一种网络流量表示的方法及装置与流程

本发明涉及计算机
技术领域：
，特别是涉及一种网络流量表示的方法及装置。
背景技术：
网络流量检测是指从互联网中多个网络应用产生的混合流量中，检测出特定的网络应用、网络服务或网络协议产生的流量，是网络攻击和恶意代码检测、网络流量工程和路由管理等工作的基础。网络流量检测的基本单位是网包或网流，其中网流是网络中具有相同五元组(源地址、目的地址、源端口号、目的端口号、协议)的网包序列。在进行网络流量检测之前，需要对网络流量进行表示，现有的表示格式主要有两种：原始数据包格式和netflow网流格式，前者是直接从网络上获得的包级(数据帧级)记录，后者是流级的记录。这两种表示方式都有其不便之处，原始数据包格式表示的粒度太细，网络流量检测系统都需要经过“数据帧层-网络层-传输层-应用层”的全程重组，需要耗费大量的处理性能；如果不记录数据包，则只能从数据包头中得到有限信息，而记录了数据包具体内容，则进行网络流量检测时不仅需要耗费大量的存储，也可能因法律限制和用户数据隐私保护的要求，影响网络流量检测效果。netflow格式主要记录流级的信息，粒度相对较粗，不支持应用级分析和基于深度包的网络流量检测。上述两种对网络流量进行表示的方式，都是采用结构化的数值型表示方式，对于大型网络系统来说，对其进行网络流量检测规模大，如果要检测特定的网络应用、网络服务或网络协议产生的流量，需要预先设置检测规则(例如，为特定字段建立索引、特定字段连接、特定字段的流式统计)，如果一旦监测、查询、分析或统计需求变化，则需要再重新设置处理规则甚至要对网络流量检测系统的整体升级，不具有通用性，并且效率较低、运行成本较高。技术实现要素：本发明提供一种网络流量表示的方法及装置，用以解决现有技术的如下问题：现有的网络流量的表示方法粒度不合适。为解决上述技术问题，本发明提供一种网络流量表示的方法及装置，包括：采用预设基本谓词、预设基本谓词的论元、预设扩展谓词以及预设扩展谓词的论元，按预定事件语义学方法表示网络流量的语义；根据所述网络流量的语义，定义所述网络流量与其它网络流量之间的语义关系；根据所述网络流量的语义和所述网络流量与其它网络流量之间的语义关系，按照预定特征生成网络流量的集合；根据所述网络流量的集合，确定网络流量对应的通信主体的运行情况。可选的，所述基本谓词包括：所述网络流量的五元组、客户端主机地址、服务端主机地址、所述网络流量包含的字节数、所述网络流量包含的网络流量包数、所述网络流量的出现时间、所述网络流量的五元组建立连接、所述网络流量的开始时间和终止时间，其中，所述网络流量的五元组包括：网络流量的源地址、目的地址、源端口、目的端口和传输层协议；所述基本谓词的论元，表示所述基本谓词所表示的网络流量中的通信参数。可选的，所述扩展谓词包括：所述网络流量包含的所述网络流量包的间隔时间序列、所述网络流量包的长度序列、所述网络流量的特征串、所述网络流量中某一地址的地理位置、所述网络流量在预定方向上的熵、所述网络流量的重置时间；所述扩展谓词的论元，表示所述扩展谓词所表示的网络流量中的通信参数。可选的，所述预定事件语义学方法为新戴维森事件语义学方法。可选的，所述网络流量之间的所述语义关系包括：顺承关系、并发关系、因果关系和条件关系。此外，为实现上述目的，本发明还提供一种网络流量表示的装置，包括：表示模块，用于采用预设基本谓词、预设基本谓词的论元、预设扩展谓词以及预设扩展谓词的论元，按预定事件语义学方法表示网络流量的语义；定义模块，用于根据所述网络流量的语义，定义所述网络流量与其它网络流量之间的语义关系；集合生成模块，用于根据所述网络流量的语义和所述网络流量与其它网络流量之间的语义关系，按照预定特征生成网络流量的集合；确定模块，用于根据所述网络流量的集合，确定网络流量对应的通信主体的运行情况。可选的，所述基本谓词包括：所述网络流量的五元组、客户端主机地址、服务端主机地址、所述网络流量包含的字节数、所述网络流量包含的网络流量包数、所述网络流量的出现时间、所述网络流量的五元组建立连接、所述网络流量的开始时间和终止时间，其中，所述网络流量的五元组包括：网络流量的源地址、目的地址、源端口、目的端口和传输层协议；所述基本谓词的论元，表示所述基本谓词所表示的网络流量中的通信参数。可选的，所述扩展谓词包括：所述网络流量包含的所述网络流量包的间隔时间序列、所述网络流量包的长度序列、所述网络流量的特征串、所述网络流量中某一地址的地理位置、所述网络流量在预定方向上的熵、所述网络流量的重置时间；所述扩展谓词的论元，表示所述扩展谓词所表示的网络流量中的通信参数。可选的，所述预定事件语义学方法为新戴维森事件语义学方法。可选的，所述网络流量之间的所述语义关系包括：顺承关系、并发关系、因果关系和条件关系。本发明提供的网络流量表示的方法及装置，方法包括：采用预设谓词及其论元，按预定事件语义学方法表示网络流量的语义，并根据网络流量的语义，定义网络流量与其它网络流量之间的关系，再根据上述关系，按照预定特征生成网络流量的集合，最后根据网络流量的集合，确定网络流量对应的通信主体的运行情况。该方法通过定义网络流量产生有关的谓词和论元，并采用预定的语义学方法对网络流量进行语义表示，根据网络流量的语义及语义关系形成网络流量的集合来表示通信主体的运行情况，该方法可以对网络流量从合适粒度进行准确的表示，并且表示形式较为简单，解决了现有技术的如下问题：现有的网络流量的表示方法粒度不合适。附图说明图1是本发明第一实施例中网络流量表示的方法的流程图；图2是本发明第二实施例中网络流量表示的装置的结构示意图；图3是本发明第三实施例中网络流量表示的方法的流程图。具体实施方式为了解决现有技术的如下问题：现有的网络流量的表示方法粒度不合适。本发明第一实施例提供了一种网络流量表示的方法，该方法的流程图如图1所示，包括步骤s102至s108：s102，采用预设基本谓词、预设基本谓词的论元、预设扩展谓词以及预设扩展谓词的论元，按预定事件语义学方法表示网络流量的语义。谓词是指用来描述或判定客体性质、特征或者客体之间关系的词项，跟谓词搭配的名词称为论元，在本实施例中，对于网络流量来说，将网络流量看做事件，就可以定义一组谓词来描述产生这个网络流量对应的通信动作，并以论元来描述网络流量中相应的通信参数。s104，根据网络流量的语义，定义网络流量与其它网络流量之间的语义关系。在表示出了一系列网络流量的语义之后，会根据每一个网络流量的表示出的语义，定义网络流量和其它网络流量之间的关系。s106，根据网络流量的语义和网络流量与其它网络流量之间的语义关系，按照预定特征生成网络流量的集合。网络流量的集合中，包括具有语义上关系的一系列网络流量。本实施例中的预定特征可以是时间，也可以是空间，即可以对一定时间范围内的网络流量生成集合，也可以根据网络流量中的ip地址对应的地域范围生成集合。s108，根据网络流量的集合，确定网络流量对应的通信主体的运行情况。上述步骤生成的网络流量集合，可以是一个通信主体在不同情况下产生的不同的网络流量形成的集合，因此根据生成的网络流量的集合，可以确定网络流量对应的通信主体的运行情况。此外，本实施例中还对网络流量的谓词和论元进行了定义，具体定义如下：基本谓词至少可以包括：网络流量对应的五元组、客户端主机地址、服务端主机地址、网络流量包含的字节数、网络流量包含的网络流量包数、网络流量的出现时间、网络流量的五元组建立连接、网络流量的开始时间和终止时间，在本实施例中，网络流量的五元组包括：网络流量的源地址、目的地址、源端口、目的端口和传输层协议。此外，基本谓词的论元表示基本谓词所表示的网络流量中的通信参数。例如，客户端主机地址的论元，就是在具体的客户主机端产生的网络流量中，客户端主机对应的具体的网络地址。另外，除了基本谓词之外，本实施例中的扩展谓词至少包括：网络流量包含的网络流量包的间隔时间序列、网络流量包的长度序列、网络流量的特征串、网络流量中某一地址的地理位置、网络流量在预定方向上的熵、网络流量的重置时间。其中，网络流量就是具有相同五元组的网络流量包的序列所组成的，扩展谓词针对网络流量中基本的组成部分进行了定义，并且在本实施例中，网络流量的预定方向是指由客户端到服务端或者由服务端到客户端，网络流量的重置时间是指网络流量在某一时刻被重置。扩展谓词的论元，表示扩展谓词所表示的网络流量中的通信参数。为使对网络流量的语义表示结构清晰，本实施例中所采用的事件语义学方法是新戴维森时间语义学方法，该方法对应一种谓词论元结构，可以清楚的表示网络流量的语义。此外，在本实施例中，网络流量之间的语义关系至少包括：顺承关系、并发关系、因果关系和条件关系。本实施例提供的网络流量表示的方法，采用预设谓词及其论元，按预定事件语义学方法表示网络流量的语义，并根据网络流量的语义，定义网络流量与其它网络流量之间的关系，再根据上述关系，按照预定特征生成网络流量的集合，最后根据网络流量的集合，确定网络流量对应的通信主体的运行情况。该方法通过定义网络流量产生有关的谓词和论元，并采用预定的语义学方法对网络流量进行语义表示，根据网络流量的语义及语义关系形成网络流量的集合来表示通信主体的运行情况，该方法可以对网络流量进行准确的表示，并且表示形式较为简单，解决了现有技术的如下问题：现有的网络流量的表示方法粒度不合适。本发明第二实施例提供一种网络流量表示的装置，该装置的结构示意图如图2所示，包括：表示模块10，用于采用预设基本谓词、预设基本谓词的论元、预设扩展谓词以及预设扩展谓词的论元，按预定事件语义学方法表示网络流量的语义；定义模块20，与表示模块10耦合，用于根据网络流量的语义，定义网络流量与其它网络流量之间的语义关系；集合生成模块30，与定义模块20耦合，用于根据网络流量的语义和网络流量与其它网络流量之间的语义关系，按照预定特征生成网络流量的集合；确定模块40，与集合生成模块耦合，用于根据网络流量的集合，确定网络流量对应的通信主体的运行情况。在表示模块中，谓词是指用来描述或判定客体性质、特征或者客体之间关系的词项，跟谓词搭配的名词称为论元，在本实施例中，对于网络流量来说，将网络流量看做事件，就可以定义一组谓词来描述产生这个网络流量对应的通信动作，并以论元来描述网络流量中相应的通信参数。进一步，在表示出了一系列网络流量的语义之后，会根据每一个网络流量的表示出的语义，定义模块会用于定义网络流量和其它网络流量之间的关系。进一步，集合生成模块会根据网络流量的语义和网络流量与其它网络流量之间的语义关系，按照预定特征生成网络流量的集合。网络流量的集合中，包括具有语义关系的一系列网络流量。本实施例中的预定特征可以是时间，也可以是空间，即可以对一定时间范围内的网络流量生成集合，也可以根据网络流量中的ip地址对应的地域范围生成集合。最后，确定模块会根据网络流量的集合，确定网络流量对应的通信主体的运行情况。通过集合生成模块所生成的网络流量集合，可以是一个通信主体在不同情况下产生的不同的网络流量形成的集合，因此根据生成的网络流量的集合，可以确定网络流量对应的通信主体的运行情况。此外，本实施例中还对网络流量的谓词和论元进行了定义，具体定义如下：基本谓词至少可以包括：网络流量对应的五元组、客户端主机地址、服务端主机地址、网络流量包含的字节数、网络流量包含的网络流量包数、网络流量的出现时间、网络流量的五元组建立连接、网络流量的开始时间和终止时间，在本实施例中，网络流量的五元组包括：网络流量的源地址、目的地址、源端口、目的端口和传输层协议。此外，基本谓词的论元表示基本谓词所表示的网络流量中的通信参数。例如，客户端主机地址的论元，就是在具体的客户主机端产生的网络流量中，客户端主机对应的具体的网络地址。另外，除了基本谓词之外，本实施例中的扩展谓词至少包括：网络流量包含的网络流量包的间隔时间序列、网络流量包的长度序列、网络流量的特征串、网络流量中某一地址的地理位置、网络流量在预定方向上的熵、网络流量的重置时间。其中，网络流量就是具有相同五元组的网络流量包的序列所组成的，扩展谓词针对网络流量中基本的组成部分进行了定义，并且在本实施例中，网络流量的预定方向是指由客户端到服务端或者由服务端到客户端，网络流量的重置时间是指网络流量在某一时刻被重置。扩展谓词的论元，表示扩展谓词所表示的网络流量中的通信参数。为使对网络流量的语义表示结构清晰，本实施例中所采用的事件语义学方法是新戴维森时间语义学方法，该方法对应一种谓词论元结构，可以清楚的表示网络流量的语义。此外，在本实施例中，网络流量之间的语义关系至少包括：顺承关系、并发关系、因果关系和条件关系。本发明第二实施例提供的网络流量表示的装置，表示模块采用预设谓词及其论元，按预定事件语义学方法表示网络流量的语义，定义模块根据网络流量的语义，定义网络流量与其它网络流量之间的关系，集合生成模块根据上述关系，按照预定特征生成网络流量的集合，确定模块最后根据网络流量的集合，确定网络流量对应的通信主体的运行情况。该装置通过定义网络流量产生有关的谓词和论元，并采用预定的语义学方法对网络流量进行语义表示，根据网络流量的语义及语义关系形成网络流量的集合来表示通信主体的运行情况，该装置可以对网络流量进行准确的表示，并且表示形式较为简单，解决了现有技术的如下问题：现有的网络流量的表示装置表示网络流量的粒度不合适。本发明第三实施例提供了一种网络流量表示的方法，该方法的流程图如图3所示，包括步骤s302至s308：s302，表示网络流量的语义。本实施例中，采用预设基本谓词、预设基本谓词的论元、预设扩展谓词以及预设扩展谓词的论元，按预定事件语义学方法表示网络流量的语义。其中，谓词是指用来描述或判定客体性质、特征或者客体之间关系的词项，跟谓词搭配的名词称为论元，在本实施例中，对于网络流量来说，将网络流量看做事件，就可以定义一组谓词来描述产生这个网络流量对应的通信动作，并以论元来描述网络流量中相应的通信参数。本实施例中对网络流量的谓词和论元进行了定义，具体定义如表1所示，基本谓词的论元是基本谓词之后括号中的部分，其具体内容与具体的网络流量有关。表1谓词(论元)说明ip_addrsource(ip1)源地址ip1ip_addrdest(ip1)目的地址ip1portsource(pt1)源端口pt1portdest(pt1)目的端口pt1proto(pr1)协议pr1hostclient(ip)客户端主机iphostserver(ip)服务端主机ipcountbytes(cb1)字节计数cb1countpkts(cp1)包计数cp1time(t1)网流的出现时间为t1connect(f1)网流f1以相应的五元组建立连接time(f1,st1,et1)网流f1的起止时间分别为st1和et1基本谓词至少可以包括：网络流量对应的五元组、客户端主机地址、服务端主机地址、网络流量包含的字节数、网络流量包含的网络流量包数、网络流量的出现时间、网络流量的五元组建立连接、网络流量的开始时间和终止时间，在本实施例中，网络流量的五元组包括：网络流量的源地址、目的地址、源端口、目的端口和传输层协议。此外，基本谓词的论元表示基本谓词所表示的网络流量中的通信参数。例如，客户端主机地址的论元，就是在具体的客户主机端产生的网络流量中，客户端主机对应的具体的网络地址。另外，除了基本谓词之外，本实施例中的扩展谓词如表2所示，扩展谓词的论元是扩展谓词之后括号中的部分，其具体内容与具体的网络流量有关，至少包括：网络流量包含的网络流量包的间隔时间序列、网络流量包的长度序列、网络流量的特征串、网络流量中某一地址的地理位置、网络流量在预定方向上的熵、网络流量的重置时间。其中，网络流量就是具有相同五元组的网络流量包的序列所组成的，扩展谓词针对网络流量中基本的组成部分进行了定义，并且在本实施例中，网络流量的预定方向是指由客户端到服务端或者由服务端到客户端，网络流量的重置时间是指网络流量在某一时刻被重置。扩展谓词的论元，表示扩展谓词所表示的网络流量中的通信参数。表2进一步，为使对网络流量的语义表示结构清晰，本实施例中所采用的事件语义学方法是新戴维森时间语义学方法，该方法对应一种谓词论元结构，可以清楚的表示网络流量的语义。例如，网络流量实现了客户端sip以tcp协议建立连接，用本实施例的语义表示方法可以表示为：s304，根据网络流量的语义，定义网络流量之间的语义关系。在表示出了一系列网络流量的语义之后，会根据每一个网络流量的表示出的语义，定义网络流量和其它网络流量之间的关系。在本实施例中，网络流量之间的语义关系至少包括：顺承关系、并发关系、因果关系和条件关系。对于表示网络流量之间的关系，本实施例中具体是指：对于两个网络流量表示的事件e1和e2，如果e1在时序上于e2之前发生，则称e1和e2之间满足顺承关系，记为e1→e2；如果e1和e2都在某个特定时间窗口w内发生，则称e1和e2满足并发关系，记为e1↑↑e2；如果正是因为的e1发生，e2才发生，则称e1和e2满足因果关系，记为如果只有e1发生，才会导致e2发生，则称e1和e2满足条件关系，本实施例中可以记为e1↗e2。例如，设网络流量s1表示的事件为：ip地址为sip的客户端向ip地址为dip的域名服务器发起dns请求，网络流量s2表示的事件为：ip地址为sip的客户端收到ip地址为dip的域名服务器返回的dns应答，则网络流量s1表示为：网络流量s2表示为：且s1和s2满足因果关系，记为例如，网络流量s1实现了ip地址为sip的客户端访问web服务器dip，有还有网络流量s2实现了dip下载web页面的同时，同时从另一web服务器dip2以并发网络流下载某个图片，则有：且s1和s2满足并发关系，记为s1↑↑s2。s306，根据网络流量的语义和网络流量之间的语义关系，按照预定特征生成网络流量的集合。网络流量的集合中，包括具有语义上关系的一系列网络流量。本实施例中的预定特征可以是时间，也可以是空间，即可以对一定时间范围内的网络流量生成集合，也可以根据网络流量中的ip地址对应的地域范围生成集合。s308，根据网络流量的集合，确定网络流量对应的通信主体的运行情况。上述步骤生成的网络流量集合，可以是一个通信主体在不同情况下产生的不同的网络流量形成的集合，因此根据生成的网络流量的集合，可以确定网络流量对应的通信主体的运行情况。例如，设存在网络流量集合s，有集合集合t表示的是服务端主机在一定时间范围内产生的网络流量的情况。另外，设存在网络流量集合s，有集合则集合p服务端主机在其ip地址对应的地理范围内产生的网络流量的情况。本实施例提供的网络流量表示的方法，采用预设谓词及其论元，按预定事件语义学方法表示网络流量的语义，并根据网络流量的语义，定义网络流量与其它网络流量之间的关系，再根据上述关系，按照预定特征生成网络流量的集合，最后根据网络流量的集合，确定网络流量对应的通信主体的运行情况。该方法通过定义网络流量产生有关的谓词和论元，并采用预定的语义学方法对网络流量进行语义表示，根据网络流量的语义及语义关系形成网络流量的集合来表示通信主体的运行情况，该方法可以对网络流量进行准确的表示，并且表示形式较为简单，解决了现有技术的如下问题：现有的网络流量的表示方法粒度不合适。尽管为示例目的，已经公开了本发明的优选实施例，本领域的技术人员将意识到各种改进、增加和取代也是可能的，因此，本发明的范围应当不限于上述实施例。当前第1页12