CN113794690B - 数据处理方法、装置、非易失性存储介质及处理器 - Google Patents
数据处理方法、装置、非易失性存储介质及处理器 Download PDFInfo
- Publication number
- CN113794690B CN113794690B CN202110962488.6A CN202110962488A CN113794690B CN 113794690 B CN113794690 B CN 113794690B CN 202110962488 A CN202110962488 A CN 202110962488A CN 113794690 B CN113794690 B CN 113794690B
- Authority
- CN
- China
- Prior art keywords
- data processing
- information
- strategy
- policy
- adjustment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 25
- 238000003860 storage Methods 0.000 title claims abstract description 20
- 238000000034 method Methods 0.000 claims abstract description 29
- 230000006870 function Effects 0.000 claims description 9
- 238000012163 sequencing technique Methods 0.000 claims description 6
- 238000005070 sampling Methods 0.000 claims description 4
- 238000005111 flow chemistry technique Methods 0.000 abstract description 11
- 230000000875 corresponding effect Effects 0.000 description 30
- 230000008569 process Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 230000006978 adaptation Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013433 optimization analysis Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种数据处理方法、装置、非易失性存储介质及处理器。该方法包括:在预设时间段内,获取流经网络设备的各个数据包的五元组信息;将各个数据包的五元组信息与策略表中的数据处理策略进行匹配,得到匹配结果;基于匹配结果确定策略表的调整信息,其中,调整信息用于指示调整策略表中的各个数据处理策略的优先级顺序;基于调整信息调整策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表。通过本申请,解决了相关技术中通过预估的五元组信息人工调整防火墙的安全策略的优先级,调整效率低下,且调整后的安全策略难以满足流量处理需求的问题。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种数据处理方法、装置、非易失性存储介质及处理器。
背景技术
在网络防火墙安全控制领域,需要根据新建会话的数据包五元组匹配数据包对应的安全策略,得到匹配的最高优先级的安全策略,从而根据最高优先级安全策略对流量进行控制。但是,在策略匹配过程中,流量在不断变化,不同安全策略被匹配到的频率也在发生变化,为了获得最好的数据包转发效率,使得最高优先级的安全策略尽早被匹配到,需要对不同安全策略的优先级进行调整。
在相关技术中,是通过手工输入一系列预估的五元组信息,根据安全策略的匹配情况人工确定出不同策略的重要性,从而在防火墙配置中调整策略的优先级,由于预估五元组与实际网络流量相比不完整,人工输入和确定消耗大量时间,无法及时根据网络流量变化尽快快速响应。
针对相关技术中通过预估的五元组信息人工调整防火墙的安全策略的优先级,调整效率低下,且调整后的安全策略难以满足流量处理需求的问题,目前尚未提出有效的解决方案。
发明内容
本申请提供一种数据处理方法、装置、非易失性存储介质及处理器,以解决相关技术中通过预估的五元组信息人工调整防火墙的安全策略的优先级,调整效率低下,且调整后的安全策略难以满足流量处理需求的问题。
根据本申请的一个方面,提供了一种数据处理方法。该方法包括:在预设时间段内,获取流经网络设备的各个数据包的五元组信息;将各个数据包的五元组信息与策略表中的数据处理策略进行匹配,得到匹配结果,其中,策略表中包括具有优先级顺序的多个数据处理策略,以及每个数据处理策略对应的五元组信息集合,匹配结果包括各个数据处理策略被匹配到的次数;基于匹配结果确定策略表的调整信息,其中,调整信息用于指示调整策略表中的各个数据处理策略的优先级顺序;基于调整信息调整策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表。
可选地,在预设时间段内,获取流经网络设备的各个数据包的五元组信息包括:扫描流经网络设备的数据包,得到数据包的五元组信息;或者获取数据包流经网络设备时产生的日志信息,并从日志信息中提取数据包的五元组信息。
可选地,五元组信息集合包括多个子集合,每个子集合由同一类型的元组信息构成,将各个数据包的五元组信息与策略表中的数据处理策略进行匹配,得到匹配结果包括:将五元组信息与各个数据处理策略对应的五元组信息集合进行匹配,在五元组信息中的每元组信息分别在一个五元组信息集合中对应的子集合中存在的情况下,确定五元组信息集合对应的数据处理策略被匹配到。
可选地,基于匹配结果确定策略表的调整信息包括:确定策略表中的各个数据处理策略被匹配到的次数;根据被匹配到的次数对各个数据处理策略进行排序,得到排序列表;将排序列表中的数据处理策略的顺序与策略表中的数据处理策略的顺序进行比对,得到比对结果;根据比对结果确定策略表的调整信息。
可选地,根据比对结果确定策略表的调整信息包括:确定相同的数据处理策略在排序列表和策略表中的位置差异信息;根据位置差异信息以及数据处理策略在策略表中的优先级,确定数据处理策略的调整方向和调整幅度,并将调整方向和调整幅度确定为调整信息,其中,调整方向用于指示在策略表中移动数据处理策的前后方向,调整幅度同于指示在策略表中移动数据处理策时跨越的级别数。
可选地,基于调整信息调整策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表包括:接收用户基于调整信息确定的目标调整信息,并基于目标调整信息调整策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表。
可选地,在基于调整信息调整策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表之后,该方法还包括:获取新建会话产生的数据包的五元组信息,并将五元组信息与更新后的策略表中的数据处理策略进行匹配,得到目标策略,其中,目标策略为匹配到的数据处理策略中优先级最高的数据处理策略;根据目标策略处理新建会话产生的数据包。
根据本申请的另一方面,提供了一种数据处理装置。该装置包括:获取单元,用于在预设时间段内,获取流经网络设备的各个数据包的五元组信息;匹配单元,用于将各个数据包的五元组信息与策略表中的数据处理策略进行匹配,得到匹配结果,其中,策略表中包括具有优先级顺序的多个数据处理策略,以及每个数据处理策略对应的五元组信息集合,匹配结果包括各个数据处理策略被匹配到的次数;确定单元,用于基于匹配结果确定策略表的调整信息,其中,调整信息用于指示调整策略表中的各个数据处理策略的优先级顺序;调整单元,用于基于调整信息调整策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表。
根据本发明实施例的另一方面,还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,程序运行时控制非易失性存储介质所在的设备执行一种数据处理方法。
根据本发明实施例的另一方面,还提供了一种电子装置,包含处理器和存储器;存储器中存储有计算机可读指令,处理器用于运行计算机可读指令,其中,计算机可读指令运行时执行一种数据处理方法。
通过本申请,采用以下步骤:在预设时间段内,获取流经网络设备的各个数据包的五元组信息;将各个数据包的五元组信息与策略表中的数据处理策略进行匹配,得到匹配结果,其中,策略表中包括具有优先级顺序的多个数据处理策略,以及每个数据处理策略对应的五元组信息集合,匹配结果包括各个数据处理策略被匹配到的次数;基于匹配结果确定策略表的调整信息,其中,调整信息用于指示调整策略表中的各个数据处理策略的优先级顺序;基于调整信息调整策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表,解决了相关技术中通过预估的五元组信息人工调整防火墙的安全策略的优先级,调整效率低下,且调整后的安全策略难以满足流量处理需求的问题。通过采集数据包的五元组信息调整策略表中的各个数据处理策略的优先级顺序,进而达到了提高调整效率,提高数据处理策略与流量处理的适配度的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的数据处理方法的流程图;
图2是根据本申请实施例提供的数据处理方法的示意图;
图3是根据本申请实施例提供的数据处理装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本申请的实施例,提供了一种数据处理方法。
图1是根据本申请实施例的数据处理方法的流程图。如图1所示,该方法包括以下步骤。
步骤S102,在预设时间段内,获取流经网络设备的各个数据包的五元组信息。
需要说明的是,网络设备可以为网络防火墙设备,通过网络防火墙进行安全控制,具体地,通过对需要新建会话的数据包的五元组信息与配置的策略表中的数据处理策略的五元组列表进行比对,从而获得匹配的最高优先级的数据处理策略,并通过最高优先级的数据处理策略对新建会话的数据包进行处理。
其中,数据包的五元组信息可以包括源安全域,源IP地址,目的安全域,目的IP地址,服务类型,其中,源安全域和目的安全域由数据包进出防火墙设备的接口来决定,服务类型由目的端口号和传输层协议号组合确定。
可以直接获取数据包的五元组信息,也可以间接获取数据包的五元组信息,可选地,在本申请实施例提供的数据处理方法中,在预设时间段内,获取流经网络设备的各个数据包的五元组信息包括:扫描流经网络设备的数据包,得到数据包的五元组信息;或者获取数据包流经网络设备时产生的日志信息,并从日志信息中提取数据包的五元组信息。
具体地,可以通过网络设备直接扫描收到的数据包,得到数据包的五元组信息,或间接地从已记录的新建会话日志中获得数据包的五元组信息。
步骤S104,将各个数据包的五元组信息与策略表中的数据处理策略进行匹配,得到匹配结果,其中,策略表中包括具有优先级顺序的多个数据处理策略,以及每个数据处理策略对应的五元组信息集合,匹配结果包括各个数据处理策略被匹配到的次数。
需要说明的是,网络设备安全控制是通过对待新建会话的数据包的五元组与策略表中的数据处理策略的五元组信息集合进行比对,从而获得匹配的最高优先级数据处理策略,根据该数据处理策略已定义的功能对数据包采取对应的行为,以保证网络流量按照预定义的方式处理或丢弃的技术。因而,在调整策略表中的数据处理策略的优先级顺序之前,需要根据实时采集到的数据包的五元组信息与策略表中的数据处理策略进行匹配,得到各个数据处理策略被匹配到的次数。
可选地,在本申请实施例提供的数据处理方法中,五元组信息集合包括多个子集合,每个子集合由同一类型的元组信息构成,将各个数据包的五元组信息与策略表中的数据处理策略进行匹配,得到匹配结果包括:将五元组信息与各个数据处理策略对应的五元组信息集合进行匹配,在五元组信息中的每元组信息分别在一个五元组信息集合中对应的子集合中存在的情况下,确定五元组信息集合对应的数据处理策略被匹配到。
需要说明的是,每个数据处理策略对应的五元组信息不止为单一的一组五元组信息,而是对应有五元组信息集合,例如,五元组信息集合包括5个子集合,分别为源安全域对应的子集合,源IP地址对应的子集合,目的安全域对应的子集合,目的IP地址对应的子集合,服务类型对应的子集合,每个子集合中可以包括一个或多个同类型的信息。
具体地,分别将待比对的五元组信息分别与一个数据处理策略对应的5个子集合进行匹配,在5个子集合中均存在对应的元组信息的情况下,确定该数据处理策略被匹配到。也即,一个数据处理策略可以被多组不同的五元组信息被匹配到,一组五元组信息也可以匹配到多个不同的数据处理策略。与在线匹配只获得最高优先级的一条数据处理策略不同,可以获得所有可能的匹配结果,从而挖掘出被多次匹配的低优先级的数据处理策略,为数据处理策略的优先级调整奠定了数据基础。
步骤S106,基于匹配结果确定策略表的调整信息,其中,调整信息用于指示调整策略表中的各个数据处理策略的优先级顺序。
需要说明的是,为了获得最好的数据包转发效率,最高优先级的数据处理策略要尽早被匹配到。而在数据包流经网络设备的过程中,存在数据包匹配次数最多的并非预设设定的最高优先级的数据处理策略,因而,需要根据匹配结果确定调整信息,从而调整策略表中的各个数据处理策略的优先级顺序。
可选地,在本申请实施例提供的数据处理方法中,基于匹配结果确定策略表的调整信息包括:确定策略表中的各个数据处理策略被匹配到的次数;根据被匹配到的次数对各个数据处理策略进行排序,得到排序列表;将排序列表中的数据处理策略的顺序与策略表中的数据处理策略的顺序进行比对,得到比对结果;根据比对结果确定策略表的调整信息。
具体地,按照被匹配到的次数从大到小的顺序对各个数据处理策略进行排序,得到排序列表,排序列表中的数据处理策略的顺序与策略表中的数据处理策略的顺序存在不一致的情况,将二者进行对比,从而得到用于调整策略表中的各个数据处理策略的优先级顺序的调整信息。
可选地,在本申请实施例提供的数据处理方法中,根据比对结果确定策略表的调整信息包括:确定相同的数据处理策略在排序列表和策略表中的位置差异信息;根据位置差异信息以及数据处理策略在策略表中的优先级,确定数据处理策略的调整方向和调整幅度,并将调整方向和调整幅度确定为调整信息,其中,调整方向用于指示在策略表中移动数据处理策的前后方向,调整幅度同于指示在策略表中移动数据处理策时跨越的级别数。
例如,一条数据处理策略在排序列表中处于第一位,而在策略表中处于第四位,该数据处理策略的调整方向为向上调整,位置差异为3,数据处理策略在策略表中的优先级为1,调整幅度可以根据位置差异信息以及数据处理策略在策略表中的优先级共同确定,例如,位置差异信息和优先级分别对应的权重为0.5,得到的调整幅度为3X0.5+1X0.5=2,调整信息指示可以将处理策略向上调整2位,也即,调整至策略表中的第二位。
步骤S108,基于调整信息调整策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表。
具体地,根据对应的调整信息分别更新策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表。
为了使得更新后的策略表更能满足用户的需求,可选地,在本申请实施例提供的数据处理方法中,基于调整信息调整策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表包括:接收用户基于调整信息确定的目标调整信息,并基于目标调整信息调整策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表。
具体地,用于在查看调整信息后,可以自定义目标调整信息,从而根据用户自定义的目标调整信息调整策略表中的各个数据处理策略的优先级顺序,避免了直接根据匹配结果确定的调整信息难以满足用户的个性化的调整需求的问题。
可选地,在本申请实施例提供的数据处理方法中,在基于调整信息调整策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表之后,该方法还包括:获取新建会话产生的数据包的五元组信息,并将五元组信息与更新后的策略表中的数据处理策略进行匹配,得到目标策略,其中,目标策略为匹配到的数据处理策略中优先级最高的数据处理策略;根据目标策略处理新建会话产生的数据包。
具体地,由于更新后的策略表是根据前一时段实时采集的数据包的五元组信息确定的,在得到更新后的策略表之后,将新建会话产生的数据包的五元组信息与更新后的策略表中的数据处理策略进行匹配,得到目标策略可以更好地处理新建会话产生的数据包。
本申请实施例提供的数据处理方法,通过在预设时间段内,获取流经网络设备的各个数据包的五元组信息;将各个数据包的五元组信息与策略表中的数据处理策略进行匹配,得到匹配结果,其中,策略表中包括具有优先级顺序的多个数据处理策略,以及每个数据处理策略对应的五元组信息集合,匹配结果包括各个数据处理策略被匹配到的次数;基于匹配结果确定策略表的调整信息,其中,调整信息用于指示调整策略表中的各个数据处理策略的优先级顺序;基于调整信息调整策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表,解决了相关技术中通过预估的五元组信息人工调整防火墙的安全策略的优先级,调整效率低下,且调整后的安全策略难以满足流量处理需求的问题。通过采集数据包的五元组信息调整策略表中的各个数据处理策略的优先级顺序,进而达到了提高调整效率,提高数据处理策略与流量处理的适配度的效果。
在一种可选的实施例中,本申请实施例还提供了一种数据处理方法,如图2所示:
网络设备为防火墙设备,管理员手工启动防火墙流量采样功能,实时获取需要新建会话的数据包五元组信息,并设置为自动输入到离线策略分析模块。离线策略分析模块中存储有离线安全策略匹配算法,调用离线安全策略匹配算法,获得一段时间内五元组信息对应的匹配策略,并对匹配到的策略进行统计和排序,根据被匹配次数最确定策略列表。将策略列表与配置的策略顺序进行比对,确定差别最大的策略(配置优先级低但匹配次数高),并给出调整建议。经过一段时间的正常使用,管理员登录用户界面,在管理员用户界面显示策略优化建议列表。管理员可以选择手工或自动方式对配置策略顺序进行相应的调整,具体地,根据策略优化建议,选择需要优化的策略,手动移动到较高优先级位置或一键自动移动到最高优先级位置。。
通过本实施例,引入流量采样与离线匹配优化分析,获得精确的防火墙安全策略配置优先级调整建议,使得管理员在不需要大量手工参与的情况下,对策略进行实时优化,减少了后续数据包的策略匹配时间,提高了防火墙新建连接速度,人工操作减少到最小程度,避免了资源的浪费。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种数据处理装置,需要说明的是,本申请实施例的数据处理装置可以用于执行本申请实施例所提供的用于数据处理方法。以下对本申请实施例提供的数据处理装置进行介绍。
图3是根据本申请实施例的数据处理装置的示意图。如图3所示,该装置包括:第一获取单元10、匹配单元20、确定单元30和调整单元40。
具体地,第一获取单元10,用于在预设时间段内,获取流经网络设备的各个数据包的五元组信息。
匹配单元20,用于将各个数据包的五元组信息与策略表中的数据处理策略进行匹配,得到匹配结果,其中,策略表中包括具有优先级顺序的多个数据处理策略,以及每个数据处理策略对应的五元组信息集合,匹配结果包括各个数据处理策略被匹配到的次数。
确定单元30,用于基于匹配结果确定策略表的调整信息,其中,调整信息用于指示调整策略表中的各个数据处理策略的优先级顺序。
调整单元40,用于基于调整信息调整策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表。
本申请实施例提供的数据处理装置,通过第一获取单元10在预设时间段内,获取流经网络设备的各个数据包的五元组信息;匹配单元20将各个数据包的五元组信息与策略表中的数据处理策略进行匹配,得到匹配结果,其中,策略表中包括具有优先级顺序的多个数据处理策略,以及每个数据处理策略对应的五元组信息集合,匹配结果包括各个数据处理策略被匹配到的次数;确定单元30基于匹配结果确定策略表的调整信息,其中,调整信息用于指示调整策略表中的各个数据处理策略的优先级顺序;调整单元40基于调整信息调整策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表,解决了相关技术中通过预估的五元组信息人工调整防火墙的安全策略的优先级,调整效率低下,且调整后的安全策略难以满足流量处理需求,且调整后的安全策略难以满足流量处理需求的问题,通过采集数据包的五元组信息调整策略表中的各个数据处理策略的优先级顺序,进而达到了提高调整效率,提高数据处理策略与流量处理的适配度的效果。
可选的,在本申请实施例提供的数据处理装置中,第一获取单元10包括:扫描模块,用于扫描流经网络设备的数据包,得到数据包的五元组信息;或者获取模块,用于获取数据包流经网络设备时产生的日志信息,并从日志信息中提取数据包的五元组信息。
可选的,在本申请实施例提供的数据处理装置中,五元组信息集合包括多个子集合,每个子集合由同一类型的元组信息构成,匹配单元20还用于将五元组信息与各个数据处理策略对应的五元组信息集合进行匹配,在五元组信息中的每元组信息分别在一个五元组信息集合中对应的子集合中存在的情况下,确定五元组信息集合对应的数据处理策略被匹配到。
可选的,在本申请实施例提供的数据处理装置中,基于确定单元30包括:第一确定模块,用于确定策略表中的各个数据处理策略被匹配到的次数;排序模块,用于根据被匹配到的次数对各个数据处理策略进行排序,得到排序列表;比对模块,用于将排序列表中的数据处理策略的顺序与策略表中的数据处理策略的顺序进行比对,得到比对结果;第二确定模块,用于根据比对结果确定策略表的调整信息。
可选的,在本申请实施例提供的数据处理装置中,第二确定模块包括:第一确定子模块,用于确定相同的数据处理策略在排序列表和策略表中的位置差异信息;第二确定子模块,用于根据位置差异信息以及数据处理策略在策略表中的优先级,确定数据处理策略的调整方向和调整幅度,并将调整方向和调整幅度确定为调整信息,其中,调整方向用于指示在策略表中移动数据处理策的前后方向,调整幅度同于指示在策略表中移动数据处理策时跨越的级别数。
可选的,在本申请实施例提供的数据处理装置中,调整单元40还用于接收用户基于调整信息确定的目标调整信息,并基于目标调整信息调整策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表。
可选的,在本申请实施例提供的数据处理装置中,装置还包括:第二获取单元,用于在基于调整信息调整策略表中的各个数据处理策略的优先级顺序,得到更新后的策略表之后,获取新建会话产生的数据包的五元组信息,并将五元组信息与更新后的策略表中的数据处理策略进行匹配,得到目标策略,其中,目标策略为匹配到的数据处理策略中优先级最高的数据处理策略;处理单元,用于根据目标策略处理新建会话产生的数据包。
数据处理装置包括处理器和存储器,上述获取单元10、匹配单元20、确定单元30和调整单元40等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来解决相关技术中通过预估的五元组信息人工调整防火墙的安全策略的优先级,调整效率低下,且调整后的安全策略难以满足流量处理需求的问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本申请实施例还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,程序运行时控制非易失性存储介质所在的设备执行一种数据处理方法。
本申请实施例还提供了一种电子装置,包含处理器和存储器;存储器中存储有计算机可读指令,处理器用于运行计算机可读指令,其中,计算机可读指令运行时执行一种数据处理方法。本文中的电子装置可以是服务器、PC、PAD、手机等。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (7)
1.一种数据处理方法,其特征在于,包括:
启动网络设备的流量采样功能,在预设时间段内,获取流经网络设备的各个数据包的五元组信息,其中,所述数据包为需要新建会话的数据包;
在离线环境下,将各个所述数据包的所述五元组信息与策略表中的数据处理策略进行匹配,得到匹配结果,其中,所述策略表中包括具有优先级顺序的多个数据处理策略,以及每个所述数据处理策略对应的五元组信息集合,所述匹配结果包括各个所述数据处理策略被匹配到的次数;
所述五元组信息集合包括多个子集合,每个所述子集合由同一类型的元组信息构成,所述将各个所述数据包的所述五元组信息与策略表中的数据处理策略进行匹配,得到匹配结果包括:将所述五元组信息与各个所述数据处理策略对应的五元组信息集合进行匹配,在所述五元组信息中的每元组信息分别在一个所述五元组信息集合中对应的子集合中存在的情况下,确定所述五元组信息集合对应的所述数据处理策略被匹配到;
基于所述匹配结果确定所述策略表的调整信息,其中,所述调整信息用于指示调整所述策略表中的各个所述数据处理策略的优先级顺序;
基于所述调整信息调整所述策略表中的各个所述数据处理策略的优先级顺序,得到更新后的策略表,下发所述更新后的策略表,并根据所述更新后的策略表处理新建会话产生的数据包;
其中,所述基于所述匹配结果确定所述策略表的调整信息包括:确定所述策略表中的各个所述数据处理策略被匹配到的次数,其中,在所述离线环境下,一组五元组信息存在同时匹配到多个不同的数据处理策略的可能性;根据所述被匹配到的次数对各个所述数据处理策略进行排序,得到排序列表;将所述排序列表中的所述数据处理策略的顺序与所述策略表中的所述数据处理策略的顺序进行比对,得到比对结果;根据所述比对结果确定所述策略表的调整信息;
其中,根据所述比对结果确定所述策略表的调整信息包括:确定相同的所述数据处理策略在所述排序列表和所述策略表中的位置差异信息;根据所述位置差异信息以及所述数据处理策略在所述策略表中的优先级,确定所述数据处理策略的调整方向和调整幅度,并将所述调整方向和所述调整幅度确定为所述调整信息,其中,所述调整方向用于指示在所述策略表中移动所述数据处理策的前后方向,所述调整幅度用于指示在所述策略表中移动所述数据处理策时跨越的级别数,所述位置差异信息和所述数据处理策略在所述策略表中的优先级分别对应相应的权重,确定所述数据处理策略的调整幅度为包括:将位置差异信息和所述数据处理策略在所述策略表中的优先级的值分别和相应的权重进行加权求和,获得所述调整幅度。
2.根据权利要求1所述的方法,其特征在于,所述在预设时间段内,获取流经网络设备的各个数据包的五元组信息包括:
扫描流经所述网络设备的所述数据包,得到所述数据包的五元组信息;或者
获取所述数据包流经所述网络设备时产生的日志信息,并从所述日志信息中提取所述数据包的五元组信息。
3.根据权利要求1所述的方法,其特征在于,所述基于所述调整信息调整所述策略表中的各个所述数据处理策略的优先级顺序,得到更新后的策略表包括:
接收用户基于所述调整信息确定的目标调整信息,并基于所述目标调整信息调整所述策略表中的各个所述数据处理策略的优先级顺序,得到所述更新后的策略表。
4.根据权利要求1所述的方法,其特征在于,在所述基于所述调整信息调整所述策略表中的各个所述数据处理策略的优先级顺序,得到更新后的策略表之后,所述方法还包括:
获取新建会话产生的数据包的五元组信息,并将所述五元组信息与所述更新后的策略表中的数据处理策略进行匹配,得到目标策略,其中,所述目标策略为匹配到的数据处理策略中优先级最高的数据处理策略;
根据所述目标策略处理所述新建会话产生的数据包。
5.一种数据处理装置,其特征在于,包括:
第一获取单元,用于启动网络设备的流量采样功能,在预设时间段内,获取流经网络设备的各个数据包的五元组信息;
匹配单元,用于在离线环境下,将各个所述数据包的所述五元组信息与策略表中的数据处理策略进行匹配,得到匹配结果,其中,所述策略表中包括具有优先级顺序的多个数据处理策略,以及每个所述数据处理策略对应的五元组信息集合,所述匹配结果包括各个所述数据处理策略被匹配到的次数;
所述五元组信息集合包括多个子集合,每个所述子集合由同一类型的元组信息构成,所述匹配单元还用于将所述五元组信息与各个所述数据处理策略对应的五元组信息集合进行匹配,在所述五元组信息中的每元组信息分别在一个所述五元组信息集合中对应的子集合中存在的情况下,确定所述五元组信息集合对应的所述数据处理策略被匹配到;
确定单元,用于基于所述匹配结果确定所述策略表的调整信息,其中,所述调整信息用于指示调整所述策略表中的各个所述数据处理策略的优先级顺序;
调整单元,用于基于所述调整信息调整所述策略表中的各个所述数据处理策略的优先级顺序,得到更新后的策略表,下发所述更新后的策略表,并根据所述更新后的策略表处理新建会话产生的数据包;
其中,所述确定单元包括:第一确定模块,用于确定所述策略表中的各个所述数据处理策略被匹配到的次数,其中,在所述离线环境下,一组五元组信息存在同时匹配到多个不同的数据处理策略的可能性;排序模块,用于根据所述被匹配到的次数对各个所述数据处理策略进行排序,得到排序列表;比对模块,用于将所述排序列表中的所述数据处理策略的顺序与所述策略表中的所述数据处理策略的顺序进行比对,得到比对结果;第二确定模块,用于根据所述比对结果确定所述策略表的调整信息;
其中,所述第二确定模块包括:第一确定子模块,用于确定相同的所述数据处理策略在所述排序列表和所述策略表中的位置差异信息;第二确定子模块,用于根据所述位置差异信息以及所述数据处理策略在所述策略表中的优先级,确定所述数据处理策略的调整方向和调整幅度,并将所述调整方向和所述调整幅度确定为所述调整信息,其中,所述调整方向用于指示在所述策略表中移动所述数据处理策的前后方向,所述调整幅度用于指示在所述策略表中移动所述数据处理策时跨越的级别数,所述位置差异信息和所述数据处理策略在所述策略表中的优先级分别对应相应的权重,确定所述数据处理策略的调整幅度为包括:将位置差异信息和所述数据处理策略在所述策略表中的优先级的值分别和相应的权重进行加权求和,获得所述调整幅度。
6.一种非易失性存储介质,其特征在于,所非易失性存储介质包括存储的程序,其中,所述程序运行时控制所述非易失性存储介质所在的设备执行权利要求1至4中任意一项所述的数据处理方法。
7.一种电子装置,其特征在于,包含处理器和存储器,所述存储器中存储有计算机可读指令,所述处理器用于运行所述计算机可读指令,其中,所述计算机可读指令运行时执行权利要求1至4中任意一项所述的数据处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110962488.6A CN113794690B (zh) | 2021-08-20 | 2021-08-20 | 数据处理方法、装置、非易失性存储介质及处理器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110962488.6A CN113794690B (zh) | 2021-08-20 | 2021-08-20 | 数据处理方法、装置、非易失性存储介质及处理器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113794690A CN113794690A (zh) | 2021-12-14 |
| CN113794690B true CN113794690B (zh) | 2024-02-09 |
Family
ID=79181958
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110962488.6A Active CN113794690B (zh) | 2021-08-20 | 2021-08-20 | 数据处理方法、装置、非易失性存储介质及处理器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113794690B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114189572B (zh) * | 2021-12-16 | 2022-09-06 | 深圳市领创星通科技有限公司 | 一种包检测规则匹配方法、装置、网元及存储介质 |
| CN114301841B (zh) * | 2021-12-20 | 2024-02-06 | 山石网科通信技术股份有限公司 | 基于k8s的微隔离策略的处理方法和装置 |
| CN114900367B (zh) * | 2022-05-25 | 2024-05-03 | 东南大学 | 一种基于优先级动态调整的共享策略验证与冲突检测方法 |
| CN115334136B (zh) * | 2022-07-05 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 一种连接老化控制方法、系统、设备及存储介质 |
| CN115766180A (zh) * | 2022-11-09 | 2023-03-07 | 苏州浪潮智能科技有限公司 | 一种网络访问的控制方法、装置、电子设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101848190A (zh) * | 2009-03-23 | 2010-09-29 | 北京鼎信高科信息技术有限公司 | 基于ip地址集合和端口集合的数据包匹配处理方法 |
| CN108418801A (zh) * | 2018-02-01 | 2018-08-17 | 杭州安恒信息技术股份有限公司 | 一种基于大数据分析的防火墙策略优化方法及系统 |
| CN108768879A (zh) * | 2018-04-26 | 2018-11-06 | 新华三信息安全技术有限公司 | 一种策略优先级调整方法和装置 |
| CN109802960A (zh) * | 2019-01-08 | 2019-05-24 | 深圳中兴网信科技有限公司 | 防火墙策略处理方法及装置、计算机设备和存储介质 |
| CN111181964A (zh) * | 2019-12-30 | 2020-05-19 | 北京天融信网络安全技术有限公司 | 安全策略匹配方法、装置及网络设备、存储介质 |
-
2021
- 2021-08-20 CN CN202110962488.6A patent/CN113794690B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101848190A (zh) * | 2009-03-23 | 2010-09-29 | 北京鼎信高科信息技术有限公司 | 基于ip地址集合和端口集合的数据包匹配处理方法 |
| CN108418801A (zh) * | 2018-02-01 | 2018-08-17 | 杭州安恒信息技术股份有限公司 | 一种基于大数据分析的防火墙策略优化方法及系统 |
| CN108768879A (zh) * | 2018-04-26 | 2018-11-06 | 新华三信息安全技术有限公司 | 一种策略优先级调整方法和装置 |
| CN109802960A (zh) * | 2019-01-08 | 2019-05-24 | 深圳中兴网信科技有限公司 | 防火墙策略处理方法及装置、计算机设备和存储介质 |
| CN111181964A (zh) * | 2019-12-30 | 2020-05-19 | 北京天融信网络安全技术有限公司 | 安全策略匹配方法、装置及网络设备、存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| "基于统计分析方法的防火墙优化研究";张李;《CNKI》;20120115;第2章 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113794690A (zh) | 2021-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113794690B (zh) | 数据处理方法、装置、非易失性存储介质及处理器 | |
| US11245641B2 (en) | Methods and apparatus for application aware hub clustering techniques for a hyper scale SD-WAN | |
| CN111787060B (zh) | 一种流量调度方法、系统及装置 | |
| CN108063714B (zh) | 一种网络请求的处理方法及装置 | |
| US20130100803A1 (en) | Application based bandwidth control for communication networks | |
| US10073886B2 (en) | Search results based on a search history | |
| WO2014062940A1 (en) | System, method and apparatus of data interaction under load balancing | |
| CN103152391B (zh) | 一种日志输出方法和装置 | |
| CN104156365A (zh) | 一种文件的监控方法、装置及系统 | |
| US10783210B1 (en) | Dynamic generation of web browser links based on cognitive analysis | |
| CN106873958A (zh) | 一种应用编程接口的调用方法及装置 | |
| CN104427547A (zh) | 业务和网络关联测试方法、装置及系统 | |
| WO2019074515A1 (en) | ASSIGNMENT OF SUB-TASKS BASED ON DEVICE CAPACITY | |
| US9832704B2 (en) | Method and user terminal for dynamically controlling routing | |
| Kazi et al. | Evaluating the performance of POX and RYU SDN controllers using mininet | |
| CN111611512B (zh) | 一种网络代理的质量评估方法、装置、存储介质及处理器 | |
| CN108347465B (zh) | 一种选择网络数据中心的方法及装置 | |
| TW201638767A (zh) | 調整揚聲器設定値之技術 | |
| CN107436812B (zh) | 一种Linux系统性能优化的方法及装置 | |
| CN116341839A (zh) | 一种针对家政服务人员的订单推送方法、设备及介质 | |
| US20150039633A1 (en) | Duplicate station detection system | |
| CN110851822B (zh) | 网络下载安全处理方法和装置 | |
| US11343189B2 (en) | Systems and methods for augmenting TCAM bank processing with exact match | |
| CN112615754A (zh) | 基于大数据的网络波动安全处理方法和装置 | |
| CN111106982B (zh) | 一种信息过滤方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |