CN113572700A - 流量检测方法、系统、装置及计算机可读存储介质 - Google Patents
流量检测方法、系统、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN113572700A CN113572700A CN202010354049.2A CN202010354049A CN113572700A CN 113572700 A CN113572700 A CN 113572700A CN 202010354049 A CN202010354049 A CN 202010354049A CN 113572700 A CN113572700 A CN 113572700A
- Authority
- CN
- China
- Prior art keywords
- flow
- network card
- filtering
- preset range
- virtual network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 44
- 238000001914 filtration Methods 0.000 claims abstract description 89
- 238000000034 method Methods 0.000 claims description 25
- 238000004458 analytical method Methods 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 5
- 238000004891 communication Methods 0.000 claims description 4
- 230000003993 interaction Effects 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007493 shaping process Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及数据交互领域,公开了一种流量检测方法、系统、装置及计算机可读存储介质。所述流量检测方法包括:根据预设的过滤规则过滤从物理网卡发送的流量;判断过滤后的流量大小是否在预设范围内;在判定不在所述预设范围内时,更新所述过滤规则,直至根据更新后的过滤规则过滤的所述流量大小在所述预设范围内;将过滤后符合预设范围的流量转发至DPI设备,以使所述DPI设备对所述符合预设范围的流量进行检测。本发明提供的流量检测方法、系统、装置及计算机可读存储介质能够过滤流量,确保DPI设备的正常工作。
Description
技术领域
本发明实施例涉及数据交互领域,特别涉及一种流量检测方法、系统、装置及计算机可读存储介质。
背景技术
互联网技术的发展正在推动着社会信息化的技术革命。个人、企业以及政府的各个部门通过计算机网络来获取、存储、处理和传输信息,广泛的利用信息进行生产过程控制和经济计划的决策。全国乃至全球范围的计算机网络不断的高速发展并日益深入到国民经济和社会生活的各个方面,计算机网络已经成为人们日常工作与生活的必不可少的工具。为了提高网络的安全性与可靠性,现有技术中通过DPI设备对数据包进行深度检测,DPI设备通过对网络的关键点处的流量和报文内容进行检测分析,可以根据事先定义的策略对检测流量进行过滤控制,能完成所在链路的业务精细化识别、业务流量流向分析、业务流量占比统计、业务占比整形、以及应用层拒绝服务攻击等功能。
发明人发现现有技术中至少存在如下问题:随着互联网的发展,网络规模不断扩大,网络流量越来也大,一台DPI的性能有限,无法对较大规模的流量(比如20G、40G网卡流量)进行检测。
发明内容
本发明实施方式的目的在于提供一种流量检测方法、系统、装置及计算机可读存储介质,其能够过滤流量,确保DPI设备的正常工作。
为解决上述技术问题,本发明的实施方式提供了一种流量检测方法,包括:
根据预设的过滤规则过滤从物理网卡发送的流量;判断过滤后的流量大小是否在预设范围内;在判定不在所述预设范围内时,更新所述过滤规则,直至根据更新后的过滤规则过滤的所述流量大小在所述预设范围内;将过滤后符合预设范围的流量转发至DPI设备,以使所述DPI设备对所述符合预设范围的流量进行检测。
本发明的实施方式还提供了一种流量检测系统,包括:物理网卡、过滤模块、处理模块和DPI设备;所述物理网卡用于向所述过滤模块发送流量;所述过滤模块用于根据预设的过滤规则过滤从所述物理网卡发送的流量;所述处理模块用于判断过滤后的流量大小是否在预设范围内,在判定不在所述预设范围内时,更新所述过滤规则,直至所述过滤模块过滤的流量大小在所述预设范围内,并将过滤后符合预设范围的流量转发至所述DPI设备;所述DPI设备用于对所述符合预设范围的流量进行检测。
本发明的实施方式还提供了一种流量检测装置,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述的流量检测方法。
本发明的实施方式还提供了一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述的流量检测方法。
本发明的实施方式相对于现有技术而言,通过根据预设的过滤规则过滤从物理网卡发送的流量,从而能够对所述流量进行筛选,减少了最后到达DPI设备的流量的大小;通过判断过滤后的流量大小是否在预设范围内,并在判定不在所述预设范围内时,更新所述过滤规则,直至根据更新后的过滤规则过滤的所述流量大小在所述预设范围内,使得最后到达DPI设备的流量大小能够满足DPI设备的检测标准,从而确保了DPI设备的正常工作。
另外,所述物理网卡被用户态程序接管,在所述根据预设的过滤规则过滤从物理网卡发送的流量之前,还包括:创建基于内核态的虚拟网卡;将所述物理网卡接收的流量通过所述用户态程序导入所述虚拟网卡;所述根据预设的过滤规则过滤从物理网卡发送的流量,包括:根据所述过滤规则过滤从所述虚拟网卡发送的流量。
另外,在将所述物理网卡接收的流量通过所述用户态程序导入所述虚拟网卡之前,还包括:创建共享内存,其中,所述共享内存内存储有所述物理网卡通过所述用户态程序导入的流量;将所述物理网卡接收的流量通过所述用户态程序导入所述虚拟网卡,包括:将所述共享内存内存储的流量导入所述虚拟网卡,并将所述流量由所述虚拟网卡传递到内核协议栈。
另外,将所述物理网卡接收的流量通过所述用户态程序导入所述虚拟网卡,包括:所述用户态程序利用所述虚拟网卡的接口上下文,在用户态和所述内核态之间使用队列的方式,传递流量的指针,其中,所述虚拟网卡通过所述指针获取流量,并将所述流量传递到内核协议栈。
另外,在将所述物理网卡接收的流量通过所述用户态程序导入所述虚拟网卡之后,还包括:通过ifconfig和/或dstat工具获取所述虚拟网卡的流量信息,并将所述流量信息发送至预设的分析模块进行分析。
另外,在将所述物理网卡接收的流量通过所述用户态程序导入所述虚拟网卡之后,还包括:由内核态协议栈的tcpdump工具对所述虚拟网卡进行抓包,并将所述抓包的结果发送至预设的分析模块进行分析。
另外,所述根据预设的过滤规则过滤从物理网卡发送的流量,包括:过滤通信地址不在预设通信地址范围内的流量。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1是根据本发明第一实施方式提供的流量检测方法的流程图;
图2是根据本发明第一实施方式提供的流量检测装置的结构示意图;
图3是根据本发明第二实施方式提供的流量检测方法的流程图;
图4是根据本发明第二实施方式提供的流量检测装置的结构示意图;
图5是根据本发明第二实施方式提供的流量检测装置的另一种结构示意图;
图6是根据本发明第三实施方式提供的流量检测方法的流程图;
图7是根据本发明第三实施方式提供的流量检测装置的结构示意图;
图8是根据本发明第四实施方式提供的流量检测系统的结构示意图;
图9是根据本发明第五实施方式提供的流量检测装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本发明而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本发明所要求保护的技术方案。
本发明的第一实施方式涉及一种流量检测方法,具体流程如图1所示,包括:
S101:根据预设的过滤规则过滤从物理网卡发送的流量。
具体的说,本实施方式中物理网卡发送的流量即物理网卡发送的数据包,预设的过滤规则可以为:预先配置源IP地址范围,提取数据包的源IP地址,与预先配置的源IP地址范围比较,如果数据包的源IP地址不在预设的源IP地址范围内,则丢弃该数据包;或预先配置源MAC地址范围,提取数据包的源MAC地址,与预先配置的源MAC地址范围比较,如果数据包的源MAC地址不在预设的源MAC地址范围内,则丢弃该数据包。
更具体的,如图2所示,本实施例过滤结构的整体功能如下:物理网卡接收以服务器软件发送的数据包,将数据包存入数据包缓存,同时提取数据包关键字段并存入关键字缓存(数据包关键字段一般都在每个数据包的各个首部当中)。物理网卡将数据包的接收和关键字提取放在一起,虽然在对数据包接收的同时并行提取关键字段增加了少许时间,但是在后续进行数据包过滤时,由于关键字段已经提取,就不需要在数据包缓存中重复提取关键字段,大幅提高过滤速度。数据包完全存入缓存后,过滤包模块便开始根据已经配置的过滤规则进行包过滤,如果需要进行IP、MAC地址过滤,就将关键字段中IP、MAC地址与IP、MAC地址缓存中的地址进行比对。如果过滤包模块拦截了这个数据包,就将其丢弃,如果不拦截,即认为其安全,就控制数据包发送模块将此包发送至DPI设备。
S102:在判定过滤后的流量大小不在预设范围内时,更新过滤规则,直至根据更新后的过滤规则过滤的流量大小在预设范围内。
具体的说,由于DPI设备的性能有限,无法对较大规模的流量(比如20G、40G网卡流量)进行服务,因此通过设置预设范围,大小在预设范围内的流量即可满足DPI设备的工作要求,从而能够以预设范围为判断标准,判断过滤后的流量大小是否在预设范围内。
可以理解的是,过滤规则是预先设置的,难以确保过滤后的流量大小在预设范围内,通过在判定过滤后的流量大小不在预设范围内时,更新过滤规则,直至根据更新后的过滤规则过滤的流量大小在预设范围内,能够确保最后转发至DPI设备的流量满足DPI设备的工作要求,提高了流量检测方法的可靠性。具体的说,过滤规则的更新方式可以为扩大/缩小源IP地址范围等,如发现过滤后的流量大小仍大于DPI设备的检测上限时可以缩小源IP地址范围,使DPI设备能够正常工作,发现过滤后的流量大小远小于DPI设备的检测上限时可以扩大源IP地址范围,以提高DPI设备的工作效率,本实施方式并不对过滤规则的更新方式做具体限定,确保更新过滤规则后,能够使最后转发至DPI设备的流量满足DPI设备的工作要求即可。
总的来说,如图2所示,过滤包模块可以根据数据包的2-4层信息来判断是否将该数据包放行到DPI(2-4层信息包括二层的mac信息、vlan信息、三层的ip头部信息、四层的传输层头部信息等等)。通过配置这些过滤信息,到达DPI的数据将极大的减少,从而DPI能够正常的进行工作。
需要说明的是,不同型号的DPI设备正常工作时对流量的大小要求可能不同,如有的DPI设备可以对最大40G的流量进行检测,而有的DPI设备最大10G的流量进行检测,因此本实施方式并不对预设范围的大小作具体限定,可以根据DPI设备的性能设置满足需求的预设范围,确保最后转发至DPI设备的流量满足DPI设备的工作要求即可。
S103:将过滤后符合预设范围的流量转发至DPI设备,以使DPI设备对符合预设范围的流量进行检测。
具体的说,DPI设备是能够对网络所承载的业务进行识别和流量管理的网络设备,DPI设备通过对网络的关键点处的流量和报文内容进行检测分析,可以根据事先定义的策略对检测流量进行过滤控制。
需要说明的是,本实施方式中的DPI设备仅为可以对流量进行检测的一种可行的设备,实际应用中还可以通过其他设备对流量进行检测,本实施方式并不对此作具体限定。
本发明的实施方式相对于现有技术而言,通过根据预设的过滤规则过滤从物理网卡发送的流量,从而能够对所述流量进行筛选,减少了最后到达DPI设备的流量的大小;通过判断过滤后的流量大小是否在预设范围内,并在判定不在所述预设范围内时,更新所述过滤规则,直至根据更新后的过滤规则过滤的所述流量大小在所述预设范围内,使得最后到达DPI设备的流量大小能够满足DPI设备的检测标准,从而确保了DPI设备的正常工作。
本发明的第二实施方式涉及一种流量检测方法,第二实施方式与第一实施方式大致相同,主要区别之处在于:在第二实施方式中,物理网卡被用户态程序接管,DPI无法直接进行工作,通过创建虚拟网卡,将流量从用户态程序内部导入到虚拟网卡,从而确保了DPI设备的正常工作。
本实施方式的具体流程如图3所示,包括:
S201:创建基于内核态的虚拟网卡。
具体的说,服务器DPDK(DPDK应用程序运行在操作系统的用户空间,利用自身提供的数据库进行收发包处理,绕过了Linux内核态协议栈,以提升报文处理效率)化以后,用户态程序接管了物理网卡,导致DPI设备无法正常工作,此时通过创建虚拟网卡,将数据包从用户态程序内部导入到虚拟网卡,使DPI设备监听虚拟网卡,即可解决“用户态程序接管物理网卡,导致的DPI无法工作”的问题。
需要说明的是,虚拟网卡主要是建立远程计算机间的局域网,虚拟网卡的链接技术就是VPN,可以连接到虚拟集线器(HUB)上与其它电脑组成局域网。在此虚拟的局域网上能进行所有物理存在的局域网的操作,因此通过监听虚拟网卡,可以达到与服务器未DPDK时监听物理网卡同样的技术效果。
值得一提的是,本实施方式可以根据用户态程序接管的网卡数量来创建多个的虚拟网卡,让网卡与虚拟网卡进行对应,即一个物理网卡对应一个虚拟网卡;也可以只创建单个虚拟网卡,即多个物理网卡对应一个虚拟网卡。
S202:将物理网卡接收的流量通过用户态程序导入虚拟网卡。
具体的说,本实施方式中将所述物理网卡接收的流量通过所述用户态程序导入所述虚拟网卡,可以为:利用虚拟网卡的接口上下文,在用户态和所述内核态之间使用队列的方式,传递流量的指针,其中,所述虚拟网卡通过所述指针获取流量,并将所述流量传递到内核协议栈。也就是说,用户态程序可以通过调用虚拟网卡驱动的接口,在内核态和用户态之间使用队列的方式,传递数据包的指针,不需要拷贝数据内容。在程序初始化的时候,创建虚拟网卡,创建队列连接虚拟网卡驱动与用户态程序;在用户态程序运行过程中,当收到接管的网卡发过来的数据报文,把数据包的指针传递到队列中。可以理解的是,虚拟网卡是有注册进内核协议栈的,从队列中收到的数据包也会通过虚拟网卡驱动传递到内核协议栈中。
值得一提的是,本实施方式在将所述物理网卡接收的流量通过所述用户态程序导入所述虚拟网卡之后,还包括:由内核态协议栈的tcpdump工具对所述虚拟网卡进行抓包,并将所述抓包的结果发送至预设的分析模块进行分析。可以理解的是,命令只能在内核态中执行,当服务器DPDL化后,用户态程序接管物理网卡,从而无法使用tcpdump工具抓包,通过创建虚拟网卡,由于虚拟网卡是基于内核的,同时用户态程序也可以连接该虚拟网卡,从而把流量复制到虚拟网卡,在虚拟网卡上使用tcpdump抓包。具体的说,如图4所示,程序接管的网卡可以是物理网卡,也可以是其它虚拟网卡(虚拟网卡类似于dpdk的KNI网卡),比如openvswitch创建的虚拟网卡。程序初始化的时候创建虚拟网卡,并把网卡注册进入内核,同时创建队列连接用户态程序。在程序接收到报文的时候,程序可以把数据包的指针(地址)传递到队列,并由虚拟网卡驱动传递到内核协议栈。由于Tcpdump是基于内核进行抓包,这样就可以实现Tcpdump的抓包功能。
请参见图5,服务器DPDK化后,物理网卡已经被用户态程序接管,其它程序包括过滤包模块无法直接使用。服务器软件启动的时候创建出虚拟网卡,运行过程中,把数据包导入到虚拟网卡。过滤包模块通过虚拟网卡接收数据,并进行过滤筛选,再把数据包传递给DPI设备。
S203:根据预设的过滤规则过滤从虚拟网卡发送的流量。
S204:在判定过滤后的流量大小不在预设范围内时,更新过滤规则,直至根据更新后的过滤规则过滤的流量大小在预设范围内。
S205:将过滤后符合预设范围的流量转发至DPI设备,以使DPI设备对符合预设范围的流量进行检测。
本实施方式的步骤S203至步骤S205与第一实施方式的步骤S101至步骤S103类似,为了避免重复,此处不再赘述。
本发明的实施方式相对于现有技术而言,通过根据预设的过滤规则过滤从物理网卡发送的流量,从而能够对所述流量进行筛选,减少了最后到达DPI设备的流量的大小;通过判断过滤后的流量大小是否在预设范围内,并在判定不在所述预设范围内时,更新所述过滤规则,直至根据更新后的过滤规则过滤的所述流量大小在所述预设范围内,使得最后到达DPI设备的流量大小能够满足DPI设备的检测标准,从而确保了DPI设备的正常工作。
本发明的第三实施方式涉及一种流量检测方法,第三实施方式与第一实施方式大致相同,主要区别之处在于:在第三实施方式中,物理网卡同样被用户态程序接管,此时系统工具(比如ifconfig、dstat)无法使用,通过创建共享内存,将用户态程序统计的网卡流量信息传递给虚拟网卡在内核相应的设备信息中,能够使用ifconfig、dstat等工具查看虚拟网卡流量,从而能够采集用户态程序的网卡流量。
本实施方式的具体流程如图6所示,包括:
S301:创建基于内核态的虚拟网卡。
S302:创建共享内存。
具体的说,共享内存指在多处理器的计算机系统中,可以被不同中央处理器(CPU)访问的大容量内存。本实施方式创建共享内存的方法可以为:1.定义共享内存的结构体;2.利用CreateFileMapping函数创建共享内存;3.定义指向共享内存结构体的指针pShareMem,利用MapViewOfFile函数将刚刚创建的内存映射到定义指针pShareMem。
S303:将共享内存中存储的流量导入虚拟网卡,并将流量由虚拟网卡传递到内核协议栈。
具体的说,共享内存中存储有物理网卡通过用户态程序导入的流量,也就是说,在程序运行过程中,服务器会定时写入流量信息到共享内存。在虚拟网卡底层驱动里面可以获取共享内存信息,并把流量信息更新到虚拟网卡对应的内核设备net_device结构变量里面。
S304:通过ifconfig和/或dstat工具获取内核协议栈的流量信息,并将流量信息发送至预设的分析模块进行分析。
具体的说,请参见图7,内核协议栈的流量信息包括了rx packet个数、rx packet字节数、rx packet错误个数、rx丢包个数、tx packet个数、tx packet字节数、tx packet错误个数、tx丢包个数等。这些信息可以在程序里面处理的时候统计得到。程序定时把这些信息写入到共享内存,比如1秒更新一次。创建虚拟网卡跟程序接管的网卡进行对应。虚拟网卡注册到内核,每个虚拟网卡在内核都有对应的设备信息。在外部使用ifconfig、dstat等工具获取流量信息的时候,驱动把共享内存的信息更新到内核设备信息中。
S305:根据预设的过滤规则过滤从虚拟网卡发送的流量。
S306:在判定过滤后的流量大小不在预设范围内时,更新过滤规则,直至根据更新后的过滤规则过滤的流量大小在预设范围内。
S307:将过滤后符合预设范围的流量转发至DPI设备,以使DPI设备对符合预设范围的流量进行检测。
本实施方式的步骤S305至步骤S307与第一实施方式的步骤S101至步骤S103类似,为了避免重复,此处不再赘述。
本发明的实施方式相对于现有技术而言,通过根据预设的过滤规则过滤从物理网卡发送的流量,从而能够对所述流量进行筛选,减少了最后到达DPI设备的流量的大小;通过判断过滤后的流量大小是否在预设范围内,并在判定不在所述预设范围内时,更新所述过滤规则,直至根据更新后的过滤规则过滤的所述流量大小在所述预设范围内,使得最后到达DPI设备的流量大小能够满足DPI设备的检测标准,从而确保了DPI设备的正常工作。
本发明的第四实施方式涉及一种流量检测系统,如图8所示,流量检测系统100包括物理网卡1、过滤模块2、处理模块3和DPI设备4;物理网卡1用于向过滤模块2发送流量;过滤模块2用于根据预设的过滤规则过滤从物理网卡1发送的流量;所述处理模块用于判断过滤后的流量大小是否在预设范围内,在判定不在所述预设范围内时,更新所述过滤规则,直至所述过滤模块过滤的流量大小在所述预设范围内,并将过滤后符合预设范围的流量转发至所述DPI设备;所述DPI设备用于对所述符合预设范围的流量进行检测。
不难发现,本实施方式为与第一实施方式相对应的装置实施例,本实施方式可与第一实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式中。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
本发明第五实施方式涉及一种流量检测装置,如图9所示,包括:
至少一个处理器701;以及,
与至少一个处理器701通信连接的存储器702;其中,
存储器702存储有可被至少一个处理器701执行的指令,指令被至少一个处理器701执行,以使至少一个处理器701能够执行上述流量检测方法。
其中,存储器702和处理器701采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器701和存储器702的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器701处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器701。
处理器701负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器702可以被用于存储处理器701在执行操作时所使用的数据。
本发明第六实施方式涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。
即,本领域技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (10)
1.一种流量检测方法,其特征在于,包括:
根据预设的过滤规则过滤从物理网卡发送的流量;判断过滤后的流量大小是否在预设范围内;
在判定不在所述预设范围内时,更新所述过滤规则,直至根据更新后的过滤规则过滤的所述流量大小在所述预设范围内;
将过滤后符合预设范围的流量转发至DPI设备,以使所述DPI设备对所述符合预设范围的流量进行检测。
2.根据权利要求1所述的流量检测方法,其特征在于,所述物理网卡被用户态程序接管,在所述根据预设的过滤规则过滤从物理网卡发送的流量之前,还包括:
创建基于内核态的虚拟网卡;
将所述物理网卡接收的流量通过所述用户态程序导入所述虚拟网卡;
所述根据预设的过滤规则过滤从物理网卡发送的流量,包括:
根据所述过滤规则过滤从所述虚拟网卡发送的流量。
3.根据权利要求2所述的流量检测方法,其特征在于,在将所述物理网卡接收的流量通过所述用户态程序导入所述虚拟网卡之前,还包括:
创建共享内存,其中,所述共享内存中存储有所述物理网卡通过所述用户态程序导入的流量;
所述将所述物理网卡接收的流量通过所述用户态程序导入所述虚拟网卡,包括:
将所述共享内存中存储的流量导入所述虚拟网卡,并将所述流量由所述虚拟网卡传递到内核协议栈。
4.根据权利要求2所述的流量检测方法,其特征在于,所述将所述物理网卡接收的流量通过所述用户态程序导入所述虚拟网卡,包括:
利用所述虚拟网卡的接口上下文,在用户态和所述内核态之间使用队列的方式,传递流量的指针,其中,所述虚拟网卡通过所述指针获取流量,并将所述流量传递到内核协议栈。
5.根据权利要求3或4所述的流量检测方法,其特征在于,在将所述物理网卡接收的流量通过所述用户态程序导入所述虚拟网卡之后,还包括:
通过ifconfig和/或dstat工具获取所述内核协议栈的流量信息,并将所述流量信息发送至预设的分析模块进行分析。
6.根据权利要求3或4所述的流量检测方法,其特征在于,在将所述物理网卡接收的流量通过所述用户态程序导入所述虚拟网卡之后,还包括:
由内核态协议栈的tcpdump工具对所述虚拟网卡进行抓包,并将所述抓包的结果发送至预设的分析模块进行分析。
7.根据权利要求1至4任一项所述的流量检测方法,其特征在于,所述根据预设的过滤规则过滤从物理网卡发送的流量,包括:
过滤通信地址不在预设通信地址范围内的流量。
8.一种流量检测系统,其特征在于,包括:物理网卡、过滤模块、处理模块和DPI设备;
所述物理网卡用于向所述过滤模块发送流量;
所述过滤模块用于根据预设的过滤规则过滤从所述物理网卡发送的流量;
所述处理模块用于判断过滤后的流量大小是否在预设范围内,在判定不在所述预设范围内时,更新所述过滤规则,直至所述过滤模块过滤的流量大小在所述预设范围内,并将过滤后符合预设范围的流量转发至所述DPI设备;
所述DPI设备用于对所述符合预设范围的流量进行检测。
9.一种流量检测装置,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任一项所述的流量检测方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的流量检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010354049.2A CN113572700A (zh) | 2020-04-29 | 2020-04-29 | 流量检测方法、系统、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010354049.2A CN113572700A (zh) | 2020-04-29 | 2020-04-29 | 流量检测方法、系统、装置及计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113572700A true CN113572700A (zh) | 2021-10-29 |
Family
ID=78158333
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010354049.2A Pending CN113572700A (zh) | 2020-04-29 | 2020-04-29 | 流量检测方法、系统、装置及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113572700A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113890774A (zh) * | 2021-06-10 | 2022-01-04 | 浙江绍兴苏泊尔生活电器有限公司 | 一种家电产品的配网方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101399749A (zh) * | 2007-09-27 | 2009-04-01 | 华为技术有限公司 | 一种报文过滤的方法、系统和设备 |
CN103312601A (zh) * | 2013-05-31 | 2013-09-18 | 汉柏科技有限公司 | 用户态到内核态的数据报文处理方法 |
CN106911588A (zh) * | 2015-12-22 | 2017-06-30 | 中国电信股份有限公司 | 用于实现深度包检测优化的方法、装置和系统 |
CN107196815A (zh) * | 2016-03-14 | 2017-09-22 | 华为技术有限公司 | 一种流量分析能力的差异的确定方法及设备 |
CN109391520A (zh) * | 2017-08-10 | 2019-02-26 | 中国移动通信有限公司研究院 | 基于融合型家庭网关的深度报文检测方法、装置和系统 |
-
2020
- 2020-04-29 CN CN202010354049.2A patent/CN113572700A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101399749A (zh) * | 2007-09-27 | 2009-04-01 | 华为技术有限公司 | 一种报文过滤的方法、系统和设备 |
CN103312601A (zh) * | 2013-05-31 | 2013-09-18 | 汉柏科技有限公司 | 用户态到内核态的数据报文处理方法 |
CN106911588A (zh) * | 2015-12-22 | 2017-06-30 | 中国电信股份有限公司 | 用于实现深度包检测优化的方法、装置和系统 |
CN107196815A (zh) * | 2016-03-14 | 2017-09-22 | 华为技术有限公司 | 一种流量分析能力的差异的确定方法及设备 |
CN109391520A (zh) * | 2017-08-10 | 2019-02-26 | 中国移动通信有限公司研究院 | 基于融合型家庭网关的深度报文检测方法、装置和系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113890774A (zh) * | 2021-06-10 | 2022-01-04 | 浙江绍兴苏泊尔生活电器有限公司 | 一种家电产品的配网方法及装置 |
CN113890774B (zh) * | 2021-06-10 | 2023-09-26 | 浙江绍兴苏泊尔生活电器有限公司 | 一种家电产品的配网方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8005022B2 (en) | Host operating system bypass for packets destined for a virtual machine | |
US6717943B1 (en) | System and method for routing and processing data packets | |
US8036127B2 (en) | Notifying network applications of receive overflow conditions | |
US8149866B2 (en) | System and method for filtering communications at a network interface controller | |
US11252196B2 (en) | Method for managing data traffic within a network | |
CN106686129A (zh) | 一种负载均衡方法及系统 | |
CN105579990A (zh) | 应用感知网络管理 | |
US7333430B2 (en) | Systems and methods for passing network traffic data | |
CN103795632A (zh) | 一种数据报文传输方法及相关设备、系统 | |
CN106713351B (zh) | 一种基于串口服务器的安全通讯方法及装置 | |
US8539089B2 (en) | System and method for vertical perimeter protection | |
CN104579948A (zh) | 一种报文分片处理方法及装置 | |
CN102801659A (zh) | 一种基于流策略的安全网关实现方法及装置 | |
CN100481812C (zh) | 基于应用的流量控制方法及进行应用流量控制的网络设备 | |
CN103618778A (zh) | 利用Linux虚拟主机实现数据高并发的系统及方法 | |
CN103368872A (zh) | 数据包转发系统和方法 | |
WO2019240054A1 (ja) | 通信装置、パケット処理方法及びプログラム | |
CN113572700A (zh) | 流量检测方法、系统、装置及计算机可读存储介质 | |
CN103001966A (zh) | 一种私网ip的处理、识别方法及装置 | |
CN105468684B (zh) | 敏感词过滤系统及其通信方法 | |
CN111641659A (zh) | 一种交换机的中央处理器防攻击的方法、装置、设备及存储介质 | |
KR101794200B1 (ko) | 리눅스 기반 패킷 프로세서를 이용하는 분산 패킷 전송 네트워크의 프로토콜 패킷 송수신 방법 | |
CN113453278B (zh) | 一种基于5g upf下的tcp包分段组包方法及终端 | |
US20090073973A1 (en) | Router having black box function and network system including the same | |
KR101446280B1 (ko) | 인터미디어트 드라이버를 이용한 변종 악성코드 탐지 및 차단 시스템 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211029 |