确定边界网关协议流量方法、装置、电子设备及存储介质与流程

本技术涉及数据处理，尤其涉及一种确定边界网关协议流量方法、装置、电子设备及存储介质。

背景技术：

1、在入侵检测系统中，精确的识别网络流量承载的各类协议是进行准确检测的必要条件。对于边界网关协议流量（border gateway protocol，bgp）这类典型的路由协议，其具备较为典型的端口特征和dpi（deep packet inspection，深度包检测技术）特征，当网络流量质量较好时，可以使用其端口特征及头部dpi特征进行准确识别。然而，一旦端口为非标准端口或边界网关协议流量中的流量数据包有缺失的情况下，示例性的，bgp协议报文是一种常见的tcp（transmission control protocol，传输控制协议）/ip网络中使用的路由协议，当承载bgp协议报文的tcp协议数据包采用非标准179端口时，端口特征缺失，常规的基于端口和dpi特征的识别方法无法识别出bgp协议；bgp数据未严格按照一个bgp包封装在一个tcp包中，且tcp流有丢包，导致dpi特征缺失。传统的识别方法几乎无法识别出协议类型。

技术实现思路

1、有鉴于此，本技术的目的在于提出一种确定边界网关协议流量方法、装置、电子设备及存储介质，以克服现有技术中全部或部分不足。

2、基于上述目的，本技术提供了一种确定边界网关协议流量方法，包括：接收流量数据中的第一流量数据，对所述第一流量数据按照预定规则进行匹配；响应于确定所述第一流量数据未匹配成功，继续接收所述流量数据中的第二流量数据；检测所述第二流量数据是否出现丢包；响应于确定检测出所述第二流量数据未出现丢包，对所述第二流量数据进行形式验证，响应于确定所述第二流量数据通过所述形式验证，将所述流量数据确定为所述边界网关协议流量；响应于确定所述第二流量数据出现丢包，对所述第二流量数据进行字节检测，响应于确定所述第二流量数据通过所述字节检测，将所述流量数据确定为所述边界网关协议流量。

3、可选地，所述第二流量数据包括至少一个流量数据包，所述流量数据包记载有所述流量数据包的数据量；所述检测所述第二流量数据是否出现丢包，包括：检测所述流量数据包的实际数据量是否等于该流量数据包记载的数据量；响应于确定每个流量数据包的实际数据量都等于其记载的数据量，确定所述第二流量数据未出现丢包；响应于确定存在所述流量数据包的实际数据量不等于其记载的数据量，确定所述第二流量数据出现丢包。

4、可选地，所述第二流量数据包括至少一个流量数据包，所述流量数据包记载有所述流量数据包的序号；所述对所述第二流量数据进行形式验证，包括：基于全部流量数据包的序号，对所述第二流量数据中的全部流量数据包进行重新排列，得到排列流量数据；对所述排列流量数据按照所述预定规则进行匹配，响应于确定所述排列流量数据匹配成功，验证所述排列流量数据中的预定字段的数量是否大于预定值；响应于确定所述预定字段的数量大于所述预定值，确定所述第二流量数据通过所述形式验证。

5、可选地，所述第二流量数据包括至少一个流量数据包，所述流量数据包记载有所述流量数据包的序号；所述对所述第二流量数据进行字节检测，包括：基于全部流量数据包的序号，对所述第二流量数据中的全部流量数据包进行重新排列，得到排列流量数据；检测所述排列流量数据中的首个流量数据包中的首个字段是否为预定字段；响应于确定所述首个流量数据包中的首个字段不为所述预定字段，对所述首个流量数据包中的第二字段和第三字段进行字段验证；响应于确定所述第二字段的长度属于预定长度范围，且所述第三字段属于预定类型，确定所述第二字段和所述第三字段通过所述字段验证，并对所述排列流量数据进行形式验证；响应于确定所述排列流量数据通过所述形式验证，确定所述第二流量数据通过所述字节检测。

6、可选地，还包括：响应于确定所述第二字段的长度不属于所述预定长度范围，和/或，所述第三字段不属于所述预定类型，确定所述第二字段和所述第三字段未通过所述字段验证，并将所述排列流量数据的检测点设置在所述首个流量数据包中；对在所述排列流量数据中位于所述检测点之后的流量数据包进行多轮移动检测，针对每一轮移动检测：对位于所述检测点之后的预定数量个流量数据包进行移动检测，若所述预定数量个流量数据包未通过所述移动检测，将所述检测点移动至预定数量的流量数据包后，并进行下一轮移动检测；若所述预定数量个流量数据包通过所述移动检测，结束多轮移动检测，对所述预定数量个流量数据包中的最后一个流量数据包的预定字段后的两个字段进行所述字段验证；响应于确定所述两个字段都通过所述字段验证，对所述排列流量数据进行形式验证；响应于确定所述排列流量数据通过所述形式验证，确定所述排列流量数据对应的第二流量数据通过所述字节检测；若所述检测点之后的流量数据包的数量小于所述预定数量，结束多轮移动检测，确定所述排列流量数据对应的第二流量数据未通过所述字节检测。

7、可选地，对位于所述检测点之后的预定数量个流量数据包进行移动检测，包括：响应于确定存在连续的预定数量的流量数据包中都包括预定字段，确定位于所述检测点之后的预定数量个流量数据包通过所述移动检测。

8、可选地，所述对所述第一流量数据按照预定规则进行匹配，包括：对所述第一流量数据进行解析，得到所述第一流量数据对应的全部字段；将全部字段与所述预定规则中的字段进行匹配。

9、可选地，还包括：响应于确定所述第一流量数据匹配成功，确定所述第一流量数据为所述边界网关协议流量。

10、基于同一发明构思，本技术还提供了一种确定边界网关协议流量装置，包括：第一接收模块，被配置为接收流量数据中的第一流量数据，对所述第一流量数据按照预定规则进行匹配；第二接收模块，被配置为响应于确定所述第一流量数据未匹配成功，继续接收所述流量数据中的第二流量数据；丢包检测模块，被配置为检测所述第二流量数据是否出现丢包；第一确定模块，被配置为响应于确定检测出所述第二流量数据未出现丢包，对所述第二流量数据进行形式验证，响应于确定所述第二流量数据通过所述形式验证，将所述流量数据确定为所述边界网关协议流量；第二确定模块，被配置为响应于确定所述第二流量数据出现丢包，对所述第二流量数据进行字节检测，响应于确定所述第二流量数据通过所述字节检测，将所述流量数据确定为所述边界网关协议流量。

11、基于同一发明构思，本技术还提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序，所述处理器在执行所述计算机程序时实现如上所述的方法。

12、从上面所述可以看出，本技术提供的确定边界网关协议流量方法、装置、电子设备及存储介质，所述方法包括接收流量数据中的第一流量数据，对所述第一流量数据按照预定规则进行匹配，提高了确定流量数据的类型的效率。响应于确定所述第一流量数据未匹配成功，继续接收所述流量数据中的第二流量数据，达到为确定流量数据的类型提供更多流量数据的目的。检测所述第二流量数据是否出现丢包，达到了对第二流量数据的完整性进行检查的目的。响应于确定检测出所述第二流量数据未出现丢包，对所述第二流量数据进行形式验证，响应于确定所述第二流量数据通过所述形式验证，将所述流量数据确定为所述边界网关协议流量，达到了准确确定边界网关协议流量的目的。响应于确定所述第二流量数据出现丢包，对所述第二流量数据进行字节检测，响应于确定所述第二流量数据通过所述字节检测，将所述流量数据确定为所述边界网关协议流量，达到了准确确定边界网关协议流量的目的。