[0085] 首先描述一下相關(guān)技術(shù)中所存在的技術(shù)問題： [0086] 隨著網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)規(guī)模的爆炸性增長，網(wǎng)絡(luò)中的巨量流量變得不可預(yù)測，這給網(wǎng)絡(luò)基礎(chǔ)設(shè)施的運(yùn)行和管理帶來了巨大的挑戰(zhàn)。在網(wǎng)絡(luò)的數(shù)據(jù)流中，會(huì)存在一些用于網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)數(shù)據(jù)流，這些網(wǎng)絡(luò)數(shù)據(jù)流會(huì)對服務(wù)器、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等進(jìn)行網(wǎng)絡(luò)攻擊，最終產(chǎn)生網(wǎng)絡(luò)安全事故。 [0087] 一些網(wǎng)絡(luò)數(shù)據(jù)流的網(wǎng)絡(luò)攻擊的隱蔽性較高，比如高級持續(xù)威脅（APT，Advanced?Persistent?Threat），傾向于持續(xù)且隱秘地侵入目標(biāo)流數(shù)據(jù)庫，由于高級持續(xù)威脅網(wǎng)絡(luò)攻擊具備低頻性和持續(xù)性，難以被發(fā)現(xiàn)。相關(guān)技術(shù)中，面對此類網(wǎng)絡(luò)數(shù)據(jù)流，通過計(jì)算不同網(wǎng)絡(luò)數(shù)據(jù)流的權(quán)重，權(quán)重越高越可能是高級持續(xù)威脅的網(wǎng)絡(luò)數(shù)據(jù)流，但是針對于高級持續(xù)威脅的網(wǎng)絡(luò)數(shù)據(jù)流的權(quán)重閾值往往是基于經(jīng)驗(yàn)參數(shù)設(shè)置，或者是人工設(shè)置，這樣會(huì)出現(xiàn)對高級持續(xù)威脅的網(wǎng)絡(luò)數(shù)據(jù)流檢測不準(zhǔn)確的問題，最終可能導(dǎo)致目標(biāo)流數(shù)據(jù)庫被入侵等網(wǎng)絡(luò)安全事故。 [0088] 為了解決相關(guān)技術(shù)中所存在的技術(shù)問題，在本申請中，通過獲取待檢測網(wǎng)絡(luò)中的數(shù)據(jù)流，并計(jì)算該數(shù)據(jù)流對應(yīng)的哈希值，然后通過哈希值在預(yù)設(shè)哈希桶數(shù)組中找到相應(yīng)的目標(biāo)哈希桶，并將五元組信息和預(yù)設(shè)哈希桶數(shù)組中已保存五元組信息進(jìn)行對比得到對比結(jié)果，最終通過對比結(jié)果在目標(biāo)哈希桶中確定出數(shù)據(jù)流對應(yīng)的存儲(chǔ)位置，然后將數(shù)據(jù)流對應(yīng)的出現(xiàn)窗口次數(shù)、平均網(wǎng)絡(luò)速率和五元組信息存儲(chǔ)在該存儲(chǔ)位置上，以更新預(yù)設(shè)哈希桶數(shù)組存儲(chǔ)的哈希桶數(shù)據(jù)，這樣能夠極大的提高對待檢測網(wǎng)絡(luò)中數(shù)據(jù)流的信息存儲(chǔ)效率，同時(shí)有利于后續(xù)通過哈希桶數(shù)據(jù)快速找到平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)不符合預(yù)設(shè)條件的目 標(biāo)數(shù)據(jù)流，并對目標(biāo)數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)安全檢測，相對于相關(guān)技術(shù)中，通過對不同的數(shù)據(jù)流設(shè)置對應(yīng)的權(quán)重來分析網(wǎng)絡(luò)數(shù)據(jù)流是否為高級持續(xù)威脅的網(wǎng)絡(luò)數(shù)據(jù)流，本申請中首先對不同的數(shù)據(jù)流的平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)保存在哈希桶數(shù)組中，然后通過平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)來確定出不滿足預(yù)設(shè)條件的目標(biāo)數(shù)據(jù)流，這樣能夠更加準(zhǔn)確的確定出存在網(wǎng)絡(luò)安全隱患的目標(biāo)數(shù)據(jù)流，并對目標(biāo)數(shù)據(jù)流進(jìn)行安全性檢測，從而提高了對網(wǎng)絡(luò)中的數(shù)據(jù)流的網(wǎng)絡(luò)安全檢測的準(zhǔn)確性。 [0089] 為了整體了解本申請實(shí)施例所提供的數(shù)據(jù)流檢測方法，請參閱圖1，圖1是本申請實(shí)施例提供的網(wǎng)絡(luò)安全檢測的場景示意圖。 [0090] 在本實(shí)施例中，針對于待檢測網(wǎng)絡(luò)，可以設(shè)置兩個(gè)哈希桶數(shù)組，即第一哈希桶數(shù)組和第二哈希桶數(shù)組，第一哈希桶數(shù)組和第二哈希桶數(shù)組為預(yù)設(shè)哈希桶數(shù)組。 [0091] 第一哈希桶數(shù)組中包含了多個(gè)第一哈希桶，每個(gè)第一哈希桶中包含了多個(gè)條目，每個(gè)條目可以用于存儲(chǔ)數(shù)據(jù)流對應(yīng)的網(wǎng)絡(luò)信息，比如五元組信息、平均網(wǎng)絡(luò)速率、數(shù)據(jù)流的出現(xiàn)窗口次數(shù)、數(shù)據(jù)流在對應(yīng)窗口中的出現(xiàn)頻率等等，這些網(wǎng)絡(luò)信息可以作為值，而數(shù)據(jù)流的哈希值可以作為鍵，這樣就形成了鍵值對的數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)在條目中。 [0092] 第二哈希桶數(shù)組中包含了多個(gè)第二哈希桶，每個(gè)第二哈希桶中包含了多個(gè)條目，每個(gè)條目可以用于存儲(chǔ)數(shù)據(jù)流對應(yīng)的網(wǎng)絡(luò)信息，比如五元組信息、平均網(wǎng)絡(luò)速率、數(shù)據(jù)流的出現(xiàn)窗口次數(shù)、數(shù)據(jù)流在對應(yīng)窗口中的出現(xiàn)頻率等等，這些網(wǎng)絡(luò)信息可以作為值，而數(shù)據(jù)流的哈希值可以作為鍵，這樣就形成了鍵值對的數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)在條目中。 [0093] 在本申請中采用兩個(gè)哈希桶數(shù)組的好處是，可以減少不同數(shù)據(jù)流對應(yīng)的哈希值之間的哈希沖突，從而減少了哈希沖突的概率，這種方法可以在一定程度上減少哈希沖突，因?yàn)閮蓚€(gè)不同的哈希函數(shù)將數(shù)據(jù)分散到兩個(gè)不同的數(shù)組中，相比于單個(gè)哈希桶數(shù)組，數(shù)據(jù)分布更加均勻。在查找數(shù)據(jù)記錄時(shí)，首先在第一哈希桶數(shù)組中查找，如果沒有找到，再在第二哈希桶數(shù)組中查找，由于沖突減少，平均查找長度也會(huì)相應(yīng)減少，這樣可以提高對數(shù)據(jù)的查找效率。 [0094] 在待檢測網(wǎng)絡(luò)中，當(dāng)檢測到數(shù)據(jù)流時(shí)，可以根據(jù)第一哈希函數(shù)來確定出數(shù)據(jù)流的第一哈希值，即哈希值1，然后根據(jù)哈希值1在第一哈希桶數(shù)組中的多個(gè)第一哈希桶中找到第一目標(biāo)哈希桶?？梢愿鶕?jù)第二哈希函數(shù)來確定出數(shù)據(jù)流第二哈希值，即哈希值2，然后根據(jù)哈希值2在第二哈希桶數(shù)組中的多個(gè)第二哈希桶中找到第二目標(biāo)哈希桶。第一目標(biāo)哈希桶和第二目標(biāo)哈希桶為目標(biāo)哈希桶，均有可能存儲(chǔ)數(shù)據(jù)流對應(yīng)的網(wǎng)絡(luò)信息。 [0095] 然后將五元組信息和預(yù)設(shè)哈希桶數(shù)組中已保存五元組信息進(jìn)行對比得到對比結(jié) 果，并根據(jù)對比結(jié)果在目標(biāo)哈希桶中確定出數(shù)據(jù)流對應(yīng)的存儲(chǔ)位置。 [0096] 確定數(shù)據(jù)流對應(yīng)的出現(xiàn)窗口次數(shù)和平均網(wǎng)絡(luò)速率，并將數(shù)據(jù)流對應(yīng)的出現(xiàn)窗口次數(shù)、平均網(wǎng)絡(luò)速率和五元組信息存儲(chǔ)在目標(biāo)哈希桶的存儲(chǔ)位置內(nèi)，以更新預(yù)設(shè)哈希桶數(shù)組保存的哈希桶數(shù)據(jù)； [0097] 根據(jù)哈希桶數(shù)據(jù)確定出平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)不滿足預(yù)設(shè)條件的目標(biāo)數(shù)

在所述哈希桶數(shù)據(jù)中，將平均網(wǎng)絡(luò)速率小于或等于預(yù)設(shè)平均速率閾值且出現(xiàn)窗口次數(shù)大于或等于預(yù)設(shè)出現(xiàn)窗口次數(shù)閾值的數(shù)據(jù)流確定為不滿足預(yù)設(shè)條件的目標(biāo)數(shù)據(jù)流。 12.一種數(shù)據(jù)流檢測裝置，其特征在于，包括： 獲取模塊，用于獲取待檢測網(wǎng)絡(luò)中的數(shù)據(jù)流，并確定所述數(shù)據(jù)流的五元組信息； 確定模塊，用于根據(jù)第一哈希函數(shù)確定出所述數(shù)據(jù)流的第一哈希值，根據(jù)第二哈希函數(shù)確定出所述數(shù)據(jù)流的第二哈希值； 根據(jù)所述第一哈希值在第一哈希桶數(shù)組中確定出所述數(shù)據(jù)流對應(yīng)的第一目標(biāo)哈希桶，根據(jù)所述第二哈希值在第二哈希桶數(shù)組中確定出所述數(shù)據(jù)流對應(yīng)的第二目標(biāo)哈希桶，將所述第一目標(biāo)哈希桶和所述第二目標(biāo)哈希桶確定為所述數(shù)據(jù)流對應(yīng)的目標(biāo)哈希桶； 對比模塊，用于將所述五元組信息和預(yù)設(shè)哈希桶數(shù)組中已保存五元組信息進(jìn)行對比得到對比結(jié)果，并根據(jù)所述對比結(jié)果在所述目標(biāo)哈希桶中確定出所述數(shù)據(jù)流對應(yīng)的存儲(chǔ)位置，其中所述預(yù)設(shè)哈希桶數(shù)組包括第一哈希桶數(shù)組和第二哈希桶數(shù)組； 保存模塊，用于確定所述數(shù)據(jù)流對應(yīng)的出現(xiàn)窗口次數(shù)和平均網(wǎng)絡(luò)速率，并將所述數(shù)據(jù)流對應(yīng)的所述出現(xiàn)窗口次數(shù)、所述平均網(wǎng)絡(luò)速率和所述五元組信息存儲(chǔ)在所述目標(biāo)哈希桶的所述存儲(chǔ)位置內(nèi)，以更新所述預(yù)設(shè)哈希桶數(shù)組保存的哈希桶數(shù)據(jù)； 檢測模塊，用于根據(jù)所述哈希桶數(shù)據(jù)確定出平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)不滿足預(yù)設(shè)條件的目標(biāo)數(shù)據(jù)流，并對所述目標(biāo)數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)安全檢測； 其中，對比模塊包括確定子模塊，用于： 當(dāng)所述對比結(jié)果指示所述五元組信息與所述第一哈希桶數(shù)組中已保存五元組信息匹配時(shí)，確定所述數(shù)據(jù)流對應(yīng)的當(dāng)前檢測窗口是否與上一次的檢測窗口相同； 當(dāng)所述數(shù)據(jù)流對應(yīng)的當(dāng)前檢測窗口與上一次的檢測窗口不相同時(shí)，確定所述數(shù)據(jù)流在所述第一目標(biāo)哈希桶中排序的當(dāng)前存儲(chǔ)位置； 獲取所述數(shù)據(jù)流對應(yīng)的平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)； 在所述第一目標(biāo)哈希桶中確定排序在所述當(dāng)前存儲(chǔ)位置之前的鄰居存儲(chǔ)位置，以及所述鄰居存儲(chǔ)位置對應(yīng)的鄰居數(shù)據(jù)流的平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)； 根據(jù)所述數(shù)據(jù)流對應(yīng)的平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)以及所述鄰居數(shù)據(jù)流的平均網(wǎng)絡(luò)速率和出現(xiàn)窗口次數(shù)，在所述第一目標(biāo)哈希桶中確定出所述數(shù)據(jù)流對應(yīng)的存儲(chǔ)位置。 13.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其特征在于，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有多條指令，所述指令適于處理器進(jìn)行加載，以執(zhí)行權(quán)利要求1至11任一項(xiàng)所述的數(shù)據(jù)流檢測方法。