[发明专利]一种网络流量的识别方法、装置、设备及介质

说明书

本发明实施例公开了一种网络流量的识别方法、装置、设备及介质，该方法包括：当检测到镜像数据训练设备发送的异常流量特征和流量分类的对应关系时，根据异常流量特征和流量分类的对应关系，对第一数据库中的流量特征和流量分类的对应关系进行增量更新；获取待识别网络流量，并根据增量更新后的流量特征和流量分类的对应关系，对待识别网络流量进行流量识别，获取待识别网络流量的流量分类。本发明实施例的技术方案，通过根据异常流量特征和流量分类的对应关系，对第一数据库中的流量特征和流量分类的对应关系进行增量更新，可以降低网络流量的处理时延，可以实现对网络流量的实时识别，且可以实现对未知网络流量的准确识别。

技术领域

本发明实施例涉及计算机技术领域，尤其涉及一种网络流量的识别方法、装置、设备及介质。

背景技术

随着互联网的高速发展，以及网络通信数据安全需求的不断提高，各种各样的加密需求日新月异。然而，加密技术在提供身份隐藏和数据安全保障的同时，也使得出于网络安全管理目的的网络数据包检测变得更加困难。

目前，现有的加密网络数据包检测技术，主要包括基于网络加密流量统计特征的机器学习识别方法，通过寻找到有效且关联性较强的特征，以实现加密流量识别。然而，在现有技术中，特征的选择直接影响机器学习模型的分类效果；此外，需要较长的处理时延，无法实现对加密流量的实时解析，且对于未知的加密流量，无法实现准确分类。

发明内容

本发明实施例提供一种网络流量的识别方法、装置、设备及介质，可以降低处理时延，可以实现对网络流量的实时识别，可以实现对未知网络流量的准确识别。

第一方面，本发明实施例提供了一种网络流量的识别方法，应用于全流量处理设备，包括：

当检测到镜像数据训练设备发送的异常流量特征和流量分类的对应关系时，根据所述异常流量特征和流量分类的对应关系，对第一数据库中的流量特征和流量分类的对应关系进行增量更新；

获取待识别网络流量，并根据增量更新后的流量特征和流量分类的对应关系，对所述待识别网络流量进行流量识别，获取所述待识别网络流量的流量分类。

第二方面，本发明实施例提供了一种网络流量的识别方法，应用于镜像数据训练设备，包括：

当检测到核心交换机发送的镜像流量时，根据第二数据库中的流量特征和流量分类的对应关系，对所述镜像流量进行流量识别；并根据流量识别结果，在所述镜像流量中获取无法确定流量分类的异常流量；

通过k均值聚类算法对所述异常流量进行聚类处理，获取所述异常流量对应的多个聚类簇，以及各聚类簇分别对应的流量分类；

根据各聚类簇中各异常流量的共有流量特征，获取各聚类簇对应的异常流量特征和流量分类的对应关系，并将所述各聚类簇对应的异常流量特征和流量分类的对应关系反馈至核心交换机，以通过所述核心交换机转发至全流量处理设备。

第三方面，本发明实施例还提供了一种网络流量的识别装置，应用于全流量处理设备，包括：

第一数据库更新模块，用于当检测到镜像数据训练设备发送的异常流量特征和流量分类的对应关系时，根据所述异常流量特征和流量分类的对应关系，对第一数据库中的流量特征和流量分类的对应关系进行增量更新；

流量分类获取模块，用于获取待识别网络流量，并根据增量更新后的流量特征和流量分类的对应关系，对所述待识别网络流量进行流量识别，获取所述待识别网络流量的流量分类。

第四方面，本发明实施例还提供了一种网络流量的识别装置，应用于镜像数据训练设备，包括：

异常流量确定模块，用于当检测到核心交换机发送的镜像流量时，根据第二数据库中的流量特征和流量分类的对应关系，对所述镜像流量进行流量识别；并根据流量识别结果，在所述镜像流量中获取无法确定流量分类的异常流量；