一种网络流向识别方法、设备及介质与流程

本发明涉及计算机网络安全领域，尤其涉及一种网络流向识别方法、设备及介质。

背景技术：

1、随着网络未知应用呈爆炸式发展，使未知流量数量激增，与此同时海量未知流量带来的隐患不容忽视。在大型区域网络进出口边界的各类网络流量分析场景中，分析系统均需要通过有效的流量方向判断来解决网络威胁或数据泄露等网络安全问题。

2、相关技术中，主要通过局域网互联网协议(internet protocol，ip)地址、内部网络资产的物理(media access control(媒体接入控制)，mac)地址或ip地址以及mac学习的流量方向三种方式来判断网络流量的方向。但上述三种判断方式对应用的网络环境具有较高的标准，当网络边界两侧均包含公网地址、内部资产地址较多，或者可学习流量较少的情况下，则无法有效判断网络流量的方向。因此，如何高效、准确地判断网络边界和识别网络流量方向是当前各类流量分析系统普遍面临的技术问题。

技术实现思路

1、有鉴于此，本发明提出了一种网络流向识别方法、设备及介质，解决了网络流量分析过程中无法有效判断网络流量方向的问题，实现了较好的网络环境应变能力，降低了维护成本，提升了网络流量方向识别的准确率及效率。

2、基于上述目的，本发明实施例的一方面提供了一种网络流向识别方法，具体包括如下步骤：

3、获取全部接入流量的mac地址，并获取所述mac地址之间的通联关系；

4、基于所述mac地址以及所述通联关系，建立至少一个mac地址二分图；

5、分别在各mac地址二分图对应的接入流量中筛选具有确定性流量方向的第一流量；

6、基于所有mac地址二分图以及各mac地址二分图对应的第一流量，识别全部接入流量的流量方向。

7、在一些实施方式中，所述基于所述mac地址以及所述通联关系，建立至少一个mac地址二分图的步骤，包括：

8、将所述mac地址作为节点，所述通联关系作为连接线，建立至少一个mac地址二分图。

9、在一些实施方式中，所述分别在各mac地址二分图对应的接入流量中筛选具有确定性流量方向的第一流量的步骤，包括：

10、根据应用场景，建立包含至少一条识别策略的局部流量方向判断库；

11、基于所述局部流量方向判断库中的识别策略，分别在各mac地址二分图对应的接入流量中筛选出具有确定性流量方向的第一流量。

12、在一些实施方式中，所述基于所有mac地址二分图以及各mac地址二分图对应的第一流量，识别全部接入流量的流量方向的步骤，包括：

13、针对每个mac地址二分图，将其中包括的全部mac地址划分为位于两个不同网络区域的第一mac地址集合和第二mac地址集合，并确定相应的第一流量的第一流量方向；

14、基于每个mac地址二分图的第一流量方向、第一mac地址集合和第二mac地址集合，识别每个所述mac地址二分图分别对应的接入流量的流量方向；

15、基于全部所述mac地址二分图分别对应的接入流量的流量方向，得到全部接入流量的流量方向。

16、在一些实施方式中，所述基于每个mac地址二分图的第一流量方向、第一mac地址集合和第二mac地址集合，识别每个所述mac地址二分图分别对应的接入流量的流量方向的步骤，包括：

17、针对每个mac地址二分图，基于并查集算法，建立第一mac地址集合的第一mac地址并查集，以及建立第二mac地址集合的第二mac地址并查集；

18、获取各mac地址二分图中第一流量对应的外网mac地址和内网mac地址，并基于第一mac地址并查集与第二mac地址并查集，确定所述外网mac地址和所述内网mac地址分别与对应mac地址二分图中第一mac地址集合和第二mac地址集合的匹配关系，并确定第一流量方向为内联方向或外联方向；

19、基于所述匹配关系以及第一流量方向为内联方向或外联方向，识别每个所述mac地址二分图分别对应的接入流量的流量方向。

20、在一些实施方式中，所述基于所述匹配关系以及第一流量方向为内联方向或外联方向，识别每个所述mac地址二分图分别对应的接入流量的流量方向的步骤，包括：

21、针对每个所述mac地址二分图，若第一流量方向为外联方向，并且外网mac地址位于第一mac地址集合和/或内网mac地址位于第二mac地址集合，将所述mac地址二分图对应的接入流量的流量方向标注为由第二mac地址集合流向第一mac地址集合。

22、在一些实施方式中，所述基于所述匹配关系以及第一流量方向为内联方向或外联方向，识别每个所述mac地址二分图分别对应的接入流量的流量方向的步骤，包括：

23、针对每个所述mac地址二分图，若第一流量方向为外联方向，并且内网mac地址位于第一mac地址集合和/或外网mac地址位于第二mac地址集合，将所述mac地址二分图对应的接入流量的流量方向标注为由第一mac地址集合流向第二mac地址集合。

24、在一些实施方式中，所述基于所述匹配关系以及第一流量方向为内联方向或外联方向，识别每个所述mac地址二分图分别对应的接入流量的流量方向的步骤，包括：

25、针对每个所述mac地址二分图，若第一流量方向为内联方向，并且外网mac地址位于第一mac地址集合和/或内网mac地址位于第二mac地址集合，将所述mac地址二分图对应的接入流量的流量方向标注为由第一mac地址集合流向第二mac地址集合。

26、在一些实施方式中，所述基于所述匹配关系以及第一流量方向为内联方向或外联方向，识别每个所述mac地址二分图分别对应的接入流量的流量方向的步骤，包括：

27、针对每个所述mac地址二分图，若第一流量方向为内联方向，并且内网mac地址位于第一mac地址集合和/或外网mac地址位于第二mac地址集合，将所述mac地址二分图对应的接入流量的流量方向标注为由第二mac地址集合流向第一mac地址集合。

28、本发明实施例的又一方面，还提供了一种计算机设备，包括：至少一个处理器；以及存储器，所述存储器存储有可在所述处理器上运行的计算机程序，所述计算机程序由所述处理器执行时实现如上方法的步骤。

29、本发明实施例的再一方面，还提供了一种计算机可读存储介质，计算机可读存储介质存储有被处理器执行时实现如上方法步骤的计算机程序。

30、本发明至少具有以下有益技术效果：预先分析接入的所有流量的mac地址及其通联关系，形成至少一个mac地址二分图，能够快速将所有流量的mac地址进行集合或划分，同时在每个mac地址二分图对应的接入流量中筛选出可识别流量方向的第一流量，基于各个mac地址二分图的第一流量以及所有mac地址二分图，实现快速识别全局网络流量的流量方向的目的，形成针对全局流量的流量方向判断能力，降低全局网络流向识别的维护成本的同时，提升了全局网络流向识别的准确率及效率。