[发明专利]一种自适应的网络旁路路径网流方向推测方法及系统

权利要求书

1.一种自适应的网络旁路路径网流方向推测方法，其特征在于，包括：

获取网包、网流列表和服务端得分表；

通过标签特征对服务端口进行赋值，得到服务端口赋值；

在所述网流列表中查询所述网包的五元组，若所述网包的五元组与所述网流列表中的任一元素对应的五元组相等，则判定所述网包与所述任一元素匹配；

根据所述服务端口赋值，结合所述服务端得分表获取所述网包对应的服务端口类型；

所述获取网包、网流列表和服务端得分表，具体包括：

确定所述网包的五元组信息为P＝源IP、源端口号、协议、目的IP、目的端口号；

所述网流列表为F，F中每个元素为五元组f＝客户端IP、客户端端口号、协议、服务端IP、服务端端口号；

所述服务端得分表为S，S中每个元素为三元组s＝IP、端口号、得分；

所述服务端得分表用于基于源IP、源端口号查询源端的得分；

所述通过标签特征对服务端口进行赋值，得到服务端口赋值，具体包括：

通过TCP包的Flag标签对所述服务端口进行赋值；

若所述Flag标签为第一类型标签，则所述服务端口为服务端；

若所述Flag标签为第二类型标签，则所述服务端口为客户端；

第一类型标签为SYN+ACK，第二类型标签为SYN；

所述根据所述服务端口赋值，结合所述服务端得分表获取所述网包对应的服务端口类型，具体包括：

若P为所述TCP包，且所述Flag标签为所述第一类型标签，则将源IP、源端口号在S中的得分置为MAX，并判定P为服务端；

若P为所述TCP包，且所述Flag标签为所述第二类型标签，则将源IP、源端口号从S中删除，并判定P为客户端；

使用P中的源IP、源端口号在S中查询源端得分S1；

使用P中的目的IP、目的端口号在S中查询目的端得分S2；

若S1S2则认为源IP、源端口号为服务端；

否则判定目的IP、目的端口号为服务端；

若P不是所述TCP包，或者所述Flag标签不等于所述第一类型标签且不等于所述第二类型标签，则将源IP、源端口号在S中的得分减少1，若源IP、源端口号在S中的得分减少之后小于等于0，则将源IP、源端口号从S中删除；

将目的IP、目的端口号在S中的得分增加1，若目的IP、目的端口号在S中的得分增加之后大于等于MAX，则将源IP、源端口号在S中的得分置为MAX。

2.根据权利要求1所述的自适应的网络旁路路径网流方向推测方法，其特征在于，所述方法还包括：

若所述网包的五元组与所述网流列表中的任一元素对应的五元组不相等，则判定所述网包与所述任一元素不匹配；

对所述服务端得分表进行更新；

根据所述服务端口赋值，结合更新后的服务端得分表获取所述网包对应的服务端口类型。

3.根据权利要求1所述的自适应的网络旁路路径网流方向推测方法，其特征在于，所述在所述网流列表中查询所述网包的五元组，若所述网包的五元组与所述网流列表中的任一元素对应的五元组相等，则判定所述网包与所述任一元素匹配，具体包括：

在所述网流列表F中查询所述网包P；

若P的源IP、源端口号、协议、目的IP、目的端口号，分别等于f的客户端IP、客户端端口号、协议、服务端IP、服务端端口号，或者P的目的IP、目的端口号、协议、源IP、源端口号分别等于f的客户端IP、客户端端口号、协议、服务端IP、服务端端口号；

则判定所述网包P与所述网流列表F中的元素f匹配。