[发明专利]一种网络流量判定方法和系统

权利要求书

1.一种网络流量判定方法，其特征在于，包括：

获取第一流量；

根据流量判定引擎，判定所述第一流量的流量类型，并基于所述流量判定引擎的判定结果，将所述第一流量分为已判定流量或待测定流量；

获取流量类型相同的多条已判定流量；

基于所述多条已判定流量中至少部分流量的特征数据，更新所述流量判定引擎所对应的知识库。

2.如权利要求1所述的网络流量判定方法，其特征在于，至少一种流量类型包含两种以上不同的网络协议。

3.如权利要求2所述的网络流量判定方法，其特征在于，所述至少一种流量类型所包含的所述两种以上不同的网络协议中至少有一种所述网络协议需加密传输。

4.如权利要求1所述的网络流量判定方法，其特征在于，所述方法还包括：

基于所述第一流量的流量类型，对所述第一流量采取相应的策略。

5.如权利要求4所述的网络流量判定方法，其特征在于，所述策略包括以下中的至少一种：允许访问、不允许访问、上报、告警、特别标记和异常报告。

6.如权利要求1所述的网络流量判定方法，其特征在于，所述基于所述多条已判定流量中至少部分流量的特征数据，更新所述流量判定引擎所对应的知识库包括：

对所述多条已判定流量进行聚类，并基于聚类后已判定流量之间的相似度获取所述多条已判定流量中的至少部分流量；

提取所述至少部分流量的特征数据；

基于所述至少部分流量的所述特征数据，更新所述知识库。

7.如权利要求1所述的网络流量判定方法，其特征在于，所述方法还包括：

获取多条待测定流量，其中，所述待测定流量包括无法判定流量类型的所述第一流量；

基于聚类模型，判定所述多条待测定流量是否为已知流量类型。

8.如权利要求7所述的网络流量判定方法，其特征在于，所述基于聚类模型，判定所述多条待测定流量是否为已知流量类型包括：

利用无监督聚类模型对所述多条待测定流量进行聚类，以获得至少一个待定流量组；

根据所述特征提取规则和所述特征判定规则判定所述待定流量组是否为已知流量类型。

9.如权利要求8所述的网络流量判定方法，其特征在于，所述根据所述特征提取规则和所述特征判定规则判定所述待定流量组是否为已知流量类型包括：

当根据所述特征提取规则和所述特征判定规则判定所述待定流量组中的所有流量均属于第一已知流量类型时，判定所述待定流量组为已判定流量；

当根据所述特征提取规则和所述特征判定规则判定所述待定流量组中至少两条流量属于不同的流量类型时，判定所述待定流量组为未知流量。

10.如权利要求7所述的网络流量判定方法，其特征在于，所述基于聚类模型，判定所述多条待测定流量是否为已知流量类型包括：

获取多种流量类型；

基于所述多种流量类型，利用有监督聚类模型判定所述多条待测定流量是否属于所述多种流量类型；

将所述多条待测定流量中不属于任意一种流量类型的流量判定为未知流量。

11.如权利要求7所述的网络流量判定方法，其特征在于，所述方法还包括：

获取所述未知流量的特征提取结果和流量分类结果，所述未知流量为被判定不是已知流量类型的待测定流量；

根据所述未知流量的特征提取结果和流量分类结果，更新所述知识库。

12.如权利要求1所述的网络流量判定方法，其特征在于，所述知识库包括流量分类模型，和/或特征提取规则与特征判定规则；

所述流量判定引擎通过所述知识库中的流量分类模型，和/或特征提取规则与特征判定规则，判定所述第一流量的流量类型。