本公開涉及網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及識別監(jiān)控信息系統(tǒng)應(yīng)用的方法及裝置。

背景技術(shù)：

監(jiān)控信息系統(tǒng)，例如廠級監(jiān)控信息系統(tǒng)，主要為發(fā)電廠全廠的實(shí)時(shí)生產(chǎn)過程提供綜合優(yōu)化服務(wù)，其能夠?qū)崿F(xiàn)整個(gè)電廠范圍內(nèi)信息共享和全廠生產(chǎn)過程的實(shí)時(shí)信息監(jiān)控。

監(jiān)控信息系統(tǒng)的應(yīng)用對電廠效率提升有顯著作用，為了有效保障監(jiān)控信息系統(tǒng)的運(yùn)行，安全審計(jì)產(chǎn)品必不可少，在行業(yè)內(nèi)，提供監(jiān)控信息系統(tǒng)的廠家非常多，如何有效識別監(jiān)控信息系統(tǒng)應(yīng)用，成為了關(guān)鍵。

相關(guān)技術(shù)中，主要有兩種方式來實(shí)現(xiàn)對監(jiān)控信息系統(tǒng)應(yīng)用的識別。一種方式是采用三層協(xié)議及四層端口的方式來唯一確定一個(gè)應(yīng)用，這種方式不適合私有協(xié)議，僅適合公開協(xié)議。另一種方式通過分析數(shù)據(jù)流內(nèi)容，提取唯一性的特征碼來標(biāo)記應(yīng)用，這種方式誤識別率相對較高，容易造成誤報(bào)，并且投入大，需要保持更新。

技術(shù)實(shí)現(xiàn)要素：

為克服相關(guān)技術(shù)中存在的問題，本公開提供一種識別監(jiān)控信息系統(tǒng)應(yīng)用的方法及裝置。

根據(jù)本公開實(shí)施例的第一方面，提供一種識別監(jiān)控信息系統(tǒng)應(yīng)用的方法，所述方法可以包括：獲取網(wǎng)絡(luò)中的數(shù)據(jù)包；提取所述數(shù)據(jù)包中的多個(gè)流量特征值；根據(jù)所述多個(gè)流量特征值建立特征值向量；對所述特征值向量進(jìn)行聚類處理以形成多個(gè)向量簇；以及通過確定所述多個(gè)向量簇中數(shù)據(jù)密集度最高的向量簇來識別所述監(jiān)控信息系統(tǒng)應(yīng)用。

可選地，所述對所述特征值向量進(jìn)行聚類處理以形成多個(gè)向量簇包括：根據(jù)所述特征值向量來生成聚類特征；以及對所述聚類特征進(jìn)行所述聚類處理以形成所述多個(gè)向量簇。

可選地，所述根據(jù)所述特征值向量來生成所述聚類特征包括使用以下公式來生成所述聚類特征：

其中，表示所述聚類特征，N表示所述特征值向量的元素個(gè)數(shù)，d_i表示所述向量中第i個(gè)元素的值。

可選地，所述對所述聚類特征進(jìn)行所述聚類處理以形成所述多個(gè)向量簇包括：根據(jù)所述聚類特征之間的距離來對所述聚類特征進(jìn)行所述聚類處理以形成所述多個(gè)向量簇。

可選地，所述方法還包括：在形成新的聚類特征之后，根據(jù)該新的聚類特征與所述多個(gè)向量簇的每一個(gè)向量簇的簇中心的距離來確定該新的聚類特征所屬的向量簇。

可選地，所述獲取網(wǎng)絡(luò)中的數(shù)據(jù)包包括：利用網(wǎng)絡(luò)探針來獲取所述網(wǎng)絡(luò)中的所述數(shù)據(jù)包。

