[发明专利]一种异常流量处理方法及网管设备

权利要求书

1.一种异常流量处理方法，其特征在于，所述方法包括：

网管设备获取转发设备转发的数据包，其中，指定时间内接收到的数据包组成数据流量；

所述网管设备确定异常数据包，其中，所述异常数据包用于表示空间中与所述数据流量中除自身外的所有数据包的欧式距离大于第一阈值的数据包，所述异常数据包组成的数据流量为异常流量；所述空间由七个维度数据中至少四个维度数据构成；

所述网管设备根据所述异常流量，确定所述异常流量的异常流量分类向量，所述异常流量分类向量用于反映所述异常流量的攻击类型；

所述网管设备根据所述异常流量，确定所述异常流量的异常流量分类向量，包括：

所述网管设备从所述异常流量中每个数据包中提取所述七个维度数据；

所述网管设备根据所述七个维度数据，计算所述七个维度数据中每个维度数据的熵值；所述七个维度数据包括源互联网协议IP地址、源端口地址、目的IP地址、目的端口地址、入度、出度和流大小，所述入度用于表示所述目的IP地址对应的接收端设备在所述指定时间中接收数据包的概率，所述出度用于表示所述源互联网协议IP地址对应的发送端设备在所述指定时间中发送数据包的概率，所述流大小用于表示所述网管设备在所述指定时间的各个单位时间中，接收到数据流量的分布变化；

所述网管设备将所述每个维度数据的熵值作为所述异常流量分类向量中的元素，得到所述异常流量分类向量；

所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离；

若所述欧式距离中，最小欧式距离小于第二阈值，则所述网管设备将所述最小欧式距离对应的参考流量分类向量对应的攻击类型确定为所述异常流量的流量攻击类型，并执行与所述流量攻击类型对应的防御措施。

2.根据权利要求1所述的方法，其特征在于，在所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离之前，所述方法还包括：

所述网管设备获取已知攻击类型的异常流量；

所述网管设备计算每种已知攻击类型的异常流量的参考流量分类向量，并存储每种已知攻击类型与参考流量分类向量的对应关系。

3.根据权利要求2所述的方法，其特征在于，在所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离之后，所述方法还包括：

若所述最小欧式距离大于或等于所述第二阈值，则所述网管设备将所述异常流量确定为未知类型异常流量；

在确定所述未知类型异常流量的攻击类型以及对应的防御措施后，所述网管设备存储所述未知类型异常流量的攻击类型、异常流量分类向量、以及防御措施两两之间的对应关系。