一種基于雙超時網絡報文的組流方法，設置短超時和長超時，當報文到達測量器，從報文頭中提取流信息，在網絡流緩存中查找由所測量報文的網絡流記錄，如果找到所述的網絡流記錄，更新流結束標識，否則在網絡流緩存中增加一條新的網絡流記錄，如果測量周期結束，則檢查網絡流緩存中的每條網絡流，如果所檢查網絡流的流結束標識為1，則所檢查短超時判斷網絡流結束，否則根據長超時判斷網絡流結束，本發明采用兩個不同時間粒度的流超時機制，大大減少已經結束流在緩存中的存在性，并減少一個流被分割成多段而需要在緩存中進行多次輸出流記錄、生成新流記錄等消耗系統資源的操作，同時又減少后臺需要系統資源將多個被分割的短流合并成一個流。

1.一種基于雙超時網絡報文的組流方法，其特征在于：
步驟一、設置網絡流記錄，所述的網絡流記錄由源IP地址、宿IP地址、協議、源端口、
宿端口、報文數、流結束標識以及最后一個報文到達時間構成，設置一個網絡流緩存用于保
存網絡流記錄，設置短超時st，長超時lt，st在10毫秒到1秒之間取值，lt在1秒到64秒
之間取值，設置網絡流記錄檢查周期T，檢查周期T取值大于等于1秒，設置系統運行結束
時間，測量測量器的本周期開始時間CT₀，進入步驟二；
步驟二、當一個報文到達測量器，測量器測量當前報文的到達時間，測量器從報文頭中
提取源IP地址、宿IP地址、協議、源端口、宿端口，如果所測量報文是TCP報文，報文
的TCP標識是FIN或RST，則報文結束標識設置為1，否則設置報文結束標識為0，進入步
驟三；
步驟三、在網絡流緩存中查找由所測量報文的源IP地址、宿IP地址、協議、源端口和
宿端口構成五元組的網絡流記錄，如果找到所述的網絡流記錄，則將所述的網絡流記錄中的
報文數增加1，更新網絡流記錄的流結束標識，設置網絡流記錄中最后一個報文到達時間為
當前報文的到達時間，否則在網絡流緩存中增加一條新的網絡流記錄，該新的網絡流記錄中
的源IP地址、宿IP地址、協議、源端口和宿端口分別設置為所測量報文中提取的源IP地
址、宿IP地址、協議、源端口和宿端口，新的網絡流記錄中的報文數設置為1，新的網絡
流記錄中的流結束標識設置為報文結束標識，設置網絡流記錄中最后一個報文到達時間為所
測量報文的到達時間，進入步驟四；
步驟四、測量測量器的當前時間CT₁，如果CT₁-CT₀<T，回到步驟二測量下一個報文，
否則進入步驟五；
步驟五、檢查網絡流緩存中的每條網絡流記錄，如果所檢查網絡流記錄的流結束標識為
1，最后一個報文到達時間為t₀，CT₁-t₀>st，則所檢查網絡流記錄結束，將所檢查網絡流記
錄輸出，否則如果所檢查網絡流記錄的流結束標識為0，CT₁-t₀>lt，則所檢查網絡流記錄結
束，將所檢查網絡流記錄輸出，進入步驟六；
步驟六、如果系統運行結束時間沒有到達，設置CT₀=CT₁，回到步驟二進行下一個周期
的測量，否則將網絡流緩存中所有的網絡流記錄輸出。
2.根據權利要求1所述的基于雙超時網絡報文的組流方法，其特征在于，所述的更新網絡
流記錄的流結束標識方法為：如果所測量報文的結束標識為1，則設置網絡流記錄的流結束
標識為1，如果所測量報文的結束標識為0，則網絡流記錄的流結束標識保持不變；
3.根據權利要求1或2所述的基于雙超時網絡報文的組流方法，其特征在于，所述網絡流
緩存為：使用哈希鏈表方法或按順序直接存儲方法在內存中維護網絡流記錄。
4.根據權利要求1所述的基于雙超時網絡報文的組流方法，其特征在于，所述的網絡流記
錄輸出為：將所述網絡流記錄的源IP、宿IP、協議、源端口、宿端口、報文數、最后一個
報文到達時間輸出，同時將所述網絡流記錄從網絡流緩存中刪除。