Processing

Please wait...

Settings

Settings

Goto Application

1. CN110100415 - SYSTEM FOR PREPARING NETWORK TRAFFIC FOR FAST ANALYSIS

Note: Text based on automatic Optical Character Recognition processes. Please use the PDF version for legal matters

[ ZH ]

权利要求书

1.一种用于分析计算机网络流的系统,所述系统包括:网络流导出器,其用于准备网络流;网络流分析器,其用于将所述网络流分解为多个网络流标准元素;以及流标记器,其用于标记所述多个网络流标准元素以形成经标记元素,其中,所述经标记元素源自所述多个网络流标准元素。

2.根据权利要求1所述的系统,其中,所述经标记元素包括简单经标记元素,所述简单经标记元素是根据所述网络流的外部的信息源或根据计算或其组合而源自至少一个所述网络流标准元素。

3.根据权利要求2所述的系统,其中,所述经标记元素包括复合经标记元素,所述复合经标记元素源自多个简单经标记元素的组合。

4.根据权利要求3所述的系统,其中,所述复合经标记元素是通过对所述简单经标记元素执行某种类型的计算或是通过将网络流标准元素与简单经标记元素组合而从简单经标记元素加上所述网络流外部的信息中得出。

5.根据权利要求4所述的系统,其中,所述复合经标记元素还包括对简单经标记元素或复合经标记元素(或这两者)、所述网络流的外部信息、多个复合经标记元素或其组合的计算结果。

6.根据权利要求5所述的系统,其中,所述经标记元素包括至少一个简单经标记元素和至少一个复合经标记元素,并且所述流标记器迭代地标记所述多个网络流标准元素,使得在所述至少一个简单经标记元素之后确定所述至少一个复合经标记元素。

7.根据权利要求2所述的系统,其中,所述简单经标记元素选自由流量比和端口/IP地址元素组成的组中,所述流量比是向特定IP地址或特定IP地址的特定端口发送的数据量和从特定IP地址或特定IP地址的特定端口接收的数据量中获得的,所述端口/IP地址元素是从所述网络流的源IP地址和目的端口中获得的。

8.根据权利要求1所述的系统,其中,所述网络流标准元素是根据IPFIX和Netflow标准中的一个或两个确定的。

9.根据权利要求1所述的系统,其中,所述网络流外部的信息源包括用于将经标记元素的值与外部信息值进行匹配的查找表。

10.根据权利要求9所述的系统,其中,所述查找表包括地理位置信息,并且所述经标记元素包括IP地址。

11.一种用于分析网络流的方法,所述网络流包括具有共同属性集的多个分组,所述方法由计算设备执行,所述方法包括:
a.接收网络流,其中,所述网络流包括被组织成列的多个分组属性,每个属性在一列中;
b.分析所述网络流,以将所述网络流分解成多个元素;
c.以根据所述多个元素之间的标记依赖性确定的迭代顺序来标记所述多个元素;以及
d.按列编写经标记元素。

12.根据权利要求11所述的方法,其中,对所述网络流进行的所述分析包括:首先确定更简单的经标记元素,然后确定复合经标记元素。

13.根据权利要求12所述的方法,其中,对所述网络流进行的所述分析还包括:针对所述网络流将每种类型的经标记元素映射到经标记元素记录的列;以及根据标记依赖性确定所述列的顺序。

14.根据权利要求11所述的方法,其中,所述多个分组属性选自由分组报头字段元素、所述多个分组的测量属性、基于分组内容的解释信息以及元信息组成的组。