CN111106982A - 一种信息过滤方法、装置、电子设备及存储介质 - Google Patents

一种信息过滤方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN111106982A
CN111106982A CN201911336371.6A CN201911336371A CN111106982A CN 111106982 A CN111106982 A CN 111106982A CN 201911336371 A CN201911336371 A CN 201911336371A CN 111106982 A CN111106982 A CN 111106982A
Authority
CN
China
Prior art keywords
filtering
information
request information
address
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911336371.6A
Other languages
English (en)
Other versions
CN111106982B (zh
Inventor
何辉海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201911336371.6A priority Critical patent/CN111106982B/zh
Publication of CN111106982A publication Critical patent/CN111106982A/zh
Application granted granted Critical
Publication of CN111106982B publication Critical patent/CN111106982B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种信息过滤方法、装置、电子设备及存储介质,所述方法包括:接收客户端发送至服务器的请求信息;确定请求信息对应的用户信息和目的IP地址;基于轻量级过滤表对用户信息和目的IP地址进行过滤,其中,轻量级过滤表中包括由网路设备对预配置的包过滤策略进行解析而得到的过滤对象信息;基于包过滤策略对匹配于过滤对象信息的请求信息进行过滤。通过本申请的技术方案可以提高包过滤策略的匹配效率。

Description

一种信息过滤方法、装置、电子设备及存储介质
技术领域
本申请涉及网络技术领域,具体涉及一种信息过滤方法、装置、电子设备和存储介质。
背景技术
包过滤策略是根据数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口等包头信息及数据包传输方向等信息来判断是否允许数据包通过,即对所拦截的数据包与用户配置的一系列过滤规则进行比较,以判断一个数据包是否匹配到某一条规则。
相关技术中对于网络设备接收到的任一数据包需基于包过滤策略中的每一条包过滤规则逐一地进行匹配,直到确定与数据包匹配成功的包过滤规则或者确定与包过滤策略中的任一包过滤规则均不匹配,然而在待匹配的数据包的数量大、包过滤策略中规则数量多的情况下,相关技术中对网络设备接收到的任一数据包针对包过滤策略中的每一规则进行匹配的方式不仅过程繁琐,而且耗时过长,导致匹配效率低下、资源浪费等问题。
发明内容
为了简化包过滤策略的匹配过程、提高对数据报文的匹配效率,本申请提供一种信息过滤方法、装置、电子设备和存储介质,以解决相关技术中在待匹配的数据包的数量大、包过滤策略中规则数量多的情况下,网络设备对接收到的任一数据包针对包过滤策略中的每一规则进行匹配时的过程繁琐、效率低下的问题。
为实现上述目的,本申请提供技术方案如下:
根据本申请的第一方面,提出了一种信息过滤方法,应用于网络设备,所述方法包括:
接收客户端发送至服务器的请求信息;
确定所述请求信息对应的用户信息和目的IP地址;
基于轻量级过滤表对所述用户信息和目的IP地址进行过滤,其中,所述轻量级过滤表中包括由所述网路设备对预配置的包过滤策略进行解析而得到的过滤对象信息;
基于所述包过滤策略对匹配于所述过滤对象信息的请求信息进行过滤。
可选的,所述确定所述请求信息对应的用户信息和目的IP地址,包括:
解析所述请求信息,以确定所述请求信息对应的源IP地址和目的IP地址;将所述源IP地址对应的用户组确定为所述请求信息对应的用户信息;或者,
解析所述请求信息,以确定所述请求信息对应的用户标识信息和目的IP地址;将所述用户标识信息对应的用户组确定为所述请求信息对应的用户信息。
可选的,所述过滤对象信息表征为基于预设的散列索引算法所确定的散列索引值,所述基于轻量级过滤表对所述用户信息和目的IP地址进行过滤,包括:
基于所述散列索引算法确定所述用户信息和目的IP地址对应的散列值;
在包含所述过滤对象信息对应的散列索引值的轻量级过滤表中对所述散列值进行匹配,以将未匹配于所述轻量级过滤表的请求信息确定为无法通过。
可选的,所述基于所述包过滤策略对匹配于所述过滤对象信息的请求信息进行过滤,包括:
基于预设的散列索引关系确定所述包过滤策略中所述过滤对象信息所链接的包过滤规则;基于所述包过滤规则对匹配于所述过滤对象信息的请求信息进行过滤。
可选的,还包括:
将匹配于所述包过滤策略的请求信息转发至所述服务器。
根据本申请的第二方面,提出了一种信息过滤装置,应用于网络设备,所述装置包括:
接收单元,接收客户端发送至服务器的请求信息;
确定单元,确定所述请求信息对应的用户信息和目的IP地址;
第一过滤单元,基于轻量级过滤表对所述用户信息和目的IP地址进行过滤,其中,所述轻量级过滤表中包括由所述网路设备对预配置的包过滤策略进行解析而得到的过滤对象信息;
第二过滤单元,基于所述包过滤策略对匹配于所述过滤对象信息的请求信息进行过滤。
可选的,所述确定单元具体用于:
解析所述请求信息,以确定所述请求信息对应的源IP地址和目的IP地址;将所述源IP地址对应的用户组确定为所述请求信息对应的用户信息;或者,
解析所述请求信息,以确定所述请求信息对应的用户标识信息和目的IP地址;将所述用户标识信息对应的用户组确定为所述请求信息对应的用户信息。
可选的,所述过滤对象信息表征为基于预设的散列索引算法所确定的散列索引值,所述第一过滤单元具体用于:
基于所述散列索引算法确定所述用户信息和目的IP地址对应的散列值;
在包含所述过滤对象信息对应的散列索引值的轻量级过滤表中对所述散列值进行匹配,以将未匹配于所述轻量级过滤表的请求信息确定为无法通过。
可选的,所述第二过滤单元具体用于:
基于预设的散列索引关系确定所述包过滤策略中所述过滤对象信息所链接的包过滤规则;
基于所述包过滤规则对匹配于所述过滤对象信息的请求信息进行过滤。
可选的,还包括:
转发单元,将匹配于所述包过滤策略的请求信息转发至所述服务器。
根据本申请的第三方面,提出了一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为可执行指令以实现如上述第一方面中任一所述的方法。
根据本申请的第四方面,提供一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如上述第一方面中任一所述方法的步骤。
由上述技术方案可见,本申请在进行信息过滤的过程中,优先基于轻量级过滤表对所接收到的请求信息进行过滤,以仅将匹配于轻量级过滤表中的过滤对象信息按照包过滤策略进行过滤,而无需对网络设备接收到的任一请求信息均基于包过滤策略进行匹配,确保基于包过滤策略所过滤的请求信息与该包过滤策略中的包过滤规则对应的过滤对象信息有关,解决了因对包过滤策略中未涉及的请求信息针对每条包过滤规则进行匹配而导致的过滤效率低下的问题,提高了包过滤策略的匹配效率。
附图说明
图1是根据本申请一示例性实施例中的一种包过滤识别方法的流程图;
图2是根据本申请一示例性实施例提供的一种信息过滤方法的流程图;
图3是根据本申请一示例性实施例中的一种Portal认证组网图;
图4是根据本申请一示例性实施例提供的另一种信息过滤方法的流程图;
图5是根据本申请一示例性实施例中的一种电子设备的示意结构图;
图6是根据本申请一示例性实施例中的一种信息过滤装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
包过滤策略是根据数据包的包头信息而制定的,即根据数据包的源IP地址、目的IP地址、因特网控制报文协议、传输协议、ICMP消息类型等包头信息及数据包传输方向等信息来定义是否允许数据包通过,即由配置该策略的网络设备对所拦截的数据包与用户配置的一系列过滤规则进行比较,以判断一个数据包是否匹配到某一条规则。
对于网络设备基于所配置的包过滤策略进行报文匹配而言,网络设备对于接收到的任意一数据包均需对包过滤策略中的各个过滤规则进行比对,进而基于过滤结果执行对数据包相关的动作。
以基于ACL(Access Control List,访问控制列表)实现数据包的包过滤识别技术为例,对相关技术中网络设备对接收到的数据包进行过滤的过程进行简要说明。网络设备可以根据接口上所配置的过滤策略对匹配于该过滤策略中的规则的数据包执行该规则对应的动作,如图1所示,图1是根据本申请一示例性实施例中的一种包过滤识别方法的流程图,到达接口的数据包A对该接口中所配置的过滤策略进行匹配,过滤策略中可以包括多条过滤规则,诸如图1中所示的第一条规则、第二条规则、……、第n条规则、……、最后一条规则,若数据包A与过滤策略中的第一条规则对应的过滤对象信息不匹配,则将数据包A对过滤策略中的第二条规则进行匹配,直至在过滤策略的逐条规则中确定一个能够与数据包A的包头信息相匹配到的规则,即该规则中的过滤对象信息对应于数据包A的包头信息,进而对数据包A执行所匹配到的规则所指定的动作,诸如丢弃或者允许通过,而在过滤策略中的各条规则均无法匹配到数据包A的情况下,则按照默认的处理规则对数据包A进行处理。
可见对于网络设备接收到的任一数据包需基于过滤策略中的各条规则进行逐条匹配,而在所创建的过滤策略中包含数量较多的规则,或是网络设备接收到的数据包的数量较多的情况下,网络设备对于接收到的任一数据包进行逐条匹配的方法不仅过程繁琐,而且耗时较长,极大程度上制约着网络设备对数据包进行访问控制的匹配效率。
有鉴于此,本申请提供一种信息过滤方法,该方法应用于网络设备,为对本申请的技术方案进行说明,下面通过具体实施例对本申请的技术方案进行阐述:
图2是根据本申请一示例性实施例提供的一种信息过滤方法的流程图,如图2所示,该方法可以包括以下步骤:
步骤201,接收客户端发送至服务器的请求信息。
步骤202,确定请求信息对应的用户信息和目的IP地址。
在一实施例中,可以通过解析请求信息,以确定请求信息对应的源IP地址和目的IP地址,进而将源IP地址对应的用户组确定为请求信息对应的用户信息。
在另一实施例中,可以通过解析请求信息,以确定请求信息对应的用户标识信息和目的IP地址,进而将用户标识信息对应的用户组确定为请求信息对应的用户信息。
步骤203,基于轻量级过滤表对用户信息和目的IP地址进行过滤。
其中,所述轻量级过滤表中包括由所述网路设备对预配置的包过滤策略进行解析而得到的过滤对象信息。
进一步的,过滤对象信息可以表征为基于预设的散列索引算法而确定的散列索引值。具体的,在基于轻量级过滤表对用户信息和目的IP地址进行过滤的过程中,可以基于散列索引算法确定用户信息和目的IP地址对应的散列值,进而在包含过滤对象信息对应的散列索引值的轻量级过滤表中对散列值进行匹配,以将未匹配于轻量级过滤表的请求信息确定为无法通过。
步骤204,基于包过滤策略对匹配于过滤对象信息的请求信息进行过滤。
在一实施例中,在过滤对象信息表征为基于预设的散列索引算法而确定的散列索引值的情况下,在基于包过滤策略对匹配于过滤对象信息的请求信息进行过滤的过程中,可以根据预设的散列索引关系确定包过滤策略中过滤对象信息所链接的包过滤规则,进而基于所链接的包过滤规则对匹配于过滤对象信息的请求信息进行过滤。
通过上述实施例可知,优先基于轻量级过滤表对所接收到的请求信息进行过滤,以仅将匹配于轻量级过滤表中的过滤对象信息按照包过滤策略进行过滤,而无需对网络设备接收到的任一请求信息均基于包过滤策略进行匹配,确保基于包过滤策略所过滤的请求信息与该包过滤策略中的包过滤规则对应的过滤对象信息有关,解决了因对包过滤策略中未涉及的请求信息针对每条包过滤规则进行匹配而导致的过滤效率低下的问题,提高了包过滤策略的匹配效率。
下面通过涉及portal认证登录场景的实施例对本申请的技术方案进行详细阐述。
portal接入认证也称为Web(网页)认证,是互联网接入过程中的一种认证方式,在该认证方式中,用户基于客户端通过网络设备向portal认证服务器发送用于登录认证的认证请求信息,网络设备接收到用户客户端发送的认证请求信息后,根据预配置的包过滤策略将认证请求信息重定向至相应的portal认证服务器,以由portal认证服务器对接收到的认证请求信息做进一步的认证处理。
请参照图3,图3是根据本申请一示例性实施例中的一种Portal认证组网图,如图3所示,网络设备连接至多个客户端,并对所连接的各个客户端发送的认证请求信息进行过滤,以将满足网络设备中的过滤规则的认证请求信息重定向至相应的portal认证服务器中进行登录认证,其中,网络设备可以为路由器、交换机等;客户端可以为网路电视终端、笔记本电脑、平板电脑、手机等。
关于涉及portal认证登录场景的信息过滤的流程如图4所示,图4是根据本申请一示例性实施例提供的另一种信息过滤方法的流程图,请参考图4,该方法可以包括以下步骤:
步骤401,接收客户端发送至portal认证服务器的认证请求信息。
步骤402,解析该认证请求信息,以确定认证请求信息对应的用户组和目的IP地址。
在实际应用过程中,可以对发送认证请求信息的用户进行分组,以由网络设备根据所接收到的认证请求信息确定该认证请求信息的用户所对应的用户组,进而根据用户组和目的IP地址的组合进行过滤,在认证请求信息的发送方数量较多的情况下,网络设备无需设置针对每一用户的过滤条件,而仅需针对各个用户对应的用户组设置相应的过滤条件,降低了所设置的过滤条件的冗余度,提高了对认证请求信息的匹配处理的效率。
进一步的,在根据认证请求信息确定该认证请求信息的用户对应的分组的过程中,可以有多种分组方式。
在一实施例中,可以根据源IP地址进行分组,诸如按照源IP地址所属的网段不同而划分至不同的用户组中;或者按照源IP地址的添加顺序进行排列,顺次对预设数量的源IP地址划分为一组,本申请对跟源IP地址进行分组的具体分组方式不做限制,相应的,可以通过解析认证请求信息以获取该认证请求信息对应的源IP地址,进而将该源IP地址对应的用户组确定为请求信息对应的用户信息。
在另一实施例中,可以根据用户标识信息进行分组,诸如按照接收到的用户标识信息的顺序进行排序,进而将预设数量的用户标识信息划分至同一用户组中;或者,可以加载包含有各个用户标识信息和用户组的对应关系的配置文件,进而根据该配置文件确定接收到的用户标识信息所对应的用户组;可以理解的,存在多种根据用户标识信息进行分组的方式,本申请对根据用户标识信息进行分组的具体方式不做限制,相应的,网络设备可以确定接收到的认证请求信息所对应的用户标识信息和目的IP地址,进而将用户标识信息对应的用户组确定为请求信息对应的用户信息。
步骤403,基于预设的散列索引算法确定用户组和目的IP地址对应的散列索引值。
在一实施例中,可以对用户组和目的IP地址的组合中的全部或者部分的二进制码进行散列处理。具体的,可以根据预设的散列索引算法确定用户组和目的IP地址的组合中的全部或者部分二进制编码对应的散列索引值,进而基于用户组和目的IP地址的组合所对应的散列索引值匹配轻量级过滤表中所记载的过滤对象信息。在实际应用过程中,散列索引算法可以为诸如数字分析法、折叠法等HASH函数,本申请对预设的散列索引算法的具体形式不做限制。
步骤404,判断用户组和目的IP地址的组合对应的散列索引值是否匹配于轻量级过滤表中的过滤对象信息,若匹配,则进入步骤405,否则丢弃该用户组和目的IP地址对应的认证请求信息。
通过对所配置的包过滤策略进行解析,可以获取包过滤策略中的各条包过滤规则所涉及到的过滤对象信息,过滤对象信息可以为用户信息和目的IP地址的组合信息,其中,用户信息可以为源IP地址或者用户标识信息。在实际应用过程中,轻量级过滤表中所记载的过滤对象信息可以表征为经过散列处理后的散列索引值的形式,进一步的,轻量级过滤表中所记载的表征为散列索引值的过滤对象信息可以链接索引到包过滤策略中的具体的包过滤规则。
在实际应用过程中,在一实施例中,可以建立用户组和目的IP地址的组合对应的散列索引值和与该用户组和目的IP地址的组合对应的包过滤规则存储地址之间的映射关系,进而根据用户组和目的IP地址的组合对应的散列索引值便可直接链接到包过滤策略中的包过滤规则,而无需从包过滤策略中的第一条包过滤规则进行匹配,提高了包过滤规则的确定效率。
在另一实施例中,可以建立用户组和目的IP地址的组合对应的散列索引值和与该用户组合和目的IP地址的组合对应的包过滤规则的标识信息之间映射关系,诸如包过滤规则的编号等,进而在确定用户组和目的IP地址的组合对应的散列索引值后,可以基于该散列索引值确定包过滤规则的标识信息,进而根据所确定的标识信息在包过滤策略中读取与该标识信息对应的包过滤规则。
根据记载有表征为散列索引值形式的用户组和目的IP地址的组合信息,可以对根据接收到的认证请求信息确定的用户组和目的IP地址的组合对应的散列索引值在轻量级过滤表中进行匹配,以确定轻量级过滤表中是否存在用户组和目的IP地址的组合所对应的散列索引值,在确定量级过滤表中存在用户组合目的IP地址的组合所对应的散列索引值的情况下,确定用户组和目的IP地址的组合对应的散列索引值匹配于轻量级过滤表中的过滤对象信息;否则,确定用户组和目的IP地址的组合对应的散列索引值不匹配于轻量级过滤表中的过滤对象信息。
步骤405,在包过滤策略中确定匹配于用户组和目的IP地址的包过滤规则。
在确定用户组和目的IP地址的组合对应的散列索引值匹配于轻量级过滤表中的过滤对象信息的情况下,在包过滤策略中确定匹配于用户组和目的IP地址的包过滤规则。
具体的,在一实施例中,可以根据用户组和目的IP地址的组合对应的散列索引值和与该用户组和目的IP地址的组合对应的包过滤规则存储地址之间的映射关系,读取用户组和目的IP地址的组合所对应的包过滤规则,进而基于该包过滤规则对用户组和目的IP地址的组合对应的认证请求报文进行过滤。
在另一实施例中,可以根据用户组和目的IP地址的组合对应的散列索引值和与该用户组合和目的IP地址的组合对应的包过滤规则的标识信息之间映射关系,确定用户组和目的IP地址的组合所对应的包过滤规则的标识信息,进而根据该标识信息确定包过滤策略中相应的包过滤规则,进而基于根据标识信息所确定的包过滤规则对用户组和目的IP地址的组合对应的认证请求报文进行过滤。
步骤406,对该用户组和目的IP地址对应的认证请求信息执行所匹配的包过滤规则对应的动作。
在一实施例中,对该用户组和目的IP地址对应的认证请求信息执行所匹配的包过滤规则对应的动作可以为将用户组和目的IP地址对应的认证请求信息转发至相应的portal认证服务器,以由接收到认证请求信息的portal认证服务器进行认证处理。
通过上述实施例,在网络设备拦截到客户端发送至portal认证服务器的认证请求信息的情况下,网络设备可以通过解析所拦截的认证请求信息,以确定认证请求信息所对应的用户组和目的IP地址,进而根据预设的散列索引算法确定用户组和目的IP地址对应的散列索引值,从而基于用户组和目的IP地址对应的散列索引值优先匹配轻量级过滤表中的过滤对象信息,并在用户组和目的IP地址对应的散列索引值匹配于轻量级过滤表中的过滤对象信息的情况下,对该用户组和目的IP地址对应的认证请求报文执行包过滤策略中匹配到的包过滤规则对应的动作,通过本申请的实施例,提高了对用户组和目的IP地址的组合在轻量级过滤表中的匹配效率以及用户组和目的IP地址的组合所对应的包过滤规则的确定效率。
图5是根据本申请一示例性实施例中的一种电子设备的示意结构图。请参考图5,在硬件层面,该电子设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成信息过滤装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
请参考图6,图6是根据本申请一示例性实施例中的一种信息过滤装置的框图,如图6所示,在软件实施方式中,该信息过滤装置可以包括:
接收单元601,接收客户端发送至服务器的请求信息;
确定单元602,确定所述请求信息对应的用户信息和目的IP地址;
第一过滤单元603,基于轻量级过滤表对所述用户信息和目的IP地址进行过滤,其中,所述轻量级过滤表中包括由所述网路设备对预配置的包过滤策略进行解析而得到的过滤对象信息;
第二过滤单元604,基于所述包过滤策略对匹配于所述过滤对象信息的请求信息进行过滤。
可选的,所述确定单元602具体用于:
解析所述请求信息,以确定所述请求信息对应的源IP地址和目的IP地址;将所述源IP地址对应的用户组确定为所述请求信息对应的用户信息;或者,
解析所述请求信息,以确定所述请求信息对应的用户标识信息和目的IP地址;将所述用户标识信息对应的用户组确定为所述请求信息对应的用户信息。
可选的,所述过滤对象信息表征为基于预设的散列索引算法所确定的散列索引值,所述第一过滤单元603具体用于:
基于所述散列索引算法确定所述用户信息和目的IP地址对应的散列值;
在包含所述过滤对象信息对应的散列索引值的轻量级过滤表中对所述散列值进行匹配,以将未匹配于所述轻量级过滤表的请求信息确定为无法通过。
可选的,所述第二过滤单元604具体用于:
基于预设的散列索引关系确定所述包过滤策略中所述过滤对象信息所链接的包过滤规则;
基于所述包过滤规则对匹配于所述过滤对象信息的请求信息进行过滤。
可选的,还包括:
转发单元605,将匹配于所述包过滤策略的请求信息转发至所述服务器。
所述装置与上述方法相对应,更多相同的细节不再一一赘述。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
虽然本说明书包含许多具体实施细节,但是这些不应被解释为限制任何发明的范围或所要求保护的范围,而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面,在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外,虽然特征可以如上所述在某些组合中起作用并且甚至最初如此要求保护,但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除,并且所要求保护的组合可以指向子组合或子组合的变型。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种信息过滤方法,其特征在于,应用于网络设备,所述方法包括:
接收客户端发送至服务器的请求信息;
确定所述请求信息对应的用户信息和目的IP地址;
基于轻量级过滤表对所述用户信息和目的IP地址进行过滤,其中,所述轻量级过滤表中包括由所述网路设备对预配置的包过滤策略进行解析而得到的过滤对象信息;
基于所述包过滤策略对匹配于所述过滤对象信息的请求信息进行过滤。
2.根据权利要求1所述方法,其特征在于,所述确定所述请求信息对应的用户信息和目的IP地址,包括:
解析所述请求信息,以确定所述请求信息对应的源IP地址和目的IP地址;将所述源IP地址对应的用户组确定为所述请求信息对应的用户信息;或者,
解析所述请求信息,以确定所述请求信息对应的用户标识信息和目的IP地址;将所述用户标识信息对应的用户组确定为所述请求信息对应的用户信息。
3.根据权利要求1所述方法,其特征在于,所述过滤对象信息表征为基于预设的散列索引算法所确定的散列索引值,所述基于轻量级过滤表对所述用户信息和目的IP地址进行过滤,包括:
基于所述散列索引算法确定所述用户信息和目的IP地址对应的散列值;
在包含所述过滤对象信息对应的散列索引值的轻量级过滤表中对所述散列值进行匹配,以将未匹配于所述轻量级过滤表的请求信息确定为无法通过。
4.根据权利要求3所述方法,其特征在于,所述基于所述包过滤策略对匹配于所述过滤对象信息的请求信息进行过滤,包括:
基于预设的散列索引关系确定所述包过滤策略中所述过滤对象信息所链接的包过滤规则;
基于所述包过滤规则对匹配于所述过滤对象信息的请求信息进行过滤。
5.根据权利要求1所述方法,其特征在于,还包括:
将匹配于所述包过滤策略的请求信息转发至所述服务器。
6.一种信息过滤装置,其特征在于,应用于网络设备,所述装置包括:
接收单元,接收客户端发送至服务器的请求信息;
确定单元,确定所述请求信息对应的用户信息和目的IP地址;
第一过滤单元,基于轻量级过滤表对所述用户信息和目的IP地址进行过滤,其中,所述轻量级过滤表中包括由所述网路设备对预配置的包过滤策略进行解析而得到的过滤对象信息;
第二过滤单元,基于所述包过滤策略对匹配于所述过滤对象信息的请求信息进行过滤。
7.根据权利要求6所述装置,其特征在于,所述确定单元具体用于:
解析所述请求信息,以确定所述请求信息对应的源IP地址和目的IP地址;将所述源IP地址对应的用户组确定为所述请求信息对应的用户信息;或者,
解析所述请求信息,以确定所述请求信息对应的用户标识信息和目的IP地址;将所述用户标识信息对应的用户组确定为所述请求信息对应的用户信息。
8.根据权利要求6所述装置,其特征在于,所述过滤对象信息表征为基于预设的散列索引算法所确定的散列索引值,所述第一过滤单元具体用于:
基于所述散列索引算法确定所述用户信息和目的IP地址对应的散列值;
在包含所述过滤对象信息对应的散列索引值的轻量级过滤表中对所述散列值进行匹配,以将未匹配于所述轻量级过滤表的请求信息确定为无法通过。
9.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为可执行指令以实现如权利要求1-5中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-5中任一项所述方法的步骤。
CN201911336371.6A 2019-12-23 2019-12-23 一种信息过滤方法、装置、电子设备及存储介质 Active CN111106982B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911336371.6A CN111106982B (zh) 2019-12-23 2019-12-23 一种信息过滤方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911336371.6A CN111106982B (zh) 2019-12-23 2019-12-23 一种信息过滤方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN111106982A true CN111106982A (zh) 2020-05-05
CN111106982B CN111106982B (zh) 2022-03-01

Family

ID=70422731

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911336371.6A Active CN111106982B (zh) 2019-12-23 2019-12-23 一种信息过滤方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN111106982B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101860531A (zh) * 2010-04-21 2010-10-13 北京星网锐捷网络技术有限公司 数据包过滤规则匹配方法及装置
CN105187436A (zh) * 2015-09-25 2015-12-23 中国航天科工集团第二研究院七〇六所 一种基于散列表的包过滤主机网络控制方法
CN109327395A (zh) * 2018-11-30 2019-02-12 新华三信息安全技术有限公司 一种报文处理方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101860531A (zh) * 2010-04-21 2010-10-13 北京星网锐捷网络技术有限公司 数据包过滤规则匹配方法及装置
CN105187436A (zh) * 2015-09-25 2015-12-23 中国航天科工集团第二研究院七〇六所 一种基于散列表的包过滤主机网络控制方法
CN109327395A (zh) * 2018-11-30 2019-02-12 新华三信息安全技术有限公司 一种报文处理方法及装置

Also Published As

Publication number Publication date
CN111106982B (zh) 2022-03-01

Similar Documents

Publication Publication Date Title
US10764320B2 (en) Structuring data and pre-compiled exception list engines and internet protocol threat prevention
US10541857B1 (en) Public DNS resolver prioritization
CA2947325C (en) Protocol type identification method and apparatus
CN106878194B (zh) 一种报文处理方法和装置
CN108683617B (zh) 报文分流方法、装置及分流交换机
CN113596033B (zh) 访问控制方法及装置、设备、存储介质
EP3399723A1 (en) Performing upper layer inspection of a flow based on a sampling rate
WO2017003436A1 (en) Action references
EP2916516A1 (en) Packet processing method and apparatus
CN110891056A (zh) Https请求认证方法及装置、电子设备、存储介质
US9019951B2 (en) Routing apparatus and method for processing network packet thereof
US11212161B2 (en) Management and resolution of alarms based on historical alarms
US20220174081A1 (en) Monitoring of abnormal host
CN111083173B (zh) 基于openflow协议的网络通信中的动态防御方法
CN117675708A (zh) 一种组播流量处理方法和装置、电子设备
CN107493234B (zh) 一种基于虚拟网桥的报文处理方法以及装置
CN111106982B (zh) 一种信息过滤方法、装置、电子设备及存储介质
CN116723020A (zh) 网络服务模拟方法、装置、电子设备及存储介质
CN107547382B (zh) 一种邻居关系发现方法和装置
CN112532610B (zh) 一种基于tcp分段的入侵防御检测方法及装置
CN111107142B (zh) 业务访问方法和装置
CN110311868B (zh) 业务处理方法、装置、成员设备及机器可读存储介质
CN114244555A (zh) 一种安全策略的调整方法
CN113114574A (zh) 一种报文转发方法及装置
CN112445771A (zh) 网络流量的数据处理方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant