【技术实现步骤摘要】
网络流量检测方法、装置、系统、电子设备及存储介质
[0001]本申请涉及通信
,尤其涉及一种网络流量检测方法、装置、系统、电子设备及存储介质。
技术介绍
[0002]入侵检测系统(Intrusion Detection System,IDS)和入侵防御系统(Intrusion Prevention System,IPS)通常部署在服务器或主机上,利用服务器或主机上的CPU(Central Processing Unit,中央处理器)实现流量检测、规则匹配等功能,并根据设定的管理规则对特定流量进行放行或者限制等操作。
[0003]近年来,随着网络技术的发展,区域网络业务提供商(Internet Service Provider,ISP)的流量聚合点的网络带宽已达到数百Gbps,且网络设备厂商、标准组织以及企业在可预见的未来对高网络带宽的需求还会不断增加。传统的服务器或主机CPU无法满足现今高带宽、大流量的需求,因此,可能会造成服务器或主机CPU出现故障,影响部署在服务器或者主机上的IDS/IPS对流量的检测,造成...
【技术保护点】
【技术特征摘要】
1.一种网络流量检测方法,其特征在于,应用于网络流量检测系统,所述系统包括:数据平面子系统,包括流量匹配与管制模块;计算平面子系统,位于所述数据平面子系统的上层,包括检测引擎模块和数据库模块;控制平面子系统,位于所述计算平面子系统的上层,包括编译安装程序模块;所述方法包括:通过数据平面子系统接收数据包,并对接收的所述数据包进行一级检测;其中,所述一级检测包括:利用流量匹配与管制模块根据流表对所述数据包进行规则匹配;若所述数据包与所述流表中的规则匹配成功,得到所述数据包的第一检测结果;根据所述第一检测结果,对所述数据包进行转发或丢弃处理;若所述数据包在进行一级检测时与所述流表中的规则匹配失败,对所述数据包进行转发后,将所述数据包传送至计算平面子系统的检测引擎模块进行二级检测,得到第二检测结果;将所述数据包和所述二级检测结果更新至所述数据库模块的数据库信息表中,由所述编译安装程序模块根据更新后的所述数据库信息表编译新的流表,并将所述流表安装至所述流量匹配与管制模块。2.根据权利要求1所述的网络流量检测方法,其特征在于,所述得到所述数据包的第一检测结果之后,还包括:获取所述流表对应的规则失效时间;若所述规则达到失效时间,将匹配到所述规则的数据包上传至所述计算平面子系统的检测引擎模块进行二级检测。3.根据权利要求1所述的网络流量检测方法,其特征在于,所述方法还包括:统计在同一属性下数据包的动作匹配项为拒绝的次数;其中,所述属性包括标识符、互联网协议地址和位置信息;若所述次数达到预设次数,对所述属性添加第一标识;其中,所述第一标识用于对动作匹配项为拒绝的数据包进行辨别;将所述数据包上传至所述计算平面子系统的检测引擎模块进行二级检测,得到第二检测结果。4.根据权利要求1所述的网络流量检测方法,其特征在于,所述控制平面子系统还包括用户控制模块,所述用户控制模块位于所述编译安装程序模块的上层;所述方法还包括:从所述数据库模块中获取数据库信息表;利用所述用户控制模块从所述数据库信息表中,提取规则生效标识为被置位状态的条目对应的规则信息,构建初始状态表;其中,所述数据库信息表包括规则、匹配项、动作、历史命中次数、命中时间戳、数据内容以及规则生效标识;将所述初始状态表中的最后命中时间初始化为0;将所述初始状态表的可修改标识初始化为可修改;根据所述数据库信息表中的动作,对所述初始状态表中的存储标志进行初始化后,生成状态表;其中,所述状态表包括规则、最后命中时间、可修改标志以及存储标志;
利用所述编译安装程序模块根据所述数据库信息表的数据结构,生成流表,并将所述流表安装至流量匹配与管制模块。5.根据权利要求1所述的网络流量检测方法,其特征在于,所述计算平面子系统还包括分类存储模块,所述分类存储模块位于所述流量匹配与管制模块的上层,所述根据所述第一检测结果,对所述数据包进行转发或丢弃处理,包括:若所述第一检测结果匹配的规则对应的动作匹配项为允许,则通过所述流量匹配与管制模块将所述数据包进行转发并收取;其中,所述动作匹配项包括允许、警告和拒绝;若所述第一检测结果匹配的规则对应的动作匹配项为警告,则通过所述流量匹配与管制模块在将所述数据包进行转发并收取后,将所述数据包镜像后添加虚拟局域网,并传输至分类存储模块,以使得所述分类存储模块根据状态表中的存储标志对镜像数据包进行处理;若所述第一检测结果匹配的规则对应的动作匹配项为拒绝,通过所述流量匹配与管制模块丢弃所述数据包,将所述数据包镜像后添加虚拟局域网,并传输至分类存储模块,以使得所述分类存储模块根据所述状态表中的存储标志对镜像数据包进行处理。6.根据权利要求5所述的网络流量检测方法,其特征在于,所述镜像数据包由所述分类存储模块通过以下方式进行处理:若所述存储标志未被置位时,丢弃所述镜像数据包;若所述存储标志被置位时,利用所述分类存储模块从添加的所述虚拟局域网中提取所述镜像数据包,并根据虚拟局域网标识将所述镜像数据包分类存储至所述数据库模块的数据库信息表中;根据所述数据包的匹配信息,对所述数据库信息表和状态表进行更新。7.根据权利要求6所述的网络流量检测方法,其特征在于,所述根据所述数据包的匹配信息,对所述数据库信息表和状态表进行更新,包括;将所述数据包与所述流表中的规则匹配成功的时间作为命中时间进行记录;根据所述命中时间对所述镜像数据包的命中时间戳进行更新;对所述镜像数据包的内容和所述命中时间戳进行记录,并将所述数据库信息表中对应数据包的历史命中次数增加1次;向用户控制模块进行报告,以使得所述用户控制模块根据所述命中时间戳对所述状态表的最后命中时间进行更新。8.根...
【专利技术属性】
技术研发人员:刘亚萍,杨智凯,张硕,方滨兴,黄帅,陈世越,周逸菲,许名广,杨茂森,
申请(专利权)人:鹏城实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。