一種網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)過濾方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)信息安全技術(shù)領(lǐng)域�,具體地說是一種實(shí)用性強(qiáng)�����、網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)過濾方法。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)的發(fā)展�,網(wǎng)絡(luò)上的應(yīng)用也越來越多種多樣,怎么識(shí)別出這些應(yīng)用也越來越重要��,比如QQ聊天應(yīng)用���,一個(gè)公司可能為了規(guī)范公司制度需要決絕員工使用QQ����,還有有時(shí)也需要通過一些關(guān)鍵字過濾掉一些具有反動(dòng)言論的數(shù)據(jù)�。Linux的開源軟件netfilter可以支持三四層的數(shù)據(jù)包過濾,但卻無法支持這些七層數(shù)據(jù)包的過濾����。
[0003]基于此,現(xiàn)提供一種基于netfilter實(shí)現(xiàn)的網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)過濾的設(shè)計(jì)方法�����,使用該方法���,可以進(jìn)行七層數(shù)據(jù)包的過濾�,在netfilter框架上注冊(cè)數(shù)據(jù)包處理函數(shù)可以對(duì)接收到數(shù)據(jù)包的應(yīng)用層數(shù)據(jù)內(nèi)容與設(shè)置好的特征碼進(jìn)行匹配,如果匹配則按照預(yù)先設(shè)置好的動(dòng)作進(jìn)行處理���。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的技術(shù)任務(wù)是針對(duì)以上不足之處�,提供一種實(shí)用性強(qiáng)����、網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)過濾方法。
[0005]—種網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)過濾方法�����,其具體實(shí)現(xiàn)過程為:
首先流入并分析數(shù)據(jù)包��,獲取應(yīng)用層數(shù)據(jù)�;
添加特征碼,該特征碼為每個(gè)數(shù)據(jù)包唯一的標(biāo)識(shí)��;
將獲取的應(yīng)用層數(shù)據(jù)與特征碼進(jìn)行匹配�;
根據(jù)匹配結(jié)果進(jìn)行應(yīng)用層數(shù)據(jù)處理��。
[0006]所述應(yīng)用層數(shù)據(jù)的分析獲取過程為:通過在netfilter框架上注冊(cè)hook處理函數(shù)��,對(duì)含有url����、關(guān)鍵字的應(yīng)用層數(shù)據(jù)進(jìn)行識(shí)別并對(duì)相應(yīng)的數(shù)據(jù)包進(jìn)行攔截����,攔截時(shí)根據(jù)IP包頭信息找到應(yīng)用層數(shù)據(jù)��。
[0007]當(dāng)應(yīng)用層數(shù)據(jù)的數(shù)據(jù)包過大需要分片發(fā)送時(shí)��,暫時(shí)緩存該數(shù)據(jù)包并將所有分片包組成一個(gè)數(shù)據(jù)包���,即把IP碎片進(jìn)行重組��,然后再進(jìn)行后續(xù)的匹配過濾步驟����。
[0008]所述應(yīng)用層數(shù)據(jù)的匹配通過正則表達(dá)式處理��。
[0009]當(dāng)匹配完成后����,應(yīng)用層數(shù)據(jù)中匹配到特征碼時(shí),進(jìn)行相應(yīng)的處理�����,該處理的具體內(nèi)容包括拒絕并記錄日志、允許并記錄日志��。
[0010]本發(fā)明的一種網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)過濾方法�����,具有以下優(yōu)點(diǎn):
本發(fā)明提出的一種網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)過濾方法���,可以進(jìn)行七層數(shù)據(jù)包的過濾�����,在netfilter框架上注冊(cè)數(shù)據(jù)包處理函數(shù)可以對(duì)接收到數(shù)據(jù)包的應(yīng)用層數(shù)據(jù)內(nèi)容與設(shè)置好的特征碼進(jìn)行匹配��,如果匹配則按照預(yù)先設(shè)置好的動(dòng)作進(jìn)行處理�����,實(shí)用性強(qiáng)�����,匹配過濾效率尚,易于推廣�����。
【附圖說明】
[0011]附圖1為本發(fā)明的實(shí)現(xiàn)流程圖。
[0012]附圖2為本發(fā)明的數(shù)據(jù)傳輸流程圖��。
【具體實(shí)施方式】
[0013]下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明�。
[0014]本發(fā)明提供一種網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)過濾方法,通過在netfilter框架上注冊(cè)hook處理函數(shù)���,使得能夠?qū)rl����、關(guān)鍵字等應(yīng)用層的數(shù)據(jù)進(jìn)行識(shí)別并對(duì)相應(yīng)的數(shù)據(jù)包進(jìn)行攔截�����。由于數(shù)據(jù)包有可能過大需要分片發(fā)送����,所以也需要把IP碎片進(jìn)行重組,然后再進(jìn)行過濾�����。應(yīng)用層的數(shù)據(jù)過濾前需要設(shè)置規(guī)則����,規(guī)則可以支持正則表達(dá)式以處理復(fù)雜的應(yīng)用層數(shù)據(jù)����。
[0015]如附圖1所示�����,其具體實(shí)現(xiàn)過程為:
首先流入并分析數(shù)據(jù)包��,獲取應(yīng)用層數(shù)據(jù)����。
[0016]添加特征碼,該特征碼為每個(gè)數(shù)據(jù)包唯一的標(biāo)識(shí)�,比如一個(gè)簡單的字符串或者一個(gè)復(fù)雜的P2P數(shù)據(jù)流。
[0017]將獲取的應(yīng)用層數(shù)據(jù)與特征碼進(jìn)行匹配�����,將應(yīng)用層數(shù)據(jù)與設(shè)置的特征碼規(guī)則進(jìn)行匹配�����,匹配的過程需要采用正則表達(dá)式進(jìn)行�����。
[0018]根據(jù)匹配結(jié)果進(jìn)行應(yīng)用層數(shù)據(jù)處理��。
[0019]在上述步驟中���,需要提取應(yīng)用的特征碼�����,所以需要對(duì)應(yīng)用進(jìn)行分析�����,并找到該應(yīng)用的特征碼��。
[0020]為了保證匹配的效率����,本發(fā)明將采用正則表達(dá)式的處理方式對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行匹配�����。
[0021]如附圖2所示����,本發(fā)明將獲取網(wǎng)絡(luò)數(shù)據(jù)包的應(yīng)用層數(shù)據(jù)內(nèi)容���,如果該數(shù)據(jù)包為分片數(shù)據(jù)包,還需要將后續(xù)分片包組裝�,即當(dāng)應(yīng)用層數(shù)據(jù)的數(shù)據(jù)包過大需要分片發(fā)送時(shí),暫時(shí)緩存該數(shù)據(jù)包并將所有分片包組成一個(gè)數(shù)據(jù)包���,即把IP碎片進(jìn)行重組����,然后再進(jìn)行后續(xù)的匹配過濾步驟��。
[0022]上述【具體實(shí)施方式】僅是本發(fā)明的具體個(gè)案�,本發(fā)明的專利保護(hù)范圍包括但不限于上述【具體實(shí)施方式】,任何符合本發(fā)明的一種網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)過濾方法的權(quán)利要求書的且任何所述技術(shù)領(lǐng)域的普通技術(shù)人員對(duì)其所做的適當(dāng)變化或替換��,皆應(yīng)落入本發(fā)明的專利保護(hù)范圍�����。
【主權(quán)項(xiàng)】
1.一種網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)過濾方法����,其特征在于��,具體實(shí)現(xiàn)過程為: 首先流入并分析數(shù)據(jù)包��,獲取應(yīng)用層數(shù)據(jù)���; 添加特征碼����,該特征碼為每個(gè)數(shù)據(jù)包唯一的標(biāo)識(shí); 將獲取的應(yīng)用層數(shù)據(jù)與特征碼進(jìn)行匹配���; 根據(jù)匹配結(jié)果進(jìn)行應(yīng)用層數(shù)據(jù)處理�。2.根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)過濾方法�����,其特征在于��,所述應(yīng)用層數(shù)據(jù)的分析獲取過程為:通過在netfilter框架上注冊(cè)hook處理函數(shù)����,對(duì)含有url、關(guān)鍵字的應(yīng)用層數(shù)據(jù)進(jìn)行識(shí)別并對(duì)相應(yīng)的數(shù)據(jù)包進(jìn)行攔截,攔截時(shí)根據(jù)IP包頭信息找到應(yīng)用層數(shù)據(jù)���。3.根據(jù)權(quán)利要求2所述的一種網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)過濾方法��,其特征在于�,當(dāng)應(yīng)用層數(shù)據(jù)的數(shù)據(jù)包過大需要分片發(fā)送時(shí)����,暫時(shí)緩存該數(shù)據(jù)包并將所有分片包組成一個(gè)數(shù)據(jù)包,即把IP碎片進(jìn)行重組���,然后再進(jìn)行后續(xù)的匹配過濾步驟���。4.根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)過濾方法,其特征在于���,所述應(yīng)用層數(shù)據(jù)的匹配通過正則表達(dá)式處理�����。5.根據(jù)權(quán)利要求1或4所述的一種網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)過濾方法���,其特征在于��,當(dāng)匹配完成后��,應(yīng)用層數(shù)據(jù)中匹配到特征碼時(shí)�,進(jìn)行相應(yīng)的處理���,該處理的具體內(nèi)容包括拒絕并記錄日志����、允許并記錄日志�����。
【專利摘要】本發(fā)明公開了一種網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)過濾方法����,其具體實(shí)現(xiàn)過程為:首先流入并分析數(shù)據(jù)包����,獲取應(yīng)用層數(shù)據(jù);添加特征碼�����,該特征碼為每個(gè)數(shù)據(jù)包唯一的標(biāo)識(shí);將獲取的應(yīng)用層數(shù)據(jù)與特征碼進(jìn)行匹配����;根據(jù)匹配結(jié)果進(jìn)行應(yīng)用層數(shù)據(jù)處理。該一種網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)過濾方法與現(xiàn)有技術(shù)相比�����,可以進(jìn)行七層數(shù)據(jù)包的過濾�,在netfilter框架上注冊(cè)數(shù)據(jù)包處理函數(shù)可以對(duì)接收到數(shù)據(jù)包的應(yīng)用層數(shù)據(jù)內(nèi)容與設(shè)置好的特征碼進(jìn)行匹配,如果匹配則按照預(yù)先設(shè)置好的動(dòng)作進(jìn)行處理����,實(shí)用性強(qiáng),匹配過濾效率高�����,易于推廣��。
【IPC分類】H04L29/06
【公開號(hào)】CN105049437
【申請(qǐng)?zhí)枴緾N201510469640
【發(fā)明人】崔士偉
【申請(qǐng)人】浪潮電子信息產(chǎn)業(yè)股份有限公司
【公開日】2015年11月11日
【申請(qǐng)日】2015年8月4日