数据流量处理方法、装置、光网络设备及存储介质转让专利
申请号 : CN202211442925.2
文献号 : CN115580485B
文献日 : 2023-03-21
发明人 : 李天萁 , 李煊 , 赵倩 , 汪壬甲 , 刘超 , 逯云松
申请人 : 网络通信与安全紫金山实验室
摘要 :
本发明提供一种数据流量处理方法、装置、光网络设备及存储介质,属于光通信技术领域,所述方法包括:获取过滤控制信息列表,过滤控制信息列表用于表征异常数据流量的攻击行为特征;基于过滤控制信息列表,通过第一挂钩点滤除异常数据流量;第一挂钩点是基于扩展的伯克利包过滤器eBPF在第一光网络设备的光电转换模块生效的挂钩点。本发明通过基于eBPF在光电转换模块生效第一挂钩点,可以基于第一挂钩点持续获取网络设备所收发的数据流量,进而可以基于过滤控制信息列表中的过滤控制信息对数据流量进行筛选,确定符合指定的攻击行为特征的数据流量为异常数据流量,进而通过第一挂钩点能够滤除异常数据流量,实现有效防御异常大数据流量。
权利要求 :
1.一种数据流量处理方法,其特征在于,应用于第一光网络设备,包括:获取过滤控制信息列表,所述过滤控制信息列表用于表征异常数据流量的攻击行为特征,所述过滤控制信息列表包括第一过滤控制信息,所述第一过滤控制信息是通过实时检测系统资源参数以及进行网络攻击检测,在确定所述第一光网络设备的通信端口存在异常数据流量的情况下获取的,所述系统资源参数用于表征所述第一光网络设备的运行状态;
基于所述过滤控制信息列表,通过第一挂钩点滤除异常数据流量;
所述第一挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的光电转换模块生效的挂钩点。
2.根据权利要求1所述数据流量处理方法,其特征在于,所述获取过滤控制信息列表,包括:通过第二挂钩点获取系统资源参数,所述第二挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的通信端口生效的挂钩点;
判断所述系统资源参数是否在预设范围内,获取判断结果;
若所述判断结果表示所述系统资源参数不在所述预设范围内,则对所述通信端口的数据包进行网络攻击检测,获取网络攻击检测结果;
在网络攻击检测结果表示所述通信端口存在第一异常数据流量的情况下,基于所述第一异常数据流量的攻击行为特征,生成第一过滤控制信息。
3.根据权利要求2所述数据流量处理方法,其特征在于,在所述生成第一过滤控制信息之后,还包括:通过无源光网络发送所述第一过滤控制信息,以在所述无源光网络中同步所述第一过滤控制信息。
4.根据权利要求1‑3任一项所述数据流量处理方法,其特征在于,所述过滤控制信息列表还包括第二过滤控制信息,所述获取过滤控制信息列表,包括:通过无源光网络接收第二过滤控制信息;
所述第二过滤控制信息是通过第二光网络设备生成的,所述第二光网络设备为所述无源光网络中除所述第一光网络设备以外的光网络设备。
5.根据权利要求4所述数据流量处理方法,其特征在于,在所述第一光网络设备为光网络单元ONU的情况下,在所述获取过滤控制信息列表之后,还包括:若基于所述过滤控制信息列表筛选到异常数据流量,则发送第一消息至光线路终端OLT,所述第一消息用于指示光网络单元ONU存在异常数据流量。
6.根据权利要求4所述数据流量处理方法,其特征在于,在所述第一光网络设备为光线路终端OLT的情况下,所述方法还包括:若确定在预设数量个周期内未收到用于指示光网络单元ONU存在异常数据流量的第一消息,且确定在预设数量个周期内均收到各光网络单元ONU上报的用于指示安全运行的心跳消息,则发送第二消息至无源光网络中的各光网络单元ONU;
所述第二消息用于指示清除所述过滤控制信息列表中的部分或全部过滤控制信息。
7.一种数据流量处理装置,其特征在于,应用于第一光网络设备,包括:获取模块,用于获取过滤控制信息列表,所述过滤控制信息列表用于表征异常数据流量的攻击行为特征,所述过滤控制信息列表包括第一过滤控制信息,所述第一过滤控制信息是通过实时检测系统资源参数以及进行网络攻击检测,在确定所述第一光网络设备的通信端口存在异常数据流量的情况下获取的,所述系统资源参数用于表征所述第一光网络设备的运行状态;
滤除模块,用于基于所述过滤控制信息列表,通过第一挂钩点滤除异常数据流量;
所述第一挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的光电转换模块生效的挂钩点。
8.根据权利要求7所述数据流量处理装置,其特征在于,所述获取模块具体用于:通过第二挂钩点获取系统资源参数,所述第二挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的通信端口生效的挂钩点;
判断所述系统资源参数是否在预设范围内,获取判断结果;
若所述判断结果表示所述系统资源参数不在所述预设范围内,则对所述通信端口的数据包进行网络攻击检测,获取网络攻击检测结果;
在网络攻击检测结果表示所述通信端口存在第一异常数据流量的情况下,基于所述第一异常数据流量的攻击行为特征,生成第一过滤控制信息。
