CN115865670B - 基于内核调优的web安全网关并发性能调节方法及装置 - Google Patents
基于内核调优的web安全网关并发性能调节方法及装置 Download PDFInfo
- Publication number
- CN115865670B CN115865670B CN202310168264.7A CN202310168264A CN115865670B CN 115865670 B CN115865670 B CN 115865670B CN 202310168264 A CN202310168264 A CN 202310168264A CN 115865670 B CN115865670 B CN 115865670B
- Authority
- CN
- China
- Prior art keywords
- gateway
- kernel
- target
- classification
- security gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了基于内核调优的WEB安全网关并发性能调节方法及装置,方法包括与业务服务器基于TCP协议快速打开机制建立连接;获取与客户端访问业务服务器对应的网关特征数据并进行归一化处理,得到归一化网关特征;将归一化网关特征输入至分类模型进行分类,得到网关特征分类标签;在多个内核参数分别对应的分类标签中匹配与网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签及对应的目标内核参数,基于目标内核参数及代理中间件进行本地的内核参数重新配置生效。本发明实施例实现了在不改变安全网关的***架构和内核的前提下优化TCP网络传输,不仅提升安全网关的***整体并发性能,而且降低了实现成本。
Description
技术领域
本申请涉及并发性能调优技术领域,尤其涉及一种基于内核调优的WEB安全网关并发性能调节方法及装置。
背景技术
随着Web3.0、微信小程序、移动APP等一系列互联网产品的诞生,基于Web环境的互联网应用应用越来越广泛。Web业务的迅速发展也引起了网络黑客的强烈关注,黑客利用***漏洞得到服务器的控制权,轻则篡改网站内容,重则窃取用户的数据,严重威胁用户的个人隐私与财产安全。
Web安全网关是针对Web业务安全而诞生的一种网关类安全产品。它部署在客户端与真实服务器之间,所有的客户端请求都会经过Web安全网关。其防御手段不是通过包过滤的形式实现的,而是通过代理的形式。客户端直接和安全网关进行交互,安全网关检查来自客户端的请求没有问题后,会向服务端发起请求,获取响应后再转发给客户端。其检测与处理都是在应用完成的。
Web安全网关部署在客户端与服务端之间,串联在整个网络当中。因此Web安全网关的并发性能直接影响整个网络的并发性能。目前Web安全网关并发性能低下主要原因是由于其本身对于CPU、内存等硬件利用率比较低,提升安全网关的硬件性能无法大幅度提高其并发性能。
针对上述Web安全并发性能低,目前主要采用以下两种方式:
第一种方式是使用虚拟IP技术,在单个安全网关上部署多个虚拟机,提高硬件的使用率提升***整体的并发性能;物理集群的方法,即利用多台物理网关设备,通过负载均衡技术将数据流分发到不同的网关上进行处理,以升***整体的并发性能。
采用第一种方式时存在以下缺点:1)在单个安全网关上部署多个代理程序,修改了的***架构,需要重新配置安全网关上的代理信息,多个代理程序维护管理不方便;2)物理集群的方法,费用昂贵,能源消耗大。
第二种方式是定制化操作***内核,以使其能够提供一些网络信息及硬件资源使用信息,然后根据所提供的网络信息及硬件资源使用信息动态调整内核参数。
采用第二种方式时存在以下缺点1)定制化内核没经过长时间的开放测试,存在潜在的***漏洞,有可能影响安全网关业务的正常运行;2)只修改内核参数,不包含对与安全网关代理中间件的优化。
发明内容
本申请实施例提供了一种基于内核调优的WEB安全网关并发性能调节方法及装置,旨在解决现有技术中安全网关采用虚拟IP或定制化内核时,不仅对***架构改变较大导致实现成本提高,而且会出现内核不稳定导致网关运行异常的问题。
第一方面,本申请实施例提供了一种基于内核调优的WEB安全网关并发性能调节方法,其包括:
与业务服务器基于TCP协议快速打开机制建立连接;
获取与客户端访问业务服务器对应的网关特征数据并进行归一化处理,得到归一化网关特征;其中,所述网关特征数据为客户端基于安全网关访问业务服务器产生的特征数据,且所述网关特征数据至少包括TCP连接行为信息、连接质量信息和网关资源使用信息;
获取预先训练的分类模型,将所述归一化网关特征输入至所述分类模型进行分类,得到网关特征分类标签;
在已存储的多个内核参数分别对应的分类标签中匹配与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签,获取目标分类标签对应的目标内核参数,基于所述目标内核参数及代理中间件进行本地的内核参数重新配置生效,以调节安全网关并发性能。
第二方面,本申请实施例提供了一种基于内核调优的WEB安全网关并发性能调节装置,其包括:
连接建立单元,用于与业务服务器基于TCP协议快速打开机制建立连接;
特征数据采集单元,用于获取与客户端访问业务服务器对应的网关特征数据并进行归一化处理,得到归一化网关特征;其中,所述网关特征数据为客户端基于安全网关访问业务服务器产生的特征数据,且所述网关特征数据至少包括TCP连接行为信息、连接质量信息和网关资源使用信息;
特征数据学习单元,用于获取预先训练的分类模型,将所述归一化网关特征输入至所述分类模型进行分类,得到网关特征分类标签;
***调优单元,用于在已存储的多个内核参数分别对应的分类标签中匹配与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签,获取目标分类标签对应的目标内核参数,基于所述目标内核参数及代理中间件进行本地的内核参数重新配置生效,以调节安全网关并发性能。
第三方面,本申请实施例又提供了一种计算机设备,其包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的基于内核调优的WEB安全网关并发性能调节方法。
第四方面,本申请实施例还提供了一种计算机可读存储介质,其中所述计算机可读存储介质存储有计算机程序,所述计算机程序当被处理器执行时使所述处理器执行上述第一方面所述的基于内核调优的WEB安全网关并发性能调节方法。
本申请实施例提供了一种基于内核调优的WEB安全网关并发性能调节方法及装置,方法包括:与业务服务器基于TCP协议快速打开机制建立连接;获取与客户端访问业务服务器对应的网关特征数据并进行归一化处理,得到归一化网关特征; 获取预先训练的分类模型,将所述归一化网关特征输入至所述分类模型进行分类,得到网关特征分类标签;在已存储的多个内核参数分别对应的分类标签中匹配与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签,获取目标分类标签对应的目标内核参数,基于所述目标内核参数及代理中间件进行本地的内核参数重新配置生效,以调节安全网关并发性能。本发明实施例实现了在不改变安全网关的***架构和内核的前提下优化TCP网络传输方式,不仅提升安全网关的***整体并发性能,而且降低了实现成本。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于内核调优的WEB安全网关并发性能调节方法的应用场景示意图;
图2为本发明实施例提供的基于内核调优的WEB安全网关并发性能调节方法的示意性流程图;
图3为本申请实施例提供的基于内核调优的WEB安全网关并发性能调节方法的子流程示意图;
图4为本申请实施例提供的分布式***及基于内核调优的WEB安全网关并发性能调节装置的示意性框图;
图5为本申请实施例提供的计算机设备的示意性框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和 “包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。如在本申请说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本申请说明书和所附权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
请参阅图1和图2,图1为本发明实施例提供的基于内核调优的WEB安全网关并发性能调节方法的应用场景示意图,图2为本发明实施例提供的基于内核调优的WEB安全网关并发性能调节方法的示意性流程图。该基于内核调优的WEB安全网关并发性能调节方法应用于安全网关20中。
如图2所示,该方法包括步骤S101~S104。
S101、与业务服务器基于TCP协议快速打开机制建立连接。
在本实施例中,是以安全网关为执行主体描述技术方案。现有技术中业务服务器与业务服务器建立的是基于传输控制协议的通讯连接,本申请与现有技术的不同之处在于安全网关与业务服务器是基于TCP协议快速打开机制建立通讯连接。其中,TCP协议快速打开机制即TCP FAST OPEN(TCP FAST OPEN简称为TFO)。
在开启了安全网关与业务服务器的TCP协议快速打开机制后,可以优化客户端的访问请求(如HTTP请求)从安全网关到业务服务器的时延。
在一实施例中,步骤S101包括:
获取预先存储的TCP快速打开功能启动指令;
启动本地容器和代理中间件,并执行所述TCP快速打开功能启动指令,以与所述业务服务器建立通讯连接。
在本实施例中,在基于TCP协议快速打开机制建立安全网关与业务服务器的通讯连接时,需要在安全网关中先获取预先存储的TCP快速打开功能启动指令(具体如sysctl -w net.ipv4.tcp_fastopen=1命令),之后启动安全网关的本地容器和代理中间件并基于TCP快速打开功能启动指令启动本地容器和代理中间件的TFO功能,从而最终实现启动安全网关的TFO功能。
为了实现安全网关与业务服务器基于TFO功能的连接,在业务服务器中也同样需开启TFO功能。具体是业务服务器执行sysctl -w net.ipv4.tcp_fastopen=2命令,业务服务器作为服务端启动TFO功能。
在一实施例中,在步骤S101之后,还包括:
若确定与所述业务服务器的连接次数大于1次,且检测到客户端的访问请求,则与所述业务服务器每一次的初次握手均携带所述访问请求并发送至所述业务服务器。
在本实施例中,安全网关与业务服务器若是初次连接,即在确定安全网关与所述业务服务器的连接次数等于1次时,则安全网关与业务服务器仍是基于传输控制协议的三次握手,才能将客户端发送至业务服务器的访问请求发送至业务服务器。具体是安全网关在客户端基于传输控制协议的三次握手中的第三次握手中获得了访问请求后,同样的安全网关在初次与业务服务器基于传输控制协议的三次握手时,也是在安全网关在与业务服务器的第三次握手中将访问请求发送至业务服务器。其中,在安全网关与业务服务器初始基于三次握手建立初始连接时,业务服务器会在第二次握手时产生一个加密小型文本文件(即加密Cookie),并通过SYN包和ACK包在第二次握手时一同发送至安全网关,在安全网关的本地则会缓存这一加密Cookie,以作为安全网关与业务服务器之后的非初次交互中握手使用。
当确定安全网关与所述业务服务器的连接次数大于1次时,则表示安全网关与业务服务器已建立了初次连接,作为安全网关与业务服务器的非初次交互,之后若安全网关检测到客户端的访问请求,需要安全网关将访问请求发送至业务服务器时,安全网关与业务服务器进行交互时仍需三次握手,但是每次交互的第一次握手携带所述访问请求及加密Cookie,从而使得客户端的访问请求在第一次握手时即被发送至业务服务器,减少访问请求从安全网关到业务服务器的时延(具体是减少了1个RTT,RTT是指往返时间,例如安全网关与业务服务器的三次握手中第一次握手和第二次握手的总时长视为1个RTT)。可见,基于上述方式,有效降低了安全网关与业务服务器之间的交互时延,且保持了所传输的数据量。
而且本申请中无需采用多个物理网关提高***整体并发,而是通过优化TCP网络传输的形式提升单个物理网关并发,降低了成本。具体是,开启安全网关和业务服务器之间的TFO,减少TCP建立握手造成的延时,以减小整个***的响应延时,增大安全网关的并发。且与对于单个网关上部署多个虚拟机提升并发性能的方法相比,本申请中该安全网关上不改变原有的***架构,不会增大维护成本。
S102、获取与客户端访问业务服务器对应的网关特征数据并进行归一化处理,得到归一化网关特征。
其中,所述网关特征数据为客户端基于安全网关访问业务服务器产生的特征数据,且所述网关特征数据至少包括TCP连接行为信息、连接质量信息和网关资源使用信息。
在本实施例中,如图1所述,当客户端10(具体实施时,不局限于图1中示意的1个客户端,可以是多个客户端10)、安全网关20及业务服务器30成功建立了通讯连接后,客户端10每一个访问请求均是先发送至安全网关20。多个客户端10向安全网关20发送访问请求并最后成功访问业务服务器30后,则可在安全网关20处基于客户端10的访问而统计计算得到网关特征数据。
具体实施时,安全网关20实时捕获数据包,基于数据包计算安全网关20上的TCP连接行为信息、连接质量信息和网关资源使用信息,从而得到反映安全网关上的网络状况以及资源使用情况的重要数据,所得到的TCP连接行为信息、连接质量信息和网关资源使用信息则可用于进一步分析安全网关20在当前时刻的网关特征。更具体的,可以在安全网关中预先设置一个网关特征数据分析周期(如该网关特征数据分析周期为10s、30s、1min、2min等时长,具体实施时并不局限于上述时长,可以基于用户的实际需求自定义设置),且每次满足当前***时间与上一网关特征数据分析时间之间的时间间隔等于所述网关特征数据分析周期时,则由安全网关20基于当前***时间的数据包进行网关特征的分析处理。
在一实施例中,如图3所示,步骤S102包括:
S1021、获取长连接数量和短连接数量,以组成TCP连接行为信息;
