[發明專利]異常流量的分離過濾方法、系統、存儲介質及電子設備有效
| 申請號: | 202110892512.3 | 申請日: | 2021-08-04 |
| 公開(公告)號: | CN113596050B | 公開(公告)日: | 2023-06-30 |
| 發明(設計)人: | 郭旗;龔海澎;王庭宇;賈錦輝 | 申請(專利權)人: | 四川英得賽克科技有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L67/30 |
| 代理公司: | 北京輕創知識產權代理有限公司 11212 | 代理人: | 翟磊 |
| 地址: | 610041 四川省成都市高新區*** | 國省代碼: | 四川;51 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 異常 流量 分離 過濾 方法 系統 存儲 介質 電子設備 | ||
1.一種異常流量的分離過濾方法,其特征在于,包括:
步驟1,根據讀取熱配置文件中過濾后網絡流量速度判定是否進行首次流量過濾;
步驟2,若判定結果為進行首次流量過濾,則,獲取異常流量統計時間窗口,并統計所述異常流量統計時間窗口內的第一單包信息集;
步驟3,對所述第一單包信息集進行處理,得到第一會話字典,對所述第一會話字典進行聚類計算,得到異常會話集;
步驟4,根據所述異常會話集設置第一抓包過濾條件,完成抓包過濾后,獲取抓包過濾后的第一實時網絡流量速度,根據所述第一實時網絡流量速度完成熱配置文件的更新;
步驟3具體為:
將所述第一單包信息集的信息進行統計,得到第一會話字典,對所述第一會話字典進行聚類計算,得到異常會話集;其中,所述第一會話字典包括m個會話,每個會話由一個鍵值對key-value組成,其中,key為四元組,所述四元組包括:源IP地址、目的IP地址、源端口以及目的端口,value為在所述第一單包信息集中所有四元組的字節數和所有四元組的包數進行合并之后的值,所述得到異常會話集的過程為:以每一個會話(session)的字節數和包數(value)為基準,將流量異常的一批會話作為異常會話集;
步驟4具體為:
根據所述異常會話集中每個異常會話的四元組信息設置第一抓包過濾條件,完成抓包過濾后,獲取抓包過濾后的第一實時網絡流量速度,將所述第一實時網絡流量速度更新至所述熱配置文件中的過濾后網絡流量速度,并將所述熱配置文件中的過濾次數更新為1。
2.根據權利要求1所述的一種異常流量的分離過濾方法,其特征在于,步驟1具體為:
讀取熱配置文件中的過濾后網絡流量速度,判斷所述過濾后網絡流量速度是否為0,若不為0,則,進行第n次流量過濾,若為0,則,進行所述首次流量過濾,其中,n≥2。
3.根據權利要求1所述的一種異常流量的分離過濾方法,其特征在于,步驟1之前還包括:
實時獲取設備的網絡流量速度以及待處理網絡包個數,并判斷是否需要進行過濾,判定方法包括:判斷實時網絡流量速度是否超過處理流量閾值以及待處理網絡包個數是否超過處理網絡包個數閾值,若二者均超過所述閾值,則判定為需要進行過濾;
或根據是否收到網絡包預處理進程發送的過濾通知判定是否進行過濾,若收到通知,則判定為需要進行過濾。
4.根據權利要求2所述的一種異常流量的分離過濾方法,其特征在于,所述第n次流量過濾具體過程為:
統計所述異常流量統計時間窗口內的第n單包信息集,對所述第n單包信息集中每個會話的原value進行累加處理,將累加處理結果替換原value,得到新的第n單包信息集,根據所述新的第n單包信息集生成第n會話字典,以第n會話字典中每個會話的value為條件對第n會話字典進行降序排列,提取排序后的第n會話字典中第一個會話的四元組信息,根據所述第一個會話的四元組信息生成本次初始抓包過濾條件,將第n-1抓包過濾條件與所述本次初始抓包過濾條件合并生成第n抓包過濾條件,完成抓包過濾后,獲取抓包過濾后的第n實時網絡流量速度,將所述第n實時網絡流量速度更新至所述熱配置中的過濾后網絡流量速度,并將所述熱配置文件中的過濾次數加1。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于四川英得賽克科技有限公司,未經四川英得賽克科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110892512.3/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種畜牧用馬蹄修剪限定架
- 下一篇:一種具有頂置翻轉裝配機構的護欄立柱
