[发明专利]一种不降低TCP会话数据价值密度的聚合方法

权利要求书

1.一种不降低TCP会话数据价值密度的聚合方法，其特征在于：包括以下步骤：

a. 采集网络流量，将TCP会话中的数据帧进行重组和去重；

b. 遍历重组和去重后的TCP会话，分别进行三次握手是否成功、是否为有效通讯负载和是否为有效服务的判断；

其中，判断是否为有效通讯负载具体指：TCP会话中，在负载层，双向流量合计后需满足以下2个条件：

b₁. 总计包含有不小于60字节的数据传输；

b₂. 大于2个的数据帧个数；

其中，判断是否为有效服务具体指：通过DPI、DFI、网络行为或者常用提供服务的端口，识别应用层协议，确定访问服务类型以及相应的服务端和客户端；

c. 将判断为三次握手成功记为条件A，判断为有效通讯负载记为条件B，判断为有效服务记为条件C，按照以下顺序进行组合判断，实现对TCP会话进行分类：

ⅰ. 若同时满足条件A、条件B和条件C或者同时满足条件B和条件C，则将其分类为识别会话；

ⅱ. 若同时满足条件A和条件B或者仅满足条件B，则将其分类为未知会话；

ⅲ. 若仅满足条件A，则将其分类为可疑测探会话；

ⅳ. 若为其他情况，则将其分类为可疑扫描会话；

d. 将识别会话、未知会话、可疑测探会话、可疑扫描会话分别按照以下方法进行数据聚合：

若为识别会话或未知会话，则保留完整四元组，不进行合并，所述四元组包括客户端IP、客户端端口、服务器IP和服务器端口；

若为可疑测探会话，根据三次握手的数据包，根据三次握手方向进行合并，将数据包中的客户端IP、服务器IP和服务器端口为key进行数据聚合，并且记录聚合次数；

若为可疑扫描会话，将客户端IP和服务器IP为key进行聚合，并记录聚合次数。

2.根据权利要求1所述的一种不降低TCP会话数据价值密度的聚合方法，其特征在于：所述步骤d中，若为识别会话或未知会话，数据聚合后，则会话完毕存储一次，若为可疑测探会话或可疑扫描会话，进行数据聚合后，进行缓存等待。

3.根据权利要求1所述的一种不降低TCP会话数据价值密度的聚合方法，其特征在于：所述步骤b中判断三次握手是否成功具体指：包含完整的SYN-SYNACK-ACK步骤，所述SYN-SYNACK-ACK为TCP三次握手过程。