數(shù)據(jù)流檢測方法、裝置、計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì) 技術(shù)領(lǐng)域 [0001] 本申請涉及計(jì)算機(jī)技術(shù)領(lǐng)域，具體涉及一種數(shù)據(jù)流檢測方法、裝置、計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì)。 背景技術(shù) [0002] 隨著網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)規(guī)模的爆炸性增長，網(wǎng)絡(luò)中的巨量流量變得不可預(yù)測，這給網(wǎng)絡(luò)基礎(chǔ)設(shè)施的運(yùn)行和管理帶來了巨大的挑戰(zhàn)。在網(wǎng)絡(luò)的數(shù)據(jù)流中，會(huì)存在一些用于網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)數(shù)據(jù)流，這些網(wǎng)絡(luò)數(shù)據(jù)流會(huì)對服務(wù)器、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等進(jìn)行網(wǎng)絡(luò)攻擊，最終產(chǎn)生網(wǎng)絡(luò)安全事故。 [0003] 一些網(wǎng)絡(luò)數(shù)據(jù)流的網(wǎng)絡(luò)攻擊的隱蔽性較高，比如高級(jí)持續(xù)威脅（APT，Advanced?Persistent?Threat），傾向于持續(xù)且隱秘地侵入目標(biāo)流數(shù)據(jù)庫，由于高級(jí)持續(xù)威脅網(wǎng)絡(luò)攻擊具備低頻性和持續(xù)性，難以被發(fā)現(xiàn)。相關(guān)技術(shù)中，面對此類網(wǎng)絡(luò)數(shù)據(jù)流，通過計(jì)算不同網(wǎng)絡(luò)數(shù)據(jù)流的權(quán)重，權(quán)重越高越可能是高級(jí)持續(xù)威脅的網(wǎng)絡(luò)數(shù)據(jù)流，但是針對于高級(jí)持續(xù)威脅的網(wǎng)絡(luò)數(shù)據(jù)流的權(quán)重閾值往往是基于經(jīng)驗(yàn)參數(shù)設(shè)置，或者是人工設(shè)置，這樣會(huì)出現(xiàn)對高級(jí)持續(xù)威脅的網(wǎng)絡(luò)數(shù)據(jù)流檢測不準(zhǔn)確的問題，最終可能導(dǎo)致目標(biāo)流數(shù)據(jù)庫被入侵等網(wǎng)絡(luò)安全事故。 發(fā)明內(nèi)容 [0004] 本申請實(shí)施例提供一種數(shù)據(jù)流檢測方法、裝置、計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì)，能夠提高對網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)安全檢測的準(zhǔn)確性。 [0005] 為了實(shí)現(xiàn)上述目的，本申請實(shí)施例的一方面提供了一種數(shù)據(jù)流檢測方法，包括： [0006] 獲取待檢測網(wǎng)絡(luò)中的數(shù)據(jù)流，并確定所述數(shù)據(jù)流的五元組信息； [0007] 根據(jù)預(yù)設(shè)哈希函數(shù)確定出所述數(shù)據(jù)流的哈希值，并確定所述哈希值在預(yù)設(shè)哈希桶數(shù)組中確定出所述數(shù)據(jù)流對應(yīng)的目標(biāo)哈希桶； [0008] 將所述五元組信息和所述預(yù)設(shè)哈希桶數(shù)組中已保存五元組信息進(jìn)行對比得到對 比結(jié)果，并根據(jù)所述對比結(jié)果在所述目標(biāo)哈希桶中確定出所述數(shù)據(jù)流對應(yīng)的存儲(chǔ)位置； [0009] 確定所述數(shù)據(jù)流對應(yīng)的出現(xiàn)窗口次數(shù)和平均網(wǎng)絡(luò)速率，并將所述數(shù)據(jù)流對應(yīng)的所述出現(xiàn)窗口次數(shù)、所述平均網(wǎng)絡(luò)速率和所述五元組信息存儲(chǔ)在所述目標(biāo)哈希桶的所述存儲(chǔ)位置內(nèi)，以更新所述預(yù)設(shè)哈希桶數(shù)組保存的哈希桶數(shù)據(jù)； [0010] 根據(jù)所述哈希桶數(shù)據(jù)確定出平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)不滿足預(yù)設(shè)條件的目 標(biāo)數(shù)據(jù)流，并對所述目標(biāo)數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)安全檢測。 [0011] 為了實(shí)現(xiàn)上述目的，本申請實(shí)施例的一方面提供了一種數(shù)據(jù)流檢測裝置，包括： [0012] 獲取模塊，用于獲取待檢測網(wǎng)絡(luò)中的數(shù)據(jù)流，并確定所述數(shù)據(jù)流的五元組信息； [0013] 確定模塊，用于根據(jù)預(yù)設(shè)哈希函數(shù)確定出所述數(shù)據(jù)流的哈希值，并確定所述哈希值在預(yù)設(shè)哈希桶數(shù)組中確定出所述數(shù)據(jù)流對應(yīng)的目標(biāo)哈希桶； [0014] 對比模塊，用于將所述五元組信息和所述預(yù)設(shè)哈希桶數(shù)組中已保存五元組信息進(jìn)行對比得到對比結(jié)果，并根據(jù)所述對比結(jié)果在所述目標(biāo)哈希桶中確定出所述數(shù)據(jù)流對應(yīng)的存儲(chǔ)位置； [0015] 保存模塊，用于確定所述數(shù)據(jù)流對應(yīng)的出現(xiàn)窗口次數(shù)和平均網(wǎng)絡(luò)速率，并將所述數(shù)據(jù)流對應(yīng)的所述出現(xiàn)窗口次數(shù)、所述平均網(wǎng)絡(luò)速率和所述五元組信息存儲(chǔ)在所述目標(biāo)哈希桶的所述存儲(chǔ)位置內(nèi)，以更新所述預(yù)設(shè)哈希桶數(shù)組保存的哈希桶數(shù)據(jù)； [0016] 檢測模塊，用于根據(jù)所述哈希桶數(shù)據(jù)確定出平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)不滿足預(yù)設(shè)條件的目標(biāo)數(shù)據(jù)流，并對所述目標(biāo)數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)安全檢測。 [0017] 在一些實(shí)施方式中，所述預(yù)設(shè)哈希函數(shù)包含第一哈希函數(shù)和第二哈希函數(shù)，所述預(yù)設(shè)哈希桶數(shù)組包括第一哈希桶數(shù)組和第二哈希桶數(shù)組；所述確定模塊，用于： [0018] 根據(jù)所述第一哈希函數(shù)確定出所述數(shù)據(jù)流的第一哈希值，根據(jù)所述第二哈希函數(shù)確定出所述數(shù)據(jù)流的第二哈希值； [0019] 根據(jù)所述第一哈希值在所述第一哈希桶數(shù)組中確定出所述數(shù)據(jù)流對應(yīng)的第一目 標(biāo)哈希桶，根據(jù)所述第二哈希值在所述第二哈希桶數(shù)組中確定出所述數(shù)據(jù)流對應(yīng)的第二目標(biāo)哈希桶，將所述第一目標(biāo)哈希桶和所述第二目標(biāo)哈希桶確定為所述數(shù)據(jù)流對應(yīng)的目標(biāo)哈希桶。 [0020] 在一些實(shí)施方式中，對比模塊包括對比子模塊，用于： [0021] 在所述第一哈希桶數(shù)組和所述第二哈希桶數(shù)組中確定出已保存五元組信息； [0022] 將所述五元組信息和所述已保存五元組信息進(jìn)行對比得到對比結(jié)果。 [0023] 在一些實(shí)施方式中，對比模塊包括確定子模塊，用于： [0024] 當(dāng)所述對比結(jié)果指示所述五元組信息與所述第一哈希桶數(shù)組中已保存五元組信 息匹配時(shí)，確定所述數(shù)據(jù)流對應(yīng)的當(dāng)前檢測窗口是否與上一次的檢測窗口相同； [0025] 當(dāng)所述數(shù)據(jù)流對應(yīng)的當(dāng)前檢測窗口與上一次的檢測窗口不相同時(shí)，確定所述數(shù)據(jù)流在所述第一目標(biāo)哈希桶中排序的當(dāng)前存儲(chǔ)位置； [0026] 獲取所述數(shù)據(jù)流對應(yīng)的平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)； [0027] 在所述第一目標(biāo)哈希桶中確定排序在所述當(dāng)前存儲(chǔ)位置之前的鄰居存儲(chǔ)位置，以及所述鄰居存儲(chǔ)位置對應(yīng)的鄰居數(shù)據(jù)流的平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)；

