CN114640496A - 一种流量传输控制方法、装置、电子设备和存储介质 - Google Patents

Abstract

本申请实施例提供一种流量传输控制方法、装置、电子设备及存储介质，其中，流量传输控制方法包括：设置应用层协议白名单，所述应用层协议白名单包括应用层常用协议；设置网络模型协议名单，所述网络模型协议名单包括网络攻击常用协议；获取流量数据；获取所述流量数据对应的协议；判断所述流量数据对应的协议是否在所述应用层协议白名单内；若是，放行所述流量数据；若否，判断所述流量数据对应的协议是否在所述网络模型协议名单内，得到第一检测结果；根据所述第一检测结果对所述流量数据进行传输控制。实施本申请提供的实施例，能够提高对流量的检测速度、检测准确率。

Description

一种流量传输控制方法、装置、电子设备和存储介质

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种流量传输控制方 法、装置、电子设备和计算机可读存储介质。

背景技术

目前，针对异常流量检测的研究方法基本都是基于机器学习、统计分 析，通过对流量数据进行基于机器学习算法或统计分析进行建模，然后通 过模型实现异常流量的分析和检测。基于机器学习的检测方法，在算法方 面包括：监督、半监督、无监督三种。现有技术中，既有先通过离线学习 模型实现的检测方法，也有通过在线学习模型实现的检测方法，但本质上 都是首先通过对高质量的流量数据进行预处理、然后进行特征向量化，使 用分类、聚类等算法对特征向量模型进行训练，待训练的模型达到一个评 估值后就可以部署实现检测；基于统计分析的方法，首先接收的流量，对 接收的流量从目的IP、端口、包长、包间隔、包数、时延、包序列等维度 进行统计，然后选取一个概率模型进行实现参数估计，最后使用此模型对 流量数据进行估计，不符合概率模型即告警。

基于机器学习的检测方法，更多的依赖于特征选择、特征筛选、高质 量数据，在特征处理方面太多容易导致“维度灾难”，太少又无法对数据 进行很好的学习；机器学习方法通常依赖于训练时的高质量数据，但由于 网络安全特殊性、复杂性、隐私性等问题，用于训练模型的高质量数据非 常缺少，导致训练的模型准确率收到影响。

基于统计分析的方法通常依赖于网络环境中的采集到的数据，采集到 的数据最终会影响估计出来的概率模型参数，另一方面，网络流量模型是 否真的符合某些假设的概率模型，也没有特别明确的结论。总而言之，现 有的流量传输控制方法效率较低，准确率不高。

发明内容

本申请实施例的目的在于提供一种流量传输控制方法、装置、电子设 备和存储介质。

第一方面，本申请实施例提供了一种流量传输控制方法，包括：

设置应用层协议白名单，所述应用层协议白名单包括应用层常用协议；

设置网络模型协议名单，所述网络模型协议名单包括网络攻击常用协 议；

获取流量数据；

获取所述流量数据对应的协议；

判断所述流量数据对应的协议是否在所述应用层协议白名单内；

若是，放行所述流量数据；

若否，判断所述流量数据对应的协议是否在所述网络模型协议名单内， 得到第一检测结果；

根据所述第一检测结果对所述流量数据进行传输控制。

在上述实现过程中，设置了应用层协议的白名单，在企业的内部通信 中，常用的应用层协议一般不会携带病毒信息，因此，应用层协议白名单 可以过滤掉大多数的安全报文。除此之外，还设置了网络协议名单，网络 协议名单中包括了网络攻击中常用的协议。基于上述实施方式，可以快速 地过滤掉一部分安全的流量数据，提高对异常流量的检测速度，进一步提 高传输控制的能力。

进一步地，所述根据所述第一检测结果判断对所述流量数据进行传输 控制的步骤，包括：

若所述第一检测结果为是，对所述流量数据进行隧道检测，得到第二 检测结果，根据所述第二检测结果对所述流量数据进行传输控制；

若所述第一检测结果为否，判断所述协议是否包括TCP/UDP协议，得 到第三检测结果，根据所述第三检测结果对所述流量数据进行传输控制。

在上述实现过程中，如果第一检测结果为是，则说明该流量数据中的 协议在网络模型名单内，该流量数据可能是不安全的，因此，进一步进行 隧道检测，进一步提高对异常流量的检测准确率；如果协议不在网络模型 名单内，则进一步判断协议是否为TCP/UDP协议，得到第三检测结果，根 据第三检测结果对流量数据进行传输控制。基于上述实施方式，可以提高 检测速度，同时提高检测准确率。

进一步地，所述根据所述第二检测结果判断是否放行所述流量数据的 步骤，包括：

若所述第二检测结果为正常，对所述流量数据进行协议解析合法校验， 获得第四检测结果，根据所述第四检测结果对所述流量数据进行传输控制；

若所述第二检测结果为异常，判定所述流量数据存在应用层或非应用 层协议异常，发出告警信息。

在上述实现过程中，如果协议的隧道检测为正常，则进一步对流量数 据进行协议解析合法校验，得到第四检测结果，根据第四检测结果对流量 数据进行传输控制，如果第二检测结果为异常，那么发出告警信息。基于 上述实施方式，可以实现对流量数据的全面安全检测。

进一步地，所述根据所述第三检测结果对所述流量数据进行传输控制 的步骤，包括：

若所述第三检测结果为是，将所述流量数据输入基于有效荷载模型进 行编码加密检测，得到第五检测结果，根据所述第五检测结果对所述流量 数据进行传输控制；

若所述第三检测结果为否，放行所述流量数据。

在上述实现过程中，当第三检测结果为是时，说明协议中使用了 TCP/UDP协议，由于TCP/UDP协议容易被用来隐藏信息，因此，对流量 数据进行编码加密检测，得到第五检测结果，根据所述第五检测结果对所 述流量数据进行传输控制。如果协议中没有包括TCP/IP协议，则可以直接 放行流量数据，基于上述实施方式，可以提高检测速度。

进一步地，所述根据所述第四检测结果对所述流量数据进行传输控制 的步骤，包括：

若所述第四检测结果为合法，放行所述流量数据；

若所述第四检测结果为非法，判定所述流量数据存在非法协议，发出 告警信息。

在上述实现过程中，如果第四检测结果为非法，判定流量数据存在非 法协议，发出告警信息。基于上述实施方式，可以快速实现对流量数据的 精准检测，并且提高对异常流量检测的精准性。

进一步地，所述根据所述第五检测结果判断是否放行所述流量数据的 步骤，包括：

若所述第五检测结果为是，判断所述流量数据是否采用异或加密算法 加密，得到第六检测结果，根据所述第六检测结果对所述流量数据进行传 输控制；

若所述第五检测结果为否，放行所述流量数据。

在上述实现过程中，当第五检测结果为是时，说明流量数据存在编码 加密，进一步判断流量数据是否采用异或加密算法，得到第六检测结果， 根据第六检测结果对流量数据进行传输控制。

进一步地，所述根据所述第六检测结果对所述流量数据进行传输控制 的步骤，包括：

若所述第六检测结果为是，判定所述流量数据采用异或加密算法加密， 发出告警信息；

若所述第六检测结果为否，判定所述流量数据是否采用BASE-X算法 处理，得到第七检测结果，根据第七检测结果对所述流量数据进行传输控 制。

在上述实现过程中，如果第六检测结果为是，则发出告警信息，使工 作人员知晓。

第二方面，本申请实施例提供一种流量传输控制装置，包括：

名单生成模块，用于设置应用层协议白名单，所述应用层协议白名单 包括应用层常用协议；设置网络模型协议名单，所述网络模型协议包括所 述网络模型内常用协议；

获取模块，用于获取流量数据；获取所述流量数据对应的协议；

判断模块，用于判断所述流量数据对应的协议是否在所述应用层协议 白名单内；

传输控制模块，用于当判断模块的判定结果为是时，放行所述流量数 据；

所述判断模块还用于当所述流量数据对应的协议不在所述应用层协议 白名单内时，判断所述流量数据对应的协议是否在所述网络模型协议名单 内，得到第一检测结果；

所述传输控制模块还用于根据所述第一检测结果对所述流量数据进行 传输控制。

在上述实现过程中，通过设置应用层协议白名单，当获取到流量数据 后，可以直接通过应用层协议白名单和网络模型协议名单实现对流量数据 的过滤。过滤操作相比于现有技术中的机器算法识别，能够更快速地放行 安全流量。

第三方面，本申请实施例提供的一种电子设备，包括：存储器、处理 器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述 处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。

第四方面，本申请实施例提供的一种计算机可读存储介质，所述计算 机可读存储介质上存储有指令，当所述指令在计算机上运行时，使得所述 计算机执行如第一方面任一项所述的方法。

为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实 施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例 中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请 的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人 员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相 关的附图。

图1为本申请实施例提供的流量的传输控制方法的流程示意图；

图2为本申请实施例提供的根据第一检测结果对流量进行传输控制的 流程示意图；

图3为本申请实施例提供的根据第二检测结果对流量进行传输控制的 流程示意图；

图4为本申请实施例提供的根据第三检测结果对流量进行传输控制的 流程示意图；

图5为本申请实施例提供的第四检测结果对流量进行传输控制的流程 示意图；

图6为本申请实施例提供的第五检测结果对流量进行传输控制的流程 示意图；

图7为本申请实施例提供的第六检测结果对流量进行传输控制的流程 示意图；

图8为本申请实施例提供的流量传输装置的内部结构图；

图9为本申请实施例提供的电子设备的结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进 行描述。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一 旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步 定义和解释。同时，在本申请的描述中，术语“第一”、“第二”等仅用于区分 描述，而不能理解为指示或暗示相对重要性。

实施例1

参见图1，本申请实施例提供一种流量传输控制方法，包括：

S1：设置应用层协议白名单，应用层协议白名单包括应用层常用协议；

S2：设置网络模型协议名单，网络模型协议包括网络模型内常用协议；

S3：获取流量数据；

S4：获取流量数据对应的协议；

S5：判断流量数据对应的协议是否在应用层协议白名单内；若是，执 行S6；若否，执行S7；

S6：放行流量数据；

S7：判断流量数据对应的协议是否在网络模型协议名单内，得到第一 检测结果；

S8：根据第一检测结果对流量数据进行传输控制。

上述实施例中，流量数据可以为网络通信中的数据包、报文。获取流 量数据实际上是抓取网络通信中的数据包以及报文。

S4中，通过获取流量数据中数据特征可以获取流量数据对应的协议。

很多应用软件使用的协议都承载在HTTP、HTTPS、SSL等七层网络模 型中的协议之上，为了将这些协议与传统的应用层协议(HTTP、DNS、FTP、SMTP、POP3等)区分，本申请实施例在原有的七层网络模型的基础上定 义八层网络模型，其中，第八层的协议为应用软件所用的协议。应用层协 议白名单包括企业通信中常用的应用层协议。

利用应用层协议白名单，可以将企业通信中的流量数据中关于互联网 音视频、财经软件、即时通信软件、语音电话、电子商务等大类的协议进 行过滤，在后续的异常检测中减少了对这部分流量的异常检测，提高了检 测效率。

网络模型名单是针对上述建立的八层网络模型中的七层以及七层以下 的协议。定向威胁攻击(Advanced Persistent Threat，APT)攻击的指挥和 控制阶段进行通信时，最常使用的协议为：HTTP、HTTPS、DNS、ICMP、 TCP，因此，网络模型名单中包括HTTP、HTTPS、DNS、ICMP、TCP协 议。

