流量检测系统、流量检测系统的构建方法及流量检测方法

技术领域

本申请涉及云技术领域，特别涉及一种流量检测系统、流量检测系统的构建方法及流量检测方法。

背景技术

GWLB(Gateway Load Balancer，网关负载均衡器)是一种工作在OSI(Open SystemInterconnection Reference Model，开放系统互联)网络模型的L3层上的网关设备，GWLB结合了L3层的网关特性和L4的负载均衡特性，通常用于为安全服务(例如基于FW(Firewall，防火墙)、IPS(Intrusion Prevention System，入侵防御系统)、DPI(DeepPacket Inspection，深度包检测)等安全应用的服务)作负载均衡，能够监听流经的所有数据报文，并对数据报文进行链接跟踪，从而实现网络的安全性能。随着云技术的不断发展，VPC(Virtual Private Cloud，虚拟私有云)因具有开放性和共享性，使其容易受到外界的攻击与破坏，为了保障VPC的网络安全，可基于GWLB进行流量检测。

通常GWLB有两种服务形态，一种是不具有服务链能力的标准形态，另一种是具有服务链能力的链形态。在基于标准形态的GWLB进行流量检测时，需要分别为基于FW、IPS、DPI等安全应用的安全服务部署一个GWLB，并为每个GWLB配置一个虚拟网关，然后由用户根据对不同流量的检测需求，为不同流量编排能够满足检测需求的GWLB顺序，然后根据所编排的GWLB顺序，通过规划并配置逐跳子网路由，构建流量检测系统，从而将数据报文引流至流量检测系统进行安全检测。

然而，相关技术在构建流量检测系统时，需要用户自行规划及配置逐跳子网路由，构建过程较为复杂。

发明内容

本申请实施例提供了一种流量检测系统、流量检测系统的构建方法及流量检测方法，能够降低流量检测系统的构建复杂度。所述技术方案如下

第一方面，提供了一种流量检测系统，所述系统包括网关负载均衡器GWLB链和私网虚拟网关，所述GWLB链与所述私网虚拟网关关联，所述私网虚拟网关与第一虚拟私有云VPC内的第一客户端和第二VPC内的第二客户端关联；

所述GWLB链包括多个GWLB，所述GWLB与同一种安全应用的多个安全服务连接，所述安全应用用于对所述第一客户端和所述第二客户端之间传输的数据报文进行安全检测；

所述私网虚拟网关中存储有数据报文的流量分类规则及服务路径与流量类型之间的对应关系，所述流量分类规则用于确定所述私网虚拟网关接收到的数据报文的流量类型，不同流量类型具有不同检测需求，不同所述服务路径用于满足不同检测需求，所述服务路径由至少一个GWLB的设备标识连接而成，所述至少一个GWLB包括所述GWLB链中的全部GWLB或部分GWLB，所述流量分类规则和所述对应关系根据检测需求的变化动态配置及调整。

第二方面，提供了一种流量检测系统的构建方法，所述方法用于构建第一方面所述的流量检测系统，所述方法包括：

将所述第一客户端和所述第二客户端与所述私网虚拟网关关联；

显示系统设置界面，所述系统设置界面上显示有多个GWLB的设备标识、编排控件、所述私网虚拟网关的网关标识及关联控件，所述GWLB与同一种安全应用的多个安全服务连接，所述安全应用用于对所述第一客户端和所述第二客户端之间传输的数据报文进行安全检测；

响应于基于所述编排控件对多个所述GWLB的设备标识的编排操作，按照为多个所述GWLB的设备标识编排的入链序号，将多个所述GWLB组成所述GWLB链；

响应于基于所述关联控件对所述网关标识的关联操作，将所述GWLB链与所述私网虚拟网关关联。

第三方面，提供了一种流量检测方法，所述方法应用于第一方面所述的私网虚拟网关，所述方法包括：

响应于接收到所述第一客户端与所述第二客户端之间传输的目标数据报文，根据所述目标数据报文的报文协议，确定所述目标数据报文对应的目标流量类型；

根据所述目标流量类型，获取所述目标数据报文对应的目标服务路径；

基于所述目标服务路径，对所述目标数据报文进行转发，以使所述目标服务路径上的GWLB按照在所述目标服务路径上的顺序，依次接收所述目标数据报文，并将所述目标数据报文发送至所关联的安全服务进行安全检测。

第四方面，提供了一种电子设备，包括处理器以及存储器；所述存储器存储至少一条程序代码；所述至少一条程序代码用于被所述处理器调用并执行，以实现第二方面所述的流量检测系统的构建方法，或第三方面所述的流量检测方法。

第五方面，提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条计算机程序，所述至少一条计算机程序被处理器执行时能够实现如第二方面所述的流量检测系统的构建方法，或第三方面所述的流量检测方法。

第六方面，提供了一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时能够实现第二方面所述的流量检测系统的构建方法，或第三方面所述的流量检测方法。

本申请实施例提供的技术方案带来的有益效果是：

将第一VPC内的第一客户端和第二VPC内的第二客户端与私网虚拟网关关联后，无需用户自行规划和配置逐跳子网路由，基于所提供的系统设置界面，即可完成流量检测系统的构建。具体来说，该系统设置界面上显示有用于构建流量检测系统的各个要素，包括私网虚拟网关的网关标识及多个GWLB的设备标识，每个GWLB与同一种安全应用的多个安全服务关联，能够对第一客户端和第二客户端之间传输的数据报文进行一种类型的安全检测。该系统设置界面上还显示有用于对各个要素进行设置的设置控件，该设置控件包括编排控件和关联控件等，基于该编排控件用户可自由地选择GWLB，并为所选择的GWLB编排入链序号，从而按照所编排的入链序号将选择的GWLB设备组成GWLB链。基于所形成的GWLB链，用户通过对关联控件进行触控，即可将该GWLB链与私网虚拟网关关联，从而构建流量检测系统。该方法将流量检测系统的构建过程以图形化形式提供给用户，用户无需具有较强的专业知识，通过触控系统设置界面上的各个控件即可完成流量检测系统的构建，构建过程较为简单，用户学习成本较低。且流量检测系统中各个GWLB及私网虚拟网关的相应标识能够在系统设置界面上直接地显示出来，便于用户查看所该系统的结构。进一步地，当检测需求变化后，用户无需修改子网路由，基于该系统设置界面即可灵活地调整，变配简单快捷。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是相关技术所构建的流量检测系统的架构图；

