流量处理方法及系统、存储介质及电子设备与流程

1.本公开涉及计算机技术领域，尤其涉及一种流量处理方法及系统、存储介质及电子设备。


背景技术：

2.随着计算机技术和互联网技术的发展，5g网络的部署越来越广泛，5g网络中的各个网元均需要处理大量流量数据。
3.相关技术中，5g网络中的各个网元通常是使用网络防火墙来防止外部网络的流量侵入，而网络防火墙通常只能识别部分常见攻击手段，因此相关技术中缺乏更多有效监测手段，导致5g核心网的安全防护能力较弱。
4.需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。


技术实现要素：

5.本公开的目的在于提供一种流量处理方法、装置、电子设备及存储介质，以在不影响5g核心网中各网元性能的情况下实现网元级的入侵检测，从而提升整体5g核心网的安全防护能力。
6.本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。
7.根据本公开的一个方面，提供一种流量处理方法，包括：服务通信代理网元通过信令通道向网络功能网元下发流量检测配置数据；网络功能网元根据流量检测配置数据对到达网络功能网元的流量数据进行异常检测获得检测结果；其中，检测结果为流量数据为异常流量数据，或者流量数据为正常流量数据；在检测结果指示流量数据为异常流量数据的情况下，网络功能网元对异常流量数据进行异常处理生成处理结果，并将处理结果通过信令通道上报至服务通信代理网元。
8.在本公开一个实施例中，服务通信代理网元通过信令通道向网络功能网元下发流量检测配置数据，包括：网络功能网元通过信令通道向服务通信代理网元发送配置获取请求；服务通信代理网元根据配置获取请求查询与网络功能网元对应的目标配置数据以作为流量检测配置数据；服务通信代理网元通过信令通道向网络功能网元下发流量检测配置数据。
9.在本公开一个实施例中，网络功能网元中包括入口业务容器组，入口业务容器组包括流量处理边车容器；网络功能网元根据流量检测配置数据对到达网络功能网元的流量数据进行异常检测获得检测结果，包括：入口业务容器组接收到达网络功能网元的流量数据；流量处理边车容器截获流量数据，并根据流量检测配置数据对流量数据进行异常检测获得检测结果。
10.在本公开一个实施例中，流量检测配置数据包括一个或多个异常特征规则数据；
流量处理边车容器截获流量数据，并根据流量检测配置数据对流量数据进行异常检测获得检测结果，包括：流量处理边车容器截获流量数据中的业务报文；流量处理边车容器对业务报文进行解析获得解析结果；流量处理边车容器将解析结果与各个异常特征规则数据进行对比，确定解析结果所符合的异常特征规则数据的个数；其中，若个数大于或等于1，则流量处理边车容器确定检测结果指示流量数据为异常流量数据。
11.在本公开一个实施例中，入口业务容器组还包括异常上报边车容器；网络功能网元对异常流量数据进行异常处理生成处理结果，并将处理结果通过信令通道上报至服务通信代理网元，包括：流量处理边车容器将异常流量数据转发至异常上报边车容器；异常上报边车容器基于预设的处理方式对异常流量数据进行异常处理，并根据异常流量数据的检测结果及处理方式生成处理结果；异常上报边车容器将处理结果通过信令通道上报至服务通信代理网元。
12.在本公开一个实施例中，入口业务容器组还包括业务容器；其中，流量处理方法还包括：在检测结果指示流量数据为正常流量数据的情况下，流量处理边车容器将正常流量数据发送至业务容器，以使业务容器根据正常流量数据进行业务处理。
13.在本公开一个实施例中，入口业务容器组还包括配置接收边车容器；网络功能网元通过信令通道向服务通信代理网元发送配置获取请求，包括：配置接收边车容器通过信令通道向服务通信代理网元发送配置获取请求；服务通信代理网元通过信令通道向网络功能网元下发流量检测配置数据，包括：服务通信代理网元通过信令通道向配置接收边车容器下发流量检测配置数据；以及，流量处理方法还包括：配置接收边车容器将流量检测配置数据同步至流量处理边车容器。
14.在本公开一个实施例中，流量处理方法还包括：服务通信代理网元根据处理结果生成告警信息；服务通信代理网元调用预配置的通信系统上报告警信息。
15.在本公开一个实施例中，流量处理方法还包括：服务通信代理网元接收用户针对网络功能网元的配置写入数据；在确定用户具有配置权限的情况下，服务通信代理网元存储配置写入数据中针对网络功能网元的流量检测配置数据。
16.根据本公开的另一个方面，提供一种流量处理系统，包括：服务通信代理网元，用于通过信令通道向网络功能网元下发流量检测配置数据；网络功能网元用于根据流量检测配置数据对到达网络功能网元的流量数据进行异常检测获得检测结果；其中，检测结果为流量数据为异常流量数据，或者流量数据为正常流量数据；在检测结果指示流量数据为异常流量数据的情况下，网络功能网元用于对异常流量数据进行异常处理生成处理结果，并将处理结果通过信令通道上报至服务通信代理网元。
17.根据本公开的又一个方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的流量处理方法。
