CN114726801A - 一种加密流量的转发方法和系统 - Google Patents

一种加密流量的转发方法和系统 Download PDF

Info

Publication number
CN114726801A
CN114726801A CN202210347708.9A CN202210347708A CN114726801A CN 114726801 A CN114726801 A CN 114726801A CN 202210347708 A CN202210347708 A CN 202210347708A CN 114726801 A CN114726801 A CN 114726801A
Authority
CN
China
Prior art keywords
encrypted
traffic
data
stacked
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210347708.9A
Other languages
English (en)
Other versions
CN114726801B (zh
Inventor
范维庭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Armyfly Technology Co Ltd
Original Assignee
Beijing Armyfly Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Armyfly Technology Co Ltd filed Critical Beijing Armyfly Technology Co Ltd
Priority to CN202210347708.9A priority Critical patent/CN114726801B/zh
Publication of CN114726801A publication Critical patent/CN114726801A/zh
Application granted granted Critical
Publication of CN114726801B publication Critical patent/CN114726801B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • H04L49/3009Header conversion, routing tables or routing tags
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种加密流量的转发方法和系统,该方法包括:获取加密流量数据,并根据加密流量数据对应的输入端口标识生成第一堆叠报文头;根据第一堆叠报文头和加密流量数据生成第一堆叠报文,并通过预设第一堆叠接口将第一堆叠报文发送至现场可编程逻辑门阵列;当检测到现场可编程逻辑门阵列通过预设第二堆叠接口发送的第二堆叠报文时,对第二堆叠报文进行解析获取加密流量数据,并对加密流量数据进行转发。本实施例提供的技术方案,通过现场可编程逻辑门阵列对加密流量数据进行识别,并根据现场可编程逻辑门阵列的加密流量识别结果执行对应不同的转发策略,可以实现对加密流量数据的准确识别,可以实现对加密流量数据的差异性转发。

Description

一种加密流量的转发方法和系统
技术领域
本发明实施例涉及以太网通信技术领域,尤其涉及一种加密流量的转发方法和系统。
背景技术
随着对网络安全要求的不断提高,加密流量在网络传输中所占的比重越来越大。实现交换机对加密流量的有效识别,进而根据识别结果执行对应不同的转发策略,对实现流量管理和应用安全监测等具有重要意义。
目前,现有的加密流量的转发方法,通常采用基于神经网络的深度学习方法,选择加密流量数据作为训练和测试样本,以获取具有加密流量识别能力的加密流量识别模型,进而采用获取的加密流量识别模型对加密流量数据进行识别,并根据识别结果确定对应的转发策略。然而,在现有技术中,交换机芯片很难满足加密流量识别模型的性能需求,故无法实现对所接收加密流量数据的有效识别,从而无法实现对不同分类的加密流量数据的差异性转发。
发明内容
本发明实施例提供一种加密流量的转发方法和系统,可以在需要对接收的加密流量进行转发时,克服交换机芯片性能对加密流量识别有效性的限制,可以实现对加密流量数据的高效和准确识别,可以实现对加密流量数据的差异性转发。
第一方面,本发明实施例提供了一种加密流量的转发方法,应用于由交换机芯片和现场可编程逻辑门阵列组成的加密流量的转发系统,所述方法由所述加密流量的转发系统的交换机芯片执行,包括:
获取加密流量数据,并根据所述加密流量数据对应的输入端口标识生成第一堆叠报文头;
根据所述第一堆叠报文头和所述加密流量数据生成第一堆叠报文,并通过预设第一堆叠接口将所述第一堆叠报文发送至所述现场可编程逻辑门阵列,以通过所述现场可编程逻辑门阵列,在基于预训练的目标加密流量识别模型成功获取所述第一堆叠报文中加密流量数据对应的目标流量分类时,基于所述第一堆叠报文生成第二堆叠报文;
当检测到所述现场可编程逻辑门阵列通过预设第二堆叠接口发送的第二堆叠报文时,对所述第二堆叠报文进行解析获取所述加密流量数据,并对所述加密流量数据进行转发。
第二方面,本发明实施例还提供了一种加密流量的转发方法,应用于由交换机芯片和现场可编程逻辑门阵列组成的加密流量的转发系统,所述方法由所述加密流量的转发系统的现场可编程逻辑门阵列执行,包括:
当检测到所述交换机芯片通过预设第一堆叠接口发送的第一堆叠报文时,对所述第一堆叠报文进行解析获取加密流量数据,以及与所述加密流量数据对应的输入端口标识;
通过预训练的目标加密流量识别模型对所述加密流量数据进行流量识别;
若通过预训练的目标加密流量识别模型成功获取所述加密流量数据对应的目标流量分类,则根据所述加密流量数据和与所述加密流量数据对应的输入端口标识生成第二堆叠报文;
通过预设第二堆叠接口将所述第二堆叠报文发送至所述交换机芯片,以通过所述交换机芯片对所述第二堆叠报文中的加密流量数据进行转发。
第三方面,本发明实施例还提供了一种加密流量的转发系统,包括:交换机芯片和现场可编程逻辑门阵列;
所述交换机芯片,用于执行本发明一实施例所述的加密流量的转发方法;
所述现场可编程逻辑门阵列,用于执行本发明另一实施例所述的加密流量的转发方法。
本发明实施例提供的技术方案,交换机芯片获取加密流量数据,并根据加密流量数据对应的输入端口标识生成第一堆叠报文头;之后根据第一堆叠报文头和加密流量数据生成第一堆叠报文,并通过预设第一堆叠接口将第一堆叠报文发送至现场可编程逻辑门阵列,以通过现场可编程逻辑门阵列,在基于预训练的目标加密流量识别模型成功获取第一堆叠报文中加密流量数据对应的目标流量分类时,基于第一堆叠报文生成第二堆叠报文;当检测到现场可编程逻辑门阵列通过预设第二堆叠接口发送的第二堆叠报文时,对第二堆叠报文进行解析获取加密流量数据,并对加密流量数据进行转发;通过现场可编程逻辑门阵列对加密流量数据进行识别,并根据现场可编程逻辑门阵列的加密流量识别结果执行对应不同的转发策略,可以克服交换机芯片性能对加密流量识别有效性的限制,实现对加密流量数据的高效和准确识别,从而可以实现对加密流量数据的差异性转发。
附图说明
图1是本发明一实施例中的一种加密流量的转发方法的流程图;
图2是本发明另一实施例中的一种加密流量的转发方法的流程图;
图3A是本发明另一实施例中的一种加密流量的转发系统的结构示意图;
图3B是本发明另一实施例中的另一种加密流量的转发系统的结构示意图;
图3C是本发明另一实施例中的另一种加密流量的转发系统的结构示意图;
图3D是本发明另一实施例中的另一种加密流量的转发系统的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的实施例。虽然附图中显示了本发明的某些实施例,然而应当理解的是,本发明可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本发明。应当理解的是,本发明的附图及实施例仅用于示例性作用,并非用于限制本发明的保护范围。
图1为本发明一实施例提供的一种加密流量的转发方法的流程图,本发明实施例可适用于交换机对接收的加密流量数据进行转发的情况;该方法可以应用于由交换机芯片和现场可编程逻辑门阵列组成的加密流量的转发系统,并由加密流量的转发系统的交换机芯片执行。如图1所示,该方法具体包括如下步骤:
S110、获取加密流量数据,并根据所述加密流量数据对应的输入端口标识生成第一堆叠报文头。
其中,加密流量数据,可以是交换机芯片接收到的需要进行转发的加密流量。输入端口标识,可以是加密流量数据输入至交换机芯片时,所使用端口的标识。在本实施例中,交换机芯片,可以是交换机设备中负责进行报文转发的集成电路;交换机设备,可以是三层交换机设备。
堆叠报文,可以包括堆叠报文头和堆叠报文体。需要说明的是,堆叠报文为具有堆叠性能的交换机芯片所收发的报文,而交换机芯片为了实现堆叠功能,会在堆叠端口收发堆叠报文时增加报文的路由相关信息,例如,输入端口标识、输出端口标识以及VLAN(Virtual Local Area Network,虚拟局域网)信息等。因此,在本实施例中,在获取到加密流量数据之后,可以确定该加密流量数据对应的输入端口标识,进而可以基于预设堆叠报文头格式,根据该输入端口标识生成对应的第一堆叠报文头。
S120、根据所述第一堆叠报文头和所述加密流量数据生成第一堆叠报文,并通过预设第一堆叠接口将所述第一堆叠报文发送至所述现场可编程逻辑门阵列,以通过所述现场可编程逻辑门阵列,在基于预训练的目标加密流量识别模型成功获取所述第一堆叠报文中加密流量数据对应的目标流量分类时,基于所述第一堆叠报文生成第二堆叠报文。
具体的,在获取到第一堆叠报文头之后,可以基于预设堆叠报文体格式,根据该加密流量数据生成堆叠报文体,进而可以将该第一堆叠报文头和对应的堆叠报文体进行组合,以获取第一堆叠报文。之后,可以通过预设第一堆叠接口将该第一堆叠报文发送至现场可编程逻辑门阵列(Field Programmable Gate Array,FPGA)。
其中,预设第一堆叠接口,为交换机芯片上预先设置的用于向FPGA发送堆叠报文的接口;对应的,交换机芯片上还存在一个用于接收FPGA发送的堆叠报文的预设第二堆叠接口。需要说明的是,预设第一堆叠接口和预设第二堆叠接口均为开启了堆叠功能的接口,例如,可以是开启了堆叠功能的万兆接口。因此,通过预设第一堆叠接口和预设第二堆叠接口,交换机芯片可以进行与FPGA之间堆叠报文的收发。
在现有技术中,通常直接通过交换机芯片基于深度学习方法对加密流量进行识别,然而,交换机芯片的性能通常有限,很难满足深度学习模型的性能需求,故无法实现对加密流量数据的有效识别。此外,对加密流量数据进行识别,会极大影响交换机芯片自身的数据路由性能,从而影响通信网络的数据传输效率。
针对上述问题,本实施例中,可以在交换机芯片的交换端口预先配置流量重定向到堆叠接口,此时,交换机芯片在通过交换端口接收到加密流量数据之后,不会对其直接进行识别和转发,而是将加密流量数据以堆叠报文的形式,通过预先配置的堆叠接口发送至FPGA,以通过FPGA对该加密流量数据进行识别。之后,FPGA可以根据对加密流量数据的识别结果,以判断是否需要对该加密流量数据进行转发,或者直接对该加密流量数据进行拦截。
由于FPGA具有可编程灵活性高、开发周期段以及并行计算可编程灵活性高的特点,故可以基于预训练的目标加密流量识别模型,实现对加密流量数据的高效和准确识别。同时通过FPGA对加密流量数据进行识别,可以克服交换机芯片性能对加密流量识别能力的限制,且不会对交换机芯片的数据路由性能造成任何影响,可以保证通信网络的数据传输效率。
其中,目标加密流量识别模型,可以基于预设卷积神经网络方法构建,例如,可以通过tenserflow基于卷积神经网络构建。在本实施例中,可以预先建立具有加密流量识别能力的目标加密流量识别模型,并将该目标加密流量识别模型存储至FPGA,以赋予FPGA对加密流量数据的识别能力。因此,FPGA在获取交换机芯片发送的加密流量数据之后,可以通过预先配置的目标加密流量识别模型对该加密流量数据进行流量识别,以确定其对应的目标流量分类。
在本实施例中,交换机芯片在将第一堆叠报文发送至FPGA之后,FPGA可以首先对该第一堆叠报文进行解析以获取加密流量数据和对应的输入端口标识。之后,FPGA可以通过预训练的目标加密流量识别模型对该加密流量数据进行流量识别。其中,FPGA若成功确定该加密流量数据对应的流量分类,例如,登录流量等,则表示该加密流量数据为已知流量分类的流量数据,此时可以根据该加密流量数据和对应的输入端口标识生成第二堆叠报文,即基于第一堆叠报文生成第二堆叠报文,并通过预设第二堆叠接口将该第二堆叠报文发送至交换机芯片。交换机芯片在接收到该第二堆叠报文之后,可以对该第二堆叠报文中的加密流量数据进行转发。
可选的,FPGA在成功确定该加密流量数据对应的流量分类之后,还可以对该加密流量数据对应的流量分类进行分析,若确定该流量分类为已知网络攻击流量,则可以对该加密流量数据进行丢弃,或者可以将该加密流量数据进行上报处理,可以实现对已知网络攻击流量的拦截。
此外,FPGA若未成功确定该加密流量数据对应的流量分类,则表示该加密流量数据可能是有害流量数据,例如,网络攻击流量等,此时FPGA可以直接对该加密流量数据进行丢弃,或者可以将该加密流量数据进行上报处理。
在本实施例中,通过上述设置,可以实现对交换端口接收的已知流量分类的加密流量数据的正常转发,以及对未知流量分类的异常加密流量数据的有效拦截和过滤,从而可以提升通信网络的安全性。S130、当检测到所述现场可编程逻辑门阵列通过预设第二堆叠接口发送的第二堆叠报文时,对所述第二堆叠报文进行解析获取所述加密流量数据,并对所述加密流量数据进行转发。
具体的,交换机芯片在接收到FPGA发送的第二堆叠报文之后,可以对该第二堆叠报文进行解析以获取加密流量数据和对应的输入端口标识,并在本地查找与该输入端口标识对应的输出端口标识,进而采用该输出端口标识对应的输出端口对该加密流量数据进行转发。
在本实施例的一个可选的实施方式中,对所述加密流量数据进行转发,可以包括:判断所述第二堆叠报文的堆叠报文头中是否包括目标输出端口标识;若是,则通所述目标输出端口标识对应的输出端口对所述加密流量数据进行转发;若否,则在预设路由表中获取所述输入端口标识对应的标准输出端口标识,并通过所述标准输出端口标识对应的输出端口对所述加密流量数据进行转发。
在本实施例中,FPGA在实现对加密流量数据的成功识别之后,还可以指定加密流量数据的输出端口,以使加密流量数据按照指定的转发逻辑进行转发。具体的,FPGA可以首先根据加密流量数据对应的输入端口标识,在本地存储中获取与该输入端口标识匹配的目标输出端口标识;之后,可以基于该目标输出端口标识生成堆叠报文头,并将该堆叠报文头和加密流量数据进行组合以获取第二堆叠报文。
此外,FPGA若无需指定加密流量数据的输出端口,则可以直接基于加密流量数据对应的输入端口标识生成堆叠报文头,并将该堆叠报文头和加密流量数据进行组合以获取第二堆叠报文。
在本实施例中,交换机芯片在接收到FPGA发送的第二堆叠报文之后,可以通过判断该第二堆叠报文的堆叠报文头中是否包括目标输出端口标识,以确定FPGA是否有指定该加密流量数据的输出端口。其中,若成功检测到目标输出端口标识,则可以直接采用该目标输出端口标识对应的输出端口对第二堆叠报文中的加密流量数据进行转发。而若未检测到目标输出端口标识,则可以在预设路由表中查找与该输入端口标识对应的标准输出端口标识,并采用与该标准输出端口标识对应的输出端口对该加密流量数据进行转发。
其中,预设路由表,可以包括预先设置的输入端口标识和标准输出端口标识之间的映射关系。标准输出端口标识,可以是为每一个输入端口标识预先设置的匹配的输出端口标识。在本实施例中,在FPGA未指定加密流量数据的输出端口时,交换机芯片将自动按照加密流量数据的输入端口标识匹配的标准输出端口标识,对加密流量数据进行转发,可以实现按照原有转发逻辑对加密流量数据的转发。
本发明实施例提供的技术方案,交换机芯片获取加密流量数据,并根据加密流量数据对应的输入端口标识生成第一堆叠报文头;之后根据第一堆叠报文头和加密流量数据生成第一堆叠报文,并通过预设第一堆叠接口将第一堆叠报文发送至现场可编程逻辑门阵列,以通过现场可编程逻辑门阵列,在基于预训练的目标加密流量识别模型成功获取第一堆叠报文中加密流量数据对应的目标流量分类时,基于第一堆叠报文生成第二堆叠报文;当检测到现场可编程逻辑门阵列通过预设第二堆叠接口发送的第二堆叠报文时,对第二堆叠报文进行解析获取加密流量数据,并对加密流量数据进行转发;通过现场可编程逻辑门阵列对加密流量数据进行识别,并根据现场可编程逻辑门阵列的加密流量识别结果执行对应不同的转发策略,可以克服交换机芯片性能对加密流量识别有效性的限制,实现对加密流量数据的高效和准确识别,从而可以实现对加密流量数据的差异性转发。
图2为本发明另一实施例提供的一种加密流量的转发方法的流程图,本发明实施例可适用于交换机对接收的加密流量数据进行转发的情况;该方法可以应用于由交换机芯片和现场可编程逻辑门阵列组成的加密流量的转发系统,并由所述加密流量的转发系统的现场可编程逻辑门阵列执行。具体的,参考图2,该方法具体包括如下步骤:
S210、当检测到所述交换机芯片通过预设第一堆叠接口发送的第一堆叠报文时,对所述第一堆叠报文进行解析获取加密流量数据,以及与所述加密流量数据对应的输入端口标识。
在本实施例中,FPGA在接收到交换机芯片通过预设第一堆叠接口发送的第一堆叠报文之后,可以在该第一堆叠报文的堆叠报文头中获取加密流量数据对应的输入端口标识,同时可以在该第一堆叠报文的堆叠报文体中获取加密流量数据。
S220、通过预训练的目标加密流量识别模型对所述加密流量数据进行流量识别。
在本实施例的一个可选的实施方式中,在通过预训练的目标加密流量识别模型对所述加密流量数据进行流量识别之前,还可以包括:基于预设卷积神经网络方法建立初始加密流量识别模型,并获取所述交换机芯片对应的业务类型;根据所述交换机芯片对应的业务类型,获取标注完成的至少一个样本数据;采用标注完成的各样本数据对所述初始加密流量识别模型进行有监督训练,获取训练完成的初始加密流量识别模型作为目标加密流量识别模型。
需要说明的是,交换机芯片所负责的业务类型与其在通信网络中所处的位置相关,故一个交换机芯片通常只负责固定的一类或者几类业务类型,也即交换机芯片处理的加密流量数据的流量分类相对固定。因此,在基于预设卷积神经网络方法建立初始加密流量识别模型之后,可以根据当前交换机芯片对应的业务类型,获取对应的具有流量分类标签的样本数据(例如,历史加密流量数据)。
进一步的,可以采用具有流量分类标签的样本数据对建立的初始加密流量识别模型进行有监督训练,以获取训练完成的初始加密流量识别模型,即目标加密流量识别模型。具体的,通过初始加密流量识别模型对样本数据进行识别,以获取识别结果,并将识别结果与流量分类标签进行对比。若两者不一致,调整初始加密流量识别模型参数,以获取中间加密流量识别模型,并继续采用该中间加密流量识别模型对样本数据进行识别以获取识别结果。重复上述过程,直至获取的识别结果与对应的流量分类标签完全一致,或者达到预设的迭代次数,将最终的中间加密流量识别模型确定为目标加密流量识别模型。
S230、若通过预训练的目标加密流量识别模型成功获取所述加密流量数据对应的目标流量分类,则根据所述加密流量数据和与所述加密流量数据对应的输入端口标识生成第二堆叠报文。
具体的,FPGA若通过目标加密流量识别模型成功获取该加密流量数据对应的目标流量分类,则表示实现了对该加密流量数据的成功识别,此时可以基于该加密流量数据对应的输入端口标识生成堆叠报文头,并基于加密流量数据生成堆叠报文体,进而将堆叠报文头和堆叠报文体进行组合,以生成第二堆叠报文。
在本实施例的另一个可选的实施方式中,通过预训练的目标加密流量识别模型成功获取所述加密流量数据对应的目标流量分类,包括:将所述加密流量数据输入至预训练的目标加密流量识别模型,获取所述目标加密流量识别模型输出的所述加密流量数据对应的至少一个初始流量分类,以及与各所述初始流量分类对应的分类概率;根据与各所述初始流量分类对应的分类概率,在所述各初始流量分类中获取对应最大分类概率的候选流量分类;
若检测到所述候选流量分类对应的最大分类概率大于或者等于预设分类概率阈值,则将所述候选流量分类确定为所述加密流量数据对应的目标流量分类,并确定通过预训练的目标加密流量识别模型成功获取所述加密流量数据对应的目标流量分类。
在本实施例中,目标加密流量识别模型在对加密流量数据进行流量识别时,可以通过Softmax算法输出该加密流量数据对应的多个初始流量分类,以及与每个初始流量分类对应的分类概率。在各初始流量分类中,对应最大分类概率的初始流量分类即为目标加密流量识别模型确定的候选流量分类。例如,目标加密流量识别模型的输出为流量分类A,对应的分类概率10%;流量分类B,对应的分类概率为10%;以及流量分类C,对应的分类概率为80%;则最大分类概率为80%,候选流量分类为流量分类C。
进一步的,在确定候选流量分类和最大分类概率之后,当检测到该最大分类概率大于或者等于预设分类概率阈值,则可以将该候选流量分类确定为最终的目标流量分类。续前例,若预设分类概率阈值为70%,则最大分类概率80%大于预设分类概率阈值,此时可以将流量分类C确定为目标流量分类。
在本实施例中,通过上述设置,可以提升获取的加密流量数据对应的目标流量分类的准确度,从而可以提升对加密流量数据的识别准确度。
在本实施例的另一个可选的实施方式中,根据所述加密流量数据和与所述加密流量数据对应的输入端口标识生成第二堆叠报文,可以包括:根据所述加密流量数据对应的目标流量分类,获取所述加密流量数据对应的操作类型;若确定所述加密流量数据对应的操作类型为允许转发,则根据所述加密流量数据和与所述加密流量数据对应的输入端口标识生成第二堆叠报文。
在本实施例中,在FPGA中,可以预先设置流量分类与操作类型的对应关系;例如,流量分类A,操作类型为允许转发;流量分类B,操作类型为不许转发。因此,在获取到加密流量数据对应的目标流量分类之后,FPGA可以通过查找预先设置的映射关系,以获取与该目标流量分类对应的操作类型。若确定目标流量分类对应的操作类型为允许转发,则可以根据加密流量数据和对应的输入端口标识生成第二堆叠报文。此外,若确定目标流量分类对应的操作类型为不许转发,则FPGA可以对该加密流量数据进行丢弃或者上报。
在本实施例中,通过为不同流量分类的加密流量数据,设置不同的操作类型,可以实现对不同加密流量数据的灵活处理,可以提升对加密流量数据处理的灵活性。
在本实施例的另一个可选的实施方式中,根据所述加密流量数据和与所述加密流量数据对应的输入端口标识生成第二堆叠报文,可以包括:判断是否存储有与所述加密流量数据对应的输入端口标识匹配的目标输出端口标识;若确定存储有与所述加密流量数据对应的输入端口标识匹配的目标输出端口标识,则根据所述目标输出端口标识生成第二堆叠报文头,并根据所述第二堆叠报文头和所述加密流量数据生成第二堆叠报文;若确定未存储有与所述加密流量数据对应的输入端口标识匹配的目标输出端口标识,则根据所述输入端口标识生成第三堆叠报文头,并根据所述第三堆叠报文头和所述加密流量数据生成第二堆叠报文。
在本实施例中,FPGA在生成第二堆叠报文时,可以首先在本地存储中查找是否存在与该加密流量数据对应的输入端口标识匹配的目标输出端口标识;若确定存在,则表示FPGA为该输入端口的加密流量数据指定了输出端口。此时,可以基于目标输出端口标识生成第二堆叠报文头,同时基于加密流量数据生成堆叠报文体,并将该第二堆叠报文头和堆叠报文体进行组合以获取第二堆叠报文。
而若确定不存在与该加密流量数据对应的输入端口标识匹配的目标输出端口标识,则可以基于输入端口标识生成第三堆叠报文头,同时仍基于加密流量数据生成堆叠报文体,进而将该第三堆叠报文头和堆叠报文体进行组合以获取第二堆叠报文。
在本实施例中,通过查找与输入端口标识匹配的目标输出端口标识,并将该目标输出端口标识添加至第二堆叠报文中,可以确保交换机芯片在对加密流量数据进行转发时保留原有的转发逻辑,可以提升通信网络的稳定性。
S240、通过预设第二堆叠接口将所述第二堆叠报文发送至所述交换机芯片,以通过所述交换机芯片对所述第二堆叠报文中的加密流量数据进行转发。
在本实施例中,FPGA在生成第二堆叠报文之后,可以通过预设第二堆叠接口将该第二堆叠报文发送至交换机芯片。交换机芯片在接收到第二堆叠报文后,可以对该第二堆叠报文进行解析获取加密流量数据、输入端口标识和/或目标输出端口标识。若获取目标输出端口标识,则直接采用该目标输出端口标识对应的输出端口对该加密流量数据进行转发。若仅获取输入端口标识,则在预设路由表中查找与其对应的标准输出端口标识,之后采用该标准输出端口标识对应的输出端口对该加密流量数据进行转发。
本发明实施例提供的技术方案,FPGA在检测到交换机芯片通过预设第一堆叠接口发送的第一堆叠报文时,对第一堆叠报文进行解析获取加密流量数据,以及与加密流量数据对应的输入端口标识;之后通过预训练的目标加密流量识别模型对加密流量数据进行流量识别;若通过预训练的目标加密流量识别模型成功获取加密流量数据对应的目标流量分类,则根据加密流量数据和与加密流量数据对应的输入端口标识生成第二堆叠报文;进而通过预设第二堆叠接口将第二堆叠报文发送至交换机芯片,以通过交换机芯片对第二堆叠报文中的加密流量数据进行转发。通过在FPGA中设置加密流量识别模型,可以在确保交换机芯片的数据转发效率的同时,实现对加密流量数据的高效和准确识别,从而可以实现对异常加密流量数据的准确拦截,可以提升通信网络的安全性。
需要说明的是,本实施例的技术方案中,所涉及的用户个人信息的获取、存储和应用等,均符合相关法律法规的规定,且不违背公序良俗。
图3A为本发明另一实施例提供的一种加密流量的转发系统的结构示意图,加密流量的转发系统300,包括:交换机芯片310和现场可编程逻辑门阵列320;交换机芯片310和现场可编程逻辑门阵列320的数据交互流程如下:
交换机芯片310获取加密流量数据,并根据加密流量数据对应的输入端口标识生成第一堆叠报文头;之后根据第一堆叠报文头和加密流量数据生成第一堆叠报文,并通过预设第一堆叠接口311将第一堆叠报文发送至现场可编程逻辑门阵列320。现场可编程逻辑门阵列320当检测到交换机芯片310通过预设第一堆叠接口311发送的第一堆叠报文时,对第一堆叠报文进行解析获取加密流量数据,以及与加密流量数据对应的输入端口标识;然后通过预训练的目标加密流量识别模型对加密流量数据进行流量识别;若通过预训练的目标加密流量识别模型成功获取加密流量数据对应的目标流量分类,则根据加密流量数据和与加密流量数据对应的输入端口标识生成第二堆叠报文;最后通过预设第二堆叠接口312将第二堆叠报文发送至交换机芯片310,以通过交换机芯片310对第二堆叠报文中的加密流量数据进行转发。
交换机芯片310当检测到现场可编程逻辑门阵列320通过预设第二堆叠接口312发送的第二堆叠报文时,对第二堆叠报文进行解析获取加密流量数据,并对加密流量数据进行转发。其中,交换机芯片310判断第二堆叠报文的堆叠报文头中是否包括目标输出端口标识;若是,则通目标输出端口标识对应的输出端口对加密流量数据进行转发;若否,则在预设路由表中获取输入端口标识对应的标准输出端口标识,并通过标准输出端口标识对应的输出端口对加密流量数据进行转发。
可选的,如图3B所示,加密流量的转发系统300还可以包括中央处理模块(CentralProcessing Unit,CPU)330。所述现场可编程逻辑门阵列320,还可以用于在通过预训练的目标加密流量识别模型未成功获取所述加密流量数据对应的目标流量分类时,将所述加密流量数据发送至所述中央处理模块330;所述中央处理模块330,用于对所述现场可编程逻辑门阵列320发送的加密流量数据进行存储。
在本实施例中,对于FPGA320通过目标加密流量识别模型无法成功识别的加密流量数据,FPGA320可以将其发送至中央处理模块330,以使中央处理模块330对其进行存储和记录。此外,对于加密流量数据,FPGA320若成功识别其对应的与目标流量分类,但该目标流量分类对应的操作类型为不允许转发,FPGA320同样可以将其发送至中央处理模块330进行存储。
可选的,如图3C所示,所述现场可编程逻辑门阵列320可以包括存储模块321;所述存储模块321,用于对交换机芯片发送的第一堆叠报文,以及预训练的目标加密流量识别模型进行存储。例如,存储模块321,可以是双倍速率同步动态随机存储器(Double Data RateSynchronous Dynamic Random Access Memory,DDR SDRAM)。此外,存储模块321还可以对FPGA320中全部的配置信息进行存储,例如,预先配置的输入端口标识和目标输出端口标识之间的映射关系。
本发明实施例提供的技术方案,交换机芯片在接收到加密流量数据之后,通过预设第一堆叠接口采用堆叠报文的形式将该加密流量数据发送至FPGA;FPGA在接收到加密流量数据之后,采用预训练的目标加密流量识别模型对加密流量数据进行流量识别;若确定成功获取加密流量数据对应的目标流量分类,则重新采用堆叠报文的形式将加密流量数据发送至交换机芯片;交换机芯片在接收到加密流量数据时,可以采用加密流量数据的原始转发逻辑对加密流量数据进行转发,可以克服交换机芯片性能对加密流量识别有效性的限制,在确保交换机芯片的数据转发效率的同时,实现对加密流量数据的高效和准确识别,从而可以实现对异常加密流量数据的准确拦截,可以提升通信网络的安全性。
在本实施例的一个具体的实施方式中,加密流量的转发系统300的结构可以如图3D所示。具体的,交换机芯片310通过光纤接口进行加密流量数据的接收和发送,交换机芯片310和FPGA320之间通过预设第一堆叠接口311和预设第二堆叠接口312(两个10万兆接口XAUI)进行连接。交换机芯片310在接收到加密流量数据之后,通过预设第一堆叠接口311将该加密流量数据以堆叠报文的形式发送至FPGA320。FPGA320包括存储模块DDR321,用于对接收的堆叠报文和预训练的目标加密流量识别模型进行存储。
FPGA320在接收到交换机芯片310发送的加密流量数据之后,可以通过预训练的目标加密流量识别模型对加密流量数据进行流量识别,若成功获取加密流量数据对应的目标流量分类,则通过预设第二堆叠接口312采用堆叠报文的形式将加密流量数据发送至交换机芯片310。交换机芯片310在接收到FPGA320发送的堆叠报文后,对堆叠报文中的加密流量数据进行转发。FPGA320若未成功获取加密流量数据对应的目标流量分类,则可以基于高速串行计算机扩展总线标准协议(peripheral component interconnect express,PCIE),将加密流量数据发送至中央处理模块330(例如,LS2K等)进行存储。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术用户会理解,本发明不限于这里所述的特定实施例,对本领域技术用户来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。

Claims (10)

1.一种加密流量的转发方法,其特征在于,应用于由交换机芯片和现场可编程逻辑门阵列组成的加密流量的转发系统,所述方法由所述加密流量的转发系统的交换机芯片执行,包括:
获取加密流量数据,并根据所述加密流量数据对应的输入端口标识生成第一堆叠报文头;
根据所述第一堆叠报文头和所述加密流量数据生成第一堆叠报文,并通过预设第一堆叠接口将所述第一堆叠报文发送至所述现场可编程逻辑门阵列,以通过所述现场可编程逻辑门阵列,在基于预训练的目标加密流量识别模型成功获取所述第一堆叠报文中加密流量数据对应的目标流量分类时,基于所述第一堆叠报文生成第二堆叠报文;
当检测到所述现场可编程逻辑门阵列通过预设第二堆叠接口发送的第二堆叠报文时,对所述第二堆叠报文进行解析获取所述加密流量数据,并对所述加密流量数据进行转发。
2.根据权利要求1所述的方法,其特征在于,对所述加密流量数据进行转发,包括:
判断所述第二堆叠报文的堆叠报文头中是否包括目标输出端口标识;
若是,则通所述目标输出端口标识对应的输出端口对所述加密流量数据进行转发;
若否,则在预设路由表中获取所述输入端口标识对应的标准输出端口标识,并通过所述标准输出端口标识对应的输出端口对所述加密流量数据进行转发。
3.一种加密流量的转发方法,其特征在于,应用于由交换机芯片和现场可编程逻辑门阵列组成的加密流量的转发系统,所述方法由所述加密流量的转发系统的现场可编程逻辑门阵列执行,包括:
当检测到所述交换机芯片通过预设第一堆叠接口发送的第一堆叠报文时,对所述第一堆叠报文进行解析获取加密流量数据,以及与所述加密流量数据对应的输入端口标识;
通过预训练的目标加密流量识别模型对所述加密流量数据进行流量识别;
若通过预训练的目标加密流量识别模型成功获取所述加密流量数据对应的目标流量分类,则根据所述加密流量数据和与所述加密流量数据对应的输入端口标识生成第二堆叠报文;
通过预设第二堆叠接口将所述第二堆叠报文发送至所述交换机芯片,以通过所述交换机芯片对所述第二堆叠报文中的加密流量数据进行转发。
4.根据权利要求3所述的方法,其特征在于,在通过预训练的目标加密流量识别模型对所述加密流量数据进行流量识别之前,还包括:
基于预设卷积神经网络方法建立初始加密流量识别模型,并获取所述交换机芯片对应的业务类型;
根据所述交换机芯片对应的业务类型,获取标注完成的至少一个样本数据;
采用标注完成的各样本数据对所述初始加密流量识别模型进行有监督训练,获取训练完成的初始加密流量识别模型作为目标加密流量识别模型。
5.根据权利要求3所述的方法,其特征在于,通过预训练的目标加密流量识别模型成功获取所述加密流量数据对应的目标流量分类,包括:
将所述加密流量数据输入至预训练的目标加密流量识别模型,获取所述目标加密流量识别模型输出的所述加密流量数据对应的至少一个初始流量分类,以及与各所述初始流量分类对应的分类概率;
根据与各所述初始流量分类对应的分类概率,在所述各初始流量分类中获取对应最大分类概率的候选流量分类;
若检测到所述候选流量分类对应的最大分类概率大于或者等于预设分类概率阈值,则将所述候选流量分类确定为所述加密流量数据对应的目标流量分类,并确定通过预训练的目标加密流量识别模型成功获取所述加密流量数据对应的目标流量分类。
6.根据权利要求3所述的方法,其特征在于,根据所述加密流量数据和与所述加密流量数据对应的输入端口标识生成第二堆叠报文,包括:
根据所述加密流量数据对应的目标流量分类,获取所述加密流量数据对应的操作类型;
若确定所述加密流量数据对应的操作类型为允许转发,则根据所述加密流量数据和与所述加密流量数据对应的输入端口标识生成第二堆叠报文。
7.根据权利要求6所述的方法,其特征在于,根据所述加密流量数据和与所述加密流量数据对应的输入端口标识生成第二堆叠报文,包括:
判断是否存储有与所述加密流量数据对应的输入端口标识匹配的目标输出端口标识;
若确定存储有与所述加密流量数据对应的输入端口标识匹配的目标输出端口标识,则根据所述目标输出端口标识生成第二堆叠报文头,并根据所述第二堆叠报文头和所述加密流量数据生成第二堆叠报文;
若确定未存储有与所述加密流量数据对应的输入端口标识匹配的目标输出端口标识,则根据所述输入端口标识生成第三堆叠报文头,并根据所述第三堆叠报文头和所述加密流量数据生成第二堆叠报文。
8.一种加密流量的转发系统,其特征在于,包括:交换机芯片和现场可编程逻辑门阵列;
所述交换机芯片,用于执行权利要求1或2所述的方法;
所述现场可编程逻辑门阵列,用于执行权利要求3-7中任一项所述的方法。
9.根据权利要求8所述的系统,其特征在于,所述加密流量的转发系统还包括中央处理模块;
所述现场可编程逻辑门阵列,还用于在通过预训练的目标加密流量识别模型未成功获取所述加密流量数据对应的目标流量分类时,将所述加密流量数据发送至所述中央处理模块;
所述中央处理模块,用于对所述现场可编程逻辑门阵列发送的加密流量数据进行存储。
10.根据权利要求8所述的系统,其特征在于,所述现场可编程逻辑门阵列包括存储模块;
所述存储模块,用于对交换机芯片发送的第一堆叠报文,以及预训练的目标加密流量识别模型进行存储。
CN202210347708.9A 2022-04-01 2022-04-01 一种加密流量的转发方法和系统 Active CN114726801B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210347708.9A CN114726801B (zh) 2022-04-01 2022-04-01 一种加密流量的转发方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210347708.9A CN114726801B (zh) 2022-04-01 2022-04-01 一种加密流量的转发方法和系统

Publications (2)

Publication Number Publication Date
CN114726801A true CN114726801A (zh) 2022-07-08
CN114726801B CN114726801B (zh) 2024-03-29

Family

ID=82242485

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210347708.9A Active CN114726801B (zh) 2022-04-01 2022-04-01 一种加密流量的转发方法和系统

Country Status (1)

Country Link
CN (1) CN114726801B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150085704A1 (en) * 2013-09-20 2015-03-26 International Business Machines Corporation Virtual stacking of switches
WO2015106680A1 (zh) * 2014-01-14 2015-07-23 华为技术有限公司 堆叠实现方法及可堆叠设备
CN107306220A (zh) * 2016-04-18 2017-10-31 中兴通讯股份有限公司 报文转发方法及装置
CN111130946A (zh) * 2019-12-30 2020-05-08 联想(北京)有限公司 一种深度报文识别的加速方法、装置和存储介质
CN113037657A (zh) * 2021-03-23 2021-06-25 北京汇钧科技有限公司 流量的调度方法、装置、电子设备及计算机可读介质
CN113132257A (zh) * 2021-04-29 2021-07-16 杭州迪普信息技术有限公司 报文处理方法及装置
CN113315744A (zh) * 2020-07-21 2021-08-27 阿里巴巴集团控股有限公司 可编程交换机、流量统计方法、防御方法和报文处理方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150085704A1 (en) * 2013-09-20 2015-03-26 International Business Machines Corporation Virtual stacking of switches
WO2015106680A1 (zh) * 2014-01-14 2015-07-23 华为技术有限公司 堆叠实现方法及可堆叠设备
CN107306220A (zh) * 2016-04-18 2017-10-31 中兴通讯股份有限公司 报文转发方法及装置
CN111130946A (zh) * 2019-12-30 2020-05-08 联想(北京)有限公司 一种深度报文识别的加速方法、装置和存储介质
CN113315744A (zh) * 2020-07-21 2021-08-27 阿里巴巴集团控股有限公司 可编程交换机、流量统计方法、防御方法和报文处理方法
WO2022017249A1 (zh) * 2020-07-21 2022-01-27 阿里巴巴集团控股有限公司 可编程交换机、流量统计方法、防御方法和报文处理方法
CN113037657A (zh) * 2021-03-23 2021-06-25 北京汇钧科技有限公司 流量的调度方法、装置、电子设备及计算机可读介质
CN113132257A (zh) * 2021-04-29 2021-07-16 杭州迪普信息技术有限公司 报文处理方法及装置

Also Published As

Publication number Publication date
CN114726801B (zh) 2024-03-29

Similar Documents

Publication Publication Date Title
CN110445653B (zh) 网络状态预测方法、装置、设备及介质
US10547674B2 (en) Methods and systems for network flow analysis
EP3507960B1 (en) Clustering approach for detecting ddos botnets on the cloud from ipfix data
US20170099208A1 (en) Methodology to Improve the Anomaly Detection Rate
CN113206860B (zh) 一种基于机器学习和特征选择的DRDoS攻击检测方法
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN113489619B (zh) 一种基于时间序列分析的网络拓扑推断方法及装置
WO2021137138A1 (en) System and method for determining device attributes using a classifier hierarchy
Janabi et al. Convolutional neural network based algorithm for early warning proactive system security in software defined networks
CN109088862B (zh) 一种基于分布式系统的节点性质识别方法
CN108833430B (zh) 一种软件定义网络的拓扑保护方法
Liu et al. Semi-supervised encrypted traffic classification using composite features set
CN113328985A (zh) 一种被动物联网设备识别方法、系统、介质及设备
CN101741745B (zh) 识别对等网络应用流量的方法及其系统
Xu et al. [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN
CN102164182A (zh) 一种网络协议识别设备和方法
Najafimehr et al. DDoS attacks and machine‐learning‐based detection methods: A survey and taxonomy
Fenil et al. Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches
Du et al. A Lightweight Flow Feature‐Based IoT Device Identification Scheme
CN111291078B (zh) 一种域名匹配检测方法及装置
CN114726801B (zh) 一种加密流量的转发方法和系统
Vidhya Efficient classification of portscan attacks using Support Vector Machine
Mishra et al. A comparative study of unsupervised learning techniques and natural language processing in network traffic classification
Li et al. Composite lightweight traffic classification system for network management
Kim et al. A Model Training Method for DDoS Detection Using CTGAN under 5GC Traffic.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant