数据流量处理方法、装置、光网络设备及存储介质制造方法及图纸

本发明专利技术提供一种数据流量处理方法、装置、光网络设备及存储介质，属于光通信技术领域，所述方法包括：获取过滤控制信息列表，过滤控制信息列表用于表征异常数据流量的攻击行为特征；基于过滤控制信息列表，通过第一挂钩点滤除异常数据流量；第一挂钩点是基于扩展的伯克利包过滤器eBPF在第一光网络设备的光电转换模块生效的挂钩点。本发明专利技术通过基于eBPF在光电转换模块生效第一挂钩点，可以基于第一挂钩点持续获取网络设备所收发的数据流量，进而可以基于过滤控制信息列表中的过滤控制信息对数据流量进行筛选，确定符合指定的攻击行为特征的数据流量为异常数据流量，进而通过第一挂钩点能够滤除异常数据流量，实现有效防御异常大数据流量。大数据流量。大数据流量。

【技术实现步骤摘要】
数据流量处理方法、装置、光网络设备及存储介质


[0001]本专利技术涉及光通信
，尤其涉及一种数据流量处理方法、装置、光网络设备及存储介质。

技术介绍

[0002]无源光网络（Passive Optical Network，PON）是一种点对多点的光纤传输和接入技术。PON系统结构由中心局的光线路终端（Optical Line Terminal，OLT）、包含无源光器件的光分配网（Optical Distribution Network，ODN）、用户端的光网络单元（Optical Network Unit，ONU）/光网络终端（Optical Network Terminal，ONT）组成。
[0003]增强现实（Augmented Reality，AR）/虚拟现实（Virtual Reality，VR）等技术应用，对PON技术在带宽、时延及安全性等方面提出更高的标准。异常大数据流量会造成无源光网络的带宽占用率过高和时延过大等性能异常情况。现有安全防护方法无法有效防御异常大数据流量，如何防御异常大数据流量是目前业界亟待解决的问题。