9.一种光网络设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述数据流量处理方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述数据流量处理方法。
说明书 :
数据流量处理方法、装置、光网络设备及存储介质
技术领域
[0001] 本发明涉及光通信技术领域,尤其涉及一种数据流量处理方法、装置、光网络设备及存储介质。
背景技术
[0002] 无源光网络(Passive Optical Network,PON)是一种点对多点的光纤传输和接入技术。PON系统结构由中心局的光线路终端(Optical Line Terminal,OLT)、包含无源光器件的光分配网(Optical Distribution Network,ODN)、用户端的光网络单元(Optical Network Unit,ONU)/光网络终端(Optical Network Terminal,ONT)组成。
[0003] 增强现实(Augmented Reality,AR)/虚拟现实(Virtual Reality,VR)等技术应用,对PON技术在带宽、时延及安全性等方面提出更高的标准。异常大数据流量会造成无源光网络的带宽占用率过高和时延过大等性能异常情况。现有安全防护方法无法有效防御异常大数据流量,如何防御异常大数据流量是目前业界亟待解决的问题。
发明内容
[0004] 针对现有技术存在的问题,本发明实施例提供一种数据流量处理方法、装置、光网络设备及存储介质。
[0005] 第一方面,本发明提供一种数据流量处理方法,应用于第一光网络设备,包括:
[0006] 获取过滤控制信息列表,所述过滤控制信息列表用于表征异常数据流量的攻击行为特征;
[0007] 基于所述过滤控制信息列表,通过第一挂钩点滤除异常数据流量;
[0008] 所述第一挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的光电转换模块生效的挂钩点。
[0009] 可选地,根据本发明提供的一种数据流量处理方法,所述获取过滤控制信息列表,包括:
[0010] 通过第二挂钩点获取系统资源参数,所述系统资源参数用于表征所述第一光网络设备的运行状态,所述第二挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的通信端口生效的挂钩点;
[0011] 判断所述系统资源参数是否在预设范围内,获取判断结果;
[0012] 若所述判断结果表示所述系统资源参数不在所述预设范围内,则对所述通信端口的数据包进行网络攻击检测,获取网络攻击检测结果;
[0013] 在网络攻击检测结果表示所述通信端口存在第一异常数据流量的情况下,基于所述第一异常数据流量的攻击行为特征,生成第一过滤控制信息。
[0014] 可选地,根据本发明提供的一种数据流量处理方法,在所述生成第一过滤控制信息之后,还包括:
[0015] 通过无源光网络发送所述第一过滤控制信息,以在所述无源光网络中同步所述第一过滤控制信息。
[0016] 可选地,根据本发明提供的一种数据流量处理方法,所述获取过滤控制信息列表,包括:
[0017] 通过无源光网络接收第二过滤控制信息;
[0018] 所述第二过滤控制信息是通过第二光网络设备生成的,所述第二光网络设备为所述无源光网络中除所述第一光网络设备以外的光网络设备。
[0019] 可选地,根据本发明提供的一种数据流量处理方法,在所述第一光网络设备为光网络单元ONU的情况下,在所述获取过滤控制信息列表之后,还包括:
[0020] 若基于所述过滤控制信息列表筛选到异常数据流量,则发送第一消息至光线路终端OLT,所述第一消息用于指示光网络单元ONU存在异常数据流量。
[0021] 可选地,根据本发明提供的一种数据流量处理方法,在所述第一光网络设备为光线路终端OLT的情况下,所述方法还包括:
[0022] 若确定在预设数量个周期内未收到用于指示光网络单元ONU存在异常数据流量的第一消息,且确定在预设数量个周期内均收到各光网络单元ONU上报的用于指示安全运行的心跳消息,则发送第二消息至无源光网络中的各光网络单元ONU;
[0023] 所述第二消息用于指示清除所述过滤控制信息列表中的部分或全部过滤控制信息。
[0024] 第二方面,本发明还提供一种数据流量处理装置,应用于第一光网络设备,包括:
[0025] 获取模块,用于获取过滤控制信息列表,所述过滤控制信息列表用于表征异常数据流量的攻击行为特征;
[0026] 滤除模块,用于基于所述过滤控制信息列表,通过第一挂钩点滤除异常数据流量;
[0027] 所述第一挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的光电转换模块生效的挂钩点。
[0028] 第三方面,本发明还提供一种光网络设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述数据流量处理方法。
[0029] 第四方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述数据流量处理方法。
[0030] 本发明提供的数据流量处理方法、装置、光网络设备及存储介质,通过基于eBPF在网络设备的光电转换模块生效第一挂钩点,可以基于第一挂钩点持续获取网络设备所接收到的数据流量和/或网络设备所发送的数据流量,进而可以基于过滤控制信息列表中的过滤控制信息对数据流量进行筛选,判断数据流量是否符合指定的攻击行为特征,可以确定符合指定的攻击行为特征的数据流量为异常数据流量,进而通过第一挂钩点能够滤除异常数据流量,实现有效防御异常大数据流量。
附图说明
[0031] 为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0032] 图1是本发明提供的数据流量处理方法的流程示意图之一;
[0033] 图2是本发明提供的eBPF挂钩点的示意图;
[0034] 图3是本发明提供的无源光网络拓扑示意图;
[0035] 图4是本发明提供的数据流量处理方法的流程示意图之二;
[0036] 图5是本发明提供的数据流量处理装置的结构示意图;
[0037] 图6是本发明提供的光网络设备的结构示意图。
具体实施方式
[0038] 为了便于更加清晰地理解本发明各实施例,首先对一些相关的背景知识进行如下介绍。
[0039] 相关技术中,PON网络的设备的安全性主要是通过配置访问控制列表(Access Control List,ACL)、入侵检测系统(Intrusion Detection System,IDS)和入侵防御系统(Intrusion Prevention System,IPS)等方式实现。
[0040] ACL访问规则是应用在设备(如ONU)的接口的指令列表,用来告诉设备哪些数据包可以接收以及哪些需要拒绝。需要明确给出接收或拒绝的源/目的地址、端口号以及出向入向等指定条件来决定。一旦设置ACL规则,系统中将按照序号从小到大进行优先级规则匹配。同时ACL并不能单独完成控制网络访问行为或者限制网络流量的效果,而是需要应用到具体的业务模块才能实现。
[0041] 入侵检测系统与防火墙不同,是一个旁路监听设备,无需网络流量就可以工作。IDS的部署要求是需要挂接在所关注的流量都必须流经的链路上,“所关注的流量”指的是来自高危网络区域的访问流量和需要进行统计和监视的网络报文。对于光网络来说,很难定义什么区域是高危区域,并且针对多ONU/ONT所处不同的物理位置,旁路部署大量的IDS需要较高成本。
[0042] IPS技术可以深度感知并检测流经的数据流量,对恶意流量进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。IPS为了达到防御效果,需要在光网络中的各出入口以及根据区域的重要程度进行部署,而一旦某个网络区域之前并不是高危区域,未能提前进行相关IPS的部署,将会无法保障整个光网络的安全。
[0043] 为了克服上述缺陷,本发明提供一种数据流量处理方法、装置、光网络设备及存储介质,基于过滤控制信息列表,通过挂钩点滤除异常数据流量,可以实现有效防御异常大数据流量。
[0044] 为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0045] 图1是本发明提供的数据流量处理方法的流程示意图之一,如图1所示,所述数据流量处理方法的执行主体可以是第一光网络设备,例如ONU、ONT或OLT等。该方法包括:
[0046] 步骤101,获取过滤控制信息列表,所述过滤控制信息列表用于表征异常数据流量的攻击行为特征。
[0047] 具体地,为了实现防御异常大数据流量,可以获取过滤控制信息列表,过滤控制信息列表可以表征异常数据流量的攻击行为特征,进而可以基于过滤控制信息列表中的一个或多个过滤控制信息对数据流量进行筛选。
[0048] 可选地,可以将一个或多个默认过滤控制信息预先配置在网络设备中,相应地,获取过滤控制信息列表可以是通过读取预先配置在网络设备中的信息,获取一个或多个默认过滤控制信息,进而可以将默认过滤控制信息添加至过滤控制信息列表。
[0049] 可选地,在无源光网络中,OLT可以持有一个或多个默认过滤控制信息,相应地,获取过滤控制信息列表可以是ONU向OLT发送请求消息以请求OLT所持有的默认过滤控制信息,ONU接收OLT发送的携带有一个或多个默认过滤控制信息的消息,进而可以将一个或多个默认过滤控制信息添加至过滤控制信息列表。
[0050] 可选地,过滤控制信息列表中的过滤控制信息可以包括端口、地址和字符串等参数。例如,可以基于字符串参数,通过字符串匹配引擎可以对数据流量中的数据内容进行筛查,对于异常数据流量进行过滤阻断。
[0051] 步骤102,基于所述过滤控制信息列表,通过第一挂钩点滤除异常数据流量;
[0052] 所述第一挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的光电转换模块生效的挂钩点。
[0053] 具体地,通过基于eBPF在第一光网络设备的光电转换模块生效第一挂钩点,可以基于第一挂钩点持续获取第一光网络设备所接收到的数据流量和/或第一光网络设备所发送的数据流量;在获取数据流量之后,第一光网络设备可以基于过滤控制信息列表中的一个或多个过滤控制信息对数据流量进行筛选,判断数据流量是否符合指定的攻击行为特征,若某数据流量符合指定的攻击行为特征,则可以确定该数据流量为异常数据流量;若确定存在异常数据流量,第一光网络设备可以通过第一挂钩点滤除该异常数据流量。
