网络会话数据标注与自动关联的方法.pdf

《网络会话数据标注与自动关联的方法.pdf》由会员分享，可在线阅读，更多相关《网络会话数据标注与自动关联的方法.pdf（10页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910840735.8 (22)申请日 2019.09.06 (71)申请人 成都深思科技有限公司 地址 610000 四川省成都市高新区天府大 道北段1700号7栋1单元2119号 (72)发明人 刘洋邓金祥代先勇谷峰 曾海刚王文武佘朝裕 (74)专利代理机构 北京天奇智新知识产权代理 有限公司 11340 代理人 杨春 (51)Int.Cl. G06F 16/35(2019.01) G06F 16/33(2019.01) (54)发明名称 网络会话数据标注与自动关联的方。

2、法 (57)摘要 本发明公开了一种网络会话数据标注与自 动关联的方法， 包括以下步骤： 步骤1， 在系统内 建立针对网络会话数据源集合的多维分类标注； 步骤2， 将网络会话数据源集合导入系统， 使用多 维分类标注标记会话数据， 并将标记生成标记 ID； 步骤3， 根据标注分类的不同对所有的会话数 据进行三次遍历匹配， 第一次遍历匹配精确项， 第二次遍历匹配第一次匹配结果中的范围项， 第 三次遍历匹配第二次匹配结果中的模糊项， 将第 三次匹配到的会话数据与标记ID关联保存。 本发 明能够实现网络会话数据的多分类统计， 将分析 成果应用到整个会话数据中， 使分析成功扩大 化， 相比现有系统靠人工逐。

3、条分析手动记录无法 自动关联的方式， 大大的提高了数据的分析对比 效率。 权利要求书1页 说明书4页 附图4页 CN 110569360 A 2019.12.13 CN 110569360 A 1.网络会话数据标注与自动关联的方法， 其特征在于， 包括以下步骤： 步骤1， 在系统内建立针对网络会话数据源集合的源/目标IP、 源/目标端口、 源/目标 MAC、 会话协议、 异常类型、 发送/接收/整体负载、 发送/接收/整体包数、 持续时长、 域名、 URL、 内容详情的多维分类标注； 步骤2， 将网络会话数据源集合导入系统， 使用多维分类标注标记会话数据， 并将标记 生成标记ID； 步骤3， 。

4、根据标注分类的不同对所有的会话数据进行三次遍历匹配， 第一次遍历匹配精 确项， 第二次遍历匹配第一次匹配结果中的范围项， 第三次遍历匹配第二次匹配结果中的 模糊项， 将第三次匹配到的会话数据与标记ID关联保存， 其中精确项包括源/目标IP、 源/目 标MAC、 源/目标端口、 会话协议、 异常类型， 范围项包括发送/接收/整体负载、 发送/接收/整 体包数、 持续时长， 模糊项包括域名、 URL、 内容详情。 2.根据权利要求1所述的网络会话数据标注与自动关联的方法， 其特征在于， 步骤3中， 应用多线程分段的方式对会话数据进行遍历匹配， 线程条数自由配置， 分段数量总会话 数据条数线程条数，。

5、 每段数量总会话数据条数分段数量， 若有余数则将余下的数据 自第一段数据开始均匀放入， 每段数据的匹配结果拼接到一起为匹配结果集。 权利要求书 1/1 页 2 CN 110569360 A 2 网络会话数据标注与自动关联的方法 技术领域 0001 本发明涉及数据统计技术领域， 尤其涉及一种网络会话数据标注与自动关联的方 法。 背景技术 0002 随着计算机技术和互联网的发展， 宽带速率的提高和费用的降低， 5G技术的到来 和物联网的普及， 使得人们的生活和工作与网络的联系越发紧密， 网络会话数量呈几何级 增长， 轻易便能达到数亿级别。 当分析专家在如茫茫大海一般的海量数据中， 经过长期的层 层。

6、筛选分析得到或可疑、 或安全、 或威胁的会话数据后， 技术人员要把筛选分析得到的会话 数据记录下来， 并应用到其它数据的分析对比中去。 故本领域亟需一种网络会话数据标注 与自动关联的方法。 发明内容 0003 本发明的目的就在于为了解决上述问题而提供一种网络会话数据标注与自动关 联的方法。 0004 为了实现上述目的， 本公开提供一种网络会话数据标注与自动关联的方法， 包括 以下步骤： 0005 步骤1， 在系统内建立针对网络会话数据源集合的源/目标IP、 源/目标端口、 源/目 标MAC、 会话协议、 异常类型、 发送/接收/整体负载、 发送/接收/整体包数、 持续时长、 域名、 URL、 。

7、内容详情的多维分类标注； 0006 步骤2， 将网络会话数据源集合导入系统， 使用多维分类标注标记会话数据， 并将 标记生成标记ID； 0007 步骤3， 根据标注分类的不同对所有的会话数据进行三次遍历匹配， 第一次遍历匹 配精确项， 第二次遍历匹配第一次匹配结果中的范围项， 第三次遍历匹配第二次匹配结果 中的模糊项， 将第三次匹配到的会话数据与标记ID关联保存， 其中精确项包括源/目标IP、 源/目标MAC、 源/目标端口、 会话协议、 异常类型， 范围项包括发送/接收/整体负载、 发送/接 收/整体包数、 持续时长， 模糊项包括域名、 URL、 内容详情。 0008 本发明的有益效果在于：。

8、 0009 1、 本发明建立多维分类标注， 并将匹配数据与标记ID相关联， 实现网络会话数据 的多分类统计， 将分析专家的经验技术与现代计算机高并发、 多任务、 高效率的计算优势相 结合， 通过简单的操作， 便能将专家的分析成果应用到整个会话数据中， 使分析成功扩大 化， 相比现有系统靠人工逐条分析手动记录无法自动关联的方式， 大大的提高了数据的分 析对比效率； 0010 2、 本发明涉及的数据的遍历匹配方式， 先匹配简单的条件再匹配复杂的条件， 高 效地缩小数据范围， 提高匹配效率。 说明书 1/4 页 3 CN 110569360 A 3 附图说明 0011 附图是用来提供对本公开的进一步。

9、理解， 并且构成说明书的一部分， 与下面的具 体实施方式一起用于解释本公开， 但并不构成对本公开的限制。 在附图中： 0012 图1是应用本发明所述的网络会话数据标注与自动关联的方法的操作页面； 0013 图2是应用本发明所述的网络会话数据标注与自动关联的方法的标注配置页面； 0014 图3是本发明所述的网络会话数据标注与自动关联的方法的三轮次多线程并发会 话数据匹配流程； 0015 图4是应用本发明所述的网络会话数据标注与自动关联的方法的操作细节图； 0016 图5是应用本发明所述的网络会话数据标注与自动关联的方法的操作细节图。 具体实施方式 0017 以下对本公开的具体实施方式进行详细说明。

10、。 应当理解的是， 此处所描述的具体 实施方式仅用于说明和解释本公开， 并不用于限制本公开。 0018 本发明涉及的网络会话数据标注与自动关联的方法， 包括以下步骤： 0019 步骤1， 在系统内建立针对网络会话数据源集合的源/目标IP、 源/目标端口、 源/目 标MAC、 会话协议、 异常类型、 发送/接收/整体负载、 发送/接收/整体包数、 持续时长、 域名、 URL、 内容详情的多维分类标注； 0020 步骤2， 将网络会话数据源集合导入系统， 使用多维分类标注标记会话数据， 并将 标记保存为一条单独的记录， 并生成标记ID； 0021 步骤3， 根据标注分类的不同对所有的会话数据进行三。

11、次遍历匹配， 第一次遍历匹 配精确项， 第二次遍历匹配第一次匹配结果中的范围项， 第三次遍历匹配第二次匹配结果 中的模糊项， 将第三次匹配到的会话数据与标记ID关联保存， 其中精确项包括源/目标IP、 源/目标MAC、 源/目标端口、 会话协议、 异常类型， 范围项包括发送/接收/整体负载、 发送/接 收/整体包数、 持续时长， 模糊项包括域名、 URL、 内容详情。 0022 进一步地， 步骤3中， 应用多线程分段的方式对会话数据进行遍历匹配， 线程条数 自由配置， 分段数量总会话数据条数线程条数， 每段数量总会话数据条数分段数 量， 若有余数则将余下的数据自第一段数据开始均匀放入， 达到数。

12、据基本均分的目的， 最终 每段数据的匹配结果拼接到一起为匹配结果集。 0023 第一次遍历匹配在所有的会话数据中进行， 第二次遍历匹配在第一次匹配的结果 集中进行， 第三次遍历匹配在第二次匹配的结果集中进行， 通过先匹配简单的条件再匹配 复杂的条件的匹配方式， 高效地缩小数据范围， 提高匹配效率。 0024 本发明涉及的网络会话数据标注与自动关联的方法支持对任意会话数据行进行 标注， 同时在标注时支持多种类型的条件， 包括源/目标IP、 源/目标MAC、 源/目标端口、 会话 协议、 异常类型、 发送/接收/整体负载、 发送/接收/整体包数、 持续时长、 域名、 URL、 内容详 情。 本发明。

13、建立多维分类标注， 并将匹配数据与标记ID相关联， 实现网络会话数据的多分类 统计， 将分析专家的经验技术与现代计算机高并发、 多任务、 高效率的计算优势相结合， 通 过简单的操作， 便能将专家的分析成果应用到整个会话数据中， 使分析成功扩大化， 相比现 有系统靠人工逐条分析手动记录无法自动关联的方式， 大大的提高了数据的分析对比效 率。 说明书 2/4 页 4 CN 110569360 A 4 0025 应用本发明的系统的具体实施方式如下： 0026 步骤一： 通过外部得到已经完成采集与治理好的会话数据源集合列表， 将此列表 展示到系统的右侧。 显示列包含有源IP、 源端口、 源MAC、 目。

14、标IP、 目标端口、 目标MAC、 会话协 议、 异常类型、 发送负载、 发送包数、 接收负载、 接收包数、 会话负载、 会话包数、 持续时长、 开 始时间、 结束时间、 异常类型、 域名、 URL、 内容详情。 如图1右侧部分所示。 0027 步骤二： 完成步骤一后， 分析专家可在会话数据源列表中进行逐步分析， 当发现某 条会话可能存在异常时， 可通过右键点击会话所在行， 并在弹出的右键菜单项目中选择铅 笔图标的按钮， 最后呈现出会话数据标注配置页面。 如图2 所示。 0028 步骤三： 在会话数据标注页面打开时， 会自动将会话中可用于标记的条件展示出 来。 分别是源/目标IP、 源/目标M。

15、AC、 源/目标端口、 会话协议、 异常类型、 发送/接收/整体负 载、 发送/接收/整体包数、 持续时长、 域名、 URL、 内容详情。 其中源/目标IP、 源/目标MAC、 源/ 目标端口、 会话协议、 异常类型只支持精确匹配， 发送/接收/整体负载、 发送/接收/整体包 数、 持续时长支持精确与范围匹配， 域名、 URL、 内容详情支持精确与模糊匹配。 如图2所示。 0029 步骤四： 通过步骤二、 三完成对标记信息的配置后， 系统将自动开启后台任务， 并 启动多条线程， 对所有的会话数据进行分组逐一的遍历比较。 比较分为三轮进行， 第一轮只 匹配精确项， 第二轮只匹配范围项， 第三轮只。

16、匹配模糊项， 这样可以高效的缩小匹配范围， 得到最终的匹配项目。 最后将匹配到的所有项目添加标记信息， 并记录到标记书签中。 如图 3所示。 0030 步骤五： 完成步骤四自动关联后的所有会话数据都会显示在标记书签中。 标记书 签显示为一个二层的树形结构， 树的顶级节点支持按IP、 端口、 MAC、 协议、 异常来分类， 可由 用户自行切换选择。 树的第二层节点按标记名称的聚合来显示， 并显示符合顶级节点类型 和标注条件关联有多少条会话。 每个第二层节点后都跟随着删除、 编辑按钮， 可以对该标记 进行修改和删除操作， 鼠标悬停在节点上显示节点的标注配置明细信息。 标记书签还支持 模糊查询功能，。

17、 可对第二层节点名称进行模糊匹配。 如图1左侧和图4所示。 0031 步骤六： 标记书签的第二层节点支持双击查看明细操作。 用户双击节点后， 会在右 侧显示出所有系统自动关联到的会话明细数据。 如果某一条会话是有标记信息的， 也能通 过会话的标记图示看出来。 0032 步骤七： 会话明细列表中标注图示分为两类。 其一是会话最左侧的竖条标记图示， 只要该会话被标记了就会显示。 其二是会话行单元格右上角的三角标记图示， 该标记只会 出现在IP、 MAC、 端口、 协议、 异常单元格中， 当会话标记条件与IP、 MAC、 端口、 协议、 异常有关 时就会出现该标记图示。 如图1右侧和图5所示。 00。

18、33 步骤八： 当鼠悬停在标记图示上时， 还会通过浮动窗体的形式显示标记的名称和 条件配置概要信息。 如图5所示。 0034 上述步骤五-步骤七中分类查看功能具体是： 0035 其一通过两层树的方式分类展示所有标记项目， 第一层树节点是分类类型， 第二 层节点是标记的统计结果； 0036 其二第一层树节点分类类型支持动态单选切换， 支持类型有按IP、 端口、 MAC、 协 议、 异常来分类； 0037 其三第二层树节点名称为标记名称， 名称后面显示该标记关联的会话数据条数， 说明书 3/4 页 5 CN 110569360 A 5 鼠标悬停到节点上显示标记的明细条件信息(包含所有可配置且已启用。

19、的条件)， 且节点后 方有编辑与删除标注配置的快捷操作按钮； 0038 其四第二层树节点的名称支持模糊匹配查找， 输入关键字后树种就只显示包含关 键字的节点， 隐藏其它节点； 0039 其五双击第二层树节点， 会刷新右侧会话数据明细列表中展示的内容， 仅显示符 合该节点标记条件的结果集； 0040 其六对于符合任意标记条件的会话明细行， 在行中都会显示特别的标注图示。 标 注图示分为两类。 一是会话最左侧的竖条标记图示， 只要该会话被标记了就会显示。 二是会 话行单元格右上角的三角标记图示， 该标记只会出现在IP、 MAC、 端口、 协议、 异常单元格 中， 当会话标记条件与IP、 MAC、 。

20、端口、 协议、 异常有关时就会出现该标记图示。 当鼠标悬停在 标记图示上时， 还会通过浮动窗体的形式显示标记的名称和条件配置信息。 0041 上述步骤八中分析成果记录、 分享、 扩大化功能具体是： 0042 记录是指对分析成果数据的标记， 标记保存于服务端中， 只要不主动删除便会永 久存在。 分享是指所有的用户都能看到标记项目和标记的结果。 扩大化是指标记是的条件 可以配置为一个范围或模糊匹配， 达到以点盖面的效果。 0043 以上结合附图详细描述了本公开的优选实施方式， 但是， 本公开并不限于上述实 施方式中的具体细节， 在本公开的技术构思范围内， 可以对本公开的技术方案进行多种简 单变型，。

21、 这些简单变型均属于本公开的保护范围。 0044 另外需要说明的是， 在上述具体实施方式中所描述的各个具体技术特征， 在不矛 盾的情况下， 可以通过任何合适的方式进行组合， 为了避免不必要的重复， 本公开对各种可 能的组合方式不再另行说明。 0045 此外， 本公开的各种不同的实施方式之间也可以进行任意组合， 只要其不违背本 公开的思想， 其同样应当视为本公开所公开的内容。 说明书 4/4 页 6 CN 110569360 A 6 图1 图2 说明书附图 1/4 页 7 CN 110569360 A 7 图3 说明书附图 2/4 页 8 CN 110569360 A 8 图4 说明书附图 3/4 页 9 CN 110569360 A 9 图5 说明书附图 4/4 页 10 CN 110569360 A 10 。