一种加密流识别方法以及装置与流程

1.本说明书涉及通信技术领域，尤其涉及一种加密流识别方法以及装置。


背景技术：

2.随着网络技术的发展，人们对于网络安全性的需求也逐渐增加，在网络中加密流量的转发大幅增加，其中，tls(传输层安全性，transport layer security)协议作为一项确保应用隐私的加密协议，广泛的应用于网络数据交互，比如可以应用于http(超文本传输协议，hyper text transfer protocol，http)相关的协议或smtp(简单邮件传输协议，simple mail transfer protocol)协议等基础之上，比如https(超文本传输安全协议，hyper text transfer protocol secure)协议就是在http协议基础上应用tls协议实现的。
3.为了能够提升数据传输的安全性，数据流可以被上送至处理器进行分析，并结合人工智能算法对数据流进行内容识别，在交换设备中可以通过网络流模块实现对于数据流引流到处理器进行处理。由于网络流模块并不会区分数据流是否被加密，这些数据流全部上送处理器无疑会增加交换设备中处理器的处理压力，降低了交换设备进行数据转发处理的效率。


技术实现要素：

4.为克服相关技术中存在的问题，本说明书提供了一种加密流识别方法以及装置。
5.结合本说明书实施方式的第一方面，本技术提供了一种加密流识别方法，包括：
6.根据转发芯片上送的加密协议握手报文，获取握手报文的五元组信息；
7.向转发芯片下发生成的接入管理列表acl表项，其中，acl表项用于指示转发芯片将根据五元组信息中的匹配项确定出加密数据报文引流至转发芯片的网络流模块，以使转发芯片通过网络流模块生成功能流表并将加密数据报文镜像到处理器；
8.根据转发芯片上送的加密数据报文进行流量识别；
9.在接收到的加密数据报文的数量到达预设数值时，删除acl表项和功能流表，其中，预设数量为针对网络流模块所设置的镜像到处理器的加密数据报文的数量。
10.可选的，在根据转发芯片上送的加密协议握手报文，获取握手报文的五元组信息之前，还包括：
11.获取针对转发芯片的配置信息，记录配置信息中所包含的预设数值；
12.向转发芯片下发配置信息。
13.可选的，加密数据报文，包括匹配五元组信息的、基于加密协议的数据报文以及与加密协议的数据流的源互联网协议ip地址相对应的超文本传输协议http流的数据报文。
14.可选的，acl表项包括第一acl表项和第二acl表项，其中，第一acl表项和第二acl表项中的源ip地址和目的ip地址互换。
15.可选的，预设数值n满足10≤n≤100。
16.结合本说明书实施方式的第二方面，本技术提供了一种加密流识别装置，包括：
17.获取单元，用于根据转发芯片上送的加密协议握手报文，获取握手报文的五元组信息；
18.acl下发单元，用于向转发芯片下发生成的acl表项，其中，acl表项用于指示转发芯片将根据五元组信息中的匹配项确定出加密数据报文引流至转发芯片的网络流模块，以使转发芯片通过网络流模块生成功能流表并将加密数据报文镜像到处理器；
19.识别单元，用于根据转发芯片上送的加密数据报文进行流量识别；
20.删除单元，用于在接收到的加密数据报文的数量到达预设数值时，删除acl表项和功能流表，其中，预设数量为针对网络流模块所设置的镜像到处理器的加密数据报文的数量。
21.可选的，该装置，还包括：
22.记录单元，用于获取针对转发芯片的配置信息，记录配置信息中所包含的预设数值，其中，预设数值n满足10≤n≤100；
23.配置下发单元，用于向转发芯片下发配置信息。
24.可选的，加密数据报文，包括匹配五元组信息的、基于加密协议的数据报文以及与加密协议的数据流的源互联网协议ip地址相对应的超文本传输协议http流的数据报文。
25.结合本说明书实施方式的第三方面，本技术提供了一种交换设备，包括处理器、机器可读存储介质和转发芯片，转发芯片中的网络流模块被置于使能状态；
26.机器可读存储介质存储有能够被处理器执行的机器可执行指令，处理器被机器可执行指令促使：实现上述任一项的方法步骤。
27.结合本说明书实施方式的第四方面，本技术提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，机器可执行指令促使处理器：实现上述任一项的方法步骤。
28.本说明书的实施方式提供的技术方案可以包括以下有益效果：
29.本说明书实施方式中，对加密协议的握手报文进行检测，确定五元组信息，通过该五元组信息生成acl表项下发到转发芯片，将后续转发芯片基于接收到的加密数据报文引流到转发芯片中的网络流模块生成的硬件表项并进行镜像，使这些加密数据报文能够被网络流模块镜像到处理器进行流量识别，并在镜像到处理器的加密数据报文到达预设数量后删除acl表项和硬件表项释放资源，避免过多的数据报文被上送到处理器，降低了处理器的处理压力，提升了交换设备进行数据转发的效率。
30.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本说明书。
附图说明
31.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本说明书的实施方式，并与说明书一起用于解释本说明书的原理。
32.图1是本技术所涉及的一种加密流识别方法的流程图；
33.图2是本技术所涉及的一种交换设备的结构示意图；
34.图3是本技术所涉及的一种加密流识别装置的结构示意图。
具体实施方式
35.这里将详细地对示例性实施方式进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施方式中所描述的实施方式并不代表与本说明书相一致的所有实施方式。
36.本技术提供了一种加密流识别方法，如图1所示，包括：
37.s100、根据转发芯片上送的加密协议握手报文，获取握手报文的五元组信息。
38.如图2所示，交换设备包含有处理器、转发芯片、机器可读存储介质以及总线，通过总线实现处理器、转发芯片以及机器可读存储介质之间的数据交互。在转发芯片上设置有网络流模块，该网络流模块可以为netflow模块，也可以为ipfix(ip流信息输出ip flow information export)模块，该网络流模块可以为被固化于转发芯片中的电路结构，也可以为通过软件实现的功能模块，对此不做限制。
39.在网络流模块中，可以实现将流中的报文镜像到处理器进行解析、流量识别等处理，并且可以通过处理器设置网络流模块镜像到处理器的报文的数量，一般来说，该数量可以设置为预设数值满足10≤n≤100，具体而言，可以根据实际的通信协议选择预设数值，比如可以设置为20、40、60等任意数值，后续以预设数值n＝20为例进行描述。
40.在加密协议的握手报文进入到交换设备后，转发芯片接收到该握手报文，确定为协议报文，上送至处理器进行处理。处理器在接收到握手报文后，根据握手报文获取其中的五元组信息，并通过握手报文建立加密协议客户端和加密协议服务器之间的加密协议的数据流通道，也即形成一关于该加密协议的报文进行转发的流表或路由表。由于加密协议的握手报文的数量较少，一般有10-15次的报文交互，这些握手报文的数量较少，由转发芯片全部上送至处理器进行处理并不会影响到交换设备的处理效率。
41.该加密协议可以为tls(安全传输层，transport layer security)协议，也可以为ssl(安全套接层，secure sockets layer)协议，还可以是https协议等，对此不做限制。
42.s101、向转发芯片下发生成的acl表项。
43.在处理器对加密协议的握手报文进行处理之后，为了能够将后续的加密数据报文引流至处理器进行流量识别，需要生成一条acl(访问控制列表，access control list)表项，其中，acl表项用于指示转发芯片将根据五元组信息中的匹配项确定出加密数据报文引流至转发芯片的网络流模块，以使转发芯片通过网络流模块生成功能流表并将加密数据报文镜像到处理器。
44.在该acl表项中，匹配项为该全部五元组信息或者部分五元组信息，比如部分五元组信息可以为该五元组信息中的源ip(互联网协议，internet protocol)地址或目的ip地址，动作为引流至网络流模块。另外，由于加密数据报文的传输可能是双向的，因此，处理器可以生成两条acl表项，其中的源ip地址和目的ip地址是互换的，即，acl表项包括第一acl表项和第二acl表项，其中，第一acl表项和第二acl表项中的源ip地址和目的ip地址互换。
45.这些acl表项会被处理器下发到转发芯片中进行存储，以使加密数据报文可以匹配到acl表项，并执行相对应的引流动作。
46.在网络流模块接收到加密数据报文后，确定这些加密数据报文属于新的数据流，通过提取加密数据报文中的全部或部分五元组信息生成对应的加密数据流的流表，由于该流表存储于转发芯片的存储空间中，后续将其称为功能流表，该功能流表在转发芯片中占
用与网络流模块相对应的一定存储空间，该存储空间较小，难以维持大量的流表存储。该功能流表的匹配项为全部或部分五元组信息，操作为“镜像前n个报文到处理器”。这样一来，在接收到加密数据流时，加密数据流中的加密数据报文将会被镜像到处理器进行处理，并且，在转发芯片中记录基于网络流模块镜像到处理器的加密数据报文的数量。而针对其他未通过acl表项引流到网络流模块的数据流，按照处理器和转发芯片原有的方式进行处理。
47.s102、根据转发芯片上送的加密数据报文进行流量识别。
48.转发芯片基于acl表项引流到网络流模块，处理器接收由转发芯片上送的加密数据报文，记录接收到的加密数据报文的数量，基于上送的加密数据报文进行流量识别。流量识别指对加密数据报文进行深度解析，通过提取加密数据报文中的特征信息进行训练，并建立模型，以对后续的加密数据报文进行数据流是否为恶意数据流的确定。由于处理器已经经过加密协议的握手报文获取了加密数据流的部分特征，在经过对一定数量的加密数据报文的负载等数据进行识别后，即可以获取进行模型训练所需的特征。
49.在转发芯片将该加密数据报文进行镜像后，该加密数据报文需要传输到对端设备(即加密协议客户端或加密协议服务器)进行处理。
50.可选的，加密数据报文，包括匹配五元组信息的、基于加密协议的数据报文以及与加密协议的数据流的源ip地址相对应的http流的数据报文
51.s103、在接收到的加密数据报文的数量到达预设数值时，删除acl表项和功能流表。
52.其中，预设数量为针对网络流模块所设置的镜像到处理器的加密数据报文的数量。
53.在处理器确定加密数据报文到达预设数值n(20)后，认为对该加密数据报文已经实现了流量识别，后续的加密数据报文无需引流至网络流模块。此时，处理器通过下发通知消息，基于通知消息中携带的五元组信息查找需要删除的acl表项和功能流表并删除，从而释放出网络流模块所占用的较小的存储空间。此后，在确定转发芯片删除acl表项和功能流表后，处理器可以向转发芯片下发实现对于加密数据报文进行转发的硬件表项，该硬件表项可以为流表也可以为路由表等，从而实现对于后续加密数据报文的转发。
54.通过上述方案，在处理器接收到加密协议的握手报文时，下发acl表项到转发芯片，将满足加密协议相关五元组信息的数据报文引流到转发芯片的网络流模块，生成对应的功能流表镜像到处理，从而使前n个加密数据报文被镜像到处理器进行流量识别，在完成前n个加密数据报文的镜像后，处理器通知转发芯片删除acl表项和功能流表，避免加密数据流在完成流量识别后，acl表项和流表长期占用转发芯片网络流模块的、较小的专用存储空间，并且也避免了加密数据报文大量地被上送到处理器造成处理器处理压力过大所造成的转发效率下降的问题，提升了交换设备进行数据转发的效率。
55.可选的，在步骤s100、根据转发芯片上送的加密协议握手报文，获取握手报文的五元组信息之前，还包括：
56.s104、获取针对转发芯片的配置信息，记录配置信息中所包含的预设数值。
57.s105、向转发芯片下发配置信息。
58.除了在转发芯片中预先完成相关配置之外，还可以在由处理器下发针对转发芯片的配置信息。在工作人员对交换设备进行配置时，处理器可以从接收到的针对转发芯片的
配置信息中获取预设数值n，并对其进行记录。
59.处理器在记录后将配置信息下发给转发芯片，以使转发芯片基于配置信息完成对于自身的配置。
60.相对应的，本技术还提供了一种加密流识别装置，如图3所示，包括：
61.获取单元，用于根据转发芯片上送的加密协议握手报文，获取握手报文的五元组信息；
62.acl下发单元，用于向转发芯片下发生成的acl表项，其中，acl表项用于指示转发芯片将根据五元组信息中的匹配项确定出加密数据报文引流至转发芯片的网络流模块，以使转发芯片通过网络流模块生成功能流表并将加密数据报文镜像到处理器；
63.识别单元，用于根据转发芯片上送的加密数据报文进行流量识别；
64.删除单元，用于在接收到的加密数据报文的数量到达预设数值时，删除acl表项和功能流表，其中，预设数量为针对网络流模块所设置的镜像到处理器的加密数据报文的数量。
65.可选的，该装置，还包括：
66.记录单元，用于获取针对转发芯片的配置信息，记录配置信息中所包含的预设数值，其中，预设数值n满足10≤n≤100；
67.配置下发单元，用于向转发芯片下发配置信息。
68.可选的，加密数据报文，包括匹配五元组信息的、基于加密协议的数据报文以及与加密协议的数据流的源互联网协议ip地址相对应的超文本传输协议http流的数据报文。
69.可选的，acl表项包括第一acl表项和第二acl表项，其中，第一acl表项和第二acl表项中的源ip地址和目的ip地址互换。
70.相对应的，本技术还提供了一种交换设备，如图2所示，包括处理器、机器可读存储介质和转发芯片，转发芯片中的网络流模块被置于使能状态；
71.机器可读存储介质存储有能够被处理器执行的机器可执行指令，处理器被机器可执行指令促使：实现上述任一项的方法步骤。
72.可选的，一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，机器可执行指令促使处理器：实现上述任一项的方法步骤。
73.本说明书实施方式中，对加密协议的握手报文进行检测，确定五元组信息，通过该五元组信息生成acl表项下发到转发芯片，将后续转发芯片基于接收到的加密数据报文引流到转发芯片中的网络流模块生成的硬件表项并进行镜像，使这些加密数据报文能够被网络流模块镜像到处理器进行流量识别，并在镜像到处理器的加密数据报文到达预设数量后删除acl表项和硬件表项释放资源，避免过多的数据报文被上送到处理器，降低了处理器的处理压力，提升了交换设备进行数据转发的效率。
74.应当理解的是，本说明书并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。
75.以上所述仅为本说明书的较佳实施方式而已，并不用以限制本说明书，凡在本说明书的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书保护的范围之内。

技术特征：
1.一种加密流识别方法，其特征在于，包括：根据转发芯片上送的加密协议握手报文，获取握手报文的五元组信息；向所述转发芯片下发生成的接入管理列表acl表项，其中，所述acl表项用于指示所述转发芯片将根据所述五元组信息中的匹配项确定出加密数据报文引流至转发芯片的网络流模块，以使所述转发芯片通过所述网络流模块生成功能流表并将所述加密数据报文镜像到处理器；根据所述转发芯片上送的加密数据报文进行流量识别；在接收到的加密数据报文的数量到达预设数值时，删除所述acl表项和所述功能流表，其中，所述预设数量为针对所述网络流模块所设置的镜像到处理器的加密数据报文的数量。2.根据权利要求1所述的方法，其特征在于，在所述根据转发芯片上送的加密协议握手报文，获取握手报文的五元组信息之前，还包括：获取针对所述转发芯片的配置信息，记录所述配置信息中所包含的预设数值；向所述转发芯片下发所述配置信息。3.根据权利要求1所述的方法，其特征在于，所述加密数据报文，包括匹配所述五元组信息的、基于所述加密协议的数据报文以及与所述加密协议的数据流的源互联网协议ip地址相对应的超文本传输协议http流的数据报文。4.根据权利要求1所述的方法，其特征在于，所述acl表项包括第一acl表项和第二acl表项，其中，所述第一acl表项和所述第二acl表项中的源ip地址和目的ip地址互换。5.根据权利要求1所述的方法，其特征在于，所述预设数值n满足10≤n≤100。6.一种加密流识别装置，其特征在于，包括：获取单元，用于根据转发芯片上送的加密协议握手报文，获取握手报文的五元组信息；acl下发单元，用于向所述转发芯片下发生成的acl表项，其中，所述acl表项用于指示所述转发芯片将根据所述五元组信息中的匹配项确定出加密数据报文引流至转发芯片的网络流模块，以使所述转发芯片通过所述网络流模块生成功能流表并将所述加密数据报文镜像到处理器；识别单元，用于根据所述转发芯片上送的加密数据报文进行流量识别；删除单元，用于在接收到的加密数据报文的数量到达预设数值时，删除所述acl表项和所述功能流表，其中，所述预设数量为针对所述网络流模块所设置的镜像到处理器的加密数据报文的数量。7.根据权利要求6所述的装置，其特征在于，还包括：记录单元，用于获取针对所述转发芯片的配置信息，记录所述配置信息中所包含的预设数值，其中，所述预设数值n满足10≤n≤100；配置下发单元，用于向所述转发芯片下发所述配置信息。8.根据权利要求6所述的装置，其特征在于，所述加密数据报文，包括匹配所述五元组信息的、基于所述加密协议的数据报文以及与所述加密协议的数据流的源互联网协议ip地址相对应的超文本传输协议http流的数据报文。9.一种交换设备，其特征在于，包括处理器、机器可读存储介质和转发芯片，所述转发芯片中的网络流模块被置于使能状态；
所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现权利要求1-5任一项所述的方法步骤。10.一种机器可读存储介质，其特征在于，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器：实现权利要求1-5任一项所述的方法步骤。

技术总结
本说明书提供一种加密流识别方法以及装置，涉及通信技术领域。一种加密流识别方法，包括：根据转发芯片上送的加密协议握手报文，获取握手报文的五元组信息；向转发芯片下发生成的ACL表项，其中，ACL表项用于指示转发芯片将根据五元组信息中的匹配项确定出加密数据报文引流至转发芯片的网络流模块，以使转发芯片通过网络流模块生成功能流表并将加密数据报文镜像到处理器；根据转发芯片上送的加密数据报文进行流量识别；在接收到的加密数据报文的数量到达预设数值时，删除ACL表项和功能流表，其中，预设数量为针对网络流模块所设置的镜像到处理器的加密数据报文的数量。通过上述方法，能够提升交换设备进行数据转发的效率。能够提升交换设备进行数据转发的效率。能够提升交换设备进行数据转发的效率。


技术研发人员：王明辉
受保护的技术使用者：新华三人工智能科技有限公司
技术研发日：2023.05.31
技术公布日：2023/8/5