CN112165460A - 流量检测方法、装置、计算机设备和存储介质 - Google Patents

Abstract

本申请涉及一种流量检测方法、装置、计算机设备和存储介质，其中，该流量检测方法包括：接收待检测流量；提取所述待检测流量的目的IP以及目的端口；基于所述目的IP以及目的端口更新配置文件；基于所述配置文件对所述待检测流量的目的IP以及目的端口进行匹配；对匹配成功的所述待检测流量进行检测；将通过检测的流量传送给所述服务器。上述流量检测方法、装置、计算机设备和存储介质，不仅能对预设的检测目标进行检测，还能自我识别检测目标，实现全流量检测，解放用户操作时间，效率较高，安全性强，增强了WEB应用防火墙的易维护性。

Description

流量检测方法、装置、计算机设备和存储介质

技术领域

本申请涉及信息安全技术领域，特别是涉及流量检测方法、装置、计算机设备和存储介质。

背景技术

WEB应用防火墙作为一个成熟的安全设备，用户已经不再追求设备的防护能力，而对WEB应用防火墙的维护性越来越关注，目前维护便捷性已经成了用户选择一款成熟的WEB应用防火墙的硬性指标之一。

WEB应用防火墙专注于应用层防护，受限于性能瓶颈，仅能对预设检测目标实行精确检测，而对非检测目标则直接放行转发。伴随着Internet的普及和业务发展，用户业务环境日渐复杂，使得一台WEB应用防火墙经常需要防护多个检测目标。传统的WEB应用防火墙的预设检测目标还需要人工输入IP地址和端口，当需要添加大量检测目标时，添加操作非常繁琐和耗时，效率较低，安全性不足。

发明内容

本申请实施例提供了一种流量检测方法、装置、计算机设备和存储介质，以至少解决相关技术中传统的WEB应用防火墙的预设检测目标还需要人工输入IP地址和端口，当需要添加大量检测目标时，添加操作非常繁琐和耗时，效率较低，安全性不足的问题。

第一方面，本申请实施例提供了一种流量检测方法，用于检测访问服务器的流量，包括：

接收待检测流量；

提取所述待检测流量的目的IP以及目的端口；

基于所述目的IP以及目的端口更新配置文件；

基于所述配置文件对所述待检测流量的目的IP以及目的端口进行匹配；

对匹配成功的所述待检测流量进行检测；

将通过检测的流量传送给所述服务器。

在其中一些实施例中，所述接收待检测流量包括：

接收TCP-http协议和TCP-https协议的待检测流量。

在其中一些实施例中，所述基于所述目的IP以及目的端口更新配置文件包括：

若当前配置文件中存在所述待检测流量的目的IP，但不存在所述待检测流量的目的端口，则基于所述目的端口更新所述配置文件；

若当前配置文件中不存在所述待检测流量的目的IP，则基于所述目的IP以及目的端口生成对应的配置文件。

在其中一些实施例中，所述基于所述配置文件对所述待检测流量的目的IP以及目的端口进行匹配包括：

若所述配置文件中存在所述待检测流量的目的IP以及目的端口，则匹配成功。

在其中一些实施例中，所述提取所述待检测流量的目的IP以及目的端口还包括：

拆分所述待检测流量的数据包；

基于所述数据包提取所述待检测流量的目的IP以及目的端口。

在其中一些实施例中，所述拆分所述待检测流量的数据包之后还包括：

基于所述数据包获取所述待检测流量的vlan信息。

在其中一些实施例中，所述将通过检测的流量传送给所述服务器包括：

基于所述vlan信息将通过检测的流量传送给所述服务器。

第二方面，本申请实施例提供了一种流量检测装置，用于检测访问服务器的流量，包括：

接收模块，用于接收待检测流量；

提取模块，用于提取所述待检测流量的目的IP以及目的端口；

更新模块，用于基于所述目的IP以及目的端口更新配置文件；

匹配模块，用于基于所述配置文件对所述待检测流量的目的IP以及目的端口进行匹配；

检测模块，用于对匹配成功的所述待检测流量进行检测；

传送模块，用于将通过检测的流量传送给所述服务器。

第三方面，本申请实施例提供了一种计算机设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述第一方面所述的流量检测方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述第一方面所述的流量检测方法。

相比于相关技术，本申请实施例提供的流量检测方法、装置、计算机设备和存储介质，通过接收待检测流量；提取所述待检测流量的目的IP以及目的端口；基于所述目的IP以及目的端口更新配置文件；基于所述配置文件对所述待检测流量的目的IP以及目的端口进行匹配；对匹配成功的所述待检测流量进行检测；将通过检测的流量传送给所述服务器的方式，不仅能对预设的检测目标进行检测，还能自我识别检测目标，实现全流量检测，解放用户操作时间，效率较高，安全性强，增强了WEB应用防火墙的易维护性。

本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本发明一实施例的流量检测方法的流程示意图；

图2为传统流量检测方法的流程示意图；

图3为本发明另一实施例的流量检测方法的流程示意图；

图4为本发明一实施例的流量检测方法的数据包处理流程图；

图5为本发明一实施例的流量检测装置的结构框图；

图6为本发明一实施例的计算机设备的硬件结构示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

WEB应用防火墙是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备的一款产品。它集成全新的安全理念与先进的创新架构，保障用户核心应用与业务持续稳定的运行。

WEB应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备；从防火墙角度来看，WAF是一种防火墙的功能模块；还有人把WAF看作“深度检测防火墙”的增强。

在WEB应用防火墙内部，对流量进行检测目标控制的主要是webstat模块。传统的检测方式为在WEB界面输入IP地址和端口信息，输入至webstat模块，形成固定的一条数据，多个数据形成一个记录表。然后webstat模块对所有经过WEB应用防火墙的流量提取协议，IP地址和端口信息，根据与webstat模块记录的数据记录表内的数据进行匹配，匹配中后，把数据转发至WEB应用防火墙的代理防护模块；未匹配中的流量，从网桥的另一个接口直接转发给服务器，WEB应用防火墙不进行任何防护检测处理。

请参阅图1，图1为本发明一实施例的流量检测方法的流程示意图。

在本实施例中，流量检测方法包括：

S101，接收待检测流量。

可以理解的，待检测流量为欲访问目标服务器的流量。

S102，提取待检测流量的目的IP以及目的端口。

示例性地，待检测流量的目的IP以及目的端口在传统流量检测方法中一般会预先存储在系统的数据库中以供检测时进行比对，通过比对目的IP以及目的端口，可以识别是否为预设检测目标。

S103，基于目的IP以及目的端口更新配置文件。

在本实施例中，将数据库中不存在的待检测流量的目的IP和目的端口写入配置文件中，以供后续检测时匹配使用。

S104，基于配置文件对待检测流量的目的IP以及目的端口进行匹配。

可以理解的，在进行检测时，需要先将待检测流量的目的IP和目的端口与配置文件进行匹配，匹配完成后才能进行检测。

S105，对匹配成功的待检测流量进行检测。

示例性地，目的IP以及目的端口均匹配成功，则待检测流量匹配成功。

S106，将通过检测的流量传送给服务器。

示例性地，通过检测的流量即为安全流量，将安全流量转送给服务器，进行访问。

上述流量检测方法，通过接收待检测流量；提取待检测流量的目的IP以及目的端口；基于目的IP以及目的端口更新配置文件；基于配置文件对待检测流量的目的IP以及目的端口进行匹配；对匹配成功的待检测流量进行检测；将通过检测的流量传送给服务器的方式，不仅能对预设的检测目标进行检测，还能自我识别检测目标，实现全流量检测，解放用户操作时间，效率较高，安全性强，增强了WEB应用防火墙的易维护性。

在另一个实施例中，接收待检测流量包括：接收TCP-http协议和TCP-https协议的待检测流量。示例性地，WEB应用防火墙是一款防护http和https协议安全的产品，所以非http和https协议流量不做检测和防护。可以理解的，当将本发明实施例的流量检测方法应用在其他防护产品上时，可以根据实际情况对不同协议的流量进行筛选。

在另一个实施例中，基于目的IP以及目的端口更新配置文件包括：若当前配置文件中存在待检测流量的目的IP，但不存在待检测流量的目的端口，则基于目的端口更新配置文件；若当前配置文件中不存在待检测流量的目的IP，则基于目的IP以及目的端口生成对应的配置文件。可以理解的，一个IP地址下是允许存在多个端口的，所以首先判断目的IP是否已经存在配置文件中，如果配置文件中已经存在该IP，但没有对应的端口，则需要在该IP信息下更新端口信息；如果配置文件内不存在该IP地址，说明这个目的IP对应的流量是第一次经过WEB应用防火墙，配置文件中就没有对应的数据信息，所以针对这个目的IP，需要生成一个新的配置文件，新增这条IP地址以及对应的端口信息记录。

可以理解的，若当前配置文件中存在待检测流量的目的IP，且存在待检测流量的目的端口，说明该流量的信息已被预存入数据库中，不需对配置文件进行更新，可直接进行匹配与检测。

在另一个实施例中，基于配置文件对待检测流量的目的IP以及目的端口进行匹配包括：若配置文件中存在待检测流量的目的IP以及目的端口，则匹配成功。可以理解的，仅在目的IP以及目的端口均匹配成功时，待检测流量才匹配成功。

在另一个实施例中，提取待检测流量的目的IP以及目的端口还包括：拆分待检测流量的数据包；基于数据包提取待检测流量的目的IP以及目的端口。示例性地，从数据包中取出目的IP地址，例如，ip：192.168.26.1；从数据包中取出目的端口，同一个IP时存在多个目的端口，会进行汇总，端口间以逗号隔开，例如，port：“80，81，8081”。

在另一个实施例中，拆分待检测流量的数据包之后还包括：基于数据包获取待检测流量的vlan信息。示例性地，数据包在OSI七层的二层交互时，通过vlan信息来划分虚拟局域网，WEB应用防火墙在检测流量后，发送时要保持原有vlan信息，所以在检测流量前需要先获取当前流量的vlan信息。

VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”。虚拟局域网(VLAN)是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点：网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。在计算机网络中，一个二层网络可以被划分为多个不同的广播域，一个广播域对应了一个特定的用户组，默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信，需要通过一个或多个路由器。这样的一个广播域就称为VLAN。

在另一个实施例中，将通过检测的流量传送给服务器包括：基于vlan信息将通过检测的流量传送给服务器。可以理解的，保持流量原有的vlan信息，并将流量传送给服务器。

请参阅图2，图2为传统流量检测方法的流程示意图。如图2所示，传统流量检测方法需要在WEB界面输入检测目标的协议、IP地址以及端口信息，生成配置文件，并在流量检测之前将待检测流量的协议、IP地址以及端口信息汇总成一条信息数据，并与配置文件的信息数据进行比对，在完全匹配后再进行流量检测。

请参阅图3，图3为本发明另一实施例的流量检测方法的流程示意图。如图3所示，本发明一实施例的流量检测方法，删除了检测目标数据信息的输入步骤，在接收到待检测流量后，进行拆分数据包，提取协议，将非http和https协议的流量直接放行，转发给服务器，并基于数据包提取http和https协议的流量的目的IP地址和目的端口，如果配置文件中已经存在该IP，但没有对应的端口，则需要在该IP信息下更新端口信息；如果配置文件内不存在该IP地址，说明这个目的IP对应的流量是第一次经过WEB应用防火墙，配置文件中就没有对应的数据信息，所以针对这个目的IP，需要生成一个新的配置文件，新增这条IP地址以及对应的端口信息记录；配置文件更新完成后，将待检测流量的目的IP和目的端口与配置文件进行匹配，匹配完成后对待检测流量进行检测；若当前配置文件中存在待检测流量的目的IP，且存在待检测流量的目的端口，则基于当前配置文件对待检测流量进行检测。并将通过检测的安全流量转送给服务器，进行访问。

请参阅图4，图4为本发明一实施例的流量检测方法的数据包处理流程图。示例性地，图4中的各种表及链的作用如下：filter Table用于过滤数据包，nat Table用于网络地址转换(IP、端口)，mangle Table用于修改数据包的服务类型、TTL、并且可以配置路由实现QOS，Raw Table决定数据包是否被状态跟踪机制处理，INPUT Chain，进入处理流程的数据包应用此规则链中的策略，OUTPUT Chain，离开处理流程的数据包应用此规则链中的策略，FORWARD Chain，转发数据包时应用此规则链中的策略，PREROUTING Chain，对数据包作路由选择前应用此规则链中的策略，且所有的数据包进入处理流程的时候都先由这个规则链处理，POSTROUTING Chain，对数据包作路由选择后应用此规则链中的策略，且所有的数据包离开处理流程的时候都先由这个规则链处理。具体的，流量数据包被接收之后，按图中顺序经过四表五链的匹配与处理，并最终决定走哪一条数据链路，实现不同的操作。

上述流量检测方法，通过接收待检测流量；提取待检测流量的目的IP以及目的端口；基于目的IP以及目的端口更新配置文件；基于配置文件对待检测流量的目的IP以及目的端口进行匹配；对匹配成功的待检测流量进行检测；将通过检测的流量传送给服务器的方式，不仅能对预设的检测目标进行检测，还能自我识别检测目标，实现全流量检测，解放用户操作时间，效率较高，安全性强，增强了WEB应用防火墙的易维护性。

需要说明的是，在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本实施例还提供了一种流量检测装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图5是根据本申请实施例的流量检测装置的结构框图，如图5所示，该装置包括：

接收模块10，用于接收待检测流量。

接收模块10，还用于接收TCP-http协议和TCP-https协议的待检测流量。

提取模块20，用于提取待检测流量的目的IP以及目的端口。

提取模块20，还用于：

拆分待检测流量的数据包；

基于数据包提取待检测流量的目的IP以及目的端口。

更新模块30，用于基于目的IP以及目的端口更新配置文件。

更新模块30，还用于：

若当前配置文件中存在待检测流量的目的IP，但不存在待检测流量的目的端口，则基于目的端口更新配置文件；

若当前配置文件中不存在待检测流量的目的IP，则基于目的IP以及目的端口生成对应的配置文件。

匹配模块40，用于基于配置文件对待检测流量的目的IP以及目的端口进行匹配。

匹配模块40，还用于若配置文件中存在待检测流量的目的IP以及目的端口，则匹配成功。

检测模块50，用于对匹配成功的待检测流量进行检测。

传送模块60，用于将通过检测的流量传送给服务器。

传送模块60，还用于基于vlan信息将通过检测的流量传送给服务器。

流量检测装置，还包括vlan信息获取模块。

vlan信息获取模块，用于基于数据包获取待检测流量的vlan信息。

需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。

另外，结合图1描述的本申请实施例流量检测方法可以由计算机设备来实现。图6为根据本申请实施例的计算机设备的硬件结构示意图。

计算机设备可以包括处理器71以及存储有计算机程序指令的存储器72。

具体地，上述处理器71可以包括中央处理器(CPU)，或者特定集成电路(Application Specific Integrated Circuit，简称为ASIC)，或者可以被配置成实施本申请实施例的一个或多个集成电路。

其中，存储器72可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器72可包括硬盘驱动器(Hard Disk Drive，简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive，简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus，简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器72可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器72可在数据处理装置的内部或外部。在特定实施例中，存储器72是非易失性(Non-Volatile)存储器。在特定实施例中，存储器72包括只读存储器(Read-Only Memory，简称为ROM)和随机存取存储器(RandomAccess Memory，简称为RAM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory，简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory，简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory，简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory，简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下，该RAM可以是静态随机存取存储器(Static Random-Access Memory，简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory，简称为DRAM)，其中，DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory，简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory，简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory，简称SDRAM)等。

存储器72可以用来存储或者缓存需要处理和/或通信使用的各种数据文件，以及处理器71所执行的可能的计算机程序指令。

处理器71通过读取并执行存储器72中存储的计算机程序指令，以实现上述实施例中的任意一种流量检测方法。

在其中一些实施例中，计算机设备还可包括通信接口73和总线70。其中，如图6所示，处理器71、存储器72、通信接口73通过总线70连接并完成相互间的通信。

通信接口73用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口73还可以实现与其他部件例如：外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。

总线70包括硬件、软件或两者，将计算机设备的部件彼此耦接在一起。总线70包括但不限于以下至少之一：数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制，总线70可包括图形加速接口(Accelerated Graphics Port，简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture，简称为EISA)总线、前端总线(Front Side Bus，简称为FSB)、超传输(Hyper Transport，简称为HT)互连、工业标准架构(Industry Standard Architecture，简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count，简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture，简称为MCA)总线、外围组件互连(Peripheral Component Interconnect，简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment，简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus，简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线70可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线，但本申请考虑任何合适的总线或互连。

该计算机设备可以基于获取到的计算机程序指令，执行本申请实施例中的流量检测方法，从而实现结合图1描述的流量检测方法。

另外，结合上述实施例中的流量检测方法，本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种流量检测方法。

上述流量检测方法、装置、计算机设备和存储介质，通过接收待检测流量；提取待检测流量的目的IP以及目的端口；基于目的IP以及目的端口更新配置文件；基于配置文件对待检测流量的目的IP以及目的端口进行匹配；对匹配成功的待检测流量进行检测；将通过检测的流量传送给服务器的方式，不仅能对预设的检测目标进行检测，还能自我识别检测目标，实现全流量检测，解放用户操作时间，效率较高，安全性强，增强了WEB应用防火墙的易维护性。同时只需要修改webstat模块，保持了后端检测机制的原始状态，做到最小的改动实现全流量检测机制。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种流量检测方法，用于检测访问服务器的流量，其特征在于，包括：

接收待检测流量；

提取所述待检测流量的目的IP以及目的端口；

基于所述目的IP以及目的端口更新配置文件；

基于所述配置文件对所述待检测流量的目的IP以及目的端口进行匹配；

对匹配成功的所述待检测流量进行检测；

将通过检测的流量传送给所述服务器。

2.根据权利要求1所述的流量检测方法，其特征在于，所述接收待检测流量包括：

接收TCP-http协议和TCP-https协议的待检测流量。

3.根据权利要求1所述的流量检测方法，其特征在于，所述基于所述目的IP以及目的端口更新配置文件包括：

若当前配置文件中存在所述待检测流量的目的IP，但不存在所述待检测流量的目的端口，则基于所述目的端口更新所述配置文件；

若当前配置文件中不存在所述待检测流量的目的IP，则基于所述目的IP以及目的端口生成对应的配置文件。

4.根据权利要求1所述的流量检测方法，其特征在于，所述基于所述配置文件对所述待检测流量的目的IP以及目的端口进行匹配包括：

若所述配置文件中存在所述待检测流量的目的IP以及目的端口，则匹配成功。

5.根据权利要求1所述的流量检测方法，其特征在于，所述提取所述待检测流量的目的IP以及目的端口还包括：

拆分所述待检测流量的数据包；

基于所述数据包提取所述待检测流量的目的IP以及目的端口。

6.根据权利要求5所述的流量检测方法，其特征在于，所述拆分所述待检测流量的数据包之后还包括：

基于所述数据包获取所述待检测流量的vlan信息。

7.根据权利要求6所述的流量检测方法，其特征在于，所述将通过检测的流量传送给所述服务器包括：

基于所述vlan信息将通过检测的流量传送给所述服务器。

8.一种流量检测装置，用于检测访问服务器的流量，其特征在于，包括：

接收模块，用于接收待检测流量；

提取模块，用于提取所述待检测流量的目的IP以及目的端口；

更新模块，用于基于所述目的IP以及目的端口更新配置文件；

匹配模块，用于基于所述配置文件对所述待检测流量的目的IP以及目的端口进行匹配；

检测模块，用于对匹配成功的所述待检测流量进行检测；

传送模块，用于将通过检测的流量传送给所述服务器。

9.一种计算机设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的流量检测方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1至7中任一项所述的流量检测方法。

Images