可選地，所述多個(gè)流量特征值至少包括：目的MAC地址、目的IP地址、傳輸協(xié)議以及目的端口。

可選地，所述多個(gè)流量特征值還包括以下中的至少一者：源MAC地址、源IP地址、源端口以及數(shù)據(jù)包凈荷長度。

根據(jù)本公開實(shí)施例的第二方面，提供一種識別監(jiān)控信息系統(tǒng)的應(yīng)用的裝置，該裝置包括：獲取單元，用于獲取所述網(wǎng)絡(luò)中的數(shù)據(jù)包；提取單元，用于提取所述數(shù)據(jù)包中的多個(gè)流量特征值；建立單元，用于根據(jù)所述多個(gè)流量特征值建立特征值向量；聚類單元，用于對所述向量進(jìn)行聚類處理以形成多個(gè)向量簇；以及識別單元，用于通過確定所述多個(gè)向量簇中數(shù)據(jù)密集度最高的向量簇來識別所述監(jiān)控信息系統(tǒng)應(yīng)用。

可選地，所述聚類單元用于：根據(jù)所述特征值向量來生成聚類特征；以及對所述聚類特征進(jìn)行所述聚類處理以形成所述多個(gè)向量簇。

本公開的實(shí)施例提供的技術(shù)方案可以包括以下有益效果：能夠有效識別出監(jiān)控信息系統(tǒng)應(yīng)用的關(guān)鍵流量，從而為流量保證業(yè)務(wù)提供基礎(chǔ)識別服務(wù)并且能夠防止一些病毒因占有大量寬帶而影響監(jiān)控信息系統(tǒng)運(yùn)行。

應(yīng)當(dāng)理解的是，以上的一般描述和后文的細(xì)節(jié)描述僅是示例性和解釋性的，并不能限制本公開。

附圖說明

此處的附圖被并入說明書中并構(gòu)成本說明書的一部分，示出了符合本發(fā)明的實(shí)施例，并與說明書一起用于解釋本發(fā)明的原理。

圖1是根據(jù)一示例性實(shí)施例示出的一種識別監(jiān)控信息系統(tǒng)應(yīng)用的方法的流程圖；

圖2是BIRCH算法進(jìn)行聚類的聚類結(jié)果示意圖；

圖3是根據(jù)又一示例性實(shí)施例示出的一種識別監(jiān)控信息系統(tǒng)應(yīng)用的方法的流程圖；以及

圖4是根據(jù)一示例性實(shí)施例示出的一種識別監(jiān)控信息系統(tǒng)應(yīng)用的裝置的框圖。

具體實(shí)施方式

這里將詳細(xì)地對示例性實(shí)施例進(jìn)行說明，其示例表示在附圖中。下面的描述涉及附圖時(shí)，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本發(fā)明相一致的所有實(shí)施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本發(fā)明的一些方面相一致的裝置和方法的例子。

圖1是根據(jù)一示例性實(shí)施例示出的一種識別監(jiān)控信息系統(tǒng)應(yīng)用的方法的流程圖，所述監(jiān)控信息系統(tǒng)例如可以電廠監(jiān)控信息系統(tǒng)。如圖1所示，識別監(jiān)控信息系統(tǒng)應(yīng)用的方法可以包括以下步驟。

在步驟S11中，獲取網(wǎng)絡(luò)中的數(shù)據(jù)包。

可選地，可以利用網(wǎng)絡(luò)探針來獲取網(wǎng)絡(luò)中的數(shù)據(jù)包。

在步驟S12中，提取所述數(shù)據(jù)包中的多個(gè)流量特征值。

可選地，可以根據(jù)網(wǎng)絡(luò)中數(shù)據(jù)流特點(diǎn)設(shè)置需要提取的流量特征值。例如，所提取的流量特征值至少可以包括目的MAC地址、目的IP地址、傳輸協(xié)議以及目的端口。除此之外，所提取的流量特征值還可以進(jìn)一步包括：源MAC地址、源IP地址、源端口以及數(shù)據(jù)包凈荷長度。

在步驟S13中，根據(jù)所述多個(gè)流量特征值建立特征值向量。

例如，可以將所提取數(shù)據(jù)包中的多個(gè)流量特征值直接組合成特征值向量。

在步驟S14中，對所述特征值向量進(jìn)行聚類處理以形成多個(gè)向量簇。

對網(wǎng)絡(luò)中的每一個(gè)數(shù)據(jù)包均執(zhí)行步驟S11至步驟S13的處理，這樣針對每一個(gè)數(shù)據(jù)包均可以形成一特征值向量，對所形成的這些特征值向量進(jìn)行聚類處理后可以形成多個(gè)向量簇。

例如可以使用BIRCH(Balanced Iterative Reducing and Clustering using Hierarchies，利用層次方法的平衡迭代規(guī)約和聚類)聚類算法來對步驟S13中所建立的特征值向量進(jìn)行聚類處理，但是本發(fā)明實(shí)施例并不限制于此，也可以使用任意的其它聚類算法對所述特征值向量進(jìn)行聚類處理。

BIRCH算法是通過CF-Tree(Cluster Feature-Tree，聚類特征樹)來實(shí)現(xiàn)的，其包括以下兩個(gè)執(zhí)行過程：

(1)生成聚類特征，聚類特征定義如下：CF＝<n,LS,SS>，其中聚類特征CF為一個(gè)3維向量，n為需要聚類的數(shù)據(jù)點(diǎn)總數(shù)，LS為n個(gè)數(shù)據(jù)點(diǎn)的線性和，SS為n個(gè)數(shù)據(jù)點(diǎn)的平方和。

(2)執(zhí)行CF聚類。得到CF聚類特征后，通過一個(gè)類似于B-樹的算法進(jìn)行聚類，其中B-樹算法屬于一種公開算法，這里將不再進(jìn)行介紹。聚類后可以得到類似于圖2所示的聚類結(jié)果，圖2中第一層為聚類樹的根節(jié)點(diǎn)，第二層為中間節(jié)點(diǎn)，第三層為葉節(jié)點(diǎn)，葉節(jié)點(diǎn)為對應(yīng)的聚類結(jié)果，圖2的示意圖中，CF₉₀…CF₉₄為一類，而CF₉₅…CF₉₉為另外一類。

在步驟S15中，通過確定所述多個(gè)向量簇中數(shù)據(jù)密集度最高的向量簇來識別所述監(jiān)控信息系統(tǒng)應(yīng)用。

例如，可以通過統(tǒng)計(jì)所形成的多個(gè)向量簇中每個(gè)向量簇的元素個(gè)數(shù)來確定數(shù)據(jù)密集度最高的向量簇。

監(jiān)控信息系統(tǒng)正常運(yùn)行時(shí)，網(wǎng)絡(luò)中60％至95％以上的流量都是監(jiān)控信息系統(tǒng)的流量，對應(yīng)于這些監(jiān)控信息系統(tǒng)的流量的數(shù)據(jù)包在所提取的流量特征值上具有非常好的相似性，經(jīng)過上述步驟S11至步驟S15，相似性很好的數(shù)據(jù)包可以被聚類在同一個(gè)向量簇中，這樣，數(shù)據(jù)密集度最高的向量簇所代表的數(shù)據(jù)包就對應(yīng)于監(jiān)控信息系統(tǒng)的流量，從而實(shí)現(xiàn)識別監(jiān)控信息系統(tǒng)應(yīng)用的目的。

通過采用上述技術(shù)方案，能夠有效識別出監(jiān)控信息系統(tǒng)應(yīng)用的關(guān)鍵流量，從而為流量保證業(yè)務(wù)提供基礎(chǔ)識別服務(wù)并且能夠防止一些病毒因占有大量寬帶而影響監(jiān)控信息系統(tǒng)運(yùn)行。

在一示例性實(shí)施例中，所述對所述特征值向量進(jìn)行聚類處理以形成多個(gè)向量簇可以包括：根據(jù)所述特征值向量來生成聚類特征；以及對所述聚類特征進(jìn)行所述聚類處理以形成所述多個(gè)向量簇。

可選地，可以根據(jù)以下公式來將特征向量生成聚類特征：

在公式(1)中，表示所述聚類特征，N表示所述特征值向量的元素個(gè)數(shù)，d_i表示所述向量中第i個(gè)元素的值。

例如，在所提取的流量特征值包括源MAC地址、源IP地址、目的MAC地址、目的IP地址、傳輸協(xié)議、源端口、目的端口以及數(shù)據(jù)包凈荷長度的情況下，公式(1)中的N為8，特征向量可以由上述八個(gè)特征值組成，d_i則對應(yīng)表示上述八個(gè)特征值的每一個(gè)特征值。每一聚類特征唯一地表示了一個(gè)數(shù)據(jù)包，從而可以增加識別監(jiān)控信息系統(tǒng)應(yīng)用準(zhǔn)確度。

進(jìn)一步可選地，可以根據(jù)聚類特征之間的距離來對所述聚類特征進(jìn)行所述聚類處理以形成所述多個(gè)向量簇?？蛇x地，計(jì)算所述距離的函數(shù)可以是歐幾里得距離函數(shù)、曼哈頓距離函數(shù)等。數(shù)據(jù)包之間的相似度越高其對應(yīng)的聚類特征之間的距離就越小，根據(jù)聚類特征之間的距離可以快速有效地將實(shí)現(xiàn)對所述聚類特征進(jìn)行聚類處理。

下面以所提取的流量特征值包括源MAC地址、源IP地址、目的MAC地址、目的IP地址、傳輸協(xié)議、源端口、目的端口以及數(shù)據(jù)包凈荷長度為例，對本發(fā)明的方法進(jìn)行進(jìn)一步說明。如圖3所示，該方法包括以下步驟：

在步驟S21中，首先利用網(wǎng)絡(luò)探針獲取網(wǎng)絡(luò)中的數(shù)據(jù)包。這里可以假定利用網(wǎng)絡(luò)探針獲取了n個(gè)數(shù)據(jù)包，n為大于或等于1的正整數(shù)。

在步驟S22中，針對每一數(shù)據(jù)包提取上述八個(gè)流量特征值。

在步驟S23中，使用各自的八個(gè)流量特征值為每一數(shù)據(jù)包建立一特征值向量。

這里，針對每一數(shù)據(jù)包，可以將其對應(yīng)的八個(gè)流量特征值組成特征值向量其中：

d₁＝源MAC地址；

d₂＝源IP地址；

d₃＝目的MAC地址；

d₄＝目的IP地址；

d₅＝傳輸協(xié)議；

d₆＝源端口；

d₇＝目的端口；

d₈＝數(shù)據(jù)包凈荷長度。

在步驟S24中，根據(jù)特征值向量生成聚類特征具體地，可以根據(jù)以下公式來生成聚類特征，

在公式(2)中，

在公式(3)和公式(4)中i為整數(shù)。

這樣網(wǎng)絡(luò)中的每一個(gè)數(shù)據(jù)包經(jīng)過步驟S22至步驟S24的處理后，先轉(zhuǎn)變?yōu)樘卣髦迪蛄咳缓筠D(zhuǎn)化為聚類特征該聚類特征為一個(gè)三維向量，并且唯一地表示了一個(gè)數(shù)據(jù)包。

步驟S21中獲取的n個(gè)數(shù)據(jù)包，首先經(jīng)過步驟S22和步驟S23形成了向量其中

d_j,1＝第j個(gè)數(shù)據(jù)包的源MAC地址；

d_j,2＝第j個(gè)數(shù)據(jù)包的源IP地址；

d_j,3＝第j個(gè)數(shù)據(jù)包的目的MAC地址；

d_j,4＝第j個(gè)數(shù)據(jù)包的目的IP地址；

d_j,5＝第j個(gè)數(shù)據(jù)包的傳輸協(xié)議；

d_j,6＝第j個(gè)數(shù)據(jù)包的源端口；

d_j,7＝第j個(gè)數(shù)據(jù)包的目的端口；

d_j,8＝第j個(gè)數(shù)據(jù)包的數(shù)據(jù)包凈荷長度。

對每一個(gè)向量都利用步驟S23的方法將其轉(zhuǎn)化為一個(gè)聚類特征最終n個(gè)數(shù)據(jù)包形成n個(gè)聚類特征其中

其中d_j,i為特征值向量的第i個(gè)值。

在步驟S25中，對步驟S24中生成的聚類特征進(jìn)行聚類處理以形成向量簇。

這里根據(jù)聚類特征之間的距離來對聚類特征進(jìn)行所述聚類處理，聚類特征之間的距離越近，所對應(yīng)的數(shù)據(jù)包的相似度也越高。這里，可以設(shè)置一閾值，將聚類特征之間的距離小于該閾值的聚類特征歸為一類進(jìn)而形成向量簇，可選地，可以選用歐幾里得距離函數(shù)來計(jì)算聚類特征之間的距離，其計(jì)算公式如下：

或者可以選用曼哈頓距離函數(shù)來計(jì)算聚類特征之間的距離，其計(jì)算公式如下：

d(k,j)＝|(X_k-X_j)+(Y_k-Y_j)| (6)

這里，公式(5)和(6)中，(X_j,Y_j)為聚類特征的第二個(gè)和第三個(gè)元素，參見公式(2)的第二個(gè)和第三個(gè)元素即為聚類特征的LS和SS，其中(X_k,Y_k)為聚類特征的第二個(gè)和第三個(gè)元素，參見公式(2)的第二個(gè)和第三個(gè)元素即為聚類特征的LS和SS。

利用公式(5)或(6)計(jì)算出n個(gè)聚類特征之間的距離，然后將對應(yīng)的距離小于預(yù)先設(shè)置的閾值的聚類特征歸到一個(gè)向量簇中，從而完成對聚類特征的聚類處理。

在步驟S26中通過確定步驟S25中所形成的多個(gè)向量簇中數(shù)據(jù)密集度最高的向量簇來識別所述監(jiān)控信息系統(tǒng)應(yīng)用?？梢酝ㄟ^統(tǒng)計(jì)所形成的多個(gè)向量簇中每個(gè)向量簇的元素個(gè)數(shù)來確定數(shù)據(jù)密集度最高的向量簇，數(shù)據(jù)密集度最高的向量簇所代表的數(shù)據(jù)包就對應(yīng)于監(jiān)控信息系統(tǒng)的流量，從而可以實(shí)現(xiàn)對監(jiān)控信息系統(tǒng)應(yīng)用的識別。

此外，在確定出對應(yīng)于監(jiān)控信息系統(tǒng)應(yīng)用的數(shù)據(jù)密集度最高向量簇之后，對于獲取的新的數(shù)據(jù)包，首先根據(jù)步驟S21至步驟S24生成新的聚類特征，該新的聚類特征對應(yīng)于所獲取的新的數(shù)據(jù)包，然后可以根據(jù)該新的聚類特征與所述多個(gè)向量簇的每一個(gè)向量簇的簇中心的距離來確定該新的聚類特征所屬的向量簇。

可以根據(jù)以下公式來計(jì)算具有m個(gè)聚類特征的向量簇的簇中心C：

公式(7)中，LS_i和SS_i為向量簇中第i個(gè)聚類特征的第二個(gè)和第三個(gè)元素，其分別可以根據(jù)公式(2)和(3)計(jì)算獲得。

類似地，可以根據(jù)公式(5)或(6)來計(jì)算新的聚類特征與簇中心之間的距離d，然后可以將該距離d與簇半徑R進(jìn)行比較，來確定該新的聚類特征是否屬于該簇，其中簇半徑R為向量簇中各個(gè)聚類特征與簇中心的距離的平均值，可以用以下公式來表示簇半徑R：

其中，m為正整數(shù)，表示向量簇中聚類特征的個(gè)數(shù)，d(j,c)為向量簇中第j個(gè)聚類特征與簇中心的距離。

如果新的聚類特征與簇中心之間的距離d小于簇半徑R，則可以表示該新的聚類特征與該向量簇中的聚類特征相似，可以歸為同一類。否則可以繼續(xù)遍歷其它向量簇，知道找到該新的聚類特征所屬的向量簇。如果遍歷完全部的向量簇之后，依然沒有找到該新的聚類特征所屬的向量簇，則可以為該新的聚類特征建立一個(gè)新的向量簇。

如果采用BIRCH算法的話，則每一個(gè)向量簇對應(yīng)于一個(gè)葉子節(jié)點(diǎn)，對于新的聚類特征，判斷其所屬向量簇就是判斷該新的聚類特征屬于哪個(gè)葉子節(jié)點(diǎn)，判斷過程如下：

(1)計(jì)算新的聚類特征與BIRCH算法的聚類特征樹中的每一個(gè)葉子節(jié)點(diǎn)的簇中心C距離d；

(2)如果d≤當(dāng)前葉子節(jié)點(diǎn)半徑R，則將新的聚類特征加入當(dāng)前葉子節(jié)點(diǎn)中；

(3)如果d>當(dāng)前葉子節(jié)點(diǎn)半徑R，則繼續(xù)計(jì)算新的聚類特征與下一個(gè)葉子節(jié)點(diǎn)的半徑R的距離d；

(4)如果遍歷完所有的葉子節(jié)點(diǎn)，仍然未找到合適的葉子節(jié)點(diǎn)，則新建一個(gè)葉子節(jié)點(diǎn)，將所述新的聚類特征加入新建的葉子節(jié)點(diǎn)中。

優(yōu)選地，對于新的聚類特征可以直接通過上述方式判斷該新的聚類特征是否屬于上述步驟S26中確定出的數(shù)據(jù)密集度最高的向量簇，如果是的話，則判斷該新的聚類特征所代表的數(shù)據(jù)包屬于監(jiān)控信息系統(tǒng)應(yīng)用，否則，判斷該新的聚類特征所代表的數(shù)據(jù)包不屬于監(jiān)控信息系統(tǒng)應(yīng)用，而無需進(jìn)行其它計(jì)算，從而可以減少計(jì)算量。

本發(fā)明實(shí)施例提供的識別方法屬于一種通用識別方法，適用于采用任意網(wǎng)絡(luò)協(xié)議的監(jiān)控信息系統(tǒng)。監(jiān)控信息系統(tǒng)網(wǎng)絡(luò)中常用的網(wǎng)絡(luò)協(xié)議有HSRP/VRRP(Hot Standby Router Protocol/Virtual Router Redundancy Protocol,熱備份路由協(xié)議/虛擬路由冗余協(xié)議)，IEC104規(guī)約，SIS(Supervisory Information System，監(jiān)控信息系統(tǒng))協(xié)議，其中HSRP/VRRP、IEC104規(guī)約為公開的互聯(lián)網(wǎng)協(xié)議，對采用這兩種通信協(xié)議的監(jiān)控信息系統(tǒng)應(yīng)用進(jìn)行識別時(shí)，可以采用協(xié)議和端口的方式。而SIS協(xié)議屬于私有協(xié)議，對采用SIS協(xié)議的監(jiān)控信息系統(tǒng)應(yīng)用進(jìn)行識別時(shí)，可以使用上述實(shí)施例提供的通用識別方法。

圖4是根據(jù)一示例性實(shí)施例示出的一種識別監(jiān)控信息系統(tǒng)應(yīng)用的裝置40的框圖。參照圖4，該裝置40可以包括：獲取單元41，用于獲取所述網(wǎng)絡(luò)中的數(shù)據(jù)包；提取單元42，用于提取所述數(shù)據(jù)包中的多個(gè)流量特征值；建立單元43，用于根據(jù)所述多個(gè)流量特征值建立特征值向量；聚類單元44，用于對所述向量進(jìn)行聚類處理以形成多個(gè)向量簇；以及識別單元45，用于通過確定所述多個(gè)向量簇中數(shù)據(jù)密集度最高的向量簇來識別所述監(jiān)控信息系統(tǒng)應(yīng)用。能夠有效識別出監(jiān)控信息系統(tǒng)應(yīng)用的關(guān)鍵流量，從而為流量保證業(yè)務(wù)提供基礎(chǔ)識別服務(wù)并且能夠防止一些病毒因占有大量寬帶而影響監(jiān)控信息系統(tǒng)運(yùn)行。

其中，可選地，獲取單元41可以利用網(wǎng)絡(luò)探針來獲取所述網(wǎng)絡(luò)中的所述數(shù)據(jù)包。所述多個(gè)流量特征值至少可以包括：目的MAC地址、目的IP地址、傳輸協(xié)議以及目的端口?？蛇x地，該多個(gè)流量特征值還可以包括源MAC地址、源IP地址、源端口以及數(shù)據(jù)包凈荷長度。

可選地，聚類單元44可以用于根據(jù)所述特征值向量來生成聚類特征，具體地，可以根據(jù)以下公式來生成所述聚類特征：

其中，表示所述聚類特征，N表示所述特征值向量的元素個(gè)數(shù)，d_i表示所述向量中第i個(gè)元素的值。

然后聚類單元44可以根據(jù)所述聚類特征之間的距離來對所述聚類特征進(jìn)行所述聚類處理以形成所述多個(gè)向量簇。

如上文所述，監(jiān)控信息系統(tǒng)正常運(yùn)行時(shí)，網(wǎng)絡(luò)中60％至95％以上的流量都是監(jiān)控信息系統(tǒng)的流量，對應(yīng)于這些監(jiān)控信息系統(tǒng)的流量的數(shù)據(jù)包在所提取的流量特征值上具有非常好的相似性，相似性很好的數(shù)據(jù)包可以被聚類在同一個(gè)向量簇中，這樣，數(shù)據(jù)密集度最高的向量簇所代表的數(shù)據(jù)包就對應(yīng)于監(jiān)控信息系統(tǒng)的流量，從而可實(shí)現(xiàn)識別監(jiān)控信息系統(tǒng)應(yīng)用的目的。

關(guān)于上述實(shí)施例中的裝置，其中各個(gè)模塊執(zhí)行操作的具體方式已經(jīng)在有關(guān)該方法的實(shí)施例中進(jìn)行了詳細(xì)描述，此處將不做詳細(xì)闡述說明。

本領(lǐng)域技術(shù)人員在考慮說明書及實(shí)踐這里公開的發(fā)明后，將容易想到本發(fā)明的其它實(shí)施方案。本申請旨在涵蓋本發(fā)明的任何變型、用途或者適應(yīng)性變化，這些變型、用途或者適應(yīng)性變化遵循本發(fā)明的一般性原理并包括本公開未公開的本技術(shù)領(lǐng)域中的公知常識或慣用技術(shù)手段。說明書和實(shí)施例僅被視為示例性的，本發(fā)明的真正范圍和精神由所附的權(quán)利要求指出。

應(yīng)當(dāng)理解的是，本發(fā)明并不局限于上面已經(jīng)描述并在附圖中示出的精確結(jié)構(gòu)，并且可以在不脫離其范圍進(jìn)行各種修改和改變。本發(fā)明的范圍僅由所附的權(quán)利要求來限制。