CN117792661A - 数据流量的访问控制方法、装置、电子设备及存储介质 - Google Patents

Abstract

本申请公开了一种数据流量的访问控制方法、装置、电子设备及存储介质，属于数据流量访问控制领域，用以提高数据流量访问控制的灵活性，所述方法包括：获取目标数据包；根据所述目标数据包的第一特征，通过目标模型，确定所述第一特征对应的第一操作，所述第一特征用于指示所述目标数据包的归属，所述目标模型用于记录数据包的特征与第一操作之间的对应关系；针对所述目标数据包，执行所述第一操作。

Description

数据流量的访问控制方法、装置、电子设备及存储介质

技术领域

本申请属于数据处理领域，具体涉及一种数据流量的访问控制方法、装置、电子设备及存储介质。

背景技术

通信技术的发展带动了在线业务的发展，海量的流量增长给网络安全带来了风险。攻击者可能通过注入恶意流量非法访问服务资源或妨碍合法业务正常进行。为有效保障网络用户的权益，可以在服务器或网络中部署流量访问控制技术以抵御潜在的恶意攻击。

相关接入网通常借助访问控制列表(ACL)实现基于角色的访问控制策略，限制非法用户或流量进入到网络。然而随着技术的不断发展，固定的策略难以应对动态变化的恶意流量。

发明内容

本申请实施例提供一种数据流量的访问控制方法、装置、电子设备及存储介质，能够应对动态变化的恶意流量。

第一方面，本申请实施例提供了一种数据流量的访问控制方法，该方法包括：获取目标数据包；根据所述目标数据包的第一特征，通过目标模型，确定所述第一特征对应的第一操作，所述第一特征用于指示所述目标数据包的归属，所述目标模型用于记录数据包的特征与第一操作之间的对应关系；针对所述目标数据包，执行所述第一操作。

第二方法，本申请实施例提供了一种数据流量的访问控制方法，该方法包括：训练目标模型，所述目标模型用于记录数据包的特征与第一操作之间的对应关系；将所述目标模型转换为安装程序，以使可编程交换机安装所述目标模型；将所述安装程序发送至可编程交换机。

第三方面，本申请实施例提供了一种数据流量的访问控制装置，该装置包括：获取模块，用于获取目标数据包；确定模块，用于根据所述目标数据包的第一特征，通过目标模型，确定所述第一特征对应的第一操作，所述第一特征用于指示所述目标数据包的归属，所述目标模型用于记录数据包的特征与第一操作之间的对应关系；执行模块，用于针对所述目标数据包，执行所述第一操作。

第四方面，本申请实施例提供了一种数据流量的访问控制装置，该装置包括：训练模块，用于训练目标模型，所述目标模型用于记录数据包的特征与第一操作之间的对应关系；转换模块，用于将所述目标模型转换为安装程序，以使可编程交换机安装所述目标模型；发送模块，用于将所述安装程序发送至可编程交换机。

第五方面，本申请实施例提供了一种电子设备，该电子设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第一方面所述的方法的步骤或者实现如第二方面所述的方法的步骤。

第六方面，本申请实施例提供了一种可读存储介质，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如第一方面所述的方法的步骤或者实现如第二方面所述的方法的步骤。

在本申请实施例中，通过获取目标数据包；根据所述目标数据包的第一特征，通过目标模型，确定所述第一特征对应的第一操作，所述第一特征用于指示所述目标数据包的归属，所述目标模型用于记录数据包的特征与第一操作之间的对应关系；针对所述目标数据包，执行所述第一操作，由于目标模型用于记录数据包的特征与第一操作之间的对应关系，因此能够通过目标模型根据目标数据包的第一特征，确定第一特征对应的第一操作，通过对该目标数据包执行第一操作以实现对目标数据包的转发等，提高了流量访问控制的准确性，数据流量的访问控制可在交换机内部以线速执行，并且能够在目标数据包到达服务端之前对目标数据包实现访问控制，避免的恶意数据流量对服务端的破坏，能够应对更加复杂灵活的攻击方式与动态变化的恶意流量的问题，提高了数据流量访问控制的灵活性。

附图说明

图1是本申请实施例提供的一种数据流量的访问控制方法的流程示意图；

图2是本申请实施例提供的一种数据流量的访问控制的流程示意图；

图3是本申请实施例提供的另一种数据流量的访问控制方法的流程示意图；

图4是本申请实施例提供的一种目标模型的部署及数据流量的访问控制流程示意图；

图5是本申请实施例提供的一种数据流量的访问控制的概览图；

图6是本申请实施例提供的一种数据流量的访问控制的系统拓扑图；

图7是本申请实施例提供的一种数据流量的访问控制装置的结构示意图；

图8是本申请实施例提供的另一种数据流量的访问控制装置的结构示意图；

图9是本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”等所区分的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。此外，说明书以及权利要求中“和/或”表示所连接对象的至少其中之一，字符“/”，一般表示前后关联对象是一种“或”的关系。

下面结合附图，通过具体的实施例及其应用场景对本申请实施例提供的数据流量的访问控制方法、装置、电子设备及存储介质进行详细地说明。

图1示出本发明的一个实施例提供的一种数据流量的访问控制方法，该方法可以由可编程交换机执行，该方法包括如下步骤：

步骤102：获取目标数据包。

具体的，用户在访问网络或者服务资源时，通常由用户终端发送用于请求网络资源的数据包至目标网络，或者发送用于请求服务资源的目标数据包至目标服务器。该目标数据包中可以包括目标数据包的源地址、目的地址、源端口、目的端口等，在此过程中，可编程交换机可以在目标数据包发送至服务端之前，获取该目标数据包，并对该目标数据包进行校验授权，判断该目标数据包是否为恶意流量，并根据判断结果确定是否将该目标数据包转发至服务端。

步骤104：根据所述目标数据包的第一特征，通过目标模型，确定所述第一特征对应的第一操作。

具体的，可以在可编程交换机中执行目标数据包的包头解析流程解析目标数据包以提取第一特征，例如，第一特征可以包括目标数据包对应的数据流持续时间、发包间隔、数据包链路层帧格式等，目标数据包的第一特征用于指示目标数据包的归属，需要提取的目标数据包的第一特征可以预先进行设定，在此不对第一特征作具体限定。

在获取到第一特征之后，可以将第一特征输入到目标模型中，该目标模型可以是决策树(Decision Tress，DT)模型，该目标模型中记录有数据包的特征与第一操作之间的对应关系，通过该目标模型，可以对第一特征进行处理，得到与该第一特征对应的第一操作，例如，通过该目标模型对第一特征进行处理，得到该目标数据包对应的第一操作为转发，又例如，通过该目标模型对第一特征进行处理，得到该目标数据包对应的第一操作为授权。

步骤104：针对所述目标数据包，执行所述第一操作。

具体的，在通过目标模型得到目标数据包对应的第一操作后，针对该目标数据包，执行其对应的第一操作，例如，若得到目标数据包对应的第一操作为转发，则将该目标数据包转发至服务端。

在本申请实施例中，通过获取目标数据包；根据所述目标数据包的第一特征，通过目标模型，确定所述第一特征对应的第一操作，所述第一特征用于指示所述目标数据包的归属，所述目标模型用于记录数据包的特征与第一操作之间的对应关系；针对所述目标数据包，执行所述第一操作，由于目标模型用于记录数据包的特征与第一操作之间的对应关系，因此能够通过目标模型根据目标数据包的第一特征，确定第一特征对应的第一操作，通过对该目标数据包执行第一操作以实现对目标数据包的转发等，提高了流量访问控制的准确性，数据流量的访问控制可在交换机内部以线速执行，并且能够在目标数据包到达服务端之前对目标数据包实现访问控制，避免的恶意数据流量对服务端的破坏，解决了难以应对更加复杂灵活的攻击方式与动态变化的恶意流量的问题，提高了数据流量访问控制的灵活性。

在一种实现方式中，在所述获取目标数据包之后，所述还包括：

根据网络控制节点设置的解析方式，解析所述目标数据包的包头；通过所述包头，提取所述第一特征，所述第一特征包括：数据流的持续时间、发包间隔、数据包链路层帧格式、网络层的协议号、传输层的端口号、应用层身份标识与用户位置中的至少一者。

目标数据包对应的第一特征通常包含在目标数据包的包头中，因此，在获取到目标数据包之后，可以执行数据包的包头解析流程，按照预设的解析方式解析目标数据包的包头以提取第一特征，例如可以解析包头字段、包头数据内容等信息进行特征提取，解析得到的第一特征可以包括：数据流的持续时间、发包间隔、数据包链路层帧格式、网络层的协议号、传输层的端口号、应用层身份标识与用户位置中的至少一者，其中，预设的解析方式可以是由网络控制平面的网络控制节点根据需求预先设置的，例如，针对数据包包头的解析方式可以为先解析数据包链路层协议头，再解析数据包网络层协议头，再解析数据包传输层协议头，最后再解析数据包应用层协议头。

图2示出的是本申请实施例提供的一种数据流量访问控制的流程示意图，如图2所示，可编程交换机在接收到目标数据包之后，可以以链路层协议头、网络侧协议头、传输层协议头、应用层协议头的顺序解析目标数据包的包头，该数据包包头的解析方式可以根据需求预先进行设定，在此不做具体限定，解析数据包得到的第一特征用于指示所述目标数据包的归属，在此也不对第一特征作具体限定。

这样，通过网络控制节点设置的解析方式，能够解析目标数据包的包头，提取得到第一特征，进而可以将该第一特征输入到目标模型中，得到目标数据包对应的第一操作。

在一种实现方式中，在确定所述第一操作为空集的情况下，所述方法还包括：

执行预设的第二操作，所述第二操作与所述第一操作不同。

具体的，若将目标数据包的第一特征输入到目标模型中，若得到第一特征对应的第一操作为空集，则说明该目标数据包为恶意流量，此时可以对目标数据包执行第二操作，该第二操作与第一操作不同，该第二操作可以包括告警，即，可以将该目标数据包告警显示给管理人员，提示由管理人员确定如何处理该目标数据包，该第二操作还可以包括丢弃，即，可以直接将该目标数据包丢弃，该第二操作可以预先由管理人员进行设定，在此不对该第二操作进行具体限定。

这样，可以在确定目标数据包对应的第一操作为空集的情况下，可以对该目标数据包执行第二操作，防止因无法确定目标数据包第一操作后，无法处理该目标数据包导致该目标数据包在可编程交换机中占用过多的资源，提高了数据的访问控制效率和灵活性。

在一种实现方式中，在根据所述目标数据包的第一特征，通过目标模型，确定所述第一特征对应的第一操作之前，所述方法还包括：

根据所述目标数据包的互联网协议地址IP五元组，确定所述目标数据包的归属，所述IP五元组包括：源地址、目的地址、源端口、目的端口和协议号；以所述五元组的哈希值作为查询键，通过寄存器构建的访问控制列表，确定目标数据包对应的待执行动作。

具体的，在可编程交换机中，存在由可编程交换机的寄存器构建的访问控制列表，该访问控制列表中记录有数据包和数据包对应的待执行动作，该待执行动作包括转发、丢弃、告警等，例如图2所示的访问控制列表，因此，可以在通过目标模型获取目标数据包对应的第一操作之前，可以先在该访问控制列表中查找是否存在该目标数据包对应的待执行动作，若存在，则针对目标数据包执行对应的待执行动作，若不存在，则通过目标模型获取目标数据包对应的第一操作。

上述的访问控制列表可以为哈希表，数据包在访问控制列表中与待执行动作的对应方式为，数据包的源地址、目的地址、源端口、目的端口和协议号为互联网协议地址IP五元组，该IP五元组的哈希值作为键(查询键)，数据包对应的待执行动作作为值，即根据数据包IP五元组的哈希值，可以在访问控制列表中获取到该哈希值对应的待执行动作，因此，可以先获取目标数据包IP五元组，该IP五元组可以确定目标数据包的归属，将该IP五元组的哈希值为查询键，在访问控制列表中查找与该查询键对应的待执行动作。在可编程交换机中，访问控制列表可以为哈希表，还可以为匹配表，数据包与待执行操作的具体匹配方式可以由管理人员预先进行设置，在此不做具体限定。

这样，通过根据目标数据包的互联网协议地址IP五元组，确定目标数据包的归属，IP五元组包括：源地址、目的地址、源端口、目的端口和协议号；以五元组的哈希值作为查询键，通过寄存器构建的访问控制列表，确定目标数据包对应的待执行动作，可以在访问控制列表记录有目标数据包对应的待执行动作的情况下，确定目标数据包对应待执行动作，这样即使不通过目标模型解析数据包也可以得到目标数据包对应的待执行动作，节约了资源、节省了时间，提高了数据流量访问控制的灵活性和效率。

在一种实现方式中，所述根据所述目标数据包的第一特征，通过目标模型，确定所述第一特征对应的第一操作，包括：

在未确定出所述待执行动作的情况下，根据寄存器指示从所述目标数据包的特征集提取所述第一特征输入所述目标模型；根据所述目标数据包的链路层采用的协议，确定流量类型以确定所述目标数据包的归属；根据所述目标数据包的归属，确定所述第一操作。

具体的，若在访问控制列表中未确定出待执行动作的情况下，则可以根据可编程交换机中的寄存器的指示从目标数据包的特征集中提取第一特征输入到目标模型中，可以根据数据包链路层采用的协议流量类型(数据流量类型)以确定目标的归属，例如来自移动终端或者有线终端，之后可以通过目标数据包的归属以及目标模型，对第一特征进行处理，得到与该第一特征对应的第一操作。

这样，通过在未确定出待执行动作的情况下，根据寄存器指示从目标数据包的特征集提取第一特征输入目标模型；根据数据包链路层采用的协议，确定流量类型以确定数据包的归属；根据数据包的归属，确定第一操作，能够在可编程交换机中确定针对目标数据包的第一操作，以对该目标数据包执行该第一操作，提高了流量访问控制的准确性、灵活性。

在一种实现方中，所述方法还包括：

根据所述第一操作，在访问控制列表记录所述目标数据包所属数据流的表项；在所述表项中，将所述目标数据包的IP五元组的哈希值作为键，所述第一操作为值进行存储。

具体的，在通过目标模型得到目标数据包对应的第一操作后，可以在访问控制列表中添加当前目标数据包数据流的表项，在该表项中，将该目标数据包的IP五元组的哈希值作为键，目标数据包对应的第一操作作为值进行存储。这样，若可编程交换机再次接收到该目标数据包时，可以直接从访问控制列表中得到该目标数据包对应的第一操作，并对该目标数据包执行该第一操作，节省了时间，提高了数据流量的访问控制的灵活性和效率。

在一种实现方式中，所述方法还包括：

接收安装程序；运行所述安装程序以安装所述目标模型。

具体的，目标模型由网络控制节点训练得到，可编程交换机需要接收由网络控制节点发送的用于安装目标模型的安装程序，在得到该安装程序后可以运行该安装程序以安装该目标模型，这样，能够在可编程交换机中安装目标模型，使得可编程交换机可以通过该目标模型确定针对目标数据包的第一操作，提高了流量访问控制的准确性，数据流量的访问控制可在交换机内部以线速执行，并且可以将目标模型根据网络中变化的攻击模式和安全需求进行更新，能够动态调整对于目标数据包的访问控制策略，提高了数据流量访问控制的灵活性，解决了难以应对更加复杂灵活的攻击方式与动态变化的恶意流量的问题。

在一种实现方式中，所述方法还包括：

接收网络控制节点的控制以更改寄存器预定位置的参数。

具体的，由于目标模型安装在可编程交换机的寄存器中，因此，管理人员可以通过控制节点远程更改寄存器预定位置的参数的取值以更新目标模型，因此，可编程交换机可以在接收到控制节点的控制时，根据该控制更改寄存器预定位置的参数的取值，以达到更新模型的目的，这样可以将目标模型根据网络中变化的攻击模式和安全需求进行更新，能够动态调整对于目标数据包的访问控制策略，提高了数据流量访问控制的灵活性，解决了难以应对更加复杂灵活的攻击方式与动态变化的恶意流量的问题。

图3示出本发明的一个实施例提供的另一种数据流量的访问控制方法的流程示意图，该方法可以由网络控制节点执行，该方法包括如下步骤：

步骤302：训练目标模型，所述目标模型用于记录数据包的特征与第一操作之间的对应关系。

具体的，在网络控制节点中，管理人员可以收集历史数据流量记录、访问策略、授权动作等进行数据处理，通过特征工程从历史数据流量记录、访问策略、授权动作等数据中提取影响确定数据流量对应的操作(操作授权)的结果的关键特征，建立表格化数据集。

读取上述的表格化数据集，将该表格化数据集分割为训练集与测试集，使用预设的决策树(Decision Tress，DT)模型拟合训练集的特征数据与训练集中的数据对应的操作训练得到目标模型，使用测试集验证目标模型的准确性能，此外，可以通过技术模型输出与数据集标注的交叉熵，验证性能损失以选出特定应用场景下的准确性最优的目标模型，例如图2所示，在网络控制平面的网络控制节点中，通过授权规则设置以及模型训练，得到目标模型，确定数据包的特征与第一操作之间的对应关系，并且可以根据需求对目标模型进行部署。

步骤304：将所述目标模型转换为安装程序，以使可编程交换机安装所述目标模型。

具体的，在训练得到目标模型之后，可以将目标模型转换为可编程交换机能够识别的安装程序，以使可编程交换机能够安装该目标模型。

步骤306：将所述安装程序发送至可编程交换机。

具体的，在将目标模型转换为可编程交换机能够识别的安装程序之后，可以将该安装程序发送至可编程交换机，以使可编程交换机能够安装该目标模型。

在本申请实施例中，通过训练目标模型，目标模型用于记录数据包的特征与第一操作之间的对应关系；将目标模型转换为安装程序，以使可编程交换机安装目标模型；将安装程序发送至可编程交换机，使得可编程交换机能够通过目标模型确定接收到的目标数据包对应的第一操作，并针对目标数据包执行该第一操作，以实现对目标数据包的转发等访问控制，提高了流量访问控制的准确性，使得数据流量的访问控制可在交换机内部以线速执行，解决了难以应对更加复杂灵活的攻击方式与动态变化的恶意流量的问题。

在一种实现方式中，所述将所述目标模型转换为安装程序，包括：

将所述目标模型输入模型转换组件；将所述目标模型的叶节点选取的特征与特征阈值转换为所述可编程交换机可读的赋值、条件判断与寄存器读取程序；将所述可读的赋值、条件判断与寄存器读取程序记录在所述安装程序中。

具体的，在网络控制节点训练得到目标模型之后，可以将目标模型输入模型转换组件，将目标模型叶节点选取的特征(例如数据流持续时间、发包间隔、协议号、端口号、身份标识、用户位置等)与特征阈值转换为可编程交换机能够读取的赋值、条件判断与寄存器读取程序，记录至上述的安装程序中。

这样，通过模型转换组件的转换模型，能够将目标模型的叶节点选取的特征与特征阈值转换为可编程交换机可读的赋值、条件判断与寄存器读取程序，将可读的赋值、条件判断与寄存器读取程序记录在安装程序中，使得可编程交换机能够识别上述的安装程序并安装目标模型，进而使得可编程交换机通过该目标模型能够确定目标数据包对应的第一操作，提高数据流量访问控制的准确性。

在一种实现方式中，在所述将所述目标模型转换为安装程序之前，所述方法还包括：

设置数据包的包头解析方式。

具体的，在网络控制节点中，可以设置针对数据包包头的解析方式，例如图2所示，可以进行数据包特征定义，例如设置针对数据包包头的解析方式可以为先解析数据包链路层协议头，再解析数据包网络层协议头，再解析数据包传输层协议头，最后再解析数据包应用层协议头，该数据包包头的解析方式可以根据需求预先进行设定，在此不做具体限定。

在设置完成数据包的包头解析方式之后，可以将该数据包的包头解析方式发送至可编程交换机，使得交换机可以按照该包头解析方式解析目标数据包的包头。

这样，就能够使得可编程交换机得到目标数据包的第一特征，进行使得可编程交换机能够根据该第一特征得到目标数据包对应的第一操作，并且，数据包包头的解析方式可以根据需求进行灵活的设定，能够提高数据流量访问控制的准确性和灵活性。

在一种实现方式中，在所述将所述安装程序发送至可编程交换机之后，所述方法还包括：周期性地更新所述目标模型；根据更新后的目标模型的参数，更新所述可编程交换机中的目标模型。

具体的，在网络控制节点将安装程序发送至可编程交换机、可编程交换机通过运行安装程序安装目标模型之后，网络控制节点可以根据网络中变化的恶意攻击模式和安全需求对目标模型进行更新，也可以周期性地更新所述目标模型。在网络控制节点更新目标模型之后，可以根据目标模型中的参数，控制可编程交换机更新寄存器中对应的参数，以在可编程交换机中对目标模型进行更新。这样，能够动态调整对于目标数据包的访问控制策略，提高了数据流量访问控制的灵活性，解决了难以应对更加复杂灵活的攻击方式与动态变化的恶意流量的问题。

在一种实现方式中，在所述将所述安装程序发送至可编程交换机之后，所述方法还包括：

根据更新后的目标模型的参数，控制所述可编程交换机更新寄存器预定位置的参数，以更新所述目标模型。

具体的，在对网络控制节点中的目标模型更新之后，可以获取更新之后的目标模型的参数，由于在可编程交换机中，目标模型安装在寄存器中，因此，管理人员可以根据该参数通过网络控制节点远程更改可编程交换机寄存器指定位置的参数，以完成目标模型的动态更新，这样，可以将目标模型根据网络中变化的攻击模式和安全需求进行更新，能够动态调整对于目标数据包的访问控制策略，提高了数据流量访问控制的灵活性，解决了难以应对更加复杂灵活的攻击方式与动态变化的恶意流量的问题。

图4示出本发明的一个实施例提供的一种目标模型的部署及数据流量的访问控制流程示意图，如图4所示，目标模型的部署流程及数据流量的访问控制流程包括如下步骤：

步骤402：训练目标模型。

具体的，在网络控制节点中，管理人员可以收集历史数据流量记录、访问策略、授权动作等进行数据处理，通过特征工程从历史数据流量记录、访问策略、授权动作等数据中提取影响确定数据流量对应的操作(操作授权)的结果的关键特征，建立表格化数据集。

读取该上述的表格化数据集，将该表格化数据集分割为训练集与测试集，使用预设的DT模型拟合训练集的特征数据与训练集中的数据对应的操作训练得到目标模型，使用测试集验证目标模型的准确性能，此外，可以通过技术模型输出与数据集标注的交叉熵，验证性能损失以选出特定应用场景下的准确性最优的目标模型。

图5示出的是本申请实施例提供的一种数据流量的访问控制的概览图，如图5所示，在网络控制节点中，可以获取用户特征、包头特征和授权动作策略等训练目标数据模型。

步骤404：将目标模型转换为可安装程序。

具体的，例如图5所示，在网络控制节点训练得到目标模型之后，可以将目标模型输入模型转换组件，将目标模型转换为可编程交换机能够识别的安装程序，并且可以将目标模型叶节点选取的特征(例如数据流持续时间、发包间隔、协议号、端口号、身份标识、用户位置等)与特征阈值转换为可编程交换机能够读取的赋值、条件判断与寄存器读取程序，记录至上述的安装程序中，以使可编程交换机能够安装该目标模型，网络控制节点可以根据服务端的访问控制策略变化更新目标模型，可以将目标模型根据网络中变化的攻击模式和安全需求进行更新，由于目标模型安装在可编程交换机的寄存器中，因此，可以根据更新后的目标模型的参数，远程控制可编程交换机更新寄存器预定位置的参数的取值，以更新目标模型。

步骤406：网络控制节点将可安装程序发送至可编程交换机。

具体的，在得到安装程序后，例如图5所示，网络控制节点可以将该安装程序发送至可编程交换机，以使可编程交换机能够安装该目标模型。

步骤408：可编程交换机接收并安装目标模型。

具体的，目标模型由网络控制节点训练得到，可编程交换机需要接收由网络控制节点发送的用于安装目标模型的安装程序，在得到该安装程序后可以运行该安装程序以安装该目标模型，这样，能够在可编程交换机中安装目标模型，使得可编程交换机可以通过该目标模型确定针对目标数据包的第一操作，提高了流量访问控制的准确性。

步骤410：接收用户侧发送的目标数据包。

具体的，例如图5所示，用户在访问各种网络或者各种服务资源时，通常由用户侧(请求终端)发送用于请求网络资源或者服务资源的目的数据包至目标网络或者目标服务器(服务端)，借此达到访问网络或者访问服务资源的目的，该目标数据包中可以包括目标数据包的源地址、目的地址、源端口、目的端口等，在此过程中，可编程交换机可以在目标数据包发送至服务端之前，获取该目标数据包，并对该目标数据包进行校验授权，判断该目标数据包是否为恶意流量，并根据判断结果确定是否将该目标数据包转发至服务端。

步骤412：获取目标数据包的第一特征。

具体的，目标数据包对应的第一特征通常包含在目标数据包的包头中，因此，在获取到目标数据包之后，可编程交换机可以执行数据包包头解析流程解析目标数据包以提取第一特征，即按照预设的解析方式解析目标数据包的包头以提取第一特征，例如可以解析包头字段、包头数据内容等信息进行特征提取，解析得到的第一特征可以包括：数据流的持续时间、发包间隔、数据包链路层帧格式、网络层的协议号、传输层的端口号、应用层身份标识与用户位置中的至少一者，其中，预设的解析方式可以是由网络控制节点根据需求预先设置的，在此不对上述的解析方式作具体限定，该第一特征用于指示所述目标数据包的归属，在此也不对第一特征作具体限定。

步骤414：根据目标数据包的第一特征，确定第一特征对应的第一操作。

在可编程交换机中，存在由可编程交换机的寄存器构建的访问控制列表，该访问控制列表中记录有数据包和数据包对应的待执行动作，该待执行动作包括转发、丢弃、告警，因此，可以在通过目标模型获取目标数据包对应的第一操作之前，可以现在该访问控制列表中查找是否存在该目标数据包对应的待执行动作，若存在，则针对目标数据包执行对应的待执行动作，若不存在，则通过目标模型获取目标数据包对应的第一操作，该访问控制列表可以为哈希表，数据包在访问控制列表中与待执行动作的对应方式为，数据包的源地址、目的地址、源端口、目的端口和协议号为IP五元组，该IP五元组的哈希值为键(查询键)，数据包对应的待执行动作为值，即根据数据包IP五元组的哈希值，可以在访问控制列表中获取到该哈希值对应的待执行动作(值)，因此，可以先获取目标数据包IP五元组，该IP五元组可以确定目标数据包的归属，将该IP五元组的哈希值为查询键，在访问控制列表中查找与该查询键对应的待执行动作。在可编程交换机中，访问控制列表可以为哈希表，还可以为匹配表，数据包与待执行操作的具体匹配方式可以由管理人员预先进行设置，在此不做具体限定。

若在访问控制列表中未确定出目标数据包对应的待执行动作的情况下，则可以根据可编程交换机中的寄存器的指示从目标数据包的特征集中提取第一特征输入到目标模型中，可以根据数据包链路层采用的协议确定目标的归属(数据流量类型)，例如来自移动终端或者有线终端，之后可以通过目标模型，对第一特征进行处理，得到与该第一特征对应的第一操作，例如，通过该目标模型对第一特征进行处理，得到该目标数据包对应的第一操作为转发。在得到第一特征对应的第一操作后，可以在访问控制列表中添加当前目标数据包数据流的表项，在该表项中，将该目标数据包的IP五元组的哈希值作为键，目标数据包对应的第一操作作为值进行存储。这样，若可编程交换机再次接收到该目标数据包时，可以直接从访问控制列表中得到该目标数据包对应的第一操作，并对该目标数据包执行该第一操作，节省了时间，提高了数据流量的访问控制的灵活性和效率。

此外，若将目标数据包的第一特征输入到目标模型中，得到第一特征对应的第一操作为空集的情况下，则说明该目标数据包为恶意流量，此时可以对目标数据包执行第二操作，该第二操作与第一操作不同，该第二操作可以包括告警，即，可以将该目标数据包告警显示给管理人员，提示由管理人员确定如何处理该目标数据包，该第二操作还可以包括丢弃，即，可以直接将该目标数据包丢弃，该第二操作可以预先由管理人员进行设定，在此不对该第二操作进行具体限定。

步骤416：针对目标数据包，执行第一操作。

具体的，在通过目标模型得到目标数据包对应的第一操作后，针对该目标数据包，执行其对应的第一操作，例如，若得到目标数据包对应的第一操作为转发，则将该目标数据包转发至服务端。

本发明实施例提供的数据流量的访问控制方法，通过在网络控制节点中训练目标模型，在可编程交换机中安装目标模型，在获取到目标数据包之后；根据目标数据包的第一特征，通过目标模型，确定第一特征对应的第一操作；第一特征用于指示目标数据包的归属，目标模型用于记录数据包的特征与第一操作之间的对应关系；针对目标数据包，执行第一操作，由于目标模型用于记录数据包的特征与第一操作之间的对应关系，因此能够通过目标模型根据目标数据包的第一特征，确定第一特征对应的第一操作，通过对该目标数据包执行第一操作以实现对目标数据包的转发等，提高了流量访问控制的准确性，数据流量的访问控制可在交换机内部以线速执行，并且能够在目标数据包到达服务端之前对目标数据包实现访问控制，避免的恶意数据流量对服务端的破坏，可以将目标模型根据网络中变化的攻击模式和安全需求进行更新，能够动态调整对于目标数据包的访问控制策略，提高了数据流量访问控制的灵活性，解决了难以应对更加复杂灵活的攻击方式与动态变化的恶意流量的问题。

示例性的，图6示出的是本申请实施例提供的一种数据流量的访问控制的系统拓扑图，下面结合图4和图6对本申请实施例提供的一种数据流量的访问控制方法进行示例性说明，在图6中，H1和H2表示发送数据包的用户侧终端，H3和H4表示提供各种业务的服务端，S1-S4为转发节点，转发节点由上述的可编程交换机组成，网络控制节点(未示出)可以与所有交换机通信，服务终端规定了能够访问服务的请求者的相关属性，并将对应策略告知网络管理者，网络控制节点需要建立访问控制模型，并部署至合适的可编程交换机。

在步骤402中，通过网络控制节点根据服务端规定的访问控制策略构建训练用表格化数据集，通上述的表格化数据集，将该表格化数据集分割为训练集与测试集，使用预设的DT模型拟合训练集的特征数据与训练集中的数据对应的操作训练得到目标模型，使用测试集验证目标模型的准确性能。

在步骤404中，将目标模型输入模型转换组件，将目标模型转换为可编程交换机能够识别的安装程序，并且可以将目标模型叶节点选取的特征(例如数据流持续时间、发包间隔、协议号、端口号、身份标识、用户位置等)与特征阈值转换为可编程交换机能够读取的赋值、条件判断与寄存器读取程序，记录至上述的安装程序中，得到安装程序后，将该安装程序下发至靠近用户侧终端的可编程交换机S1和S3的寄存器中。

在步骤404中，网络控制节点可以根据服务端的访问控制策略变化更新目标模型，即可以将目标模型根据网络中变化的攻击模式和安全需求进行更新，能够动态调整对于目标数据包的访问控制策略，更新模块模型，可以根据更新后的目标模型的参数，控制可编程交换机更新寄存器预定位置的参数，以更新目标模型，以更新目标模型。

在步骤410中，当合法用户终端H1向H3发送数据流量(目标数据包)时，将其H1的身份、位置、时间等第一特征插入到数据包的应用层包头中，并传输至可编程交换机S1，S1接收H1发送的目标数据包。

在步骤412中，S1可以执行数据包包头解析流程解析目标数据包以提取第一特征，在步骤414中，获取到目标数据包的第一特征之后，可以第一特征输入到目标模型中，可以根据数据包链路层采用的协议确定目标的归属(数据流量类型)，例如来自移动终端或者有线终端，之后可以通过目标模型，对第一特征进行处理，得到与该第一特征对应的第一操作，判断其H1位合法用户终端。在得到第一特征对应的第一操作后，可以在访问控制列表中添加当前目标数据包数据流的表项，在该表项中，将该目标数据包的IP五元组的哈希值作为键，目标数据包对应的第一操作作为值进行存储。这样，若可编程交换机再次接收到H1发送的目标数据包时，可以直接从访问控制列表中得到该目标数据包对应的第一操作，并对该目标数据包执行该第一操作，节省了时间，提高了数据流量的访问控制的灵活性和效率，之后S1执行步骤416，针对目标数据包执行第一操作。

若非法用户侧终端H2向H3发送数据流量(目标数据包)时，与步骤412、步骤414类似，S3同样会获取该目标数据包，在步骤414中，将该目标数据包对应的第一特征输入到目标模型中，判断得到其为非法访问，则可以在访问控制列表建立相应表项并丢弃该目标数据包。H2后续发送的目标数据包将被直接丢弃，若需要执行重新操作确认需要重新尝试建立连接，更改传输层端口号。至此，合法用户侧终端H1能正常访问H3提供的服务，而非法用户侧终端H2无法将目标数据包传递至H3。

需要说明的是，本申请实施例提供的数据流量的访问控制方法，执行主体可以为数据流量的访问控制装置，或者该数据流量的访问控制装置中的用于执行数据流量的访问控制方法的控制模块。本申请实施例中以数据流量的访问控制装置执行数据流量的访问控制方法为例，说明本申请实施例提供的数据流量的访问控制装置。

图7根据本发明实施例的一种数据流量的访问控制装置的结构示意图。如图7所示，数据流量的访问控制装置700包括：获取模块710、确定模块720和执行模块730。

获取模块710，用于获取目标数据包；确定模块720，用于根据所述目标数据包的第一特征，通过目标模型，确定所述第一特征对应的第一操作，所述第一特征用于指示所述目标数据包的归属，所述目标模型用于记录数据包的特征与第一操作之间的对应关系；执行模块730，用于针对所述目标数据包，执行所述第一操作。

在一种实现方式中，所述装置700还包括解析模块740，用于根据网络控制节点设置的解析方式，解析所述目标数据包的包头；通过所述包头，提取所述第一特征，所述第一特征包括：数据流的持续时间、发包间隔、数据包链路层帧格式、网络层的协议号、传输层的端口号、应用层身份标识与用户位置中的至少一者。

在一种实现方式中，执行模块730，还用于执行预设的第二操作，所述第二操作与所述第一操作不同。

在一种实现方式中，确定模块720，还用于根据所述目标数据包的互联网协议地址IP五元组，确定所述目标数据包的归属，所述IP五元组包括：源地址、目的地址、源端口、目的端口和协议号；以所述五元组的哈希值作为查询键，通过寄存器构建的访问控制列表，确定目标数据包对应的待执行动作。

在一种实现方式中，确定模块720，还用于在未确定出所述待执行动作的情况下，根据寄存器指示从所述目标数据包的特征集提取所述第一特征输入所述目标模型；根据所述目标数据包的链路层采用的协议，确定流量类型以确定所述目标数据包的归属；根据所述目标数据包的归属，确定所述第一操作。

在一种实现方式中，执行模块730，还用于根据所述第一操作，在访问控制列表记录所述目标数据包所属数据流的表项；在所述表项中，将所述目标数据包的IP五元组的哈希值作为键，所述第一操作为值进行存储。

在一种实现方式中，所述装置700还包括安装模块750，用于接收安装程序；运行所述安装程序以安装所述目标模型。

在一种实现方式中，所述装置700还包括更改模块760，用于接收网络控制节点的控制以更改寄存器预定位置的参数。

在一种实现方式中，所述第一操作包括：授权或发送，所述第二操作包括：拒绝、丢弃或告警。

本申请实施例中的数据流量的访问控制装置可以是装置电子设备，也可以是终端电子设备中的部件，例如集成电路、或芯片。该电子设备可以是终端，也可以为除终端之外的其他设备。装置可以是移动电子设备，也可以为非移动电子设备。示例性的，移动电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、移动上网装置(MobileInternet Device，MID)、增强现实(Augmented Reality，AR)/虚拟现实(Virtual Reality，VR)设备、机器人、可穿戴设备、超级移动个人计算机(Ultra-mobile Personal Computer，UMPC)、上网本或者个人数字助理(Personal Digital Assistant，PDA)等，非移动电子设备还可以为服务器、网络附属存储器(Network Attached Storage，NAS)、个人计算机(Personal Computer，PC)、电视机(Television，TV)、柜员机或者自助机等，本申请实施例不作具体限定。

本申请实施例中的数据流量的访问控制装置可以为具有操作系统的装置。该操作系统可以为安卓(Android)操作系统，可以为ios操作系统，还可以为其他可能的操作系统，本申请实施例不作具体限定。

本申请实施例提供的数据流量的访问控制装置能够实现图1的方法实施例实现的各个过程，为避免重复，这里不再赘述。

图8是根据本发明实施例的另一种数据流量的访问控制装置的结构示意图。如图8所示，数据流量的访问控制装置800包括：训练模块810、转换模块820和发送模块830。

训练模块810，用于训练目标模型，所述目标模型用于记录数据包的特征与第一操作之间的对应关系；转换模块820，用于将所述目标模型转换为安装程序，以使可编程交换机安装所述目标模型；发送模块930，用于将所述安装程序发送至可编程交换机。

在一种实现方式中，转换模块820，用于将所述目标模型输入模型转换组件；将所述目标模型的叶节点选取的特征与特征阈值转换为所述可编程交换机可读的赋值、条件判断与寄存器读取程序；将所述可读的赋值、条件判断与寄存器读取程序记录在所述安装程序中。

在一种实现方式中，训练模块810，还用于设置数据包的包头解析方式。

在一种实现方式中，所述装置800还包括更新模块840，还用于周期性更新所述目标模型；根据更新后的目标模型的参数，更新所述可编程交换机中的目标模型。

在一种实现方式中，所述更新模块840，用于根据更新后的目标模型的参数，控制所述可编程交换机更新寄存器预定位置的参数，以更新所述目标模型。

本申请实施例中的数据流量的访问控制装置可以是装置电子设备，也可以是终端电子设备中的部件，例如集成电路、或芯片。该电子设备可以是终端，也可以为除终端之外的其他设备。装置可以是移动电子设备，也可以为非移动电子设备。示例性的，移动电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、移动上网装置(MobileInternet Device，MID)、增强现实(Augmented Reality，AR)/虚拟现实(Virtual Reality，VR)设备、机器人、可穿戴设备、超级移动个人计算机(Ultra-mobile Personal Computer，UMPC)、上网本或者个人数字助理(Personal Digital Assistant，PDA)等，非移动电子设备还可以为服务器、网络附属存储器(Network Attached Storage，NAS)、个人计算机(Personal Computer，PC)、电视机(Television，TV)、柜员机或者自助机等，本申请实施例不作具体限定。

本申请实施例中的数据流量的访问控制装置可以为具有操作系统的装置。该操作系统可以为安卓(Android)操作系统，可以为ios操作系统，还可以为其他可能的操作系统，本申请实施例不作具体限定。

本申请实施例提供的数据流量的访问控制装置能够实现图3的方法实施例实现的各个过程，为避免重复，这里不再赘述。

可选地，如图9所示，本申请实施例另提供一种电子设备900，包括处理器901和存储器902，存储器902上存储有可在所述处理器901上运行的程序或指令，该程序或指令被处理器901执行时实现：获取目标数据包；根据所述目标数据包的第一特征，通过目标模型，确定所述第一特征对应的第一操作，所述第一特征用于指示所述目标数据包的归属，所述目标模型用于记录数据包的特征与第一操作之间的对应关系；针对所述目标数据包，执行所述第一操作。

在一种实现方式中，根据网络控制节点设置的解析方式，解析所述目标数据包的包头；通过所述包头，提取所述第一特征，所述第一特征包括：数据流的持续时间、发包间隔、数据包链路层帧格式、网络层的协议号、传输层的端口号、应用层身份标识与用户位置中的至少一者。

在一种实现方式中，在确定所述第一操作为空集的情况下，所述方法还包括：执行预设的第二操作，所述第二操作与所述第一操作不同。

在一种实现方式中，在根据所述目标数据包的第一特征，通过目标模型，确定所述第一特征对应的第一操作之前，所述方法还包括：根据所述目标数据包的互联网协议地址IP五元组，确定所述目标数据包的归属，所述IP五元组包括：源地址、目的地址、源端口、目的端口和协议号；以所述五元组的哈希值作为查询键，通过寄存器构建的访问控制列表，确定目标数据包对应的待执行动作。

在一种实现方式中，在未确定出所述待执行动作的情况下，根据寄存器指示从所述目标数据包的特征集提取所述第一特征输入所述目标模型；根据所述目标数据包的链路层采用的协议，确定流量类型以确定所述目标数据包的归属；根据所述目标数据包的归属，确定所述第一操作。

在一种实现方式中，根据所述第一操作，在访问控制列表记录所述目标数据包所属数据流的表项；在所述表项中，将所述目标数据包的IP五元组的哈希值作为键，所述第一操作为值进行存储。

在一种实现方式中，接收安装程序；运行所述安装程序以安装所述目标模型。

在一种实现方式中，在所述运行所述安装程序以安装所述目标模型之后，所述方法还包括：接收网络控制节点的控制以更改寄存器预定位置的参数。

在一种实现方式中，所述第一操作包括：授权或发送，所述第二操作包括：拒绝、丢弃或告警。

或者，该程序或指令被处理器901执行时实现：训练目标模型，所述目标模型用于记录数据包的特征与第一操作之间的对应关系；将所述目标模型转换为安装程序，以使可编程交换机安装所述目标模型；将所述安装程序发送至可编程交换机。

在一种实现方式中，将所述目标模型输入模型转换组件；将所述目标模型的叶节点选取的特征与特征阈值转换为所述可编程交换机可读的赋值、条件判断与寄存器读取程序；将所述可读的赋值、条件判断与寄存器读取程序记录在所述安装程序中。

在一种实现方式中，在所述将所述目标模型转换为安装程序之前，所述方法还包括：设置数据包的包头解析方式。

在一种实现方式中，在所述将所述安装程序发送至可编程交换机之后，所述方法还包括：周期性更新所述目标模型；根据更新后的目标模型的参数，更新所述可编程交换机中的目标模型。

在一种实现方式中，根据更新后的目标模型的参数，控制所述可编程交换机更新寄存器预定位置的参数，以更新所述目标模型。

具体执行步骤可以参见上述数据流量的访问控制方法实施例的各个步骤，且能达到相同的技术效果，为避免重复，这里不再赘述。

需要说明的是，本申请实施例中的电子设备包括：服务器、终端或除终端之外的其他设备。

以上电子设备结构并不构成对电子设备的限定，电子设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置，例如，输入单元，可以包括图形处理器(Graphics Processing Unit，GPU)和麦克风，显示单元可以采用液晶显示器、有机发光二极管等形式来配置显示面板。用户输入单元包括触控面板以及其他输入设备中的至少一种。触控面板也称为触摸屏。其他输入设备可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆，在此不再赘述。

存储器可用于存储软件程序以及各种数据。存储器可主要包括存储程序或指令的第一存储区和存储数据的第二存储区，其中，第一存储区可存储操作系统、至少一个功能所需的应用程序或指令(比如声音播放功能、图像播放功能等)等。此外，存储器可以包括易失性存储器或非易失性存储器，或者，存储器可以包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DRRAM)。

处理器可包括一个或多个处理单元；可选的，处理器集成应用处理器和调制解调处理器，其中，应用处理器主要处理涉及操作系统、用户界面和应用程序等的操作，调制解调处理器主要处理无线通信信号，如基带处理器。可以理解的是，上述调制解调处理器也可以不集成到处理器中。

本申请实施例还提供一种可读存储介质，所述可读存储介质上存储有程序或指令，该程序或指令被处理器执行时实现上述数据流量的访问控制方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

其中，所述处理器为上述实施例中所述的电子设备中的处理器。所述可读存储介质，包括计算机可读存储介质，如ROM、RAM、磁碟或者光盘等。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外，需要指出的是，本申请实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能，还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能，例如，可以按不同于所描述的次序来执行所描述的方法，并且还可以添加、省去、或组合各种步骤。另外，参照某些示例所描述的特征可在其他示例中被组合。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以计算机软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

上面结合附图对本申请的实施例进行了描述，但是本申请并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本申请的启示下，在不脱离本申请宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本申请的保护之内。

Claims (18)

1.一种数据流量的访问控制方法，其特征在于，应用于可编程交换机，包括：

获取目标数据包；

根据所述目标数据包的第一特征，通过目标模型，确定所述第一特征对应的第一操作，所述第一特征用于指示所述目标数据包的归属，所述目标模型用于记录数据包的特征与第一操作之间的对应关系；

针对所述目标数据包，执行所述第一操作。

2.根据权利要求1所述的访问控制方法，其特征在于，在所述获取目标数据包之后，所述方法还包括：

根据网络控制节点设置的解析方式，解析所述目标数据包的包头；

通过所述包头，提取所述第一特征，所述第一特征包括：数据流的持续时间、发包间隔、数据包链路层帧格式、网络层的协议号、传输层的端口号、应用层身份标识与用户位置中的至少一者。

3.根据权利要求1所述的访问控制方法，其特征在于，在确定所述第一操作为空集的情况下，所述方法还包括：

执行预设的第二操作，所述第二操作与所述第一操作不同。

4.根据权利要求1所述的访问控制方法，其特征在于，在根据所述目标数据包的第一特征，通过目标模型，确定所述第一特征对应的第一操作之前，所述方法还包括：

根据所述目标数据包的互联网协议地址IP五元组，确定所述目标数据包的归属，所述IP五元组包括：源地址、目的地址、源端口、目的端口和协议号；

以所述五元组的哈希值作为查询键，通过寄存器构建的访问控制列表，确定目标数据包对应的待执行动作。

5.根据权利要求4所述的访问控制方法，其特征在于，所述根据所述目标数据包的第一特征，通过目标模型，确定所述第一特征对应的第一操作，包括：

在未确定出所述待执行动作的情况下，根据寄存器指示从所述目标数据包的特征集提取所述第一特征输入所述目标模型；

根据所述目标数据包的链路层采用的协议，确定流量类型以确定所述目标数据包的归属；

根据所述目标数据包的归属，确定所述第一操作。

6.根据权利要求5所述的访问控制方法，其特征在于，所述方法还包括：

根据所述第一操作，在访问控制列表记录所述目标数据包所属数据流的表项；

在所述表项中，将所述目标数据包的IP五元组的哈希值作为键，所述第一操作为值进行存储。

7.根据权利要求5所述的访问控制方法，其特征在于，所述方法还包括：

接收安装程序；

运行所述安装程序以安装所述目标模型。

8.根据权利要求7所述的访问控制方法，其特征在于，在所述运行所述安装程序以安装所述目标模型之后，所述方法还包括：

接收网络控制节点的控制以更改寄存器预定位置的参数。

9.根据权利要求3所述的访问控制方法，其特征在于，所述第一操作包括：授权或发送，所述第二操作包括：拒绝、丢弃或告警。

10.一种数据流量的访问控制方法，其特征在于，应用于网络控制节点，包括：

训练目标模型，所述目标模型用于记录数据包的特征与第一操作之间的对应关系；

将所述目标模型转换为安装程序，以使可编程交换机安装所述目标模型；

将所述安装程序发送至可编程交换机。

11.根据权利要求10所述的访问控制方法，其特征在于，将所述目标模型转换为安装程序，包括：

将所述目标模型输入模型转换组件；

将所述目标模型的叶节点选取的特征与特征阈值转换为所述可编程交换机可读的赋值、条件判断与寄存器读取程序；

将所述可读的赋值、条件判断与寄存器读取程序记录在所述安装程序中。

12.根据权利要求10所述的访问控制方法，其特征在于，在所述将所述目标模型转换为安装程序之前，所述方法还包括：

设置数据包的包头解析方式。

13.根据权利要求10所述的访问控制方法，其特征在于，在所述将所述安装程序发送至可编程交换机之后，所述方法还包括：

周期性更新所述目标模型；

根据更新后的目标模型的参数，更新所述可编程交换机中的目标模型。

14.根据权利要求10所述的访问控制方法，其特征在于，所述根据更新后的目标模型的参数，更新所述可编程交换机中的目标模型，包括：

根据更新后的目标模型的参数，控制所述可编程交换机更新寄存器预定位置的参数，以更新所述目标模型。

15.一种数据流量的访问控制装置，其特征在于，包括：

获取模块，用于获取目标数据包；

确定模块，用于根据所述目标数据包的第一特征，通过目标模型，确定所述第一特征对应的第一操作，所述第一特征用于指示所述目标数据包的归属，所述目标模型用于记录数据包的特征与第一操作之间的对应关系；

执行模块，用于针对所述目标数据包，执行所述第一操作。

16.一种数据流量的访问控制装置，其特征在于，包括：

训练模块，用于训练目标模型，所述目标模型用于记录数据包的特征与第一操作之间的对应关系；

转换模块，用于将所述目标模型转换为安装程序，以使可编程交换机安装所述目标模型；

发送模块，用于将所述安装程序发送至可编程交换机。

17.一种电子设备，其特征在于，包括处理器，存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如权利要求1-9任一项所述的数据流量的访问控制方法的步骤或者实现如权利要求10-14任一项所述的数据流量的访问控制方法的步骤。

18.一种可读存储介质，其特征在于，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如权利要求1-9任一项所述的数据流量的访问控制方法的步骤或者实现如权利要求10-14任一项所述的数据流量的访问控制方法的步骤。