图2是本申请实施例提供的一种流量检测系统的架构图；

图3是本申请实施例提供的另一种流量检测系统的架构图；

图4是本申请实施例提供的另一种流量检测系统的架构图；

图5是本申请实施例提供的另一种流量检测系统的架构图；

图6是本申请实施例提供的一种流量检测系统的构建方法的流程图；

图7是本申请实施例为不同流量类型所设置的服务路径的示意图；

图8是本申请实施例提供的一种流量检测方法的流程图；

图9是本申请实施例提供的一种数据报文转发的逻辑路径的示意图；

图10是本申请实施例提供的一种数据报文转发的实际路径的示意图；

图11是本申请实施例提供的一种流量检测系统的构建装置的结构示意图；

图12是本申请实施例提供的流量检测装置的结构示意图；

图13示出了本申请一个示例性实施例提供的一种电子设备的结构框图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

可以理解，本申请实施例所使用的术语“每个”、“多个”及“任一”等，多个包括两个或两个以上，每个是指对应的多个中的每一个，任一是指对应的多个中的任意一个。举例来说，多个词语包括10个词语，而每个词语是指这10个词语中的每一个词语，任一词语是指10个词语中的任意一个词语。

需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准，并提供有相应的操作入口，供用户选择授权或者拒绝。

在执行本申请实施例之前，首先对本申请实施例涉及的名词进行解释。

VPC用于基于隧道技术隔离虚拟网络。简单来说，一个VPC即为一个虚拟的数据中心，在虚拟数据中心内用户可创建不同的子网(例如公有网络和私有网络等)，搭建网页服务器、应用服务器及数据库服务器等等。

IGW(Internet Gateway，互联网网关)是一种用于公网访问的虚拟网关。

VGW(Virtual Private Cloud Gateway，虚拟私有云网关)是一种用于私网访问的虚拟网关。VGW连接VPC与本地数据中心或其他云服务提供商VPC的服务，可以实现VPC与本地数据中心之间的互通，同时也可以实现不同云服务提供商VPC之间的互通。VPC网关提供了高性能和高可用性的服务，可以满足用户对网络连接的高要求。同时，VPC网关也提供了隧道加密传输的功能，保证了数据的安全性和可靠性。

FW是一种网络安全服务，能够监测传入和传出的网络流量，并根据定义的一组安全规则，决定是否允许或阻止特定流量。

IPS是一种网络行为防御系统，能够阻断对网络的攻击行为。

IDS是一种网络行为监测系统，能够记录网络攻击行为，但是对网络攻击行为不阻断。

DPI是一种基于数据包的深度检测技术，针对不同的网络应用层载荷(例如HTTP(Hyper Text Transfer Protocol，超文本传输协议)、DNS(Domain Name System，域名系统)等)进行深度检测，通过对报文的有效载荷进行检测，以决定其合法性。

SFC(Service Function Chain，服务功能链)是一个有序的服务功能的集合，其基于分类和策略对网络上的IP(Internet Protocol，网际互联协议)数据包、链路帧或者数据流进行一系列的服务处理。SFC可独立于具体的网络应用，用于固定、移动网络及数据中心等场景。SFC涉及流分类节点、SF(Service Function，服务功能)、SFF(Service FunctionForwarder，服务转发节点)、SFC代理等。SF从一个或多个SFF接收报文，向一个或多个SFF发送报文。SFF负责根据SFC封装信息把从网络中收到的报文或数据帧送到SF。SFC控制面负责进行SFC的管理和配置，包括对流分类节点、SF、SFF、SFC代理等相关节点的发现、管理和配置等。

东西向流量也称为横向流量，是数据中心内部服务器之间交互的流量。

南北向流量也称为纵向流量，是数据中心外部用户和内部服务器之间交互的流量。

云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来，实现数据的计算、储存、处理和共享的一种托管技术。云技术基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等，可以组成资源池，按需所用，灵活便利。随着云技术的发展，云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源，如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用，将来每个物品都有可能存在自己的识别标志，都需要传输到后台系统进行逻辑处理，不同程度级别的数据将会分开处理，各类行业数据皆需要强大的系统后盾支撑，只能通过云计算来实现。

在基于云计算进行计算过程中，需要确保云安全。云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，并发送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

目前，对于云上A点与B点之间的流量，为确保其安全，用户希望构建安全检测系统对其进行安全检测。为构建该安全检测系统，用户需要为运行每种安全应用的安全服务部署一个GWLB，并为每个GWLB关联一个私网虚拟网关，同时需要用户具有较强的专业知识，不仅能够对A点与B点之间传输的流量进行分类，而且能够根据对A点与B点流量的分类结果，针对每种类型的流量自行规划及配置子网路由。图1示出了相关技术所构建的流量检测系统，参见图1，其中A点和B点分别为第一客户端与第二客户端，第一客户端与第二客户端位于同一VPC的不同子网内，针对安全应用FW、IPS及DPI分别部署了GWLB1、GWLB2及GWLB3，且GWLB1与私网虚拟网关GWLBe1关联，GWLB2与私网虚拟网关GWLBe2关联，GWLB3与私网虚拟网关GWLBe3关联，GWLBe1、GWLBe2及GWLBe3与第一客户端及第二客户端位于同一VPC的不同子网内。对于图1所示的流量检测系统在构建时，需要用户具有较强的专业知识，自行规划及配置逐跳子网路由，对用户来说，学习门槛较高，且配置过程比较复杂，容易配置错误，导致服务不可用。同时，需要用户自行对第一客户端与第二客户端之间传输的流量进行分类，而第一客户端与第二客户端之间传输的流量较为复杂，很难实现高级分类，可能无法将用户希望进行安全检测的流量引入到相应的安全应用中进行检测。再者，随着检测需求的变化，当用户想要更改配置时，用户需要重新修改子网路由配置，变配过程较为复杂，且容易配置错误，导致服务不可用。

为了解决上述技术问题，本申请实施例提供了一种流量检测系统的构建方法，该方法通过将流量检测系统的各个要素(包括多个GWLB的设备标识及私网虚拟网关的网关标识等)以图形化形式显示在系统设置界面上，从而为用户提供了GWLB Chain形态，实现了服务链的能力。该方法还在系统设置界面上提供多种设置控件，用户通过对多种设置控件进行触控，无需规划子网路由，即可完成流量检测系统的构建，构建过程较为简单，用户操作复杂度较低。该方法还向用户提供了SF的编排能力，基于该编排能力，在构建过程中用户可根据检测需求，灵活地编排各个GWLB的顺序，从而实现了对云服务的自动编排。另外，该方法还向用户提供了GWLB Chain形态的Classify能力(分类能力)，借助该Classify能力用户可对流量进行分类，并为不同类型的流量设置不同的服务路径，每种服务路径包括至少一个GWLB，能够满足一种检测需求。借助细分流量的不同服务路径，用户无需关注子网的划分，简化了流量检测系统的构建过程。进一步地，当检测需求的变化用户需要更改配置时，用户基于该系统设置界面直接进行更改，无需更改子网路由，变配过程更简便，避免了配置错误，提高了服务的高可用性。

在此需要说明一点，本申请实施例针对的是标准形态的GWLB，该标准形态的GWLB的核心组件包括GWLBe和GWLB。

其中，GWLBe(即GWLB Endpoint)，是一种Gateway类型的PrivateLink(私网连接)Endpoint，能够将流量跨账户跨VPC传输给GWLB。

GWLB与多个安全服务关联，该多个安全服务基于同一种安全应用提供服务，该安全应用可以为FW、IPS及DPI等，每种安全应用用于对数据报文进行一种类型的安全检测。每个GWLB可与多个GWLBe连接，能够将流量负载均衡至所关联的多个安全服务。

基于标准形态的GWLB，本申请实施例提供的一种流量检测系统，参见图2，该系统包括GWLB链和私网虚拟网关，该GWLB链与私网虚拟网关关联，该私网虚拟网关可以为GWLBe，该GWLBe与第一VPC内的第一客户端和第二VPC内的第二客户端关联。

其中，GWLB链包括多个GWLB。同样地，每个GWLB与多个安全服务连接，该多个安全服务基于同一种安全应用提供服务，该安全应用用于对第一客户端和所述第二客户端之间传输的数据报文进行一种类型的安全检测。

私网虚拟网关中存储有数据报文的流量分类规则及服务路径与流量类型之间的对应关系。该流量分类规则用于指示数据报文的报文协议与流量类型的对应关系，能够确定私网虚拟网关接收到的数据报文的流量类型，不同流量类型具有不同检测需求。不同服务路径用于满足不同检测需求，每条服务路径由至少一个GWLB的设备标识连接而成，该至少一个GWLB包括GWLB链中的全部GWLB或部分GWLB，而GWLB链中的GWLB为提供的GWLB集合的全集或子集，该GWLB集合为各个安全应用关联的GWLB构成的集合。通常默认的服务路径为按照各个GWLB的入链序号形成的路径，用户也可根据流量检测需求自行配置服务路径。每种流量类型对应的服务路径包括去程服务路径和回程服务路径，该去程服务路径和回程服务路径呈镜像对称，例如，去程服务路径为1-2-3-4，则回程服务路径为4-3-2-1。该私网虚拟网关中存储的流量分类规则和对应关系并不是固定不变的，而是会根据检测需求的变化动态配置及调整。

上述第一VPC和第二VPC可以位于同一数据中心内，也可以位于不同数据中心内。当第一VPC与第二VPC位于同一数据中心内，第一客户端和第二客户端之间的流量为东西向流量；当第一VPC与第二VPC位于不同数据中心内，第一客户端与第二客户端之间的流量为南北向流量。根据第一VPC与第二VPC之间的关系，本申请实施例所构建的流量检测系统包括以下几种情况：

第一种情况、第一VPC与第二VPC位于同一数据中心内，且第一VPC与第二VPC为同一VPC

针对第一种情况，第一客户端、第二客户端及GWLBe可直接在VPC内进行通信。该种情况对应的流量检测系统如图2所示。其中，第一客户端和第二客户端均与GWLBe关联，GWLBe与GWLB链关联。

第二种情况、第一VPC与第二VPC位于同一数据中心内，且第一VPC与第二VPC为不同VPC

针对第二种情况，网络架构还包括中心化转发路由器，第一VPC与第二VPC通过中心化转发路由器进行通信。中心化转发路由器用于实现云上网络架构设计及云上内部网络互通，实现合理的云上网络分区设计、简单的运维管理及灵活的弹性扩展。在本申请实施例中，中心化转发路由器将数据中心内的多个VPC串联，并将不同VPC转换成TR的路由表项，从而实现在不同VPC内的通信。该种情况对应的流量检测系统如图3所示。其中，第一客户端和第二客户端分别位于VPC1内和VPC2内，GWLBe及GWLB链位于VPC3内，VPC1、VPC2及VPC3通过中心化转发路由器进行通信。

第三种情况、第一VPC和第二VPC位于不同数据中心内，且私网虚拟网关与其中一个客户端位于同一数据中心的同一VPC内。

针对该种情况，网络架构还包括IGW，第一客户端和第二客户端基于IGW进行通信。该种情况对应的流量检测系统如图4所示，其中，第一客户端(或第二客户端)与GWLBe位于同一VPC的不同子网内。

第四种情况、第一VPC和第二VPC位于不同数据中心内，且私网虚拟网关与其中一个客户端位于同一数据的不同VPC内。

针对该种情况，网络架构还包括NAT(Network Address Translation，网络地址转换)IGW和中心化转发路由器，该NAT IGW用于接收数据中心外部的流量，中心化转发路由器用于实现NAT IGW及数据中心内各个VPC之间的通信。该种情况对应的流量检测系统如图5所示。其中，第一客户端(或第二客户端)与GWLBe位于同一数据中心的不同VPC内，GWLBe与GWLB链位于同一VPC内。

总结来说，本申请实施例在Standard形态的基础上，增加了如下功能：

提供了Classify流量分类功能，基于该分类功能可将需要检测的两点之间的流量划分为不同的流量类型。

提供了GWLB集合(即Chain Sets)，该GWLB集合包括多个GWLB，每个GWLB对应一种安全应用(Service App)，所构建的GWLB链包括的GWLB为该GWLB集合的子集或全集。

提供了服务路径(Service Path)编排能力，基于该编排能力，可为所划分的流量类型设置对应的服务路径，每种流量类型对应的服务路径包括去程服务路径和回程服务路径。

利用GWLB Chain形态的Classify和Service Path编排能力，本申请实施例可为云上用户提供流量精细的分类能力并将其引流至其期望的Service Path中，从而满足了用户对该流量的检测需求。另外，本申请实施例将需要检测的流量通过GWLBe所在的一个子网络即可引流至GWLB链中的各个GWLB中，而相关技术需要为每个GWLB配置一个GWLBe，相比于相关技术减少了GWLBe的部署，节省了网络资源及成本。

本申请实施例提供了一种流量检测系统的构建方法，该方法用于构建上述流量检测系统，参见图6，本申请实施例提供的方法流程包括：

601、将第一客户端和第二客户端与私网虚拟网关关联。

其中，第一客户端与私网虚拟网关关联是指在第一客户端的路由表中添加指向私网虚拟网关的路由表项，从而能够将接收到数据报文经私网虚拟网关转发后发送至接收端。第二客户端与私网虚拟网关关联是指在第二客户客户端的路由表中添加指向私网虚拟网关的路由表项，从而能够将接收到的数据报文经私网虚拟网关转发后发送至接收端。将第一客户端和第二客户端与私网虚拟网关关联时，可采用如下方法：

在一种可能的实现方式中，可在第一客户端上显示的路由表项设置界面上，为第一客户端配置指向私网虚拟网关的第一路由表项，进而通过存储第一路由表项，实现第一客户端与私网虚拟网关的关联。同时可在第二客户端上显示的路由表项设置界面行，为第二客户端配置指向私网虚拟网关的第二路由表项，进而通过存储第二路由表项，实现第二客户端与私网虚拟网关的关联。

在另一种可能的实现方式中，可借助本申请实施例提供的系统设置界面进行关联。该系统设置界面能够将流量检测系统构建所需的要素及构建过程以图形化形式展示出来。该系统设置界面上可以显示有路由表项设置控件，基于该路由表项设置控件，用户可输入第一客户端的地址信息和私网虚拟网关的地址信息，该地址信息包括IP地址等，响应于用户基于路由表项设置控件的设置操作，获取为第一客户端配置的指向私网虚拟网关的第一路由表项，从而基于该第一路由表项，将第一客户端与私网虚拟网关关联。例如，将第一路由表项发送至第一客户端进行存储等。同理，基于该路由表项设置控件，用户可输入第二客户端的地址信息和私网虚拟网关的地址信息，响应于用户基于该路由表项设置控件的设置操作，获取为第二客户端配置的指向私网虚拟网关的第二路由表项，从而基于第二路由表项，将第二客户端与私网虚拟网关关联。

602、显示系统设置界面。

在本申请实施例中，系统设置界面上显示有多个GWLB的设备标识、编排控件、私网虚拟网关的网关标识及关联控件。其中，编排控件用于选择流量检测系统中的GWLB，并为所选择的GWLB编排入链序号。关联控件用于将所构建的GWLB链与私网虚拟网关关联。

在执行本步骤之前，用户或服务提供方可以为运行每种安全应用的安全服务关联一个GWLB实例，也即是为每种安全应用的安全服务配置GWLB。由于运行每种安全应用的安全服务的数量为多个，在实际应用过程中，多个安全服务可能不会同时参与安全检测过程，为提高资源利用率，可为每种安全应用开启Auto Scaling(弹性缩放)能力，从而能够根据实际需求，实现安全服务的自动弹性伸缩。

603、响应于基于编排控件对多个GWLB的设备标识的编排操作，按照为多个GWLB的设备标识编排的入链序号，将多个GWLB组成GWLB链。

每个GWLB与同一种安全应用的多个安全服务关联，基于系统设置界面上所显示的多个GWLB的设备标识，用户可根据对第一客户端和第二客户端之间传输的数据报文的检测需求，选择满足检测需求的安全应用对应的GWLB，进而为所选择的GWLB的设备标识编排入链序号。用户在为所选择的GWLB的设备标识编排入链序号时，可随机地编排。当编排完成后，用户可以触控该编排控件，响应于基于该编排控件对多个GWLB的设备标识的编排操作，获取为多个GWLB的设备标识编排的入链序号，进而按照各个GWLB的设备标识的入链顺序，将各个GWLB加入到GWLB链中。

604、响应于基于关联控件对网关标识的关联操作，将GWLB链与私网虚拟网关关联。

当生成GWLB链之后，用户可选择与该GWLB链关联的私网虚拟网关的网关标识，响应于基于该关联控件对网关标识的关联操作，自动将该GWLB链与该私网虚拟网关关联，从而完成流量检测系统的构建。

在本申请的另一个实施例中，构建流量检测系统的过程中，还将获取流量分类规则，并获取服务路径与流量类型之间的对应关系，进而将流量分类规则及该对应关系存储在私网虚拟网关中。

其中，流量分类规则用于指示数据报文的报文协议与流量类型的对应关系，进而确定接收到的数据报文的流量类型。流量类型包括TCP(Transmission Control Protocol，传输控制协议)流量、UDP(User Datagram Protocol，用户数据报协议)流量、QUIC(QuickUDP Internet Connection，快速UDP网络连接)流量、ICMP(Internet Control MessageProtocol，网络网际控制报文协议)流量等。不同流量类型具有不同检测需求，例如，TCP流量的检测需求为流量需要经过FW、IPS，UDP流量的检测需求为流量需要经过FW、DPI，QUIC流量的检测需求为流量需要经过IPS、FW、DPI，ICMP的检测需求为流量不需要经过安全应用。根据不同的检测需求，后续即可设置不同的服务路径。该流量规则的设置可基于系统设置界面上所显示的规则设置控件进行设置。具体地，用户可基于该规则设置控件输入不同报文协议对应的流量类型，响应于用户基于该规则设置控件的设置操作，获取用户为不同报文协议设置的流量类型，进而将不同报文协议对应的流量类型，作为流量分类规则。

其中，服务路径为将数据报文进行安全检测时经过的各个GWLB的顺序连接形成的路径。每条服务路径能够满足至少一种检测需求，而每种检测需求对应一种流量类型，这样用户即可针对每种流量类型，设置每种流量类型对应的服务路径。每种流量类型对应的服务路径可基于系统设置界面上显示的路径设置控件进行设置。具体地，用户可根据不同流量类型对应的检测需求，在该路径设置控件为不同流量类型选择GWLB，并为所选择的GWLB编排序号，从而基于为所选择的GWLB编排的序号，生成服务路径，响应于基于该路径设置控件的设置操作，获取为不同流量类型设置的服务路径，进而将不同流量类型对应的服务路径，作为需要存储的服务路径与流量类型之间的对应关系。

考虑到第一客户端和第二客户端之间传输的数据报文包括去程数据报文和返程数据报文，也即是，第一客户端和第二客户端之间的流量包括去程流量和返程流量，针对往返信息不同的同种类型流量，可设置去程服务路径和返程服务路径，该去程服务路径和返程服务路径呈镜像对称。

进一步地，为提高网络安全，对于无法识别出的流量类型，可为该无法识别出的流量类型设置预设服务路径，进而基于预设服务路径对该无法识别出类型的数据报文进行检测。其中，预设服务路径为GWLB链中各个GWLB入链时所形成的路径。

图7示出了不同流量类型对应的服务路径，参见图7，TCP流量的检测需求为流量需要经过FW、IPS，UDP流量的检测需求为流量需要经过FW、DPI，QUIC流量的检测需求为流量需要经过IPS、FW、DPI，ICMP的检测需求为流量不需要经过安全应用，根据不同流量类型的检测需求，为QUIC流量设置服务路径①，为TCP流量设置服务路径②，为无法识别的流量设置服务路径③，为UDP流量设置服务路径④，为ICMP流量设置服务路径⑤。

在实际应用过程中，第一客户端和第二客户端之间的流量类型比较复杂，为了能够更好地满足用户的检测需求，当第一客户端和第二客户端之间的流量类型变化后，本申请实施例还支持对所存储的流量分类规则及服务路径与流量类型之间的对应关系进行动态调整，该动态调整包括增加、删除及更新等。在对流量分类规则进行调整时，可基于系统设置界面上所显示的规则设置控件重新调整流量分类规则。对于按照重新调整的流量分类规则所划分的新的流量类型，可基于系统设置界面上所显示的路径设置控件为其设置服务路径。

本申请实施例在流量分类规则及服务路径与流量类型之间的对应关系需要更新时，无需重新规划及配置子网路由，基于系统设置界面即可进行更新，配置更新过程简单，且能够避免变配过程出现错误，提高了服务的高可用性。

本申请实施例不仅为云上用户提供了服务的灵活性，使得用户能够灵活地编排云服务，而且提供了避障策略，基于所提供的避障策略，在服务路径上存在故障的GWLB时，可对第一客户端和第二客户端之间传输的流量进行避障处理，从而保证了服务的可靠性。其中，避障策略可基于系统设置界面上显示的避障策略设置控件进行设置。具体地，该避障策略设置控件中显示有多种避障策略，用户可从避障策略设置控件中选择一种避障策略，或者用户也可在避障策略设置控件中输入自定义的避障策略，响应于用户基于避障策略设置控件的设置操作，获取用户所选择或设置的避障策略，进而将该避障策略存储到私网虚拟网关中。其中，避障策略设置控件提供的避障策略包括但不限于以下任一项：

第一种、当服务路径上某一GWLB发生故障，跳过该GWLB，进而继续基于该服务路径上其他GWLB关联的安全服务进行安全检测；

第二种、当服务路径上某一GWLB发生故障，则在流量流经前一GWLB后，停止进行安全检测。

第三种、当服务路径上某一GWLB发生故障，则略过(Bypass)该服务路径。

上述用户所选择或设置的避障策略可以基于GWLBe或Flow级别生效。这样用户无需自己建立一套故障检测系统，节省了网络资源。当故障发生时，用户手动即可维护路由信息，提高了服务的高可用性。当然，如果用户未选择或设置避障策略，系统可采取默认的避障策略进行避障策略，该默认的避障策略为基于GWLBe的Bypass策略。

假设云上用户的Client(位于Subnet 1)需要发起对Server(位于Subnet 2)的访问，其中，TCP流量需要经过FW、IPS，UDP流量需要经过FW、DPI，QUIC流量需要经过IPS、FW、DPI，ICMP流量不需要经过安全应用。采用本申请实施例提供的方法，用户配置Subnet 1和Subnet 2的路由指向GWLBe、GWLB Chain上的安全应用集合、Classify规则及服务路径即可，大大简化了配置过程的复杂度。

本申请实施例提供的方法，将第一VPC内的第一客户端和第二VPC内的第二客户端与私网虚拟网关关联后，无需用户自行规划和配置逐跳子网路由，基于所提供的系统设置界面，即可完成流量检测系统的构建。具体来说，该系统设置界面上显示有用于构建流量检测系统的各个要素，包括私网虚拟网关的网关标识及多个GWLB的设备标识，每个GWLB与同一种安全应用的多个安全服务关联，能够对第一客户端和第二客户端之间传输的数据报文进行一种类型的安全检测。该系统设置界面上还显示有用于对各个要素进行设置的设置控件，该设置控件包括编排控件和关联控件等，基于该编排控件用户可自由地选择GWLB，并为所选择的GWLB编排入链序号，从而按照所编排的入链序号将选择的GWLB设备组成GWLB链。基于所形成的GWLB链用户通过对关联控件进行触控，即可将该GWLB链与私网虚拟网关关联，从而构建流量检测系统。该方法将流量检测系统的构建过程以图形化形式提供给用户，用户无需具有较强的专业知识，通过触控系统设置界面上的各个控件即可完成流量检测系统的构建，构建过程较为简单，用户学习成本较低。且流量检测系统中各个GWLB及私网虚拟网关的相应标识能够在系统设置界面上直接地显示出来，便于用户查看所该系统的结构。进一步地，当检测需求变化后，用户无需修改子网路由，基于该系统设置界面即可灵活地调整，变配简单快捷。

本申请实施例提供了一种流量检测系统的构建方法，参见图8，以私网虚拟网关执行本申请实施例为例，本申请实施例提供的方法流程包括：

801、响应于接收到第一客户端与第二客户端之间传输的目标数据报文，根据目标数据报文的报文协议，确定目标数据报文对应的目标流量类型。

当接收到第一客户端与第二客户端之间传输的目标数据报文，私网虚拟网关对该目标数据报文进行解析，得到目标数据报文的报文协议，进而根据存储的流量分类规则，确定出目标数据报文的报文协议对应的目标流量类型。

802、根据目标流量类型，获取目标数据报文对应的目标服务路径。

基于目标流量类型，私网虚拟网关从存储的服务路径与流量类型之间的对应关系中，查询目标流量类型对应的服务路径，当查询到目标流量类型对应的服务路径，则将查询到的服务路径作为目标服务路径；当未查询到目标流量类型对应的服务路径，则将预设服务路径作为目标服务路径，该预设服务路径为GWLB链中各个GWLB入链时所形成的路径。

在本申请实施例中，每种流量类型对应的服务路径包括去程服务路径和回程服务路径，该去程服务路径和回程服务路径呈镜像对称。针对目标流量类型对应的去程服务路径和回程服务路径，私网虚拟网关获取目标数据报文的往返信息，进而从目标流量类型对应的去程服务路径和回程服务路径中，选择与往返信息指示的数据传输方向相同的服务路径，作为目标服务路径。如果目标数据报文的往返信息为去程信息，即该目标数据报文为去程数据报文，则将去程服务路径作为目标服务路径；如果目标数据报文的往返信息为回程服务路径，即该目标数据报文为回程数据报文，则将回程服务路径作为目标服务路径。

此处需要说明的是，去程和回程是相对的，对于第一客户端与第二客户端之间传输的数据报文，具体是去程数据报文，还是回程数据报文，可根据私网虚拟网关是否在预设时间内接收到过第一客户端与第二客户端之间的数据报文来确定，如果在预设时间内未接收到来自第一客户端或第二客户端的数据报文，则确定目标数据报文为去程数据，如果在预设时间内接收到过来自第一客户端或第二客户端的数据报文，则确定目标数据报文为回程数据报文。

803、基于目标服务路径，对目标数据报文进行转发，以使目标服务路径上的GWLB按照在目标服务路径上的顺序，依次接收目标数据报文，并将目标数据报文发送至所关联的安全服务进行安全检测。

基于目标服务路径，私网虚拟网关按照GWLB在目标服务路径上的顺序，将目标数据报文依次发送至各个GWLB，目标服务路径上的各个GWLB按照在目标服务路径上的顺序，依次接收目标数据报文，进而基于负载均衡机制，从关联的多个安全服务上选择出负载较小的安全服务，进而将目标数据报文发送至该负载较小的安全服务进行安全检测。

图9示出了第一客户端(Client端)和第二客户端(即Server端)之间传输的目标数据报文的逻辑路径图，由图9可知，GWLBe按照目标服务路径上各个GWLB的顺序，将目标数据报文发送至GWLB1，GWLB1将该目标数据报文再发送至所关联的安全服务进行安全检测，检测后再将目标数据报文发送至GWLBe，GWLBe接收到GWLB1发送的目标数据报文后，将该目标数据报文发送至GWLB2，GWLB2将该目标数据报文再发送至所关联的安全服务进行安全检测，检测后再将目标数据报文发送至GWLBe，GWLBe接收到GWLB2发送的目标数据报文后，将该目标数据报文发送至GWLB3，GWLB3将该目标数据报文再发送至所关联的安全服务进行安全检测，检测后再将目标数据报文发送至GWLBe，GWLBe接收到GWLB3发送的目标数据报文后，将该目标数据报文发送至第二客户端。

考虑到采用上述方法每次基于安全服务进行安全检测时，都需要将数据报文发送至GWLBe，导致GWLBe的数据流量较大，为减轻GWLBe的数据处理压力，本申请实施例GWLBe在获取到目标服务路径之后，可将该目标服务路径发送同步给目标服务路径上的各个GWLB，然后各个GWLB基于目标服务路径对目标数据报文进行转发，从而无需将目标数据报文发送至GWLBe，大大减轻了GWLBe的压力。

图10示出了第一客户端(Client端)和第二客户端(即Server端)之间传输的目标数据报文的实际路径图，参见图10，对于Client->Server的数据报文，其对应的服务路径(Service Path)为1->2->3->4->5->6->7->8->9->10->11->12；对于Server->Client的数据报文，其对应的服务路径为13->14->15->16->17->18->19->20->21->22->23->24，在实际处理过程中路径14还可以通过多跳实现，即14＝14a+14b+14c。

对于基于目标服务路径对目标数据报文的转发过程，下面将结合图2～图5进行举例说明。

参见图2，其示出了东西向流量的安全检测过程。参见图2，假设第一客户端位于VPC的Subnet1(子网1)内，第二客户端位于VPC的Subnet2(子网2)内，GWLBe位于VPC的Subnet3(子网3)内，数据报文的往返流程如下：

1、第一客户端将数据报文发送至GWLBe。

2、GWLBe确定出该数据报文对应的去程服务路径，进而基于该去程服务路径，将该数据报文发送至GWLB链进行安全检测。

3、当经过GWLB链中相应的GWLB进行安全检测后，GWLB链将检测后的数据报文发送至GWLBe。

4、GWLBe将该数据报文发送至第二客户端。

5、响应于该数据报文，第二客户端生成响应报文，第二客户端将该响应报文发送至GWLBe。

6、GWLBe确定该响应报文对应的返程服务路径，进而基于该返程服务路径，将该响应报文发送至GWLB链进行安全检测。

7、当经过GWLB链中相应的GWLB进行安全检测后，GWLB链将检测后的响应报文发送至GWLBe。

8、GWLBe将该响应报文发送至第一客户端。

参见图3，其示出了东西向流量的安全检测过程。参见图3，假设第一客户端位于VPC 1内，第二客户端位于VPC2内，GWLBe位于VPC3内，数据报文的往返流程如下：

1、VPC 1的第一客户端将数据报文发送至中心化转发路由器。

2、中心化转发路由器将接收到数据报文发送至VPC3内的GWLBe。

3、GWLBe确定出该数据报文对应的去程服务路径，进而基于该去程服务路径，将该数据报文发送至GWLB链进行安全检测。

4、当经过GWLB链中相应的GWLB进行安全检测后，GWLB链将检测后的数据报文发送至GWLBe。

5、GWLBe将该数据报文发送至中心化转发路由器。

6、中心化转发路由器将数据报文发送至VPC2内的第二客户端。

7、响应于该数据报文，VPC2内的第二客户端生成响应报文，并将该响应报文发送至中心化转发路由器。

8、中心化转发路由器接收到该响应报文，并将该响应报文发送至VPC3内的GWLBe。

9、GWLBe确定该响应报文对应的返程服务路径，进而基于该返程服务路径，将该响应报文发送至GWLB链进行安全检测。

10、当经过GWLB链中相应的GWLB进行安全检测后，GWLB链将检测后的响应报文发送至GWLBe。

11、GWLBe将该响应报文发送至中心化转发路由器。

12、中心化转发路由器将该响应报文发送至VPC1内第一客户端。

参见图4，其示出南北向流量的安全检测过程。参见图4，假设第一客户端位于数据中心外部，第二客户端位于数据中心内部VPC的Subnet2(子网2)内，GWLBe位于数据中心内部VPC的Subnet1(子网1)内，数据报文的往返流程如下：

1、数据中心外部的第一客户端将数据报文发送至IGW。

2、IGW将该数据报文发送至数据中心的VPC的Subnet1(子网1)内的GWLBe。

3、GWLBe确定出该数据报文对应的去程服务路径，进而基于该去程服务路径，将该数据报文发送至GWLB链进行安全检测。

4、当经过GWLB链中相应的GWLB进行安全检测后，GWLB链将检测后的数据报文发送至GWLBe。

5、GWLBe将该数据报文发送至Subnet2(子网2)内的第二客户端。

6、响应于该数据报文，Subnet2(子网2)内的第二客户端生成响应报文，并将该响应报文发送至GWLBe。

7、GWLBe确定该响应报文对应的返程服务路径，进而基于该返程服务路径，将该响应报文发送至GWLB链进行安全检测。

8、当经过GWLB链中相应的GWLB进行安全检测后，GWLB链将检测后的响应报文发送至GWLBe。

9、GWLBe将该响应报文发送至IGW。

10、IGW将该响应报文发送至数据中心外部的第一客户端。

参见图5，其示出南北向流量的安全检测过程。参见图5，假设第一客户端位于数据中心外部，第二客户端位于数据中心的VPC2内，NAT IGW位于数据中心的VPC1内，GWLBe位于数据中心的VPC3内，数据报文的往返流程如下：

1、数据中心外部的第一客户端将数据报文发送至VPC1内NAT IGW。

2、NAT IGW将接收到数据报文发送至中心化转发路由器。

3、中心化转发路由器将接收到数据报文发送至VPC3内的GWLBe。

4、GWLBe确定出该数据报文对应的去程服务路径，进而基于该去程服务路径，将该数据报文发送至GWLB链进行安全检测。

5、当经过GWLB链中相应的GWLB进行安全检测后，GWLB链将检测后的数据报文发送至GWLBe。

6、GWLBe将该数据报文发送至中心化转发路由器。

7、中心化转发路由器将数据报文发送至VPC2内的第二客户端。

8、响应于该数据报文，VPC2内的第二客户端生成响应报文，并将该响应报文发送至中心化转发路由器。

9、中心化转发路由器接收到该响应报文，并将该响应报文发送至VPC3内的GWLBe。

10、GWLBe确定该响应报文对应的返程服务路径，进而基于该返程服务路径，将该响应报文发送至GWLB链进行安全检测。

11、当经过GWLB链中相应的GWLB进行安全检测后，GWLB链将检测后的响应报文发送至GWLBe。

12、GWLBe将该响应报文发送至中心化转发路由器。

13、中心化转发路由器将该响应报文发送至VPC1内NAT IGW。

14、NAT IGW将该响应报文发送至第一客户端。

在本申请的另一个实施例中，为提高服务的可靠性，GWLBe在目标服务路径对目标数据报文进行转发之前，还可向GWLB链中的各个GWLB发送探测报文，该探测报文用于触发未发生故障的GWLB返回响应报文，当未接收到目标服务路径上任一GWLB发送的响应报文，则确定该GWLB发生故障，在该GWLB发生故障的情况下，GWLBe可结合避障策略和目标服务路径，对目标数据报文进行避障处理。

具体地，如果避障策略为跳过该GWLB继续基于该服务路径上其他GWLB关联的安全服务进行安全检测，则基于该避障策略，当基于上一GWLB关联的安全服务完成对目标数据报文的安全检测后，直接跳到下一GWLB，由下一GWLB关联的安全服务对该目标数据报文进行安全检测。例如，图10中路径6、7、18、19所在的GWLB发生故障，对于Client->Server的数据报文，则可跳过路径6、7，此时服务路径变为：1->2->3->4->5->8->9->10->11->12，对于Client->Server的数据报文，则可跳过路径18、19，此时服务路径变为：13->14->15->16->17->20->21->22->23->24。

如果避障策略为数据报文流经前一GWLB后，停止进行安全检测，则基于该避障策略，当基于前一GWLB关联的安全服务完成对目标数据报文的安全检测后，不再进行安全检测，而是将目标数据报文发送至接收端。例如，图10中路径6、7、18、19所在的GWLB发生故障，对于Client->Server的数据报文，则可检测到路径5所在的GWLB后停止安全检测，此时服务路径变为：1->2->3->4->5->25(图中未示出，为5所在的GWLB至GWLBe的路径)->12，对于Client->Server的数据报文，则可检测到路径17所在的GWLB后停止安全检测，此时服务路径变为：13->14->15->16->17>26(图中未示出，为17所在的GWLB至GWLBe的路径)->24。

如果避障策略为Bypass服务路径，则无需采用目标服务路径进行安全检测，直接将该目标数据报文发送至接收端。例如，图10中路径6、7、18、19所在的GWLB发生故障，无论是Client->Server的数据报文，还是Client->Server的数据报文，均无需进行安全检测，直接由GWLB发送至相应的接收端。

请参考图11，其示出了本申请实施例提供了一种流量检测系统的构建装置的结构示意图，该装置可以通过软件、硬件或者二者结合实现，成为电子设备的全部或一部分，该装置包括：

第一关联模块1101，用于将第一客户端和第二客户端与私网虚拟网关关联；

显示模块1102，用于显示系统设置界面，该系统设置界面上显示有多个GWLB的设备标识、编排控件、私网虚拟网关的网关标识及关联控件，GWLB与同一种安全应用的多个安全服务连接，该安全应用用于对第一客户端和第二客户端之间传输的数据报文进行安全检测；

组成模块1103，用于响应于基于编排控件对多个GWLB的设备标识的编排操作，按照为多个GWLB的设备标识编排的入链序号，将多个GWLB组成GWLB链；

第二关联模块1104，用于响应于基于关联控件对网关标识的关联操作，将GWLB链与私网虚拟网关关联。

在本申请的另一个实施例中，系统设置界面上还显示有路由表项设置控件，第一关联模块，用于响应于基于路由表项设置控件的设置操作，获取为第一客户端配置的指向私网虚拟网关的第一路由表项，并获取为第二客户端配置的指向私网虚拟网关的第二路由表项；基于第一路由表项，将第一客户端与私网虚拟网关关联；基于第二路由表项，将第二客户端与私网虚拟网关关联。

在本申请的另一个实施例中，该装置还包括：

第一获取模块，用于获取流量分类规则；

第二获取模块，用于获取服务路径与流量类型之间的对应关系；

第一存储模块，用于将流量分类规则及对应关系存储在私网虚拟网关中。

在本申请的另一个实施例中，系统设置界面上还显示有规则设置控件，第一获取模块，用于响应于基于规则设置控件的设置操作，获取为不同报文协议设置的流量类型；将不同报文协议对应的流量类型，作为流量分类规则。

在本申请的另一个实施例中，系统设置界面上还显示有路径设置控件，第二获取模块，用于响应于基于路径设置控件的设置操作，获取为不同流量类型设置的服务路径；将不同流量类型对应的服务路径，作为对应关系。

在本申请的另一个实施例中，系统设置界面上还显示有避障策略设置控件，该装置还包括：

第三获取模块，用于响应于基于避障策略设置控件的设置操作，获取所设置的避障策略；

第二存储模块，用于将避障策略存储到私网虚拟网关中，该避障策略用于在任一服务路径上存在故障的GWLB时，指示私网虚拟网关对数据报文进行避障处理。

上述所有可选技术方案，可以采用任意结合形成本申请的可选实施例，在此不再一一赘述。

请参考图12，其示出了本申请实施例提供了一种流量检测装置的结构示意图，该装置可以通过软件、硬件或者二者结合实现，成为电子设备的全部或一部分，该装置包括：

第一确定模块1201，用于响应于接收到第一客户端与第二客户端之间传输的目标数据报文，根据目标数据报文的报文协议，确定目标数据报文对应的目标流量类型；

获取模块1202，用于根据目标流量类型，获取目标数据报文对应的目标服务路径；

转发模块1203，用于基于目标服务路径，对目标数据报文进行转发，以使目标服务路径上的GWLB按照在目标服务路径上的顺序，依次接收目标数据报文，并将目标数据报文发送至所关联的安全服务进行安全检测。

在本申请的另一个实施例中，获取模块，用于从存储的服务路径与流量类型之间的对应关系中，查询目标流量类型对应的服务路径；当查询到目标流量类型对应的服务路径，将查询到的服务路径作为目标服务路径；当未查询到目标流量类型对应的服务路径，将预设服务路径作为目标服务路径，预设服务路径为GWLB链中各个GWLB入链时所形成的路径。

在本申请的另一个实施例中，每种流量类型对应的服务路径包括去程服务路径和回程服务路径，去程服务路径和回程服务路径呈镜像对称，获取模块，用于获取目标数据报文的往返信息；从目标流量类型对应的去程服务路径和回程服务路径中，选择与往返信息指示的数据传输方向相同的服务路径，作为目标服务路径。

在本申请的另一个实施例中，该装置还包括：

发送模块，用于向GWLB链中的各个GWLB发送探测报文，探测报文用于触发未发生故障的GWLB返回响应报文；

第二确定模块，用于当未接收到目标服务路径上任一GWLB发送的响应报文，确定GWLB发生故障；

处理模块，用于在GWLB发生故障的情况下，结合避障策略和目标服务路径，对目标数据报文进行避障处理。

上述所有可选技术方案，可以采用任意结合形成本申请的可选实施例，在此不再一一赘述。

图13示出了本申请一个示例性实施例提供的一种电子设备1300的结构框图。通常，电子设备1300包括有：处理器1301和存储器1302。

处理器1301可以采用DSP(Digital Signal Processing，数字信号处理)、FPGA(Field－Programmable Gate Array，现场可编程门阵列)、PLA(Programmable LogicArray，可编程逻辑阵列)中的至少一种硬件形式来实现。处理器1301也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器1301可以在集成有GPU(Graphics Processing Unit，图像处理器)，GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器1301还可以包括人工智能处理器，该人工智能处理器用于处理有关机器学习的计算操作。

存储器1302可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是可以是非临时性计算机可读存储介质，例如，所述非临时性计算机可读存储介质可以是CD-ROM(Compact Disc Read-Only Memory，只读光盘)、ROM、RAM(Random AccessMemory，随机存取存储器)、磁带、软盘和光数据存储设备等。该计算机可读存储介质中存储有至少一条计算机程序，该至少一条计算机程序被执行时能够实现流量检测系统的构建方法，或流量检测方法。

当然，上述电子设备必然还可以包括其他部件，例如输入/输出接口、通信组件等。输入/输出接口为处理器和外围接口模块之间提供接口，上述外围接口模块可以是输出设备、输入设备等。通信组件被配置为便于电子设备和其他设备之间有线或无线方式的通信等。

本领域技术人员可以理解，图13中示出的结构并不构成对电子设备1300的限定，可以包括比图示更多或更少的组件，或者组合某些组件，或者采用不同的组件布置。

本申请实施例提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条计算机程序，所述至少一条计算机程序被处理器执行时能够实现流量检测系统的构建方法，或流量检测方法。

本申请实施例提供了一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时能够实现流量检测系统的构建方法，或流量检测方法。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。