基于内核调优的WEB安全网关并发性能调节方法及装置制造方法及图纸

本申请提供了基于内核调优的WEB安全网关并发性能调节方法及装置，方法包括与业务服务器基于TCP协议快速打开机制建立连接；获取与客户端访问业务服务器对应的网关特征数据并进行归一化处理，得到归一化网关特征；将归一化网关特征输入至分类模型进行分类，得到网关特征分类标签；在多个内核参数分别对应的分类标签中匹配与网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签及对应的目标内核参数，基于目标内核参数及代理中间件进行本地的内核参数重新配置生效。本发明专利技术实施例实现了在不改变安全网关的系统架构和内核的前提下优化TCP网络传输，不仅提升安全网关的系统整体并发性能，而且降低了实现成本。而且降低了实现成本。而且降低了实现成本。

【技术实现步骤摘要】
基于内核调优的WEB安全网关并发性能调节方法及装置


[0001]本申请涉及并发性能调优
，尤其涉及一种基于内核调优的WEB安全网关并发性能调节方法及装置。

技术介绍

[0002]随着Web3.0、微信小程序、移动APP等一系列互联网产品的诞生，基于Web环境的互联网应用应用越来越广泛。Web业务的迅速发展也引起了网络黑客的强烈关注，黑客利用系统漏洞得到服务器的控制权，轻则篡改网站内容，重则窃取用户的数据，严重威胁用户的个人隐私与财产安全。
[0003]Web安全网关是针对Web业务安全而诞生的一种网关类安全产品。它部署在客户端与真实服务器之间，所有的客户端请求都会经过Web安全网关。其防御手段不是通过包过滤的形式实现的，而是通过代理的形式。客户端直接和安全网关进行交互，安全网关检查来自客户端的请求没有问题后，会向服务端发起请求，获取响应后再转发给客户端。其检测与处理都是在应用完成的。
[0004]Web安全网关部署在客户端与服务端之间，串联在整个网络当中。因此Web安全网关的并发性能直接影响整个网络的并发性能。目前Web安全网关并发性能低下主要原因是由于其本身对于CPU、内存等硬件利用率比较低，提升安全网关的硬件性能无法大幅度提高其并发性能。
[0005]针对上述Web安全并发性能低，目前主要采用以下两种方式：第一种方式是使用虚拟IP技术，在单个安全网关上部署多个虚拟机，提高硬件的使用率提升系统整体的并发性能；物理集群的方法，即利用多台物理网关设备，通过负载均衡技术将数据流分发到不同的网关上进行处理，以升系统整体的并发性能。
[0006]采用第一种方式时存在以下缺点：1）在单个安全网关上部署多个代理程序，修改了的系统架构，需要重新配置安全网关上的代理信息，多个代理程序维护管理不方便；2）物理集群的方法，费用昂贵，能源消耗大。
[0007]第二种方式是定制化操作系统内核，以使其能够提供一些网络信息及硬件资源使用信息，然后根据所提供的网络信息及硬件资源使用信息动态调整内核参数。
[0008]采用第二种方式时存在以下缺点1）定制化内核没经过长时间的开放测试，存在潜在的系统漏洞，有可能影响安全网关业务的正常运行；2）只修改内核参数，不包含对与安全网关代理中间件的优化。

技术实现思路

[0009]本申请实施例提供了一种基于内核调优的WEB安全网关并发性能调节方法及装置，旨在解决现有技术中安全网关采用虚拟IP或定制化内核时，不仅对系统架构改变较大导致实现成本提高，而且会出现内核不稳定导致网关运行异常的问题。
[0010]第一方面，本申请实施例提供了一种基于内核调优的WEB安全网关并发性能调节
方法，其包括：与业务服务器基于TCP协议快速打开机制建立连接；获取与客户端访问业务服务器对应的网关特征数据并进行归一化处理，得到归一化网关特征；其中，所述网关特征数据为客户端基于安全网关访问业务服务器产生的特征数据，且所述网关特征数据至少包括TCP连接行为信息、连接质量信息和网关资源使用信息；获取预先训练的分类模型，将所述归一化网关特征输入至所述分类模型进行分类，得到网关特征分类标签；在已存储的多个内核参数分别对应的分类标签中匹配与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签，获取目标分类标签对应的目标内核参数，基于所述目标内核参数及代理中间件进行本地的内核参数重新配置生效，以调节安全网关并发性能。
[0011]第二方面，本申请实施例提供了一种基于内核调优的WEB安全网关并发性能调节装置，其包括：连接建立单元，用于与业务服务器基于TCP协议快速打开机制建立连接；特征数据采集单元，用于获取与客户端访问业务服务器对应的网关特征数据并进行归一化处理，得到归一化网关特征；其中，所述网关特征数据为客户端基于安全网关访问业务服务器产生的特征数据，且所述网关特征数据至少包括TCP连接行为信息、连接质量信息和网关资源使用信息；特征数据学习单元，用于获取预先训练的分类模型，将所述归一化网关特征输入至所述分类模型进行分类，得到网关特征分类标签；系统调优单元，用于在已存储的多个内核参数分别对应的分类标签中匹配与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签，获取目标分类标签对应的目标内核参数，基于所述目标内核参数及代理中间件进行本地的内核参数重新配置生效，以调节安全网关并发性能。
[0012]第三方面，本申请实施例又提供了一种计算机设备，其包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一方面所述的基于内核调优的WEB安全网关并发性能调节方法。
[0013]第四方面，本申请实施例还提供了一种计算机可读存储介质，其中所述计算机可读存储介质存储有计算机程序，所述计算机程序当被处理器执行时使所述处理器执行上述第一方面所述的基于内核调优的WEB安全网关并发性能调节方法。
[0014]本申请实施例提供了一种基于内核调优的WEB安全网关并发性能调节方法及装置，方法包括：与业务服务器基于TCP协议快速打开机制建立连接；获取与客户端访问业务服务器对应的网关特征数据并进行归一化处理，得到归一化网关特征； 获取预先训练的分类模型，将所述归一化网关特征输入至所述分类模型进行分类，得到网关特征分类标签；在已存储的多个内核参数分别对应的分类标签中匹配与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签，获取目标分类标签对应的目标内核参数，基于所述目标内核参数及代理中间件进行本地的内核参数重新配置生效，以调节安全网关并发性能。本专利技术实施例实现了在不改变安全网关的系统架构和内核的前提下优化TCP网络传输
方式，不仅提升安全网关的系统整体并发性能，而且降低了实现成本。
附图说明
[0015]为了更清楚地说明本申请实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0016]图1为本专利技术实施例提供的基于内核调优的WEB安全网关并发性能调节方法的应用场景示意图；图2为本专利技术实施例提供的基于内核调优的WEB安全网关并发性能调节方法的示意性流程图；图3为本申请实施例提供的基于内核调优的WEB安全网关并发性能调节方法的子流程示意图；图4为本申请实施例提供的分布式系统及基于内核调优的WEB安全网关并发性能调节装置的示意性框图；图5为本申请实施例提供的计算机设备的示意性框图。
具体实施方式
[0017]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0018]应当理解，当在本说明书和所附权利要求本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于内核调优的WEB安全网关并发性能调节方法，应用于安全网关，其特征在于，包括：与业务服务器基于TCP协议快速打开机制建立连接；获取与客户端访问业务服务器对应的网关特征数据并进行归一化处理，得到归一化网关特征；其中，所述网关特征数据为客户端基于安全网关访问业务服务器产生的特征数据，且所述网关特征数据至少包括TCP连接行为信息、连接质量信息和网关资源使用信息；获取预先训练的分类模型，将所述归一化网关特征输入至所述分类模型进行分类，得到网关特征分类标签；在已存储的多个内核参数分别对应的分类标签中匹配与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签，获取目标分类标签对应的目标内核参数，基于所述目标内核参数及代理中间件进行本地的内核参数重新配置生效，以调节安全网关并发性能。2.根据权利要求1所述的方法，其特征在于，所述获取与客户端访问业务服务器对应的网关特征数据并进行归一化处理，得到归一化网关特征，包括：获取长连接数量和短连接数量，以组成TCP连接行为信息；获取网络连接延时、丢包率和网络带宽，以组成连接质量信息；获取CPU使用率、内存使用率和磁盘使用率，以组成网关资源使用信息；将所述TCP连接行为信息、所述连接质量信息和所述网关资源使用信息均进行归一化处理并串接组成所述归一化网关特征。3.根据权利要求1所述的方法，其特征在于，所述在已存储的多个内核参数分别对应的分类标签中匹配与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签，获取目标分类标签对应的目标内核参数，包括：获取在已存储的多个内核参数中各内核参数对应的分类标签，以及各分类标签对应的词向量；获取所述网关特征分类标签对应的当前词向量；获取所述当前词向量与各分类标签对应的词向量之间的余弦相似度，以作为所述网关特征分类标签与各分类标签的相似度；若存在有分类标签对应的词向量与所述网关特征分类标签对应的当前词向量之间的余弦相似度超过所述预设相似度阈值，则获取对应的分类标签作为目标分类标签；获取所述目标分类标签对应的内核参数作为所述目标内核参数。4.根据权利要求3所述的方法，其特征在于，在所述获取所述目标分类标签对应的内核参数作为所述目标内核参数之前，所述方法还包括：若确定目标分类标签的个数大于1，则获取目标分类标签对应的词向量中与所述当前词向量之间余弦相似度为最大相似度的词向量及对应的分类标签更新所述目标分类标签；若确定目标分类标签的个数等于1...

【专利技术属性】
技术研发人员：苑志超，董朝阳，铁智慧，刘奎，
申请(专利权)人：灵长智能科技杭州有限公司，
类型：发明
国别省市：