基于用户行为关联的网络流量识别系统、方法及介质
申请人信息
- 申请人:南京中孚信息技术有限公司
- 申请人地址:211800 江苏省南京市浦口区江浦街道仁山路1号园区2号楼办公室东侧ER202室
- 发明人: 南京中孚信息技术有限公司
专利详细信息
| 项目 | 内容 |
|---|---|
| 专利名称 | 基于用户行为关联的网络流量识别系统、方法及介质 |
| 专利类型 | 发明授权 |
| 申请号 | CN202311668116.8 |
| 申请日 | 2023/12/7 |
| 公告号 | CN117376034B |
| 公开日 | 2024/3/22 |
| IPC主分类号 | H04L9/40 |
| 权利人 | 南京中孚信息技术有限公司 |
| 发明人 | 蒋荣; 郑威; 郑海树 |
| 地址 | 江苏省南京市浦口区江浦街道仁山路1号园区2号楼办公室东侧ER202室 |
摘要文本
本申请公开了一种基于用户行为关联的网络流量识别系统、方法及介质,主要涉及网络流量识别技术领域,用以解决现有的识别方法难以对网络业务流量进行有效识别的问题。包括:特征编译加载模块,用于加载预设特征库;采集模块,解析获得业务流量信息和用户IP地址;获得对应的用户存储子模块;匹配模块,确定业务流量信息在特征规则集合中匹配的特征规则;确定业务流量信息与匹配的特征规则是否匹配成功;设置模块,在确定匹配成功后,确定业务流量信息对应的关联事件编号是否存在对应的连续存储子单元,更新连续存储子单元;老化模块在连续存储子单元中的关联事件结束时间小于当前时间时,删除连续存储子单元并更新关联事件数量。
专利主权项内容
1.一种基于用户行为关联的网络流量识别系统,其特征在于,所述系统包括:特征编译加载模块,用于加载预设特征库;其中,预设特征库包含特征规则集合、业务流量信息与关联事件特征规则之间的第一映射关系、业务流量信息与关联事件之间的第二映射关系、预设规则表达式,特征规则集合包括若干特征规则,特征规则包含规则属性和规则编号,关联事件包含关联事件编号和关联事件存活时间;采集模块,用于获取用户数据包,在获取用户数据包后,采集模块,通过逐层解析的方法解析用户数据包,以获得用户字段信息;通过预设提取算法,从用户字段信息中提取业务流量信息,以解析获得业务流量信息和用户IP地址;基于用户IP地址,获得对应的用户存储子模块;其中,用户存储子模块包含用户数据表,用户数据表下存在业务存储单元,且业务存储单元包含预设事件规则队列、连续存储子单元和存储子单元,连续存储子单元用于存储关联事件编号和关联事件结束时间,存储子单元用于存储关联事件数量;其中,采集模块还用于存储用户IP地址与用户存储子模块之间的第三映射关系;在获得用户字段信息后,采集模块,还具体用于将用户字段信息存入报文描述符Pkt文件中;基于报文描述符Pkt文件中的用户IP地址和第三映射关系,确定是否存在对应的用户存储子模块;在不存在对应的用户存储子模块时,创建用户IP地址对应的用户存储子模块,并更新第三映射关系;匹配模块,用于确定业务流量信息在特征规则集合中匹配的特征规则;在匹配的特征规则的规则属性为关联事件属性时,基于第一映射关系、预设事件规则队列和预设规则表达式,确定业务流量信息与匹配的特征规则是否匹配成功;设置模块,用于在确定匹配成功后,基于第二映射关系,确定业务流量信息对应的关联事件编号是否存在对应的连续存储子单元,以在存在对应的连续存储子单元时,基于关联事件存活时间更新连续存储子单元中的关联事件结束时间;以在不存在对应的连续存储子单元时,新增更新连续存储子单元并更新关联事件数量;老化模块,用于遍历用户数据表下全部连续存储子单元,以在连续存储子单元中的关联事件结束时间小于当前时间时,删除连续存储子单元并更新关联事件数量。