流量数据处理方法及装置、存储介质及电子设备制造方法及图纸

本公开提供了一种流量数据处理方法、装置、电子设备及存储介质。该方法包括：通过网卡驱动接收待检测流量数据；调用配置于内核空间的内核层检测引擎，以基于内核层检测引擎中的第一规则配置数据对待检测流量数据进行识别，获得识别结果；其中，内核层检测引擎是基于扩展伯克利包过滤器eBPF实现的，第一规则配置数据是从预设的检测规则配置数据中筛选获得的；在识别结果指示待检测流量数据为异常流量数据的情况下，确定异常流量数据对应的异常处理方式，进而根据异常处理方式对待检测流量数据进行处理。该方法可以先通过内核层检测引擎基于筛选出的第一规则配置数据实现对待检测流量数据的快速检测，提高流量检测效率，提升流量检测性能。量检测性能。量检测性能。

【技术实现步骤摘要】
流量数据处理方法及装置、存储介质及电子设备


[0001]本公开涉及计算机
，尤其涉及一种流量数据处理方法及装置、存储介质及电子设备。

技术介绍

[0002]随着计算机技术和互联网技术的发展，使用网络进行数据传输已成为用户常用的一种通信方式；为保障通信安全，对网络流量数据进行安全管控已成为通信过程中的重要一环。
[0003]相关技术中，通常是通过以用户进程方式运行的IDS(Intrusion Detection System，入侵检测系统)类或IPS(Intrusion Prevention System，入侵防御系统)类安全产品工具对网络流量数据进行分析和安全管控，不仅对流量数据的检测效率较低，也为用户空间带来巨大的性能开销。
[0004]需要说明的是，在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现思路

[0005]本公开的目的在于提供一种流量数据处理方法、装置、电子设备及存储介质，以解决相关技术中的对流量数据的检测效率较低、为用户空间带来巨大的性能开销的问题。
[0006]本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。
[0007]根据本公开的一个方面，提供一种流量数据处理方法，包括：通过网卡驱动接收待检测流量数据；调用配置于内核空间的内核层检测引擎，以基于内核层检测引擎中的第一规则配置数据对待检测流量数据进行识别，获得识别结果；其中，内核层检测引擎是基于扩展伯克利包过滤器eBPF实现的，第一规则配置数据是从预设的检测规则配置数据中筛选获得的；在识别结果指示待检测流量数据为异常流量数据的情况下，确定异常流量数据对应的异常处理方式，进而根据异常处理方式对待检测流量数据进行处理。
[0008]在本公开一个实施例中，检测规则配置数据包括多个异常事件的特征检测规则数据；以及，本公开提供的流量数据处理方法还包括按照如下方法从检测规则配置数据中筛选获得第一规则配置数据：获取筛选条件；其中，筛选条件包括异常事件在一个或多个统计指标下的统计数据、各统计指标对应的权重，以及筛选阈值；统计指标包括威胁程度、创建时长和发生频次中的至少一个；根据各统计指标的统计数据对异常事件进行排序，确定异常事件在各统计指标下的指标值；根据各统计指标下的指标值和统计指标对应的权重，确定异常事件的目标指标值；根据筛选阈值和异常事件的目标指标值，从异常事件中选出目标异常事件；将目标异常事件的特征检测规则数据确定为第一规则配置数据。
[0009]在本公开一个实施例中，本公开提供的流量数据处理方法还包括：获取检测需求和调整频率；基于调整频率，根据检测需求对筛选条件进行调整。
[0010]在本公开一个实施例中，在确定第一规则配置数据后，本公开提供的流量数据处理方法还包括：将第一规则配置数据存储于eBPF的eBPF映射中。
[0011]在本公开一个实施例中，本公开提供的流量数据处理方法还包括按照如下方法生成内核层检测引擎：基于eBPF映射中的第一规则配置数据，调用eBPF的指令集构建内核检测程序；编译内核检测程序，生成eBPF字节码；将eBPF字节码注入内核空间，获得内核层检测引擎。
[0012]在本公开一个实施例中，异常事件的特征检测规则数据包括：协议特征、流量源特征、流量目的特征，和事件特征；基于内核层检测引擎中的第一规则配置数据对待检测流量数据进行识别，获得识别结果，包括：确定待检测流量数据中的报文数据；基于目标异常事件的协议特征、流量源特征和流量目的特征对报文数据中的报文头数据进行识别，获得报文头识别结果；以及，基于目标异常事件的事件特征对报文数据中的报文载荷数据进行识别，获得报文载荷识别结果；根据报文头识别结果和报文载荷识别结果确定识别结果。
[0013]在本公开一个实施例中，异常事件的特征检测规则数据中还包括：异常事件的处理方式；处理方式包括告警、拦截和丢弃中的至少一种；确定异常流量数据对应的异常处理方式，包括：根据报文头识别结果和报文载荷识别结果确定异常流量数据所匹配的结果异常事件，结果异常事件为目标异常事件中的一个；以结果异常事件的处理方式作为异常流量数据对应的异常处理方式。
[0014]在本公开一个实施例中，本公开提供的流量数据处理方法还包括：在识别结果指示待检测流量数据不为异常流量数据的情况下，调用配置于用户空间的应用层检测引擎，以基于应用层检测引擎中的第二规则配置数据对待检测流量数据进行二次识别，获得二次识别结果；其中，第二规则配置数据是检测规则配置数据中除第一规则配置数据以外的检测规则配置数据。
[0015]在本公开一个实施例中，根据异常处理方式对待检测流量数据进行处理，包括：调用配置于内核空间的内核层防御引擎对待检测流量数据进行处理，其中，内核层防御引擎是基于扩展伯克利包过滤器eBPF实现的；或者，调用配置于用户空间的应用层防御引擎对待检测流量数据进行处理。
[0016]根据本公开的另一个方面，提供流量数据处理装置，包括：接收模块，用于通过网卡驱动接收待检测流量数据；识别模块，用于调用配置于内核空间的内核层检测引擎，以基于内核层检测引擎中的第一规则配置数据对待检测流量数据进行识别，获得识别结果；其中，内核层检测引擎是基于扩展伯克利包过滤器eBPF实现的，第一规则配置数据是从预设的检测规则配置数据中筛选获得的；处理模块，用于在识别结果指示待检测流量数据为异常流量数据的情况下，确定异常流量数据对应的异常处理方式，进而根据异常处理方式对待检测流量数据进行处理。
[0017]根据本公开的又一个方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的流量数据处理方法。
[0018]根据本公开的再一个方面，提供一种电子设备，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行上述的流量数据处理方法。
[0019]本公开的实施例所提供的流量数据处理方法，可以利用eBPF自身所提供的扩展指
令集获得基于第一规则配置数据的内核层检测引擎，实现在内核空间对流量数据的检测，由于在内核空间的数据处理效率高于用户空间的数据处理效率，因此相较于相关技术，本实施例中的方式可以提高流量检测效率，提升流量检测性能。
[0020]进一步，本公开实施例提供的流量数据处理方法还可以对用于生成内核层检测引擎的第一规则配置数据进行筛选调整，可以达到自适应筛选规则从而自适应更新内核层检测引擎的效果，使得本公开提供的流量数据处理方法更加自动化。
[0021]进一步，本公开实施例提供的流量数据处理方法还可以在内核空间实现对报文数据中报文头和载荷数据的完全检测，达到更完善的防护效果。
[0022]应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
附图说明
[0023]此处的附图被并本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种流量数据处理方法，其特征在于，包括：通过网卡驱动接收待检测流量数据；调用配置于内核空间的内核层检测引擎，以基于所述内核层检测引擎中的第一规则配置数据对所述待检测流量数据进行识别，获得识别结果；其中，所述内核层检测引擎是基于扩展伯克利包过滤器eBPF实现的，所述第一规则配置数据是从预设的检测规则配置数据中筛选获得的；在所述识别结果指示所述待检测流量数据为异常流量数据的情况下，确定所述异常流量数据对应的异常处理方式，进而根据所述异常处理方式对所述待检测流量数据进行处理。2.根据权利要求1所述的方法，其特征在于，所述检测规则配置数据包括多个异常事件的特征检测规则数据；以及，所述流量数据处理方法还包括按照如下方法从所述检测规则配置数据中筛选获得所述第一规则配置数据：获取筛选条件；其中，所述筛选条件包括所述异常事件在一个或多个统计指标下的统计数据、各统计指标对应的权重，以及筛选阈值；所述统计指标包括威胁程度、创建时长和发生频次中的至少一个；根据各统计指标的统计数据对所述异常事件进行排序，确定所述异常事件在各统计指标下的指标值；根据所述各统计指标下的指标值和所述统计指标对应的权重，确定所述异常事件的目标指标值；根据所述筛选阈值和所述异常事件的目标指标值，从所述异常事件中选出目标异常事件；将所述目标异常事件的特征检测规则数据确定为所述第一规则配置数据。3.根据权利要求2所述的方法，其特征在于，还包括：获取检测需求和调整频率；基于所述调整频率，根据所述检测需求对所述筛选条件进行调整。4.根据权利要求2所述的方法，其特征在于，在确定所述第一规则配置数据后，还包括：将所述第一规则配置数据存储于所述eBPF的eBPF映射中。5.根据权利要求4所述的方法，其特征在于，所述流量数据处理方法还包括按照如下方法生成所述内核层检测引擎：基于所述eBPF映射中的第一规则配置数据，调用所述eBPF的指令集构建内核检测程序；编译所述内核检测程序，生成eBPF字节码；将所述eBPF字节码注入所述内核空间，获得所述内核层检测引擎。6.根据权利要求2所述的方法，其特征在于，所述异常事件的特征检测规则数据包括：协议特征、流量源特征、流量目的特征，和事件特征；基于所述内核层检测引擎中的第一规则配置数据对所述待检测流量数据进行识别，获得识别结果，包括：确定所述待检测流量数据中的报文数据；基于所述目标异常事件的协议特征、流量源特征和流量目的特征对所述报文数据中的
报文头数据进行识别...

【专利技术属性】
技术研发人员：陈茂飞，刘东鑫，邱贤奕，史国水，汪来富，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：