一种确定待清洗数据流的方法及装置的制造方法
【专利摘要】本发明实施例公开了一种确定待清洗数据流的方法及装置。本发明实施例中,首先获取待处理数据流,将待处理数据流中目的端口相同的数据流确定为一个子数据流,并根据各个所述子数据流的目的端口,确定各个所述子数据流的标签;获取异常数据流的标签后,在所述子数据流的标签与所述异常数据流的标签相同的情况下,将所述子数据流确定为待清洗数据流;其中,所述异常数据流是根据各个所述子数据流以及各个所述子数据流对应的目的端口的历史数据流统计得到的。本发明实施例可实现对待处理数据流进行精准地清洗,减轻清洗设备的性能压力,有效地提升清洗设备的处理效率。
【专利说明】
一种确定待清洗数据流的方法及装置
技术领域
[0001] 本发明涉及通信技术领域,尤其涉及一种确定待清洗数据流的方法及装置。
【背景技术】
[0002] 随着互联网业务的飞速发展以及宽带网络的快速普及,越来越多的人开始使用网 络业务,享受着互联网时代所带来的便利与变革。但同时,由于用户安全意识薄弱,使用的 智能嵌入式设备(路由器等)防护不到位,存在弱口令或安全漏洞,给黑客制造了可乘之机。 目前出现较多的是带有后门、攻击者可以远程控制被感染的机器的恶意软件,被这种恶意 软件感染的机器通常被称为"bot",被感染机器组成的受控网络常被称为"botnet",即僵尸 网络,控制僵尸网络的攻击者被称为botmaster。如图1所示,这种恶意软件的运行过程如 下:bot连接C&C服务器,它们组成一个僵尸网络,共同接受和响应C&C服务器的指令;C&C服 务器给bot下发攻击指令,里面包含受害者的IP、端口、攻击持续时间等各种攻击参数;bot 执行指令,对受害者发起DD0S(Distributed Denial of Service,分布式拒绝服务)攻击。 由于上述恶意软件的存在,使得运营商网络中充斥着大量僵木蠕流量,严重影响网络服务 质量和正常运行。
[0003] 针对上述网络安全问题,现有的DD0S防御技术分流量检测、流量清洗两部分,流量 检测一般是通过比较之前同一周期的周、天的数据流,或者周期性分析数据流最多的源IP 等方法,对互联网数据流进行判定;当判定数据流异常时,检测设备发送被攻击目的IP的通 知消息给网络设备,网络设备把异常源IP的数据流全部引流到清洗设备,通过把这些流扔 到流量黑洞的方式,实现DD0S的清洗。采用这种方法,缺点主要有:(1)引流数据流不够精 细,传统基于异常源IP清洗技术,会导致一部分正常的流量也被引流到清洗设备;(2)清洗 不够精准,由于对数据流处理不够精准,会造成一部分正常的流量被扔到流量黑洞;(3)清 洗设备性能瓶颈,现阶段万兆的数据流都比较常见,防御设备负责接收数据、分析数据及清 洗数据,对设备性能消耗比较大,一旦DD0S流量过大,会导致清洗设备性能无法满足要求, 出现数据丢失的情况。
[0004] 综上,目前亟需一种确定待清洗数据流的方法,实现对数据流进行有针对性地清 洗,并以减轻清洗设备的性能压力。
【发明内容】
[0005] 本发明实施例提供一种确定待清洗数据流的方法及装置,用以实现对数据流进行 有针对性地清洗。
[0006] 本发明实施例提供的一种确定待清洗数据流的方法,包括:
[0007] 获取待处理数据流;
[0008] 将所述待处理数据流中目的端口相同的数据流确定为一个子数据流;根据各个所 述子数据流的目的端口,确定各个所述子数据流的标签;
[0009] 获取异常数据流的标签;所述异常数据流是根据各个所述子数据流以及各个所述 子数据流对应的目的端口的历史数据流统计得到的;
[0010] 在所述子数据流的标签与所述异常数据流的标签相同的情况下,将所述子数据流 确定为待清洗数据流。
[0011] 较佳地,所述异常数据流是根据各个所述子数据流以及各个所述子数据流的目的 端口的历史数据流得到的,包括:
[0012] 根据各个所述子数据流的目的端口在设定周期内的历史数据流的流量大小,确定 出各个所述子数据流的目的端口在设定周期内的平均流量;
[0013] 在第一子数据流的流量与所述第一子数据流的目的端口在设定周期内的平均流 量的差值大于第一阈值的情况下,确定所述第一子数据流为异常数据流。
[0014] 较佳地,所述根据各个所述子数据流的目的端口,确定各个所述子数据流的标签, 包括:
[0015] 若所述子数据流的目的端口为第一类型目的端口,则根据已存储的第一类型目的 端口与标签之间的对应关系,得到所述子数据流的目的端口对应的第一标签;所述第一类 型目的端口为根据应用协议得到的端口;
[0016] 将所述子数据流的目的端口对应的第一标签确定为所述子数据流的标签。
[0017] 较佳地,所述根据各个所述子数据流的目的端口,确定各个所述子数据流的标签, 包括:
[0018] 若所述子数据流的目的端口为第二类型目的端口,则从待分配标签集合中为所述 子数据流的目的端口分配第二标签,并将所述第二标签从所述待分配标签集合中删除;所 述待分配标签集合中的标签为标签集合中除所述第一类型目的端口对应的标签以外的标 签;所述第二类型目的端口为除所述第一类型目的端口以外的端口。
[0019] 将所述子数据流的目的端口对应的所述第二标签确定为所述子数据流的标签。
[0020] 较佳地,所述将所述待处理数据流确定为待清洗数据流之后,还包括:
[0021 ]将所述第二标签添加到所述待分配标签集合中。
[0022]本发明实施例提供的一种确定待清洗数据流的装置,该装置包括:
[0023]第一获取模块,用于获取待处理数据流;
[0024] 第一确定模块,用于将所述待处理数据流中目的端口相同的数据流确定为一个子 数据流;根据各个所述子数据流的目的端口,确定各个所述子数据流的标签;
[0025] 第二获取模块,用于获取异常数据流的标签;所述异常数据流是根据各个所述子 数据流以及各个所述子数据流对应的目的端口的历史数据流统计得到的;
[0026] 第二确定模块,用于在所述子数据流的标签与所述异常数据流的标签相同的情况 下,将所述子数据流确定为待清洗数据流。
[0027]较佳地,所述第二获取模块还用于:
[0028] 根据各个所述子数据流的目的端口在设定周期内的历史数据流的流量大小,确定 出各个所述子数据流的目的端口在设定周期内的平均流量;
[0029] 在第一子数据流的流量与所述第一子数据流的目的端口在设定周期内的平均流 量的差值大于第一阈值的情况下,确定所述第一子数据流为异常数据流。
[0030] 较佳地,所述第一确定模块具体用于:
[0031]若所述子数据流的目的端口为第一类型目的端口,则根据已存储的第一类型目的 端口与标签之间的对应关系,得到所述子数据流的目的端口对应的第一标签;所述第一类 型目的端口为根据应用协议得到的端口;
[0032] 将所述子数据流的目的端口对应的第一标签确定为所述子数据流的标签。
[0033] 较佳地,所述第一确定模块具体用于:
[0034] 若所述子数据流的目的端口为第二类型目的端口,则从待分配标签集合中为所述 子数据流的目的端口分配第二标签,并将所述第二标签从所述待分配标签集合中删除;所 述待分配标签集合中的标签为所述标签集合中除所述第一类型目的端口对应的标签以外 的标签;所述第二类型目的端口为除所述第一类型目的端口以外的端口。
[0035] 将所述子数据流的目的端口对应的所述第二标签确定为所述子数据流的标签。 [0036]较佳地,所述第一确定模块还用于:
[0037]将所述第二标签添加到所述待分配标签集合中。
[0038]本发明的上述实施例中,首先获取待处理数据流,将待处理数据流中目的端口相 同的数据流确定为一个子数据流,并根据各个所述子数据流的目的端口,确定各个所述子 数据流的标签;获取异常数据流的标签后,在所述子数据流的标签与所述异常数据流的标 签相同的情况下,将所述子数据流确定为待清洗数据流;其中,所述异常数据流是根据各个 所述子数据流以及各个所述子数据流对应的目的端口的历史数据流统计得到的。本发明实 施例中,根据子数据流的目的端口确定子数据流的标签,并在获取到异常数据流的标签后, 将子数据流的标签与所述异常数据流的标签进行比较,确定出待清洗数据流,从而可实现 对待处理数据流进行精准地清洗,减轻清洗设备的性能压力,有效地提升清洗设备的处理 效率。
【附图说明】
[0039] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使 用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本 领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其 他的附图。
[0040] 图1为【背景技术】中DD0S型botnet拓扑图;
[0041 ]图2为本发明实施例提供的一种确定待清洗数据流的方法所对应的流程示意图;
[0042] 图3为本发明实施例提供的一种确定待清洗数据流的装置的结构示意图。
【具体实施方式】
[0043] 为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进 一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施 例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的 所有其它实施例,都属于本发明保护的范围。
[0044] 图2为本发明实施例提供的一种确定待清洗数据流的方法所对应的流程示意图, 该方法包括:
[0045]步骤201,获取待处理数据流;
[0046]步骤202,将所述待处理数据流中目的端口相同的数据流确定为一个子数据流;根 据各个所述子数据流的目的端口,确定各个所述子数据流的标签;
[0047]步骤203,获取异常数据流的标签;所述异常数据流是根据各个所述子数据流以及 各个所述子数据流对应的目的端口的历史数据流统计得到的;
[0048]步骤204,在所述子数据流的标签与所述异常数据流的标签相同的情况下,将所述 子数据流确定为待清洗数据流。
[0049] 本发明实施例中,根据子数据流的目的端口确定子数据流的标签,并在获取到异 常数据流的标签后,将子数据流的标签与所述异常数据流的标签进行比较,确定出待清洗 数据流,从而可实现对待处理数据流进行精准地清洗,减轻清洗设备的性能压力,有效地提 升清洗设备的处理效率。
[0050] 具体地,在步骤201中,所述待处理数据流可以为发往某个被攻击对象的数据流。 [0051]在步骤202中,获取到待处理数据流后,将所述待处理数据流中目的端口相同的数 据流确定为一个子数据流,并根据各个所述子数据流的目的端口,确定各个所述子数据流 的标签;
[0052]互联网数据都是以太网的数据帧,数据帧格式有8个字节的保留位,本发明实施例 中使用数据帧保留的8个字节作为目的端口对应的标签,由于根据数据包的协议及端口来 分配标签,最多支持255个标签,因此,标签的数据是固定的。为防止目的端口的数据量过 多,而无法实现目的端口与标签一一对应的分配,本发明实施例中将目的端口分为第一类 型目的端口和第二类型目的端口,同时将标签集合中的255个标签分为两类,一类为与第一 类型目的端口对应的固定标签,另一类为与第二类型目的端口对应的动态标签。
[0053] 本发明实施例中,第一类型目的端口为根据应用协议得到的端口;第二类型目的 端口为通过对所述待处理数据流进行分析所得到除所述第一类型目的端口以外的端口。进 一步地,第一类型目的端口可以通过调研互联网出口应用的设计方案、开放的端口策略,归 类应用的协议、端口使用情况来确定。第二类型目的端口可以通过每隔一个设定的时间周 期(比如,1分钟或5分钟)收集互联网数据流,根据数据包分析仪对目的端口进行归类来确 定。
[0054] 针对于第一类型目的端口,由于第一类型目的端口具有稳定性,因此可预先设置 第一类型目的端口与固定标签的对应关系并存储,该对应关系可在设定时长内保持不变。 具体地,第一类型目的端口与固定标签的对应关系可以通过多种方式来存储,例如,采用数 据库的方式存储,如表1所示。
[0055] 表 1
[0057] 本发明实施例中通过设置并存储第一类型目的端口与固定标签的对应关系,从而 使得可通过该对应关系,直接获取到第一类型目的端口对应的第一标签,进而确定出待处 理数据流的标签,提高了为待处理数据流确定标签的效率。
[0058] 针对于第二类型目的端口,由于第二类型目的端口的动态性,因此,在有限标签的 情况下,可从待分配标签结合中为第二类型目的端口分配动态标签。其中,所述待分配标签 集合中的标签为所述标签集合中除所述第一类型目的端口对应的标签以外的标签。
[0059] 例如,标签集合中的00000001-00111111均已与第一类型目的端口相对应,此时, 待分配标签集合中包括的标签为01000000-111 111 11,针对于第二类型目的端口(如ICMP端 口、UDP端口),可从待分配标签集合中为ICMP端口、UDP端口分配第二标签,具体地,可设置 ICMP端口对应的标签为01000000,UDP端口对应的标签为01000001。
[0060] 本发明实施例中,在一个设定周期内,若确定出的第二类型目的端口的个数少于 动态标签的个数,则在保证第二类型目的端口与标签一一对应的前提下,可随机设置第二 类型目的端口对应的标签。
[0061 ]进一步地,在确定出待清洗数据流之后,为保证在下一个设定周期内确定出的第 二类型目的端口与动态标签的对应关系,本发明实施例中,优选将所述第二标签添加到所 述待分配标签集合中,从而使得在下一个设定周期内有足够的动态标签来分配。
[0062] 例如,在第N周期内,设置ICMP端口对应的标签为01000000,UDP端口对应的标签为 01000001,则在第N+1周期内,可以将上述对应关系清除,并将标签01000000和01000001添 加到待分配标签集合中。若第N+1周期内仍检测到ICMP端口、UDP端口,此时可从待分配标签 集合重新为ICMP端口、UDP端口设置对应的动态标签;若第N+1周期内检测到除ICMP端口、 UDP端口以外的第二类型目的端口,此时可将标签01000000、标签01000001设置为其它第二 类型目的端口的标签。
[0063]本发明实施例中,通过为第二类型目的端口设置动态标签,弥补了标签数量不足 的劣势,实现了标签的有效分配。
[0064] 在互联网的环境下,一直发生大量DD0S攻击,DD0S攻击者预先会对被攻击对象进 行端口扫描,根据端口进行有目的性的入侵,因此,在步骤203中,可通过检测设备确定出被 攻击目的端口,根据各个所述子数据流的目的端口在设定周期内的历史数据流的流量大 小,确定出各个所述子数据流的目的端口在设定周期内的平均流量;在第一子数据流的流 量与所述第一子数据流的目的端口在设定周期内的平均流量的差值大于第一阈值的情况 下,确定所述第一子数据流为异常数据流,例如,可将第一子数据流的流量与第一子数据流 的目的端口在之前同一周期的周、天数据流的平均流量进行比较。其中,第一阈值可由本领 域技术人员根据经验设置。
[0065] 在步骤204中,将子数据流的标签与异常数据流的标签进行比较,若子数据流的标 签与异常数据流的标签相同,则说明该子数据流为异常数据流,此时可将该子数据流确定 为待清洗数据流;若子数据流的标签与异常数据流的标签不相同,则说明子数据流为正常 数据流,此时可不对该正常数据流进行清洗,从而减轻清洗设备的性能压力。
[0066] 本发明实施例中,由于数据流带有标签,因此可根据标签对数据流进行数据归类、 流量清洗,并按照日线及周线等方式进行绘图,进而通过对数据流的统计和学习,绘制成一 张不同应用类型的日图及周图,从而为判定DD0S攻击提供有效的依据。
[0067]本发明的上述实施例中,首先获取待处理数据流,将待处理数据流中目的端口相 同的数据流确定为一个子数据流,并根据各个所述子数据流的目的端口,确定各个所述子 数据流的标签;获取异常数据流的标签后,在所述子数据流的标签与所述异常数据流的标 签相同的情况下,将所述子数据流确定为待清洗数据流;其中,所述异常数据流是根据各个 所述子数据流以及各个所述子数据流对应的目的端口的历史数据流统计得到的。本发明实 施例中,根据子数据流的目的端口确定子数据流的标签,并在获取到异常数据流的标签后, 将子数据流的标签与所述异常数据流的标签进行比较,确定出待清洗数据流,从而可实现 对待处理数据流进行精准地清洗,减轻清洗设备的性能压力,有效地提升清洗设备的处理 效率。
[0068] 针对上述方法流程,本发明实施例还提供确定待清洗数据流的装置,该装置的具 体内容可以参照上述方法实施。
[0069] 图3为本发明实施例提供的一种确定待清洗数据流的装置的结构示意图,该装置 包括:
[0070] 第一获取模块301,用于获取待处理数据流;
[0071]第一确定模块302,用于将所述待处理数据流中目的端口相同的数据流确定为一 个子数据流;根据各个所述子数据流的目的端口,确定各个所述子数据流的标签;
[0072] 第二获取模块303,用于获取异常数据流的标签;所述异常数据流是根据各个所述 子数据流以及各个所述子数据流对应的目的端口的历史数据流统计得到的;
[0073] 第二确定模块304,用于在所述子数据流的标签与所述异常数据流的标签相同的 情况下,将所述子数据流确定为待清洗数据流。
[0074]较佳地,所述第二获取模块303还用于:
[0075] 根据各个所述子数据流的目的端口在设定周期内的历史数据流的流量大小,确定 出各个所述子数据流的目的端口在设定周期内的平均流量;
[0076] 在第一子数据流的流量与所述第一子数据流的目的端口在设定周期内的平均流 量的差值大于第一阈值的情况下,确定所述第一子数据流为异常数据流。
[0077]较佳地,所述第一确定模块302具体用于:
[0078]若所述子数据流的目的端口为第一类型目的端口,则根据已存储的第一类型目的 端口与标签之间的对应关系,得到所述子数据流的目的端口对应的第一标签;所述第一类 型目的端口为根据应用协议得到的端口;
[0079] 将所述子数据流的目的端口对应的第一标签确定为所述子数据流的标签。
[0080] 较佳地,所述第一确定模块302具体用于:
[0081 ]若所述子数据流的目的端口为第二类型目的端口,则从待分配标签集合中为所述 子数据流的目的端口分配第二标签,并将所述第二标签从所述待分配标签集合中删除;所 述待分配标签集合中的标签为所述标签集合中除所述第一类型目的端口对应的标签以外 的标签;所述第二类型目的端口为除所述第一类型目的端口以外的端口。
[0082]将所述子数据流的目的端口对应的所述第二标签确定为所述子数据流的标签。 [0083]较佳地,所述第一确定模块302还用于:
[0084]将所述第二标签添加到所述待分配标签集合中。
[0085] 从上述内容可以看出:
[0086]本发明的上述实施例中,首先获取待处理数据流,将待处理数据流中目的端口相 同的数据流确定为一个子数据流,并根据各个所述子数据流的目的端口,确定各个所述子 数据流的标签;获取异常数据流的标签后,在所述子数据流的标签与所述异常数据流的标 签相同的情况下,将所述子数据流确定为待清洗数据流;其中,所述异常数据流是根据各个 所述子数据流以及各个所述子数据流对应的目的端口的历史数据流统计得到的。本发明实 施例中,根据子数据流的目的端口确定子数据流的标签,并在获取到异常数据流的标签后, 将子数据流的标签与所述异常数据流的标签进行比较,确定出待清洗数据流,从而可实现 对待处理数据流进行精准地清洗,减轻清洗设备的性能压力,有效地提升清洗设备的处理 效率。
[0087] 本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。 因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的 形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存 储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形 式。
[0088] 本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程 图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流 程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序 指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产 生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实 现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0089] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特 定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指 令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或 多个方框中指定的功能。
[0090] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计 算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或 其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一 个方框或多个方框中指定的功能的步骤。
[0091] 尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造 性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优 选实施例以及落入本发明范围的所有变更和修改。
[0092] 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含这些改动和变型在内。
【主权项】
1. 一种确定待清洗数据流的方法,其特征在于,该方法包括: 获取待处理数据流; 将所述待处理数据流中目的端口相同的数据流确定为一个子数据流;根据各个所述子 数据流的目的端口,确定各个所述子数据流的标签; 获取异常数据流的标签;所述异常数据流是根据各个所述子数据流以及各个所述子数 据流对应的目的端口的历史数据流统计得到的; 在所述子数据流的标签与所述异常数据流的标签相同的情况下,将所述子数据流确定 为待清洗数据流。2. 如权利要求1所述的方法,其特征在于,所述异常数据流是根据各个所述子数据流以 及各个所述子数据流的目的端口的历史数据流得到的,包括: 根据各个所述子数据流的目的端口在设定周期内的历史数据流的流量大小,确定出各 个所述子数据流的目的端口在设定周期内的平均流量; 在第一子数据流的流量与所述第一子数据流的目的端口在设定周期内的平均流量的 差值大于第一阈值的情况下,确定所述第一子数据流为异常数据流。3. 如权利要求1所述的方法,其特征在于,所述根据各个所述子数据流的目的端口,确 定各个所述子数据流的标签,包括: 若所述子数据流的目的端口为第一类型目的端口,则根据已存储的第一类型目的端口 与标签之间的对应关系,得到所述子数据流的目的端口对应的第一标签;所述第一类型目 的端口为根据应用协议得到的端口; 将所述子数据流的目的端口对应的第一标签确定为所述子数据流的标签。4. 如权利要求3所述的方法,其特征在于,所述根据各个所述子数据流的目的端口,确 定各个所述子数据流的标签,包括: 若所述子数据流的目的端口为第二类型目的端口,则从待分配标签集合中为所述子数 据流的目的端口分配第二标签,并将所述第二标签从所述待分配标签集合中删除;所述待 分配标签集合中的标签为标签集合中除所述第一类型目的端口对应的标签以外的标签;所 述第二类型目的端口为除所述第一类型目的端口以外的端口; 将所述子数据流的目的端口对应的所述第二标签确定为所述子数据流的标签。5. 如权利要求4所述的方法,其特征在于,所述将所述待处理数据流确定为待清洗数据 流之后,还包括: 将所述第二标签添加到所述待分配标签集合中。6. -种确定待清洗数据流的装置,其特征在于,该装置包括: 第一获取模块,用于获取待处理数据流; 第一确定模块,用于将所述待处理数据流中目的端口相同的数据流确定为一个子数据 流;根据各个所述子数据流的目的端口,确定各个所述子数据流的标签; 第二获取模块,用于获取异常数据流的标签;所述异常数据流是根据各个所述子数据 流以及各个所述子数据流对应的目的端口的历史数据流统计得到的; 第二确定模块,用于在所述子数据流的标签与所述异常数据流的标签相同的情况下, 将所述子数据流确定为待清洗数据流。7. 如权利要求6所述的装置,其特征在于,所述第二获取模块还用于: 根据各个所述子数据流的目的端口在设定周期内的历史数据流的流量大小,确定出各 个所述子数据流的目的端口在设定周期内的平均流量; 在第一子数据流的流量与所述第一子数据流的目的端口在设定周期内的平均流量的 差值大于第一阈值的情况下,确定所述第一子数据流为异常数据流。8. 如权利要求6所述的装置,其特征在于,所述第一确定模块具体用于: 若所述子数据流的目的端口为第一类型目的端口,则根据已存储的第一类型目的端口 与标签之间的对应关系,得到所述子数据流的目的端口对应的第一标签;所述第一类型目 的端口为根据应用协议得到的端口; 将所述子数据流的目的端口对应的第一标签确定为所述子数据流的标签。9. 如权利要求8所述的装置,其特征在于,所述第一确定模块具体用于: 若所述子数据流的目的端口为第二类型目的端口,则从待分配标签集合中为所述子数 据流的目的端口分配第二标签,并将所述第二标签从所述待分配标签集合中删除;所述待 分配标签集合中的标签为所述标签集合中除所述第一类型目的端口对应的标签以外的标 签;所述第二类型目的端口为除所述第一类型目的端口以外的端口; 将所述子数据流的目的端口对应的所述第二标签确定为所述子数据流的标签。10. 如权利要求9所述的装置,其特征在于,所述第一确定模块还用于: 将所述第二标签添加到所述待分配标签集合中。
【文档编号】H04L29/06GK105959253SQ201510802035
【公开日】2016年9月21日
【申请日】2015年11月19日
【发明人】张高磊, 何东杰, 刘国宝
【申请人】中国银联股份有限公司