流量包的监管处理方法和装置

技术领域

本发明涉及网络安全技术领域，尤其涉及一种流量包的监管处理方法和装置。

背景技术

网络威胁是指影响网络安全的不正当行为。网络威胁能够造成巨大的损失。对于网络威胁的处理需要迅速、精准。而如何正确地甄别研判网络威胁，让用户准确直观地了解网络威胁的各项信息，是确保用户的网络安全、财产等的重中之重。

传统的机器学习方法是浅层学习方法，随着网络朝着复杂、多结构形态发展，在面对复杂、多结构形态的网络流量数据时，传统基于深度学习算法的甄别系统无法有效处理多结构形态的网络流量数据，难以取得较好的网络监管效果。

发明内容

有鉴于此，本发明实施例提供一种流量包的监管处理方法和装置，能够有效处理多结构形态的网络流量数据，从而取得较好的网络监管效果。

第一方面，本发明实施例提供了一种流量包的监管处理方法，包括：

确定流量包对应的流量特征信息，并根据所述流量特征信息，确定所述流量包对应的特征值；

计算所述特征值与各特征分组的中心特征之间的相似值；

根据所述特征值与各特征分组的中心特征之间的相似值，确定所述流量包对应的目标分组；

将所述流量包对应的流量特征信息，输入至所述目标分组对应的甄别研判数据模型中，得到研判结果；

根据所述研判结果，对所述流量包进行监管处理。

可选地，所述流量特征信息包括：五元组及流信息；

所述根据所述流量特征信息，确定所述流量包对应的特征值，包括：

对所述五元组进行数值转换处理，得到所述五元组对应的数值特征；

根据所述五元组对应的数值特征及所述流信息，生成所述流量包对应的特征值。

可选地，所述根据所述特征值与各特征分组的中心特征之间的相似值，确定所述流量包对应的目标分组，包括：

将最小相似值对应的特征分组，确定为备选分组；

响应于所述特征值与所述备选分组的中心特征之间的相似值在预设范围内，将所述备选分组确定为所述流量包对应的目标分组。

可选地，所述计算所述特征值与各特征分组的中心特征之间的相似值之后，还包括：

响应于所述特征值与各特征分组的中心特征之间的相似值均不在预设范围内，生成所述流量包对应的目标分组，所述目标分组的中心特征为所述流量包对应的特征值；

将预设的研判数据模型，确定为所述目标分组对应的甄别研判数据模型。

可选地，所述根据所述研判结果，对所述流量包进行监管处理之后，还包括：

保存所述流量包对应的监管记录，所述监管记录中包括：流量特征信息及监管策略；

利用所述流量包对应的监管记录，对所述目标分组对应的甄别研判数据模型进行优化训练。

可选地，所述研判结果包括以下至少之一：流量来源是否为已知来源、是否通过端源接收的甄别研判、是否通过端源发送的甄别研判及是否为无效行为。

可选地，所述根据所述研判结果，对所述流量包进行监管处理，包括：

根据所述研判结果，确定预设时间段内所述数据包对应的端源发生无效行为的次数；

响应于所述端源发生无效行为的次数超过第一阈值，丢弃所述流量包，并向所述端源发送甄别研判告警；

响应于所述端源发生无效行为的次数超过第二阈值，丢弃所述流量包，切断所述端源所有的网络连接，并解除所述端源的对外访问权限。

第二方面，本发明实施例提供了一种流量包的监管处理装置，包括：

信息确定模块，用于确定流量包对应的流量特征信息，并根据所述流量特征信息，确定所述流量包对应的特征值；

相似值计算模块，用于计算所述特征值与各特征分组的中心特征之间的相似值；

分组确定模块，用于根据所述特征值与各特征分组的中心特征之间的相似值，确定所述流量包对应的目标分组；

结果确定模块，用于将所述流量包对应的流量特征信息，输入至所述目标分组对应的甄别研判数据模型中，得到研判结果；

监管处理模块，用于根据所述研判结果，对所述流量包进行监管处理。

可选地，所述流量特征信息包括：五元组及流信息；

所述信息确定模块具体用于：

对所述五元组进行数值转换处理，得到所述五元组对应的数值特征；

根据所述五元组对应的数值特征及所述流信息，生成所述流量包对应的特征值。

可选地，所述分组确定模块具体用于：

将最小相似值对应的特征分组，确定为备选分组；

响应于所述特征值与所述备选分组的中心特征之间的相似值在预设范围内，将所述备选分组确定为所述流量包对应的目标分组。

可选地，所述分组确定模块还用于：

响应于所述特征值与各特征分组的中心特征之间的相似值均不在预设范围内，生成所述流量包对应的目标分组，所述目标分组的中心特征为所述流量包对应的特征值；

将预设的研判数据模型，确定为所述目标分组对应的甄别研判数据模型。

可选地，还包括：

优化模块，用于保存所述流量包对应的监管记录，所述监管记录中包括：流量特征信息及监管策略；

利用所述流量包对应的监管记录，对所述目标分组对应的甄别研判数据模型进行优化训练。

第三方面，本发明实施例提供了一种电子设备，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述任一实施例所述的方法。

第四方面，本发明实施例提供了一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现上述任一实施例所述的方法。

上述发明中的一个实施例具有如下优点或有益效果：针对多结构形态的网络流量数据，在系统中设置多有个特征分组。根据不同流量包的流量特征信息，确定其对应的不同特征分组，并利用特征分组对应的甄别研判数据模型，得到该流量包的研判结果，进而对该流量包进行监管处理。

不同结构形态的网络流量数据对应于不同的流量特征信息。设置多个特征分组及各特征分组对应的甄别研判数据模型。根据流量特征信息，将不同结构形态的网络流量数据划分到不同的特征分组中，并利用不同的甄别研判数据模型，进行甄别研判，能够有效处理多结构形态的网络流量数据，并取得较好的网络监管效果。

上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。

附图说明

附图用于更好地理解本发明，不构成对本发明的不当限定。其中：

图1是本发明第一实施例提供的一种流量包的监管处理方法的流程示意图；

图2是本发明第二实施例提供的一种流量包的监管处理方法的流程示意图；

图3是本发明第三实施例提供的一种流量包的监管处理方法的流程示意图；

图4是本发明的实施例提供的一种流量包的监管处理装置的结构示意图；

图5是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。

具体实施方式

以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

需要说明的是，本发明的技术方案中，所涉及的用户个人信息的采集、分析、使用、传输、存储等方面，均符合相关法律法规的规定，被用于合法且合理的用途，不在这些合法使用等方面之外共享、泄露或出售，并且接受监管部门的监督管理。应当对用户个人信息采取必要措施，以防止对此类个人信息数据的非法访问，确保有权访问个人信息数据的人员遵守相关法律法规的规定，确保用户个人信息安全。一旦不再需要这些用户个人信息数据，应当通过限制甚至禁止数据收集和/或删除数据的方式将风险降至最低。

图1是本发明第一实施例提供的一种流量包的监管处理方法的流程示意图，如图1所示，该方法包括：

步骤101：确定流量包对应的流量特征信息，并根据流量特征信息，确定流量包对应的特征值。

流量特征信息可包括：数值特征和类别特征。数值特征根据数据进行特征值区分。数值特征包括：流量、流速等。类别特征包括：数据流量来源端、IP流的五元组等报文通用信息。五元组包括：源IP地址、源端口、目的IP地址、目的端口、传输层协议。

根据流量特征信息，确定流量包对应的特征值。具体地，将流量包对应的各流量特征信息依次组合为数组，将组合的数组作为流量包对应的特征值。还可以将流量包对应的各流量特征信息转换为数值形式，再根据各流量特征信息对应的数值，生成流量包对应的特征值。

在本发明的一个实施例中，流量特征信息包括：五元组及流信息；根据流量特征信息，确定流量包对应的特征值，包括：对五元组进行数值转换处理，得到五元组对应的数值特征；根据五元组对应的数值特征及流信息，生成流量包对应的特征值。

通过数值转换处理，分别得到源IP地址对应的数值特征、源端口对应的数值特征、目的IP地址对应的数值特征、目的端口对应的数值特征、传输层协议对应的数值特征。流信息包括：流量、流速等。

