[发明专利]用于有效率的网络流数据分析的方法和装置

权利要求书

1.一种用于收集网络流数据的装置，包括：

用于接收多个流记录的装置(42)；

用于从所接收的流记录中提取数据到块数据结构中的装置(43)，其中，所述块数据结构包括多个单独的元素以及所述多个单独的元素的索引，每一个元素存储从相应的流记录中提取的数据；以及

用于通过对所述索引重新排序而对所述块数据结构中单独的元素进行分类的装置(44)。

2.根据前述权利要求中任一项所述的装置，其中，所述块数据结构具有固定大小，并且所述装置还包括：用于确定所述块数据结构何时填满以及将所述块数据结构传递给所述分类装置的装置。

3.根据权利要求3所述的装置，其中，所述分类装置(44)被布置为基于所提取的数据的比特模式对单独的元素进行分类。

4.根据权利要求4所述的装置，其中，所述分类装置被布置为向输出块文件添加已分类的块数据结构。

5.根据前述权利要求中任一项所述的装置，其中，所述接收装置(42)被布置为接收预定时间窗内的多个流记录。

6.根据权利要求5所述的装置，其中，所述提取装置和所述分类装置被布置为：针对所述预定时间窗内的多个流记录，重复地填充所述块数据结构、对所填充的块数据结构进行分类以及将已分类的块结构添加到块文件。

7.根据权利要求6所述的装置，还包括：用于执行所述块文件中的多个元素的合并分类以及输出已分类的元素的数据流的装置。

8.根据权利要求7所述的装置，还包括：用于处理作为数据流的已分类的块数据结构以识别网络使用模式的装置(46、47)。

9.根据前述权利要求中任一项所述的装置，其中，所述单独的元素是N元组，N是从流记录中提取的数据项的数目，以及所述块数据结构是元组块。

10.根据权利要求9所述的装置，其中，所述索引包括索引数组，每一个索引标识相应的单独的N元组在所述元组块中的位置。

11.根据权利要求10所述的装置，其中，所述处理装置(46、47)还被布置为：识别流记录的网络地址和网络端口之间的关联，以及基于已识别的关联来识别指示分布式拒绝服务和/或端口扫描攻击的一个或多个流记录。

12.根据权利要求11所述的装置，其中，所述处理装置(46、47)被布置为：通过根据与单一源网络地址相关联的目的网络地址和网络端口的最高数目以及与单一目的网络地址相关联的源网络地址和网络端口的最高数目，对所确定的结果进行分级，以识别关联。

13.根据权利要求12所述的装置，还包括：用于输出已分级的信息的装置。

14.一种收集网络流数据的方法，包括：

接收多个流记录；

从所接收的流记录中提取数据到块数据结构中，其中，所述块数据结构包括多个单独的元素以及所述多个单独的元素的索引，每一个元素存储从相应的流记录中提取的数据；以及

通过对所述索引重新排序，对所述块数据结构中的单独的元素进行分类。

15.一种计算机可执行的指令，用于将可编程装置配置为变为被配置为根据权利要求1至13中任一项所述的系统，或变为被配置为执行根据权利要求14所述的方法。