【技术实现步骤摘要】
本申请涉及通信安全领域,尤其涉及数据过滤方法、装置、系统及存储介质。
技术介绍
1、随着现代网络规模的扩大和ip欺骗的日益严重,如何平衡流量过滤的安全性和性能已成为一个关键挑战。针对ddos和ip欺骗问题,已有许多解决方案,包括如基于路由器维护的黑名单来过滤恶意流量。
2、然而,由于黑名单的大小急剧增加,使得过滤规模持续增长,且安全需求也有所增加。随着存储的黑名单数量的增加,以及防御策略的复杂化,会使得设备的负载过高,不能有效的应对高速数据流的数据过滤要求。
技术实现思路
1、有鉴于此,本申请实施例提供了一种数据过滤方法、装置、系统及存储介质,以解决现有技术中由于网络规模的扩大和ip欺骗的盛行,黑名单数量增加,防御策略复杂化,使得设备的负载过高,不能有效的应对高速数据流的数据过滤要求的问题。
2、本申请实施例的第一方面提供了一种数据过滤方法,所述方法包括:
3、获取待过滤数据的五元组信息;
4、将所述待过滤数据的五元组信息的过滤任务分配至两个以上的网络设备进行过滤操作;
5、根据两个以上的所述网络设备的过滤结果,确定所述待过滤数据的过滤结果。
6、结合第一方面,在第一方面的第一种可能实现方式中,将所述待过滤数据的五元组信息的过滤任务分配至两个以上的网络设备进行过滤操作,包括:
7、获取数据平面的所述两个以上的网络设备的网络拓扑结构;
8、根据所述网络拓扑结构,结合所述网络设备的容量利用率
9、通过控制平面向所述数据平面发送负载分配信息,并根据所述负载分配信息确定所述网络设备的过滤任务。
10、结合第一方面的第一种可能实现方式,在第一方面的第二种可能实现方式中,根据所述网络拓扑结构,结合所述网络设备的容量利用率,确定所述五元组信息的过滤任务在各网络设备的负载分配信息,包括:
11、根据所述五元组信息生成待过滤的比特位序列,根据所述网络拓扑结构获得生成树;
12、对所述生成树的节点所分配的比特位序列的数量进行遍历,确定各生成树的节点分配方案中的最大容量利用率;
13、根据最大利用率最小的分配方案确定所述网络设备的负载分配信息。
14、结合第一方面的第二种可能实现方式,在第一方面的第三种可能实现方式中,在对所述生成树的节点所分配的比特位序列的数量进行遍历,确定各生成树的节点分配方案中的最大容量利用率之前,所述方法包括:
15、根据预先设定的过滤操作类型与操作成本的对应关系,确定所述网络设备中的待过滤的比特位序列的负载;
16、根据所述比特位序列的负载和所述网络设备的容量,确定所述网络设备的容量利用率。
17、结合第一方面的第二种可能实现方式,在第一方面的第四种可能实现方式中,对所述生成树的节点所分配的比特位序列的数量进行遍历,包括:
18、当所述网络设备为生成树中的叶子节点时,根据该叶子节点当前遍历的比特位数量确定所述叶子节点的负载;
19、当所述网络设备所在节点不是叶子节点时,则根据所述节点当前遍历的比特位数量作为所述节点和所述子节点的比特位数量和,遍历所述节点和所述节点下的子节点。
20、结合第一方面,在第一方面的第五种可能实现方式中,根据两个以上的所述网络设备的过滤结果,确定所述待过滤数据的过滤结果,包括:
21、对五元组黑名单集按照预定规则进行拆分,得到五元组黑名单包括的多个字段,根据多个黑名单的相同位置的字段创建字段表;
22、获取所述待过滤数据与所述字段表匹配的目标字段,根据所述目标字段创建布隆过滤器;
23、对多个字段对应的布隆过滤器执行按位与操作,根据按位与操作计算后的布隆过滤器获得第一交集;
24、确定字段表与待过滤数据匹配的目标字段最少的第一目标字段集,通过所述第一交集检索所述第一目标字段集中的目标字段,得到第二目标字段集;
25、根据所述第二目标字段集和所述五元组黑名单集中的协议号进行过滤校验,确定所述待过滤数据的过滤结果。
26、结合第一方面的第五种可能实现方式,在第一方面的第六种可能实现方式中,根据所述第二目标字段集和所述五元组黑名单集中的协议号进行过滤校验,确定所述待过滤数据的过滤结果,包括:
27、根据所述第二目标字段集中的黑名单序号查找对应的黑名单数据;
28、将查找的黑名单数据中的协议号与所述待过滤数据的协议号进行比较,根据比较结果对所述第二目标字段集进行筛选,得到所述待过滤数据的过滤结果。
29、本申请实施例的第二方面提供了一种数据过滤装置,所述装置包括:
30、信息获取单元,用于获取待过滤数据的五元组信息;
31、任务分配单元,用于将所述待过滤数据的五元组信息的过滤任务分配至两个以上的网络设备进行过滤操作;
32、过滤结构确定单元,用于根据两个以上的所述网络设备的过滤结果,确定所述待过滤数据的过滤结果。
33、结合第二方面,在第二方面的第一种可能实现方式中,所述任务分配单元包括:
34、拓扑结构获取子单元,用于获取数据平面的所述两个以上的网络设备的网络拓扑结构;
35、负载分配子单元,用于根据所述网络拓扑结构,结合所述网络设备的容量利用率,确定所述五元组信息的过滤任务在各网络设备的负载分配信息;
36、分配信息发送子单元,用于通过控制平面向所述数据平面发送负载分配信息,并根据所述负载分配信息确定所述网络设备的过滤任务。
37、结合第二方面的第一种可能实现方式,在第二方面的第二种可能实现方式中,所述负载分配子单元包括:
38、生成模块,用于根据所述五元组信息生成待过滤的比特位序列,根据所述网络拓扑结构获得生成树;
39、遍历模块,用于对所述生成树的节点所分配的比特位序列的数量进行遍历,确定各生成树的节点分配方案中的最大容量利用率;
40、负载分配信息确定模块,用于根据最大利用率最小的分配方案确定所述网络设备的负载分配信息。
41、结合第二方面的第二种可能实现方式,在第二方面的第三种可能实现方式中,所述装置包括:
42、负载确定单元,用于根据预先设定的过滤操作类型与操作成本的对应关系,确定所述网络设备中的待过滤的比特位序列的负载;
43、容量利用率确定单元,用于根据所述比特位序列的负载和所述网络设备的容量,确定所述网络设备的容量利用率。
44、结合第二方面的第二种可能实现方式,在第二方面的第四种可能实现方式中,所述遍历模块包括:
45、叶子节点遍历子模块,用于当所述网络设备为生成树中的叶子节点时,根据该叶子节点当前遍历的比特位数量确定所述叶子节点的负载;
46、非叶子节点遍历子模块,本文档来自技高网...
【技术保护点】
1.一种数据过滤方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,将所述待过滤数据的五元组信息的过滤任务分配至两个以上的网络设备进行过滤操作,包括:
3.根据权利要求2所述的方法,其特征在于,根据所述网络拓扑结构,结合所述网络设备的容量利用率,确定所述五元组信息的过滤任务在各网络设备的负载分配信息,包括:
4.根据权利要求3所述的方法,其特征在于,在对所述生成树的节点所分配的比特位序列的数量进行遍历,确定各生成树的节点分配方案中的最大容量利用率之前,所述方法包括:
5.根据权利要求3所述的方法,其特征在于,对所述生成树的节点所分配的比特位序列的数量进行遍历,包括:
6.根据权利要求1所述的方法,其特征在于,根据两个以上的所述网络设备的过滤结果,确定所述待过滤数据的过滤结果,包括:
7.根据权利要求6所述的方法,其特征在于,根据所述第二目标字段集和所述五元组黑名单集中的协议号进行过滤校验,确定所述待过滤数据的过滤结果,包括:
8.一种数据过滤装置,其特征在于,所述装置包括:
9.一种数据过滤系统,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述方法的步骤。
...【技术特征摘要】
1.一种数据过滤方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,将所述待过滤数据的五元组信息的过滤任务分配至两个以上的网络设备进行过滤操作,包括:
3.根据权利要求2所述的方法,其特征在于,根据所述网络拓扑结构,结合所述网络设备的容量利用率,确定所述五元组信息的过滤任务在各网络设备的负载分配信息,包括:
4.根据权利要求3所述的方法,其特征在于,在对所述生成树的节点所分配的比特位序列的数量进行遍历,确定各生成树的节点分配方案中的最大容量利用率之前,所述方法包括:
5.根据权利要求3所述的方法,其特征在于,对所述生成树的节点所分配的比特位序列的数量进行遍历,包括:
6.根据权利要求1所...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。