一种流量特征信息的更新方法、装置及中心节点服务器与流程

本发明涉及互联网技术领域，特别涉及一种流量特征信息的更新方法、装置及中心节点服务器。

背景技术：

目前，应用程序多种多样，用户在使用应用程序时会在产生相应的网络流量。不同的应用程序，产生的网络流量中所包含的流量特征具有可识别性，该些流量特征可用于识别出网络流量是由某个应用程序发出的，具体的，流量特征可包含但不限于应用程序的名称信息、特定操作标识、特定报文字段信息等。

在现有技术中，基于流量特征对网络流量所属的应用程序进行识别已被广泛应用，尤其在网络加速服务方面。例如，游戏类的应用程序，通常对网络通信质量的要求较高，那么网络运营商或第三方加速平台在识别出该网络流量属于游戏类的应用程序所产生的网络流量之后，可以将这部分流量调配至网络通信质量较好的网络节点，从而保证网络游戏的顺畅。

在实际应用中，该些流量特征及相应的信息往往是集中保存在数据库中进行维护，随着应用程序的更新升级等原因，其产生的网络流量的特征也可能发生改变，因此已有的流量特征可能会失去有效性。目前，为了判断已有的流量特征是否依然有效，通常会设定一个固定的检测时段，若在该固定的检测时段内一直没有接收到某个流量特征的数据，那么则认定该流量特征失效。

然而，不用的应用程序使用的频率差别较大，从而导致有些流量特征可能会长时间处于不活跃的状态，但并不代表该流量特征已经失效。因此，目前的这种判断流量特征是否失效的方法，造成误判的情况较多。

技术实现要素：

本申请的目的在于提供一种流量特征信息的更新方法、装置及中心节点服务器，能够提高流量特征是否失效的判定精度。

为实现上述目的，本申请一方面提供一种流量特征信息的更新方法，所述方法包括：接收流量识别设备上报的流量特征，并查询与所述流量特征相关联的特征信息；所述特征信息中至少包括用于记录所述流量特征最近一次验证通过的时间节点的第一字段以及用于记录告警时长间隔阈值的第二字段；计算接收到所述流量特征的时间节点与所述第一字段中记录的时间节点之间的时间差；若所述时间差大于所述第二字段中记录的告警时长间隔阈值，用所述时间差替换所述第二字段中的所述告警时长间隔阈值，并更新所述第一字段的内容。

为实现上述目的，本申请另一方面还提供一种中心节点服务器，所述中心节点服务器上运行有流量特征信息的更新系统，所述系统执行上述的方法。

为实现上述目的，本申请另一方面还提供一种流量特征信息的更新装置，所述装置包括管理服务器、中心节点服务器以及至少一台流量识别设备，其中：所述管理服务器，用于向所述中心节点服务器以及各流量识别设备下发流量特征数据；所述流量识别设备，用于基于所述流量特征数据对本地接收到的用户流量进行识别，当识别成功时，上报匹配到的流量特征至所述中心节点服务器；所述中心节点服务器，用于对所述流量特征数据上报的流量特征进行分析，并根据分析结果，对所述流量特征关联的特征信息进行更新。

由上可见，本申请提供的技术方案，应用程序的网络流量到达流量识别设备之后，流量识别设备可以根据管理服务器下发的流量特征数据，识别出与该网络流量相匹配的流量特征，并将该流量特征上报至中心节点服务器。当中心节点服务器接收到流量识别设备上报的流量特征之后，表明该流量特征仍处于有效状态。此时，中心节点服务器可以查询与所述流量特征相关联的特征信息。所述特征信息中至少包括用于记录所述流量特征最近一次验证通过的时间节点的第一字段以及用于记录告警时长间隔阈值的第二字段。然后，中心节点服务器可以计算接收到所述流量特征的时间节点与所述第一字段中记录的时间节点之间的时间差，若所述时间差大于所述第二字段中记录的告警时长间隔阈值，表明第二字段中记录的告警时长间隔阈值并不适用于当前的网络流量，从而会导致误判的可能。此时，中心节点服务器可以用计算的所述时间差替换所述第二字段中的所述告警时长间隔阈值，后续则可以将计算的时间差作为评判该流量特征是否失效的标准，然后，可以根据本次的验证过程，更新所述第一字段的内容。由此可见，本申请提供的技术方案，能够按照流量特征的实际情况，对初始设置的判定阈值进行灵活更新，从而避免了许多误判的情况，进而提高了流量特征是否失效的判定精度。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例中网络架构的示意图；

图2是本发明实施例中流量特征信息的更新方法步骤图；

图3是本发明实施例中流量特征信息的更新方法流程示意图；

图4是本发明实施例中中心节点服务器的功能模块图；

图5是本发明实施例中计算机终端的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

实施例一

本申请提供一种流量特征信息的更新方法，所述方法可以应用于中心节点服务器中。请参阅图1，本申请涉及的网络架构中可以包括管理服务器、中心节点服务器(简称为中心节点)、流量识别设备以及用户客户端。

其中，所述管理服务器中可以存储应用程序的网络流量的流量特征，不同的流量特征可以对应来自不同应用程序的网络流量。在管理服务器中，针对不同的应用程序的网络流量，可以预先收集对应的流量特征，并为各流量特征分配特征标识。该特征标识可以唯一地表征对应的流量特征。这样，流量特征与特征标识之间便可以建立关联关系。应用程序、流量特征及对应的特征标识的组合，便可以作为存储于管理服务器中的流量特征数据。

在实际应用中，管理服务器可以预先将流量特征数据下发至所述中心节点服务器及各流量识别设备处，这样，在中心节点服务器以及流量识别设备中，均可以对流量特征或者对应的特征标识进行识别。

上述的用户客户端中可以运行各种应用程序，这些应用程序在运行过程中可能会产生对应的网络流量，该网络流量可以被流量识别设备接收，并可以被流量识别设备识别出对应的流量特征。具体地，流量识别设备可以接收管理服务器下发的流量特征数据，然后针对用户客户端发来的当前网络流量，可以将所述当前网络流量所包含的流量特征与流量特征数据中的各个流量特征进行匹配，并可以将匹配到的流量特征作为当前网络流量对应的流量特征。

所述流量识别设备例如可以是DPI(Deep Packet Inspection，深度报文检测)设备或者其它具备流量识别功能的设备。流量识别设备识别出的流量特征可以被上传至中心节点，以通过中心节点对流量特征进行管理。

请参阅图2，本申请提供的流量特征信息的更新方法，可以包括以下步骤。

S1：接收流量识别设备上报的流量特征，并查询与所述流量特征相关联的特征信息；所述特征信息中至少包括用于记录所述流量特征最近一次验证通过的时间节点的第一字段以及用于记录告警时长间隔阈值的第二字段。

在本实施方式中，流量识别设备可以接收管理服务器下发的流量特征数据，然后针对用户客户端发来的当前网络流量，可以将所述当前网络流量所包含的流量特征与流量特征数据中的各个流量特征进行匹配，并可以将匹配到的流量特征作为当前网络流量对应的流量特征。具体地，所述流量特征可包含但不限于网络协议类型、数据报文特定字节的长度、特定字段的应用名称信息等。流量识别设备匹配到网络流量的的流量特征之后，可以将该流量特征或对应的特征标识上传至中心节点服务器。

在本实施方式中，针对流量特征而言，还可以构建特征信息，该特征信息中可以记录能够体现流量特征的一些信息。各个流量特征的特征信息可以与特征标识关联存储于中心节点服务器内。

在实际应用中，该特征信息中可以包括多个字段。具体地，请参阅表1，该特征信息中可以包括用于记录所述流量特征最近一次验证通过的时间节点的第一字段以及用于记录告警时长间隔阈值的第二字段。

表1特征信息示意表

进一步地，所述特征信息中还包括用于表征是否使用预设告警时长间隔阈值的第三字段、用于记录备用阈值的第四字段以及用于表征所述目标流量是否有效的第五字段。

当然，在实际应用中，可以按照具体需求，添加更多的字段或者减少其中的部分字段，本申请对此并不做限定。

在本实施方式中，中心节点接收到流量识别设备上传的流量特征之后，便可以读取与该流量特征相关联的特征信息，并可以解析特征信息中各个字段当前记录的内容。

在本实施方式中，特征信息在构建之初，可以初始化各个字段内记录的内容。

具体地，对于第一字段而言，可以将构建特征信息的时间节点作为最近一次验证通过的时间节点。

对于第二字段而言，可以采用一个经验值，作为预设告警时长间隔阈值，该经验值可以为应用程序触发网络流量的平均时长。例如，该经验值可以设置为7天，表示应用程序在平均7天的时长内，至少会触发一次网络流量。

对于第三字段而言，初始的内容可以设置为“使用预设告警时长间隔阈值”，表示第二字段中当前的内容为预设的初始值，利用该预设告警时长间隔阈值作为评价的参考。

对于第四字段而言，初始内容可以为空，后续可以逐渐向其中写入一个或者多个备用阈值。

对于第五字段而言，初始内容可以设置为“有效”。

需要说明的是，上述各个字段内的内容表现形式可根据实际需求进行调整，可以为数字、符合、字母等其他内容，并不限制于上述文字。各字段的内容可能会随着后续步骤的展开而实时更新。

S3：计算接收到所述流量特征的时间节点与所述第一字段中记录的时间节点之间的时间差。

S5：若所述时间差大于所述第二字段中记录的告警时长间隔阈值，用所述时间差替换所述第二字段中的所述告警时长间隔阈值，并更新所述第一字段的内容。

在本实施方式中，中心节点可以计算接收到所述流量特征的时间节点与所述第一字段中记录的时间节点之间的时间差，该时间差可以表示该流量特征前后两次处于活跃情况下的时间跨度。此时，若所述时间差大于所述第二字段中记录的告警时长间隔阈值，表示从上一次匹配成功后，在超过间隔阈值的时长中，中心节点未收到该流量特征的上报信息，按照现有技术中的方案来判断有效性的话，则该流量特征将会被误判为失效或已被判定为无效。

实际上，既然中心节点能够接收到该流量特征的上报信息，则表明该流量特征依然是有效的，只是使用得不频繁。在这种情况下，只能说明第二字段中的该告警时长间隔阈值并不能适用于当前的应用程序，因此，可以用所述时间差替换所述第二字段中的所述告警时长间隔阈值，后续在进行时效性检测的时候，可以利用该时间差作为判断标准。当然，中心节点后续还会根据实际接收到该流量特征的时间节点，对第二字段中的内容不断更新，从而使得第二字段中记录的阈值，能够更加匹配该流量特征的实际情况。

在本实施方式中，中心节点在接收到该流量特征之后，则表明该流量特征当前依然有效，因此，可以对第一字段中记录的最近一次验证通过的时间节点进行更新。具体地，中心节点可以将所述第一字段中的内容更新为接收到所述流量特征时的时间节点。这样的更新方式能够简便地对第一字段的内容进行更新。

然而，在有些场景下，中心节点接收到流量特征的时间节点，可能与流量识别设备上报流量特征的时间节点不一致。

例如，流量识别设备上报流量特征之后，该上报的请求可能会受到网络条件的影响，造成一定的延时，从而导致中心节点接收到流量特征的时间节点会晚于流量识别设备上报流量特征的时间节点。此时，流量识别设备在上报流量特征时，还可以在上报的信息中携带上报流量特征的时间节点。为了提高第一字段中内容的准确度，中心节点在接收到流量识别设备上报的信息后，可以从中提取出流量识别设备上报流量特征的时间节点，并将所述第一字段中的内容更新为所述流量识别设备上报所述流量特征时的时间节点。

还有一些场景中，流量识别设备在根据本地的流量特征数据匹配到对应的流量特征之后，可能并不会立即上报给中心节点，而是可能会按照周期性的时间间隔，统一地上报匹配到的各个流量特征。在这种情况下，流量识别设备上报流量特征时，还可以在上报的信息中携带成功匹配到该流量特征的时间节点。这样，为了提高第一字段中内容的准确性，中心节点可以从流量识别设备上报的信息中提取出成功匹配到流量特征的匹配时间节点，并将所述第一字段中的内容更新为所述匹配时间节点。

此外，由于流量特征被正常触发，因此表示流量特征没有失效，此时，中心节点还可以将所述第五字段中的内容设置为表征所述流量特征当前有效的内容。

在一个实施方式中，所述第三字段中的初始内容表征使用所述预设告警时长间隔阈值，但如果对所述第二字段中的内容进行更新之后，则不再使用该预设告警时长间隔阈值。因此，在用所述时间差替换所述第二字段中的所述告警时长间隔阈值之后，中心节点还可以将所述第三字段中的内容更新为表征不使用所述预设告警时长间隔阈值的内容。

在一个实施方式中，如果第三字段中的内容为表征不使用所述预设告警时长间隔阈值，且上述计算的时间差小于或者等于所述第二字段中记录的告警时长间隔阈值，则表明第二字段中的告警时长间隔阈值并没有设置得过小，此时，可以保持所述第二字段中的所述告警时长间隔阈值不变，并按照上述的方式，更新所述第一字段的内容。

然而，在某些场景下，第二字段中初始设置的告警时长间隔阈值还可能会过大，这样会导致按照该过大的预设阈值判断流量特征的有效性时，无法及时地发现流量特征已经失效。

为了解决该问题，在一个实施方式中，当上述计算出的时间差小于或者等于初始设定的告警时长间隔阈值时，可以检查所述第三字段中的内容，若所述第三字段表征当前使用该预设的告警时长间隔阈值，则可以将计算得到的所述时间差作为备用阈值写入所述第四字段中。第四字段中记录的备用阈值的数量会随着时间的增加而不断增加。第四字段中记录的各个备用阈值，都是利用接收特征标识时的时间节点减去最近一次验证通过的时间节点得到的，因此该备用阈值能够更好地反映目标流量的实际特性。后续，可以通过第四字段中的备用阈值，对过大的初始阈值进行修正，从而进一步提高流量特征有效性的判定精度。

在本实施方式中，中心节点可以预先启动时效定时检测任务，该时效定时检测任务的目的在于按照指定时间间隔对的检查。所述时效定时检测任务被启动之后，会进入运行状态。在运行状态中，中心节点可以按照指定时间间隔执行时效检测任务。该指定时间间隔可以根据实际需要进行设置，例如可以设置为1秒钟。这样，当时效定时检测任务被启动后，中心节点便可以每隔1秒钟执行一次时效检测任务。

请参阅图3，在本实施方式中，中心节点在针对当前的流量特征执行时效检测任务时，首先可以检测特征信息的第五字段中记录的内容。如果所述第五字段中记录的内容表征当前的流量特征已经失效，那么中心节点可以不做任何处理，从而结束本次的时效检测任务，并等待下一次时效检测任务的执行。

如果所述第五字段中记录的内容表征所述流量特征当前依然有效，那么中心节点可以确定执行所述时效检测任务时的时间节点与所述第一字段中记录的时间节点之间的时间差，该时间差越长，则表明流量特征处于失效状态的可能性越大。

鉴于此，可以将所述时间差与所述第二字段中记录的告警时长间隔阈值进行对比，若所述时间差大于所述第二字段中记录的告警时长间隔阈值，则表示流量特征已经长时间处于未被触发的状态，流量特征可能已经失效。此时，中心节点可以发出指向所述流量特征的失效警告，使得后续可以基于该失效警告，对所述流量特征进行进一步的检查。同时，中心节点还可以将所述第五字段中的内容设置为表征所述目标流量当前失效的内容。

如图3所示，在本实施方式中，第二字段中记录的告警时长间隔阈值可以按照实际情况进行调整。第二字段中的初始值为预设告警时长间隔阈值，该预设告警时长间隔阈值是根据现有的应用程序的平均触发周期设置的，可能与目标流量的实际情况不符，因此，可以根据实际情况对第二字段中记录的数值进行更改。

具体地，可以通过设定阈值定时检测任务对第二字段中的内容进行检测，所述阈值定时检测任务在运行过程中，可以按照指定时间间隔执行阈值检测任务。所述阈值检测任务在执行时，若第三字段中的内容表征当前使用所述预设告警时长间隔阈值，可以进一步地对所述阈值定时检测任务已启动的持续时长进行考量。其中阈值定时检测任务可与上述时效定时检测任务同时进行，也可以是单独设定。阈值定时检测任务的开始时间为中心节点为上述各字段设置完初始值时。

具体的，若所述阈值定时检测任务已启动的持续时长大于或者等于所述预设告警时长间隔阈值，则表示阈值定时检测任务已经持续启动了相当长的一段时间，在这段时间里，中心节点都在不断地往第四字段中写入备用阈值。第四字段中记录的各个备用阈值，都是利用接收特征标识时的时间节点减去最近一次验证通过的时间节点得到的，因此该备用阈值能够更好地反映目标流量的实际特性。

鉴于此，在所述第三字段表征当前使用所述预设告警时长间隔阈值，并且所述阈值定时检测任务已启动的持续时长大于或者等于所述预设告警时长间隔阈值的情况下，可以从所述第四字段中记录的备用阈值中读取最长的时间差，并将所述最长的时间差作为新的参考阈值，替换所述第二字段中记录的所述预设告警时长间隔阈值，并更新所述第三字段的内容为表征当前不使用所述预设告警时长。下一次的时效检测任务执行时，则可以利用该新的参考阈值进行判断流量特征是否失效。这样，通过更新第二字段中的阈值，能够使得对流量特征的判断结果能够更加贴近流量特征的实际情况。

在一个实施方式中，若所述第三字段表征当前不使用所述预设告警时长间隔阈值，或者所述阈值定时检测任务已启动的持续时长小于所述预设告警时长间隔阈值，则表示该流量特征的第二字段中的阈值无需使用备用阈值进行更新，中心节点则可以关闭该流量特征的阈值定时检测任务。

通过上述的处理步骤，本申请针对网络流量的特征信息，可以按照实际的情况，更新其中各个字段的内容。并且通过读取各个字段中当前记录的内容，从而可以判断网络流量是否处于有效状态。当判定网络流量处于失效状态时，可以针对该网络流量发出失效警告，后续则可以针对发出失效警告的网络流量进行进一步的有效性检查，而针对处于有效状态的网络流量而言，则无需进行有效性检查，从而节省了大量的时间。

更进一步的，通过基于流量识别设备上报的数据对阈值进行更新，可使得中心节点在判断当前流量特征的时效性时，更准确。

实施例二

本申请还提供一种中心节点服务器，所述中心节点服务器可以是一个服务器，或者是由多个服务器构成的服务器集群，本申请对此并不做限定。所述中心节点服务器上运行有流量特征信息的更新系统，所述流量特征信息的更新系统可以执行上述的流量特征信息的更新方法。

请参阅图1，本申请还提供一种流量特征信息的更新装置，所述装置包括管理服务器、中心节点服务器以及至少一台流量识别设备，其中：

所述管理服务器，用于向所述中心节点服务器以及各流量识别设备下发流量特征数据；

所述流量识别设备，用于基于所述流量特征数据对本地接收到的用户流量进行识别，当识别成功时，上报匹配到的流量特征至所述中心节点服务器；

所述中心节点服务器，用于对所述流量特征数据上报的流量特征进行分析，并根据分析结果及上述更新方法，对所述流量特征关联的特征信息进行更新。

请参阅图4，在一个实施方式中，所述中心节点服务器包括：

特征信息查询单元，用于接收流量识别设备上报的流量特征，并查询与所述流量特征相关联的特征信息；所述特征信息中至少包括用于记录所述流量特征最近一次验证通过的时间节点的第一字段以及用于记录告警时长间隔阈值的第二字段；

时间差计算单元，用于计算接收到所述流量特征的时间节点与所述第一字段中记录的时间节点之间的时间差；

信息更新单元，用于若所述时间差大于所述第二字段中记录的告警时长间隔阈值，用所述时间差替换所述第二字段中的所述告警时长间隔阈值，并更新所述第一字段的内容。

在一个实施方式中，所述第二字段中记录的初始值为预设告警时长间隔阈值，所述特征信息中还包括用于表征是否使用所述预设告警时长间隔阈值的第三字段；相应地，所述中心节点服务器还包括：

第三字段更新单元，用于将所述第三字段中的内容更新为表征不使用所述预设告警时长间隔阈值的内容。

在一个实施方式中，所述信息更新单元还用于若所述时间差小于或者等于所述第二字段中记录的告警时长间隔阈值，保持所述第二字段中的所述告警时长间隔阈值不变，并更新所述第一字段的内容。

在一个实施方式中，所述特征信息中还包括用于记录备用阈值的第四字段；相应地，所述中心节点服务器还包括：

第四字段更新单元，用于检查所述第三字段中的内容，若所述第三字段表征当前使用所述预设告警时长间隔阈值，将计算得到的所述时间差写入所述第四字段中。

在一个实施方式中，所述中心节点服务器还包括：

阈值检查任务执行单元，用于启动阈值定时检测任务，所述阈值定时检测任务在运行过程中，按照指定时间间隔执行阈值检测任务；

等待执行单元，用于在针对所述流量特征执行所述阈值检测任务时，若所述第三字段表征当前不使用所述预设告警时长间隔阈值，或者所述阈值定时检测任务已启动的持续时长小于所述预设告警时长间隔阈值，关闭针对所述流量特征对应的所述阈值定时检测任务；

阈值替换单元，用于若所述第三字段表征当前使用所述预设告警时长间隔阈值，并且所述阈值定时检测任务已启动的持续时长大于或者等于所述预设告警时长间隔阈值，从所述第四字段中读取最长的时间差，并将所述最长的时间差替换所述第二字段中记录的所述预设告警时长间隔阈值，并将所述第三字段中的内容更新为表征不使用所述预设告警时长间隔阈值的内容。

在一个实施方式中，所述特征信息中还包括用于表征所述流量特征是否有效的第五字段；相应地，所述中心节点服务器还包括：

时效任务启动单元，用于启动时效定时检测任务，所述时效定时检测任务在运行过程中，按照指定时间间隔执行时效检测任务；

时间差确定单元，用于确定执行所述时效检测任务时的时间节点与所述第一字段中记录的时间节点之间的时间差；

失效警告发起单元，用于若确定的所述时间差大于所述第二字段中记录的告警时长间隔阈值，发出指向所述流量特征的失效警告，并将所述第五字段中的内容更新为表征所述流量特征失效的内容。

请参阅图5，在本申请中，上述实施例中的技术方案可以应用于如图5所示的计算机终端10上。计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。本领域普通技术人员可以理解，图5所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图5中所示更多或者更少的组件，或者具有与图5所示不同的配置。

存储器104可用于存储应用软件的软件程序以及模块，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通讯。

由上可见，本申请提供的技术方案，应用程序的网络流量到达流量识别设备之后，流量识别设备可以根据管理服务器下发的流量特征数据，识别出与该网络流量相匹配的流量特征，并将该流量特征上报至中心节点服务器。当中心节点服务器接收到流量识别设备上报的流量特征之后，表明该流量特征仍处于有效状态。此时，中心节点服务器可以查询与所述流量特征相关联的特征信息。所述特征信息中至少包括用于记录所述流量特征最近一次验证通过的时间节点的第一字段以及用于记录告警时长间隔阈值的第二字段。然后，中心节点服务器可以计算接收到所述流量特征的时间节点与所述第一字段中记录的时间节点之间的时间差，若所述时间差大于所述第二字段中记录的告警时长间隔阈值，表明第二字段中记录的告警时长间隔阈值并不适用于当前的网络流量，从而会导致误判的可能。此时，中心节点服务器可以用计算的所述时间差替换所述第二字段中的所述告警时长间隔阈值，后续则可以将计算的时间差作为评判该流量特征是否失效的标准，然后，可以根据本次的验证过程，更新所述第一字段的内容。由此可见，本申请提供的技术方案，能够按照流量特征的实际情况，对初始设置的判定阈值进行灵活更新，从而避免了许多误判的情况，进而提高了流量特征是否失效的判定精度。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件来实现。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。