[发明专利]数据流识别方法及装置

说明书

本申请提供了一种数据流识别方法及装置。该方法应用于网络设备，该方法包括：接收入侵防御设备发送的数据包；依据数据包的包特征信息从预设的数据包特征表中找到对应的数据包特征表项；若数据流异常等级低于指定等级，则将数据包输入至与数据流异常等级匹配的数据流识别模型，依据数据流识别模型的输出结果识别数据包所属的数据流是否为异常数据流；若数据流异常等级高于指定等级，则将数据包所属的数据流识别为异常数据流。本申请在入侵防御设备的基础上，对入侵防御设备识别为非异常数据流的数据流进行补充识别，弥补了入侵防御设备对异常数据流的识别范围较小的缺陷。

技术领域

本申请涉及网络安全技术，特别涉及数据流识别方法及装置。

背景技术

目前，通常利用入侵防御设备中的攻击特征库来识别异常数据流。入侵防御设备在接收到数据包后，会提取数据包的数据包特征并与攻击特征库中的攻击特征进行匹配，若匹配成功，则将该数据包所属的数据流识别为异常数据流。

由于攻击特征库中的攻击特征通常经解析已确定为异常数据流的数据包来获得，因此，虽然攻击特征库对于这些已确定的异常数据流的识别准确性较高，但其所能识别的异常数据流的范围较小，对于新出现但还未被确定为异常数据流的异常数据流以及伪装成正常数据流的异常数据流则无法识别。

发明内容

本申请提供一种数据流识别方法及装置。

本申请提供的技术方案包括：

根据本申请实施例的第一方面，提供一种数据流识别方法，应用于网络设备，该方法包括：

接收入侵防御设备发送的数据包，数据包是入侵防御设备在识别出数据包所属的数据流不为异常数据流时发送的；

依据数据包的包特征信息从预设的数据包特征表中找到对应的数据包特征表项；数据包特征表项至少包括包特征信息、数据流异常等级；

若数据流异常等级低于指定等级，则将数据包输入至与数据流异常等级匹配的数据流识别模型，依据数据流识别模型的输出结果识别数据包所属的数据流是否为异常数据流；

若数据流异常等级高于指定等级，则将数据包所属的数据流识别为异常数据流。

根据本申请实施例的第二方面，提供一种数据流识别装置，应用于网络设备，该装置包括：

接收单元，用于接收入侵防御设备发送的数据包，数据包是入侵防御设备在识别出数据包所属的数据流不为异常数据流时发送的；

查找单元，用于依据数据包的包特征信息从预设的数据包特征表中找到对应的数据包特征表项；数据包特征表项至少包括包特征信息、数据流异常等级；

识别单元，用于若数据流异常等级低于指定等级，则将数据包输入至与数据流异常等级匹配的数据流识别模型，依据数据流识别模型的输出结果识别数据包所属的数据流是否为异常数据流；若数据流异常等级高于指定等级，则将数据包所属的数据流识别为异常数据流。

由以上技术方案可以看出，本申请在入侵防御设备的基础上，还额外将数据流异常等级与数据流识别模型识别相结合，通过数据流异常等级来初步确定出数据流是否可能为异常数据流，再进一步通过数据流识别模型来最终确定该数据流是否是异常数据流，利用数据流识别模型来识别异常数据流可以不受固定的攻击特征的限制，进而灵活的识别出异常数据流，实现了对新出现的异常数据流以及伪装成正常数据流的异常数据流的及时识别，弥补了入侵防御设备对异常数据流的识别范围较小的缺陷。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1为本申请提供的应用场景图。

图2为本申请提供的方法流程图。