[0054] 可以理解的是,第一光网络设备通过第一挂钩点可以获取数据流量,第一光网络设备通过第一挂钩点还可以滤除异常数据流量。
[0055] 例如,过滤控制信息列表包括过滤控制信息A和过滤控制信息B,过滤控制信息A可以表征第一攻击行为特征,过滤控制信息B可以表征第二攻击行为特征。基于第一挂钩点持续获取第一光网络设备所收发的数据流量,基于过滤控制信息A和过滤控制信息B,可以判断数据流量是否符合指定的攻击行为特征。若确定第一数据流量符合第一攻击行为特征,则可以确定第一数据流量为异常数据流量,进而可以通过第一挂钩点滤除第一数据流量;若确定第二数据流量符合第二攻击行为特征,则可以确定第二数据流量为异常数据流量,进而可以通过第一挂钩点滤除第二数据流量。
[0056] 可以理解的是,无源光网络中的设备OLT/ONU底层使用了Linux系统,根据Linux系统开源的特性,可以通过改造OLT/ONU等设备的底层系统,让其具备对异常数据流量的检测及过滤清洗能力,从而避免造成网络带宽资源异常占用、正常业务通信时延受影响的现象。
[0057] 图2是本发明提供的eBPF挂钩点的示意图,如图2所示,eBPF程序具备事件驱动的特性,可在内核或应用程序通过某个挂钩点(hook)运行,可以在程序1对应的系统调用模块设置eBPF挂钩点1、可以在虚拟文件系统设置eBPF挂钩点2,可以在块设备和存储模块之间设置eBPF挂钩点3,可以在程序2设置eBPF挂钩点4,可以在程序2对应的系统调用模块设置eBPF挂钩点5,可以在套接字(Sockets)模块设置eBPF挂钩点6,可以在传输控制协议(Transmission Control Protocol,TCP)/网际互连协议(Internet Protocol,IP)模块设置eBPF挂钩点7,可以在网络设备和网卡之间设置eBPF挂钩点8和可以在网卡模块设置eBPF挂钩点9,上述第一挂钩点可以是图2中的eBPF挂钩点9。预定义的钩子包括但不限于系统调用、函数进入/退出、内核跟踪点或网络事件等。
[0058] 利用与平台无关、内核无关以及高安全的eBPF技术,eBPF过滤的编码实现通过字节码的形式,直接运行在内核态。当无源光网络中设备间数据报文传输过程中,通过对各设备中的运行状态、系统资源消耗等参数进行实时监测;一旦发现系统底层“黑盒”中出现了异常情况,将快速完成相关异常数据流量的过滤,保障正常业务流量的顺畅运行。
[0059] 本发明提供的数据流量处理方法,通过基于eBPF在网络设备的光电转换模块生效第一挂钩点,可以基于第一挂钩点持续获取网络设备所接收到的数据流量和/或网络设备所发送的数据流量,进而可以基于过滤控制信息列表中的过滤控制信息对数据流量进行筛选,判断数据流量是否符合指定的攻击行为特征,可以确定符合指定的攻击行为特征的数据流量为异常数据流量,进而通过第一挂钩点能够滤除异常数据流量,实现有效防御异常大数据流量。
[0060] 可选地,根据本发明提供的一种数据流量处理方法,所述获取过滤控制信息列表,包括:
[0061] 通过第二挂钩点获取系统资源参数,所述系统资源参数用于表征所述第一光网络设备的运行状态,所述第二挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的通信端口生效的挂钩点;
[0062] 判断所述系统资源参数是否在预设范围内,获取判断结果;
[0063] 若所述判断结果表示所述系统资源参数不在所述预设范围内,则对所述通信端口的数据包进行网络攻击检测,获取网络攻击检测结果;
[0064] 在网络攻击检测结果表示所述通信端口存在第一异常数据流量的情况下,基于所述第一异常数据流量的攻击行为特征,生成第一过滤控制信息。
[0065] 具体地,通过基于eBPF在第一光网络设备的通信端口生效第二挂钩点,可以基于第二挂钩点持续获取系统资源参数,在获取系统资源参数之后,可以判断系统资源参数是否在预设范围内,若确定系统资源参数不在预设范围内,则表示第一光网络设备未处于期望的运行状态,第一光网络设备收发的数据流量中可能存在异常数据流量。进而可以对第一光网络设备的通信端口的数据包进行网络攻击检测,获取网络攻击检测结果,进而在网络攻击检测结果表示通信端口存在第一异常数据流量的情况下,可以基于第一异常数据流量的攻击行为特征,生成第一过滤控制信息。
[0066] 具体地,在确定第一过滤控制信息之后,可将第一过滤控制信息添加至过滤控制信息列表,进而基于过滤控制信息列表,通过第一挂钩点可以滤除第一异常数据流量。
[0067] 可选地,为了获取网络攻击检测结果,可以对通信端口的数据包进行采样获取多个待检测数据包,进而可以对多个待检测数据包进行预处理并输入至网络攻击检测模型,通过该模型进行网络攻击检测,获取网络攻击检测结果,网络攻击检测结果可以表示通信端口是否存在异常数据流量,以及异常数据流量对应的攻击行为分类,该攻击行为分类可以表征攻击行为特征。
[0068] 例如,网络攻击检测模型可以包括自动编码网络、循环神经网络和分类器。通过将预处理后的待检测数据包输入自动编码网络,以对数据包进行自动编码解码获得重构特征向量,进而可以将重构特征向量输入到循环神经网络中,以获得内部特征信息(内部特征信息用于表征流量数据的内部特征的前后相关性),进而通过分类器可以对内部特征信息进行分类,该分类结果可以表示通信端口是否存在异常数据流量,以及异常数据流量对应的攻击行为分类。
[0069] 可选地,上述第二挂钩点可以是图2中的eBPF挂钩点7。
[0070] 因此,通过第二挂钩点获取系统资源参数,可以实时检测系统资源参数,进而可以在网络设备未处于期望的运行状态的情况下,进行网络攻击检测,进而能够在通信端口存在异常数据流量的情况下,获取过滤控制信息,该过滤控制信息可以用于滤除异常数据流量。
[0071] 可选地,根据本发明提供的一种数据流量处理方法,在所述生成第一过滤控制信息之后,还包括:
[0072] 通过无源光网络发送所述第一过滤控制信息,以在所述无源光网络中同步所述第一过滤控制信息。
[0073] 具体地,在确定第一过滤控制信息之后,可以通过无源光网络发送第一过滤控制信息,以使无源光网络中的其他网络设备获知使用第一过滤控制信息能够滤除第一异常数据流量。
[0074] 可选地,第一光网络设备可以是第一ONU。“通过无源光网络发送第一过滤控制信息”具体可以是,第一ONU发送携带有第一过滤控制信息的消息至OLT,进而通过OLT广播携带有第一过滤控制信息的消息至无源光网络中的各第二ONU。
[0075] 可选地,第一光网络设备可以是OLT。“通过无源光网络发送第一过滤控制信息”具体可以是,OLT广播携带有第一过滤控制信息的消息至无源光网络中的各ONU。
[0076] 可以理解的是,OLT通过广播携带有第一过滤控制信息的消息,可以实现全网具备防御第一异常数据流量的能力。
[0077] 因此,通过无源光网络发送第一过滤控制信息,可以使其他网络设备获知使用第一过滤控制信息能够滤除第一异常数据流量,避免其他网络设备重复执行生成第一过滤控制信息的操作,提高全网滤除异常数据流量的效率。
[0078] 可选地,根据本发明提供的一种数据流量处理方法,所述获取过滤控制信息列表,包括:
[0079] 通过无源光网络接收第二过滤控制信息;
[0080] 所述第二过滤控制信息是通过第二光网络设备生成的,所述第二光网络设备为所述无源光网络中除所述第一光网络设备以外的光网络设备。
[0081] 具体地,为了获取过滤控制信息列表,可以通过无源光网络接收第二过滤控制信息,并将第二过滤控制信息添加至过滤控制信息列表,进而通过第一挂钩点可以滤除异常数据流量。
[0082] 可以理解的是,第二光网络设备可以基于第二异常数据流量的攻击行为特征,确定生成第二过滤控制信息,第一光网络设备可以通过无源光网络接收第二过滤控制信息,进而第一光网络设备可以基于第二过滤控制信息通过第一挂钩点滤除第二异常数据流量。
[0083] 可选地,过滤控制信息列表可以包括第一过滤控制信息和/或第二过滤控制信息,第一光网络设备可以基于第一异常数据流量的攻击行为特征,确定生成第一过滤控制信息,第一光网络设备还可以通过无源光网络接收第二过滤控制信息,第一光网络设备可以通过多种方式获取过滤控制信息。
[0084] 可以理解的是,第一异常数据流量的攻击行为特征与第二异常数据流量的攻击行为特征可以相同或不相同,在第一异常数据流量的攻击行为特征与第二异常数据流量的攻击行为特征相同的情况下,第一过滤控制信息与第二过滤控制信息相同;在第一异常数据流量的攻击行为特征与第二异常数据流量的攻击行为特征不相同的情况下,第一过滤控制信息与第二过滤控制信息不相同。
[0085] 可选地,第一光网络设备可以是ONU,第二光网络设备可以是OLT,ONU可以接收OLT发送的第二过滤控制信息,并将第二过滤控制信息添加至过滤控制信息列表,进而ONU通过第一挂钩点可以滤除异常数据流量。
[0086] 可选地,第一光网络设备可以是OLT,第二光网络设备可以是ONU,OLT可以接收ONU发送的第二过滤控制信息,并将第二过滤控制信息添加至过滤控制信息列表,进而OLT通过第一挂钩点可以滤除异常数据流量。
[0087] 因此,可以接收第二光网络设备发送的过滤控制信息,进而能够基于该过滤控制信息滤除异常数据流量。
[0088] 可选地,根据本发明提供的一种数据流量处理方法,在所述第一光网络设备为光网络单元ONU的情况下,在所述获取过滤控制信息列表之后,还包括:
[0089] 若基于所述过滤控制信息列表筛选到异常数据流量,则发送第一消息至光线路终端OLT,所述第一消息用于指示光网络单元ONU存在异常数据流量。
[0090] 具体地,在获取过滤控制信息列表之后,ONU可以基于过滤控制信息列表中的过滤控制信息对数据流量进行筛选,判断数据流量是否符合指定的攻击行为特征,若某数据流量符合指定的攻击行为特征,则可以确定筛选到异常数据流量,进而可以发送第一消息至OLT,以使OLT获取该ONU存在异常数据流量。
[0091] 因此,ONU可以基于过滤控制信息列表筛选异常数据流量,若确定筛选到异常数据流量,则可以通过发送第一消息至OLT,能够使OLT获取该ONU存在异常数据流量,辅助OLT监控全网中异常数据流量的滤除情况。
[0092] 可选地,根据本发明提供的一种数据流量处理方法,在所述第一光网络设备为光线路终端OLT的情况下,在所述通过无源光网络接收第二过滤控制信息之后,还包括:
[0093] 发送所述第二过滤控制信息至无源光网络中的各光网络单元ONU。
[0094] 具体地,第一光网络设备可以是OLT,OLT可以接收ONU发送的第二过滤控制信息,进而OLT可以通过广播方式将第二过滤控制信息发送至无源光网络中的各光网络单元ONU,以使全网的ONU均可以基于第二过滤控制信息滤除第二异常数据流量。
[0095] 因此,OLT通过广播第二过滤控制信息,可以实现全网具备防御第二异常数据流量的能力。
[0096] 可选地,根据本发明提供的一种数据流量处理方法,在所述第一光网络设备为光线路终端OLT的情况下,所述方法还包括:
[0097] 若确定在预设数量个周期内未收到用于指示光网络单元ONU存在异常数据流量的第一消息,且确定在预设数量个周期内均收到各光网络单元ONU上报的用于指示安全运行的心跳消息,则发送第二消息至无源光网络中的各光网络单元ONU;
[0098] 所述第二消息用于指示清除所述过滤控制信息列表中的部分或全部过滤控制信息。
[0099] 具体地,OLT可以持续监听第一消息以及心跳消息,若确定在预设数量个周期内未收到第一消息,且确定在预设数量个周期内均收到各ONU上报的用于指示安全运行的心跳消息,则表示全网已不存在异常数据流量,可以广播第二消息至无源光网络中的各ONU,以使各ONU清除过滤控制信息列表中的部分或全部过滤控制信息,能够在全网无异常数据流量的情况下,减少ONU筛选异常数据流量的运算量。
[0100] 可选地,在全网无异常数据流量的情况下,可以广播第二消息至无源光网络中的各ONU,第二消息可以指示清除所述过滤控制信息列表中的部分过滤控制信息,保留默认过滤控制信息。
[0101] 因此,在全网无异常数据流量的情况下,通过广播第二消息能够减少ONU筛选异常数据流量的运算量。
[0102] 以下为本发明的两个可选的示例,但不作为对本发明的限定。
[0103] 示例一,图3是本发明提供的无源光网络拓扑示意图,如图3所示,无源光网络拓扑可以包括OLT、ODN、ONU和ONT。
[0104] 可选地,可以在无源光网络中的若干设备(如OLT或ONU等)中,可以按照不同的设备类型编译独立的具有eBPF特性的逻辑程序。
[0105] 可选地,在ONU中,可以创建守护程序ONU‑Daemon,该程序可以基于过滤控制信息列表持续监测收发的数据流量中是否存在异常数据流量,并滤除异常数据流量;该程序还可以持续监测系统资源参数(例如,CPU资源占用参数、内存资源占用参数或端口资源参数等),以判断ONU的运行状态是否处于期望的运行状态;该程序还可以接收OLT广播的过滤控制信息。
[0106] 可选地,在OLT中,可以创建守护程序OLT‑Daemon,该程序可以收集全部注册到本OLT上并且已经安装了ONU‑Daemon的所有ONU目前运行的状况信息;还可以在有流量影响到ONU运行的情况下,把该ONU主动上报的过滤控制信息同步至其他ONU;还可以在全网内ONU均正常运行的情况下,广播第二消息至无源光网络中的各ONU,以指示ONU清除过滤控制信息列表中的部分或全部过滤控制信息。
[0107] 可选地,对于ONU中的ONU‑Daemon,该程序可以对系统的CPU利用率、内存消耗和网络连接数等多种资源参数进行实时监测。若确定系统资源参数不在预设范围内,则对通信端口的数据包进行网络攻击检测,获取网络攻击检测结果,在网络攻击检测结果表示通信端口存在异常数据流量的情况下,基于所述该异常数据流量的攻击行为特征,确定过滤控制信息,进而基于该过滤控制信息可以滤除异常数据流量。该异常数据流量包括但不限于异常数据包分片超长(每个数据报文均超过1518字节)等,大量与正常网络和业务运行无关的其他流量。
[0108] 可选地,ONU‑Daemon可以通过OLT获取当前无源光网络中其他ONU的过滤控制信息至本地设备,以实现提前防御。
[0109] 可选地,一个正常运行的ONU,一旦收到OLT‑Daemon发送的过滤控制信息,则会进行过滤控制信息的配置。
[0110] 可选地,一个异常运行的ONU,检测到自身运行状态的异常,会同步本地的过滤控制信息至OLT‑Daemon。
[0111] 可以理解的是,通过在各ONU中创建上述守护程序ONU‑Daemon,以及在OLT中创建上述守护程序OLT‑Daemon,可以减少无源光网络中的带宽占用率过高或时延过大等性能异常情况,并且保障数据在网络中的可靠传输,可以为用户提供更加稳定可靠的光网络接入服务。
[0112] 示例二,图4是本发明提供的数据流量处理方法的流程示意图之二,如图4所示,该数据流量处理方法可以包括步骤401至步骤411。
[0113] 步骤401,安装基于eBPF的逻辑程序;
[0114] 具体地,网络中OLT和ONU分别安装基于eBPF的监测及过滤逻辑程序OLT‑Daemon和ONU‑Daemon。
[0115] 步骤402,建立心跳同步连接;
[0116] 具体地,通过安全防护专用交互通道建立心跳同步连接,网络中ONU通过ONU‑Daemon与OLT上的OLT‑Daemon进行心跳同步后,OLT‑Daemon可以获取到已安装ONU‑Daemon并且正常注册的ONU的状态,同步完成后,完成全部注册流程,确保运行状态正常。
[0117] 可选地,状态同步过程包括ONU‑Daemon和OLT‑Daemon均全部正常运行,通过固定时间的心跳消息,ONU端会主动上报自身状态,如已上线、安全运行或不安全运行等状态,OLT端会收集并储存ONU的实时最新状态。
[0118] 步骤403,ONU‑B发送异常数据流量;
[0119] 具体地,上述网络中,ONU‑B由于某种原因,被恶意程序挟持,随即通过ODN持续地向另一台或多台ONU发送异常数据流量。
[0120] 步骤404,确定系统资源参数不在预设范围内;
[0121] 具体地,ONU‑A利用加载eBPF内核网络技术的ONU‑Daemon在端口生效一个挂接点,该程序可以在ONU上后台运行,可以实时监测自身多种系统资源参数。由于ONU‑Daemon预先设置了部分经验值,如ONU单颗CPU阈值为90%或每秒收到的报文数量超过端口能力的80%,则触发异常。
[0122] 步骤405,ONU‑A过滤异常数据流量;
[0123] 具体地,ONU‑A上的ONU‑Daemon根据收到的报文内容解析,根据数据报文长度、数据报文各字段内容和数据包时间等内容进行攻击行为的判定,从而生成过滤控制信息。随后启动自我防御修复过程,ONU‑Daemon运用eBPF技术在光电转换模块生效一个挂钩点,基于滤控制信息,能够迅速过滤异常的数据包。
[0124] 可选地,被挟持的ONU‑B自身由于不断外发数据包,达到某个阈值,也会触发ONU‑Daemon中的监测异常的流程,从而进行网络攻击检测,生成第一过滤控制信息;或者ONU‑B发送的数据包没有到达阈值,没有触发异常检测流程,则会继续被挟持,发送异常流量给ONU‑A。
[0125] 步骤406,OLT感知到ONU‑A异常;
[0126] 具体地,若该ONU‑A被大量数据包阻塞后无法正常交互,OLT侧未收到心跳同步消息,可以感知到ONU‑A连接状态异常。
[0127] 可选地,ONU‑B由于不停外发异常数据包,与OLT通信消息时断时续,OLT也可以感知到ONU‑B的连接状态异常。
[0128] 步骤407,ONU‑A上报第一过滤控制信息至OLT;
[0129] 具体地,当被阻断的ONU‑A恢复正常工作后,会通过安全信息交互信道将过滤控制信息等内容上报给OLT。
[0130] 步骤408,OLT广播第一过滤控制信息;
[0131] 具体地,OLT将收到过滤控制信息广播到网络中的所有ONU,其中也包括被挟持的异常ONU‑B。
[0132] 步骤409,接收到广播消息的ONU配置第一过滤控制信息;
[0133] 可选地,被挟持的ONU‑B收到广播信息,ONU‑B的ONU‑Daemon通过即时编译生成的eBPF程序,加载收到的过滤控制信息,过滤掉异常数据流量,恢复自身网络功能至正常运行状态。
[0134] 步骤410,被挟持ONU‑B上报自身修复报告至OLT;
[0135] 步骤411,OLT若确定全网无异常数据流量,则广播第二消息。
[0136] 具体地,若确定在预设数量个周期内未收到用于指示光网络单元ONU存在异常数据流量的第一消息,且确定在预设数量个周期内均收到各光网络单元ONU上报的用于指示安全运行的心跳消息,则发送第二消息至无源光网络中的各光网络单元ONU;第二消息用于指示清除过滤控制信息列表中的部分或全部过滤控制信息。
[0137] 本发明提供的数据流量处理方法,通过基于eBPF在网络设备的光电转换模块生效第一挂钩点,可以基于第一挂钩点持续获取网络设备所接收到的数据流量和/或网络设备所发送的数据流量,进而可以基于过滤控制信息列表中的过滤控制信息对数据流量进行筛选,判断数据流量是否符合指定的攻击行为特征,可以确定符合指定的攻击行为特征的数据流量为异常数据流量,进而通过第一挂钩点能够滤除异常数据流量,实现有效防御异常大数据流量。
[0138] 下面对本发明提供的数据流量处理装置进行描述,下文描述的数据流量处理装置与上文描述的数据流量处理方法可相互对应参照。
[0139] 图5是本发明提供的数据流量处理装置的结构示意图,如图5所示,所述装置应用于第一光网络设备,包括:获取模块501和滤除模块502,其中:
[0140] 获取模块501,用于获取过滤控制信息列表,所述过滤控制信息列表用于表征异常数据流量的攻击行为特征;
[0141] 滤除模块502,用于基于所述过滤控制信息列表,通过第一挂钩点滤除异常数据流量;
[0142] 所述第一挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的光电转换模块生效的挂钩点。
[0143] 本发明提供的数据流量处理装置,通过基于eBPF在网络设备的光电转换模块生效第一挂钩点,可以基于第一挂钩点持续获取网络设备所接收到的数据流量和/或网络设备所发送的数据流量,进而可以基于过滤控制信息列表中的过滤控制信息对数据流量进行筛选,判断数据流量是否符合指定的攻击行为特征,可以确定符合指定的攻击行为特征的数据流量为异常数据流量,进而通过第一挂钩点能够滤除异常数据流量,实现有效防御异常大数据流量。
[0144] 可选地,所述获取模块具体用于:
[0145] 通过第二挂钩点获取系统资源参数,所述系统资源参数用于表征所述第一光网络设备的运行状态,所述第二挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的通信端口生效的挂钩点;
[0146] 判断所述系统资源参数是否在预设范围内,获取判断结果;
[0147] 若所述判断结果表示所述系统资源参数不在所述预设范围内,则对所述通信端口的数据包进行网络攻击检测,获取网络攻击检测结果;
[0148] 在网络攻击检测结果表示所述通信端口存在第一异常数据流量的情况下,基于所述第一异常数据流量的攻击行为特征,生成第一过滤控制信息。
[0149] 可选地,所述装置还包括第一发送模块,在所述生成第一过滤控制信息之后,所述第一发送模块用于:
[0150] 通过无源光网络发送所述第一过滤控制信息,以在所述无源光网络中同步所述第一过滤控制信息。
[0151] 可选地,所述获取模块具体用于:
[0152] 通过无源光网络接收第二过滤控制信息;
[0153] 所述第二过滤控制信息是通过第二光网络设备生成的,所述第二光网络设备为所述无源光网络中除所述第一光网络设备以外的光网络设备。
[0154] 可选地,在所述第一光网络设备为光网络单元ONU的情况下,所述装置还包括第二发送模块,在所述获取过滤控制信息列表之后,所述第二发送模块用于:
[0155] 若基于所述过滤控制信息列表筛选到异常数据流量,则发送第一消息至光线路终端OLT,所述第一消息用于指示光网络单元ONU存在异常数据流量。
[0156] 可选地,在所述第一光网络设备为光线路终端OLT的情况下,所述装置还包括第三发送模块,所述第三发送模块用于:
[0157] 若确定在预设数量个周期内未收到用于指示光网络单元ONU存在异常数据流量的第一消息,且确定在预设数量个周期内均收到各光网络单元ONU上报的用于指示安全运行的心跳消息,则发送第二消息至无源光网络中的各光网络单元ONU;
[0158] 所述第二消息用于指示清除所述过滤控制信息列表中的部分或全部过滤控制信息。
[0159] 本发明提供的数据流量处理装置,通过基于eBPF在网络设备的光电转换模块生效第一挂钩点,可以基于第一挂钩点持续获取网络设备所接收到的数据流量和/或网络设备所发送的数据流量,进而可以基于过滤控制信息列表中的过滤控制信息对数据流量进行筛选,判断数据流量是否符合指定的攻击行为特征,可以确定符合指定的攻击行为特征的数据流量为异常数据流量,进而通过第一挂钩点能够滤除异常数据流量,实现有效防御异常大数据流量。
[0160] 图6是本发明提供的光网络设备的结构示意图,如图6所示,该光网络设备可以包括:处理器(processor)610、通信接口(Communications Interface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令,以执行数据流量处理方法,例如该方法包括:
[0161] 获取过滤控制信息列表,所述过滤控制信息列表用于表征异常数据流量的攻击行为特征;
[0162] 基于所述过滤控制信息列表,通过第一挂钩点滤除异常数据流量;
[0163] 所述第一挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的光电转换模块生效的挂钩点。
[0164] 此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read‑Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0165] 另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的数据流量处理方法,例如该方法包括:
[0166] 获取过滤控制信息列表,所述过滤控制信息列表用于表征异常数据流量的攻击行为特征;
[0167] 基于所述过滤控制信息列表,通过第一挂钩点滤除异常数据流量;
[0168] 所述第一挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的光电转换模块生效的挂钩点。
[0169] 又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的数据流量处理方法,例如该方法包括:
[0170] 获取过滤控制信息列表,所述过滤控制信息列表用于表征异常数据流量的攻击行为特征;
[0171] 基于所述过滤控制信息列表,通过第一挂钩点滤除异常数据流量;
[0172] 所述第一挂钩点是基于扩展的伯克利包过滤器eBPF在所述第一光网络设备的光电转换模块生效的挂钩点。
[0173] 以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
[0174] 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0175] 最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。