CN112383489A - 一种网络数据流量转发方法和装置 - Google Patents
一种网络数据流量转发方法和装置 Download PDFInfo
- Publication number
- CN112383489A CN112383489A CN202011278633.0A CN202011278633A CN112383489A CN 112383489 A CN112383489 A CN 112383489A CN 202011278633 A CN202011278633 A CN 202011278633A CN 112383489 A CN112383489 A CN 112383489A
- Authority
- CN
- China
- Prior art keywords
- network data
- data traffic
- traffic
- network
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000003062 neural network model Methods 0.000 claims abstract description 44
- 230000002159 abnormal effect Effects 0.000 claims abstract description 33
- 238000012545 processing Methods 0.000 claims description 20
- 238000005516 engineering process Methods 0.000 claims description 17
- 238000013528 artificial neural network Methods 0.000 claims description 14
- 238000004422 calculation algorithm Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 5
- 238000007689 inspection Methods 0.000 claims description 5
- 238000011161 development Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 7
- 230000005856 abnormality Effects 0.000 description 6
- 238000012549 training Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000001419 dependent effect Effects 0.000 description 4
- 239000002184 metal Substances 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 238000005206 flow analysis Methods 0.000 description 3
- 238000007781 pre-processing Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005215 recombination Methods 0.000 description 2
- 230000006798 recombination Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本申请提供了一种网络数据流量转发方法和装置,所述方法包括:接收网络数据流量;确定所述网络数据流量是否为加密报文;如果是,基于预设神经网络模型确定所述网络数据流量是否为异常流量,并根据确定结果标记所述网络数据流量;其中,所述预设神经网络模型基于时序的网络数据流量特征对加密网络数据流量进行分类;如果否,基于DIP特征库确定所述网络数据流是否为异常流量,并根据确定结果标记所述网络数据流量;将所述网络数据流量以及对应的标记转发。该方法能够解决传统DIP设备无法识别加密流量的技术问题。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种网络数据流量转发方法和装置。
背景技术
深度报文检测(deep packet inspection,DPI)技术在网络中被广泛用于网络数据流检测,DPI检测分析IP数据包的五元组信息以外,还增加了对应用层内容的检测分析,从而实现对应用协议流量的精确识别。DPI根据流量的应用层数据的明显特征建立特征库,后续网络数据流量与特征库进行对比,准确率高。但是,随着软件和WEB服务的不断升级以及新的应用不断出现,流量的应用层数据包不断出现新的特征,特别是一些加密流量,DPI不能有效的对此类流量进行分析,行业亟需一种方法来补足DPI技术的缺陷。
发明内容
有鉴于此,本申请提供一种网络数据流量转发方法和装置,能够解决传统DIP设备无法识别加密流量的技术问题。
为解决上述技术问题,本申请的技术方案是这样实现的:
在一个实施例中,提供了一种网络数据流量转发方法,所述方法包括:
接收网络数据流量;
确定所述网络数据流量是否为加密报文;
如果是,基于预设神经网络模型确定所述网络数据流量是否为异常流量,并根据确定结果标记所述网络数据流量;其中,所述预设神经网络模型基于时序的网络数据流量特征对加密网络数据流量进行分类;
如果否,基于DIP特征库确定所述网络数据流是否为异常流量,并根据确定结果标记所述网络数据流量;
将所述网络数据流量以及对应的标记转发。
在另一个实施例中,提供了一种网络数据流量转发装置,所述装置包括:接收单元、处理单元、虚拟化容器和转发单元;
所述接收单元,用于接收网络数据流量;
所述处理单元,用于将所述接收单元接收到的网络数据流量转发给所述虚拟化容器;
所述虚拟化容器,用于确定所述处理单元转发的网络数据流量是否为加密报文;如果是,基于预设神经网络模型确定所述网络数据流量是否为异常流量,并根据确定结果标记所述网络数据流量;其中,所述预设神经网络模型基于时序的网络数据流量特征对加密网络数据流量进行分类;如果否,基于DIP特征库确定所述网络数据流是否为异常流量,并根据确定结果标记所述网络数据流量;
所述转发单元,用于将所述网络数据流量以及所述虚拟化容器标记的对应标记转发。
在另一个实施例中,提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述网络数据流量转发方法的步骤。
在另一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现所述网络数据流量转发方法的步骤。
由上面的技术方案可见,上述实施例中通过加入神经网络模型,用于标记DIP技术不能标记的加密流量,来解决传统DIP设备无法识别加密流量的技术问题。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例一中网络数据流量转发流程示意图;
图2为本申请实施例二中网络数据流量转发流程示意图;
图3为本申请实施例三中网络数据流量转发流程示意图;
图4为本申请实施例中应用于上述技术的装置结构示意图;
图5为本发明实施例提供的电子设备的实体结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含。例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其他步骤或单元。
下面以具体实施例对本发明的技术方案进行详细说明。下面几个具体实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
本申请实施例中提供一种网络数据流量转发方法,应用于网络数据流量转发装置上,所述装置部署在白盒化设备上。
所述白盒化设备可以部署在两台网络设备之间,用于对两台设备之间转发的网络数据流量是否异常进行标记。
下面结合附图,详细描述本申请实施例中实现网络数据流量转发过程。
实施例一
参见图1,图1为本申请实施例一中网络数据流量转发流程示意图。具体步为:
步骤101,接收网络数据流量。
步骤102,确定所述网络数据流量是否为加密报文,如果是,执行步骤103;否则,执行步骤104。
具体实现时,根据网络数据流量是否存在加密字段,确定所述网络数据流量是否为加密报文。
步骤103,基于预设神经网络模型确定所述网络数据流量是否为异常流量,并根据确定结果标记所述网络数据流量。执行步骤105。
在具体实现根据确定结果标记所述网络数据流量时,可以针对异常和正常设置不同的标识,如0和1,标记为0的是异常;标记为1的是正常。
本申请实施例中的预设神经网络模型为预先训练好的模型,也可以再获取新的训练样本时,再次训练;所述预设神经网络模型基于时序的网络数据流量特征对加密网络数据流量进行分类。
在对所述预设神经网络模型进行训练时,可以利用流量抓包工具抓取真实网络链路中传输的网络数据流量,对所述网络数据流量进行预处理:通过数据包预处理模块将乱序、重叠报文重组,输出顺序、完整、去重叠的报文,形成网络数据流。
构建初始申请网络模型:定义神经网络,设置输入数据和输出数据格式,设置神经网络结构,定义误差计算函数;所述神经网络的输出分为两类,一类表示所述网络数据流量异常,一类标识所述网络数据流量正常。
将所述处理后的网络数据流量作为样本数据训练初始神经网络模型的;
所述初始神经网络模型提取所述网络数据流量基于时序的网络数据流量特征,将特征值按比例缩放到[0.0,1.0],对网络数据流量特征数据进行规范化处理,根据误差运用反向传播算法更新神经网络参数,完成神经网络模型学习,获取预设神经网络模型。
所述根据确定结果标记所述网络数据流量,包括:
当确定所述网络数据流量为异常流量,将异常标识与所述网络数据流量的五元组绑定;
当确定所述网络数据流量为正常流量,将正常标识与所述网络数据流量的五元组绑定。
步骤104,基于DIP特征库确定所述网络数据流是否为异常流量,并根据确定结果标记所述网络数据流量。
本步骤中预先存储DIP特征库,用于存储1条或多条特征,所述DIP特征库中的特征可以根据实际需要进行更新。
针对一条网络数据流量需要检查是否具有DIP特征库中的任意一条特征,如果具有,则说明所述网络数据流量为正常流量;否则,所述网络数据流量为异常流量。
通常情况下,一条数据流的前几个数据包是传输的数据并不包含应用软件的特征信息,为提高匹配效率,该模块只送入一条流的前16个数据包进行匹配即可。
步骤105,将所述网络数据流量以及对应的标记转发。
当对接收到的数据进行标记后,转发,并携带标记。
本申请实施例中通过加入神经网络模型,用于标记DIP技术不能标记的加密流量,来解决传统DIP设备无法识别加密流量的技术问题。
实施例二
参见图2,图2为本申请实施例二中网络数据流量转发流程示意图。具体步为:
步骤201,接收网络数据流量。
步骤202,解析获取所述网络数据流量的五元组;基于所述五元组对所述网络数据流量进行乱序、重叠报文重组处理。
对所述网络数据流量将乱序、重叠报文重组获取顺序、完整、去重叠的报文。
步骤203,确定处理后的所述网络数据流量是否为加密报文,如果是,执行步骤204;否则,执行步骤205。
具体实现时,根据网络数据流量是否存在加密字段,确定所述网络数据流量是否为加密报文。
步骤204,基于预设神经网络模型确定所述网络数据流量是否为异常流量,并根据确定结果标记所述网络数据流量。执行步骤206。
所述根据确定结果标记所述网络数据流量,包括:
将所述网络数据流量是否异常的标记与所述网络数据流量的五元组绑定。
在具体实现根据确定结果标记所述网络数据流量时,可以针对异常和正常设置不同的标识,如0和1,标记为0的是异常;标记为1的是正常。
本申请实施例中的预设神经网络模型为预先训练好的模型,也可以再获取新的训练样本时,再次训练;所述预设神经网络模型基于时序的网络数据流量特征对加密网络数据流量进行分类。
在对所述预设神经网络模型进行训练时,可以利用流量抓包工具抓取真实网络链路中传输的网络数据流量,对所述网络数据流量进行预处理:通过数据包预处理模块将乱序、重叠报文重组,输出顺序、完整、去重叠的报文,形成网络数据流。
构建初始申请网络模型:定义神经网络,设置输入数据和输出数据格式,设置神经网络结构,定义误差计算函数;所述神经网络的输出分为两类,一类表示所述网络数据流量异常,一类标识所述网络数据流量正常。
将所述处理后的网络数据流量作为样本数据训练初始神经网络模型的;
所述初始神经网络模型提取所述网络数据流量基于时序的网络数据流量特征,将特征值按比例缩放到[0.0,1.0],对网络数据流量特征数据进行规范化处理,根据误差运用反向传播算法更新神经网络参数,完成神经网络模型学习,获取预设神经网络模型。
步骤205,基于DIP特征库确定所述网络数据流是否为异常流量,并根据确定结果标记所述网络数据流量。
所述根据确定结果标记所述网络数据流量,包括:
将所述网络数据流量是否异常的标记与所述网络数据流量的五元组绑定。
本步骤中预先存储DIP特征库,用于存储1条或多条特征,所述DIP特征库中的特征可以根据实际需要进行更新。
针对一条网络数据流量需要检查是否具有DIP特征库中的任意一条特征,如果具有,则说明所述网络数据流量为正常流量;否则,所述网络数据流量为异常流量。
通常情况下,一条数据流的前几个数据包是传输的数据并不包含应用软件的特征信息,为提高匹配效率,该模块只送入一条流的前16个数据包进行匹配即可。
步骤206,将所述网络数据流量以及对应的标记转发。
当对接收到的数据进行标记后,转发,并携带标记。
本申请实施例基于所述网络数据流量的五元组对所述网络数据流量进行乱序、重叠报文重组处理;并通过加入神经网络模型,用于标记DIP技术不能标记的加密流量,来解决传统DIP设备无法识别加密流量的技术问题。
实施例三
本申请实施例中结合虚拟化容器技术和DPDK技术加速平面转发,通过DIP技术标记未加密的网络数据流量,通过预设神经网络模型标记加密的网络数据流量;能够有效解决传统DIP设备无法识别加密流量、部署方式不灵活的技术问题。
数据平面开发套件(Intel Data Plane Development Kit,DPDK),是intel提供的数据平面开发工具集,为Intel architecture(IA)处理器架构下用户空间高效的数据包处理提供库函数和驱动支持。DPDK应用程序运行在用户空间上,利用自身提供的数据平面库来收发数据包,绕过了Linux内核协议栈对数据包处理过程。随着计算机单机性能增长,网络带宽能力增强,在网络数据流量分析领域中,可以通过DPDK这样的加速技术来突破网络IO瓶颈。
本申请实施例在执行下述报文转发之前,进行如下初始化:
操作系统:在裸金属物理计算机上安装Linux操作系统,如,Ubuntu18.04,并配置管理员帐号;
物理网卡:确认网卡型号支持DPDK技术,通过管理员帐号进入操作系统并安装OVS和DPDK,接着编译DPDK和其他相关模块,安装OVS内核相关模块,启动DPDK和OVS,并将对应的物理网卡绑定为DPDK设备,绑定后重启网卡;
虚拟化容器:通过管理员帐号进入操作系统并安装Docker,根据流量分析模块源代码对应的技术栈与依赖关系,通过Docker build命令添加依赖环境,包括环境变量、依赖函数、依赖库等,编写Dokcerfile文件,构建流量识别模块源代码对应镜像,所述目标镜像用于流量识别模块源代码运行平台,通过Docker run命令运行流量分析容器,配置OVS将外来网络数据流量路由到流量分析容器。
参见图3,图3为本申请实施例三中网络数据流量转发流程示意图。具体步为:
步骤301,通过支持DPDK技术的网卡接收网络数据流量。
步骤302,基于OVS将所述网卡接收到的网络数据流量转发到虚拟化容器中。
步骤303,在所述虚拟化容器中确定所述网络数据流量是否为加密报文,如果是,执行步骤304;否则,执行步骤305。
具体实现时,根据网络数据流量是否存在加密字段,确定所述网络数据流量是否为加密报文。
步骤304,基于预设神经网络模型确定所述网络数据流量是否为异常流量,并根据确定结果标记所述网络数据流量。执行步骤306。
在具体实现根据确定结果标记所述网络数据流量时,可以针对异常和正常设置不同的标识,如0和1,标记为0的是异常;标记为1的是正常。
本申请实施例中的预设神经网络模型为预先训练好的模型,也可以再获取新的训练样本时,再次训练;所述预设神经网络模型基于时序的网络数据流量特征对加密网络数据流量进行分类。
在对所述预设神经网络模型进行训练时,可以利用流量抓包工具抓取真实网络链路中传输的网络数据流量,对所述网络数据流量进行预处理:通过数据包预处理模块将乱序、重叠报文重组,输出顺序、完整、去重叠的报文,形成网络数据流。
构建初始申请网络模型:定义神经网络,设置输入数据和输出数据格式,设置神经网络结构,定义误差计算函数;所述神经网络的输出分为两类,一类表示所述网络数据流量异常,一类标识所述网络数据流量正常。
将所述处理后的网络数据流量作为样本数据训练初始神经网络模型的;
所述初始神经网络模型提取所述网络数据流量基于时序的网络数据流量特征,将特征值按比例缩放到[0.0,1.0],对网络数据流量特征数据进行规范化处理,根据误差运用反向传播算法更新神经网络参数,完成神经网络模型学习,获取预设神经网络模型。
步骤305,基于DIP特征库确定所述网络数据流是否为异常流量,并根据确定结果标记所述网络数据流量。
本步骤中预先存储DIP特征库,用于存储1条或多条特征,所述DIP特征库中的特征可以根据实际需要进行更新。
针对一条网络数据流量需要检查是否具有DIP特征库中的任意一条特征,如果具有,则说明所述网络数据流量为正常流量;否则,所述网络数据流量为异常流量。
通常情况下,一条数据流的前几个数据包是传输的数据并不包含应用软件的特征信息,为提高匹配效率,该模块只送入一条流的前16个数据包进行匹配即可。
步骤306,将所述网络数据流量以及对应的标记转发。
当对接收到的数据进行标记后,转发,并携带标记。
基于同样的发明构思,本申请实施例中还提供一种末端包裹配送装置。参见图4,图4为本申请实施例中应用于上述技术的装置结构示意图。所述装置包括:接收单元401、处理单元402、虚拟化容器403和转发单元404;
接收单元401,用于接收网络数据流量;
处理单元402,用于将接收单元401接收到的网络数据流量转发给虚拟化容器403;
虚拟化容器403,用于确定处理单元402转发的网络数据流量是否为加密报文;如果是,基于预设神经网络模型确定所述网络数据流量是否为异常流量,并根据确定结果标记所述网络数据流量;其中,所述预设神经网络模型基于时序的网络数据流量特征对加密网络数据流量进行分类;如果否,基于DIP特征库确定所述网络数据流是否为异常流量,并根据确定结果标记所述网络数据流量;
转发单元404,用于将所述网络数据流量以及虚拟化容器403标记的对应标记转发。
优选地,
处理单元402,进一步用于解析获取接收单元401接收到的网络数据流量的五元组;并基于所述网络数据流量的五元组对所述网络数据流量进行如下处理:将乱序、重叠报文重组获取顺序、完整、去重叠的报文;将处理后的网络数据流量转发给虚拟化容器403。
优选地,
接收单元401,支持DPDK技术;
处理单元402,支持OVS技术。
优选地,
所述预设神经网络模型根据误差运用反向传播算法更新神经网络参数。
上述实施例的单元可以集成于一体,也可以分离部署;可以合并为一个单元,也可以进一步拆分成多个子单元。
在另一个实施例中,还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述网络数据流量转发方法的步骤。
在另一个实施例中,还提供一种计算机可读存储介质,其上存储有计算机指令,所述指令被处理器执行时可实现所述网络数据流量转发方法中的步骤。
图5为本发明实施例提供的电子设备的实体结构示意图。如图5所示,该电子设备可以包括:处理器(Processor)510、通信接口(Communications Interface)520、存储器(Memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行如下方法:
接收网络数据流量;
确定所述网络数据流量是否为加密报文;
如果是,基于预设神经网络模型确定所述网络数据流量是否为异常流量,并根据确定结果标记所述网络数据流量;其中,所述预设神经网络模型基于时序的网络数据流量特征对加密网络数据流量进行分类;
如果否,基于DIP特征库确定所述网络数据流是否为异常流量,并根据确定结果标记所述网络数据流量;
将所述网络数据流量以及对应的标记转发。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种网络数据流量转发方法,其特征在于,所述方法包括:
接收网络数据流量;
确定所述网络数据流量是否为加密报文;
如果是,基于预设神经网络模型确定所述网络数据流量是否为异常流量,并根据确定结果标记所述网络数据流量;其中,所述预设神经网络模型基于时序的网络数据流量特征对加密网络数据流量进行分类;
如果否,基于深度报文检测DIP特征库确定所述网络数据流是否为异常流量,并根据确定结果标记所述网络数据流量;
将所述网络数据流量以及对应的标记转发。
2.根据权利要求1所述的方法,其特征在于,所述接收网络数据流量之后,所述确定所述网络数据流量是否为加密报文之前,所述方法进一步包括:
解析获取所述网络数据流量的五元组;
所述根据确定结果标记所述网络数据流量,包括:
当确定所述网络数据流量为异常流量,将异常标识与所述网络数据流量的五元组绑定;
当确定所述网络数据流量为正常流量,将正常标识与所述网络数据流量的五元组绑定。
3.根据权利要求2所述的方法,其特征在于,所述方法进一步包括:
基于所述网络数据流量的五元组对所述网络数据流量进行如下处理:
将乱序、重叠报文重组获取顺序、完整、去重叠的报文。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述方法进一步包括:
通过支持数据平面开发套件DPDK技术的网卡接收所述网络数据流量;
通过虚拟化容器标记所述网络数据流量;
基于虚拟交换机OVS将所述网卡接收到的网络数据流量转发到所述虚拟化容器中。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述预设神经网络模型根据误差运用反向传播算法更新神经网络参数。
6.一种网络数据流量转发装置,其特征在于,所述装置包括:接收单元、处理单元、虚拟化容器和转发单元;
所述接收单元,用于接收网络数据流量;
所述处理单元,用于将所述接收单元接收到的网络数据流量转发给所述虚拟化容器;
所述虚拟化容器,用于确定所述处理单元转发的网络数据流量是否为加密报文;如果是,基于预设神经网络模型确定所述网络数据流量是否为异常流量,并根据确定结果标记所述网络数据流量;其中,所述预设神经网络模型基于时序的网络数据流量特征对加密网络数据流量进行分类;如果否,基于深度报文检测DIP特征库确定所述网络数据流是否为异常流量,并根据确定结果标记所述网络数据流量;
所述转发单元,用于将所述网络数据流量以及所述虚拟化容器标记的对应标记转发。
7.根据权利要求6所述的装置,其特征在于,
所述处理单元,进一步用于解析获取所述接收单元接收到的网络数据流量的五元组;并基于所述网络数据流量的五元组对所述网络数据流量进行如下处理:将乱序、重叠报文重组获取顺序、完整、去重叠的报文;将处理后的网络数据流量转发给所述虚拟化容器。
8.根据权利要求6或7所述的装置,其特征在于,
所述接收单元,支持数据平面开发套件DPDK技术;
所述处理单元,支持虚拟交换机OVS技术。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-5任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011278633.0A CN112383489A (zh) | 2020-11-16 | 2020-11-16 | 一种网络数据流量转发方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011278633.0A CN112383489A (zh) | 2020-11-16 | 2020-11-16 | 一种网络数据流量转发方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112383489A true CN112383489A (zh) | 2021-02-19 |
Family
ID=74585410
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011278633.0A Pending CN112383489A (zh) | 2020-11-16 | 2020-11-16 | 一种网络数据流量转发方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112383489A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113132349A (zh) * | 2021-03-12 | 2021-07-16 | 中国科学院信息工程研究所 | 一种免代理云平台虚拟流量入侵检测方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103312565A (zh) * | 2013-06-28 | 2013-09-18 | 南京邮电大学 | 一种基于自主学习的对等网络流量识别方法 |
| CN104468252A (zh) * | 2013-09-23 | 2015-03-25 | 重庆康拜因科技有限公司 | 一种基于正迁移学习的智能网络业务识别方法 |
| CN105847078A (zh) * | 2016-03-17 | 2016-08-10 | 哈尔滨工程大学 | 一种基于dpi自学习机制的http流量精细化识别方法 |
| US20170302505A1 (en) * | 2016-04-18 | 2017-10-19 | Nyansa, Inc. | System and method for network incident identification and analysis |
| CN107819646A (zh) * | 2017-10-23 | 2018-03-20 | 国网冀北电力有限公司信息通信分公司 | 一种分布式传输的网络流量分类系统和方法 |
| EP3331206A1 (en) * | 2016-12-05 | 2018-06-06 | Alcatel Lucent | Classifying of data packets |
| CN111010409A (zh) * | 2020-01-07 | 2020-04-14 | 南京林业大学 | 加密攻击网络流量检测方法 |
| CN111860628A (zh) * | 2020-07-08 | 2020-10-30 | 上海乘安科技集团有限公司 | 一种基于深度学习的流量识别与特征提取方法 |
| CN111866024A (zh) * | 2020-08-05 | 2020-10-30 | 国家计算机网络与信息安全管理中心 | 一种网络加密流量识别方法及装置 |
-
2020
- 2020-11-16 CN CN202011278633.0A patent/CN112383489A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103312565A (zh) * | 2013-06-28 | 2013-09-18 | 南京邮电大学 | 一种基于自主学习的对等网络流量识别方法 |
| CN104468252A (zh) * | 2013-09-23 | 2015-03-25 | 重庆康拜因科技有限公司 | 一种基于正迁移学习的智能网络业务识别方法 |
| CN105847078A (zh) * | 2016-03-17 | 2016-08-10 | 哈尔滨工程大学 | 一种基于dpi自学习机制的http流量精细化识别方法 |
| US20170302505A1 (en) * | 2016-04-18 | 2017-10-19 | Nyansa, Inc. | System and method for network incident identification and analysis |
| EP3331206A1 (en) * | 2016-12-05 | 2018-06-06 | Alcatel Lucent | Classifying of data packets |
| CN107819646A (zh) * | 2017-10-23 | 2018-03-20 | 国网冀北电力有限公司信息通信分公司 | 一种分布式传输的网络流量分类系统和方法 |
| CN111010409A (zh) * | 2020-01-07 | 2020-04-14 | 南京林业大学 | 加密攻击网络流量检测方法 |
| CN111860628A (zh) * | 2020-07-08 | 2020-10-30 | 上海乘安科技集团有限公司 | 一种基于深度学习的流量识别与特征提取方法 |
| CN111866024A (zh) * | 2020-08-05 | 2020-10-30 | 国家计算机网络与信息安全管理中心 | 一种网络加密流量识别方法及装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113132349A (zh) * | 2021-03-12 | 2021-07-16 | 中国科学院信息工程研究所 | 一种免代理云平台虚拟流量入侵检测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106020948B (zh) | 一种流程调度方法及装置 | |
| EP3668007B1 (en) | System for identifying and assisting in the creation and implementation of a network service configuration using hidden markov models (hmms) | |
| CN106484453B (zh) | 一种实现系统升级的方法及装置 | |
| US20150355891A1 (en) | Computer-based distribution of large sets of regular expressions to a fixed number of state machine engines for products and services | |
| CN110247933B (zh) | 实现防火墙策略的方法和装置 | |
| CN111431758A (zh) | 云网络设备的测试方法、装置、存储介质和计算机设备 | |
| CN112822291A (zh) | 一种工控设备的监测方法与装置 | |
| CN109167762A (zh) | 一种iec104报文校验方法及装置 | |
| CN112383489A (zh) | 一种网络数据流量转发方法和装置 | |
| CN110401658B (zh) | 一种数据交互方法和交互平台 | |
| CN110162959A (zh) | 基于设备指纹的数据处理方法及装置 | |
| CN110347593A (zh) | 流程测试方法及装置 | |
| CN109218338A (zh) | 信息处理系统、方法和装置 | |
| CN115426299B (zh) | 无特征数据标识方法、装置、计算机设备及存储介质 | |
| CN107733785A (zh) | 一种多终端聊天信息同步删除方法及装置 | |
| CN107577946A (zh) | iOS应用程序的分析方法、装置、系统及PC设备 | |
| CN116431504A (zh) | 自动化测试方法、系统及装置 | |
| CN116346660A (zh) | 基于依赖替换服务的数据处理方法、装置、设备及介质 | |
| CN109656791A (zh) | 一种基于Jmeter的gRPC性能测试方法及装置 | |
| US11968228B2 (en) | Early malware detection in on-the-fly security sandboxes using recursive neural networks (RNNs)to capture relationships in behavior sequences on data communication networks | |
| CN105991373B (zh) | 一种应用协议识别方法及装置 | |
| CN107864127B (zh) | 一种应用程序的识别方法及装置 | |
| CN108512688A (zh) | 网络节点配置方法和终端 | |
| US20120029961A1 (en) | Method, device and computer program product for service balancing in an electronic communications system | |
| CN113268360A (zh) | 请求处理方法、装置、服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |