一种网络流量过滤方法、装置、介质、产品和设备与流程

技术特征：
1.一种网络流量过滤方法，其特征在于，所述方法包括：从待过滤报文队列获取待过滤报文，确定所述待过滤报文对应的五元组信息；根据所述五元组信息，确定所述待过滤报文所属的会话；确定是否存在所述会话对应的网络流量类型标识，所述网络流量类型标识包括加密代理网络流量标识和非加密代理网络流量标识；若确定不存在，则根据所述待过滤报文，确定所述会话对应的加权系数值，并确定是否已获得所述会话对应的每个加权系数值，每个加权系数值对应一个过滤参数；若确定已获得所述会话对应的每个加权系数值，则根据每个加权系数值，对每个过滤参数确定出的参数值进行加权求和，确定所述会话对应的加密代理网络流量概率；若所述加密代理网络流量概率大于设定的阈值，则确定所述会话对应的网络流量类型标识为加密代理网络流量标识，并确定所述待过滤报文对应的网络流量类型标识为所述会话对应的网络流量类型标识。2.如权利要求1所述的方法，其特征在于，若确定存在所述会话对应的网络流量类型标识，则确定所述待过滤报文对应的网络流量类型标识为所述会话对应的网络流量类型标识。3.如权利要求1所述的方法，其特征在于，若确定尚未获得所述会话对应的每个加权系数值，则将所述待过滤报文重新加入待过滤报文队列。4.如权利要求1所述的方法，其特征在于，若确定所述加密代理网络流量概率不大于设定的阈值，则确定所述会话对应的网络流量类型标识为非加密代理网络流量标识，并确定所述待过滤报文对应的网络流量类型标识为所述会话对应的网络流量类型标识。5.如权利要求1所述的方法，其特征在于，若确定不存在所述会话对应的网络流量类型标识，根据所述待过滤报文，确定所述会话对应的加权系数值之前，所述方法还包括：确定所述待过滤报文对应的互联网协议地址是否属于预先设置的互联网协议地址白名单或互联网协议地址黑名单，所述互联网协议地址白名单用于记录已知的网络流量类型为非加密代理网络流量的会话对应的互联网协议地址，所述互联网协议地址黑名单用于记录已知的网络流量类型为加密代理网络流量的会话对应的互联网协议地址；根据所述待过滤报文，确定所述会话对应的加权系数值，包括：若确定所述待过滤报文对应的互联网协议地址不属于预先设置的互联网协议地址白名单，也不属于预先设置的互联网协议地址黑名单，根据所述待过滤报文，确定所述会话对应的加权系数值。6.如权利要求1～5任一所述的方法，其特征在于，确定是否已获得所述会话对应的每个加权系数值，包括：确定根据所述待过滤报文，是否可以获得所述会话的会话类型；若确定可以获得所述会话的会话类型，确定是否已经获得所述会话类型的会话对应的每个加权系数值；若确定已获得所述会话对应的每个加权系数值，则根据每个加权系数值，对每个过滤参数确定出的参数值进行加权求和，确定所述会话对应的加密代理网络流量概率，包括：若确定已获得所述会话类型的会话对应的每个加权系数值，则根据每个加权系数值，对每个过滤参数确定出的参数值进行加权求和，确定所述会话对应的加密代理网络流量概
率。7.如权利要求6所述的方法，其特征在于，若获得的所述会话的会话类型为传输控制协议tcp会话类型，则确定是否已经获得所述会话类型的会话对应的每个加权系数值包括：确定是否已获得第二加权系数值、第三加权系数值、第四加权系数值和第七加权系数值中的至少一个，以及第一加权系数值、第五加权系数值和第六加权系数值；其中，所述第一加权系数值对应第一过滤参数，所述第一过滤参数表示客户端到服务器不含三次握手的第一个报文长度的权重，所述第二加权系数值在客户端到服务器不含三次握手的第一个报文长度在指定范围内时为第一数值，否则为第二数值；所述第二加权系数值对应第二过滤参数，所述第二过滤参数表示服务器到客户端不含三次握手的第一个负载非空报文长度取值的权重，所述第二加权系数值在服务器到客户端不含三次握手的第一个负载非空报文长度取值为指定值时为第一数值，否则为第二数值；所述第三加权系数值对应第三过滤参数，所述第三过滤参数表示服务器到客户端含三次握手的设定顺序范围内的报文中，报文长度为设定值的数量的权重，所述第三加权系数值在服务器到客户端含三次握手的设定顺序的范围内的报文中，报文长度为设定值的数量不小于设定数量时为第一数值，否则为第二数值；所述第四加权系数值对应第四过滤参数，所述第四过滤参数表示客户端到服务器不含三次握手的第一个报文窗口大小的权重，所述第四加权系数值在客户端到服务器不含三次握手的第一个报文窗口大小为指定窗口大小时为第一数值，否则为第二数值；所述第五加权系数值对应第五过滤参数，所述第五过滤参数表示客户端到服务器指定时长之后或者设定的报文数量之后，出现报文长度为设定长度的心跳包的权重，所述第五加权系数值在客户端到服务器指定时长之后或者设定的报文数量之后，出现报文长度为设定长度的心跳包时为第一数值，否则为第二数值；所述第六加权系数值对应第六过滤参数，所述第六过滤参数表示服务器到客户端指定时长之后或者设定的报文数量之后，出现报文长度为指定长度的心跳包的权重，所述第五加权系数值在服务器到客户端指定时长之后或者设定的报文数量之后，出现报文长度为指定长度的心跳包时为第一数值，否则为第二数值；所述第七加权系数值对应第七过滤参数，所述第七过滤参数表示指定时间间隔内二元组对应的总会话数的权重，所述第七加权系数值在指定时间间隔内二元组对应的总会话数不大于设定会话数时为第一数值，否则为第二数值。8.如权利要求7所述的方法，其特征在于，若获得的所述会话的会话类型为纯tcp会话类型，则确定是否已经获得所述会话类型的会话对应的每个加权系数值包括：确定是否已获得所述第一加权系数值、所述第二加权系数值、所述第三加权系数值和所述第四加权系数值中的至少三个。9.如权利要求7所述的方法，其特征在于，若获得的所述会话的会话类型为安全传输层协议tls会话类型，则确定是否已经获得所述会话类型的会话对应的每个加权系数值包括：确定是否已获得所述第二加权系数值以及所述第三加权系数值。10.一种网络流量过滤装置，其特征在于，所述装置包括：接收模块，用于从待过滤报文队列获取待过滤报文；过滤结束判断模块，用于确定所述待过滤报文对应的五元组信息；根据所述五元组信
息，确定所述待过滤报文所属的会话；确定是否存在所述会话对应的网络流量类型标识，所述网络流量类型标识包括加密代理网络流量标识和非加密代理网络流量标识；信息获取模块，用于若所述过滤结束判断模块确定不存在，则根据所述待过滤报文，确定所述会话对应的加权系数值，并确定是否已获得所述会话对应的每个加权系数值，每个加权系数值对应一个过滤参数；概率确定模块，用于若所述信息获取模块确定已获得所述会话对应的每个加权系数值，则根据每个加权系数值，对每个过滤参数确定出的参数值进行加权求和，确定所述会话对应的加密代理网络流量概率；过滤模块，用于若所述概率确定模块确定所述加密代理网络流量概率大于设定的阈值，则确定所述会话对应的网络流量类型标识为加密代理网络流量标识，并确定所述待过滤报文对应的网络流量类型标识为所述会话对应的网络流量类型标识。11.一种非易失性计算机存储介质，其特征在于，所述计算机存储介质存储有可执行程序，该可执行程序被处理器执行实现权利要求1～9任一所述的方法。12.一种计算机程序产品，其特征在于，所述计算机程序产品包括可执行程序，该可执行程序被处理器执行实现权利要求1～9任一所述的方法。13.一种网络流量过滤设备，其特征在于，所述设备包括处理器、通信接口、存储器和通信总线，其中，所述处理器，所述通信接口，所述存储器通过所述通信总线完成相互间的通信；所述存储器，用于存放计算机程序；所述处理器，用于执行所述存储器上所存储的程序时，实现权利要求1～9任一所述的方法步骤。

技术总结
本公开涉及一种网络流量过滤方法、装置、介质、产品和设备。其中，根据报文的五元组信息确定报文所属会话，根据属于该会话的报文确定预设的过滤参数对应的加权系数值，基于加权系数值，对对应的过滤参数值进行加权求和，利用加权求和值来确定会话属于加密代理网络流量的概率。进一步将获得的概率与设定的阈值进行比较，从而确定该会话是否属于加密代理网络流量。在确定出一个会话是否属于加密代理网络流量之后，属于该会话的报文是否属于加密代理网络流量即可以得到确定。从而可以比较准确地区分加密代理网络流量和非加密代理网络流量，实现加密代理网络流量的准确过滤，以便后续进一步针对加密代理网络流量和非加密代理网络流量分别进行处理。量分别进行处理。量分别进行处理。


技术研发人员：彭添 叶建伟 刘文懋 谢正明 顾杜娟 赵洪亮 王萌
受保护的技术使用者：北京神州绿盟科技有限公司
技术研发日：2021.12.09
技术公布日：2022/4/29