本技術(shù)涉及網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及一種流量分析方法、設(shè)備、存儲(chǔ)介質(zhì)及程序產(chǎn)品。

背景技術(shù)：

1、在當(dāng)前的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)結(jié)構(gòu)以及連接方式錯(cuò)綜復(fù)雜，各種型號(hào)的網(wǎng)絡(luò)設(shè)備層出不窮，隨之而來的就是數(shù)據(jù)量的增多。因此，現(xiàn)有技術(shù)進(jìn)行流量數(shù)據(jù)分析的難點(diǎn)在于數(shù)據(jù)量大、計(jì)算需求不容易滿足，需要強(qiáng)大存儲(chǔ)能力、高計(jì)算能力的軟硬件支持。

技術(shù)實(shí)現(xiàn)思路

1、本技術(shù)提供一種流量分析方法、設(shè)備、存儲(chǔ)介質(zhì)及程序產(chǎn)品，能夠有針對(duì)性的進(jìn)行流量分析，減少軟硬件資源的消耗。

2、第一方面，本技術(shù)提供一種流量分析方法，包括：獲取預(yù)設(shè)時(shí)間周期內(nèi)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)基于預(yù)設(shè)時(shí)間周期內(nèi)的網(wǎng)絡(luò)流量數(shù)據(jù)生成；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)用于反映預(yù)設(shè)時(shí)間周期內(nèi)各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)之間的流量交互情況；基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，確定存在流量異常情況的目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)；對(duì)目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)的流量數(shù)據(jù)進(jìn)行分析。

3、本技術(shù)提供的流量分析方法中，基于預(yù)設(shè)時(shí)間周期內(nèi)的網(wǎng)絡(luò)流量數(shù)據(jù)生成的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不僅能標(biāo)記網(wǎng)絡(luò)環(huán)境中每一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)以及網(wǎng)絡(luò)節(jié)點(diǎn)之間的聯(lián)系，重要的是，可以直觀地反映網(wǎng)絡(luò)節(jié)點(diǎn)之間的流量情況，因此，本技術(shù)能夠依據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)準(zhǔn)確地確定出存在流量異常情況的目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)，針對(duì)性的對(duì)目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行流量分析，減少了數(shù)據(jù)分析量，對(duì)軟硬件的存儲(chǔ)能力和計(jì)算能力要求較低，因此本技術(shù)的流量分析的過程相對(duì)于現(xiàn)有技術(shù)減少了軟硬件資源的消耗。

4、一種可能的實(shí)現(xiàn)方式，流量交互情況包括以下至少一項(xiàng)：網(wǎng)絡(luò)節(jié)點(diǎn)之間的連接、數(shù)據(jù)流向、流量概率、流量風(fēng)險(xiǎn)期望值、流量的協(xié)議類型、基于每類協(xié)議傳輸?shù)牧髁俊⒚款悈f(xié)議的告警權(quán)重；其中，流量風(fēng)險(xiǎn)期望值用于反映網(wǎng)絡(luò)節(jié)點(diǎn)之間的流量中出現(xiàn)告警流量的概率；每類協(xié)議的告警權(quán)重用于反映基于每類協(xié)議傳輸?shù)牧髁恐谐霈F(xiàn)告警流量的概率。

5、另一種可能的實(shí)現(xiàn)方式，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)包括存在連接關(guān)系的第一網(wǎng)絡(luò)節(jié)點(diǎn)和第二網(wǎng)絡(luò)節(jié)點(diǎn)，其中，流量從第一網(wǎng)絡(luò)節(jié)點(diǎn)流向第二網(wǎng)絡(luò)節(jié)點(diǎn)；則第一網(wǎng)絡(luò)節(jié)點(diǎn)和第二網(wǎng)絡(luò)節(jié)點(diǎn)之間的流量風(fēng)險(xiǎn)期望值基于以下參數(shù)確定：與第一網(wǎng)絡(luò)節(jié)點(diǎn)連接的其他網(wǎng)絡(luò)節(jié)點(diǎn)與第一網(wǎng)絡(luò)節(jié)點(diǎn)之間的流量總和、第一網(wǎng)絡(luò)節(jié)點(diǎn)與第二網(wǎng)絡(luò)節(jié)點(diǎn)之間的協(xié)議類型、第一網(wǎng)絡(luò)節(jié)點(diǎn)與第二網(wǎng)絡(luò)節(jié)點(diǎn)之間基于每類協(xié)議傳輸?shù)牧髁俊⒌谝痪W(wǎng)絡(luò)節(jié)點(diǎn)與第二網(wǎng)絡(luò)節(jié)點(diǎn)之間的每類協(xié)議的告警權(quán)重。

6、又一種可能的實(shí)現(xiàn)方式，流量風(fēng)險(xiǎn)期望值滿足以下公式：

7、

8、其中，pij表示第一網(wǎng)絡(luò)節(jié)點(diǎn)i到第二網(wǎng)絡(luò)節(jié)點(diǎn)j的流量風(fēng)險(xiǎn)期望值；表示與第一網(wǎng)絡(luò)節(jié)點(diǎn)i連接的其他網(wǎng)絡(luò)節(jié)點(diǎn)k與第一網(wǎng)絡(luò)節(jié)點(diǎn)i之間的流量總和；wik表示與第一網(wǎng)絡(luò)節(jié)點(diǎn)i連接的其他網(wǎng)絡(luò)節(jié)點(diǎn)k之間的流量大小；ps表示第一網(wǎng)絡(luò)節(jié)點(diǎn)i與第二網(wǎng)絡(luò)節(jié)點(diǎn)j之間基于s類協(xié)議傳輸?shù)牧髁康拇笮。籥s表示第一網(wǎng)絡(luò)節(jié)點(diǎn)i與第二網(wǎng)絡(luò)節(jié)點(diǎn)j之間的s類協(xié)議的告警權(quán)重；m表示第一網(wǎng)絡(luò)節(jié)點(diǎn)i與第二網(wǎng)絡(luò)節(jié)點(diǎn)j之間的協(xié)議類型的數(shù)量；n表示與第一網(wǎng)絡(luò)節(jié)點(diǎn)i連接的所有網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)量。

9、又一種可能的實(shí)現(xiàn)方式，每類協(xié)議的告警權(quán)重基于以下至少一項(xiàng)確定：基于每類協(xié)議傳輸?shù)牧髁康牧髁磕Ｊ剑黄渲校髁磕Ｊ桨ㄕＡ髁亢凸袅髁浚话踩O(shè)備節(jié)點(diǎn)中針對(duì)每類協(xié)議的流量配置的攻擊防護(hù)參數(shù)。

10、又一種可能的實(shí)現(xiàn)方式，流量異常情況包括以下至少一項(xiàng)：網(wǎng)絡(luò)節(jié)點(diǎn)之間的流量概率大于第一閾值；網(wǎng)絡(luò)節(jié)點(diǎn)之間流量風(fēng)險(xiǎn)期望值大于第二閾值。

11、又一種可能的實(shí)現(xiàn)方式，目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)包括存在連接關(guān)系的第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)和第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)；目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)的流量數(shù)據(jù)包括第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)和第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)之間基于每類協(xié)議傳輸?shù)牧髁浚粚?duì)目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)的流量數(shù)據(jù)進(jìn)行分析，包括：對(duì)第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)和第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)之間基于每類協(xié)議傳輸?shù)牧髁窟M(jìn)行異常檢測(cè)，得到異常檢測(cè)結(jié)果。

12、又一種可能的實(shí)現(xiàn)方式，第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)與第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)之間的流量協(xié)議的類型包括目標(biāo)協(xié)議類型；上述方法還包括：在異常檢測(cè)結(jié)果指示第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)和第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)之間基于目標(biāo)協(xié)議類型的流量中存在的異常流量和/或攻擊行為的情況下，發(fā)出異常告警信息；告警信息用于指示第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)和第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)之間基于目標(biāo)協(xié)議類型的流量中存在異常。

13、又一種可能的實(shí)現(xiàn)方式，上述方法還包括：基于異常檢測(cè)結(jié)果向決策系統(tǒng)發(fā)送決策請(qǐng)求消息，決策請(qǐng)求消息用于指示決策系統(tǒng)基于異常檢測(cè)結(jié)果確定安全防護(hù)策略，并將安全防護(hù)策略發(fā)送給安全設(shè)備節(jié)點(diǎn)，以使得安全設(shè)備節(jié)點(diǎn)基于安全防護(hù)策略進(jìn)行安全防護(hù)。

14、又一種可能的實(shí)現(xiàn)方式，第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)與第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)之間的流量協(xié)議的類型包括第一協(xié)議類型和第二協(xié)議類型；在異常檢測(cè)結(jié)果包括第一協(xié)議類型的異常檢測(cè)結(jié)果和第二協(xié)議類型的異常檢測(cè)結(jié)果的情況下，安全防護(hù)策略包括第一協(xié)議類型的安全防護(hù)策略和第二協(xié)議類型的安全防護(hù)策略；其中，第一協(xié)議類型的安全防護(hù)策略和第二協(xié)議類型的安全防護(hù)策略的執(zhí)行優(yōu)先級(jí)基于第一協(xié)議類型和第二協(xié)議類型的告警權(quán)重確定，每類協(xié)議的告警權(quán)重用于反映基于每類協(xié)議傳輸?shù)牧髁恐谐霈F(xiàn)告警流量的概率；第一協(xié)議類型的異常檢測(cè)結(jié)果為第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)與第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)之間基于第一協(xié)議類型傳輸?shù)牧髁康漠惓z測(cè)結(jié)果；第二協(xié)議類型的異常檢測(cè)結(jié)果為第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)與第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)之間基于第二協(xié)議類型傳輸?shù)牧髁康漠惓z測(cè)結(jié)果。

15、第二方面，本技術(shù)提供一種流量分析裝置，應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域，該裝置包括：獲取模塊和處理模塊；獲取模塊，用于獲取預(yù)設(shè)時(shí)間周期內(nèi)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)基于預(yù)設(shè)時(shí)間周期內(nèi)的網(wǎng)絡(luò)流量數(shù)據(jù)生成；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)用于反映預(yù)設(shè)時(shí)間周期內(nèi)各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)之間的流量交互情況；處理模塊，用于基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，確定存在流量異常情況的目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)；對(duì)目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)的流量數(shù)據(jù)進(jìn)行分析。

16、一種可能的實(shí)現(xiàn)方式，流量交互情況包括以下至少一項(xiàng)：網(wǎng)絡(luò)節(jié)點(diǎn)之間的連接、數(shù)據(jù)流向、流量概率、流量風(fēng)險(xiǎn)期望值、流量的協(xié)議類型、基于每類協(xié)議傳輸?shù)牧髁俊⒚款悈f(xié)議的告警權(quán)重；其中，流量風(fēng)險(xiǎn)期望值用于反映網(wǎng)絡(luò)節(jié)點(diǎn)之間的流量中出現(xiàn)告警流量的概率；每類協(xié)議的告警權(quán)重用于反映基于每類協(xié)議傳輸?shù)牧髁恐谐霈F(xiàn)告警流量的概率。

17、另一種可能的實(shí)現(xiàn)方式，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)包括存在連接關(guān)系的第一網(wǎng)絡(luò)節(jié)點(diǎn)和第二網(wǎng)絡(luò)節(jié)點(diǎn)，其中，流量從第一網(wǎng)絡(luò)節(jié)點(diǎn)流向第二網(wǎng)絡(luò)節(jié)點(diǎn)；則第一網(wǎng)絡(luò)節(jié)點(diǎn)和第二網(wǎng)絡(luò)節(jié)點(diǎn)之間的流量風(fēng)險(xiǎn)期望值基于以下參數(shù)確定：與第一網(wǎng)絡(luò)節(jié)點(diǎn)連接的其他網(wǎng)絡(luò)節(jié)點(diǎn)與第一網(wǎng)絡(luò)節(jié)點(diǎn)之間的流量總和、第一網(wǎng)絡(luò)節(jié)點(diǎn)與第二網(wǎng)絡(luò)節(jié)點(diǎn)之間的協(xié)議類型、第一網(wǎng)絡(luò)節(jié)點(diǎn)與第二網(wǎng)絡(luò)節(jié)點(diǎn)之間基于每類協(xié)議傳輸?shù)牧髁俊⒌谝痪W(wǎng)絡(luò)節(jié)點(diǎn)與第二網(wǎng)絡(luò)節(jié)點(diǎn)之間的每類協(xié)議的告警權(quán)重。

18、又一種可能的實(shí)現(xiàn)方式，流量風(fēng)險(xiǎn)期望值滿足以下公式：

19、

20、其中，pij表示第一網(wǎng)絡(luò)節(jié)點(diǎn)i到第二網(wǎng)絡(luò)節(jié)點(diǎn)j的流量風(fēng)險(xiǎn)期望值；表示與第一網(wǎng)絡(luò)節(jié)點(diǎn)i連接的其他網(wǎng)絡(luò)節(jié)點(diǎn)k與第一網(wǎng)絡(luò)節(jié)點(diǎn)i之間的流量總和；wik表示與第一網(wǎng)絡(luò)節(jié)點(diǎn)i連接的其他網(wǎng)絡(luò)節(jié)點(diǎn)k之間的流量大小；ps表示第一網(wǎng)絡(luò)節(jié)點(diǎn)i與第二網(wǎng)絡(luò)節(jié)點(diǎn)j之間基于s類協(xié)議傳輸?shù)牧髁康拇笮。籥s表示第一網(wǎng)絡(luò)節(jié)點(diǎn)i與第二網(wǎng)絡(luò)節(jié)點(diǎn)j之間的s類協(xié)議的告警權(quán)重；m表示第一網(wǎng)絡(luò)節(jié)點(diǎn)i與第二網(wǎng)絡(luò)節(jié)點(diǎn)j之間的協(xié)議類型的數(shù)量；n表示與第一網(wǎng)絡(luò)節(jié)點(diǎn)i連接的所有網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)量。

21、又一種可能的實(shí)現(xiàn)方式，每類協(xié)議的告警權(quán)重基于以下至少一項(xiàng)確定：基于每類協(xié)議傳輸?shù)牧髁康牧髁磕Ｊ剑黄渲校髁磕Ｊ桨ㄕＡ髁亢凸袅髁浚话踩O(shè)備節(jié)點(diǎn)中針對(duì)每類協(xié)議的流量配置的攻擊防護(hù)參數(shù)。

22、又一種可能的實(shí)現(xiàn)方式，流量異常情況包括以下至少一項(xiàng)：網(wǎng)絡(luò)節(jié)點(diǎn)之間的流量概率大于第一閾值；網(wǎng)絡(luò)節(jié)點(diǎn)之間流量風(fēng)險(xiǎn)期望值大于第二閾值。

23、又一種可能的實(shí)現(xiàn)方式，目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)包括存在連接關(guān)系的第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)和第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)；目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)的流量數(shù)據(jù)包括第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)和第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)之間基于每類協(xié)議傳輸?shù)牧髁浚惶幚砟K，具體用于對(duì)目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)的流量數(shù)據(jù)進(jìn)行分析，包括：對(duì)第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)和第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)之間基于每類協(xié)議傳輸?shù)牧髁窟M(jìn)行異常檢測(cè)，得到異常檢測(cè)結(jié)果。

24、又一種可能的實(shí)現(xiàn)方式，第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)與第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)之間的流量協(xié)議的類型包括目標(biāo)協(xié)議類型；處理模塊還用于：在異常檢測(cè)結(jié)果指示第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)和第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)之間基于目標(biāo)協(xié)議類型的流量中存在的異常流量和/或攻擊行為的情況下，發(fā)出異常告警信息；告警信息用于指示第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)和第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)之間基于目標(biāo)協(xié)議類型的流量中存在異常。

25、又一種可能的實(shí)現(xiàn)方式，處理模塊還用于：基于異常檢測(cè)結(jié)果向決策系統(tǒng)發(fā)送決策請(qǐng)求消息，決策請(qǐng)求消息用于指示決策系統(tǒng)基于異常檢測(cè)結(jié)果確定安全防護(hù)策略，并將安全防護(hù)策略發(fā)送給安全設(shè)備節(jié)點(diǎn)，以使得安全設(shè)備節(jié)點(diǎn)基于安全防護(hù)策略進(jìn)行安全防護(hù)。

26、又一種可能的實(shí)現(xiàn)方式，第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)與第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)之間的流量協(xié)議的類型包括第一協(xié)議類型和第二協(xié)議類型；在異常檢測(cè)結(jié)果包括第一協(xié)議類型的異常檢測(cè)結(jié)果和第二協(xié)議類型的異常檢測(cè)結(jié)果的情況下，安全防護(hù)策略包括第一協(xié)議類型的安全防護(hù)策略和第二協(xié)議類型的安全防護(hù)策略；其中，第一協(xié)議類型的安全防護(hù)策略和第二協(xié)議類型的安全防護(hù)策略的執(zhí)行優(yōu)先級(jí)基于第一協(xié)議類型和第二協(xié)議類型的告警權(quán)重確定，每類協(xié)議的告警權(quán)重用于反映基于每類協(xié)議傳輸?shù)牧髁恐谐霈F(xiàn)告警流量的概率；第一協(xié)議類型的異常檢測(cè)結(jié)果為第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)與第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)之間基于第一協(xié)議類型傳輸?shù)牧髁康漠惓z測(cè)結(jié)果；第二協(xié)議類型的異常檢測(cè)結(jié)果為第一目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)與第二目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)之間基于第二協(xié)議類型傳輸?shù)牧髁康漠惓z測(cè)結(jié)果。

27、第三方面，本技術(shù)提供一種電子設(shè)備，該電子設(shè)備包括：處理器和存儲(chǔ)器；存儲(chǔ)器存儲(chǔ)有處理器可執(zhí)行的指令；處理器被配置為執(zhí)行指令時(shí)，使得電子設(shè)備實(shí)現(xiàn)上述第一方面的方法。

28、第四方面，本技術(shù)提供一種芯片系統(tǒng)，該芯片系統(tǒng)應(yīng)用于流量分析裝置；芯片系統(tǒng)包括一個(gè)或多個(gè)接口電路，以及一個(gè)或多個(gè)處理器。接口電路和處理器通過線路互聯(lián)；接口電路用于從流量分析裝置的存儲(chǔ)器接收信號(hào)，并向處理器發(fā)送信號(hào)，信號(hào)包括存儲(chǔ)器中存儲(chǔ)的計(jì)算機(jī)指令。當(dāng)處理器執(zhí)行計(jì)算機(jī)指令時(shí)，使得電子設(shè)備執(zhí)行上述第一方面的方法。

29、第五方面，本技術(shù)提供一種可讀存儲(chǔ)介質(zhì)，該可讀存儲(chǔ)介質(zhì)包括：軟件指令；當(dāng)軟件指令在電子設(shè)備中運(yùn)行時(shí)，使得電子設(shè)備實(shí)現(xiàn)上述第一方面的方法。

30、第六方面，本技術(shù)提供一種計(jì)算機(jī)程序產(chǎn)品，當(dāng)該計(jì)算機(jī)程序產(chǎn)品在電子設(shè)備上運(yùn)行時(shí)，使得電子設(shè)備執(zhí)行上述第一方面描述的相關(guān)方法的步驟，以實(shí)現(xiàn)上述第一方面的方法。上述第二方面至第五方面的有益效果參考第一方面的對(duì)應(yīng)描述，不再贅述。