(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111490191.0 (22)申请日 2021.12.08 (71)申请人 恒安嘉新(北京)科技股份公司 地址 100086 北京市海淀区北三环西路25 号27号楼五层5 002室 (72)发明人 李蓉　王宜阳　胡赢　王泽政　 李鹏超　尚程　田野　梁彧　傅强　 蔡琳　杨满智　王杰　金红　 陈晓光　 (74)专利代理 机构 北京品源专利代理有限公司 11332 代理人 杨义 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/23(2019.01)G06F 16/28(2019.01) G06K 9/62(2022.01) (54)发明名称 一种网络流量的识别方法、 装置、 设备及介 质 (57)摘要 本发明实施例公开了一种网络流量的识别 方法、 装置、 设备及介质， 该方法包括： 当检测到 镜像数据训练设备发送的异常流量特征和流量 分类的对应关系时， 根据 异常流量特征和流量分 类的对应关系， 对第一数据库中的流量特征和流 量分类的对应 关系进行增量更新； 获取待识别网 络流量， 并根据增量更新后的流量特征和流量分 类的对应关系， 对待识别网络流量进行流量识 别， 获取待识别网络流量的流量分类。 本发明实 施例的技术方案， 通过根据 异常流量特征和流量 分类的对应关系， 对第一数据库中的流量特征和 流量分类的对应 关系进行增量更新， 可以降低网 络流量的处理时延， 可以实现对网络流量的实时 识别， 且可以实现对未知网络流 量的准确识别。 权利要求书2页 说明书12页 附图6页 CN 114172728 A 2022.03.11 CN 114172728 A 1.一种网络流 量的识别方法， 其特 征在于， 应用于全流 量处理设备， 包括： 当检测到镜像数据训练设备发送的异常流量特征和流量分类的对应关系时， 根据 所述 异常流量特征和流量分类的对应关系， 对第一数据库中的流量特征和流量分类的对应关系 进行增量更新； 获取待识别网络流量， 并根据增量更新后的流量特征和流量分类的对应关系， 对所述 待识别网络流 量进行流 量识别， 获取 所述待识别网络流 量的流量分类。 2.根据权利要求1所述的方法， 其特征在于， 根据增量更新后的流量特征和流量分类的 对应关系， 对所述待识别网络流量进 行流量识别， 获取所述待识别网络流量的流量分类， 包 括： 确定所述待识别网络流量的协议类型， 并根据所述协议类型， 对所述待识别网络流量 进行预设特征字段提取， 获取 所述待识别网络流 量对应的流 量特征； 判断所述增量更新后的流量特征和流量分类的对应关系中， 是否包括与所述待识别网 络流量对应的流 量特征匹配的目标流 量特征； 若是， 则将所述目标流量特征对应的流量分类， 确定为所述待识别网络流量的流量分 类。 3.一种网络流 量的识别方法， 其特 征在于， 应用于 镜像数据训练设备， 包括： 当检测到核心 交换机发送的镜像流量 时， 根据第 二数据库中的流量特征和流量分类的 对应关系， 对所述镜像流量进 行流量识别； 并根据流量识别结果， 在所述镜像流量中获取无 法确定流 量分类的异常流 量； 通过k均值聚类算法对所述异常流量进行聚类处理， 获取所述异常流量对应的多个聚 类簇， 以及各聚类簇分别对应的流 量分类； 根据各聚类簇 中各异常流量的共有流量特征， 获取各聚类簇对应的异常流量特征和流 量分类的对应关系， 并将所述各聚类簇对应的异常流量特征和流量分类的对应关系反馈至 核心交换机， 以通过 所述核心交换机转发至全流 量处理设备。 4.根据权利要求3所述的方法， 其特征在于， 在获取各聚类簇对应的异常流量特征和流 量分类的对应关系之后， 还 包括： 根据所述各聚类簇对应的异常流量特征和流量分类的对应关系， 对第 二数据库中的流 量特征和流量分类的对应关系进行增量更新。 5.根据权利要求3所述的方法， 其特征在于， 根据第 二数据库中的流量特征和流量分类 的对应关系， 对所述镜像流量进 行流量识别； 并根据流量识别结果， 在所述镜像流量中获取 无法确定流 量分类的异常流 量， 包括： 获取所述镜像流量对应的流量特征， 并将所述镜像流量对应的流量特征， 与第二数据 库中的流 量特征和流量分类的对应关系中的各流 量特征进行匹配对比； 若检测到部分镜像流量对应的流量特征， 与第 二数据库中流量特征和流量分类的对应 关系中的各流 量特征均不匹配， 则将所述部分镜像流 量确定为异常流 量。 6.根据权利要求3所述的方法， 其特征在于， 根据第 二数据库中的流量特征和流量分类 的对应关系， 对所述镜像流量进 行流量识别； 并根据流量识别结果， 在所述镜像流量中获取 无法确定流 量分类的异常流 量， 包括： 将所述镜像流量划分为未加密流量和加密流量， 并根据第 二数据库中的流量特征和流权　利　要　求　书 1/2 页 2 CN 114172728 A 2量分类的对应关系， 对所述加密流 量进行流 量识别； 根据所述加密流量的流量识别结果， 在所述加密流量中获取无法确定流量分类的异常 流量。 7.一种网络流 量的识别装置， 其特 征在于， 应用于全流 量处理设备， 包括： 第一数据库 更新模块， 用于当检测到镜像数据训练设备发送的异常流量特征和流量分 类的对应关系时， 根据所述异常流量特征和流量分类的对应关系， 对第一数据库中的流量 特征和流量分类的对应关系进行增量更新； 流量分类获取模块， 用于获取待识别网络流量， 并根据增量更新后的流量特征和流量 分类的对应关系， 对所述待识别网络流量进行流量识别， 获取所述待识别网络流量的流量 分类。 8.一种网络流 量的识别装置， 其特 征在于， 应用于 镜像数据训练设备， 包括： 异常流量确定模块， 用于当检测到核心交换机发送的镜像流量时， 根据第二数据库中 的流量特征和流量分类的对应 关系， 对所述镜像流量进 行流量识别； 并根据流量识别结果， 在所述镜像流 量中获取 无法确定流 量分类的异常流 量； 聚类处理模块， 用于通过k均值聚类算法对所述异常流量进行聚类处理， 获取所述异常 流量对应的多个聚类簇， 以及各聚类簇分别对应的流 量分类； 对应关系反馈模块， 用于根据各聚类簇中各异常流量的共有流量特征， 获取各聚类簇 对应的异常流量特征和流量分类的对应关系， 并将所述各聚类簇对应的异常流量特征和流 量分类的对应关系反馈 至核心交换机， 以通过 所述核心交换机转发至全流 量处理设备。 9.一种电子设备， 其特 征在于， 包括： 一个或多个处 理器； 存储器， 用于存 储一个或多个 计算机程序； 当所述一个或多个计算机程序被所述一个或多个处理器执行， 使得所述一个或多个处 理器执行所述计算机程序时实现如权利要求 1或2所述的网络流量的识别方法， 或者 实现如 权利要求3 ‑6中任一所述的网络流 量的识别方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该计算机程序被 处理器执行时实现如权利要求1或2所述的网络流量的识别方法， 或者实现如权利要求3 ‑6 中任一所述的网络流 量的识别方法。权　利　要　求　书 2/2 页 3 CN 114172728 A 3