专利一种基于Sketch的加密流量在线分析方法及系统

(19)国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202211053892.2 (22)申请日 2022.08.31 (71)申请人济南大学地址 250022 山东省济南市市中区南辛庄西路336号 (72)发明人彭立志　吕梦达　郝逸航　李辉　 (74)专利代理机构济南圣达知识产权代理有限公司 372 21 专利代理师李圣梅 (51)Int.Cl. H04L 43/0876(2022.01) H04L 43/16(2022.01) H04L 43/12(2022.01) H04L 9/40(2022.01) (54)发明名称一种基于Sketch的加密流量在线分析方法及系统 (57)摘要本发明公开了一种基于Sketch的加密流量在线分析方法及系统，属于网络安全技术领域。包括采集原始网络流量数据；提取原始网络流量数据的五元组信息及统计特征信息，统计特征信息包括负载大小和到达时间，过滤负载大小小于第一阈值的数据包；根据五元组信息，获取流，计算流ID；根据流的统计特征信息，利用Sketch数据结构对流进行粗粒度识别，划分流的重要程度，保留重要程度超过第二阈值的流的信息。能够低内存占用和高处理速度的前提下实现对加密流量较为可靠的在线识别分析，解决了现有技术中存在“算力占用高、内存占用大、处理速度慢和难以在线识别 ”的问题。权利要求书2页说明书7页附图4页 CN 115378850 A 2022.11.22 CN 115378850 A 1.一种基于Sketc h的加密流量在线分析方法，其特征是，包括：采集原始网络流量数据；提取原始网络流量数据的五元组信息及统计特征信息，统计特征信息包括负载大小和到达时间；根据负载大小，过滤负载大小小于第一阈值的数据包；根据五元组信息，获取流，计算流ID；根据流的统计特征信息，利用Sketch数据结构对流进行粗粒度识别，划分流的重要程度，保留重要程度超过第二阈值的流的信息。 2.如权利要求1所述的基于Sketch的加密流量在线分析方法，其特征是，计算流ID 之后还包括：根据流 ID，判断该流是否为新流；若为新流，保存该流 ID、五元组信息和到达时间。 3.如权利要求1所述的基于Sketch的加密流量在线分析方法，其特征是，所述根据流的统计特征信息，利用Sketc h数据结构对流进行粗粒度识别，划分流的重要程度包括：对流进行周期性度量；根据流的流频度和流持久度对流进行重要程度划分。 4.如权利要求3所述的基于Sketch的加密流量在线分析方法，其特征是，所述流频度为一个流在其所有出现过的周期中，周期内频数符合给定区间的程度；所述流持久度为一个流的持续程度。 5.如权利要求1所述的基于Sketch的加密流量在线分析方法，其特征是，所述Sketch数据结构包括位数组、二维数组桶、时钟扫描模块、重要性度量函数和超参数；所述位数组用于判断是否满流，所述二维数组桶用于存储流内数据包的负载大小和到达时间以及流的 ID、负载大小、频度和持久度，所述时钟扫描模块用于对流进行周期性度量，所述重要性度量函数用于根据流频度和流持久度获取流的重要程度，所述超参数用于维持对流进行周期性度量。 6.如权利要求1所述的基于Sketch的加密流量在线分析方法，其特征是，根据采集流量的需求，设置是否使用捕获过滤器和/或远程捕获。 7.如权利要求1所述的基于Sketch的加密流量在线分析方法，其特征是，所述负载大小为数据包传输层有效负载的大小，所述到达时间为数据包被网络设备记录在其存储介质上时网络设备的内核时间，所述五元组信息包括数据包的源IP地址、源端口、目的IP地址、目的端口和协议类型信息。 8.一种基于Sketc h的加密流量在线分析系统，其特征是，包括：流量采集模块，用于采集原始网络流量数据；流量清洗模块，用于提取原始网络流量数据的五元组信息及统计特征信息，统计特征信息包括负载大小和到达时间；过滤负载大小小于第一阈值的数据包；根据五元组信息，获取流，计算流ID；流量分析模块，用于根据流的统计特征信息，利用Sketch数据结构对流进行粗粒度识别，划分流的重要程度，保留重要程度超过第二阈值的流的信息。 9.一种电子设备，其特征在于，包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令，所述计算机指令被处理器运行时，完成权利要求 1‑7任一项所述的步骤。权　利　要　求　书 1/2 页 2 CN 115378850 A 210.一种计算机可读存储介质，其特征在于，用于存储计算机指令，所述计算机指令被处理器执行时，完成权利要求1 ‑7任一项所述的的步骤。权　利　要　求　书 2/2 页 3 CN 115378850 A 3

专利 一种基于Sketch的加密流量在线分析方法及系统

专利一种基于Sketch的加密流量在线分析方法及系统