18.根据本公开的再一个方面，提供一种电子设备，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行上述的流量处理方法。
19.本公开的实施例所提供的流量处理方法，能够令服务通信代理通过信令通道向网络功能网元下发流量检测配置数据，以使网络功能网元根据流量检测配置数据对到达本网元的流量数据进行异常检测，并对异常流量数据进行处理生成处理结果、将处理结果再通
过信令通道上报至服务通信代理网元。可见，一方面，通过只在服务通信代理中针对各个网络功能网元的流量检测配置数据进行配置再令服务通信代理下发流量检测配置数据的方式，避免了在各个网络功能网元中分别进行配置而造成的操作繁琐、流程复杂的问题；另一方面，本方案可以将服务通信代理网元作为合一部署点，进而可以复用服务通信代理网元与其他网络功能网元之间的信令通道以实现配置下发，因此可以在不影响5g核心网中各网络功能网元性能的情况下有效预防具有攻击性的流量数据对网络功能网元造成损害，实现网元级的入侵检测，从而提升整体5g核心网的安全防护能力。
20.进一步，本公开实施例提供的流量处理方法可以应用于云化5g核心网网元，本方法为1+n模式，即：由服务通信代理网元中部署的一个入侵检测控制器和位于各类5g核心网网元的n个边车容器组成。在本公开提供的流量处理方法中，可以使用边车容器实现对各网元的入侵检测及异常上报，同时可以依赖于服务通信代理网元在5g中信令代理核心节点的架构，使用信令通道进行配置下发及异常上报，从而简化本流量处理方法的设计调试流程。且由于边车容器易于扩展、更新和管理，因此本技术中应用了边车容器的步骤所涉及的功能均具有易于扩展、更新和管理的优点。
21.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
附图说明
22.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
23.图1示出了可以应用本公开实施例的流量处理方法的示例性系统架构的示意图；
24.图2示出了本公开一个实施例的流量处理方法的流程图；
25.图3示出了本公开一个实施例的流量处理方法中服务通信代理网元向网络功能网元下发流量检测配置数据的流程图；
26.图4示出了本公开一个实施例的流量处理方法中流量处理边车容器对流量数据进行异常检测的流程图；
27.图5示出了本公开一个实施例的流量处理方法中网络功能网元对异常流量数据进行异常处理的流程图；
28.图6示出了可以应用本公开实施例的流量处理方法的又一种示例性系统架构的示意图；
29.图7示出了本公开一个实施例的入口业务容器组中流量处理方法的框架示意图；
30.图8示出了本公开一个实施例的流量处理方法的流程示意图；
31.图9示出了本公开一个实施例的流量处理装置的框图；和
32.图10示出了本公开实施例中一种流量处理计算机设备的结构框图。
具体实施方式
33.现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形
式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
34.此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
35.此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本公开的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。
36.针对上述相关技术中存在的技术问题，本公开实施例提供了一种流量处理方法，以用于至少解决上述技术问题中的一个或者全部。
37.图1示出了可以应用本公开实施例的流量处理方法的示例性系统架构的示意图。
38.如图1所示，该系统架构可以包括服务通信代理网元(scp，service communication proxy)101、网络功能网元(nf，network function)102和信令通道103。服务通信代理网元101与网络功能网元102可以是处于同一5g核心网(5gc)中的网元，在5g核心网的通信架构中，网络功能网元102之间可实现信令直接交互，网络功能网元102也可以与服务通信代理网元101进行互联，也即可以通过服务通信代理网元101的信息转发实现网络功能网元102之间的间接通信，例如服务发现和服务请求相关的信令或数据信息都可以通过服务通信代理网元101进行转发。
39.信令通道103可以是属于5g核心网的信令网络中的通道，用于承载服务通信代理网元101和网络功能网元102之间与信令相关的消息数据或其他数据信息(例如请求消息、通知消息、接入信息配置数据等)的传输。在示例性实施例中，信令通道103可以支持各种通信方式，例如局域网(lan，local area network)、广域网(wan，wide area network)和互联网方式等。举例而言，信令通道所使用的通信协议例如可以采用tcp协议(也称为tcp通道)，基于tcp协议能够保证数据可达的特性，可以实现与信令相关的消息数据或其他数据信息的可靠传输。
40.在示例性实施例中，网络功能网元102除了可以通过信令通道103与服务通信代理网元101进行数据传输，也可以接收外部(如其他网元)发送来的流量数据以进行业务处理。网络功能网元102可以包括但不限于udm网元(unified data management，统一数据管理功能)、amf网元(access and mobility management function，接入及移动性管理功能)、ausf网元(authentication server function，鉴权服务功能)、pcf网元(policy control function，策略控制功能)、nrf网元(nf repository function，网元数据仓库功能)、smf网元(session management function，会话管理功能)、af网元(application function，应用层功能)、chf网元(charging function，计费功能)、nef网元(network exposure function，网络业务呈现功能)等网元。
41.在示例性实施例中，本技术中用于实现流量处理方法的过程可以是：服务通信代
理网元101通过信令通道向网络功能网元102下发流量检测配置数据，包括：网络功能网元102通过信令通道向服务通信代理网元101发送配置获取请求；服务通信代理网元101根据配置获取请求查询与网络功能网元102对应的目标配置数据以作为流量检测配置数据，进而通过信令通道向网络功能网元102下发流量检测配置数据。
42.此外，需要说明的是，图1所示的仅仅是本公开提供的流量处理方法的一种应用环境。图1中的服务通信代理网元、网络功能网元和信令通道的数目仅仅是示意性的，根据实际需要，可以具有任意数目的服务通信代理网元、网络功能网元和信令通道。
43.为了使本领域普通人员更好地理解本公开的技术方案，下面将结合附图及实施例对本公开示例实施例中的流量处理方法的各个步骤进行更详细的说明。
44.图2示出了本公开一个实施例的流量处理方法的流程图，如图2所示，本公开实施例提供的流量处理方法可以包括以下步骤：
45.步骤s201，服务通信代理网元通过信令通道向网络功能网元下发流量检测配置数据。
46.本步骤中，网络功能网元的个数可以是一个或多个，每一个网络功能网元与服务通信代理网元之间都可以存在不同的信令通道。可以基于预设频率(如每1小时、每24小时等)周期性地向网络功能网元下发流量检测配置数据。流量检测配置数据可以是预先在服务通信代理网元中配置好的，流量检测配置数据中可以包含针对流量数据的检测规则，检测规则可以用于检测流量数据是正常流量数据还是异常流量数据，进而确定对流量数据的处理方式。流量检测配置数据可以针对内部攻击行为、外部攻击行为、误操作行为等行为进行设置，举例而言，流量检测配置数据可以是根据已知的具有攻击性(例如可能为网络功能网元带来威胁，或是触发网络功能网元中产生异常事件)的流量数据的特征来配置的。
47.在一些实际应用中，服务通信代理网元中可以设置入侵检测控制器，入侵检测控制器可以用于对流量检测配置数据进行配置部署及下发，也即，可以将服务通信代理网元作为入侵检测控制器的合一部署点，进而可以复用服务通信代理网元与其他网络功能网元之间的信令通道实现配置下发。
48.在一些实际应用中，当网络功能网元为多个时，可以为所有网络功能网元设置相同通用的流量检测配置数据；也可以基于不同网络功能网元的常用应用场景或常处理的业务类型等因素，针对不同网络功能网元配置不同的流量检测配置数据，以使得不同网络功能网元接收到的流量检测配置数据更有针对性。此外，服务通信代理网元可以使用与各个网络功能网元对应的信令通道分别向各个网络功能网元下发流量检测配置数据，进而可以同时向多个网络功能网元下发其各自需要的流量检测配置数据，效率更高。
49.步骤s203，网络功能网元根据流量检测配置数据对到达网络功能网元的流量数据进行异常检测获得检测结果；其中，检测结果为流量数据为异常流量数据，或者流量数据为正常流量数据。
50.本步骤中，到达网络功能网元的流量数据可以是到达网络功能网元入口处的流量数据，例如，被网络功能网元上的网络防火墙过滤后、刚被网络功能网元的流量接收入口(如入口微服务)接收到的流量数据，此时该流量数据还未参与业务处理，因此若此时对该流量数据进行异常检测，可以有效预防具有攻击性的流量数据对网络功能网元造成损害，实现网元级的入侵检测，从而提升整体5g核心网的安全防护能力。
51.步骤s205，在检测结果指示流量数据为异常流量数据的情况下，网络功能网元对异常流量数据进行异常处理生成处理结果，并将处理结果通过信令通道上报至服务通信代理网元。
52.其中，处理结果可以包括异常流量数据的信息、流量数据被确定为异常流量数据的依据(如命中了流量检测配置数据中的哪项规则)、对异常流量数据进行异常处理的方式等信息。不同网络功能网元可以通过其与服务通信代理网元之间的信令通道上报处理结果。
53.在一些实施例中，在步骤s205之后，流量处理方法还可以包括：服务通信代理网元根据处理结果生成告警信息；服务通信代理网元调用预配置的通信系统上报告警信息。
