CN107688613B - 一种数据包的处理规则优化方法及计算设备 - Google Patents
一种数据包的处理规则优化方法及计算设备 Download PDFInfo
- Publication number
- CN107688613B CN107688613B CN201710657646.0A CN201710657646A CN107688613B CN 107688613 B CN107688613 B CN 107688613B CN 201710657646 A CN201710657646 A CN 201710657646A CN 107688613 B CN107688613 B CN 107688613B
- Authority
- CN
- China
- Prior art keywords
- rule
- processing
- cube
- field
- relationship
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2453—Query optimisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据包的处理规则优化方法及计算设备,该方法包括:从数据包处理规则集中获取两条处理规则分别作为第一规则和第二规则;判断第一规则与第二规则之间的对应关系;若对应关系为包含关系且包含关系为第一规则包含第二规则,则将第二规则的后续处理动作更新为第一规则与第二规则的后续处理动作的并集,并将第二规则放置于第一规则之前;若对应关系为相交关系,则获取第一规则和第二规则的规则交集,将第一规则与第二规则的后续处理动作的并集作为规则交集的后续处理动作,将规则交集放置于数据包处理规则集的首位;若对应关系为相等关系,则将第一规则的后续处理动作更新为第一规则与第二规则的后续处理动作的并集,删除第二规则。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种数据包的处理规则优化方法及计算设备。
背景技术
就网络应用类产品而言,基于IP地址和端口的规则用来对流量进行分类是一个网络应用的常见场景。二在实际处理中,上述规则常常根据优先级进行排列,当数据包到达时,规则引擎根据规则集中各规则的优先级对流量中的数据包进行匹配,先确定数据包属于规则集中的哪一个规则,然后执行引擎根据规则引擎标定的规则确定与之相关后续动作。
然而,当规则集中的规则越来越多时,各规则间经常会出现包含、相交或相等的冲突情况。此时,规则引擎将命中排在前面的规则,执行引擎将执行与之相关的后续步骤,排在后面的规则将不能被匹配命中,即使数据包也符合该规则所定义的规则。
当上述情况发生时,系统将会遗漏本应该执行的后续处理动作,造成数据包不能够被正确处理。通常的解决方案是要求研发人员来对规则集进行人工检查,纠正规则集中出现的上述情况。当规则集中规则数量较小时,此工作尚可由人工完成,当规则数量成百上千时,此工作将相当复杂,极易可能出错,以至于规则集无法被规模化应用,使得相关产品的用户体验和产品竞争力下降。因此,需要一种新的数据包的处理规则优化方法来改进上述处理过程。
发明内容
为此,本发明提供一种数据包的处理规则优化的技术方案,以力图解决或者至少缓解上面存在的问题。
根据本发明的一个方面,提供一种数据包的处理规则优化方法,适于在计算设备中执行,计算设备中存储有数据包处理规则集,数据包处理规则集中包括按优先级高低顺序排列的多条处理规则,每条处理规则包括规则字段和后续处理动作,该方法包括如下步骤:首先,从数据包处理规则集中获取两条处理规则分别作为第一规则和第二规则;判断第一规则与第二规则之间的对应关系;若对应关系为包含关系且包含关系为第一规则包含第二规则,则将第二规则的后续处理动作更新为第一规则与第二规则的后续处理动作的并集,并将第二规则放置于第一规则之前;若对应关系为相交关系,则获取第一规则和第二规则的规则交集,将第一规则与第二规则的后续处理动作的并集作为规则交集的后续处理动作,并将规则交集放置于数据包处理规则集的首位;若对应关系为相等关系,则将第一规则的后续处理动作更新为第一规则与第二规则的后续处理动作的并集,并删除第二规则。
可选地,在根据本发明的数据包的处理规则优化方法中,还包括:若对应关系为包含关系且包含关系为第一规则被包含于第二规则,则将第一规则的后续处理动作更新为第一规则与第二规则的后续处理动作的并集。
可选地,在根据本发明的数据包的处理规则优化方法中,包含关系为第一规则的规则字段包含或被包含于第二规则的规则字段,相交关系为第一规则的规则字段相交于第二规则的规则字段,相等关系为第一规则的规则字段等于第二规则的规则字段。
可选地,在根据本发明的数据包的处理规则优化方法中,判断第一规则与第二规则之间的对应关系的步骤包括:将第一规则和第二规则的规则字段分别映射到坐标系中,以生成对应的第一立方体和第二立方体;判断第一立方体和第二立方体的空间关系,以获取第一规则与第二规则之间的对应关系。
可选地,在根据本发明的数据包的处理规则优化方法中,规则字段包括三个字段维度,将第一规则和第二规则的规则字段分别映射到坐标系中,以生成对应的第一立方体和第二立方体的步骤包括:将第一规则的规则字段所包括的三个字段维度分别映射到坐标系中的X轴、Y轴和Z轴,以生成各字段维度对应的坐标范围,根据各坐标范围形成与第一规则对应的第一立方体;将第二规则的规则字段所包括的三个字段维度分别映射到坐标系中的X轴、Y轴和Z轴,以生成各字段维度对应的坐标范围,根据各坐标范围形成与第二规则对应的第二立方体。
可选地,在根据本发明的数据包的处理规则优化方法中,判断第一立方体和第二立方体的空间关系,以获取第一规则与第二规则之间的对应关系的步骤包括:若空间关系为第一立方体包含或被包含于第二立方体,则第一规则与第二规则之间的对应关系为包含关系;若空间关系为第一立方体相交于第二立方体,则第一规则与第二规则之间的对应关系为相交关系;若空间关系为第一立方体等于第二立方体,则第一规则与第二规则之间的对应关系为相等关系。
可选地,在根据本发明的数据包的处理规则优化方法中,规则字段包括服务器地址/子网掩码、客户机地址/子网掩码和服务器端口范围。
根据本发明的又一个方面,提供一种计算设备,包括一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在存储器中并被配置为由一个或多个处理器执行,一个或多个程序包括用于执行根据本发明的数据包的处理规则优化方法的指令。
根据本发明的又一个方面,还提供一种存储一个或多个程序的计算机可读存储介质,一个或多个程序包括指令,指令当由计算设备执行时,使得计算设备执行根据本发明的数据包的处理规则优化方法。
根据本发明的数据包的处理规则优化的技术方案,对于数据包处理规则集中获取到的两条处理规则,判断两者之间的对应关系,当对应关系为包含关系时,将被包含的处理规则优先级提高,并将此处理规则相关的后续处理动作变成两条处理规则的后续处理动作的并集,当对应关系为相交关系时,将相交的部分单独提出作为一个新的处理规则,该处理规则的后续处理动作为这两个处理规则的后续处理动作的并集,当对应关系为相等关系时,删除其中之一,将留下的处理规则的后续处理动作修改为这两个处理规则的后续处理动作的并集,从而自动纠正了数据包处理规则集中的冲突情况,避免后续处理动作被遗漏,使得所有的处理规则均能正确匹配,使得产品可用度大幅提高,提升了用户体验,增加了产品竞争力。进一步地,两条处理规则的对应关系判断是通过其所包括的规则字段映射到坐标系形成的两个立方体之间的空间关系得出,将规则之间的关系计算转换为立方体的关系计算,降低了计算复杂度的同时还保证了结果的准确性。
附图说明
为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
图1示出了根据本发明的一个实施例的计算设备100的结构框图;
图2示出了根据本发明的一个实施例的数据包的处理规则优化方法200的流程图;以及
图3示出了根据本发明的一个实施例的数据包处理规则集中各处理规则的对应关系示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1是示例计算设备100的框图。在基本的配置102中,计算设备100典型地包括系统存储器106和一个或者多个处理器104。存储器总线108可以用于在处理器104和系统存储器106之间的通信。
取决于期望的配置,处理器104可以是任何类型的处理,包括但不限于:微处理器(μP)、微控制器(μC)、数字信息处理器(DSP)或者它们的任何组合。处理器104可以包括诸如一级高速缓存110和二级高速缓存112之类的一个或者多个级别的高速缓存、处理器核心114和寄存器116。示例的处理器核心114可以包括运算逻辑单元(ALU)、浮点数单元(FPU)、数字信号处理核心(DSP核心)或者它们的任何组合。示例的存储器控制器118可以与处理器104一起使用,或者在一些实现中,存储器控制器118可以是处理器104的一个内部部分。
取决于期望的配置,系统存储器106可以是任意类型的存储器,包括但不限于:易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或者它们的任何组合。系统存储器106可以包括操作系统120、一个或者多个程序122以及程序数据124。在一些实施方式中,程序122可以布置为在操作系统上由一个或多个处理器104利用程序数据124执行指令。
计算设备100还可以包括有助于从各种接口设备(例如,输出设备142、外设接口144和通信设备146)到基本配置102经由总线/接口控制器130的通信的接口总线140。示例的输出设备142包括图形处理单元148和音频处理单元150。它们可以被配置为有助于经由一个或者多个A/V端口152与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外设接口144可以包括串行接口控制器154和并行接口控制器156,它们可以被配置为有助于经由一个或者多个I/O端口158和诸如输入设备(例如,键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备146可以包括网络控制器160,其可以被布置为便于经由一个或者多个通信端口164与一个或者多个其他计算设备162通过网络通信链路的通信。