1.一種數(shù)據(jù)流檢測方法，其特征在于，包括： 獲取待檢測網(wǎng)絡(luò)中的數(shù)據(jù)流，并確定所述數(shù)據(jù)流的五元組信息； 根據(jù)第一哈希函數(shù)確定出所述數(shù)據(jù)流的第一哈希值，根據(jù)第二哈希函數(shù)確定出所述數(shù)據(jù)流的第二哈希值； 根據(jù)所述第一哈希值在第一哈希桶數(shù)組中確定出所述數(shù)據(jù)流對應(yīng)的第一目標(biāo)哈希桶，根據(jù)所述第二哈希值在第二哈希桶數(shù)組中確定出所述數(shù)據(jù)流對應(yīng)的第二目標(biāo)哈希桶，將所述第一目標(biāo)哈希桶和所述第二目標(biāo)哈希桶確定為所述數(shù)據(jù)流對應(yīng)的目標(biāo)哈希桶； 將所述五元組信息和預(yù)設(shè)哈希桶數(shù)組中已保存五元組信息進(jìn)行對比得到對比結(jié)果，并根據(jù)所述對比結(jié)果在所述目標(biāo)哈希桶中確定出所述數(shù)據(jù)流對應(yīng)的存儲(chǔ)位置，其中所述預(yù)設(shè)哈希桶數(shù)組包括第一哈希桶數(shù)組和第二哈希桶數(shù)組； 確定所述數(shù)據(jù)流對應(yīng)的出現(xiàn)窗口次數(shù)和平均網(wǎng)絡(luò)速率，并將所述數(shù)據(jù)流對應(yīng)的所述出現(xiàn)窗口次數(shù)、所述平均網(wǎng)絡(luò)速率和所述五元組信息存儲(chǔ)在所述目標(biāo)哈希桶的所述存儲(chǔ)位置內(nèi)，以更新所述預(yù)設(shè)哈希桶數(shù)組保存的哈希桶數(shù)據(jù)； 根據(jù)所述哈希桶數(shù)據(jù)確定出平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)不滿足預(yù)設(shè)條件的目標(biāo)數(shù)據(jù)流，并對所述目標(biāo)數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)安全檢測； 其中，所述根據(jù)所述對比結(jié)果在所述目標(biāo)哈希桶中確定出所述數(shù)據(jù)流對應(yīng)的存儲(chǔ)位置，包括： 當(dāng)所述對比結(jié)果指示所述五元組信息與所述第一哈希桶數(shù)組中已保存五元組信息匹配時(shí)，確定所述數(shù)據(jù)流對應(yīng)的當(dāng)前檢測窗口是否與上一次的檢測窗口相同； 當(dāng)所述數(shù)據(jù)流對應(yīng)的當(dāng)前檢測窗口與上一次的檢測窗口不相同時(shí)，確定所述數(shù)據(jù)流在所述第一目標(biāo)哈希桶中排序的當(dāng)前存儲(chǔ)位置； 獲取所述數(shù)據(jù)流對應(yīng)的平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)； 在所述第一目標(biāo)哈希桶中確定排序在所述當(dāng)前存儲(chǔ)位置之前的鄰居存儲(chǔ)位置，以及所述鄰居存儲(chǔ)位置對應(yīng)的鄰居數(shù)據(jù)流的平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)； 根據(jù)所述數(shù)據(jù)流對應(yīng)的平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)以及所述鄰居數(shù)據(jù)流的平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)，在所述第一目標(biāo)哈希桶中確定出所述數(shù)據(jù)流對應(yīng)的存儲(chǔ)位置。 2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)流檢測方法，其特征在于，所述將所述五元組信息和所述預(yù)設(shè)哈希桶數(shù)組中已保存五元組信息進(jìn)行對比得到對比結(jié)果，包括： 在所述第一哈希桶數(shù)組和所述第二哈希桶數(shù)組中確定出已保存五元組信息； 將所述五元組信息和所述已保存五元組信息進(jìn)行對比得到對比結(jié)果。 3.根據(jù)權(quán)利要求1所述的數(shù)據(jù)流檢測方法，其特征在于，所述獲取所述數(shù)據(jù)流對應(yīng)的平均網(wǎng)絡(luò)速率，包括：