CN111756716A

CN111756716A - 流量检测方法、装置及计算机可读存储介质

Info

Publication number: CN111756716A
Application number: CN202010545274.4A
Authority: CN
Inventors: 陈楚明
Original assignee: Sangfor Technologies Co Ltd
Current assignee: Sangfor Technologies Co Ltd
Priority date: 2020-06-15
Filing date: 2020-06-15
Publication date: 2020-10-09

Abstract

本发明公开了一种流量检测方法、装置及计算机可读存储介质，所述流量检测方法包括：获取终端的身份标识，其中，每一终端唯一对应一身份标识；获取所述终端的第一流量数据；将所述第一流量数据与所述身份标识关联后发送至流量检测模块，以使所述流量检测模块在检测到所述第一流量数据存在威胁的情况下，根据所述身份标识定位到所述终端。本发明通过获取终端的身份标识及第一流量数据，并将获取的第一流量数据与身份标识关联后发送至流量检测模块，由于身份标识与终端唯一对应并且第一流量数据与身份标识关联，难于被伪造，因此提升了流量检测模块识别终端的准确率。

Description

流量检测方法、装置及计算机可读存储介质

技术领域

本发明涉及网络通信领域，尤其涉及流量检测方法、装置及计算机可读存储介质。

背景技术

在将终端的流量传输至流量检测模块时，检测平台要确定对应的终端，现有技术通过虚拟交换机、路由器等网络设备探针获取IP(Internet Protocol Address，互联网协议地址)地址或MAC(Media Access Control Address，媒体存取控制位址)地址实现，然而，在网络设备探针通过终端的IP地址或MAC地址识别对应的终端时，但存在伪造的IP或者MAC冒充某台终端身份。因此，现有技术中所采用的识别终端的技术缺陷在于终端的身份信息容易被伪装，而使得流量检测模块识别终端身份的准确率较低。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种流量检测方法，旨在解决流量检测模块识别终端的准确率较低的技术问题。

为实现上述目的，本发明提供一种流量检测方法，所述流量检测方法包括以下步骤：

获取终端的身份标识，其中，每一终端唯一对应一身份标识；

获取所述终端的第一流量数据；

将所述第一流量数据与所述身份标识关联后发送至流量检测模块，以使所述流量检测模块在检测到所述第一流量数据存在威胁的情况下，根据所述身份标识定位到所述终端。

在一实施例中，所述身份标识根据所述终端的硬件识别码以及所述终端的虚拟机标识符中的至少一个确定。

在一实施例中，所述获取终端的身份标识的步骤之前，还包括：

获取所述终端中至少一个硬件对应的硬件信息；

根据所述硬件信息生成硬件识别码，并根据所述硬件识别码确定所述终端的身份标识。

在一实施例中，所述获取所述终端的第一流量数据的步骤包括：

获取第二流量数据及所述流量检测模块的流量过滤规则；

根据所述流量过滤规则对所述第二流量数据进行过滤，根据过滤结果确定所述第一流量数据。

在一实施例中，所述获取终端的身份标识的步骤包括：

在所述终端连接的网络不为受信任的网络时，获取所述终端的身份标识。

所述在所述终端连接的网络为不受信任的网络时，获取终端的身份标识的步骤之前，还包括：

输出受信任的网络的配置界面；

在检测到所述配置界面触发的完成操作时，根据所述配置界面获取受信任的网络对应的网络信息；

向所述流量检测模块发送所述网络信息；

接收到所述流量检测模块在对所述网络信息验证成功后返回的响应信息，并根据所述响应信息将所述网络信息保存为受信任的网络对应的网络信息，以使所述终端根据所述网络信息确定执行获取终端的身份标识的步骤的时机。

在一实施例中，所述将所述第一流量数据与所述身份标识关联后发送至流量检测模块的步骤包括：

对所述第一流量数据以及所述身份标识进行压缩得到压缩包；

将所述压缩包发送至所述流量检测模块。

此外，为实现上述目的，本发明还提供一种流量检测装置，所述流量检测装置包括：

引流模块，用于获取终端的身份标识，其中，每一终端唯一对应一身份标识；

所述引流模块，还用于获取所述终端的第一流量数据；

发送模块，将所述第一流量数据与所述身份标识关联后发送至流量检测模块，以使所述流量检测模块在检测到所述第一流量数据存在威胁的情况下，根据所述身份标识定位到所述终端。

此外，为实现上述目的，本发明还提供一种流量检测装置，所述流量检测装置包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的流量检测程序，所述流量检测程序被所述处理器执行时实现如上所述的流量检测方法的步骤。

此外，为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有流量检测程序，所述流量检测程序被处理器执行时实现如上所述的流量检测方法的步骤。

本发明实施例提出的流量检测方法、装置及计算机可读存储介质，获取终端的身份标识及流量数据，并将流量数据与身份标识发送至流量检测模块，由于身份标识与终端唯一对应并且第一流量数据与身份标识关联，难于被伪造，因此解决了现有技术中存在的IP地址或MAC地址容易伪造的问题，提升了终端检测平台识别终端的准确率。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图；

图2为本发明流量检测方法第一实施例的流程示意图；

图3为本发明流量检测方法第二实施例中步骤S10的细化流程示意图；

图4为本发明流量检测方法第三实施例中步骤S20的细化流程示意图；

图5为本发明流量检测方法第四实施例的流程示意图；

图6为本发明流量检测方法第五实施例的流程示意图；

图7为本发明流量检测方法第六实施例中步骤S30的细化流程示意图；

图8为本发明流量检装置的功能模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图。

本发明实施例终端可以是PC，也可以是智能手机、平板电脑、网络主机。

如图1所示，该终端可以包括：处理器1001，例如CPU，网络接口1004，用户接口1003，存储器1005，通信总线1002。通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器，也可以是稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的终端结构并不构成对终端的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及流量检测程序。

在图1所示的终端中，网络接口1004主要用于连接后台服务器，与后台服务器进行数据通信；用户接口1003主要用于连接客户端(用户端)，与客户端进行数据通信；而处理器1001可以用于调用存储器1005中存储的流量检测应用程序，并执行以下操作：

获取所述终端的第一流量数据；

在一实施例中，处理器1001可以调用存储器1005中存储的流量检测应用程序，还执行以下操作：

获取所述终端中至少一个硬件对应的硬件信息；

获取第二流量数据及所述流量检测模块的流量过滤规则；

输出受信任的网络的配置界面；

向所述流量检测模块发送所述网络信息；

对所述第一流量数据以及所述身份标识进行压缩；

将压缩的所述第一流量数据及所述身份标识关联后发送至所述流量检测模块。

参照图2，本发明第一实施例提供一种流量检测方法，所述流量检测方法包括：

步骤S10，获取终端的身份标识，其中，每一终端唯一对应一身份标识；

终端是指能接入网络，并在网络中与其他设备进行数据通信的设备，身份标识是用以指示某一终端身份的标识符，身份标识可根据硬件识别码及VMID(Virtual MachineIdentifier,虚拟机标识符)中至少一个来确定，硬件识别码是根据终端的硬件信息生成的与终端唯一关联的身份信息，VMID为流量检测模块所创建的可唯一识别的身份信息。

硬件识别码或VMID可以是字符串形式，在确定身份标识时，可将硬件识别码或VMID本身确定为身份标识，也可以将硬件识别码与VMID的组合确定为身份标识，还可以对硬件识别码或VMID通过某种变换规则进行变换，以确定身份标识，某种变换规则可以是非对称密钥加密技术。

在终端是流量检测平台(或称云计算平台)创建的虚拟机的情况下，云计算平台在创建虚拟机时还为虚拟机创建一唯一对应的VMID，可以直接将UUID(Universally UniqueIdentifier,通用唯一识别码)作为VMID，UUID包括：虚拟机创建日期和时间、时钟序列和全局唯一的美国电气和电子工程师协会机器识别号，例如UUID可以是f0f90cc6-ac7c-11ea-bb37-0242ac130002，也可以将128位随机二进制数作为VMID，具体格式可以是对128位二进制数转换得到的16进制字符串，例如某一转换成16进制的随机数为as31c12aq6t0ocy0wu9D15fnEok290y1，此外，VMID还可以是其他形式的由云计算平台创建的可唯一指定终端身份信息的标识符。

步骤S20，获取所述终端的第一流量数据；

第一流量数据是待发送至流量检测模块的数据。

在获取终端的第一流量数据的情况下，若终端的操作系统为Linux，可以利用内核空间下的Netfilter(网络过滤器)框架采集流量数据包，主要对捕获的原始数据包进行分析，判断数据包的类型并提取数据包的特征参数，在混杂模式下，利用Netfilter框架，当数据包被传递到Hook(挂载点)中便开始进行采集，Hook函数接收到的数据有skbuff(socketbuff，套接字缓存)结构、网络设备的数据结构指针，skbuff中包括了链路层、网络层及传输层包头，通过分析这些包头可以得到该数据包的源地址、目的地址、源端口、目的端口和协议类型，并且提取流量数据。

步骤S30，将所述第一流量数据与所述身份标识关联后发送至流量检测模块，以使所述流量检测模块在检测到所述第一流量数据存在威胁的情况下，根据所述身份标识定位到所述终端。

流量检测模块指能够检测流量并根据身份标识确定身份标识对应终端的对象，威胁指可能对数据或者硬件造成损坏的信息，定位到终端指识别出终端的身份标识或进一步确定终端在网络中的位置。

关联指建立第一流量数据与身份标识之间的对应关系。

在关联时，可以先提取第一流量数据的特征，通过将数据的特征与硬件识别码建立对应关系，可以建立第一流量数据与硬件识别码的关联。

在关联时，还可将第一流量数据进行封装，建立一个数据实例，该数据实例存在与其对应的实例标识符，该实例标识符可以唯一确定一个数据实例，将实例标识符与硬件标识码对应以使二者建立关联。

在关联时，还可将第一流量数据与硬件标识符建立为一个数据实例，在该数据实例中，第一流量数据与硬件标识符在传输过程中及传输完成后，直至被流量检测模块解析之前皆存在不可分割的实体关系，这种实体关系可以表现为一个特定的封装文件，流量检测模块在接收到该封装文件后对封装文件进行解封装，在解封装的过程中将同一封装文件内的第一流量数据与硬件识别码视为一组对应关系，即建立二者的关联。

在将第一流量数据发送至流量检测模块后，流量检测模块检测第一流量数据中是否存在异常流量，异常流量指超出流量正常变化范围的流量数据，异常流量例如蠕虫病毒、拒绝服务攻击，蠕虫病毒是一种能在网络中自动传播的程序，与传统的计算机程序相比，蠕虫病毒具有更强的繁殖能力和破坏能力，检测蠕虫病毒的方法包括误用检测和异常检测两种方法，误用检测指通过蠕虫病毒代码的特征来检测蠕虫的存在，异常检测指通过对正常情况下的系统进行建模，并通过检测系统的异常行为或者流量的异常模式来检测蠕虫病毒的存在，拒绝服务攻击通过发送大量合法或伪造请求以占用大量网络资源以使网络瘫痪，检测拒绝服务攻击可通过入侵检测系统实现，入侵检测系统包括四个部分：事件产生器，用于从计算环境中获得事件，并向系统的其他部分提供此事件；事件分析器，用于分析数据；响应单元，用于发出警报或采取；事件数据库，用于存放各种数据。

值得注意的是，该异常流量除了木马、蠕虫、拒绝服务攻击，还可以包括其他使终端存在威胁的异常流量，在此不对该异常流量的的类型进行限定。另外，检测异常流量的流量检测模块可以为对流量中存在的威胁进行检测的云计算平台，还可以为检测流量中存在的威胁的服务器，在此不受限定。

在将第一流量数据发送至流量检测模块后，流量检测模块首先提取网络流量的基本特征数据，根据提取的基本特征数据确定选择的表示异常信息的组合特征数据，将组合特征数据输入流量检测模型以得到输出结果，流量检测模型根据预设的异常信息样本数据经训练后得到。

终端在通过DHCP(Dynamic Host Configuration Protocol，动态主机设置协议)获取IP地址时，会先通过DHCP服务器发送广播包以请求IP地址，此时，网络中的攻击者可以大量伪造请求IP地址的广播包，耗尽DHCP服务器的IP地址资源，并伪造虚假的DHCP服务器，向终端发送伪造的IP地址，使得终端实际获得的IP地址是伪造的，流量检测模块无法根据伪造的IP地址定位正确的终端，然而，在通过与终端唯一对应的身份标识确定终端的身份时，所采用的身份标识为硬件识别码或虚拟机标识符，其不需要获取IP地址信息，即使攻击者伪造了IP地址信息，伪造的IP地址信息也不会成为有效的用以确定终端身份的信息，因此解决了DHCP环境下存在的IP地址伪造的问题。需要说明的是，本实施例中的流量检测方法的应用场景包括但不限于终端在上述DHCP环境下的应用场景。

本实施例通过获取终端的身份标识并获取终端的第一流量数据，将身份标识及第一流量数据关联后发送至流量检测模块，由于身份标识中的硬件识别码或虚拟机标识符均难于被伪造，因此增加了对二者予以伪造并令流量检测模块根据伪造的信息误识终端的难度，使得流量检测模块识别终端信息的准确率得以提升。

参照3，图3为本发明终端的流量检测方法的第二实施例，基于第一实施例，所述步骤S10之前还包括：

步骤S11，获取所述终端中至少一个硬件对应的硬件信息；

终端作为一种计算机设备，其具有计算机的基本结构，计算机基本结构包括运算器、控制器、存储器、输入设备、输出设备，计算机的基本结构在实际生产过程中存在对应的硬件及在此基本结构上衍生的各类硬件，硬件信息则指这些对应的硬件以及衍生的硬件的标识信息，例如，中央处理器包括运算器和控制器，中央处理器对应一唯一的序列号，根据该序列号可唯一确定一中央处理器。

终端中包括若干硬件及其对应的硬件信息，在获取硬件信息时，至少选择其中一个硬件并获取该硬件的硬件信息。

步骤S12，根据所述硬件信息生成硬件识别码，并根据所述硬件识别码确定所述终端的身份标识。

硬件识别码是一种对硬件信息按照某种特定规则进行运算生成的与硬件信息唯一对应的标识信息，将硬件识别码确定为终端的身份标识。

特定规则如密码散列函数，密码散列函数是散列函数的一种，其具有难以从散列函数输出的结果回推输入的数据的特点，输入的数据也称消息，输出的结果也称消息摘要，将硬件信息作为输入数据通过散列函数进行运算以得到该硬件信息对应的消息摘要即硬件识别码。

若硬件信息包括硬盘信息ST1000NM0011，中央处理器信息W072701I70036、通过算法进行运算得硬件识别码为CF607254FC6318A92B9E13C65DB7CF3C。

本实施例通过获取终端中至少一个硬件的硬件信息并根据硬件信息生成对应的硬件识别码，由于硬件信息本身的唯一性与生成硬件识别码过程中所采用的算法本身的不可逆性使得硬件识别码难以被伪造，因此在硬件识别码作为身份标识时，第三方难以伪造该身份标识，从而提升了流量检测模块根据身份标识确定对应终端的准确率。

参照图4，图4为本发明终端的流量检测方法的第三实施例，第三实施例基于第一或第二实施例，步骤S20包括：

步骤S21，获取第二流量数据及所述流量检测模块的流量过滤规则；

第二流量数据指未经过滤的流量数据，流量过滤规则指用于令终端按照流量检测模块的过滤需求过滤流量数据而设立的规则。

流量过滤规则包括对流量数据进行分类得到的若干类型，流量过滤规则可为某一类型的流量数据设立过滤条件，终端按照该过滤条件对某一类型的流量数据进行过滤，例如，可对流量数据中的某种资源占比较大的数据格式的类型进行过滤，以减小流量检测模块的资源消耗。

步骤S22，根据所述流量过滤规则对所述第二流量数据进行过滤，根据过滤结果确定所述第一流量数据。

过滤结果指对第二数据过滤后得到的数据。

根据流量过滤规则确定需要过滤的流量数据的类型，在第二流量数据中查找该类型对应的流量数据并进行过滤，过滤指将某类流量数据从流量数据中删除的过程，根据过滤结果生成第一流量数据。

本实施例通过接收流量检测模块发送的过滤规则，并根据过滤规则对第二流量数据进行过滤，生成了第一流量数据，使得终端设备能够按照流量检测模块的过滤需求进行过滤，最终减小待发送的第一流量数据的数据量，减轻了流量检测模块的资源消耗。

参照图5，图5为本发明终端的流量检测方法的第四实施例，第四实施例基于第一至第三中任一实施例，包括以下步骤：

步骤S13，在所述终端连接的网络不为受信任的网络时，获取所述终端的身份标识。

网络，也称计算机网络，指可使节点分享资源的数字电信网络，节点指通信终端，已连接网络指终端已作为节点并可在网络中与其他节点进行数据通信，受信任指某一网络的信息在规定范围内，网络的信息用以描述某一网络自身的属性，规定范围用以描述该属性的预设合理范围，某一网络的信息不在规定范围内表明该网络不为受信任的网络。

网络的信息可以是无线局域网中的服务集标识符，若已连接的网络的服务集标识符不在预设的服务集标识符列表中时，可判断其不为受信任的网络。

在本实施例中，通过在所述终端连接的网络不为受信任的网络时，获取所述终端的身份标识，在终端连接的网络为公司内部局域网时，由于公司内部局域网可视为受信任的网络，此时不需要对流量中的威胁进行检测，因此，在此场景下不执行获取终端的身份标识的步骤可以避免流量传输过程中伴随的风险，而在网络为不受信任的网络时，由于该网络可能存在风险此时可以执行获取终端的身份标识的步骤以使流量检测模块检测其中是否存在威胁。

参照图6，图6为本发明终端的流量检测方法的第五实施例，第五实施例基于第一至第四中任一实施例，步骤S13之前还包括：

步骤S14，输出受信任的网络的配置界面；

配置界面是用以指示配置受信任网络的方法的人机交互界面。该人机交互界面主要包括控件和视图两个部分，控件用以使用户操作，视图用于显示待配置或已配置的受信任网络。该界面还包括指示如何配置的受信任的网络的信息，网络的信息可以包含下列属性中任一种：网络地址、物理地址、服务集标识符、网关地址。

步骤S15，在检测到所述配置界面触发的完成操作时，根据所述配置界面获取受信任的网络对应的网络信息；

检测到用于指示完成操作的字段后，可认为完成操作，根据配置界面获取受信任的网络对应的网络信息。

步骤S16，向所述流量检测模块发送所述网络信息；

在发送该网络信息时可对该网络信息增添数字签名及数字证书。

步骤S17，接收到所述流量检测模块在对所述网络信息验证成功后返回的响应信息，并根据所述响应信息将所述网络信息保存为受信任的网络对应的网络信息，以使所述终端根据所述网络信息确定执行获取终端的身份标识的步骤的时机。

响应信息是用以指示验证是否成功的信息，验证指验证网络信息的安全性或完整性的过程，验证安全性可通过预设的安全规则对网络信息进行验证，在网络信息不在安全规则内时表明其不具备安全性，完整性指网络信息中包含的数据的类型与预设的标准类型库中的数据类型相比的完整程度，在其缺失某一数据类型时表明其完整性为不完整，在网络信息不具备安全性或完整性为不完整时，流量检测模块向终端发送关于安全性或完整性信息的响应信息，终端接收该响应信息。

验证成功指终端发送的网络信息符合流量检测模块的验证规则，验证成功后将网络信息保存为受信任的网络对应的网络信息，终端可根据网络信息判断终端连接的网络是否为受信任的网络，在网络为受信任的网络时，不执行获取终端的身份标识及后续步骤，在网络不为受信任的网络时，执行获取终端的身份标识及后续步骤。

本实施例通过输出配置界面，获取配置完成后得到的网络信息，将网络信息发送至流量检测模块进行验证，验证成功后保存网络信息，使得可以让用户在配置界面上输入网络信息，从而对某网络是否受信任的信息进行增删或者修改。

参照图7，图7为本发明终端的流量检测方法的第六实施例，第六实施例基于第一至第五中任一实施例，步骤S30包括：

步骤S31，对所述第一流量数据以及所述身份标识进行压缩得到压缩包；

压缩是指按照特定的编码机制，将未经编码的数据以较少的数据量表示的过程。

可以采用游程编码技术对第一流量数据进行压缩，游程编码技术是一种与数据性质无关的无损数据压缩技术，其使用变动长度的码来连续取代重复出现的原始数据实现压缩，例如，一组数据串“AAAABBBCCDEEEE”由4个A、3个B、2个C、1个D、4个E组成，经过变动长度编码法可将数据压缩为4A3B2C1D4E，即由14个单位转换为10个单位。

步骤S32，将所述压缩包发送至所述流量检测模块。

由于第一流量数据及身份标识信息在同一压缩包内，使得第一流量数据与身份标识信息建立了实际意义上的关联效果，流量检测模块可将同一压缩包内的数据视为一组相互关联的第一流量数据及身份标识。

本实施例通过对所述第一流量数据以及所述身份标识进行压缩得到压缩包，将所述压缩包发送至所述流量检测模块，减小了流量数据的数据量，减小了传输流量数据所耗费的资源，提升了传输流量数据的效率。

本发明还提供一种流量检测装置。

参考图8，图8为本发明流量检测装置第一实施例的功能模块示意图。

如图8所示，所述流量检测装置包括：

引流模块10，用于获取终端的身份标识，其中，每一终端唯一对应一身份标识；

所述引流模块10，还用于获取所述终端的第一流量数据；

发送模块20，将所述第一流量数据与所述身份标识关联后发送至流量检测模块，以使所述流量检测模块在检测到所述第一流量数据存在威胁的情况下，根据所述身份标识定位到所述终端。

在一实施例中，所述引流模块10，还用于获取所述终端中至少一个硬件对应的硬件信息；

所述引流模块10，还用于根据所述硬件信息生成硬件识别码，并根据所述硬件识别码确定所述终端的身份标识。

在一实施例中，所述引流模块10，还用于获取第二流量数据及所述流量检测模块的流量过滤规则；

所述引流模块10，还用于根据所述流量过滤规则对所述第二流量数据进行过滤，根据过滤结果确定所述第一流量数据。

在一实施例中，所述引流模块10，还用于在所述终端连接的网络不为受信任的网络时，获取所述终端的身份标识。

在一实施例中，所述引流模块10，还用于输出受信任的网络的配置界面；

所述引流模块10，还用于在检测到所述配置界面触发的完成操作时，根据所述配置界面获取受信任的网络对应的网络信息；

所述引流模块10，还用于向所述流量检测模块发送所述网络信息；

所述引流模块10，还用于接收到所述流量检测模块在对所述网络信息验证成功后返回的响应信息，并根据所述响应信息将所述网络信息保存为受信任的网络对应的网络信息，以使所述终端根据所述网络信息确定执行获取终端的身份标识的步骤的时机。

在一实施例中，所述发送模块20，还用于对所述第一流量数据以及所述身份标识进行压缩得到压缩包；

所述发送模块20，还用于将所述压缩包发送至所述流量检测模块。

此外，为实现上述目的，本发明还提供一种流量检测装置，所述流量检测装置包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的流量检测程序，所述流量检测程序被所述处理器执行时实现上述任一项实施例所述的流量检测方法的步骤。

此外，为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有流量检测程序，所述流量检测程序被处理器执行时实现上述任一项实施方式所述的流量检测方法的步骤。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种流量检测方法，其特征在于，所述流量检测方法包括以下步骤：

获取所述终端的第一流量数据；

2.如权利要求1所述的流量检测方法，其特征在于，所述身份标识根据所述终端的硬件识别码以及所述终端的虚拟机标识符中的至少一个确定。

3.如权利要求1所述的流量检测方法，其特征在于，所述获取终端的身份标识的步骤之前，还包括：

获取所述终端中至少一个硬件对应的硬件信息；

4.如权利要求1所述的流量检测方法，其特征在于，所述获取所述终端的第一流量数据的步骤包括：

获取第二流量数据及所述流量检测模块的流量过滤规则；

5.如权利要求1至4任一权利要求所述的流量检测方法，其特征在于，所述获取终端的身份标识的步骤包括：

6.如权利要求5所述的流量检测方法，其特征在于，所述在所述终端连接的网络为不受信任的网络时，获取终端的身份标识的步骤之前，还包括：

输出受信任的网络的配置界面；

向所述流量检测模块发送所述网络信息；

7.如权利要求1-4任一项权利要求所述的流量检测方法，其特征在于，所述将所述第一流量数据与所述身份标识关联后发送至流量检测模块的步骤包括：

将所述压缩包发送至所述流量检测模块。

8.一种流量检测装置，其特征在于，所述流量检测装置包括：

所述引流模块，还用于获取所述终端的第一流量数据；

9.一种流量检测装置，其特征在于，所述流量检测装置包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的流量检测程序，所述流量检测程序被所述处理器执行时实现如权利要求1至7中任一项所述的流量检测方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有流量检测程序，所述流量检测程序被处理器执行时实现如权利要1至7中任一项所述的流量检测方法的步骤。