网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块,并且可以包括任何信息递送介质。“调制数据信号”可以这样的信号,它的数据集中的一个或者多个或者它的改变可以在信号中编码信息的方式进行。作为非限制性的示例,通信介质可以包括诸如有线网络或者专线网络之类的有线介质,以及诸如声音、射频(RF)、微波、红外(IR)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。
计算设备100可以实现为服务器,例如文件服务器、数据库服务器、应用程序服务器和WEB服务器等,也可以实现为小尺寸便携(或者移动)电子设备的一部分,这些电子设备可以是诸如蜂窝电话、个人数字助理(PDA)、个人媒体播放器设备、无线网络浏览设备、个人头戴设备、应用专用设备、或者可以包括上面任何功能的混合设备。计算设备100还可以实现为包括桌面计算机和笔记本计算机配置的个人计算机。
在一些实施例中,计算设备100实现网络服务器,并被配置为执行根据本发明的数据包的处理规则优化方法200。其中,计算设备100的一个或多个程序122包括用于执行根据本发明的数据包的处理规则优化方法200的指令。
图2示出了根据本发明一个实施例的数据包的处理规则优化方法200的流程图。数据包的处理规则优化方法200适于在计算设备(例如图1所示的计算设备100)中执行。计算设备100中存储有数据包处理规则集,该数据包处理规则集中包括按优先级高低顺序排列的多条处理规则,每条处理规则包括规则字段和后续处理动作。其中,处理规则的优先级表示当对数据包进行处理时,选择用于匹配的处理规则的先后顺序,即按照优先级高低顺序依次选用处理规则对数据包进行适配,具体的适配过程是通常是利用规则字段来完成的,若成功适配,则执行当前处理规则的后续处理动作,若失败,则选择当前处理规则的下一条处理规则继续对数据包进行适配,直至获取到与该数据包匹配的处理规则。
如图2所示,方法200始于步骤S210。在步骤S210中,从数据包处理规则集中获取两条处理规则分别作为第一规则和第二规则。根据本发明的一个实施例,数据包处理规则集中包括按优先级高低顺序排列规则A、规则B、规则C和规则D,从数据包处理规则集中获取规则A和规则B分别作为第一规则和第二规则。
随后,进入步骤S220,判断第一规则与第二规则之间的对应关系。根据本发明的一个实施例,可通过以下方式来判断第一规则与第二规则之间的对应关系。首先,将第一规则和第二规则的规则字段分别映射到坐标系中,以生成对应的第一立方体和第二立方体。其中,规则字段包括三个字段维度,则在生成第一立方体时,先将第一规则的规则字段所包括的三个字段维度分别映射到坐标系中的X轴、Y轴和Z轴,以生成各字段维度对应的坐标范围,再根据各坐标范围形成与第一规则对应的第一立方体。同样的,在生成第二立方体时,将第二规则的规则字段所包括的三个字段维度分别映射到坐标系中的X轴、Y轴和Z轴,以生成各字段维度对应的坐标范围,根据各坐标范围形成与第二规则对应的第二立方体。在该实施方式中,规则字段包括服务器地址/子网掩码、客户机地址/子网掩码和服务器端口范围,因此将服务器地址/子网掩码、客户机地址/子网掩码和服务器端口范围分别对应于各字段维度,即在将规则字段映射到坐标系时,将服务器地址/子网掩码映射到坐标系中的X轴,将客户机地址/子网掩码映射到坐标系中的Y轴,将服务器端口范围映射到坐标系中的Z轴。需要说明的是,各字段维度映射到坐标轴时的对应关系并不进行限制,只要不同的字段维度映射到不同的坐标轴上从而可形成相应的立方体即可。
为便于理解,以下以生成与第一规则对应的第一立方体的过程进行简要说明。在该实施方式中,作为第一规则的规则A的规则字段包括服务器地址/子网掩码、客户机地址/子网掩码和服务器端口范围这三个字段维度,其中服务器地址/子网掩码和客户机地址/子网掩码可采用CIDR表示法。具体的,服务器地址/子网掩码为192.168.0.0/24,“/24”作为一个表示子网掩码的CIDR值,其对应的子网掩码为255.255.255.0,考虑到根据IP地址和子网掩码进行计算时,IP地址所在网段的首位和末尾分别是网段地址和广播地址而不能使用,因此192.168.0.0/24所对应的网段的可用IP地址范围是192.168.0.1~192.168.0.254,将192.168.0.0/24这个规则字段映射到坐标系中的X轴实际上就是将该字段维度使用实数表示,可得该字段维度在X轴上对应的坐标范围是3232235521~3232235774。客户机地址/子网掩码为192.168.10.128/26,所对应的网段的可用IP地址范围是192.168.0.129~192.168.0.190,将192.168.0.0/24这个字段维度映射到坐标系中的Y轴,以生成该字段维度在Y轴上对应的坐标范围是3232235649~3232235710。服务器端口范围为0:65535,将该字段维度映射到坐标系中的Z轴,以生成该字段维度在Z轴上对应的坐标范围是0~65535。最后,根据映射到X轴的坐标范围3232235521~3232235774、映射到Y轴的坐标范围3232235649~3232235710和映射到Z轴的坐标范围0~65535形成与规则A对应的第一立方体。
在生成第一立方体和第二立方体后,再判断第一立方体和第二立方体的空间关系,以获取第一规则与第二规则之间的对应关系。若空间关系为第一立方体包含或被包含于第二立方体,则第一规则与第二规则之间的对应关系为包含关系,包含关系为第一规则的规则字段包含或被包含于第二规则的规则字段。若空间关系为第一立方体相交于第二立方体,则第一规则与第二规则之间的对应关系为相交关系,相交关系为第一规则的规则字段相交于第二规则的规则字段。若空间关系为第一立方体等于第二立方体,则第一规则与第二规则之间的对应关系为相等关系,相等关系为第一规则的规则字段等于第二规则的规则字段。在该实施方式中,作为第一规则的规则A所生成的第一立方体,与作为第二规则的规则B所生成的第二立方体是包含关系,即第一立方体包含第二立方体,因此规则A的规则字段包含规则B的规则字段,最终判断规则A与规则B之间的对应关系为包含关系且该包含关系为规则A包含规则B。
判断出第一规则与第二规则之间的对应关系后,执行步骤S230,若对应关系为包含关系且包含关系为第一规则包含第二规则,则将第二规则的后续处理动作更新为第一规则与第二规则的后续处理动作的并集,并将第二规则放置于第一规则之前。根据本发明的一个实施例,作为第一规则的规则A与作为第二规则的规则B之间的对应关系为包含关系,且该包含关系为规则A包含规则B,将规则B中的后续处理动作更新为规则A与规则B的后续处理动作的并集,并将规则B放置于规则A之前。在该实施方式中,原始的规则A的后续处理动作包括Action_A1、Action_A2和Action_Define,规则B的后续处理动作包括Action_B1和Action_B2,更新后的规则B的后续处理动作包括Action_A1、Action_A2、Action_B1、Action_B2和Action_Define,且规则B移动至规则A的前一位,此时数据包处理规则集中各处理规则按优先级从高到低的顺序排列为规则B、规则A、规则C和规则D。
当然,当第一规则与第二规则之间的对应关系为包含关系时,该包含关系还可以为第一规则包含于第二规则,因此根据本发明的又一个实施例,若对应关系为包含关系且包含关系为第一规则被包含于第二规则,则将第一规则的后续处理动作更新为第一规则与第二规则的后续处理动作的并集。在该实施方式中,原始的规则A的后续处理动作包括Action_A1、Action_A2和Action_Define,规则B的后续处理动作包括Action_B1和Action_B2,更新后的规则A的后续处理动作包括Action_A1、Action_A2、Action_B1、Action_B2和Action_Define,此时数据包处理规则集中各处理规则按优先级从高到低的顺序排列为规则A、规则B、规则C和规则D。
在步骤S240中,若对应关系为相交关系,则获取第一规则和第二规则的规则交集,将第一规则与第二规则的后续处理动作的并集作为规则交集的后续处理动作,并将规则交集放置于数据包处理规则集的首位。根据本发明的又一个实施例,作为第一规则的规则A与作为第二规则的规则B之间的对应关系为相交关系,获取规则A和规则B的规则交集,记为规则E,则规则E的规则字段为规则A的规则字段与规则B的规则字段的交集,规则E的后续处理动作为规则A与规则B的后续处理动作的并集,将规则E放置于数据包处理规则集的首位。在该实施方式中,规则A的后续处理动作包括Action_A1、Action_A2和Action_Define,规则B的后续处理动作包括Action_B1和Action_B2,作为规则交集的规则E的后续处理动作包括Action_A1、Action_A2、Action_B1、Action_B2和Action_Define,且规则E位于数据包处理规则集的首位,此时数据包处理规则集中各处理规则按优先级从高到低的顺序排列为规则E、规则A、规则B、规则C和规则D。
在步骤S250中,若对应关系为相等关系,则将第一规则的后续处理动作更新为第一规则与第二规则的后续处理动作的并集,并删除第二规则。根据本发明的又一个实施例,作为第一规则的规则A与作为第二规则的规则B之间的对应关系为相等关系,将规则A的后续处理动作更新为规则A与规则B的后续处理动作的并集,并删除规则B。在该实施方式中,原始的规则A的后续处理动作包括Action_A1、Action_A2和Action_Define,规则B的后续处理动作包括Action_B1和Action_B2,更新后的规则A的后续处理动作包括Action_A1、Action_A2、Action_B1、Action_B2和Action_Define,此时数据包处理规则集中各处理规则按优先级从高到低的顺序排列为规则A、规则C和规则D。值得注意的是,若对等关系为相等关系,还可以将第二规则的后续处理动作更新为第一规则与第二规则的后续处理动作的并集,并删除第一规则,即当出现相等关系时,删除第一规则和第二规则其中之一,将留下的处理规则的后续处理动作修改为这两个处理规则的后续处理动作的并集。
此外,第一规则与第二规则之间的对应关系并不限于包含关系、相交关系或相等关系,还有可能是独立关系,即第一规则和第二规则是两个相互独立并无关联的处理规则,此时无需对这两个处理规则进行额外的优化处理。
在实际处理过程中,对数据包处理规则集中各处理规则执行以上优化步骤时,是对所有的处理规则均进行了遍历以保证规则优化的效果,以下将以一个示例对数据包处理规则集中各处理规则的遍历优化过程进行说明。
根据本发明的又一个实施例,数据包处理规则集中各处理规则按优先级高低顺序排列为规则A、规则B、规则C和规则D,为便于理解,对各处理规则之间的对应关系进行简要说明,实际处理时上述对应关系是需要实时判断的。图3示出了根据本发明的一个实施例的数据包处理规则集中各处理规则的对应关系示意图。如图3所示,规则A包含规则B,规则A相交于规则C,规则交集为规则R,规则B相交于规则C,规则交集为规则S,规则D等于规则S。很明显,规则A和规则R均包含规则S。对该数据包处理规则集中各处理规则进行优化,以形成优化后的数据包处理规则集的步骤如下:
步骤1、获取数据包处理规则集中第一条处理规则作为第一规则,获取数据包处理规则集中第二条处理规则作为第二规则。在该实施方式中,第一规则为规则A,第二规则为规则B。
步骤2、判断第一规则和第二规则之间的对应关系。在该实施方式中,判断出规则A与规则B的对应关系为包含关系且该包含关系为规则A包含规则B。
步骤3、根据对应关系对第一规则和第二规则进行处理,以更新第一规则和第二规则,并根据处理结果标记顺序变化标识。在该实施方式中,将规则B中的后续处理动作更新为规则A与规则B的后续处理动作的并集,并将规则B放置于规则A之前,并标记顺序变化标识已改变,此时数据包处理规则集中各处理规则按优先级从高到低的顺序排列为规则B、规则A、规则C和规则D。
步骤4、若顺序变化标识已改变,则重新执行步骤1-3。在该实施方式中,顺序变化标识已改变,则重新执行步骤1-3。
在第一次重新执行完成步骤1-3后,第一规则为规则B,第二规则为规则A,数据包处理规则集中各处理规则按优先级从高到低的顺序排列为规则B、规则A、规则C和规则D,且顺序变化标识未改变,则暂不执行步骤4,转而执行步骤5。
步骤5、若顺序变化标识未改变且第二规则不是数据包处理规则集中最后一条处理规则,则将第二规则更新为其对应的处理规则的下一条处理规则,并重新执行步骤2-3。在该实施方式中,将第二规则更新为规则C,并重新执行步骤2-3。
在第一次重新执行完成步骤2-3后,得到规则B和规则C的对应关系为相交关系,且规则交集为规则S,将规则B与规则C的后续处理动作的并集作为规则S的后续处理动作,将规则S放置于数据包处理规则集的首位,并标记顺序变化标识已改变,此时数据包处理规则集中各处理规则按优先级从高到低的顺序排列为规则S、规则B、规则A、规则C和规则D,并进入步骤4预备执行。由于顺序变化标识已改变,则重新执行步骤1-3。
在第二次重新执行完成步骤1-3后,第一规则为规则S,第二规则为规则B,数据包处理规则集中各处理规则按优先级从高到低的顺序排列为规则S、规则B、规则A、规则C和规则D,且顺序变化标识未改变,规则B也不是数据包处理规则集中最后一条处理规则,则执行步骤5,将第二规则更新为规则A,并重新执行步骤2-3。
在第二次重新执行完成步骤2-3后,第一规则为规则S,第二规则为规则A,数据包处理规则集中各处理规则按优先级从高到低的顺序排列为规则S、规则B、规则A、规则C和规则D,且顺序变化标识未改变,规则A也不是数据包处理规则集中最后一条处理规则,则执行步骤5,将第二规则更新为规则C,并重新执行步骤2-3。
在第三次重新执行完成步骤2-3后,第一规则为规则S,第二规则为规则C,数据包处理规则集中各处理规则按优先级从高到低的顺序排列为规则S、规则B、规则A、规则C和规则D,且顺序变化标识未改变,规则C也不是数据包处理规则集中最后一条处理规则,则执行步骤5,将第二规则更新为规则D,并重新执行步骤2-3。
在第四次重新执行完成步骤2-3后,得到规则S和规则D的对应关系为相等关系,将规则S的后续处理动作更新为规则S和规则D的后续处理动作的并集,删除规则D,此时数据包处理规则集中各处理规则按优先级从高到低的顺序排列为规则S、规则B、规则A、规则C,由于规则D在被删除前是数据包处理规则集中最后一条处理规则,则执行步骤6。
步骤6、当顺序变化标识未改变且第二规则是数据包处理规则集中最后一条处理规则时,将第一规则更新为其对应的处理规则的下一条处理规则,将第二规则更新为更新后的第一规则对应的处理规则的下一条处理规则,重新执行步骤2-5,直至第一规则为数据包处理规则集的最后一条处理规则。在该实施方式中,更新后的第一规则为规则B,更新后的第二规则为规则A,重新执行步骤2-5。
基于此,按照步骤1~6的要求对数据包处理规则集中所有的处理规则进行优化后,最终形成的新的数据包处理规则集为规则S、规则R、规则B、规则A和规则C,具体的优化细节可参照上述处理过程,此处不予以赘述。
现有的基于IP地址和端口的规则对数据包进行分类处理的技术方案中,通常的是要求研发人员来对规则集进行人工检查,纠正规则集中出现的冲突情况。当规则集中规则数量较小时,此工作尚可由人工完成,当规则数量成百上千时,此工作将相当复杂,且容易出错,以至于规则集无法被规模化应用,降低了用户体验和产品竞争力。根据本发明实施例的数据包的处理规则优化的技术方案,对于数据包处理规则集中获取到的两条处理规则,判断两者之间的对应关系,当对应关系为包含关系时,将被包含的处理规则优先级提高,并将此处理规则相关的后续处理动作变成两条处理规则的后续处理动作的并集,当对应关系为相交关系时,将相交的部分单独提出作为一个新的处理规则,该处理规则的后续处理动作为这两个处理规则的后续处理动作的并集,当对应关系为相等关系时,删除其中之一,将留下的处理规则的后续处理动作修改为这两个处理规则的后续处理动作的并集,从而自动纠正了数据包处理规则集中的冲突情况,避免后续处理动作被遗漏,使得所有的处理规则均能正确匹配,使得产品可用度大幅提高,提升了用户体验,增加了产品竞争力。进一步地,两条处理规则的对应关系判断是通过其所包括的规则字段映射到坐标系形成的两个立方体之间的空间关系得出,将规则之间的关系计算转换为立方体的关系计算,降低了计算复杂度的同时还保证了结果的准确性。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组间可以布置在如该实施例中所描述的设备中,或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组间组合成一个模块或单元或组间,以及此外可以把它们分成多个子模块或子单元或子组间。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
此外,所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此,具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外,装置实施例的在此所述的元素是如下装置的例子:该装置用于实施由为了实施该发明的目的的元素所执行的功能。
这里描述的各种技术可结合硬件或软件,或者它们的组合一起实现。从而,本发明的方法和设备,或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介,例如软盘、CD-ROM、硬盘驱动器或者其它任意机器可读的存储介质中的程序代码(即指令)的形式,其中当程序被载入诸如计算机之类的机器,并被所述机器执行时,所述机器变成实践本发明的设备。
在程序代码在可编程计算机上执行的情况下,计算设备一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件),至少一个输入装置,和至少一个输出装置。其中,存储器被配置用于存储程序代码;处理器被配置用于根据该存储器中存储的所述程序代码中的指令,执行本发明的数据包的处理规则优化方法。
以示例而非限制的方式,计算机可读介质包括计算机存储介质和通信介质。计算机可读介质包括计算机存储介质和通信介质。计算机存储介质存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并且包括任何信息传递介质。以上的任一种的组合也包括在计算机可读介质的范围之内。
如在此所使用的那样,除非另行规定,使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例,并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。
Claims (7)
1.一种数据包的处理规则优化方法,适于在计算设备中执行,所述计算设备中存储有数据包处理规则集,所述数据包处理规则集中包括按优先级高低顺序排列的多条处理规则,每条处理规则包括规则字段和后续处理动作,所述规则字段包括服务器地址/子网掩码、客户机地址/子网掩码和服务器端口范围,所述方法包括对所述数据包处理规则集中的所有的处理规则进行遍历以执行下述步骤:
从所述数据包处理规则集中获取两条处理规则分别作为第一规则和第二规则,其中,第一规则的优先级高于第二规则的优先级;
判断所述第一规则与第二规则之间的对应关系;
若所述对应关系为包含关系且所述包含关系为第一规则包含第二规则,则将第二规则的后续处理动作更新为第一规则与第二规则的后续处理动作的并集,并将第二规则放置于第一规则之前;
若所述对应关系为相交关系,则获取所述第一规则和第二规则的规则交集,将第一规则与第二规则的后续处理动作的并集作为所述规则交集的后续处理动作,并将所述规则交集放置于所述数据包处理规则集的首位;
若所述对应关系为相等关系,则将第一规则的后续处理动作更新为第一规则与第二规则的后续处理动作的并集,并删除第二规则;其中,
所述包含关系为所述第一规则的规则字段包含或被包含于所述第二规则的规则字段;
所述相交关系为所述第一规则的规则字段相交于所述第二规则的规则字段;
所述相等关系为所述第一规则的规则字段等于所述第二规则的规则字段。
2.如权利要求1所述的方法,还包括:
若所述对应关系为包含关系且所述包含关系为第一规则被包含于第二规则,则将第一规则的后续处理动作更新为第一规则与第二规则的后续处理动作的并集。
3.如权利要求1或2所述的方法,所述判断所述第一规则与第二规则之间的对应关系的步骤包括:
将所述第一规则和第二规则的规则字段分别映射到坐标系中,以生成对应的第一立方体和第二立方体;
判断所述第一立方体和第二立方体的空间关系,以获取所述第一规则与第二规则之间的对应关系。
4.如权利要求3所述的方法,所述规则字段包括三个字段维度,所述将所述第一规则和第二规则的规则字段分别映射到坐标系中,以生成对应的第一立方体和第二立方体的步骤包括:
将所述第一规则的规则字段所包括的三个字段维度分别映射到坐标系中的X轴、Y轴和Z轴,以生成各字段维度对应的坐标范围,根据各坐标范围形成与第一规则对应的第一立方体;
将所述第二规则的规则字段所包括的三个字段维度分别映射到坐标系中的X轴、Y轴和Z轴,以生成各字段维度对应的坐标范围,根据各坐标范围形成与第二规则对应的第二立方体。
5.如权利要求3所述的方法,所述判断所述第一立方体和第二立方体的空间关系,以获取所述第一规则与第二规则之间的对应关系的步骤包括:
若所述空间关系为第一立方体包含或被包含于第二立方体,则第一规则与第二规则之间的对应关系为包含关系;
若所述空间关系为第一立方体相交于第二立方体,则第一规则与第二规则之间的对应关系为相交关系;
若所述空间关系为第一立方体等于第二立方体,则第一规则与第二规则之间的对应关系为相等关系。
6.一种计算设备,包括:
一个或多个处理器;
存储器;以及
一个或多个程序,其中所述一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据权利要求1-5所述的方法中的任一方法的指令。
7.一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据权利要求1-5所述的方法中的任一方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710657646.0A CN107688613B (zh) | 2017-08-03 | 2017-08-03 | 一种数据包的处理规则优化方法及计算设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710657646.0A CN107688613B (zh) | 2017-08-03 | 2017-08-03 | 一种数据包的处理规则优化方法及计算设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107688613A CN107688613A (zh) | 2018-02-13 |
| CN107688613B true CN107688613B (zh) | 2021-03-16 |
Family
ID=61152527
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710657646.0A Active CN107688613B (zh) | 2017-08-03 | 2017-08-03 | 一种数据包的处理规则优化方法及计算设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107688613B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109376988B (zh) * | 2018-09-11 | 2022-11-18 | 创新先进技术有限公司 | 一种业务数据的处理方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104883347A (zh) * | 2014-09-28 | 2015-09-02 | 北京匡恩网络科技有限责任公司 | 一种网络安全规则冲突分析与简化方法 |
| CN104935504A (zh) * | 2014-03-17 | 2015-09-23 | 中国移动通信集团河北有限公司 | 一种确定数据包对应的数据规则的方法及装置 |
| CN105939323A (zh) * | 2015-12-31 | 2016-09-14 | 杭州迪普科技有限公司 | 数据包过滤方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100531218C (zh) * | 2006-10-18 | 2009-08-19 | 杭州华三通信技术有限公司 | 一种保证执行正确的方法、装置和系统 |
-
2017
- 2017-08-03 CN CN201710657646.0A patent/CN107688613B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935504A (zh) * | 2014-03-17 | 2015-09-23 | 中国移动通信集团河北有限公司 | 一种确定数据包对应的数据规则的方法及装置 |
| CN104883347A (zh) * | 2014-09-28 | 2015-09-02 | 北京匡恩网络科技有限责任公司 | 一种网络安全规则冲突分析与简化方法 |
| CN105939323A (zh) * | 2015-12-31 | 2016-09-14 | 杭州迪普科技有限公司 | 数据包过滤方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 防火墙过滤规则的建模和全面优化;张翼 等;《计算机工程与应用》;20060221(第06期);第146-150页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107688613A (zh) | 2018-02-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104346433B (zh) | 用于数据库查询操作的可缩放加速的方法和系统 | |
| WO2021217863A1 (zh) | 订单标识生成方法、装置、服务器及存储介质 | |
| CN112800095B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN111045933A (zh) | 一种回归策略更新方法、装置、存储介质及终端设备 | |
| US9535702B2 (en) | Asset management device and method in a hardware platform | |
| CN110515871A (zh) | 一种中断方法、装置及fpga和存储介质 | |
| CN113329069A (zh) | 一种即时通信方法、系统及计算设备 | |
| CN107392316B (zh) | 网络训练方法、装置、计算设备及计算机存储介质 | |
| CN107688613B (zh) | 一种数据包的处理规则优化方法及计算设备 | |
| CN112732468B (zh) | 数据处理方法、数据交互系统及计算设备 | |
| CN113688617A (zh) | 一种生成表格页面的方法及计算设备 | |
| CN107071553A (zh) | 一种修改视频语音的方法、装置和计算机可读存储介质 | |
| CN111953609A (zh) | 基于ovs的数据包处理方法及相关设备 | |
| CN108173716B (zh) | 一种识别网络设备厂商的方法和计算设备 | |
| CN107169115A (zh) | 添加自定义分词的方法及装置 | |
| US20130162658A1 (en) | Synchronization with semaphores in a multi-engine gpu | |
| CN111031052B (zh) | 基于多应用程序的数据处理方法、计算设备及存储介质 | |
| CN110992131B (zh) | 一种表单处理方法、装置及存储介质 | |
| WO2022110646A1 (zh) | 一种配置方法及相关设备 | |
| CN113961086A (zh) | 一种快捷键实现方法、计算设备及存储介质 | |
| CN113377791A (zh) | 一种数据处理方法、系统及计算设备 | |
| CN113190455B (zh) | 一种元素定位方法及计算设备 | |
| CN111177147A (zh) | 一种元数据批量入库的方法、可读存储介质及计算设备 | |
| CN111666340A (zh) | 基于大数据的同步数据校对方法、装置和计算机设备 | |
| CN114338390B (zh) | 一种服务器配置方法、计算设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220712 Address after: 100193 room 101-216, 2nd floor, building 4, East District, yard 10, northwest Wangdong Road, Haidian District, Beijing Patentee after: Beijing Ruixiang Technology Co.,Ltd. Address before: 100189 3rd and 4th floors, building a-5, Dongsheng Science Park, Zhongguancun, 66 xixiaokou Road, Haidian District, Beijing Patentee before: BEIJING ONEAPM Co.,Ltd. |