确定流量包对应的特征值的方式有很多种。例如，可以依次将源IP地址对应的数值特征、源端口对应的数值特征、目的IP地址对应的数值特征、目的端口对应的数值特征、传输层协议对应的数值特征及流信息组合为数组，将组合的数组作为流量包对应的特征值。还可以为各数值特征及流信息分配不同的权重，并计算各数值特征及流信息对应的权重和，并将权重和作为流量包对应的特征值。

在采集目标链路的流量数据信息时，以预设时间段，对流量数据信息进行统计处理，完成目标链路的多时间段的流量特征信息采集。并对提取的数据特征进行清洗、分组存储，同时对未分组的流量特征信息新建特征分组并存储。

步骤102：计算特征值与各特征分组的中心特征之间的相似值。

在系统中预设多个特征分组，每个特征分组对应于不同的中心特征及甄别研判数据模型。中心特征的维度与步骤101中得到的特征值的维度相同。

数据包的特征值与各特征分组的中心特征之间的相似值，可以为特征值与中心特征之间的欧式距离、切比雪夫距离、汉明距离等。

步骤103：根据特征值与各特征分组的中心特征之间的相似值，确定流量包对应的目标分组。

可以将相似值最小的中心特征对应的特征分组，作为目标分组。也可以将相似值小于相似阈值的任一中心特征对应的特征分组，作为目标分组。

系统确定目标分组的步骤包括：同一端源整合、端源特征拆解、同一特征分组合并和新建特征分组等。分别对系统采集的同一端源进行拆分、重组、整合与合并处理。

步骤104：将流量包对应的流量特征信息，输入至目标分组对应的甄别研判数据模型中，得到研判结果。

研判结果可以包括：流量来源是否为已知来源、是否通过端源接收的甄别研判、是否通过端源发送的甄别研判及是否为无效行为。

甄别研判数据模型可以包括：异常网元识别特征模型、异常用户识别特征模型和攻击识别特征模型等。每个特征模型分别用于判定目标参数值特征、判定目标信令规律特征和判定目标静态信息特征等。其中，由同一端源发出的数据流量信息中，将该端源中的多个数据特征值中最大占比的特征值作为该端源的流量特征信息。

甄别研判数据模型可以采用智能深度学习算法构建。智能深度学习算法包括：LSTMGRU、wavenet、1D-CNN、Transformer等。系统得到研判结果的步骤包括：网络数据流量拆析、数据流量特征提取、数据流量特征比对和流量特征值比重值确定等。其中，数据流量特征比对和流量特征值比重值确定，是利用甄别研判数据模型得到。

步骤105：根据研判结果，对流量包进行监管处理。

监管处理可包括：放行数据包、丢弃数据包、对端源发送告警、切断网络连接等。

在本发明的一个实施例中，根据研判结果，对流量包进行监管处理，包括：根据研判结果，确定预设时间段内数据包对应的端源发生无效行为的次数；响应于端源发生无效行为的次数超过第一阈值，丢弃流量包，并向端源发送甄别研判告警；响应于端源发生无效行为的次数超过第二阈值，丢弃流量包，切断端源所有的网络连接，并解除端源的对外访问权限。

第一阈值及第二阈值都可根据具体需求进行设置。根据端源发生无效行为的次数，设置不同的监管策略，有利于解决端源可能发生的网络威胁，保证目标链路的网络安全。

在本发明实施例的方案中，针对多结构形态的网络流量数据，在系统中设置多有个特征分组。根据不同流量包的流量特征信息，确定其对应的不同特征分组，并利用特征分组对应的甄别研判数据模型，得到该流量包的研判结果，进而对该流量包进行监管处理。

不同结构形态的网络流量数据对应于不同的流量特征信息。设置多个特征分组及各特征分组对应的甄别研判数据模型。根据流量特征信息，将不同结构形态的网络流量数据划分到不同的特征分组中，并利用不同的甄别研判数据模型，进行甄别研判，能够有效处理多结构形态的网络流量数据，并取得较好的网络监管效果。