技术实现思路

[0004]针对现有技术存在的问题，本专利技术实施例提供一种数据流量处理方法、装置、光网络设备及存储介质。
[0005]第一方面，本专利技术提供一种数据流量处理方法，应用于第一光网络设备，包括：获取过滤控制信息列表，所述过滤控制信息列表用于表征异常数据流量的攻击行为特征；基于所述过滤控制信息列表，通过第一挂钩点滤除异常数据流量；所述第一挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的光电转换模块生效的挂钩点。
[0006]可选地，根据本专利技术提供的一种数据流量处理方法，所述获取过滤控制信息列表，包括：通过第二挂钩点获取系统资源参数，所述系统资源参数用于表征所述第一光网络设备的运行状态，所述第二挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的通信端口生效的挂钩点；判断所述系统资源参数是否在预设范围内，获取判断结果；若所述判断结果表示所述系统资源参数不在所述预设范围内，则对所述通信端口的数据包进行网络攻击检测，获取网络攻击检测结果；在网络攻击检测结果表示所述通信端口存在第一异常数据流量的情况下，基于所述第一异常数据流量的攻击行为特征，生成第一过滤控制信息。
[0007]可选地，根据本专利技术提供的一种数据流量处理方法，在所述生成第一过滤控制信息之后，还包括：通过无源光网络发送所述第一过滤控制信息，以在所述无源光网络中同步所述第
一过滤控制信息。
[0008]可选地，根据本专利技术提供的一种数据流量处理方法，所述获取过滤控制信息列表，包括：通过无源光网络接收第二过滤控制信息；所述第二过滤控制信息是通过第二光网络设备生成的，所述第二光网络设备为所述无源光网络中除所述第一光网络设备以外的光网络设备。
[0009]可选地，根据本专利技术提供的一种数据流量处理方法，在所述第一光网络设备为光网络单元ONU的情况下，在所述获取过滤控制信息列表之后，还包括：若基于所述过滤控制信息列表筛选到异常数据流量，则发送第一消息至光线路终端OLT，所述第一消息用于指示光网络单元ONU存在异常数据流量。
[0010]可选地，根据本专利技术提供的一种数据流量处理方法，在所述第一光网络设备为光线路终端OLT的情况下，所述方法还包括：若确定在预设数量个周期内未收到用于指示光网络单元ONU存在异常数据流量的第一消息，且确定在预设数量个周期内均收到各光网络单元ONU上报的用于指示安全运行的心跳消息，则发送第二消息至无源光网络中的各光网络单元ONU；所述第二消息用于指示清除所述过滤控制信息列表中的部分或全部过滤控制信息。
[0011]第二方面，本专利技术还提供一种数据流量处理装置，应用于第一光网络设备，包括：获取模块，用于获取过滤控制信息列表，所述过滤控制信息列表用于表征异常数据流量的攻击行为特征；滤除模块，用于基于所述过滤控制信息列表，通过第一挂钩点滤除异常数据流量；所述第一挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的光电转换模块生效的挂钩点。
[0012]第三方面，本专利技术还提供一种光网络设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述数据流量处理方法。
[0013]第四方面，本专利技术还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述数据流量处理方法。
[0014]本专利技术提供的数据流量处理方法、装置、光网络设备及存储介质，通过基于eBPF在网络设备的光电转换模块生效第一挂钩点，可以基于第一挂钩点持续获取网络设备所接收到的数据流量和/或网络设备所发送的数据流量，进而可以基于过滤控制信息列表中的过滤控制信息对数据流量进行筛选，判断数据流量是否符合指定的攻击行为特征，可以确定符合指定的攻击行为特征的数据流量为异常数据流量，进而通过第一挂钩点能够滤除异常数据流量，实现有效防御异常大数据流量。
附图说明
[0015]为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些
附图获得其他的附图。
[0016]图1是本专利技术提供的数据流量处理方法的流程示意图之一；图2是本专利技术提供的eBPF挂钩点的示意图；图3是本专利技术提供的无源光网络拓扑示意图；图4是本专利技术提供的数据流量处理方法的流程示意图之二；图5是本专利技术提供的数据流量处理装置的结构示意图；图6是本专利技术提供的光网络设备的结构示意图。
具体实施方式
[0017]为了便于更加清晰地理解本专利技术各实施例，首先对一些相关的背景知识进行如下介绍。
[0018]相关技术中，PON网络的设备的安全性主要是通过配置访问控制列表（Access Control List，ACL）、入侵检测系统（Intrusion Detection System，IDS）和入侵防御系统（Intrusion Prevention System，IPS）等方式实现。
[0019]ACL访问规则是应用在设备（如ONU）的接口的指令列表，用来告诉设备哪些数据包可以接收以及哪些需要拒绝。需要明确给出接收或拒绝的源/目的地址、端口号以及出向入向等指定条件来决定。一旦设置ACL规则，系统中将按照序号从小到大进行优先级规则匹配。同时ACL并不能单独完成控制网络访问行为或者限制网络流量的效果，而是需要应用到具体的业务模块才能实现。
[0020]入侵检测系统与防火墙不同，是一个旁路监听设备，无需网络流量就可以工作。IDS的部署要求是需要挂接在所关注的流量都必须流经的链路上，“所关注的流量”指的是来自高危网络区域的访问流量和需要进行统计和监视的网络报文。对于光网络来说，很难定义什么区域是本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据流量处理方法，其特征在于，应用于第一光网络设备，包括：获取过滤控制信息列表，所述过滤控制信息列表用于表征异常数据流量的攻击行为特征；基于所述过滤控制信息列表，通过第一挂钩点滤除异常数据流量；所述第一挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的光电转换模块生效的挂钩点。2.根据权利要求1所述数据流量处理方法，其特征在于，所述获取过滤控制信息列表，包括：通过第二挂钩点获取系统资源参数，所述系统资源参数用于表征所述第一光网络设备的运行状态，所述第二挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的通信端口生效的挂钩点；判断所述系统资源参数是否在预设范围内，获取判断结果；若所述判断结果表示所述系统资源参数不在所述预设范围内，则对所述通信端口的数据包进行网络攻击检测，获取网络攻击检测结果；在网络攻击检测结果表示所述通信端口存在第一异常数据流量的情况下，基于所述第一异常数据流量的攻击行为特征，生成第一过滤控制信息。3.根据权利要求2所述数据流量处理方法，其特征在于，在所述生成第一过滤控制信息之后，还包括：通过无源光网络发送所述第一过滤控制信息，以在所述无源光网络中同步所述第一过滤控制信息。4.根据权利要求1
‑
3任一项所述数据流量处理方法，其特征在于，所述获取过滤控制信息列表，包括：通过无源光网络接收第二过滤控制信息；所述第二过滤控制信息是通过第二光网络设备生成的，所述第二光网络设备为所述无源光网络中除所述第一光网络设备以外的光网络设备。5.根据权利要求4所述数据流量处理方法，其特征在于，在所述第一光网络设备为光网络单元ONU的情况下，在所述获取过滤控制信息列表之后，还包括：若基于所述过滤控制信息列表筛选到异常数据流量，则发送第一消息至光线路终端OLT，所述第一消息用于指示光网络单元ONU存在异常数据流量。6.根据权利要求4所...

【专利技术属性】
技术研发人员：李天萁，李煊，赵倩，汪壬甲，刘超，逯云松，
申请(专利权)人：网络通信与安全紫金山实验室，
类型：发明
国别省市：