【技术实现步骤摘要】
本专利技术涉及流量监测领域,尤其涉及一种基于模式匹配的内网域异常流量监测方法及装置。
技术介绍
1、在真实内网域环境中,流量数据庞大,类型繁杂。考虑到流量数据的特征,为了进行数据类型的提取和分类,通常采用字符串匹配的方式。实现时,通常采用程序代码实现逻辑匹配,并且与高吞吐量的实时消息中间件,如kafka等,配合使用。然而,这种方式与其它业务高度耦合,内存占用较高,当内存不足时匹配速度会变慢,严重影响数据的时效性,此外,它还会挤压其它业务的空间,使得项目更容易崩溃,导致数据匹配中断,产生数据堆积和数据过时。
技术实现思路
1、本专利技术的目的就在于为了解决上述问题设计了一种基于模式匹配的内网域异常流量监测方法及装置。
2、本专利技术通过以下技术方案来实现上述目的:
3、基于模式匹配的内网域异常流量监测方法,包括:
4、s1、获取流量数据;
5、s2、编写n种匹配模式,一种匹配模式用于流量数据的一种异常类型的匹配;
6、s3、根据n种匹配模式对获取的流量数据进行异常匹配,得到匹配结果;
7、s4、根据匹配结果输出至后续程序。
8、基于模式匹配的内网域异常流量监测装置,包括:
9、获取模块;获取模块用于获取流量数据;
10、配制模块;配制模块用于编写n种匹配模式,一种匹配模式用于流量数据的一种异常类型的匹配;
11、匹配模块;匹配模块用于流量数据与匹配模式的匹配分析并得
12、n个输出端;输出端用于根据匹配结果输出数据,一个输出端对应一种匹配模式的匹配输出。
13、本专利技术的有益效果在于:该方法使用分布式实时数据处理引擎通过动态脚本语言编写规则,相较于传统的方式,使用分布式引擎可以与项目解耦,同时针对数据流的大小不同,这种方式也具有更好的可扩展性;此方法基于模式匹配针对输入数据流进行实时匹配,对于匹配命中的数据根据相应的规则输出到所需的输出源,相较于传统的匹配方式,这种基于模式匹配的监测方法可以针对上下文进行更加精准的匹配,同时由于其高度模块化的特性,使得这种匹配方式具有更加灵活和更加多样的匹配方式,配合分布式计算引擎的流式数据传输特性,从而达到快速对内网域流量进行匹配的目的;
14、基于模式匹配的监测方法可以针对上下文进行更加精准的匹配,同时由于其高度模块化的特性,使得这种匹配方式具有更加灵活和更加多样的匹配方式,且由于监测任务通过分布式计算引擎运行,该引擎独立于项目运行,因此不与后台程序耦合,输入源、输出源以及匹配规则均为脚本语言编写,可以支持动态更改,即便后台服务中断,已提交到数据处理引擎的任务也不受影响;由于计算引擎可进行实时数据输入、输出的特性,从而使得本方法可以更加快速的对实时数据进行匹配和分流。
本文档来自技高网...【技术保护点】
1.基于模式匹配的内网域异常流量监测方法,其特征在于,包括:
2.根据权利要求1所述的基于模式匹配的内网域异常流量监测方法,其特征在于,编写n种匹配模式后,对n种匹配模式进行优先级排序,进行异常匹配时,获取的流量数据根据排序依次与n种匹配模式进行异常匹配,直到匹配命中或全部均未命中。
3.根据权利要求2所述的基于模式匹配的内网域异常流量监测方法,其特征在于,在S2中,利用Rabin-Karp算法计算n种匹配模式的Hash值。
4.根据权利要求3所述的基于模式匹配的内网域异常流量监测方法,其特征在于,在S3中包括:
5.根据权利要求1所述的基于模式匹配的内网域异常流量监测方法,其特征在于,根据匹配结果输出流量数据具体为,有n个输出端口,第i个输出端口对应第i个匹配模式。
6.根据权利要求2所述的基于模式匹配的内网域异常流量监测方法,其特征在于,模式匹配算法根据现有的n种数据类型,编写对应的n个匹配模式。
7.基于模式匹配的内网域异常流量监测装置,其特征在于,包括:
【技术特征摘要】
1.基于模式匹配的内网域异常流量监测方法,其特征在于,包括:
2.根据权利要求1所述的基于模式匹配的内网域异常流量监测方法,其特征在于,编写n种匹配模式后,对n种匹配模式进行优先级排序,进行异常匹配时,获取的流量数据根据排序依次与n种匹配模式进行异常匹配,直到匹配命中或全部均未命中。
3.根据权利要求2所述的基于模式匹配的内网域异常流量监测方法,其特征在于,在s2中,利用rabin-karp算法计算n种匹配模式的hash值。
4.根据...
【专利技术属性】
技术研发人员:袁伟,邓金详,代先勇,俞祥基,唐柯虎,杨岭铺,胡浩,杨涛,潘俊杰,
申请(专利权)人:成都锋卫科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。