图2是本发明第二实施例提供的一种流量包的监管处理方法的流程示意图，如图2所示，该方法包括：

步骤201：确定流量包对应的流量特征信息，并根据流量特征信息，确定流量包对应的特征值。

步骤202：计算特征值与各特征分组的中心特征之间的相似值。

步骤203：将最小相似值对应的特征分组，确定为备选分组。

步骤204：响应于特征值与备选分组的中心特征之间的相似值在预设范围内，将备选分组确定为流量包对应的目标分组。

预设范围可以根据具体需求设置。预设范围可以为[0，1]，也可以为[-1，1]、[-10，10]等。

在本发明的一个实施例中，计算特征值与各特征分组的中心特征之间的相似值之后，还包括：响应于特征值与各特征分组的中心特征之间的相似值均不在预设范围内，生成流量包对应的目标分组，目标分组的中心特征为流量包对应的特征值；将预设的研判数据模型，确定为目标分组对应的甄别研判数据模型。

如果特征值与各特征分组的中心特征之间的相似值均不在预设范围内，则新建该特征值对应的特征分组，并将预设的研判数据模型，确定为该特征分组对应的甄别研判数据模型。

甄别研判数据模型可以包括：异常网元识别特征模型、异常用户识别特征模型和攻击识别特征模型。研判结果可以包括：流量来源是否为已知来源、是否通过端源接收的甄别研判、是否通过端源发送的甄别研判及是否为无效行为。

后续如果接收到与该流量包类似的后续流量包，可利用新建的特征分组处理该后续流量包。并可利用新建的特征分组对应的各数据包的监管记录，对新建的特征分组对应的甄别研判数据模型进行优化训练。

步骤205：将流量包对应的流量特新建的特征分组对应的征信息，输入至目标分组对应的甄别研判数据模型中，得到研判结果。

步骤206：根据研判结果，对流量包进行监管处理。

在本发明实施例的方案中，根据流量包对应的特征值，确定流量包对应的特征分组。在流量包对应的特征值，与各特征分组的中心特征都不相似的情况下，新建该流量包对应的特征分组。并可利用各数据包的监管记录，不断对各特征分组中的甄别研判数据模型进行优化训练。该方案能智能化地确定流量包对应的特征分组，通过多个特征分组，对各流量包进行不同的监管处理，使网络流量包的监管效果更好。

图3是本发明第三实施例提供的一种流量包的监管处理方法的流程示意图，如图3所示，该方法包括：

步骤301：确定流量包对应的流量特征信息，并根据流量特征信息，确定流量包对应的特征值。

步骤302：计算特征值与各特征分组的中心特征之间的相似值。

步骤303：根据特征值与各特征分组的中心特征之间的相似值，确定流量包对应的目标分组。

步骤304：将流量包对应的流量特征信息，输入至目标分组对应的甄别研判数据模型中，得到研判结果。

步骤305：根据研判结果，对流量包进行监管处理。

步骤306：保存流量包对应的监管记录，监管记录中包括：流量特征信息及监管策略。

步骤307：利用流量包对应的监管记录，对目标分组对应的甄别研判数据模型进行优化训练。

甄别研判数据模型可以包括：异常网元识别特征模型、异常用户识别特征模型和攻击识别特征模型。研判结果可以包括：流量来源是否为已知来源、是否通过端源接收的甄别研判、是否通过端源发送的甄别研判及是否为无效行为。

将监管记录中包括的流量特征信息及监管策略，输入至目标分组对应的甄别研判数据模型进行优化训练。

在本发明实施例的方案中，不断地利用监管记录中的信息，优化训练目标分组对应的甄别研判数据模型，能够使甄别研判数据模型的输出结果更为准确，更符合不同结构形态的网络流量数据的数据特性及监管要求。

为使本发明实施例的方案便于理解，本发明实施例还提供了一种流量包的监管处理方法，具体包括以下步骤：

步骤S1：数据流量采集。通过信息确定模块对网络环境中的流量包进行拆分和采集，并将采集后的数据进行特征提取并存储。

其中，信息确定模块执行的采集步骤为：

步骤S11：对网络安全中的数据流量信息进行实时采集，并对其数据端源进行追踪采集。

步骤S12：将采集数据进行转换后，根据数据来源端进行分组归并。同时拆解数据形成流量特征信息，进行分组存储。

流量特征信息可包括数值特征和类别特征。数值特征根据数据流量大小、数值长度等数据进行特征值区分。类别特征包括数据流量来源端、IP流的五元组和流信息之类的报文通用信息。

其中，类别特征通过进行二值化变成数值特征，此时可根据特征值之间的相差值判断，或利用单一特征值去除的方差处理，来判断两特征值之间的相似值。

其中，信息确定模块执行信息存储的步骤为：

步骤S13：将采集的流量数据进行清洗和分组。将已分组的特征信息和未分组的特征信息进行独立存储。已分组的特征信息的特征值与特征分组的中心特征的相似值在[0,1]之间。未分组的特征信息的特征值与各特征分组的中心特征的相似值均大于1。

步骤S14：根据系统预设存储特征点进行特征点记忆存储。同时新建未分组的特征信息对应的特征分组。根据数据流量的来源端、IP流的五元组和流信息的数值特征，设定系统预设特征值并将该设定值作为特征点存储。

当出现与系统预设特征分组的中心特征之间的相似值大于1的流量特征信息时，系统将该流量特征信息判定为未分组的特征信息，并在系统内新建特征分组，并将该未分组的特征信息存入新建的特征分组中。

步骤S2：智能甄别研判。由结果确定模块利用系统内的甄别研判数据模型，对实时采集的数据流量特征进行特征比对，并对同一端源的特征值占比和预定时间段内的端源攻击次数进行识别统计。

甄别研判数据模型根据智能深度学习算法，对未加载的端源特征值进行智能记录学习和生成，并自主更新甄别研判数据模型所携带的特征点。

结果确定模块用于将拆析、分组和提取的流量特征信息，输入甄别研判数据模型的网络数据特征模型内。由网络数据特征模型对已加载的流量特征进行识别比对，甄别研判出该流量特征来源与已知来源是否一致，完成外来流量行为的甄别研判。已知来源为通过甄别判定的端源口。

系统对同一端源采集的特征值占比最大的流量特征进行标记统计，对预设时间段内同一端源的流量数据来源次数进行统计判别。对统计时段内超三次无效行为的端源，发送甄别研判告警，并切断该端源所有连接和访问权限。无效行为指同一端源的流量特征信息未通过端源接收和发送行为的甄别判研。

甄别研判数据模型可包括：异常网元识别特征模型、异常用户识别特征模型和攻击识别特征模型。每个特征模型分别用于判定目标参数值特征、判定目标信令规律特征和判定目标静态信息特征。

由同一端源发出的数据流量信息中，将该端源中的多个数据特征值中最大占比的特征值作为该端源的流量特征标记点。对统计时段内超次数阈值的无效行为的端源，自动设定该端源为攻击源，将其设置未非安全端源的数据端。

步骤S3：甄别记录与更新。对步骤S2中的甄别研判识别后的监管记录独立保存。同步智能自主更新优化甄别研判数据模型。

本发明实施例提供的流量包的监管处理方法，先对网络环境中网络流量数据进行采集提取，再将流量数据端源、流量数据特征关键值和流量数据端源行为次数进行提取统计和比对。有效处理网络安全环境中的流量数据，剔除冗余特征进行特征筛选，充分提取流量信息的关键特征，提高参照模型比对效果。

该方法还充分挖掘流量特征之间的关系，进行流量异常的检测与识别，提高系统异常检测的效率。此外，仅由流量数据特征关键值组成模型主体，降低了数据模型的复杂度，不仅使得模型时间复杂度降低，训练时间更短，模型的准确率也被有效提升，且使参数对模型影响更小。

