一种在P4交换机上部署随机森林模型的方法

技术特征：
1.一种构建用于流量检测的随机森林模型的方法，其特征在于，包括：获取待部署模型的p4交换机所支持的流水线上限以及所支持的匹配动作表的递归深度上限；基于所述待部署模型的p4交换机所支持的流水线上限以及所支持的匹配动作表的递归深度上限，确定为其定制的随机森林模型的规模；利用训练数据训练所述随机森林模型检测数据包是否异常；将训练得到的随机森林模型转换为脚本文件，其中，所述脚本文件中将随机森林模型的模型参数以p4交换机支持的添加表的指令的形式存储。2.根据权利要求1所述的方法，其特征在于，所述随机森林模型的规模按照以下方式确定：基于所述p4交换机所支持的流水线上限配置随机森林模型的决策树数量，以及基于所述p4交换机所支持的匹配动作表的递归深度上限配置所述决策树的深度。3.根据权利要求2所述的方法，其特征在于，在所述待部署模型的p4交换机为单个p4交换机时，所述随机森林模型的决策树数量小于等于该单个p4交换机所支持的流水线上限；或在所述待部署模型的p4交换机为多个p4交换机构成的p4交换机组时，所述随机森林模型的决策树数量小于等于该p4交换机组中所有p4交换机所支持的流水线上限之和。4.根据权利要求2所述的方法，其特征在于，所述训练数据包括多个训练样本，所述训练样本包括输入特征以及标签，所述输入特征基于数据包的包头信息和对数据包所属数据流的统计得到，所述标签指示相应数据包是正常的还是异常的。5.根据权利要求4所述的方法，其特征在于，所述输入特征包括源到目标的生存时间、目标到源的生存时间、每秒发送到源的比特数、目标到源数据包计数、源到目标字节数、每秒发送到目标的比特数、连接建立的往返时延、数据包所在数据流的持续时间、目标端口号或者其组合。6.一种在p4交换机上部署随机森林模型的方法，其特征在于，包括：获取用于执行网络流量检测的p4程序以及基于权利要求1-5任一项的方法得到的脚本文件，所述p4程序包含指示将随机森林模型的多颗决策树分布式部署在p4交换机中的多条流水线上的部署控制信息；通过待部署模型的p4交换机的控制平面将所述p4程序和所述脚本文件下发到p4交换机中，以利用在所述p4交换机的多级流水线上部署的随机森林模型检测进入的数据包是否异常。7.根据权利要求6述的方法，其特征在于，所述部署控制信息中指示将随机森林模型中的多颗决策树中的预定数量的决策树部署在p4交换机的指定流水线上。8.根据权利要求7所述的方法，其特征在于，所述部署控制信息中指示将随机森林模型中的多颗决策树中的每颗决策树单独部署在p4交换机的指定流水线上。9.根据权利要求6所述的方法，其特征在于，当随机森林模型在p4交换机上部署时，将随机森林模型的决策树配置为依赖p4交换机的匹配动作单元执行，其中，决策树的决策节点利用匹配动作单元的匹配项执行决策操作，在匹配项接收到输入特征后，根据输入特征判断是否满足条件，并根据判断的结果通过动作转入对应的分
支以流向下一个决策节点或者叶节点，叶节点是识别所述数据包是否异常的分类结果。10.一种网络流量的检测方法，应用于p4交换机，其特征在于，包括：获取待检测的数据包；将数据包输入部署在p4交换机上的随机森林模型，得到检测结果，其中，所述随机森林模型是按照权利要求1-5任一项的方法为所述p4交换机定制的，并且按照权利要求6-9任一项的方法部署在p4交换机上。11.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，所述计算机程序可被处理器执行以实现权利要求1至10中任一项所述方法的步骤。12.一种电子设备，其特征在于，包括：一个或多个处理器；以及存储器，其中存储器用于存储可执行指令；所述一个或多个处理器被配置为经由执行所述可执行指令以实现权利要求1至10中任一项所述方法的步骤。

技术总结
本发明提供了一种在P4交换机上部署随机森林模型的方法，包括：获取用于执行网络流量检测的P4程序以及脚本文件，所述P4程序包含指示将随机森林模型的多颗决策树分布式部署在P4交换机中的多条流水线上的部署控制信息；通过待部署模型的P4交换机的控制平面将所述P4程序和所述脚本文件下发到P4交换机中，以利用在所述P4交换机的多级流水线上部署的随机森林模型检测进入的数据包是否异常。林模型检测进入的数据包是否异常。林模型检测进入的数据包是否异常。


技术研发人员：王德志 刁祖龙 张广兴 李振宇
受保护的技术使用者：中国科学院计算技术研究所
技术研发日：2022.03.25
技术公布日：2022/8/5