摘要
本申请公开了一种数据流量的访问控制方 法、装置、电子设备及存储介质,属于数据流量访 问控制领域,用以提高数据流量访问控制的灵活 性,所述方法包括:获取目标数据包;根据所述目 标数据包的第一特征,通过目标模型,确定所述 第一特征对应的第一操作,所述第一特征用于指 示所述目标数据包的归属,所述目标模型用于记 录数据包的特征与第一操作之间的对应关系;针 对所述目标数据包,执行所述第一操作。
1 .一种数据流量的访问控制方法,其特征在于,应用于可编程交换机,包括:
获取目标数据包; 根据所述目标数据包的第一特征,通过目标模型,确定所述第一特征对应的第一操作, 所述第一特征用于指示所述目标数据包的归属,所述目标模型用于记录数据包的特征与第 一操作之间的对应关系; 针对所述目标数据包,执行所述第一操作。
2.根据权利要求1所述的访问控制方法,其特征在于,
在所述获取目标数据包之后,所 述方法还包括: 根据网络控制节点设置的解析方式,解析所述目标数据包的包头; 通过所述包头,提取所述第一特征,所述第一特征包括:数据流的持续时间、发包间隔、 数据包链路层帧格式、网络层的协议号、传输层的端口号、应用层身份标识与用户位置中的 至少一者。
3.根据权利要求1所述的访问控制方法,其特征在于,
在确定所述第一操作为空集的情 况下,所述方法还包括: 执行预设的第二操作,所述第二操作与所述第一操作不同。
4.根据权利要求1所述的访问控制方法,其特征在于,
在根据所述目标数据包的第一特 征,通过目标模型,确定所述第一特征对应的第一操作之前,所述方法还包括: 根据所述目标数据包的互联网协议地址IP五元组,确定所述目标数据包的归属,所述 IP五元组包括:源地址、目的地址、源端口、目的端口和协议号; 以所述五元组的哈希值作为查询键,通过寄存器构建的访问控制列表,确定目标数据 包对应的待执行动作。
5.根据权利要求4所述的访问控制方法,其特征在于,
所述根据所述目标数据包的第一 特征,通过目标模型,确定所述第一特征对应的第一操作,包括: 在未确定出所述待执行动作的情况下,根据寄存器指示从所述目标数据包的特征集提 取所述第一特征输入所述目标模型; 根据所述目标数据包的链路层采用的协议,确定流量类型以确定所述目标数据包的归 属; 根据所述目标数据包的归属,确定所述第一操作。
6.根据权利要求5所述的访问控制方法,其特征在于,
所述方法还包括: 根据所述第一操作,在访问控制列表记录所述目标数据包所属数据流的表项; 在所述表项中,将所述目标数据包的IP五元组的哈希值作为键,所述第一操作为值进 行存储。
7 .根据权利要求5所述的访问控制方法,其特征在于,
所述方法还包括: 接收安装程序; 运行所述安装程序以安装所述目标模型。
8.根据权利要求7所述的访问控制方法,其特征在于,
在所述运行所述安装程序以安装 所述目标模型之后,所述方法还包括: 接收网络控制节点的控制以更改寄存器预定位置的参数。
9.根据权利要求3所述的访问控制方法,其特征在于,
所述第一操作包括:授权或发送,所述第二操作包括:拒绝、丢弃或告警。
10.一种数据流量的访问控制方法,其特征在于,
应用于网络控制节点,包括: 训练目标模型,所述目标模型用于记录数据包的特征与第一操作之间的对应关系; 将所述目标模型转换为安装程序,以使可编程交换机安装所述目标模型; 将所述安装程序发送至可编程交换机。
11 .根据权利要求10所述的访问控制方法,其特征在于,
将所述目标模型转换为安装程 序,包括: 将所述目标模型输入模型转换组件; 将所述目标模型的叶节点选取的特征与特征阈值转换为所述可编程交换机可读的赋 值、条件判断与寄存器读取程序; 将所述可读的赋值、条件判断与寄存器读取程序记录在所述安装程序中。
12.根据权利要求10所述的访问控制方法,其特征在于,
在所述将所述目标模型转换为 安装程序之前,所述方法还包括: 设置数据包的包头解析方式。
13.根据权利要求10所述的访问控制方法,其特征在于,
在所述将所述安装程序发送至 可编程交换机之后,所述方法还包括: 周期性更新所述目标模型; 根据更新后的目标模型的参数,更新所述可编程交换机中的目标模型。
14.根据权利要求10所述的访问控制方法,其特征在于,
所述根据更新后的目标模型的 参数,更新所述可编程交换机中的目标模型,包括: 根据更新后的目标模型的参数,控制所述可编程交换机更新寄存器预定位置的参数, 以更新所述目标模型。
15.一种数据流量的访问控制装置,其特征在于,包括:
获取模块,用于获取目标数据包; 确定模块,用于根据所述目标数据包的第一特征,通过目标模型,确定所述第一特征对 应的第一操作,所述第一特征用于指示所述目标数据包的归属,所述目标模型用于记录数 据包的特征与第一操作之间的对应关系; 执行模块,用于针对所述目标数据包,执行所述第一操作。
16.一种数据流量的访问控制装置,其特征在于,包括:
训练模块,用于训练目标模型,所述目标模型用于记录数据包的特征与第一操作之间 的对应关系; 转换模块,用于将所述目标模型转换为安装程序,以使可编程交换机安装所述目标模 型; 发送模块,用于将所述安装程序发送至可编程交换机。
17 .一种电子设备,其特征在于,包括:
处理器,存储器及存储在所述存储器上并可在所 述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求1‑9 任一项所述的数据流量的访问控制方法的步骤或者实现如权利要求10‑14任一项所述的数 据流量的访问控制方法的步骤。
18.一种可读存储介质,其特征在于,
所述可读存储介质上存储程序或指令,所述程序 或指令被处理器执行时实现如权利要求1‑9任一项所述的数据流量的访问控制方法的步骤 或者实现如权利要求10‑14任一项所述的数据流量的访问控制方法的步骤。