图4是本发明的一个实施例提供的一种流量包的监管处理装置的结构示意图，如图4所示，该装置包括：

信息确定模块401，用于确定流量包对应的流量特征信息，并根据流量特征信息，确定流量包对应的特征值；

相似值计算模块402，用于计算特征值与各特征分组的中心特征之间的相似值；

分组确定模块403，用于根据特征值与各特征分组的中心特征之间的相似值，确定流量包对应的目标分组；

结果确定模块404，用于将流量包对应的流量特征信息，输入至目标分组对应的甄别研判数据模型中，得到研判结果；

监管处理模块405，用于根据研判结果，对流量包进行监管处理。

可选地，流量特征信息包括：五元组及流信息；

信息确定模块401具体用于：

对五元组进行数值转换处理，得到五元组对应的数值特征；

根据五元组对应的数值特征及流信息，生成流量包对应的特征值。

可选地，分组确定模块403具体用于：

将最小相似值对应的特征分组，确定为备选分组；

响应于特征值与备选分组的中心特征之间的相似值在预设范围内，将备选分组确定为流量包对应的目标分组。

可选地，分组确定模块403还用于：

响应于特征值与各特征分组的中心特征之间的相似值均不在预设范围内，生成流量包对应的目标分组，目标分组的中心特征为流量包对应的特征值；

将预设的研判数据模型，确定为目标分组对应的甄别研判数据模型。

可选地，还包括：

优化模块，用于保存流量包对应的监管记录，监管记录中包括：流量特征信息及监管策略；

利用流量包对应的监管记录，对目标分组对应的甄别研判数据模型进行优化训练。

可选地，研判结果包括以下至少之一：流量来源是否为已知来源、是否通过端源接收的甄别研判、是否通过端源发送的甄别研判及是否为无效行为。

可选地，监管处理模块405具体用于：

根据研判结果，确定预设时间段内数据包对应的端源发生无效行为的次数；

响应于端源发生无效行为的次数超过第一阈值，丢弃流量包，并向端源发送甄别研判告警；

响应于端源发生无效行为的次数超过第二阈值，丢弃流量包，切断端源所有的网络连接，并解除端源的对外访问权限。

本发明实施例提供了一种电子设备，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现上述任一实施例的方法。

本发明实施例提供了一种计算机程序产品，包括计算机程序，计算机程序在被处理器执行时实现上述任一实施例的方法。

下面参考图5，其示出了适于用来实现本发明实施例的终端设备的计算机系统500的结构示意图。图5示出的终端设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图5所示，计算机系统500包括中央处理单元(CPU)501，其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中，还存储有系统500操作所需的各种程序和数据。CPU 501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。

以下部件连接至I/O接口505：包括键盘、鼠标等的输入部分506；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507；包括硬盘等的存储部分508；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器510上，以便于从其上读出的计算机程序根据需要被安装入存储部分508。

特别地，根据本发明公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分509从网络上被下载和安装，和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(CPU)501执行时，执行本发明的系统中限定的上述功能。

需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了根据本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中，例如，可以描述为：信息确定模块、相似值计算模块、分组确定模块、结果确定模块及监管处理模块。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定，例如，信息确定模块还可以被描述为“确定流量包对应的流量特征信息，并根据所述流量特征信息，确定所述流量包对应的特征值的模块”。

作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：

确定流量包对应的流量特征信息，并根据所述流量特征信息，确定所述流量包对应的特征值；

计算所述特征值与各特征分组的中心特征之间的相似值；

根据所述特征值与各特征分组的中心特征之间的相似值，确定所述流量包对应的目标分组；

将所述流量包对应的流量特征信息，输入至所述目标分组对应的甄别研判数据模型中，得到研判结果；

根据所述研判结果，对所述流量包进行监管处理。

根据本发明实施例的技术方案，针对多结构形态的网络流量数据，在系统中设置多有个特征分组。根据不同流量包的流量特征信息，确定其对应的不同特征分组，并利用特征分组对应的甄别研判数据模型，得到该流量包的研判结果，进而对该流量包进行监管处理。

不同结构形态的网络流量数据对应于不同的流量特征信息。设置多个特征分组及各特征分组对应的甄别研判数据模型。根据流量特征信息，将不同结构形态的网络流量数据划分到不同的特征分组中，并利用不同的甄别研判数据模型，进行甄别研判，能够有效处理多结构形态的网络流量数据，并取得较好的网络监管效果。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。