[发明专利]异常流量的分离过滤方法、系统、存储介质及电子设备

权利要求书

1.一种异常流量的分离过滤方法，其特征在于，包括：

步骤1，根据读取热配置文件中过滤后网络流量速度判定是否进行首次流量过滤；

步骤2，若判定结果为进行首次流量过滤，则，获取异常流量统计时间窗口，并统计所述异常流量统计时间窗口内的第一单包信息集；

步骤3，对所述第一单包信息集进行处理，得到第一会话字典，对所述第一会话字典进行聚类计算，得到异常会话集；

步骤4，根据所述异常会话集设置第一抓包过滤条件，完成抓包过滤后，获取抓包过滤后的第一实时网络流量速度，根据所述第一实时网络流量速度完成热配置文件的更新；

步骤3具体为：

将所述第一单包信息集的信息进行统计，得到第一会话字典，对所述第一会话字典进行聚类计算，得到异常会话集；其中，所述第一会话字典包括m个会话，每个会话由一个键值对key-value组成，其中，key为四元组，所述四元组包括：源IP地址、目的IP地址、源端口以及目的端口，value为在所述第一单包信息集中所有四元组的字节数和所有四元组的包数进行合并之后的值，所述得到异常会话集的过程为：以每一个会话(session)的字节数和包数(value)为基准，将流量异常的一批会话作为异常会话集；

步骤4具体为：

根据所述异常会话集中每个异常会话的四元组信息设置第一抓包过滤条件，完成抓包过滤后，获取抓包过滤后的第一实时网络流量速度，将所述第一实时网络流量速度更新至所述热配置文件中的过滤后网络流量速度，并将所述热配置文件中的过滤次数更新为1。

2.根据权利要求1所述的一种异常流量的分离过滤方法，其特征在于，步骤1具体为：

读取热配置文件中的过滤后网络流量速度，判断所述过滤后网络流量速度是否为0，若不为0，则，进行第n次流量过滤，若为0，则，进行所述首次流量过滤，其中，n≥2。

3.根据权利要求1所述的一种异常流量的分离过滤方法，其特征在于，步骤1之前还包括：

实时获取设备的网络流量速度以及待处理网络包个数，并判断是否需要进行过滤，判定方法包括：判断实时网络流量速度是否超过处理流量阈值以及待处理网络包个数是否超过处理网络包个数阈值，若二者均超过所述阈值，则判定为需要进行过滤；

或根据是否收到网络包预处理进程发送的过滤通知判定是否进行过滤，若收到通知，则判定为需要进行过滤。

4.根据权利要求2所述的一种异常流量的分离过滤方法，其特征在于，所述第n次流量过滤具体过程为：

统计所述异常流量统计时间窗口内的第n单包信息集，对所述第n单包信息集中每个会话的原value进行累加处理，将累加处理结果替换原value，得到新的第n单包信息集，根据所述新的第n单包信息集生成第n会话字典，以第n会话字典中每个会话的value为条件对第n会话字典进行降序排列，提取排序后的第n会话字典中第一个会话的四元组信息，根据所述第一个会话的四元组信息生成本次初始抓包过滤条件，将第n-1抓包过滤条件与所述本次初始抓包过滤条件合并生成第n抓包过滤条件，完成抓包过滤后，获取抓包过滤后的第n实时网络流量速度，将所述第n实时网络流量速度更新至所述热配置中的过滤后网络流量速度，并将所述热配置文件中的过滤次数加1。