一種確定待清洗數據流的方法及裝置的制造方法
【專利摘要】本發明實施例公開了一種確定待清洗數據流的方法及裝置。本發明實施例中,首先獲取待處理數據流,將待處理數據流中目的端口相同的數據流確定為一個子數據流,并根據各個所述子數據流的目的端口,確定各個所述子數據流的標簽;獲取異常數據流的標簽后,在所述子數據流的標簽與所述異常數據流的標簽相同的情況下,將所述子數據流確定為待清洗數據流;其中,所述異常數據流是根據各個所述子數據流以及各個所述子數據流對應的目的端口的歷史數據流統計得到的。本發明實施例可實現對待處理數據流進行精準地清洗,減輕清洗設備的性能壓力,有效地提升清洗設備的處理效率。
【專利說明】
一種確定待清洗數據流的方法及裝置
技術領域
[0001] 本發明涉及通信技術領域,尤其涉及一種確定待清洗數據流的方法及裝置。
【背景技術】
[0002] 隨著互聯網業務的飛速發展以及寬帶網絡的快速普及,越來越多的人開始使用網 絡業務,享受著互聯網時代所帶來的便利與變革。但同時,由于用戶安全意識薄弱,使用的 智能嵌入式設備(路由器等)防護不到位,存在弱口令或安全漏洞,給黑客制造了可乘之機。 目前出現較多的是帶有后門、攻擊者可以遠程控制被感染的機器的惡意軟件,被這種惡意 軟件感染的機器通常被稱為"bot",被感染機器組成的受控網絡常被稱為"botnet",即僵尸 網絡,控制僵尸網絡的攻擊者被稱為botmaster。如圖1所示,這種惡意軟件的運行過程如 下:bot連接C&C服務器,它們組成一個僵尸網絡,共同接受和響應C&C服務器的指令;C&C服 務器給bot下發攻擊指令,里面包含受害者的IP、端口、攻擊持續時間等各種攻擊參數;bot 執行指令,對受害者發起DD0S(Distributed Denial of Service,分布式拒絕服務)攻擊。 由于上述惡意軟件的存在,使得運營商網絡中充斥著大量僵木蠕流量,嚴重影響網絡服務 質量和正常運行。
[0003] 針對上述網絡安全問題,現有的DD0S防御技術分流量檢測、流量清洗兩部分,流量 檢測一般是通過比較之前同一周期的周、天的數據流,或者周期性分析數據流最多的源IP 等方法,對互聯網數據流進行判定;當判定數據流異常時,檢測設備發送被攻擊目的IP的通 知消息給網絡設備,網絡設備把異常源IP的數據流全部引流到清洗設備,通過把這些流扔 到流量黑洞的方式,實現DD0S的清洗。采用這種方法,缺點主要有:(1)引流數據流不夠精 細,傳統基于異常源IP清洗技術,會導致一部分正常的流量也被引流到清洗設備;(2)清洗 不夠精準,由于對數據流處理不夠精準,會造成一部分正常的流量被扔到流量黑洞;(3)清 洗設備性能瓶頸,現階段萬兆的數據流都比較常見,防御設備負責接收數據、分析數據及清 洗數據,對設備性能消耗比較大,一旦DD0S流量過大,會導致清洗設備性能無法滿足要求, 出現數據丟失的情況。
[0004] 綜上,目前亟需一種確定待清洗數據流的方法,實現對數據流進行有針對性地清 洗,并以減輕清洗設備的性能壓力。
【發明內容】
[0005] 本發明實施例提供一種確定待清洗數據流的方法及裝置,用以實現對數據流進行 有針對性地清洗。
[0006] 本發明實施例提供的一種確定待清洗數據流的方法,包括:
[0007] 獲取待處理數據流;
[0008] 將所述待處理數據流中目的端口相同的數據流確定為一個子數據流;根據各個所 述子數據流的目的端口,確定各個所述子數據流的標簽;
[0009] 獲取異常數據流的標簽;所述異常數據流是根據各個所述子數據流以及各個所述 子數據流對應的目的端口的歷史數據流統計得到的;
[0010] 在所述子數據流的標簽與所述異常數據流的標簽相同的情況下,將所述子數據流 確定為待清洗數據流。
[0011] 較佳地,所述異常數據流是根據各個所述子數據流以及各個所述子數據流的目的 端口的歷史數據流得到的,包括:
[0012] 根據各個所述子數據流的目的端口在設定周期內的歷史數據流的流量大小,確定 出各個所述子數據流的目的端口在設定周期內的平均流量;
[0013] 在第一子數據流的流量與所述第一子數據流的目的端口在設定周期內的平均流 量的差值大于第一閾值的情況下,確定所述第一子數據流為異常數據流。
[0014] 較佳地,所述根據各個所述子數據流的目的端口,確定各個所述子數據流的標簽, 包括:
[0015] 若所述子數據流的目的端口為第一類型目的端口,則根據已存儲的第一類型目的 端口與標簽之間的對應關系,得到所述子數據流的目的端口對應的第一標簽;所述第一類 型目的端口為根據應用協議得到的端口;
[0016] 將所述子數據流的目的端口對應的第一標簽確定為所述子數據流的標簽。
[0017] 較佳地,所述根據各個所述子數據流的目的端口,確定各個所述子數據流的標簽, 包括:
[0018] 若所述子數據流的目的端口為第二類型目的端口,則從待分配標簽集合中為所述 子數據流的目的端口分配第二標簽,并將所述第二標簽從所述待分配標簽集合中刪除;所 述待分配標簽集合中的標簽為標簽集合中除所述第一類型目的端口對應的標簽以外的標 簽;所述第二類型目的端口為除所述第一類型目的端口以外的端口。
[0019] 將所述子數據流的目的端口對應的所述第二標簽確定為所述子數據流的標簽。
[0020] 較佳地,所述將所述待處理數據流確定為待清洗數據流之后,還包括:
[0021 ]將所述第二標簽添加到所述待分配標簽集合中。
[0022]本發明實施例提供的一種確定待清洗數據流的裝置,該裝置包括:
[0023]第一獲取模塊,用于獲取待處理數據流;
[0024] 第一確定模塊,用于將所述待處理數據流中目的端口相同的數據流確定為一個子 數據流;根據各個所述子數據流的目的端口,確定各個所述子數據流的標簽;
[0025] 第二獲取模塊,用于獲取異常數據流的標簽;所述異常數據流是根據各個所述子 數據流以及各個所述子數據流對應的目的端口的歷史數據流統計得到的;
[0026] 第二確定模塊,用于在所述子數據流的標簽與所述異常數據流的標簽相同的情況 下,將所述子數據流確定為待清洗數據流。
[0027]較佳地,所述第二獲取模塊還用于:
[0028] 根據各個所述子數據流的目的端口在設定周期內的歷史數據流的流量大小,確定 出各個所述子數據流的目的端口在設定周期內的平均流量;
[0029] 在第一子數據流的流量與所述第一子數據流的目的端口在設定周期內的平均流 量的差值大于第一閾值的情況下,確定所述第一子數據流為異常數據流。
[0030] 較佳地,所述第一確定模塊具體用于:
[0031]若所述子數據流的目的端口為第一類型目的端口,則根據已存儲的第一類型目的 端口與標簽之間的對應關系,得到所述子數據流的目的端口對應的第一標簽;所述第一類 型目的端口為根據應用協議得到的端口;
[0032] 將所述子數據流的目的端口對應的第一標簽確定為所述子數據流的標簽。
[0033] 較佳地,所述第一確定模塊具體用于:
[0034] 若所述子數據流的目的端口為第二類型目的端口,則從待分配標簽集合中為所述 子數據流的目的端口分配第二標簽,并將所述第二標簽從所述待分配標簽集合中刪除;所 述待分配標簽集合中的標簽為所述標簽集合中除所述第一類型目的端口對應的標簽以外 的標簽;所述第二類型目的端口為除所述第一類型目的端口以外的端口。
[0035] 將所述子數據流的目的端口對應的所述第二標簽確定為所述子數據流的標簽。 [0036]較佳地,所述第一確定模塊還用于:
[0037]將所述第二標簽添加到所述待分配標簽集合中。
[0038]本發明的上述實施例中,首先獲取待處理數據流,將待處理數據流中目的端口相 同的數據流確定為一個子數據流,并根據各個所述子數據流的目的端口,確定各個所述子 數據流的標簽;獲取異常數據流的標簽后,在所述子數據流的標簽與所述異常數據流的標 簽相同的情況下,將所述子數據流確定為待清洗數據流;其中,所述異常數據流是根據各個 所述子數據流以及各個所述子數據流對應的目的端口的歷史數據流統計得到的。本發明實 施例中,根據子數據流的目的端口確定子數據流的標簽,并在獲取到異常數據流的標簽后, 將子數據流的標簽與所述異常數據流的標簽進行比較,確定出待清洗數據流,從而可實現 對待處理數據流進行精準地清洗,減輕清洗設備的性能壓力,有效地提升清洗設備的處理 效率。
【附圖說明】
[0039] 為了更清楚地說明本發明實施例中的技術方案,下面將對實施例描述中所需要使 用的附圖作簡要介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對于本 領域的普通技術人員來講,在不付出創造性勞動性的前提下,還可以根據這些附圖獲得其 他的附圖。
[0040] 圖1為【背景技術】中DD0S型botnet拓撲圖;
[0041 ]圖2為本發明實施例提供的一種確定待清洗數據流的方法所對應的流程示意圖;
[0042] 圖3為本發明實施例提供的一種確定待清洗數據流的裝置的結構示意圖。
【具體實施方式】
[0043] 為了使本發明的目的、技術方案和優點更加清楚,下面將結合附圖對本發明作進 一步地詳細描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施 例。基于本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的 所有其它實施例,都屬于本發明保護的范圍。
[0044] 圖2為本發明實施例提供的一種確定待清洗數據流的方法所對應的流程示意圖, 該方法包括:
[0045]步驟201,獲取待處理數據流;
[0046]步驟202,將所述待處理數據流中目的端口相同的數據流確定為一個子數據流;根 據各個所述子數據流的目的端口,確定各個所述子數據流的標簽;
[0047]步驟203,獲取異常數據流的標簽;所述異常數據流是根據各個所述子數據流以及 各個所述子數據流對應的目的端口的歷史數據流統計得到的;
[0048]步驟204,在所述子數據流的標簽與所述異常數據流的標簽相同的情況下,將所述 子數據流確定為待清洗數據流。
[0049] 本發明實施例中,根據子數據流的目的端口確定子數據流的標簽,并在獲取到異 常數據流的標簽后,將子數據流的標簽與所述異常數據流的標簽進行比較,確定出待清洗 數據流,從而可實現對待處理數據流進行精準地清洗,減輕清洗設備的性能壓力,有效地提 升清洗設備的處理效率。
[0050] 具體地,在步驟201中,所述待處理數據流可以為發往某個被攻擊對象的數據流。 [0051]在步驟202中,獲取到待處理數據流后,將所述待處理數據流中目的端口相同的數 據流確定為一個子數據流,并根據各個所述子數據流的目的端口,確定各個所述子數據流 的標簽;
[0052]互聯網數據都是以太網的數據幀,數據幀格式有8個字節的保留位,本發明實施例 中使用數據幀保留的8個字節作為目的端口對應的標簽,由于根據數據包的協議及端口來 分配標簽,最多支持255個標簽,因此,標簽的數據是固定的。為防止目的端口的數據量過 多,而無法實現目的端口與標簽一一對應的分配,本發明實施例中將目的端口分為第一類 型目的端口和第二類型目的端口,同時將標簽集合中的255個標簽分為兩類,一類為與第一 類型目的端口對應的固定標簽,另一類為與第二類型目的端口對應的動態標簽。
[0053] 本發明實施例中,第一類型目的端口為根據應用協議得到的端口;第二類型目的 端口為通過對所述待處理數據流進行分析所得到除所述第一類型目的端口以外的端口。進 一步地,第一類型目的端口可以通過調研互聯網出口應用的設計方案、開放的端口策略,歸 類應用的協議、端口使用情況來確定。第二類型目的端口可以通過每隔一個設定的時間周 期(比如,1分鐘或5分鐘)收集互聯網數據流,根據數據包分析儀對目的端口進行歸類來確 定。
[0054] 針對于第一類型目的端口,由于第一類型目的端口具有穩定性,因此可預先設置 第一類型目的端口與固定標簽的對應關系并存儲,該對應關系可在設定時長內保持不變。 具體地,第一類型目的端口與固定標簽的對應關系可以通過多種方式來存儲,例如,采用數 據庫的方式存儲,如表1所示。
[0055] 表 1
[0057] 本發明實施例中通過設置并存儲第一類型目的端口與固定標簽的對應關系,從而 使得可通過該對應關系,直接獲取到第一類型目的端口對應的第一標簽,進而確定出待處 理數據流的標簽,提高了為待處理數據流確定標簽的效率。
[0058] 針對于第二類型目的端口,由于第二類型目的端口的動態性,因此,在有限標簽的 情況下,可從待分配標簽結合中為第二類型目的端口分配動態標簽。其中,所述待分配標簽 集合中的標簽為所述標簽集合中除所述第一類型目的端口對應的標簽以外的標簽。
[0059] 例如,標簽集合中的00000001-00111111均已與第一類型目的端口相對應,此時, 待分配標簽集合中包括的標簽為01000000-111 111 11,針對于第二類型目的端口(如ICMP端 口、UDP端口),可從待分配標簽集合中為ICMP端口、UDP端口分配第二標簽,具體地,可設置 ICMP端口對應的標簽為01000000,UDP端口對應的標簽為01000001。
[0060] 本發明實施例中,在一個設定周期內,若確定出的第二類型目的端口的個數少于 動態標簽的個數,則在保證第二類型目的端口與標簽一一對應的前提下,可隨機設置第二 類型目的端口對應的標簽。
[0061 ]進一步地,在確定出待清洗數據流之后,為保證在下一個設定周期內確定出的第 二類型目的端口與動態標簽的對應關系,本發明實施例中,優選將所述第二標簽添加到所 述待分配標簽集合中,從而使得在下一個設定周期內有足夠的動態標簽來分配。
[0062] 例如,在第N周期內,設置ICMP端口對應的標簽為01000000,UDP端口對應的標簽為 01000001,則在第N+1周期內,可以將上述對應關系清除,并將標簽01000000和01000001添 加到待分配標簽集合中。若第N+1周期內仍檢測到ICMP端口、UDP端口,此時可從待分配標簽 集合重新為ICMP端口、UDP端口設置對應的動態標簽;若第N+1周期內檢測到除ICMP端口、 UDP端口以外的第二類型目的端口,此時可將標簽01000000、標簽01000001設置為其它第二 類型目的端口的標簽。
[0063]本發明實施例中,通過為第二類型目的端口設置動態標簽,彌補了標簽數量不足 的劣勢,實現了標簽的有效分配。
[0064] 在互聯網的環境下,一直發生大量DD0S攻擊,DD0S攻擊者預先會對被攻擊對象進 行端口掃描,根據端口進行有目的性的入侵,因此,在步驟203中,可通過檢測設備確定出被 攻擊目的端口,根據各個所述子數據流的目的端口在設定周期內的歷史數據流的流量大 小,確定出各個所述子數據流的目的端口在設定周期內的平均流量;在第一子數據流的流 量與所述第一子數據流的目的端口在設定周期內的平均流量的差值大于第一閾值的情況 下,確定所述第一子數據流為異常數據流,例如,可將第一子數據流的流量與第一子數據流 的目的端口在之前同一周期的周、天數據流的平均流量進行比較。其中,第一閾值可由本領 域技術人員根據經驗設置。
[0065] 在步驟204中,將子數據流的標簽與異常數據流的標簽進行比較,若子數據流的標 簽與異常數據流的標簽相同,則說明該子數據流為異常數據流,此時可將該子數據流確定 為待清洗數據流;若子數據流的標簽與異常數據流的標簽不相同,則說明子數據流為正常 數據流,此時可不對該正常數據流進行清洗,從而減輕清洗設備的性能壓力。
[0066] 本發明實施例中,由于數據流帶有標簽,因此可根據標簽對數據流進行數據歸類、 流量清洗,并按照日線及周線等方式進行繪圖,進而通過對數據流的統計和學習,繪制成一 張不同應用類型的日圖及周圖,從而為判定DD0S攻擊提供有效的依據。
[0067]本發明的上述實施例中,首先獲取待處理數據流,將待處理數據流中目的端口相 同的數據流確定為一個子數據流,并根據各個所述子數據流的目的端口,確定各個所述子 數據流的標簽;獲取異常數據流的標簽后,在所述子數據流的標簽與所述異常數據流的標 簽相同的情況下,將所述子數據流確定為待清洗數據流;其中,所述異常數據流是根據各個 所述子數據流以及各個所述子數據流對應的目的端口的歷史數據流統計得到的。本發明實 施例中,根據子數據流的目的端口確定子數據流的標簽,并在獲取到異常數據流的標簽后, 將子數據流的標簽與所述異常數據流的標簽進行比較,確定出待清洗數據流,從而可實現 對待處理數據流進行精準地清洗,減輕清洗設備的性能壓力,有效地提升清洗設備的處理 效率。
[0068] 針對上述方法流程,本發明實施例還提供確定待清洗數據流的裝置,該裝置的具 體內容可以參照上述方法實施。
[0069] 圖3為本發明實施例提供的一種確定待清洗數據流的裝置的結構示意圖,該裝置 包括:
[0070] 第一獲取模塊301,用于獲取待處理數據流;
[0071]第一確定模塊302,用于將所述待處理數據流中目的端口相同的數據流確定為一 個子數據流;根據各個所述子數據流的目的端口,確定各個所述子數據流的標簽;
[0072] 第二獲取模塊303,用于獲取異常數據流的標簽;所述異常數據流是根據各個所述 子數據流以及各個所述子數據流對應的目的端口的歷史數據流統計得到的;
[0073] 第二確定模塊304,用于在所述子數據流的標簽與所述異常數據流的標簽相同的 情況下,將所述子數據流確定為待清洗數據流。
[0074]較佳地,所述第二獲取模塊303還用于:
[0075] 根據各個所述子數據流的目的端口在設定周期內的歷史數據流的流量大小,確定 出各個所述子數據流的目的端口在設定周期內的平均流量;
[0076] 在第一子數據流的流量與所述第一子數據流的目的端口在設定周期內的平均流 量的差值大于第一閾值的情況下,確定所述第一子數據流為異常數據流。
[0077]較佳地,所述第一確定模塊302具體用于:
[0078]若所述子數據流的目的端口為第一類型目的端口,則根據已存儲的第一類型目的 端口與標簽之間的對應關系,得到所述子數據流的目的端口對應的第一標簽;所述第一類 型目的端口為根據應用協議得到的端口;
[0079] 將所述子數據流的目的端口對應的第一標簽確定為所述子數據流的標簽。
[0080] 較佳地,所述第一確定模塊302具體用于:
[0081 ]若所述子數據流的目的端口為第二類型目的端口,則從待分配標簽集合中為所述 子數據流的目的端口分配第二標簽,并將所述第二標簽從所述待分配標簽集合中刪除;所 述待分配標簽集合中的標簽為所述標簽集合中除所述第一類型目的端口對應的標簽以外 的標簽;所述第二類型目的端口為除所述第一類型目的端口以外的端口。
[0082]將所述子數據流的目的端口對應的所述第二標簽確定為所述子數據流的標簽。 [0083]較佳地,所述第一確定模塊302還用于:
[0084]將所述第二標簽添加到所述待分配標簽集合中。
[0085] 從上述內容可以看出:
[0086]本發明的上述實施例中,首先獲取待處理數據流,將待處理數據流中目的端口相 同的數據流確定為一個子數據流,并根據各個所述子數據流的目的端口,確定各個所述子 數據流的標簽;獲取異常數據流的標簽后,在所述子數據流的標簽與所述異常數據流的標 簽相同的情況下,將所述子數據流確定為待清洗數據流;其中,所述異常數據流是根據各個 所述子數據流以及各個所述子數據流對應的目的端口的歷史數據流統計得到的。本發明實 施例中,根據子數據流的目的端口確定子數據流的標簽,并在獲取到異常數據流的標簽后, 將子數據流的標簽與所述異常數據流的標簽進行比較,確定出待清洗數據流,從而可實現 對待處理數據流進行精準地清洗,減輕清洗設備的性能壓力,有效地提升清洗設備的處理 效率。
[0087] 本領域內的技術人員應明白,本發明的實施例可提供為方法、或計算機程序產品。 因此,本發明可采用完全硬件實施例、完全軟件實施例、或結合軟件和硬件方面的實施例的 形式。而且,本發明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存 儲介質(包括但不限于磁盤存儲器、CD-ROM、光學存儲器等)上實施的計算機程序產品的形 式。
[0088] 本發明是參照根據本發明實施例的方法、設備(系統)、和計算機程序產品的流程 圖和/或方框圖來描述的。應理解可由計算機程序指令實現流程圖和/或方框圖中的每一流 程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合。可提供這些計算機程序 指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數據處理設備的處理器以產 生一個機器,使得通過計算機或其他可編程數據處理設備的處理器執行的指令產生用于實 現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
[0089] 這些計算機程序指令也可存儲在能引導計算機或其他可編程數據處理設備以特 定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產生包括指 令裝置的制造品,該指令裝置實現在流程圖一個流程或多個流程和/或方框圖一個方框或 多個方框中指定的功能。
[0090] 這些計算機程序指令也可裝載到計算機或其他可編程數據處理設備上,使得在計 算機或其他可編程設備上執行一系列操作步驟以產生計算機實現的處理,從而在計算機或 其他可編程設備上執行的指令提供用于實現在流程圖一個流程或多個流程和/或方框圖一 個方框或多個方框中指定的功能的步驟。
[0091] 盡管已描述了本發明的優選實施例,但本領域內的技術人員一旦得知了基本創造 性概念,則可對這些實施例作出另外的變更和修改。所以,所附權利要求意欲解釋為包括優 選實施例以及落入本發明范圍的所有變更和修改。
[0092] 顯然,本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精 神和范圍。這樣,倘若本發明的這些修改和變型屬于本發明權利要求及其等同技術的范圍 之內,則本發明也意圖包含這些改動和變型在內。
【主權項】
1. 一種確定待清洗數據流的方法,其特征在于,該方法包括: 獲取待處理數據流; 將所述待處理數據流中目的端口相同的數據流確定為一個子數據流;根據各個所述子 數據流的目的端口,確定各個所述子數據流的標簽; 獲取異常數據流的標簽;所述異常數據流是根據各個所述子數據流以及各個所述子數 據流對應的目的端口的歷史數據流統計得到的; 在所述子數據流的標簽與所述異常數據流的標簽相同的情況下,將所述子數據流確定 為待清洗數據流。2. 如權利要求1所述的方法,其特征在于,所述異常數據流是根據各個所述子數據流以 及各個所述子數據流的目的端口的歷史數據流得到的,包括: 根據各個所述子數據流的目的端口在設定周期內的歷史數據流的流量大小,確定出各 個所述子數據流的目的端口在設定周期內的平均流量; 在第一子數據流的流量與所述第一子數據流的目的端口在設定周期內的平均流量的 差值大于第一閾值的情況下,確定所述第一子數據流為異常數據流。3. 如權利要求1所述的方法,其特征在于,所述根據各個所述子數據流的目的端口,確 定各個所述子數據流的標簽,包括: 若所述子數據流的目的端口為第一類型目的端口,則根據已存儲的第一類型目的端口 與標簽之間的對應關系,得到所述子數據流的目的端口對應的第一標簽;所述第一類型目 的端口為根據應用協議得到的端口; 將所述子數據流的目的端口對應的第一標簽確定為所述子數據流的標簽。4. 如權利要求3所述的方法,其特征在于,所述根據各個所述子數據流的目的端口,確 定各個所述子數據流的標簽,包括: 若所述子數據流的目的端口為第二類型目的端口,則從待分配標簽集合中為所述子數 據流的目的端口分配第二標簽,并將所述第二標簽從所述待分配標簽集合中刪除;所述待 分配標簽集合中的標簽為標簽集合中除所述第一類型目的端口對應的標簽以外的標簽;所 述第二類型目的端口為除所述第一類型目的端口以外的端口; 將所述子數據流的目的端口對應的所述第二標簽確定為所述子數據流的標簽。5. 如權利要求4所述的方法,其特征在于,所述將所述待處理數據流確定為待清洗數據 流之后,還包括: 將所述第二標簽添加到所述待分配標簽集合中。6. -種確定待清洗數據流的裝置,其特征在于,該裝置包括: 第一獲取模塊,用于獲取待處理數據流; 第一確定模塊,用于將所述待處理數據流中目的端口相同的數據流確定為一個子數據 流;根據各個所述子數據流的目的端口,確定各個所述子數據流的標簽; 第二獲取模塊,用于獲取異常數據流的標簽;所述異常數據流是根據各個所述子數據 流以及各個所述子數據流對應的目的端口的歷史數據流統計得到的; 第二確定模塊,用于在所述子數據流的標簽與所述異常數據流的標簽相同的情況下, 將所述子數據流確定為待清洗數據流。7. 如權利要求6所述的裝置,其特征在于,所述第二獲取模塊還用于: 根據各個所述子數據流的目的端口在設定周期內的歷史數據流的流量大小,確定出各 個所述子數據流的目的端口在設定周期內的平均流量; 在第一子數據流的流量與所述第一子數據流的目的端口在設定周期內的平均流量的 差值大于第一閾值的情況下,確定所述第一子數據流為異常數據流。8. 如權利要求6所述的裝置,其特征在于,所述第一確定模塊具體用于: 若所述子數據流的目的端口為第一類型目的端口,則根據已存儲的第一類型目的端口 與標簽之間的對應關系,得到所述子數據流的目的端口對應的第一標簽;所述第一類型目 的端口為根據應用協議得到的端口; 將所述子數據流的目的端口對應的第一標簽確定為所述子數據流的標簽。9. 如權利要求8所述的裝置,其特征在于,所述第一確定模塊具體用于: 若所述子數據流的目的端口為第二類型目的端口,則從待分配標簽集合中為所述子數 據流的目的端口分配第二標簽,并將所述第二標簽從所述待分配標簽集合中刪除;所述待 分配標簽集合中的標簽為所述標簽集合中除所述第一類型目的端口對應的標簽以外的標 簽;所述第二類型目的端口為除所述第一類型目的端口以外的端口; 將所述子數據流的目的端口對應的所述第二標簽確定為所述子數據流的標簽。10. 如權利要求9所述的裝置,其特征在于,所述第一確定模塊還用于: 將所述第二標簽添加到所述待分配標簽集合中。
【文檔編號】H04L29/06GK105959253SQ201510802035
【公開日】2016年9月21日
【申請日】2015年11月19日
【發明人】張高磊, 何東杰, 劉國寶
【申請人】中國銀聯股份有限公司