[发明专利]一种流量识别方法及电子设备

权利要求书

1.一种流量识别方法，其特征在于，包括：

通过边缘网关抓取数据包；

获取所述数据包的流量类型，其中，所述流量类型为正常流量或者异常流量；

若所述数据包的流量类型为正常流量，则控制所述边缘网关将所述数据包放行；

若所述数据包的流量类型为异常流量，则控制所述边缘网关将所述数据包拦截；

其中，所述流量类型的流量类型还包括临界流量；

所述获取所述数据包的流量类型的步骤之后，所述方法还包括：

若所述数据包的流量类型为临界流量，则控制所述边缘网关将所述数据包发送至云服务器，以使所述云服务器对所述数据包的流量类型进行判断；

所述通过边缘网关抓取数据包的步骤，包括：

在所述边缘网关设置环形缓冲区；

通过所述环形缓冲区拦截经过所述边缘网关的数据包；

调用数据包处理函数解析所述数据包；

所述调用数据包处理函数解析所述数据包的步骤之前，所述方法还包括：

提取所述数据包的预设类型的参数，其中，所述预设类型的参数包括源地址、目的地址、源端口、目的端口和传输层协议中的至少一种；

根据所述数据包的预设类型的参数，确定所述数据包所属的目标流；

将所述数据包列入所述目标流的包统计信息；

所述获取所述数据包的流量类型的步骤，包括：

根据所述目标流的包统计信息，判断所述目标流内的数据包的数量是否达到预设数量；

若所述目标流内的数据包的数量达到预设数量，则获取所述目标流内数据包的流量类型；

所述若所述目标流内的数据包的数量达到预设数量，则获取所述目标流内数据包的流量类型的步骤，包括：

提取所述目标流的特征类型，其中，所述特征类型包括流持续长度、去/回向方向的流两个包间隔时间、来回两个包间隔时间、同时间活动/空闲流的数量、流每秒字节数/包数和通用即插即用UPnP请求的行为识别类型中的至少一种；

通过预设的流量类型识别模型，根据所述目标流的特征类型，分析所述目标流内数据包的流量类型。

2.根据权利要求1所述的方法，其特征在于，所述通过所述环形缓冲区拦截经过所述边缘网关的数据包的步骤，包括：

设置所述环形缓冲区的工作模式为嗅探模式，拦截经过所述边缘网关的所有数据包；和/或，

所述提取所述数据包的预设类型的参数的步骤，包括：

打开所述环形缓冲区的只读模式，读取和解析所述数据包的预设类型的参数。

3.根据权利要求1所述的方法，其特征在于，所述通过边缘网关抓取数据包的步骤之前，所述方法还包括：

搭建二分类模型；

获取预设类型的样本数据包，其中，所述预设类型的样本数据包包括Heartbleed、Slowhttptest、磁盘操作系统DoS攻击、UPnP上的公共漏洞和暴露CVE攻击和UPnP上的注入攻击中的至少一种；

利用所述样本数据包训练所述二分类模型，得到所述流量类型识别模型。

4.根据权利要求3所述的方法，其特征在于，所述若所述数据包的流量类型为异常流量，则控制所述边缘网关将所述数据包拦截的步骤之后，所述方法还包括：

将所述数据包添加到样本数据库中，作为所述流量类型识别训练模型在半监督学习过程中的样本数据包。