S1022、获取网络连接延时、丢包率和网络带宽,以组成连接质量信息;
S1023、获取CPU使用率、内存使用率和磁盘使用率,以组成网关资源使用信息;
S1024、将所述TCP连接行为信息、所述连接质量信息和所述网关资源使用信息均进行归一化处理并串接组成所述归一化网关特征。
在本实施例中,具体是在所述安全网关中数据包中可解析得到的长连接数量和短连接数量等信息,从而组成TCP连接行为信息(具体实施时TCP连接行为信息不局限于所举例的信息,还能包括更多的TCP连接相关信息);在所述安全网关中数据包中还可解析得到网络连接延时、丢包率和网络带宽等信息,从而组成连接质量信息(具体实施时连接质量信息不局限于所举例的信息,还能包括更多的TCP连接质量相关信息);在所述安全网关中数据包中还可解析得到CPU使用率、内存使用率和磁盘使用率等信息,从而组成网关资源使用信息(具体实施时网关资源使用信息不局限于所举例的信息,还能包括更多的网关***资源使用相关信息)。由于TCP连接行为信息相比CPU使用率的数量级不同,会影响后续分析的准确性,故可将所述TCP连接行为信息、所述连接质量信息和所述网关资源使用信息均进行归一化处理以映射到[0, 1]的区间上,之后串接归一化TCP连接行为信息、归一化连接质量信息、及归一化网关资源使用信息以组成所述归一化网关特征。在得到了归一化网关特征后,可基于安全网关本地的分析模型进一步确定其特征。
S103、获取预先训练的分类模型,将所述归一化网关特征输入至所述分类模型进行分类,得到网关特征分类标签。
在本实施例中,具体实施时在安全网关的本地可以预先训练一个KNN模型作为分类模型,其中KNN模型为K最邻近分类算法。K最邻近分类算法的主要思路是当预测一个新的值x的时候,根据它距离最近的K个点是什么类别来判断x属于哪个类别。在训练KNN模型时会将训练集中的特征数据作为训练样本,按照梯度变化收集最优内核参数信息,并给每个样本打上合适的分类标签。KNN算法最重要的是K值的选取,其决定了输入特征信息得出的特征标签的准确性,因此在训练KNN模型需从选取一个较小的K值开始,不断增加K的值,然后计算验证集合的方差,最终找到一个比较合适的K值,从而完成KNN模型的训练。当基于所述归一化网关特征和分类模型确定了网关特征分类标签,即可用于进一步分析及确定安全网关的内核参数调优。
S104、在已存储的多个内核参数分别对应的分类标签中匹配与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签,获取目标分类标签对应的目标内核参数,基于所述目标内核参数及代理中间件进行本地的内核参数重新配置生效,以调节安全网关并发性能。
在本实施例中,当安全网关已知了所述网关特征分类标签后,由于安全网关已预先存储了多个分类标签以及与每一分类标签对应的内核参数,故在安全网关确定了与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签,获取目标分类标签对应的目标内核参数,即可以目标内核参数进行安全网关并发性能的调节。
在一实施例中,所述在已存储的多个内核参数分别对应的分类标签中匹配与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签,获取目标分类标签对应的目标内核参数,包括:
获取在已存储的多个内核参数中各内核参数对应的分类标签,以及各分类标签对应的词向量;
获取所述网关特征分类标签对应的当前词向量;
获取所述当前词向量与各分类标签对应的词向量之间的余弦相似度,以作为所述网关特征分类标签与各分类标签的相似度;
若存在有分类标签对应的词向量与所述网关特征分类标签对应的当前词向量之间的余弦相似度超过所述预设相似度阈值,则获取对应的分类标签作为目标分类标签;
获取所述目标分类标签对应的内核参数作为所述目标内核参数。
在本实施例中,在安全网关中确定获取与所述网关特征分类标签近似的目标分类标签时,可以采用计算所述网关特征分类标签对应的当前词向量与各内核参数对应分类标签的词向量的余弦相似度(也可以采用计算欧式距离等)的方式来确定与所述网关特征分类标签对应的当前词向量之间的余弦相似度超过所述预设相似度阈值的目标词向量,以进一步获取目标词向量对应的目标分类标签。在确定了所述目标分类标签后,即可获取其对应的内核参数作为所述目标内核参数,并将所述目标内核参数作为安全网关并发性能的参数依据。
在一实施例中,在所述获取所述目标分类标签对应的内核参数作为所述目标内核参数之前,所述方法还包括:
若确定目标分类标签的个数大于1,则获取目标分类标签对应的词向量中与所述当前词向量之间余弦相似度为最大相似度的词向量及对应的分类标签更新所述目标分类标签;
若确定目标分类标签的个数等于1,则保留所述目标分类标签。
在本实施例中,为了更准确的获取所述目标分类标签,还需判断定目标分类标签的个数是否大于1。若确定目标分类标签的个数大于1,则表示有多个分类标签对应的词向量中与所述当前词向量之间余弦相似度超过所述预设相似度阈值,此时可以选定目标分类标签对应的词向量中与所述当前词向量之间余弦相似度为最大相似度的词向量及对应的分类标签更新所述目标分类标签。当然,也可以采用在上述多个目标分类标签中随机确定一个目标分类标签作为最终的所述目标分类标签。
若确定目标分类标签的个数等于1,则表示仅有1个分类标签对应的词向量中与所述当前词向量之间余弦相似度超过所述预设相似度阈值,此时直接以该目标分类标签作为最终的所述目标分类标签。
若确定目标分类标签的个数小于1,则表示安全网关中未预先存储与网关特征分类标签近似的分类标签,此时可通过至少以下方式来辅助实现安全网关并发性能调节。即安全网关将用于提示维护人员增加新分类标签及其对应内核参数的通知信息发送至业务服务器,由业务服务器将通知信息发送至对应维护人员的接收终端(即维护人员使用的智能手机等智能终端)。之后维护人员及时的在安全网关中新增满足新需求的分类标签及其对应内核参数即可。
在一实施例中,所述基于所述目标内核参数及代理中间件进行本地的内核参数重新配置生效,包括:
基于所述目标内核参数及/proc虚拟文件***以写入数据操作对所述代理中间件中的配置文件进行更新配置;
重启所述代理中间件以使本地的内核参数重新配置生效。
在本实施例中,所确定的目标内核参数可以使安全网关在当前环境下将其调整到并发性能最优的状态。所述目标内核参数反馈给安全网关中的/proc虚拟文件***,且自动化配置代理中间件中的配置文件中以与所述目标内核参数一致。之后,重启代理中间件使得配置文件生效。
其中,修改内核参数可通过向/proc虚拟文件***的文件中write参数的形式,例如安全网关在检测到短时间内建立大量的TCP连接时,要修改的内核参数中包含修改TCP半连接队列和全连接队列的大小:
echo “1024”>/proc/sys/net/core/somaxconn
echo “1024”>/proc/sys/net/ipv4/tcp_max_syn_backlog
echo “1”>/proc/sys/net/ipv4/tcp_syncookies
也可以通过sysctl命令修改内核参数,例如:
sysctl -w net.ipv4.tcp_syncookies=1
sysctl命令在修改内核参数时,会检查参数的合法性。
由于是通过动态优化内核参数与代理中间件的配置,提升网关资源占用率的形式增大并发,故无需采用定制内核方式实现。在本申请中安全网关不修改内核,只修改内核的相关参数,使得***稳定性得到保障。而且是动态提取网关的特征信息,并通过这些参数修改内核参数与代理中间件的配置,解决了手动修改的繁琐性和不准确性。
该方法实现了在不改变安全网关的***架构和内核的前提下优化TCP网络传输,不仅提升安全网关的***整体并发性能,而且降低了实现成本。
本申请实施例还提供一种基于内核调优的WEB安全网关并发性能调节装置,该基于内核调优的WEB安全网关并发性能调节装置用于执行前述基于内核调优的WEB安全网关并发性能调节方法的任一实施例。具体地,请参阅图4,图4是本申请实施例提供的基于内核调优的WEB安全网关并发性能调节装置的示意性框图。其中,如图4所示,所述WEB安全网关并发性能调节装置100包括连接建立单元110、特征数据采集单元120、特征数据学习单元130和***调优单元140。
连接建立单元110,用于与业务服务器基于TCP协议快速打开机制建立连接。
在本实施例中,是以安全网关为执行主体描述技术方案。现有技术中业务服务器与业务服务器建立的是基于传输控制协议的通讯连接,本申请与现有技术的不同之处在于安全网关与业务服务器是基于TCP协议快速打开机制建立通讯连接。其中,TCP协议快速打开机制即TCP FAST OPEN(TCP FAST OPEN简称为TFO)。
在开启了安全网关与业务服务器的TCP协议快速打开机制后,可以优化客户端的访问请求(如HTTP请求)从安全网关到业务服务器的时延。
在一实施例中,连接建立单元110具体用于:
获取预先存储的TCP快速打开功能启动指令;
启动本地容器和代理中间件,并执行所述TCP快速打开功能启动指令,以与所述业务服务器建立通讯连接。
在本实施例中,在基于TCP协议快速打开机制建立安全网关与业务服务器的通讯连接时,需要在安全网关中先获取预先存储的TCP快速打开功能启动指令(具体如sysctl -w net.ipv4.tcp_fastopen=1命令),之后启动安全网关的本地容器和代理中间件并基于TCP快速打开功能启动指令启动本地容器和代理中间件的TFO功能,从而最终实现启动安全网关的TFO功能。
为了实现安全网关与业务服务器基于TFO功能的连接,在业务服务器中也同样需开启TFO功能。具体是业务服务器执行sysctl -w net.ipv4.tcp_fastopen=2命令,业务服务器作为服务端启动TFO功能。
在一实施例中,所述WEB安全网关并发性能调节装置100还包括:
请求转发控制单元,用于若确定与所述业务服务器的连接次数大于1次,且检测到客户端的访问请求,则与所述业务服务器每一次的初次握手均携带所述访问请求并发送至所述业务服务器。
在本实施例中,安全网关与业务服务器若是初次连接,即在确定安全网关与所述业务服务器的连接次数等于1次时,则安全网关与业务服务器仍是基于传输控制协议的三次握手,才能将客户端发送至业务服务器的访问请求发送至业务服务器。具体是安全网关在客户端基于传输控制协议的三次握手中的第三次握手中获得了访问请求后,同样的安全网关在初次与业务服务器基于传输控制协议的三次握手时,也是在安全网关在与业务服务器的第三次握手中将访问请求发送至业务服务器。其中,在安全网关与业务服务器初始基于三次握手建立初始连接时,业务服务器会在第二次握手时产生一个加密小型文本文件(即加密Cookie),并通过SYN包和ACK包在第二次握手时一同发送至安全网关,在安全网关的本地则会缓存这一加密Cookie,以作为安全网关与业务服务器之后的非初次交互中握手使用。
当确定安全网关与所述业务服务器的连接次数大于1次时,则表示安全网关与业务服务器已建立了初次连接,作为安全网关与业务服务器的非初次交互,之后若安全网关检测到客户端的访问请求,需要安全网关将访问请求发送至业务服务器时,安全网关与业务服务器进行交互时仍需三次握手,但是每次交互的第一次握手携带所述访问请求及加密Cookie,从而使得客户端的访问请求在第一次握手时即被发送至业务服务器,减少访问请求从安全网关到业务服务器的时延(具体是减少了1个RTT,RTT是指往返时间,例如安全网关与业务服务器的三次握手中第一次握手和第二次握手的总时长视为1个RTT)。可见,基于上述方式,有效降低了安全网关与业务服务器之间的交互时延,且保持了所传输的数据量。
而且本申请中无需采用多个物理网关提高***整体并发,而是通过优化TCP网络传输的形式提升单个物理网关并发,降低了成本。具体是,开启安全网关和业务服务器之间的TFO,减少TCP建立握手造成的延时,以减小整个***的响应延时,增大安全网关的并发。且与对于单个网关上部署多个虚拟机提升并发性能的方法相比,本申请中该安全网关上不改变原有的***架构,不会增大维护成本。
特征数据采集单元120,用于获取与客户端访问业务服务器对应的网关特征数据并进行归一化处理,得到归一化网关特征。
其中,所述网关特征数据为客户端基于安全网关访问业务服务器产生的特征数据,且所述网关特征数据至少包括TCP连接行为信息、连接质量信息和网关资源使用信息。
在本实施例中,如图1所述,当客户端10(具体实施时,不局限于图1中示意的1个客户端,可以是多个客户端10)、安全网关20及业务服务器30成功建立了通讯连接后,客户端10每一个访问请求均是先发送至安全网关20。多个客户端10向安全网关20发送访问请求并最后成功访问业务服务器30后,则可在安全网关20处基于客户端10的访问而统计计算得到网关特征数据。
具体实施时,安全网关20实时捕获数据包,基于数据包计算安全网关20上的TCP连接行为信息、连接质量信息和网关资源使用信息,从而得到反映安全网关上的网络状况以及资源使用情况的重要数据,所得到的TCP连接行为信息、连接质量信息和网关资源使用信息则可用于进一步分析安全网关20在当前时刻的网关特征。更具体的,可以在安全网关中预先设置一个网关特征数据分析周期(如该网关特征数据分析周期为10s、30s、1min、2min等时长,具体实施时并不局限于上述时长,可以基于用户的实际需求自定义设置),且每次满足当前***时间与上一网关特征数据分析时间之间的时间间隔等于所述网关特征数据分析周期时,则由安全网关20基于当前***时间的数据包进行网关特征的分析处理。
在一实施例中,特征数据采集单元120用于:
获取长连接数量和短连接数量,以组成TCP连接行为信息;
获取网络连接延时、丢包率和网络带宽,以组成连接质量信息;
获取CPU使用率、内存使用率和磁盘使用率,以组成网关资源使用信息;
将所述TCP连接行为信息、所述连接质量信息和所述网关资源使用信息均进行归一化处理并串接组成所述归一化网关特征。
在本实施例中,具体是在所述安全网关中数据包中可解析得到的长连接数量和短连接数量等信息,从而组成TCP连接行为信息(具体实施时TCP连接行为信息不局限于所举例的信息,还能包括更多的TCP连接相关信息);在所述安全网关中数据包中还可解析得到网络连接延时、丢包率和网络带宽等信息,从而组成连接质量信息(具体实施时连接质量信息不局限于所举例的信息,还能包括更多的TCP连接质量相关信息);在所述安全网关中数据包中还可解析得到CPU使用率、内存使用率和磁盘使用率等信息,从而组成网关资源使用信息(具体实施时网关资源使用信息不局限于所举例的信息,还能包括更多的网关***资源使用相关信息)。由于TCP连接行为信息相比CPU使用率的数量级不同,会影响后续分析的准确性,故可将所述TCP连接行为信息、所述连接质量信息和所述网关资源使用信息均进行归一化处理以映射到[0, 1]的区间上,之后串接归一化TCP连接行为信息、归一化连接质量信息、及归一化网关资源使用信息以组成所述归一化网关特征。在得到了归一化网关特征后,可基于安全网关本地的分析模型进一步确定其特征。
特征数据学习单元130,用于获取预先训练的分类模型,将所述归一化网关特征输入至所述分类模型进行分类,得到网关特征分类标签。
在本实施例中,具体实施时在安全网关的本地可以预先训练一个KNN模型作为分类模型,其中KNN模型为K最邻近分类算法。K最邻近分类算法的主要思路是当预测一个新的值x的时候,根据它距离最近的K个点是什么类别来判断x属于哪个类别。在训练KNN模型时会将训练集中的特征数据作为训练样本,按照梯度变化收集最优内核参数信息,并给每个样本打上合适的分类标签。KNN算法最重要的是K值的选取,其决定了输入特征信息得出的特征标签的准确性,因此在训练KNN模型需从选取一个较小的K值开始,不断增加K的值,然后计算验证集合的方差,最终找到一个比较合适的K值,从而完成KNN模型的训练。当基于所述归一化网关特征和分类模型确定了网关特征分类标签,即可用于进一步分析及确定安全网关的内核参数调优。
***调优单元140,用于在已存储的多个内核参数分别对应的分类标签中匹配与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签,获取目标分类标签对应的目标内核参数,基于所述目标内核参数及代理中间件进行本地的内核参数重新配置生效,以调节安全网关并发性能。
在本实施例中,当安全网关已知了所述网关特征分类标签后,由于安全网关已预先存储了多个分类标签以及与每一分类标签对应的内核参数,故在安全网关确定了与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签,获取目标分类标签对应的目标内核参数,即可以目标内核参数进行安全网关并发性能的调节。
在一实施例中,所述在已存储的多个内核参数分别对应的分类标签中匹配与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签,获取目标分类标签对应的目标内核参数,包括:
获取在已存储的多个内核参数中各内核参数对应的分类标签,以及各分类标签对应的词向量;
获取所述网关特征分类标签对应的当前词向量;
获取所述当前词向量与各分类标签对应的词向量之间的余弦相似度,以作为所述网关特征分类标签与各分类标签的相似度;
若存在有分类标签对应的词向量与所述网关特征分类标签对应的当前词向量之间的余弦相似度超过所述预设相似度阈值,则获取对应的分类标签作为目标分类标签;
获取所述目标分类标签对应的内核参数作为所述目标内核参数。
在本实施例中,在安全网关中确定获取与所述网关特征分类标签近似的目标分类标签时,可以采用计算所述网关特征分类标签对应的当前词向量与各内核参数对应分类标签的词向量的余弦相似度(也可以采用计算欧式距离等)的方式来确定与所述网关特征分类标签对应的当前词向量之间的余弦相似度超过所述预设相似度阈值的目标词向量,以进一步获取目标词向量对应的目标分类标签。在确定了所述目标分类标签后,即可获取其对应的内核参数作为所述目标内核参数,并将所述目标内核参数作为安全网关并发性能的参数依据。
在一实施例中,在***调优单元140还用于:
若确定目标分类标签的个数大于1,则获取目标分类标签对应的词向量中与所述当前词向量之间余弦相似度为最大相似度的词向量及对应的分类标签更新所述目标分类标签;
若确定目标分类标签的个数等于1,则保留所述目标分类标签。
在本实施例中,为了更准确的获取所述目标分类标签,还需判断定目标分类标签的个数是否大于1。若确定目标分类标签的个数大于1,则表示有多个分类标签对应的词向量中与所述当前词向量之间余弦相似度超过所述预设相似度阈值,此时可以选定目标分类标签对应的词向量中与所述当前词向量之间余弦相似度为最大相似度的词向量及对应的分类标签更新所述目标分类标签。当然,也可以采用在上述多个目标分类标签中随机确定一个目标分类标签作为最终的所述目标分类标签。
若确定目标分类标签的个数等于1,则表示仅有1个分类标签对应的词向量中与所述当前词向量之间余弦相似度超过所述预设相似度阈值,此时直接以该目标分类标签作为最终的所述目标分类标签。
若确定目标分类标签的个数小于1,则表示安全网关中未预先存储与网关特征分类标签近似的分类标签,此时可通过至少以下方式来辅助实现安全网关并发性能调节。即安全网关将用于提示维护人员增加新分类标签及其对应内核参数的通知信息发送至业务服务器,由业务服务器将通知信息发送至对应维护人员的接收终端(即维护人员使用的智能手机等智能终端)。之后维护人员及时的在安全网关中新增满足新需求的分类标签及其对应内核参数即可。
在一实施例中,所述***调优单元140还用于:
基于所述目标内核参数及/proc虚拟文件***以写入数据操作对所述代理中间件中的配置文件进行更新配置;
重启所述代理中间件以使本地的内核参数重新配置生效。
在本实施例中,所确定的目标内核参数可以使安全网关在当前环境下将其调整到并发性能最优的状态。所述目标内核参数反馈给安全网关中的/proc虚拟文件***,且自动化配置代理中间件中的配置文件中以与所述目标内核参数一致。之后,重启代理中间件使得配置文件生效。
其中,修改内核参数可通过向/proc虚拟文件***的文件中write参数的形式,例如安全网关在检测到短时间内建立大量的TCP连接时,要修改的内核参数中包含修改TCP半连接队列和全连接队列的大小:
echo “1024”>/proc/sys/net/core/somaxconn
echo “1024”>/proc/sys/net/ipv4/tcp_max_syn_backlog
echo “1”>/proc/sys/net/ipv4/tcp_syncookies
也可以通过sysctl命令修改内核参数,例如:
sysctl -w net.ipv4.tcp_syncookies=1
sysctl命令在修改内核参数时,会检查参数的合法性。
由于是通过动态优化内核参数与代理中间件的配置,提升网关资源占用率的形式增大并发,故无需采用定制内核方式实现。在本申请中安全网关不修改内核,只修改内核的相关参数,使得***稳定性得到保障。而且是动态提取网关的特征信息,并通过这些参数修改内核参数与代理中间件的配置,解决了手动修改的繁琐性和不准确性。
该装置实现了在不改变安全网关的***架构和内核的前提下优化TCP网络传输,不仅提升安全网关的***整体并发性能,而且降低了实现成本。
上述分布式***的基于内核调优的WEB安全网关并发性能调节装置可以实现为计算机程序的形式,该计算机程序可以在如图5所示的计算机设备上运行。
请参阅图5,图5是本申请实施例提供的计算机设备的示意性框图。该计算机设备500是服务器,也可以是服务器集群。服务器可以是独立的服务器,也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
参阅图5,该计算机设备500包括通过装置总线501连接的处理器502、存储器和网络接口505,其中,存储器可以包括存储介质503和内存储器504。
该存储介质503可存储操作***5031和计算机程序5032。该计算机程序5032被执行时,可使得处理器502执行分布式***的基于内核调优的WEB安全网关并发性能调节方法。
该处理器502用于提供计算和控制能力,支撑整个计算机设备500的运行。
该内存储器504为存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行分布式***的基于内核调优的WEB安全网关并发性能调节方法。
该网络接口505用于进行网络通信,如提供数据信息的传输等。本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现本申请实施例公开的分布式***的基于内核调优的WEB安全网关并发性能调节方法。
本领域技术人员可以理解,图5中示出的计算机设备的实施例并不构成对计算机设备具体构成的限定,在其他实施例中,计算机设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。例如,在一些实施例中,计算机设备可以仅包括存储器及处理器,在这样的实施例中,存储器及处理器的结构及功能与图5所示实施例一致,在此不再赘述。
应当理解,在本申请实施例中,处理器502可以是中央处理单元 (CentralProcessing Unit,CPU),该处理器502还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路 (Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列 (Field-Programmable Gate Array,FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
在本申请的另一实施例中提供计算机可读存储介质。该计算机可读存储介质可以为非易失性的计算机可读存储介质,也可以为易失性的计算机可读存储介质。该计算机可读存储介质存储有计算机程序,其中计算机程序被处理器执行时实现本申请实施例公开的分布式***的基于内核调优的WEB安全网关并发性能调节方法。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的设备、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为逻辑功能划分,实际实现时可以有另外的划分方式,也可以将具有相同功能的单元集合成一个单元,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备 ( 可以是个人计算机,后台服务器,或者网络设备等 ) 执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U 盘、移动硬盘、只读存储器 (ROM,Read-OnlyMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种基于内核调优的WEB安全网关并发性能调节方法,应用于安全网关,其特征在于,包括:
与业务服务器基于TCP协议快速打开机制建立连接;
获取与客户端访问业务服务器对应的网关特征数据并进行归一化处理,得到归一化网关特征;其中,所述网关特征数据为客户端基于安全网关访问业务服务器产生的特征数据,且所述网关特征数据至少包括TCP连接行为信息、连接质量信息和网关资源使用信息;
获取预先训练的分类模型,将所述归一化网关特征输入至所述分类模型进行分类,得到网关特征分类标签;
在已存储的多个内核参数分别对应的分类标签中匹配与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签,获取目标分类标签对应的目标内核参数,基于所述目标内核参数及代理中间件进行本地的内核参数重新配置生效,以调节安全网关并发性能。
2.根据权利要求1所述的方法,其特征在于,所述获取与客户端访问业务服务器对应的网关特征数据并进行归一化处理,得到归一化网关特征,包括:
获取长连接数量和短连接数量,以组成TCP连接行为信息;
获取网络连接延时、丢包率和网络带宽,以组成连接质量信息;
获取CPU使用率、内存使用率和磁盘使用率,以组成网关资源使用信息;
将所述TCP连接行为信息、所述连接质量信息和所述网关资源使用信息均进行归一化处理并串接组成所述归一化网关特征。
3.根据权利要求1所述的方法,其特征在于,所述在已存储的多个内核参数分别对应的分类标签中匹配与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签,获取目标分类标签对应的目标内核参数,包括:
获取在已存储的多个内核参数中各内核参数对应的分类标签,以及各分类标签对应的词向量;
获取所述网关特征分类标签对应的当前词向量;
获取所述当前词向量与各分类标签对应的词向量之间的余弦相似度,以作为所述网关特征分类标签与各分类标签的相似度;
若存在有分类标签对应的词向量与所述网关特征分类标签对应的当前词向量之间的余弦相似度超过所述预设相似度阈值,则获取对应的分类标签作为目标分类标签;
获取所述目标分类标签对应的内核参数作为所述目标内核参数。
4.根据权利要求3所述的方法,其特征在于,在所述获取所述目标分类标签对应的内核参数作为所述目标内核参数之前,所述方法还包括:
若确定目标分类标签的个数大于1,则获取目标分类标签对应的词向量中与所述当前词向量之间余弦相似度为最大相似度的词向量及对应的分类标签更新所述目标分类标签;
若确定目标分类标签的个数等于1,则保留所述目标分类标签。
5.根据权利要求3或4所述的方法,其特征在于,所述基于所述目标内核参数及代理中间件进行本地的内核参数重新配置生效,包括:
基于所述目标内核参数及/proc虚拟文件***以写入数据操作对所述代理中间件中的配置文件进行更新配置;
重启所述代理中间件以使本地的内核参数重新配置生效。
6.根据权利要求1所述的方法,其特征在于,所述与业务服务器基于TCP协议快速打开机制建立连接,包括:
获取预先存储的TCP快速打开功能启动指令;
启动本地容器和代理中间件,并执行所述TCP快速打开功能启动指令,以与所述业务服务器建立通讯连接。
7.根据权利要求6所述的方法,其特征在于,所述启动本地容器和代理中间件,并执行所述TCP快速打开功能启动指令,以与所述业务服务器建立通讯连接之后,还包括:
若确定与所述业务服务器的连接次数大于1次,且检测到客户端的访问请求,则与所述业务服务器每一次的初次握手均携带所述访问请求并发送至所述业务服务器。
8.一种基于内核调优的WEB安全网关并发性能调节装置,配置于安全网关,其特征在于,包括:
连接建立单元,用于与业务服务器基于TCP协议快速打开机制建立连接;
特征数据采集单元,用于获取与客户端访问业务服务器对应的网关特征数据并进行归一化处理,得到归一化网关特征;其中,所述网关特征数据为客户端基于安全网关访问业务服务器产生的特征数据,且所述网关特征数据至少包括TCP连接行为信息、连接质量信息和网关资源使用信息;
特征数据学习单元,用于获取预先训练的分类模型,将所述归一化网关特征输入至所述分类模型进行分类,得到网关特征分类标签;
***调优单元,用于在已存储的多个内核参数分别对应的分类标签中匹配与所述网关特征分类标签之间相似度超过预设相似度阈值的目标分类标签,获取目标分类标签对应的目标内核参数,基于所述目标内核参数及代理中间件进行本地的内核参数重新配置生效,以调节安全网关并发性能。
9.一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的基于内核调优的WEB安全网关并发性能调节方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序当被处理器执行时使所述处理器执行如权利要求1至7任一项所述的基于内核调优的WEB安全网关并发性能调节方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310168264.7A CN115865670B (zh) | 2023-02-27 | 2023-02-27 | 基于内核调优的web安全网关并发性能调节方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310168264.7A CN115865670B (zh) | 2023-02-27 | 2023-02-27 | 基于内核调优的web安全网关并发性能调节方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115865670A CN115865670A (zh) | 2023-03-28 |
CN115865670B true CN115865670B (zh) | 2023-06-16 |
Family
ID=85659047
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310168264.7A Active CN115865670B (zh) | 2023-02-27 | 2023-02-27 | 基于内核调优的web安全网关并发性能调节方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115865670B (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108833191A (zh) * | 2018-08-03 | 2018-11-16 | 云丁智能科技(北京)有限公司 | 网关设备配置方法及装置 |
CN109568760A (zh) * | 2017-09-29 | 2019-04-05 | ***通信有限公司研究院 | 一种睡眠环境调节方法及*** |
CN110830551A (zh) * | 2019-09-30 | 2020-02-21 | 浙江口碑网络技术有限公司 | 业务请求处理方法、装置及*** |
CN111049695A (zh) * | 2020-01-09 | 2020-04-21 | 深圳壹账通智能科技有限公司 | 云网关配置方法和*** |
CN111858015A (zh) * | 2019-04-25 | 2020-10-30 | ***通信集团河北有限公司 | 配置应用程序的运行资源的方法、装置及网关 |
CN112532633A (zh) * | 2020-11-30 | 2021-03-19 | 安徽工业大学 | 一种基于机器学习的工业网络防火墙规则的生成方法及装置 |
CN113423113A (zh) * | 2021-06-17 | 2021-09-21 | 中国联合网络通信集团有限公司 | 无线参数优化处理方法、装置及服务器 |
WO2021206807A1 (en) * | 2020-04-10 | 2021-10-14 | Microsoft Technology Licensing, Llc | Prefetching and/or computing resource allocation based on predicting classification labels with temporal data |
CN114205402A (zh) * | 2021-11-18 | 2022-03-18 | 阿里云计算有限公司 | 连接建立方法、***、设备和存储介质 |
WO2022135539A1 (zh) * | 2020-12-25 | 2022-06-30 | 京东方科技集团股份有限公司 | 设备配置参数处理方法和装置、数据分析方法和装置、计算设备、计算机可读存储介质、以及计算机程序产品 |
CN115080771A (zh) * | 2022-06-23 | 2022-09-20 | 康键信息技术(深圳)有限公司 | 基于人工智能的数据处理方法及装置、介质、网关设备 |
CN115242637A (zh) * | 2021-04-23 | 2022-10-25 | 深圳富联富桂精密工业有限公司 | 远程桌面网关的调配方法、计算机装置及存储介质 |
CN115437778A (zh) * | 2021-06-03 | 2022-12-06 | Oppo广东移动通信有限公司 | 内核调度方法及装置、电子设备、计算机可读存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11556851B2 (en) * | 2020-01-31 | 2023-01-17 | Salesforce.Com, Inc. | Establishing a communication session between client terminals of users of a social network selected using a machine learning model |
-
2023
- 2023-02-27 CN CN202310168264.7A patent/CN115865670B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109568760A (zh) * | 2017-09-29 | 2019-04-05 | ***通信有限公司研究院 | 一种睡眠环境调节方法及*** |
CN108833191A (zh) * | 2018-08-03 | 2018-11-16 | 云丁智能科技(北京)有限公司 | 网关设备配置方法及装置 |
CN111858015A (zh) * | 2019-04-25 | 2020-10-30 | ***通信集团河北有限公司 | 配置应用程序的运行资源的方法、装置及网关 |
CN110830551A (zh) * | 2019-09-30 | 2020-02-21 | 浙江口碑网络技术有限公司 | 业务请求处理方法、装置及*** |
CN111049695A (zh) * | 2020-01-09 | 2020-04-21 | 深圳壹账通智能科技有限公司 | 云网关配置方法和*** |
WO2021206807A1 (en) * | 2020-04-10 | 2021-10-14 | Microsoft Technology Licensing, Llc | Prefetching and/or computing resource allocation based on predicting classification labels with temporal data |
CN112532633A (zh) * | 2020-11-30 | 2021-03-19 | 安徽工业大学 | 一种基于机器学习的工业网络防火墙规则的生成方法及装置 |
WO2022135539A1 (zh) * | 2020-12-25 | 2022-06-30 | 京东方科技集团股份有限公司 | 设备配置参数处理方法和装置、数据分析方法和装置、计算设备、计算机可读存储介质、以及计算机程序产品 |
CN114697212A (zh) * | 2020-12-25 | 2022-07-01 | 北京京东方技术开发有限公司 | 设备参数处理方法、设备、***及介质 |
CN115242637A (zh) * | 2021-04-23 | 2022-10-25 | 深圳富联富桂精密工业有限公司 | 远程桌面网关的调配方法、计算机装置及存储介质 |
CN115437778A (zh) * | 2021-06-03 | 2022-12-06 | Oppo广东移动通信有限公司 | 内核调度方法及装置、电子设备、计算机可读存储介质 |
CN113423113A (zh) * | 2021-06-17 | 2021-09-21 | 中国联合网络通信集团有限公司 | 无线参数优化处理方法、装置及服务器 |
CN114205402A (zh) * | 2021-11-18 | 2022-03-18 | 阿里云计算有限公司 | 连接建立方法、***、设备和存储介质 |
CN115080771A (zh) * | 2022-06-23 | 2022-09-20 | 康键信息技术(深圳)有限公司 | 基于人工智能的数据处理方法及装置、介质、网关设备 |
Also Published As
Publication number | Publication date |
---|---|
CN115865670A (zh) | 2023-03-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11122067B2 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
US11985169B2 (en) | Classification of unknown network traffic | |
US10505818B1 (en) | Methods for analyzing and load balancing based on server health and devices thereof | |
US10791201B2 (en) | Server initiated multipath content delivery | |
US11381629B2 (en) | Passive detection of forged web browsers | |
WO2018121331A1 (zh) | 攻击请求的确定方法、装置及服务器 | |
US9201644B2 (en) | Distributed update service | |
CN110519380B (zh) | 一种数据访问方法、装置、存储介质及电子设备 | |
US9432389B1 (en) | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object | |
US20230171285A1 (en) | Edge network-based account protection service | |
US20150156086A1 (en) | Behavioral network intelligence system and method thereof | |
US20210279332A1 (en) | System and method for automatic generation of malware detection traps | |
US11936660B2 (en) | Self-training classification | |
US10097616B2 (en) | Methods for optimizing service of content requests and devices thereof | |
WO2024060408A1 (zh) | 网络攻击检测方法和装置、设备及存储介质 | |
Naseer et al. | Configanator: A Data-driven Approach to Improving {CDN} Performance. | |
CN107438058A (zh) | 用户请求的过滤方法和过滤*** | |
Soleimanzadeh et al. | SD‐WLB: An SDN‐aided mechanism for web load balancing based on server statistics | |
Beckett et al. | HTTP/2 Cannon: Experimental analysis on HTTP/1 and HTTP/2 request flood DDoS attacks | |
CN110417782A (zh) | 一种用于智能硬件消息传输的***及方法 | |
CN115865670B (zh) | 基于内核调优的web安全网关并发性能调节方法及装置 | |
US9851980B1 (en) | Distributed update service enabling update requests | |
CN113079210A (zh) | 一种跨区数据自动同步的配置方法、终端设备及存储介质 | |
CN115297098A (zh) | 边缘服务获取方法和装置、边缘计算***、介质、设备 | |
CN110489694A (zh) | 用于处理高并发请求的方法和*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |