[发明专利]异常流量的分离过滤方法、系统、存储介质及电子设备

说明书

本发明涉及数据处理领域，尤其涉及一种异常流量的分离过滤方法、系统、存储介质及电子设备。该方法包括：根据读取热配置文件中过滤后网络流量速度判定是否进行首次流量过滤；若判定结果为进行首次流量过滤，则，获取异常流量统计时间窗口，并统计所述异常流量统计时间窗口内的第一单包信息集；对所述第一单包信息集进行处理，得到第一会话字典，对所述第一会话字典进行聚类计算，得到异常会话集；根据所述异常会话集设置第一抓包过滤条件，完成抓包过滤后，获取抓包过滤后的第一实时网络流量速度，根据所述第一实时网络流量速度完成热配置文件的更新。本发明能够达到尽可能抓取更多的网络数据包而不丢包，提高系统运行的稳定性的效果。

技术领域

本发明涉及数据处理领域，尤其涉及一种异常流量的分离过滤方法、系统、存储介质及电子设备。

背景技术

目前在工业控制的网络环境中，遇见流量突然异常增大的场景，通常的处理方式是通过人工分析定位到造成流量异常的具体网络会话，并将其加入黑名单，或者是通过程序分析出流量异常的会话并将其加入黑名单。然后利用防火墙将黑名单中的会话过滤掉，如果流量异常的会话发现的频率较高，需要频繁地更新黑名单并重启防火墙，费时费力且无法满足及时过滤异常流量会话的需求。

发明内容

本发明所要解决的技术问题是提供一种异常流量的分离过滤方法、系统、存储介质及电子设备。

本发明解决上述技术问题的技术方案如下：一种异常流量的分离过滤方法，包括：

步骤1，根据读取热配置文件中过滤后网络流量速度判定是否进行首次流量过滤；

步骤2，若判定结果为进行首次流量过滤，则，获取异常流量统计时间窗口，并统计所述异常流量统计时间窗口内的第一单包信息集；

步骤3，对所述第一单包信息集进行处理，得到第一会话字典，对所述第一会话字典进行聚类计算，得到异常会话集；

步骤4，根据所述异常会话集设置第一抓包过滤条件，完成抓包过滤后，获取抓包过滤后的第一实时网络流量速度，根据所述第一实时网络流量速度完成热配置文件的更新。

本发明的有益效果是：通过上述方法可以自动监测设备流量大小以及网络包处理能力，在设备流量过大且网络包处理不过来时自动进行过滤，在设备流量正常且网络包处理正常时自动恢复正常，从而保证尽可能抓取更多的网络数据包而不丢包，提高系统运行的稳定性。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步，步骤1具体为：

读取热配置文件中的过滤后网络流量速度，判断所述过滤后网络流量速度是否为0，若不为0，则，进行第n次流量过滤，若为0，则，进行所述首次流量过滤，其中，n≥2。

进一步，步骤1之前还包括：

实时获取设备的网络流量速度以及待处理网络包个数，并判断是否需要进行过滤，判定方法包括：判断实时网络流量速度是否超过处理流量阈值以及待处理网络包个数是否超过处理网络包个数阈值，若二者均超过所述阈值，则判定为需要进行过滤；

或根据是否收到网络包预处理进程发送的过滤通知判定是否进行过滤，若收到通知，则判定为需要进行过滤。

进一步，步骤3具体为：

将所述第一单包信息集的信息进行统计，得到第一会话字典，对所述第一会话字典进行聚类计算，得到异常会话集；其中，所述第一会话字典包括m个会话，每个会话由一个键值对key-value组成，其中，key为四元组，所述四元组包括：源IP地址、目的IP地址、源端口以及目的端口，value为在所述第一单包信息集中所有四元组的字节数和所有四元组的包数进行合并之后的值。

进一步，步骤4具体为：