【技术实现步骤摘要】
一种确定数据流信息的方法、装置及系统
[0001]相关申请的交叉引用
[0002]本申请要求在2020年11月13日提交中国专利局、申请号为202011271196.X、申请名称为“一种挖掘互访模式的方法、装置和系统”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
[0003]本申请涉及通信
,尤其涉及一种确定数据流信息的方法、装置及系统。
技术介绍
[0004]随着通信领域的业务越来越多样化和复杂化,不同类型的终端设备数量在不断增加,导致网络的可信边界越来越模糊化。这些终端设备由于分布范围广、接入地点分散,难于集中管理,很可能作为攻击者的跳板对网络进行攻击,实现非法目的,造成严重的经济损失。
[0005]具体的,终端设备通过数据报文与服务器进行交互,以请求服务。对应的,服务器向终端设备发送数据报文以提供服务或发送反馈响应。终端和服务器之间交互的一组数据报文统称为一条数据流。
技术实现思路
[0006]本申请提供一种确定数据流信息的方法、装置及系统,用以挖掘实际在网络...
【技术保护点】
【技术特征摘要】
1.一种确定数据流信息的方法,应用于第一设备,其特征在于,包括:获取第一时间段内的多个数据流的流参数;所述流参数包括:协议类型、终端端口号、服务器IP地址、服务器端口号;根据至少一个预设访问模式的流参数规则和所述多个数据流的流参数,得到至少一个数据流组;每个数据流组内的数据流之间的关系满足一个预设访问模式的流参数规则;确定每一个数据流组的组参数;所述组参数包括服务器IP地址、服务器端口号范围、终端端口号范围、协议类型;其中,所述数据流组的组参数是根据所述数据流组包括的数据流的流参数确定的。2.如权利要求1所述的方法,其特征在于,所述组参数用于识别异常数据流或用于确定安全规则,所述安全规则用于控制数据流转发。3.如权利要求1所述的方法,其特征在于,所述组参数还包括下列中的部分或全部:终端IP地址集合、数据流的流数、时间模式信息、访问模式标识、流支持度、设备访问支持度;其中,终端IP地址集合包括所述数据流组内的数据流对应的不同的终端IP地址;数据流的流数是指所述数据流组包含的数据流的数量;时间模式信息用于指示所述数据流组所属的预设时间模式,其中,不同的预设时间模式与预设时间范围一一对应;访问模式标识用于标识数据流组所属的预设访问模式;所述流支持度是根据所述数据流组的所述数据流的数量与所述第一时间段内的数据流的总数确定的;所述设备访问支持度是根据所述数据流组对应的终端的数量与所述第一时间段内的数据流对应的终端的总数量确定的。4.如权利要求1
‑
3任一项所述的方法,其特征在于,所述至少一个预设访问模式包括下列模式中的一个或多个:第一访问模式、第二访问模式、第三访问模式;其中,属于所述第一访问模式的数据流组内的数据流之间的关系满足第一流参数规则,所述第一流参数规则包括:所述数据流组内的数据流的协议类型相同,终端端口号不完全相同,服务器端口号相同,服务器IP地址相同;或所述数据流组内的数据流的协议类型相同,终端端口号不完全相同,服务器端口号相同,服务器IP地址属于同一预设IP地址组;属于所述第二访问模式的数据流组内的数据流之间的关系满足第二流参数规则,所述第二流参数规则包括:所述数据流组内的数据流的协议类型相同,服务器端口号不完全相同,终端端口号相同,服务器IP地址相同;或所述数据流组内的数据流的协议类型相同,服务器端口号不完全相同,终端端口号相同,服务器IP地址属于同一预设IP地址组;属于所述第三访问模式内的数据流组内的数据流之间的关系满足第三流参数规则,所述第三流参数规则包括:所述数据流组内的数据流的协议类型相同,服务器端口号不完全相同,终端端口号不完全相同,服务器IP地址相同;或所述数据流组内的数据流的协议类型相同,服务器端口号不完全相同,终端端口号不完全相同,服务器IP地址属于同一预设IP地址组。5.如权利要求4所述的方法,其特征在于,所述至少一个预设访问模式包括所述第一访问模式和所述第二访问模式;所述根据至少一个预设访问模式的流参数规则和所述多个数据流的流参数,得到至少一个数据流组,包括:基于所述第一时间段内的多个数据流的流参数,确定属于所述第一访问模式的数据流组,基于剩余的数据流的流参数确定属于所述第二访问模式的数据流组。
6.如权利要求5所述的方法,其特征在于,所述第一设备为管理设备;所述至少一个预设访问模式还包括所述第三访问模式;该方法还包括:基于所述第一时间段内的多个数据流中除去属于所述第一访问模式以及属于所述第二访问模式的数据流组的数据流之外的数据流,确定属于所述第三访问模式的数据流组。7.如权利要求4
‑
6任一项所述的方法,其特征在于,所述第一设备为转发设备或为旁挂在所述转发设备上的设备;该方法还包括:获取基于多个时间段内的数据流的流参数确定的多个数据流组的组参数;所述多个时间段包括所述第一时间段;将所述多个数据流组中的至少两个数据流组合并,根据所述至少两个数据流组的组参数确定合并后的数据流组的组参数;其中,所述至少两个数据流组中的数据流之间的关系满足所述第一流参数规则或所述第二流参数规则。8.如权利要求7所述的方法,其特征在于,该方法还包括:获取所述多个时间段内的第一数据流的流参数,所述第一数据流为所述多个时间段内的多个数据流中不属于所述多个时间段内的任一数据流组的数据流;当确定所述第一数据流与所述多个时间段内的一个数据流组中的数据流之间的关系满足所述第一流参数规则或所述第二流参数规则时,将所述第一数据流加入所述数据流组,并根据所述第一数据流的流参数更新所述数据流组的组参数。9.如权利要求1
‑
5、7和8任一项所述的方法,其特征在于,所述第一设备为转发设备或为旁挂在所述转发设备上的设备;该方法还包括:向管理设备发送所述第一设备所确定的数据流组的组参数。10.如权利要求1
‑
6任一项所述的方法,其特征在于,所述第一设备为管理设备,所述第一时间段内的多个数据流的流参数来自多个第二设备,所述多个第二设备包括转发设备和/或为旁挂在所述转发设备上的设备。11.如权利要求2所述的方法,其特征在于,所述第一设备为管理设备;所述管理设备存储有历史数据流组的组参数;该方法还包括:接收第三设备发送的查询请求;所述查询请求用于指示查询条件,所述查询条件包括流支持度阈值和/或设备访问支持度阈值;从所述历史数据流组的组参数中确定目标组参数,所述目标组参数的流支持度满足所述流支持度阈值和/或设备访问支持度满足所述设备访问支持度阈值;向所述第三设备发送所述目标组参数。12.如权利要求1
‑
5、7
‑
9任一项所述的方法,其特征在于,所述转发设备为交换机或路由器或虚拟专用网络VPN设备。13.一种确定数据流信息的方法,其特征在于,该方法包括:获取目标数据流组的组参数,所述组参数包括服务器IP地址、服务器端口号范围、终端端口号范围、协议类型;根据所述组参数确定安全规则,所述安全规则包括黑名单和/或白名单;所述黑名单用于指示需要被拦截的数据流,所述白名单用于指示需要被转发的数据流。
14.如权利要求13所述的方法,其特征在于,所述目标数据流组的流支持度高于第一阈值或设备访问支持度高于第二阈值;所述组参数用于确定所述白名单;或者,所述目标数据流组的流支持度低于第三阈值或设备访问支持度低于第四阈值,所述组参数用于确定所述黑名单。15.一种确定数据流信息的系统,包括至少一个第一设备及至少一个管理设备,其特征在于:所述第一设备获取第一时间段内的多个数据流的流参数,并基于至少一个预设访问模式的流参数规则和所述多个数据流的流参数,得到至少一个数据流组;确定每一个数据流组的组参数,并将所述第一时间段的统计结果发送至管理设备,所述统计结果包括确定的所述至少一个数据流组的组参数;其中,所述流参数包括:协议类型、终端端口号、服务器IP地址、服务器端口号;所述组参数包括:服务器IP地址、服务器端口号范围、终端端口号范围、协议类型;每个所述预设访问模式与一组预设的流参数规则相对应;所述管理设备接收多个统计结果,所述多个统计结果来自一个或多个第一设备。16.如权利要求15所述的系统,其特征在于,所述至少一个预设访问模式包括下列模式中的一个或多个:第一访问模式、第二访问模式、第三访问模式;其中,属于所述第一访问模式的数据流组内的数据流之间的关系满足第一流参数规则,所述第一流参数规则包括:所述数据流组内的数据流的协议类型相同,终端端口号不完全相同,服务器端口号相同,服务器IP地址相同;或所述数据流组内的数据流的协议类型相同,终端端口号不完全相同,服务器端口号相同,服务器IP地址属于同一预设IP地址组;属于所述第二访问模式的数据流组内的数据流之间的关系满足第二流参数规则,所述第二流参数规则包括:所述数据流组内的数据流的协议类型相同,服务器端口号不完全相同,终端端口号相同,服务器IP地址相同;或所述数据流组内的数据流的协议类型相同,服务器端口号不完全相同,终端端口号相同,服务器IP地址属于同一预设IP地址组;属于所述第三访问模式内的数据流组内的数据流之间的关系满足第三流参数规则,所述第三流参数规则包括:所述数据流组内的数据流的协议类型相同,服务器端口号不完全相同,终端端口号不完全相同,服务器IP地址相同;或所述数据流组内的数据流的协议类型相同,服务器端口号不完全相同,终端端口号不完全相同,服务器IP地址属于同一预设IP地址组。17.如权利要求16所述的系统,其特征在于,所述管理设备基于第二时间段内的多个统计结果,将所述多个统计结果中的至少两个数据流组合并,根据所述至少两个数据流组中组参数确定合并后的数据流组的组参数;其中,所述第二时间段包含所述第一时间段,所述至少两个数据流组中的数据流之间的关系满足同一所述预设的流参数规则;所述至少两个数据流组属于所述第一访问模式或所述第二访问模式。18.如权利要求16所述的系统,其特征在于,所述至少一个预设访问模式还包括所述第三访问模式;所述统计结果还包括所述第一时间段内未被划分为任一数据流组的零散数据流;管理设备将所述多个统计结果中的一个或多个零散数据流加入目标数据流组,根据所述一个或多个零散数据流的流参数更新所述目标数据流组的组参数;其中,所述目标数据流组内的数据流与所述一个或多个零散数据流之间的关系满足同一所述预设的流参数规
则;所述目标数据流组属于所述第一访问模式或所述第二访问模式;管理设备基于剩余的零散数据流,确定属于所述第三访问模式的数据流组。19.一种确定数据流信息的系统,包括至少一个第一设备及至少一个管理设备,其特征在于:所述第一设备向所述管理设备发送第一时间段内的多个数据流的流参数;所述流参数包括:协议类型、终端端口号、服务器IP地址、服务器端口号...
【专利技术属性】
技术研发人员:薛莉,徐威旺,张亮,程剑,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。