参见图2，在一种可能的实施方式中，S8包括以下步骤：

S81：若第一检测结果为是，对流量数据进行异常隧道检测，得到第二 检测结果，根据第二检测结果对流量数据进行传输控制；

S82：若第一检测结果为否，判断协议是否包括TCP/UDP协议，得到 第三检测结果，根据第三检测结果对流量数据进行传输控制。

如果第一检测结果为是，则说明该流量数据对应的协议在网络模型名 单内，该流量数据可能是不安全的，因此，进一步进行隧道检测，进一步 提高对异常流量的检测准确率；如果流量数据对应的协议不在网络模型名 单内，则进一步判断流量数据对应的协议是否为TCP/UDP协议，得到第三 检测结果，根据第三检测结果对流量数据进行传输控制。基于上述实施方 式，可以提高检测速度，同时提高检测准确率。

隧道技术的实质是利用一种网络层的协议来传输另一种网络层的协 议，其基本功能是封装和加密，主要利用隧道协议来实现。封装是构建隧 道的基本手段。隧道检测是对流量数据中的隧道协议进行异常检测，例如， 基于HTTP Body的隧道，在传输过程中，有效荷载的数据长度都较少且很 多都是加密或编码的，可基于流量数据中的HTTP流量行为的规则实现异 常检测。对于DNS隧道，可基于域名白名单，同时结合基于机器学习中的 DNS隧道检测模型，实现精准检测。对于ICMP协议隧道，可以对ping和 traceroute两个工具的ICMP协议进行分析，这两个工具默认在ICMP协议 的填充均使用相同的数据，因此可以采用白名单的方式实现对已知ICMP 协议的过滤，对未知的使用ICMP协议的流量数据出发告警。windows*** 中使用的ICMP白名单有2种，包括：61 62…77、00 00…00；Linux ***中使用的ICMP白名单有5种包括：00 01 02 03 04 05 06、48 49 4a 4b 4c 4d 4e等；BSD***中使用的白名单有5种包括：00 00 00 00 00 00 00、8 字节时间戳+08 09…0e等；可使用常见工具的ICMP流量白名单机制， 对未知ICMP流量可实现精准检测。

参见图3，在一种可能的实施方式中，S81包括以下子步骤：

S811：若第二检测结果为正常，对流量数据进行协议解析合法校验， 获得第四检测结果，根据第四检测结果对流量数据进行传输控制；

S812：若第二检测结果为异常，判定流量所用的协议发生异常，发出 告警信息。

如果协议的隧道检测为正常，则进一步对流量数据进行协议解析合法 校验，得到第四检测结果，根据第四检测结果对流量数据进行传输控制， 如果第二检测结果为异常，那么发出告警信息。基于上述实施方式，可以 实现对流量数据的全面安全检测。

协议解析合法校验主要是针对流量数据中关于隧道协议的相关字段的 合法性进行检测。例如，TLS协议是常用的隧道协议，网络攻击经常使用 使用TLS协议实现伪装，即：FakeTLS技术，此技术在流量传输时构造一 个合法的TLS协议头部，但在后续的协议格式并不符合TLS协议规范，同 时后续的加密数据也并不是协议协商中使用的加密算法。针对此加密隧道， 对于TLS协议实现协议的细粒度解析，然后基于RFC(Request For Comments)规则对TLS协议中的相关字段合法性、有效性进行检查。

参见图4，在一种可能的实施方式中，S82包括以下步骤：

S821：若第三检测结果为是，将流量数据输入基于有效荷载模型进行 编码加密检测，得到第五检测结果，根据第五检测结果对流量数据进行传 输控制；

S822：若第三检测结果为否，放行流量数据。

当第三检测结果为是时，说明协议中包括TCP/UDP协议，由于 TCP/UDP协议容易被用来隐藏信息，因此，对流量数据进行编码加密检测， 得到第五检测结果，根据第五检测结果对流量数据进行传输控制。如果协 议中没有使用TCP/UDP协议，则可以直接放行流量数据，基于上述实施方 式，可以提高检测速度。

有效荷载指的是发送方发送的对接收方有用的数据。在网络攻击中， TCP协议隧道也是常用的隧道协议，恶意软件直接使用TCP进行数据通信。 但由于明文通信很容易被检测，因此在使用TCP协议通信时都会使用：加 密、编码、压缩等技术实现逃逸检测。但在企业网中使用的安全通信方式 都是一般都是椭圆曲线结合AES256级、RSA1024级等强度的加密算法， 而恶意软件要使用这种级别强度的算法，一方面会增加通信的性能损耗， 有效荷载会和发生异常。因此，基于有效荷载的模型可以实现对流量数据 是否存在编码进行精准检测。

在一种可能的实施方式中，可以预先对最大荷载的模型进行离线训练， 将训练好的模型应用在实施检测中。也可以使用随机森林、GBDT等常见 的机器学习分类算法，对模型进行训练和调优。

参见图5，在一种可能的实施方式中，S811包括：

S8111：若第四检测结果为合法，放行流量数据；

S8112：若第四检测结果为非法，判定流量数据存在非法协议，发出告 警信息。

在上述实现过程中，如果第四检测结果为非法，判定流量数据存在非 法协议，发出告警信息。基于上述实施方式，可以快速实现对流量数据的 精准检测，并且提高对异常流量检测的精准性。

参见图6，在一种可能的实施方式中，S821包括：

S8211：若第五检测结果为是，判断流量数据是否采用异或加密算法加 密，得到第六检测结果，根据第六检测结果对流量数据进行传输控制；

S8212：若第五检测结果为否，放行流量数据。

当第五检测结果为是时，说明流量数据存在编码加密，进一步判断流 量数据是否采用异或加密算法，得到第六检测结果，根据第六检测结果对 流量数据进行传输控制。

参见图7，在一种可能的实施方式中，S8211包括：

S82111：若第六检测结果为是，判定流量数据采用异或加密算法加密， 发出告警信息；

S82112：若第六检测结果为否，判定流量数据是否采用BASE-X算法 处理，得到第七检测结果，根据第七检测结果对流量数据进行传输控制。

在上述实现过程中，如果第六检测结果为是，则发出告警信息，使工 作人员知晓。

在一种可能的实施方式中，当第七检测结果为是时，判定流量数据经 BASE-X算法处理，发出告警信息。当第七检测结果为否时，放行流量数据。

示例性地，当前使用的安全通信方式都是一般都是椭圆曲线结合 AES256级、RSA1024级等强度的加密算法，而恶意软件要使用这种级别强 度的算法，一方面会增加通信的性能损耗，另一方面增加的基础设施也会 增加攻击的成本。因此，恶意软件常使用的逃逸技术包括：XOR、RC4(Rivest Cipher 4)、AES128(Advanced Encryption Standard，AES)、BASE-X、 URL-Encodeing、bzip2、zlib等简单、高效、有效的方法。针对此隧道技术，使用基于机器学习的分类技术，实现对：XOR、RC4、AES128、AES256、 BASE-X、压缩等数据的精准识别。因此对企业内网中经过协议识别后的 TCP流量进行基于机器学习的模型检测，若识别为上述逃逸技术即可告警， 实现对TCP协议的隧道实现检测。

在一种可能的实施方式中，还可以通过判断流量数据是否经过RC4、 AES128、URL-Encodeing、bzip2、zlib等算法处理来判断是否放行该流量 数据。

实施例2

参见图8，本申请实施例提供一种流量传输控制装置，包括：

名单生成模块1，用于设置应用层协议白名单，应用层协议白名单包括 应用层常用协议；还用于设置网络模型协议名单，网络模型协议名单包括 网络攻击常用协议；

获取模块2，用于获取流量数据；获取流量数据对应的协议；

判断模块3，用于判断流量数据对应的协议是否在应用层协议白名单 内；

传输控制模块4，用于当判断模块的判定结果为是时，放行流量数据；

判断模块3还用于当流量数据对应的协议不在应用层协议白名单内时， 判断流量数据对应的协议是否在网络模型协议名单内，得到第一检测结果；

传输控制模块4还用于根据第一检测结果对流量数据进行传输控制。

在一种可能的实施方式中，判断模块3还用于当第一检测结果为是时， 对流量数据进行异常隧道检测，得到第二检测结果，传输控制模块4还用 于根据第二检测结果对流量数据进行传输控制；判断模块3还用于当第一 检测结果为否时，判断协议是否为TCP/UDP协议，得到第三检测结果，传 输控制模块4还用于根据第三检测结果对流量数据进行传输控制。

在一种可能的实施方式中，判断模块3还用于当第二检测结果为正常 时，对流量数据进行协议解析合法校验，获得第四检测结果，传输控制模 块4根据第四检测结果对流量数据进行传输控制；判断模块3还用于当第 二检测结果为异常时，判定流量所用的协议发生异常，发出告警信息。

在一种可能的实施方式中，判断模块3还用于当第三检测结果为是时， 将流量数据输入基于最大荷载的模型进行编码加密检测，得到第五检测结 果，传输控制模块4还用于根据第五检测结果对流量数据进行传输控制； 当第三检测结果为否时，放行流量数据。

在一种可能的实施方式中，判断模块3还用于当第四检测结果为合法 时，放行流量数据；当第四检测结果为非法时，判定流量数据存在非法协 议，发出告警信息。

在一种可能的实施方式中，判断模块3还用于当第五检测结果为是时， 判断流量数据是否采用异或加密算法，得到第六检测结果，传输控制模块4 还用于根据第六检测结果对流量数据进行传输控制；当第五检测结果为否 时，放行流量数据。

在一种可能的实施方式中，判断模块3还用于当第六检测结果为是时， 判定流量数据采用异或加密算法加密，发出告警信息；当第六检测结果为 否时，判定流量数据是否采用BASE-X算法处理，得到第七检测结果，传 输控制模块4根据第七检测结果对流量数据进行传输控制。

实施例3

如图9所示，本申请实施例还提供一种电子设备，该电子设备可以包 括处理器91、通信接口92、存储器93和至少一个通信总线94。其中，通 信总线94用于实现这些组件直接的连接通信。其中，本申请实施例中设备 的通信接口92用于与其他节点设备进行信令或数据的通信。处理器91可 以是一种集成电路芯片，具有信号的处理能力。

上述的处理器91可以是通用处理器，包括中央处理器(Central ProcessingUnit，CPU)、网络处理器(Network Processor，NP)等；还可 以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵 列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立 硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻 辑框图。通用处理器可以是微处理器或者该处理器91也可以是任何常规的 处理器等。

存储器93可以是，但不限于，随机存取存储器(Random Access Memory， RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器 (Programmable Read-OnlyMemory，PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory，EEPROM)等。存储器93中存 储有计算机可读取指令，当计算机可读取指令由所述处理器91执行时，设备可以执行上述图1-图7方法实施例涉及的各个步骤。

可选地，电子设备还可以包括存储控制器、输入输出单元。存储器93、 存储控制器、处理器91、外设接口、输入输出单元各元件相互之间直接或 间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可 通过一条或多条通信总线94实现电性连接。处理器91用于执行存储器93 中存储的可执行模块，例如设备包括的软件功能模块或计算机程序。

输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时 段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是，但 不限于，鼠标和键盘等。

可以理解，图9所示的结构仅为示意，电子设备还可包括比图9中所 示更多或者更少的组件，或者具有与图9所示不同的配置。图9中所示的 各组件可以采用硬件、软件或其组合实现。本申请实施例还提供一种存储 介质，所述存储介质上存储有指令，当所述指令在计算机上运行时，所述 计算机程序被处理器执行时实现方法实施例所述的方法，为避免重复，此 处不再赘述。

本申请提供一种计算机可读存储介质，所述计算机可读存储介质上存 储有指令，当所述指令在计算机上运行时，使得所述计算机执行如实施例1 所述的方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法， 也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的， 例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方 法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流 程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所 述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标 注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方 框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依 所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及 框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的 基于硬件的***来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个 独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集 成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使 用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申 请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的 部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储 介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服 务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步 骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者 光盘等各种可以存储程序代码的介质。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围， 对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请 的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本 申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示 类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需 要对其进行进一步定义和解释。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局 限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可 轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请 的保护范围应所述以权利要求的保护范围为准。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用 来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者 暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语 “包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包 括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包 括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定 的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在 另外的相同要素。

Claims (10)

1.一种流量传输控制方法，其特征在于，包括：

设置应用层协议白名单，所述应用层协议白名单包括应用层常用协议；

设置网络模型协议名单，所述网络模型协议名单包括网络攻击常用协议；

获取流量数据；

获取所述流量数据对应的协议；

判断所述流量数据对应的协议是否在所述应用层协议白名单内；

若是，放行所述流量数据；

若否，判断所述流量数据对应的协议是否在所述网络模型协议名单内，得到第一检测结果；

根据所述第一检测结果对所述流量数据进行传输控制。

2.根据权利要求1所述的流量传输控制方法，其特征在于，所述根据所述第一检测结果对所述流量数据进行传输控制的步骤，包括：

若所述第一检测结果为是，对所述流量数据进行异常隧道检测，得到第二检测结果，根据所述第二检测结果对所述流量数据进行传输控制；

若所述第一检测结果为否，判断所述协议是否包括TCP/UDP协议，得到第三检测结果，根据所述第三检测结果对所述流量数据进行传输控制。

3.根据权利要求2所述的流量传输控制方法，其特征在于，所述根据所述第二检测结果对所述流量数据进行传输控制的步骤，包括：

若所述第二检测结果为正常，对所述流量数据进行协议解析合法校验，获得第四检测结果，根据所述第四检测结果对所述流量数据进行传输控制；

若所述第二检测结果为异常，判定所述流量所用的协议发生异常，发出告警信息。

4.根据权利要求2所述的流量传输控制方法，其特征在于，所述根据所述第三检测结果对所述流量数据进行传输控制的步骤，包括：

若所述第三检测结果为是，将所述流量数据输入基于最大荷载的模型进行编码加密检测，得到第五检测结果，根据所述第五检测结果对所述流量数据进行传输控制；

若所述第三检测结果为否，放行所述流量数据。

5.根据权利要求3所述的流量传输控制方法，其特征在于，所述根据所述第四检测结果对所述流量数据进行传输控制的步骤，包括：

若所述第四检测结果为合法，放行所述流量数据；

若所述第四检测结果为非法，判定所述流量数据存在非法协议，发出告警信息。

6.根据权利要求4所述的流量传输控制方法，其特征在于，所述根据所述第五检测结果对所述流量数据进行传输控制的步骤，包括：

若所述第五检测结果为是，判断所述流量数据是否采用异或加密算法加密，得到第六检测结果，根据所述第六检测结果对所述流量数据进行传输控制；

若所述第五检测结果为否，放行所述流量数据。

7.根据权利要求6所述的流量传输控制方法，其特征在于，所述根据所述第六检测结果对所述流量数据进行传输控制的步骤，包括：

若所述第六检测结果为是，判定所述流量数据采用异或加密算法加密，发出告警信息；

若所述第六检测结果为否，判定所述流量数据是否采用BASE-X算法处理，得到第七检测结果，根据第七检测结果对所述流量数据进行传输控制。

8.一种流量传输控制装置，其特征在于，包括：

名单生成模块，用于设置应用层协议白名单，所述应用层协议白名单包括应用层常用协议；还用于设置网络模型协议名单，所述网络模型协议名单包括网络攻击常用协议；

获取模块，用于获取流量数据；获取所述流量数据对应的协议；

判断模块，用于判断所述流量数据对应的协议是否在所述应用层协议白名单内；

传输控制模块，用于当判断模块的判定结果为是时，放行所述流量数据；

所述判断模块还用于当所述流量数据对应的协议不在所述应用层协议白名单内时，判断所述流量数据对应的协议是否在所述网络模型协议名单内，得到第一检测结果；

所述传输控制模块还用于根据所述第一检测结果对所述流量数据进行传输控制。

9.一种电子设备，其特征在于，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求1-7任一项所述的流量传输控制方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行如权利要求1-7任一项所述的流量传输控制方法。

Images