流量分析的方法、系统和装置与流程

文档序号：20275528发布日期：2020-04-04 11:51阅读：901来源：国知局

本申请涉及数据分析技术领域，具体而言，涉及一种流量分析的方法、系统和装置。

背景技术：

互联网已成为生产生活中必不可少的工具，为了保证生产生活的顺利进行，网络安全工作的进行尤为重要。在相关技术中，主要通过对服务器上的各个系统、各个网站分别进行安全检查，以保证网络安全。由于单个安全技术或者安全产品的功能比较单一，在单台设备上进行部署使用，只能满足系统与网络特定的安全需求，在多台设备同时产生大规模流量时，由于服务器运行与流量分析串行执行，服务器运行与流量分析共用资源，若当前步骤没有完成则无法进行下一步骤，因而根据流量对服务器运行过程进行简单判断和预警后，便丢弃流量数据包。由于在服务器运行过程中存在恶意网络请求时，仅根据报警提示信息无法满足工作人员查看恶意请求详细情况的需要，且报警可能出现失误，工作人员接到报警提示后需要进入服务器查看恶意请求的产生情况，再做进一步处理，处理工程繁琐，难以满足网络安全需求。

针对相关技术中面对服务器产生的大规模流量，通过流量判断恶意网络请求时仅能进行报警提示，难以获知恶意请求的详细情况的问题，目前尚未提出有效的解决方案。

技术实现要素：

本申请的主要目的在于提供一种流量分析的方法、系统和装置，以解决相关技术中面对服务器产生的大规模流量，通过流量判断恶意网络请求时仅能进行报警提示，难以获知恶意请求的详细情况的问题。

为了实现上述目的，根据本申请的一个方面，提供了一种流量分析方法。该方法包括：抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包；对流量数据包进行分析，在分析结果为目标服务器的运行过程中存在恶意请求的情况下，报警并存储多个流量数据包中与恶意请求关联的流量数据包，其中，恶意请求为针对目标服务器的非正常操作请求，恶意请求关联的流量数据包携带构成恶意请求的信息；通过分析恶意请求关联的流量数据包获取恶意请求的现场信息，其中，恶意请求的现场信息至少包括恶意请求产生的时间、恶意请求产生的地址以及恶意请求采用的请求方式。

进一步的，目标服务器为多个，在抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包之后，该方法还包括：检测目标时间段内各个目标服务器的目标资源的需求量，其中，目标资源为目标服务器在分析流量时所需求的资源；根据各个目标服务器的目标资源的需求量以及各个目标服务器的可用目标资源量将多个目标服务器分为资源繁忙服务器和资源空闲服务器；从资源空闲服务器向资源繁忙服务器调度资源。

进一步的，在检测目标时间段内各个目标服务器的目标资源的需求量之前，该方法还包括：为各个目标服务器分别建立目标资源池，其中，目标资源池用于存储目标资源，每个目标服务器执行对流量数据包进行分析以外的其他任务时使用目标资源池以外的资源，并且对数据流量包进行分析与其他任务并行执行。

进一步的，在通过分析恶意请求关联的流量数据包获取恶意请求的现场信息之后，该方法还包括：检测是否接收到查询恶意请求的指令；在接收到查询恶意请求的指令的情况下，返回恶意请求的现场信息以及恶意请求关联的流量数据包。

进一步的，在接收到查询恶意请求的指令的情况下，返回恶意请求的现场信息以及恶意请求关联的流量数据包之后，该方法还包括：根据恶意请求的现场信息检测报警信息和恶意请求是否匹配；在报警信息和恶意请求不匹配的情况下，确定报警错误。

进一步的，对流量数据包进行分析包括：分析流量数据包的目的ip、源ip、目的端口、源端口和协议类型是否满足预设规则；在流量数据包的目的ip、源ip、目的端口、源端口和协议类型不满足预设规则的情况下，确定目标服务器的运行过程中存在恶意请求。

为了实现上述目的，根据本申请的另一方面，提供了一种流量分析系统。该系统包括：流量抓取模块，与目标服务器连接，用于抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包；流量分析模块，与流量抓取模块连接，用于分析多个流量数据包，检测在目标服务器的运行过程中是否存在恶意请求，其中，恶意请求为针对目标服务器的非正常操作请求；流量报警模块，与流量分析模块连接，用于对流量数据包进行分析，在分析结果为目标服务器的运行过程中存在恶意请求的情况下进行报警；流量存储模块，与流量报警模块连接，用于存储多个流量数据包中与恶意请求关联的流量数据包，其中，恶意请求关联的流量数据包携带构成恶意请求的信息；报警展示模块，与流量存储模块连接，用于通过分析恶意请求关联的流量数据包获取恶意请求的现场信息，其中，恶意请求的现场信息至少包括恶意请求产生的时间、恶意请求产生的地址以及恶意请求采用的请求方式。

为了实现上述目的，根据本申请的另一方面，提供了一种流量分析装置。该装置包括：抓取单元，用于抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包；报警单元，用于对流量数据包进行分析，在分析结果为目标服务器的运行过程中存在恶意请求的情况下，报警并存储多个流量数据包中与恶意请求关联的流量数据包，其中，恶意请求为针对目标服务器的非正常操作请求，恶意请求关联的流量数据包携带构成恶意请求的信息；获取单元，用于通过分析恶意请求关联的流量数据包获取恶意请求的现场信息，其中，恶意请求的现场信息至少包括恶意请求产生的时间、恶意请求产生的地址以及恶意请求采用的请求方式。

通过本申请，采用以下步骤：抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包；抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包；对流量数据包进行分析，在分析结果为目标服务器的运行过程中存在恶意请求的情况下，报警并存储多个流量数据包中与恶意请求关联的流量数据包，其中，恶意请求为针对目标服务器的非正常操作请求，恶意请求关联的流量数据包携带构成恶意请求的信息；通过分析恶意请求关联的流量数据包获取恶意请求的现场信息，解决了相关技术中面对服务器产生的大规模流量，通过流量判断恶意网络请求时仅能进行报警提示，难以获知恶意请求的详细情况的问题。通过存储多个流量数据包中与恶意请求关联的流量数据包并获取恶意请求的现场信息，进而达到了面对服务器产生的大规模流量时，得到恶意请求的报警信息后无需登陆服务器即可查看恶意请求的详细情况的效果。

附图说明

构成本申请的一部分的附图用来提供对本申请的进一步理解，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是根据本申请实施例提供的流量分析方法的流程图；

图2是根据本申请实施例提供的流量分析系统的示意图；以及

图3是根据本申请实施例提供的流量分析装置的示意图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

根据本申请的实施例，提供了一种流量分析方法。

图1是根据本申请实施例的流量分析方法的流程图。如图1所示，该方法包括以下步骤：

步骤s11，抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包。

例如，目标服务器可以为多个机房内的多台服务器，在多个机房内部署多个流量抓取模块，同时进行流量抓取，得到流量数据包，例如，抓取网站访问流量，由用户访问网站产生的访问数据构成流量数据包，再例如，抓取数据库存储流量，由用户向数据库中存储流量时产生的数据构成流量数据包。

步骤s12，对流量数据包进行分析，在分析结果为目标服务器的运行过程中存在恶意请求的情况下，报警并存储多个流量数据包中与恶意请求关联的流量数据包，其中，恶意请求为针对目标服务器的非正常操作请求，恶意请求关联的流量数据包携带构成恶意请求的信息。

需要说明的是，恶意请求通常为带有入侵意图的非正常操作请求，进行非正常操作请求时会产生流量数据包，因而，分析流量数据包内的参数能够获知服务器运行过程中是否存在非正常操作请求，非正常操作请求可以为多种，例如，在公司内网中登陆a网站为正常的操作请求，在外网中请求登陆a网站为非正常操作请求；利用管理员身份进入管理页面为正常的操作请求，利用非管理身份请求进入管理页面为非正常操作请求；再例如，在访问网站时携带病毒文件为非正常操作请求。

例如，通过分析流量数据包检测到存在恶意入侵请求的情况下，进行报警提示，提醒工作人员目标服务器存在入侵风险，对恶意请求进行阻止，避免对系统的进一步攻击。

需要说明的是，由于单个流量数据包往往无法携带恶意请求的所有内容，一个恶意入侵请求的相关数据，通常存储于多个流量数据包中，例如，一个恶意存储请求请求存储的内容较多，分别由5个流量数据包共同携带，这5个流量数据包即为该恶意存储请求的关联流量数据包，为5个流量数据包分别打上相同的标识码，通过识别流量数据包的标识码即可识别出该恶意存储请求的关联流量数据包。

将恶意请求以及与其关联的流量数据包存储到数据库中，具体的，由于恶意请求是通过对流量数据包进行ip的五元组分析判断出的，在报警后，可以将通过ip的五元组进行解析后的数据存到数据库中，便于后续通过流量数据包内的数据还原出恶意请求产生的详细情况。

步骤s13，通过分析恶意请求关联的流量数据包获取恶意请求的现场信息，其中，恶意请求的现场信息至少包括恶意请求产生的时间、恶意请求产生的地址以及恶意请求采用的请求方式。

例如，对于一个恶意请求，可以通过与恶意请求关联的流量数据包的目的ip、源ip、目的端口、源端口、协议类型以及内容数据还原出流量数据包的产生端口、去向、加载数据时采用的协议等，进而还原出该恶意请求采用的攻击手段，例如，对于攻击网站的恶意请求，还原出该恶意请求产生的地址，也即，被攻击网站的网址，该恶意请求开始的具体时间，攻击的时长以及使用的攻击手段等，再例如，对于上传病毒文件的恶意请求，还原出上传网站的网址，开始上传的具体时间，上传的手段以及上传的文件内容。

本申请实施例提供的流量分析方法，通过抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包；对流量数据包进行分析，在分析结果为目标服务器的运行过程中存在恶意请求的情况下，报警并存储多个流量数据包中与恶意请求关联的流量数据包，其中，恶意请求为针对目标服务器的非正常操作请求，恶意请求关联的流量数据包携带构成恶意请求的信息；通过分析恶意请求关联的流量数据包获取恶意请求的现场信息，解决了相关技术中面对服务器产生的大规模流量，通过流量判断恶意网络请求时仅能进行报警提示，难以获知恶意请求的详细情况的问题。通过存储多个流量数据包中与恶意请求关联的流量数据包并获取恶意请求的现场信息，进而达到了面对服务器产生的大规模流量时，得到恶意请求的报警信息后无需登陆服务器即可查看恶意请求的详细情况的效果。

为了在服务器接收的业务量变化的过程中保证了流量处理过程的正常运行，可选地，在本申请实施例提供的流量分析方法中，目标服务器为多个，在抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包之后，该方法还包括：检测目标时间段内各个目标服务器的目标资源的需求量，其中，目标资源为目标服务器在分析流量时所需求的资源；根据各个目标服务器的目标资源的需求量以及各个目标服务器的可用目标资源量将多个目标服务器分为资源繁忙服务器和资源空闲服务器；从资源空闲服务器向资源繁忙服务器调度资源。

需要说明的是，在进行流量的抓取、分析、报警以及存储的过程中需要占用资源，对每个机房内的服务器分配的用于处理流量的资源是固定的，随着业务量的变化，在某个机房流量短时间内增高，处理流量需要的资源也随着增大，在需要的资源大于该机房内可用资源的情况下，没有足够的资源处理流量，会导致恶意请求的检测以及报警不及时，错过阻止恶意请求的最佳时间，影响网络安全，此时，可以检测其他机房内服务器的资源占用情况，当其他机房中存在空闲资源的情况下，将空闲资源调度至资源短缺的服务器，提高资源利用率的同时，保证了流量处理过程的正常运行。

为了避免服务器运行和流量处理互相影响，可选地，在本申请实施例提供的流量分析方法中，在检测目标时间段内各个目标服务器的目标资源的需求量之前，该方法还包括：为各个目标服务器分别建立目标资源池，其中，目标资源池用于存储目标资源，每个目标服务器执行对流量数据包进行分析以外的其他任务时使用目标资源池以外的资源，并且对数据流量包进行分析与其他任务并行执行。

需要说明的是，在相关技术中，服务器运行和流量处理过程串行执行，共用资源，只有在当前步骤的服务器运行工作和流量处理工作均开展完，才能进行下一步骤，流量处理与服务器运行相互影响。

本实施例为各个目标服务器分别建立独立于服务器运行的资源池，供流量处理使用，避免了流量处理影响服务器正常运行，且方便了各个服务器之间的资源调度。

为了实现用户对恶意请求的实时分析，可选地，在本申请实施例提供的流量分析方法中，在通过分析恶意请求关联的流量数据包获取恶意请求的现场信息之后，该方法还包括：检测是否接收到查询恶意请求的指令；在接收到查询恶意请求的指令的情况下，返回恶意请求的现场信息以及恶意请求关联的流量数据包。

例如，工作人员在接到恶意入侵网站的报警信息后，可以对恶意入侵请求的详细信息进行查看，具体地，用户发出查询恶意入侵该网站的指令，系统返回该网站的网址，该恶意入侵请求采用的技术，发生的时间等入侵现场信息，同时返回该恶意入侵请求关联的流量数据包，用户可以将入侵现场信息与关联的流量数据包内的数据就行对比，查看入侵现场信息是否准确，也可以通过关联的流量数据包内的数据对入侵现场信息就行进一步的分析。

可选地，在本申请实施例提供的流量分析方法中，在接收到查询恶意请求的指令的情况下，返回恶意请求的现场信息以及恶意请求关联的流量数据包之后，该方法还包括：根据恶意请求的现场信息检测报警信息和恶意请求是否匹配；在报警信息和恶意请求不匹配的情况下，确定报警错误。

例如，根据ip的五元组解析出流量指纹不符合常规数据存储规则，报警提示数据库出现恶意存储请求，用户发出查询恶意请求的指令，系统返回该恶意请求的现场信息，该恶意请求的现场信息表明，该请求的具体内容为没有管理员权限的账号请求访问管理员界面，请求中并不包含需要存储的数据，报警错误。

通过本实施例，在接到报警信息后，用户得以及时查看恶意请求的详细情况，并与报警信息进行对比，在报警失误的情况下，也可以制定出匹配的应对恶意请求的方案。

可选地，在本申请实施例提供的流量分析方法中，对流量数据包进行分析包括：分析流量数据包的目的ip、源ip、目的端口、源端口和协议类型是否满足预设规则；在流量数据包的目的ip、源ip、目的端口、源端口和协议类型不满足预设规则的情况下，确定目标服务器的运行过程中存在恶意请求。

需要说明的是，针对服务器的不同网页的访问请求、存储请求等都具有其对应的流量指纹规则，当访问请求的关联流量数据包的流量指纹不符合正常流量指纹规则时，访问请求的流量指纹为恶意入侵指纹，访问请求为恶意入侵请求，具体的，通过检测流量数据包的目的ip、源ip、目的端口、源端口和协议类型是否满足预设流量指纹规则来检测访问请求的流量指纹是否为恶意入侵指纹。此外，流量数据包中还可以包括内容数据，可以结合对内容数据的检测来检测访问请求是否为恶意请求。

需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请实施例还提供了一种流量分析系统，需要说明的是，本申请实施例的流量分析系统可以用于执行本申请实施例所提供的用于流量分析方法。以下对本申请实施例提供的流量分析系统进行介绍。

图2是根据本申请实施例的流量分析系统的示意图。如图2所示，该系统包括：

流量抓取模块21，与目标服务器连接，用于抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包。

流量分析模块22，与流量抓取模块连接，用于分析多个流量数据包，检测在目标服务器的运行过程中是否存在恶意请求，其中，恶意请求为针对目标服务器的非正常操作请求。

需要说明的是，恶意请求通常为带有入侵意图的非正常操作请求，进行非正常操作请求时会产生流量数据包，因而，通过流量分析模块分析流量数据包内的参数，获知服务器运行过程中是否存在非正常操作请求，非正常操作请求可以为多种，例如，在公司内网中登陆a网站为正常的操作请求，在外网中请求登陆a网站为非正常操作请求；利用管理员身份进入管理页面为正常的操作请求，利用非管理身份请求进入管理页面为非正常操作请求；再例如，在访问网站时携带病毒文件为非正常操作请求。

流量报警模块23，与流量分析模块连接，用于对流量数据包进行分析，在分析结果为目标服务器的运行过程中存在恶意请求的情况下进行报警。

例如，流量分析模块分析流量数据包，检测到存在恶意入侵请求，流量报警模块进行报警，提醒工作人员目标服务器存在入侵风险，对恶意请求进行阻止，避免对系统的进一步攻击；流量分析模块分析流量数据包，检测到存在恶意存储请求，流量报警模块进行报警，提醒工作人员阻止危险文件的存入，避免危险文件的存入影响系统的正常运行。

流量存储模块24，与流量报警模块连接，用于存储多个流量数据包中与恶意请求关联的流量数据包，其中，恶意请求关联的流量数据包携带构成恶意请求的信息；

需要说明的是，一个恶意入侵请求的相关数据，通常存储于多个流量数据包中，多个流量数据包即为该恶意入侵请求的关联流量数据包，通过存储模块存储该恶意请求的多个关联流量数据包，将恶意请求以及与其关联的流量数据包存储到数据库中，具体的，由于恶意请求是通过对流量数据包进行ip的五元组分析判断出的，在报警后，可以将通过ip的五元组进行解析后的数据存到数据库中，便于后续通过流量数据包内的数据还原出恶意请求产生的详细情况。

报警展示模块25，与流量存储模块连接，用于通过分析恶意请求关联的流量数据包获取恶意请求的现场信息，其中，恶意请求的现场信息至少包括恶意请求产生的时间、恶意请求产生的地址以及恶意请求采用的请求方式。

例如，通过对多个流量数据包进行分析检测到一个恶意请求时，报警展示模块从存储模块中调用该恶意请求关联多个流量数据包，还原出恶意请求产生的详细情况并展示。具体地，对于攻击网站的恶意请求，报警展示模块可以还原出其使用的攻击手段，该恶意请求产生的地址，也即，被攻击网站的网址，该恶意请求开始的具体时间，攻击的时长等，对于上传病毒文件的恶意请求，报警展示模块可以还原出其上传的文件的内容，在用户发出查询恶意入侵该网站的指令，系报警展示模块可以对恶意请求的现场信息进行展示。

本申请实施例提供的流量分析系统，通过流量抓取模块21，与目标服务器连接，用于抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包；流量分析模块22，与流量抓取模块连接，用于分析多个流量数据包，检测在目标服务器的运行过程中是否存在恶意请求，其中，恶意请求为针对目标服务器的非正常操作请求；流量报警模块23，与流量分析模块连接，用于对流量数据包进行分析，在分析结果为目标服务器的运行过程中存在恶意请求的情况下进行报警；流量存储模块24，与流量报警模块连接，用于存储多个流量数据包中与恶意请求关联的流量数据包，其中，恶意请求关联的流量数据包携带构成恶意请求的信息；报警展示模块25，与流量存储模块连接，用于通过分析恶意请求关联的流量数据包获取恶意请求的现场信息，其中，恶意请求的现场信息至少包括恶意请求产生的时间、恶意请求产生的地址以及恶意请求采用的请求方式，解决了相关技术中面对服务器产生的大规模流量，通过流量判断恶意网络请求时仅能进行报警提示，难以获知恶意请求的详细情况的问题，通过存储多个流量数据包中与恶意请求关联的流量数据包并获取恶意请求的现场信息，进而达到了面对服务器产生的大规模流量时，得到恶意请求的报警信息后无需登陆服务器即可查看恶意请求的详细情况的效果。

可选地，在本申请实施例提供的流量分析系统中，该系统还包括：资源调度模块，在目标服务器为多个的情况下，用于从资源空闲服务器向资源繁忙服务器调度目标资源，其中，多个目标服务器基于目标资源的需求量以及可用目标资源量被分为资源繁忙服务器和资源空闲服务器，目标资源为目标服务器在分析流量时所需求的资源。

需要说明的是，在进行流量的抓取、分析、报警以及存储的过程中需要占用资源，对每个机房内的服务器分配的用于处理流量的资源是固定的，随着业务量的变化，在某个机房流量短时间内增高，处理流量需要的资源也随着增大，在需要的资源大于该机房内可用资源的情况下，没有足够的资源处理流量，会导致恶意请求的检测以及报警不及时，错过阻止恶意请求的最佳时间，影响网络安全，此时，通过资源调度模块检测其他机房内服务器的资源占用情况，当其他机房中存在空闲资源的情况下，将空闲资源调度至资源短缺的服务器，提高资源利用率的同时，保证了流量处理过程的正常运行。

本申请实施例还提供了一种流量分析装置，需要说明的是，本申请实施例的流量分析装置可以用于执行本申请实施例所提供的用于流量分析方法。以下对本申请实施例提供的流量分析装置进行介绍。

图3是根据本申请实施例的流量分析装置的示意图。如图3所示，该装置包括：抓取单元31、报警单元32和获取单元33。

具体地，抓取单元31，用于抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包。

报警单元32，用于对流量数据包进行分析，在分析结果为目标服务器的运行过程中存在恶意请求的情况下，报警并存储多个流量数据包中与恶意请求关联的流量数据包，其中，恶意请求为针对目标服务器的非正常操作请求，恶意请求关联的流量数据包携带构成恶意请求的信息。

获取单元33，用于通过分析恶意请求关联的流量数据包获取恶意请求的现场信息，其中，恶意请求的现场信息至少包括恶意请求产生的时间、恶意请求产生的地址以及恶意请求采用的请求方式。

可选地，在本申请实施例提供的流量分析装置中，该装置还包括：第一检测单元，用于在目标服务器为多个的情况下，在抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包之后，检测目标时间段内各个目标服务器的目标资源的需求量，其中，目标资源为目标服务器在分析流量时所需求的资源；划分单元，用于根据各个目标服务器的目标资源的需求量以及各个目标服务器的可用目标资源量将多个目标服务器分为资源繁忙服务器和资源空闲服务器；调度单元，用于从资源空闲服务器向资源繁忙服务器调度资源。

可选地，在本申请实施例提供的流量分析装置中，该装置还包括：构建单元，用于在检测目标时间段内各个目标服务器的目标资源的需求量之前，为各个目标服务器分别建立目标资源池，其中，目标资源池用于存储目标资源，每个目标服务器执行对流量数据包进行分析以外的其他任务时使用目标资源池以外的资源，并且对数据流量包进行分析与其他任务并行执行。

可选地，在本申请实施例提供的流量分析装置中，该装置还包括：第二检测单元，用于在通过分析恶意请求关联的流量数据包获取恶意请求的现场信息之后，检测是否接收到查询恶意请求的指令；返回单元，用于在接收到查询恶意请求的指令的情况下，返回恶意请求的现场信息以及恶意请求关联的流量数据包。

可选地，在本申请实施例提供的流量分析装置中，该装置还包括：第三检测单元，用于在接收到查询恶意请求的指令的情况下，返回恶意请求的现场信息以及恶意请求关联的流量数据包之后，根据恶意请求的现场信息检测报警信息和恶意请求是否匹配；第一确定单元，用于在报警信息和恶意请求不匹配的情况下，确定报警错误.

可选地，在本申请实施例提供的流量分析装置中，报警单元32包括：分析单元，用于分析流量数据包的目的ip、源ip、目的端口、源端口和协议类型是否满足预设规则；第二确定单元，用于在流量数据包的目的ip、源ip、目的端口、源端口和协议类型不满足预设规则的情况下，确定目标服务器的运行过程中存在恶意请求。

本申请实施例提供的流量分析装置，通过抓取单元31抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包；报警单元32对流量数据包进行分析，在分析结果为目标服务器的运行过程中存在恶意请求的情况下，报警并存储多个流量数据包中与恶意请求关联的流量数据包，其中，恶意请求为针对目标服务器的非正常操作请求，恶意请求关联的流量数据包携带构成恶意请求的信息；获取单元33通过分析恶意请求关联的流量数据包获取恶意请求的现场信息，其中，恶意请求的现场信息至少包括恶意请求产生的时间、恶意请求产生的地址以及恶意请求采用的请求方式，解决了相关技术中面对服务器产生的大规模流量，通过流量判断恶意网络请求时仅能进行报警提示，难以获知恶意请求的详细情况的问题，通过存储多个流量数据包中与恶意请求关联的流量数据包并获取恶意请求的现场信息，进而达到了面对服务器产生的大规模流量时，得到恶意请求的报警信息后无需登陆服务器即可查看恶意请求的详细情况的效果。

所述流量分析装置包括处理器和存储器，上述抓取单元31、报警单元32和获取单元33等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。

处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来解决相关技术中面对服务器产生的大规模流量，通过流量判断恶意网络请求时仅能进行报警提示，难以获知恶意请求的详细情况的问题。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)，存储器包括至少一个存储芯片。

本发明实施例提供了一种存储介质，其上存储有程序，该程序被处理器执行时实现所述流量分析方法。

本发明实施例提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行所述流量分析方法。

本发明实施例提供了一种设备，设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包；对流量数据包进行分析，在分析结果为目标服务器的运行过程中存在恶意请求的情况下，报警并存储多个流量数据包中与恶意请求关联的流量数据包，其中，恶意请求为针对目标服务器的非正常操作请求，恶意请求关联的流量数据包携带构成恶意请求的信息；通过分析恶意请求关联的流量数据包获取恶意请求的现场信息，其中，恶意请求的现场信息至少包括恶意请求产生的时间、恶意请求产生的地址以及恶意请求采用的请求方式。

目标服务器为多个，在抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包之后，该方法还包括：检测目标时间段内各个目标服务器的目标资源的需求量，其中，目标资源为目标服务器在分析流量时所需求的资源；根据各个目标服务器的目标资源的需求量以及各个目标服务器的可用目标资源量将多个目标服务器分为资源繁忙服务器和资源空闲服务器；从资源空闲服务器向资源繁忙服务器调度资源。

在检测目标时间段内各个目标服务器的目标资源的需求量之前，该方法还包括：为各个目标服务器分别建立目标资源池，其中，目标资源池用于存储目标资源，每个目标服务器执行对流量数据包进行分析以外的其他任务时使用目标资源池以外的资源，并且对数据流量包进行分析与其他任务并行执行。

在通过分析恶意请求关联的流量数据包获取恶意请求的现场信息之后，该方法还包括：检测是否接收到查询恶意请求的指令；在接收到查询恶意请求的指令的情况下，返回恶意请求的现场信息以及恶意请求关联的流量数据包。

在接收到查询恶意请求的指令的情况下，返回恶意请求的现场信息以及恶意请求关联的流量数据包之后，该方法还包括：根据恶意请求的现场信息检测报警信息和恶意请求是否匹配；在报警信息和恶意请求不匹配的情况下，确定报警错误。

对流量数据包进行分析包括：分析流量数据包的目的ip、源ip、目的端口、源端口和协议类型是否满足预设规则；在流量数据包的目的ip、源ip、目的端口、源端口和协议类型不满足预设规则的情况下，确定目标服务器的运行过程中存在恶意请求。本文中的设备可以是服务器、pc、pad、手机等。

本申请还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：抓取目标服务器在运行的过程中产生的流量，得到多个流量数据包；对流量数据包进行分析，在分析结果为目标服务器的运行过程中存在恶意请求的情况下，报警并存储多个流量数据包中与恶意请求关联的流量数据包，其中，恶意请求为针对目标服务器的非正常操作请求，恶意请求关联的流量数据包携带构成恶意请求的信息；通过分析恶意请求关联的流量数据包获取恶意请求的现场信息，其中，恶意请求的现场信息至少包括恶意请求产生的时间、恶意请求产生的地址以及恶意请求采用的请求方式。

对流量数据包进行分析包括：分析流量数据包的目的ip、源ip、目的端口、源端口和协议类型是否满足预设规则；在流量数据包的目的ip、源ip、目的端口、源端口和协议类型不满足预设规则的情况下，确定目标服务器的运行过程中存在恶意请求。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

完整全部详细技术资料下载

当前第1页1 2 3

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：唐琭
技术所有人：北京国双科技有限公司
我是此专利的发明人

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。