jù)流組，并確定各數(shù)據(jù)流組的組參數(shù)，這些組參數(shù)可以用于制定安全規(guī)則或異常檢測等眾多安全或監(jiān)測場景中，避免現(xiàn)有完全依賴經(jīng)驗的安全工作場景，能夠更好地應用真實傳輸?shù)臄?shù)據(jù)流的信息，可以用于提高網(wǎng)絡(luò)安全的可靠性和保障。

在一種可能的實現(xiàn)方法中，上述數(shù)據(jù)流組的組參數(shù)可以用于識別異常數(shù)據(jù)流或用于確定安全規(guī)則，其中，安全規(guī)則用于控制轉(zhuǎn)發(fā)設(shè)備進行數(shù)據(jù)流轉(zhuǎn)發(fā)。

在一種可能的實現(xiàn)方法中，組參數(shù)還可以包括但不限于下列中的部分或全部：終端IP地址集合、數(shù)據(jù)流的流數(shù)、時間模式信息、訪問模式標識、流支持度、設(shè)備訪問支持度；其中，終端IP地址集合包括所述數(shù)據(jù)流組內(nèi)的數(shù)據(jù)流對應的不同的終端IP地址；