[发明专利]一种特征判定规则建立以及网络流量判定方法和系统

权利要求书

1.一种特征判定规则建立方法，其特征在于，包括：

采集一段时间内的多条样本流量；

对所述多条样本流量进行聚类，以获得多个样本流量类型；

基于所述多个样本流量类型，建立初始特征提取规则和初始特征判定规则，其中，至少基于所述多个样本流量类型的数量，判定所述初始特征提取规则中的预设位置。

2.如权利要求1所述的特征判定规则建立方法，其特征在于，至少一种样本流量类型包含两种以上不同的网络协议。

3.如权利要求2所述的特征判定规则建立方法，其特征在于，所述至少一种样本流量类型所包含的所述两种以上不同的网络协议中至少有一种所述网络协议需加密传输。

4.如权利要求1所述的特征判定规则建立方法，其特征在于，所述初始特征提取规则中包含多个预设位置，至少一个样本流量类型对应至少一个预设位置的特征数据符合特征判定规则。

5.如权利要求4所述的特征判定规则建立方法，其特征在于，所述至少一个样本流量类型对应至少两个预设位置的特征数据的组合符合特征判定规则。

6.如权利要求1所述的特征判定规则建立方法，其特征在于，所述方法还包括：

针对多个不同的业务模式，分别采用所述规则建立方法建立对应的初始特征提取规则和初始特征判定规则。

7.一种网络流量判定方法，其特征在于，包括：

获取第一流量；

获取特征提取规则和特征判定规则，所述特征提取规则和所述特征判定规则至少根据权利要求1-6中任一项所述的特征判定规则建立方法建立而成；

根据所述特征提取规则在第一流量的预设位置获取所述第一流量的特征数据；

基于所述第一流量的特征数据，根据所述特征判定规则判定所述第一流量的流量类型。

8.如权利要求7所述的网络流量判定方法，其特征在于，所述获取特征提取规则和特征判定规则包括：

根据业务模式判定模型，判定所述第一流量对应的业务模式；

基于所述业务模式调取与所述业务模式相应的所述特征提取规则和所述特征判定规则。

9.如权利要求7所述的网络流量判定方法，其特征在于，所述方法还包括：

基于所述第一流量的流量类型，对所述第一流量采取相应的策略。

10.如权利要求8或9所述的网络流量判定方法，其特征在于，所述策略包括以下中的至少一种：允许访问、不允许访问、上报、告警、特别标记和异常报告。

11.如权利要求7所述的网络流量判定方法，其特征在于，所述方法还包括：

获取多条待测定流量，其中，所述待测定流量包括无法判定流量类型的所述第一流量；

基于聚类模型，判定所述多条待测定流量是否为已知流量类型；

获取未知流量的特征提取结果和流量分类结果，所述未知流量为被判定不是已知流量类型的待测定流量；

根据所述未知流量的特征提取结果和流量分类结果，更新所述特征提取规则与所述特征判定规则。

12.如权利要求7所述的网络流量判定方法，其特征在于，所述方法还包括：

获取流量类型相同的多条流量；

对所述多条流量进行聚类，并基于聚类后流量之间的相似度获取所述多条流量中的至少部分流量；

提取所述至少部分流量的特征数据；

基于所述至少部分流量的所述特征数据，更新所述特征提取规则和/或所述特征判定规则。