[发明专利]业务流量处理的方法、业务流量学习的方法、装置及系统

权利要求书

1.一种业务流量处理的方法，其特征在于，包括：

当服务器的目标网际互联协议IP地址受到攻击时，获取所述服务器的协议号基线以及被攻击的所述目标IP地址所对应的目标协议号，其中，所述协议号基线包括被保护IP地址与可用协议号之间的对应关系；

若所述目标协议号与所述协议号基线中的可用协议号不一致，则根据所述目标协议号所对应的业务流量获取P个数据包的载荷特征统计结果，其中，所述载荷特征统计结果为所述P个数据包中对目标载荷特征的统计结果，所述P为大于或等于1的整数；

若所述载荷特征统计结果满足异常流量处理条件，则从所述P个数据包中确定Q个数据包，其中，所述Q个数据包的载荷特征为目标载荷特征，所述Q为大于或等于1，且小于或等于所述P的整数，所述Q个数据包为对所述目标IP地址进行异常攻击的数据包；

对所述Q个数据包进行拦截处理。

2.根据权利要求1所述的方法，其特征在于，所述获取所述服务器的协议号基线以及被攻击的所述目标IP地址所对应的目标协议号之后，所述方法还包括：

根据所述协议号基线获取所述目标IP地址所对应的可用协议号；

将所述目标协议号与目标IP地址所对应的可用协议号进行比对，得到比对结果；

若所述比对结果为第一结果，则确定所述目标协议号与所述协议号基线中的可用协议号不一致；

若所述比对结果为第二结果，则确定所述目标协议号与所述协议号基线中的可用协议号一致。

3.根据权利要求2所述的方法，其特征在于，所述确定所述目标协议号与所述协议号基线中的可用协议号一致之后，所述方法还包括：

向所述服务器发送所述目标协议号所对应的所述P个数据包。

4.根据权利要求1所述的方法，其特征在于，所述根据所述目标协议号所对应的业务流量获取P个数据包的载荷特征统计结果，包括：

获取所述目标协议号所对应的业务流量；

根据所述目标协议号所对应的业务流量，获取所述P个数据包的载荷数据；

根据所述P个数据包的载荷数据获取单位时间内的载荷特征，其中，所述载荷特征包括载荷数据的前N个字节和后M个字节中的至少一项，其中，所述N为大于或等于1的整数，所述M为大于或等于1的整数；

根据所述单位时间内的载荷特征生成所述载荷特征统计结果。

5.根据权利要求4所述的方法，其特征在于，所述根据所述P个数据包的载荷数据获取单位时间内的载荷特征，包括：

根据所述P个数据包的载荷数据获取所述单位时间内所述前N个字节中相同字节出现次数生成所述载荷特征统计结果；

所述根据所述单位时间内的载荷特征生成所述载荷特征统计结果之后，所述方法还包括：

若所述单位时间内所述前N个字节中相同字节出现次数大于或等于出现次数阈值，则确定所述载荷特征统计结果满足异常流量处理条件。

6.根据权利要求4所述的方法，其特征在于，所述根据所述单位时间内的载荷特征生成所述载荷特征统计结果，包括：

根据所述单位时间内所述后M个字节相同字节出现次数生成所述载荷特征统计结果；

所述根据所述报文的载荷数据确定载荷特征统计结果之后，所述方法还包括：

若所述单位时间内所述后M个字节中相同字节出现次数大于或等于出现次数阈值，则确定所述载荷特征统计结果满足异常流量处理条件。

7.根据权利要求1至6中任一项所述的方法，其特征在于，所述方法还包括：

通过分光器获取被保护IP地址所对应的镜像业务流量；

根据所述镜像业务流量获取所述被保护IP地址所对应的可用协议号；

根据所述被保护IP地址以及所述被保护IP地址所对应的可用协议号，生成所述协议号基线。