(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210971187.4 (22)申请日 2022.08.15 (71)申请人 江西师范大学 地址 330022 江西省南昌市高新区紫阳 大 道99号 (72)发明人 江兴鸿　马勇　简雯欣　赵家乐　 夏云霓　 (74)专利代理 机构 南昌金轩知识产权代理有限 公司 36129 专利代理师 石英 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种边缘网关对特殊流量包计算方法及系 统 (57)摘要 本发明公开了一种边缘网关对特殊流量包 计算方法及系统， 所述方法包括以下步骤： 获取 流量数据包， 对流量数据包做 等概率数据抽样得 到抽样数据包， 构建抽样数据包特征向量； 创建 特殊流量包集合； 获取初始化设备信息创建特征 向量库； 判断抽样数据包为未知设备的流量数据 包或是已知设备的流量数据包， 若为已知设备的 流量数据包， 利用块嵌套循环检测， 检测为不存 在控制关系， 则存入特殊流量包集合； 检测结果 为存在控制关系， 存入特征向量库； 若为未知设 备的流量数据包， 存入特殊流量包集合， 输出特 殊流量包集合。 通过上述方式， 本发明结合特定 的异常流量识别算法提升异常流量包识别准确 率； 除此之外， 可以在不同环境中实现快速部署、 快速生效。 权利要求书3页 说明书12页 附图3页 CN 115296919 A 2022.11.04 CN 115296919 A 1.一种边 缘网关对特殊 流量包计算方法， 其特 征在于， 所述方法包括： S10： 从转发 队列中获取流量数据包， 对所述流量数据包做等概率数据抽样， 得到抽样 数据包， 并对所述抽样数据包构建特 征向量， 得到抽样数据包特 征向量； S20： 创建特殊 流量包集合， 用于存 储特殊流量包； S30： 获取初始化设备信息， 根据所述初始化设备信息创建特 征向量库； S40： 判断所述抽样数据包为未知设备的流量数据包或是已知设备的流量数据包， 若为 已知设备的流 量数据包， 转S5 0， 否则将所述抽样数据包 存入特殊流量包集合； S50： 利用块嵌套循环算法对所述已知设备的流量数据包进行检测， 若检测结果表示为 不存在控制关系， 则将所述已知设备 的流量数据包存入特殊流量包集合， 若检测结果表示 为存在控制关系， 则将所述已知设备的流 量数据包的特 征向量存 入所述特 征向量库； S60： 输出特殊流量包集合， 得到特殊 流量包； 所述已知 设备的流量数据包的特征向量， 是通过对所述已知设备的流量数据包构建特 征向量得到 。 2.如权利要求1所述的一种边缘网关对特殊流量包计算方法， 其特征在于， 所述S10， 包 括： 所述获取流量数据包， 是指借助边缘网关的流量转发功能， 从转发队列中抽取流量数 据包； 所述等概率数据抽样， 是指采用池塘抽样算法对所述流量数据包进行等概率数据抽 样； 所述对所述抽样数据包构建特征向量， 是指 从所述抽 样数据包的网络层协议和应用层 协议中获取设备特征和协议特征， 再将所述设备特征和协议特征按照特征向量的预设顺序 得到抽样数据包特 征向量； 所述设备 特征， 是指设备物理信息， 包括： 设备 型号、 设备功率； 所述协议特征， 是指设备的网络层协议表头信息， 包括： 目的IP、 源IP、 目的端口ID、 源 端口ID和协议 号； 所述抽样数据包特征向量 ， 其中， 表示设备型号， 表 示设备功率， 表示目的IP， 表示源IP， 表示目的端口ID， 表示源端口ID， 表示 协议号。 3.如权利要求1所述的一种边缘网关对特殊流量包计算方法， 其特征在于， 所述S20， 包 括： 所述特殊流量包， 是指在来源设备、 网络层协议方面的特殊； 包括未知设备的流量数据 包、 不存在控制关系的已知设备的流 量数据包； 所述控制关系， 是指流量数据包的特征向量在任意维度的信 息数据都大于等于或者都 小于等于其 余流量数据包的特 征向量相应维度的信息数据。 4.如权利要求1所述的一种边缘网关对特殊流量包计算方法， 其特征在于， 所述S30， 包 括： 所述初始化设备信息， 是指初期在边缘网关承担任务转发功能的设备， 以及所述设备权　利　要　求　书 1/3 页 2 CN 115296919 A 2发出的流 量数据包信息； 所述特征向量库， 用于存 储存在控制关系的已知设备的流 量数据包的特 征向量。 5.如权利要求1所述的一种边缘网关对特殊流量包计算方法， 其特征在于， 所述S40， 包 括： 所述判断所述抽 样数据包为未知设备的流量数据包或是已知设备的流量数据包， 是采 用余弦相似度对所述抽样流 量包进行阈值判断， 计算公式为： 其中， c为所述抽样数据 包特征向量与特征向量库中特征向量的余 弦相似度， 表示抽 样数据包特征向量， 表示 中抽样数据包特征向量的第i个元素值； 表示特征向量库中 第j个已知设备 的流量数据包的特征向量； 表示第j个已知设备流量数据包中特征向量 第i个元素值， m表示统计特征向量库中总已知设备流量数据包的特征向量的数量； n表 示特 征向量中包 含的特征总数； 若余弦相似度c小于等于所设阈值， 则所述抽样数据包为未知设备的流量数据包， 否则 所述抽样数据包为已知设备的流 量数据包。 6.如权利要求1所述的一种边缘网关对特殊流量包计算方法， 其特征在于， 所述S50， 包 括： S51： 创建数据包临时表， 将所述已知设备的流 量数据包 存入所述数据包临时表； S52： 构建数据包窗口队列， 所述数据包窗口队列临时存储特殊流量包， 所述数据包窗 口队列大小为T， T为3； S53： 创建数据包临时空间表， 所述数据包临时空间表存 储特殊流量包； S54： 扫描所述数据包临时表， 依次检测所述数据包临时表中的已知设备的流量数据 包， 将检测结果为特殊流量包的 已知设备 的流量数据包存入所述数据包窗口队列， 直至数 据包窗口队列无剩余空间， 将剩余检测结果为特殊流量包的已知设备的流量数据包存入所 述数据包临时空间表； S55： 若所述数据包临时空间表为空则扫 描结束， 转S57， 若所述数据包临时空间表不为 空， 转S56； S56： 将所述数据包窗口队列中的特殊流量包存入所述特殊流量包集合， 并将数据包窗 口队列和数据包临时表置空， 将所述数据包临时空间表的特殊流量包重新存入所述数据包 临时表， 转S54； S57： 将所述数据包窗口队列中的特殊 流量包存入所述特殊 流量包集合。 7.如权利要求6所述的一种边缘网关对特殊流量包计算方法， 其特征在于， 所述S54， 包 括： 所述检测， 是指依次将所述数据包临时表中的已知 设备的流量数据包与所述数据包窗 口队列中的特殊流量包进 行比较， 判断所述数据包临 时表中的已知设备的流量数据包是否 存在控制关系， 包括：权　利　要　求　书 2/3 页 3 CN 115296919 A 3