[发明专利]网络流量的判断方法、装置、设备、介质和程序产品

说明书

本发明提供一种网络流量的判断方法、装置、设备、介质和程序产品；网络流量的判断方法包括：获取实时流量数据；提取所述实时流量数据的实时特征信息；根据所述实时特征信息与预设数据库之间的关系，控制所述实时流量数据的访问方式，并控制所述预设数据库更新。在本公开提供的实施例中，保证自主对实时流量数据的访问控制，并不断补充数据，积累更多的样本数据，无需事先做任何设备标记，完全通过网络流程数据；且自适应、自更新，随着运行时间的积累的数据越多，预设数据库中的信息越多，判断的准确度越高；另外，针对设备产生的实时流量数据，准实时(分钟级)的判断其是否为异常访问，时效性较高。

技术领域

本发明涉及大数据领域，特别涉及一种网络流量的判断方法、装置、设备、介质和程序产品。

背景技术

在信息化时代，网络安全的重要性不断提高，网络流量分析技术越来越受到重视。在企业内网安全控制领域，通过对各个网络区域的网络流量分析，可以获取哪些设备接入了企业内网，是正常访问还是疑似入侵，利用大数据技术对网络流量分析已经逐渐发展成企业内网访问控制的重要技术手段。

目前异常流量检测分析主要手段有特征值匹配、流量日志分析等。通过数据挖掘技术，针对抓取的网络流量数据，开展可视化展示、特征值匹配、统计分析、事后审计等工作，通过事中监控事后分析，发现异常访问设备，在其下次访问时，主动阻断和禁用；然而，以上技术方案存在如下问题：首先，通过特征值匹配的发现的异常流量，只能是基于通用、公开的特征库，一是无法发现未知的威胁，二是容易与正常业务流量发生冲突，产生误报，影响真实攻击的研判处置效率；其次，通过事后对历史数据的统计，发现异常访问或存在入侵嫌疑的设备，需要人员具备专业经验，且投入较多人力；另外，基于历史数据分析，生成一些黑白名单，只能有效组织前期已经异常访问过的设备，不能主动发现首次入侵的设备。

发明内容

本发明的主要目的是提出一种网络流量的判断方法、装置、设备、介质和程序产品，旨在解决网络异常流量识别困难的问题。

根据本公开的第一个方面，提供了一种网络流量的判断方法，包括：

获取实时流量数据；

提取所述实时流量数据的实时特征信息；

根据所述实时特征信息与预设数据库之间的关系，控制所述实时流量数据的访问方式，并控制所述预设数据库更新。

根据本公开的实施例，根据所述实时特征信息与预设数据库之间的关系，控制所述实时流量数据的访问方式，并控制所述预设数据库更新的步骤包括：

当所述实时特征信息匹配中预设数据库时，获取对应的预设访问方式；

根据所述预设访问方式，控制所述实时流量数据的访问方式；

控制不更新所述预设数据库。

根据本公开的实施例，当所述实时特征信息匹配中预设数据库时，获取对应的预设访问方式的步骤包括：

当所述实时特征信息匹配中正常特征信息时，所述预设访问方式为放行访问；

当所述实时特征信息匹配中异常特征信息时，所述预设访问方式为阻断访问。

根据本公开的实施例，根据所述实时特征信息与预设数据库之间的关系，控制所述实时流量数据的访问方式，并控制所述预设数据库更新的步骤包括：

当所述实时特征信息无法匹配中预设数据库时，获取所述实时特征信息的异常概率；

根据所述异常概率，获取对应的预设访问方式；

根据所述预设访问方式，控制所述实时流量数据的访问方式；

控制更新所述预设数据库。

根据本公开的实施例，获取所述实时特征信息的异常概率的步骤还包括：