54.本实施例中，告警信息中可以包含上报处理结果的网络功能网元及该处理结果，预配置的通信系统例如可以是短信系统、邮件系统等，服务通信代理网元可以将告警信息发送至相关用户(如管理员等)处，以使相关用户根据收集到的告警信息对相应网络功能网元的流量检测配置数据或网络防火墙进行更新，使得网络功能网元具有更好的防护效果，提升5g核心网的网络防护能力。
55.通过本公开提供的流量处理方法，可以令服务通信代理通过信令通道向网络功能网元下发流量检测配置数据，以使网络功能网元根据流量检测配置数据对到达本网元的流量数据进行异常检测，并对异常流量数据进行处理生成处理结果、将处理结果再通过信令通道上报至服务通信代理网元。可见，一方面，通过只在服务通信代理中针对各个网络功能网元的流量检测配置数据进行配置再令服务通信代理下发流量检测配置数据的方式，避免了在各个网络功能网元中分别进行配置而造成的操作繁琐、流程复杂的问题；另一方面，本方案可以将服务通信代理网元作为合一部署点，进而可以复用服务通信代理网元与其他网络功能网元之间的信令通道以实现配置下发，因此可以在不影响5g核心网中各网络功能网元性能的情况下有效预防具有攻击性的流量数据对网络功能网元造成损害，实现网元级的入侵检测，从而提升整体5g核心网的安全防护能力。
56.图3示出了本公开一个实施例的流量处理方法中服务通信代理网元向网络功能网元下发流量检测配置数据的流程图，如图3所示，在一些实施例中，步骤s201可以进一步包括：
57.步骤s301，网络功能网元通过信令通道向服务通信代理网元发送配置获取请求。
58.本步骤中，网络功能网元可以基于预设频率(如每1小时、每24小时等)周期性地向服务通信代理网元请求下发流量检测配置数据。
59.步骤s303，服务通信代理网元根据配置获取请求查询与网络功能网元对应的目标配置数据以作为流量检测配置数据。
60.步骤s305，服务通信代理网元通过信令通道向网络功能网元下发流量检测配置数据。
61.在一些实际应用中，服务通信代理网元中可以存储有针对不同网络功能网元的用于流量检测的配置数据，配置获取请求中可以包含有网络功能网元的相关信息，例如可以包含网络功能网元的名称、地址、nfid(network function id，网络功能网元标识号)等，进而可以使得服务通信代理网元根据配置获取请求去查询与网络功能网元对应的目标配置数据，以作为该网络功能网元的流量检测配置数据进行下发。
62.在一些实施例中，网络功能网元中包括入口业务容器组，入口业务容器组包括流量处理边车容器；网络功能网元根据流量检测配置数据对到达网络功能网元的流量数据进行异常检测获得检测结果，包括：入口业务容器组接收到达网络功能网元的流量数据；流量处理边车容器截获流量数据，并根据流量检测配置数据对流量数据进行异常检测获得检测结果。
63.在一些实际应用中，5g核心网可以实现云化，例如可以基于如kubernetes(以下简称为k8s)的容器编排引擎对5g核心网网元进行部署；具体而言，可以创建k8s集群，由k8s对硬件资源进行统一管理，将一台(或几台)主机安装成k8s控制节点，其他主机作为工作节点加入到集群中承载工作负荷，其他的实体(如虚拟网络功能管理器vnfm、网络功能虚拟化编排器nfvo、5g核心网实体等)在k8s集群中则可以以k8s容器组的方式进行运行，在k8s容器组中，可以包含一个或多个并置的容器。
64.基于此，本实施例中，服务代理网元及网络功能网元的负责不同功能的功能模块可以以容器的方式运行在多个计算节点上。可以根据服务代理网元及网络功能网元部署在相同或者不同k8s集群的部署方式，实现集群之间通信或者集群内部通信。例如，网络功能网元中可以设置入口业务容器组，用于接收到达网络功能网元入口处的流量数据，而入口业务容器组中可以灵活设置用于检测流量的流量处理边车容器，进而可以在不更改入口业务容器组原本功能的情况下扩展并增强该容器组对流量的处理功能。
65.图4示出了本公开一个实施例的流量处理方法中流量处理边车容器对流量数据进行异常检测的流程图，如图4所示，在一些实施例中，流量处理边车容器截获流量数据，并根据流量检测配置数据对流量数据进行异常检测获得检测结果，包括：
66.步骤s401，流量处理边车容器截获流量数据中的业务报文。
67.本步骤中，业务报文例如可以是http(hyper text transfer protocol，超文本传输协议)报文数据。
68.步骤s403，流量处理边车容器对业务报文进行解析获得解析结果。
69.本步骤中，可以对业务报文进行解析拆分，获得报文头或载荷数据，例如可以获得请求业务报文的请求行、请求头、请求体，可以获得响应业务报文的响应头、响应体；流量处理边车容器进而可以根据解析拆分后获得的数据确定解析结果，例如，可以只以请求体或响应体作为解析结果，也可以以相关的请求行、请求头和请求体作为解析结果。
70.步骤s405，流量处理边车容器将解析结果与各个异常特征规则数据进行对比，确定解析结果所符合的异常特征规则数据的个数。在一些实际应用中，流量检测配置数据中可以包括一个或多个异常特征规则数据，步骤s405中若解析结果所符合的异常特征规则数据的个数大于或等于1，则流量处理边车容器则可以确定本次检测结果指示流量数据为异常流量数据。
71.通过本实施例，可以利用流量处理边车容器为入口业务容器组增加流量检测的功能，且由于边车容器易于扩展、更新和管理，因此本技术中流量检测的功能具有易于扩展、更新和管理的优点。
72.在一些实际应用中，异常特征规则数据可以是针对流量数据的检测规则，该检测规则可以用于与流量数据进行对比，以确定流量数据是否与检测规则相匹配。例如检测规则可以是配置好的正则表达式，进行对比的过程可以是利用正则表达式与解析结果进行正
则匹配，若匹配，则可以确定解析结果符合该检测规则。在一些实际应用中，一个解析结果可以与不止一个检测规则相符合，可以将解析结果所符合的检测规则都记录下来，以用于后续上报或分析。
73.在一些实施例中，入口业务容器组还可以包括用于对异常流量数据进行处理及上报的异常上报边车容器；基于此，在检测结果指示流量数据为异常流量数据的情况下，图5示出了本公开一个实施例的流量处理方法中网络功能网元对异常流量数据进行异常处理的流程图，如图5所示，在一些实施例中，步骤s205可以进一步包括：
74.步骤s501，流量处理边车容器将异常流量数据转发至异常上报边车容器。
75.步骤s503，异常上报边车容器基于预设的处理方式对异常流量数据进行异常处理，并根据异常流量数据的检测结果及处理方式生成处理结果。
76.其中，预设的处理方式可以是直接在异常上报边车容器中设置好的，预设的处理方式也可以是写进流量检测配置数据中的，异常上报边车容器可以先获取或访问流量处理边车容器存储好的流量检测配置数据，然后再确定处理方式。此外，预设的处理方式例如可以是丢弃异常流量数据、对异常流量数据进行暂存追踪，或是对异常流量数据对应的发送方进行黑名单添加等操作，在一些实际应用中，可以根据异常流量数据所符合的异常特征规则数据进一步确定相应的处理方式。
77.本步骤中，处理结果可以包括异常流量数据所符合的异常特征规则数据及相应的处理方式。
78.步骤s505，异常上报边车容器将处理结果通过信令通道上报至服务通信代理网元。
79.通过本实施例，可以利用异常上报边车容器为入口业务容器组增加对异常流量数据的处理功能(包括异常处理及上报)，且由于边车容器易于扩展、更新和管理，因此本技术中对异常流量数据的处理功能具有易于扩展、更新和管理的优点。
80.在一些实施例中，基于步骤s405，若解析结果所符合的异常特征规则数据的个数为0，则流量处理边车容器则可以确定本次检测结果指示流量数据为正常流量数据。
81.在一些实施例中，入口业务容器组还可以包括业务容器，用于在确定本次检测结果指示流量数据为正常流量数据的情况下根据正常流量数据进行业务处理。基于此，流量处理方法还可以包括：在检测结果指示流量数据为正常流量数据的情况下，流量处理边车容器则可以将正常流量数据发送至业务容器，以使业务容器根据正常流量数据进行业务处理。
82.在一些实施例中，入口业务容器组还包括配置接收边车容器，以用于在网络功能网元中向服务通信代理网元请求流量检测配置数据以及处理收到的流量检测配置数据。
83.基于此，步骤s301可以进一步包括：配置接收边车容器通过信令通道向服务通信代理网元发送配置获取请求。
84.步骤s201或步骤s305可以进一步包括：服务通信代理网元通过信令通道向配置接收边车容器下发流量检测配置数据。
85.其中，在部署有入侵检测控制器的服务通信代理网元中，还可以以容器组的方式设置配置下发模块，用于与配置接收边车容器进行配合将服务通信代理网元中配置好的流量检测配置数据传输至网络功能网元。具体而言，配置下发模块可以接收配置接收边车容
器发送的配置获取请求，然后由配置下发模块将流量检测配置数据下发至配置接收边车容器。
86.以及，流量处理方法还可以包括：配置接收边车容器将流量检测配置数据同步至流量处理边车容器。
87.其中，配置接收边车容器可以先将流量检测配置数据存储至预设存储空间，再进行同步。
88.在一些实施例中，流量处理方法还可以包括：服务通信代理网元接收用户针对网络功能网元的配置写入数据；在确定用户具有配置权限的情况下，服务通信代理网元存储配置写入数据中针对网络功能网元的流量检测配置数据。
89.本实施例中，具有配置权限的用户可以是系统管理员，系统管理员可以先进行登录认证，在认证通过后再通过网页命令行等方式对位于服务通信代理网元的入侵检测控制器写入包含有流量检测配置数据的配置写入数据。
90.图6示出了可以应用本公开实施例的流量处理方法的又一种示例性系统架构的示意图，如图6所示，包括：服务通信代理网元601、第一网络功能网元602和第一网络功能网元604，具体地，在服务通信代理网元601中包括入侵检测控制器，入侵检测控制器中可以包括配置受理模块、配置下发模块、异常接收模块和告警模块；在第一网络功能网元602中包括第一入口业务容器组603，第一入口业务容器组603中可以包括第一业务容器、第一配置接收边车容器、第一流量处理边车容器和第一异常上报边车容器；类似地，在第二网络功能网元604中包括第二入口业务容器组605，第二入口业务容器组605中可以包括第二业务容器、第二配置接收边车容器、第二流量处理边车容器和第二异常上报边车容器。
91.需要说明的是，图6所示的仅仅是本公开提供的流量处理方法的一种示例性系统架构的示意图，图6中的网络功能网元的数目仅仅是示意性的，根据实际需要，可以具有任意数目的网络功能网元。
92.参考如图6所示的系统，入侵检测控制器可以同服务通信代理网元601合一部署，其中各个模块的主要功能包括：
93.1)配置受理模块可以由系统管理员使用，以对整个系统的流量检测配置数据(如入侵规则)进行配置；
94.2)配置下发模块可以在收到网元(包括第一网络功能网元602和第一网络功能网元604)侧通过信令通道的配置获取请求后，将相应的流量检测配置数据通过信令通道下发；
95.3)异常接收模块可以用于接收网元侧的异常上报；
96.4)告警模块可以同其他预配置的人机监控终端(如oss、email、短信等)集成，将系统的异常入侵上报至管理员。
97.继续参考图6，每个受测5gc网元(包括第一网络功能网元602和第一网络功能网元604)都包含一个入口业务容器组(包括第一入口业务容器组603和第二入口业务容器组605)，在入口业务容器组中可以设置用于处理业务的业务容器，还可以使用边车技术(sidecar)插入了三个边车容器，分别是：配置接收边车容器、流量处理边车容器和异常上报边车容器，其中各个边车容器的主要功能包括：
98.1)配置接收边车容器可以通过https消息周期性地通过信令通道从入侵检测控制
器获取流量检测配置数据，并保存流量检测配置数据，然后将流量检测配置数据同步到流量处理边车容器；
99.2)流量处理边车容器可以对入口流量(即到达网络功能网元的流量数据)进行解析，并与流量检测配置数据进行对比，当符合一个或者多个流量检测配置数据中的入侵规则时，将入口流量转发至异常上报边车容器；当均不符合时，可以将流量转发至业务容器；
100.3)异常上报边车容器同时也作为一个黑洞(blackhole)容器，在收到异常流量之后进行记录并实时通过信令通道上报至入侵检测控制器，同时将入侵流量丢弃。
101.如图6所示的流量处理方法，可以应用于云化5g核心网网元，本方法为1+n模式，即：由服务通信代理网元中部署的一个入侵检测控制器和位于各类5g核心网网元的n个边车容器组成。在本公开提供的流量处理方法中，可以使用边车容器实现对各网元的入侵检测及异常上报，同时可以依赖于服务通信代理网元在5g中信令代理核心节点的架构，使用信令通道进行配置下发及异常上报，从而简化本流量处理方法的设计调试流程。
102.图7示出了本公开一个实施例的入口业务容器组中流量处理方法的框架示意图，如图7所示，网络功能网元中的入口业务容器组700中可以包括配置接收边车容器701、流量处理边车容器702、异常上报边车容器703和业务容器704。
103.其中，配置接收边车容器701可以获取到流量检测配置数据，并可以将流量检测配置数据同步至流量处理边车容器702；流量处理边车容器702可以接收到达网络功能网元的入口流量并进行检测，确定入口流量为正常流量还是异常流量；若入口流量为正常流量，则可以将入口流量转发至业务容器704；若入口流量为异常流量，则可以将入口流量转发至异常上报边车容器703；异常上报边车容器703在接收到被判断为异常流量的入口流量后，可以将其进行异常上报。
104.图8示出了本公开一个实施例的流量处理方法的流程示意图，如图8所示，包括：
105.步骤s801，对位于服务通信代理网元的入侵检测控制器写入入侵检测配置。本步骤中，入侵检测配置即流量检测配置数据；系统管理员可以通过网页命令行等方式对位于服务通信代理网元的入侵检测控制器写入入侵检测配置，其中系统管理员需要先进行登录认证。
106.步骤s802，入侵检测控制器将入侵检测配置下发至所有网络功能网元的边车容器。本步骤中，位于受测网元(即网络功能网元)的配置接收边车容器可以通过https消息周期性向入侵检测控制器中的配置下发模块进行配置同步请求，入侵检测控制器将入侵检测配置下发至所有网络功能网元的配置接收边车容器，配置接收边车容器接着同步给流量处理边车容器。
107.步骤s803，网络功能网元的入口微服务中的边车容器截获进入该微服务中的业务报文。本步骤中，当任意流量到达网络功能网元的入口微服务时，入口微服务中的边车容器可以截获进入该微服务中的业务报文。例如，可以由流量处理边车容器进行截获。
108.步骤s804，边车容器对截获的业务报文进行解析。本步骤中，可以由流量处理边车容器对业务报文进行解析。
109.步骤s805，边车容器将解析结果与收到的入侵检测配置进行对比。本步骤中，可以由流量处理边车容器将解析结果与收到的入侵检测配置进行对比。
110.步骤s806，边车容器在确定业务报文与入侵检测配置中任意的拦截规则相符合
时，对业务报文进行拦截，以防止该报文入侵该微服务，乃至该网络功能网元。本步骤中，可以由流量处理边车容器将需拦截的业务报文先转发至异常上报边车容器，继而由异常上报边车容器对业务报文进行拦截。此外，当业务报文与入侵检测配置中任意的拦截规则均不符合时，可以认为该流量为正常流量，然后将该流量转发至业务容器。
111.步骤s807，边车容器将此拦截上报至入侵检测控制器。本步骤中，可以由异常上报边车容器将此拦截上报至入侵检测控制器，同时也作为一个黑洞(blackhole)容器将所拦截的流量丢弃。
112.步骤s808，入侵检测控制器将异常统计上报至外部人机监控终端。本步骤中，入侵检测控制器可以通过其中设置的异常接收模块接收此次拦截的信息，并通过告警模块将异常统计上报至外部人机监控终端，以供人机监控终端的系统管理员及时进行处理，例如在防火墙处添加新的防火墙规则。
113.需要注意的是，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。
114.图9示出本公开第五实施例中一种流量处理系统900的框图；如图9所示，包括：
115.服务通信代理网元910，用于通过信令通道向网络功能网元920下发流量检测配置数据；920网络功能网元用于根据流量检测配置数据对到达网络功能网元的流量数据进行异常检测获得检测结果；其中，检测结果为流量数据为异常流量数据，或者流量数据为正常流量数据；在检测结果指示流量数据为异常流量数据的情况下，网络功能网元920用于对异常流量数据进行异常处理生成处理结果，并将处理结果通过信令通道上报至服务通信代理网元910。
116.通过本公开提供的流量处理装置，可以令服务通信代理通过信令通道向网络功能网元下发流量检测配置数据，以使网络功能网元根据流量检测配置数据对到达本网元的流量数据进行异常检测，并对异常流量数据进行处理生成处理结果、将处理结果再通过信令通道上报至服务通信代理网元。可见，一方面，通过只在服务通信代理中针对各个网络功能网元的流量检测配置数据进行配置再令服务通信代理下发流量检测配置数据的方式，避免了在各个网络功能网元中分别进行配置而造成的操作繁琐、流程复杂的问题；另一方面，本方案可以将服务通信代理网元作为合一部署点，进而可以复用服务通信代理网元与其他网络功能网元之间的信令通道以实现配置下发，因此可以在不影响5g核心网中各网络功能网元性能的情况下有效预防具有攻击性的流量数据对网络功能网元造成损害，实现网元级的入侵检测，从而提升整体5g核心网的安全防护能力。
117.在一些实施例中，服务通信代理网元910通过信令通道向网络功能网元920下发流量检测配置数据，包括：网络功能网元920通过信令通道向服务通信代理网元910发送配置获取请求；服务通信代理网元910根据配置获取请求查询与网络功能网元920对应的目标配置数据以作为流量检测配置数据；服务通信代理网元910通过信令通道向网络功能网元920下发流量检测配置数据。
118.在一些实施例中，网络功能网元920中包括入口业务容器组921，入口业务容器组921包括流量处理边车容器9211；网络功能网元920用于根据流量检测配置数据对到达网络功能网元920的流量数据进行异常检测获得检测结果，包括：入口业务容器组921用于接收
到达网络功能网元920的流量数据；流量处理边车容器9211用于截获流量数据，并根据流量检测配置数据对流量数据进行异常检测获得检测结果。
119.在一些实施例中，流量检测配置数据包括一个或多个异常特征规则数据；流量处理边车容器9211用于截获流量数据，并根据流量检测配置数据对流量数据进行异常检测获得检测结果，包括：流量处理边车容器9211用于截获流量数据中的业务报文；流量处理边车容器9211用于对业务报文进行解析获得解析结果；流量处理边车容器9211用于将解析结果与各个异常特征规则数据进行对比，确定解析结果所符合的异常特征规则数据的个数；其中，若个数大于或等于1，则流量处理边车容器9211确定检测结果指示流量数据为异常流量数据。
120.在一些实施例中，入口业务容器组921还包括异常上报边车容器9212；网络功能网元920用于对异常流量数据进行异常处理生成处理结果，并将处理结果通过信令通道上报至服务通信代理网元910，包括：流量处理边车容器9211用于将异常流量数据转发至异常上报边车容器9212；异常上报边车容器9212用于基于预设的处理方式对异常流量数据进行异常处理，并根据异常流量数据的检测结果及处理方式生成处理结果；异常上报边车容器9212用于将处理结果通过信令通道上报至服务通信代理网元910。
121.在一些实施例中，入口业务容器组921还包括业务容器9213；其中，在检测结果指示流量数据为正常流量数据的情况下，流量处理边车容器9211还用于将正常流量数据发送至业务容器9213，以使业务容器9213根据正常流量数据进行业务处理。
122.在一些实施例中，入口业务容器组921还包括配置接收边车容器9214；网络功能网元920用于通过信令通道向服务通信代理网元910发送配置获取请求，包括：配置接收边车容器9214用于通过信令通道向服务通信代理网元910发送配置获取请求；服务通信代理网元910用于通过信令通道向网络功能网元920下发流量检测配置数据，包括：服务通信代理网元910用于通过信令通道向配置接收边车容器9214下发流量检测配置数据；以及，配置接收边车容器9214还用于将流量检测配置数据同步至流量处理边车容器9211。
123.在一些实施例中，在流量处理系统中，服务通信代理网元910还用于根据处理结果生成告警信息；服务通信代理网元910还用于调用预配置的通信系统上报告警信息。
124.在一些实施例中，在流量处理系统中，服务通信代理网元910还用于接收用户针对网络功能网元920的配置写入数据；在确定用户具有配置权限的情况下，服务通信代理网元910还用于存储配置写入数据中针对网络功能网元920的流量检测配置数据。
125.图9实施例的其它内容可以参照上述其它实施例。
126.所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。
127.图10示出本公开实施例中一种流量处理计算机设备的结构框图。需要说明的是，图示出的电子设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
128.下面参照图10来描述根据本发明的这种实施方式的电子设备1000。图10显示的电子设备1000仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
129.如图10所示，电子设备1000以通用计算设备的形式表现。电子设备1000的组件可以包括但不限于：上述至少一个处理单元1010、上述至少一个存储单元1020、连接不同系统组件(包括存储单元1020和处理单元1010)的总线1030。
130.其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元1010执行，使得所述处理单元1010执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如，所述处理单元1010可以执行如图2中所示的方法。
131.存储单元1020可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(ram)10201和/或高速缓存存储单元10202，还可以进一步包括只读存储单元(rom)10203。
132.存储单元1020还可以包括具有一组(至少一个)程序模块10205的程序/实用工具10204，这样的程序模块10205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
133.总线1030可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
134.电子设备1000也可以与一个或多个外部设备1100(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备1000交互的设备通信，和/或与使得该电子设备1000能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口1050进行。并且，电子设备1000还可以通过网络适配器1060与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器1060通过总线1030与电子设备1000的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备1000使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
135.在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
136.根据本发明实施方式的用于实现上述方法的程序产品，其可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
137.所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
138.计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其
中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
139.可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。
140.可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
141.应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
142.此外，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。
143.通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
144.根据本公开的一个方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述实施例的各种可选实现方式中提供的方法。
145.本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本技术旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由所附的权利要求指出。