CN114640515A - 基于流量阻断的数据处理方法、装置及相关设备 - Google Patents
基于流量阻断的数据处理方法、装置及相关设备 Download PDFInfo
- Publication number
- CN114640515A CN114640515A CN202210225624.8A CN202210225624A CN114640515A CN 114640515 A CN114640515 A CN 114640515A CN 202210225624 A CN202210225624 A CN 202210225624A CN 114640515 A CN114640515 A CN 114640515A
- Authority
- CN
- China
- Prior art keywords
- information
- traffic
- rule
- blocking
- data processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000000903 blocking effect Effects 0.000 title claims abstract description 117
- 238000003672 processing method Methods 0.000 title claims abstract description 35
- 238000012545 processing Methods 0.000 claims abstract description 40
- 238000000034 method Methods 0.000 claims abstract description 12
- 238000004590 computer program Methods 0.000 claims description 14
- 238000001914 filtration Methods 0.000 abstract description 18
- 238000012216 screening Methods 0.000 description 12
- 230000005540 biological transmission Effects 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000000605 extraction Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种基于流量阻断的数据处理方法、装置及相关设备,该方法应用于操作系统,所述操作系统的内核配置有流量阻断模块和用户接口模块,所述用户接口模块用于进行流量阻断规则的配置;所述方法包括:基于所述流量阻断模块,接收来自数据链路层的流量信息;依据由所述用户接口模块预先设定的过滤规则,获得放行流量信息并发送至所述内核中的网络协议栈;对所述放行流量信息进行数据处理。该方法在流量信息进入协议栈之前就进行一次过滤,识别出需要丢弃的流量信息进行丢弃处理,降低了协议栈的处理压力。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种基于流量阻断的数据处理方法、装置及相关设备。
背景技术
利用系统内置防火墙机制,用户可以在系统中有效的配置流量信息的过滤条件,实现防火墙的功能。例如,在现有技术中,流量信息筛选模块按照顺序散布在网络协议栈的五个关键节点上,通过设置筛选模块的筛选规则,对流量进行信息筛选。显然,多个流量筛选模块存在大量规则,执行流量信息筛选时处理效率低下,由此导致当流量较大时系统性能不佳。故,如何提高流量信息筛选的处理效率,减轻网络协议栈的压力亟待解决。
发明内容
针对现有技术存在的问题,本公开实施例提供一种基于流量阻断的数据处理方法、装置及相关设备。
第一方面,本公开提供一种基于流量阻断的数据处理方法,应用于操作系统,所述操作系统的内核配置有流量阻断模块和用户接口模块,所述用户接口模块用于进行流量阻断规则的配置;所述方法包括:基于所述流量阻断模块,接收来自数据链路层的流量信息;依据由所述用户接口模块预先设定的流量阻断规则,获得放行流量信息并发送至所述内核中的网络协议栈;对所述放行流量信息进行数据处理。
根据本公开提供的一种基于流量阻断的数据处理方法,若用户接口模块预先设定的流量阻断规则为白名单规则,则获得放行流量信息进一步为:校验所述流量信息是否合法,若是,则判断所述流量信息是否符合所述白名单规则,若是,则所述流量信息为放行流量信息;若所述流量信息不符合所述白名单规则,则所述流量信息为非法流量信息,将所述非法流量信息丢弃。
根据本公开提供的一种基于流量阻断的数据处理方法,若用户接口模块预先设定的流量阻断规则为黑名单规则,则所述获得放行流量信息进一步为:校验所述流量信息是否合法,若是,则判断所述流量信息是否符合所述黑名单规则,若否,则所述流量信息为放行流量信息;若所述流量信息符合所述黑名单规则,则所述流量信息为非法流量信息,将所述非法流量信息丢弃。
根据本公开提供的一种基于流量阻断的数据处理方法,所述用户进行流量阻断规则配置的规则通过如下步骤得到:基于用户接口模块对应的配置接口,获取规则配置信息;校验所述规则配置信息是否合法,若是,则对所述规则配置信息对应的待处理规则进行数据处理并存储所述规则。
根据本公开提供的一种基于流量阻断的数据处理方法,所述存储所述规则具体包括:基于字典树存储所述规则。
第二方面,本公开还提供了一种基于流量阻断的数据处理装置,包括:设置于操作系统内核的流量阻断模块和用户接口模块;所述用户接口模块用于进行流量阻断规则的配置;所述流量阻断模块用于接收来自数据链路层的流量信息,并基于所述用户接口模块预先设定的流量阻断规则获得放行流量信息,并将所述放行流量信息发送至网络协议栈进行数据处理。。
第三方面,本公开还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述基于流量阻断的数据处理方法的步骤。
第四方面,本公开还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述基于流量阻断的数据处理方法的步骤。
第五方面,本公开还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上所述基于流量阻断的数据处理方法的步骤。本公开提供的基于流量阻断的数据处理方法、装置及相关设备中,采用流量阻断模块,依据由用户接口模块预先设定的流量阻断规则,获得放行流量信息,网络协议栈中获取到的放行流量信息为过滤后的流量信息,网络协议栈只需在往协议栈的传递过程中依次剥去每层的头部,直至为到达用户的裸数据。
通过上述工作原理的说明可以看出,由于流量阻断模块对流量信息进行先行过滤,进而数据筛选的压力无需由网络协议栈分布的多个过滤装置来承担,例如,无需由现有技术中操作系统内核的网络协议栈的多个关键节点分布的多个报文过滤系统多次承担,因此,即使存在大量流量信息需要处理,也由流量阻断模块先行一次处理,减轻了网络协议栈的数据处理压力,提高了系统性能。
附图说明
为了更清楚地说明本公开或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本公开提供的基于流量阻断的数据处理方法中,操作系统内核的结构框图;
图2是本公开提供的基于流量阻断的数据处理方法的流程示意图之一;
图3是本公开提供的基于流量阻断的数据处理方法中的获得放行流量信息步骤流程示意图之一;
图4是本公开提供的基于流量阻断的数据处理方法的流程示意图之二;
图5是本公开提供的基于流量阻断的数据处理方法中的获得放行流量信息步骤流程示意图之二;
图6是本公开提供的数据处理方法的操作系统进行配置和数据处理的流程示意图;
图7是本公开提供的基于流量阻断的数据处理系统的结构框图;
图8是本公开提供的电子设备的结构示意图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开实施例一部分实施例,而不是全部的实施例。基于本公开实施例中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开实施例保护的范围。
下面对本公开实施例提供的基于流量阻断的数据处理方法,进行说明。
本公开实施例提供的基于流量阻断的数据处理方法,应用于操作系统,所述操作系统的内核配置有流量阻断模块和用户接口模块,所述用户接口模块用于进行流量阻断规则的配置。
参照图1,在一个实施例中,其操作系统为Linux,netfilter/iptables是该操作系统的TCP/IP报文过滤系统,从Linux 3.5内核版本开始集成进了内核,并成为了linux内核的内置防火墙机制。利用netfilter/iptables,用户配置TCP/IP报文的过滤条件,实现防火墙的功能。
Netfilter/iptables包括netfilter与iptables两大部分。netfilter运行在内核中,是操作系统内核的数据包处理模块,内核通过netfilter对进出的数据包进行过滤。Iptables工具工作在用户态,是暴露给用户的交互接口,用户可以通过iptables配置报文过滤规则,包括新增、修改、删除过滤规则,也可以观察报文过滤情况。但是,多个流量筛选模块存在大量规则,执行流量信息筛选时处理效率低下,由此导致当流量较大时系统性能不佳。
在本公开的实施例中,在内核接口与网络协议栈之间,增设了上述的用户接口模块和流量阻断模块,将流量阻断功能前置,流量信息先通过流量阻断模块进行过滤,识别出需要丢弃的报文进行丢弃处理,再将过滤后的流量信息送入协议栈进行处理。
具体地,包括如下步骤,参照图2,包括:
步骤S201、基于所述流量阻断模块,接收来自数据链路层的流量信息;。
具体来说,流量信息为数据包去除数据链路帧头之后的信息,也可以称为报文,需要说明的是,若流量信息为符合TCP/IP协议的正确报文,那么流量信息头部信息中包括流量信息对应的五元组信息,即协议号、源IP、源端口、目的IP、目的端口等信息。
数据链路层是OSI参考模型中的第二层,介乎于物理层和网络层之间。数据链路层在物理层提供的服务的基础上向网络层提供服务,其最基本的服务是将源自网络层来的数据可靠地传输到相邻节点的目标机网络层。为达到这一目的,数据链路必须具备一系列相应的功能,主要有:如何将数据组合成数据块,在数据链路层中称这种数据块为帧(frame),帧是数据链路层的传送单位;如何控制帧在物理信道上的传输,包括如何处理传输差错,如何调节发送速率以使与接收方相匹配;以及在两个网络实体之间提供数据链路通路的建立、维持和释放的管理。
步骤S203、依据由所述用户接口模块预先设定的流量阻断规则,获得放行流量信息并发送至所述内核中的网络协议栈;。
用户接口模块为用于用户进行流量阻断规则配置,用户接口模块命令工作于用户态,用户可根据需要进行流量阻断规则配置,如删除、新增或修改流量阻断规则,用户接口模块基于操作系统内核接口接收来自用户态的用户接口模块命令并转化为合适的数据结构,将规则对应的数据结构保存至流量阻断模块。
流量阻断规则可以基于黑名单规则,也可以基于白名单规则。黑名单机制是指,用户指定的特定流量拒绝放行,做丢弃处理,其它流量则正常放行。白名单机制与黑名单相反,用户指定的流量放行,其它未明确指定的流量则一律做丢弃处理。黑名单与白名单相同之处在于根据一定规则丢弃不需要的报文,达到流量阻断之目的。
步骤S205、对所述放行流量信息进行数据处理。
具体来说,数据处理为依次剥去每层的头部,最终到达用户的裸数据。网络协议栈为TCP/IP协议栈。
通过上述工作原理的说明可以看出,由于流量阻断模块对流量信息进行先行过滤,进而数据筛选的压力无需由网络协议栈分布的多个过滤装置来承担,例如,无需由现有技术中操作系统内核的网络协议栈的五个关键节点分布的五个报文过滤系统多次承担,因此,即使存在大量流量信息需要处理,也由流量阻断模块先行一次处理,减轻了网络协议栈的数据处理压力,提高了系统性能。
在一种可选实施例中,若用户接口模块预先设定的流量阻断规则为白名单规则,则参照图3,步骤S103中的获得放行流量信息进一步为:
步骤S301、校验流量信息是否合法,若是,则判断流量信息是否符合白名单规则,若是,则流量信息为放行流量信息。
校验流量信息是否合法为判断流量信息是否为符合TCP/IP协议的正确报文。
在一种可选实施例中,步骤S301进一步包括:
步骤S3011、校验流量信息是否合法,若是,则提取流量信息的头部信息,获取到流量信息对应的五元组信息。
具体来说,五元组信息为流量信息对应的协议号信息、源IP信息、源端口信息、目的IP信息、目的端口信息。
步骤S3013、匹配流量信息对应的五元组信息与预先设定的白名单规则,若五元组信息命中白名单规则,则流量信息为放行流量信息。
命中为流量信息对应的五元组信息与白名单规则中任意一条规则所对应的五元组信息相同,即白名单规则所对应的五元组信息包括流量信息对应的五元组信息。
步骤S303、若流量信息不符合白名单规则,则流量信息为非法流量信息,将非法流量信息丢弃。
非法流量信息为非用户指定的流量信息。
基于上述实施例,若用户接口模块预先设定的流量阻断规则为黑名单规则,则参照图4,步骤S103中的获得放行流量信息进一步为:
步骤S401、校验流量信息是否合法,若是,则判断流量信息是否符合黑名单规则,若否,则流量信息为放行流量信息;
校验流量信息是否合法为判断流量信息是否为符合TCP/IP协议的正确报文。
在一种可选实施例中,步骤S401进一步包括:
步骤S4011、校验流量信息是否合法,若是,则提取流量信息的头部信息,获取到流量信息对应的五元组信息。
具体来说,五元组信息为流量信息对应的协议号信息、源IP信息、源端口信息、目的IP信息、目的端口信息。
步骤S4013、匹配流量信息对应的五元组信息与预先设定的黑名单规则,若五元组信息未命中黑名单规则,则流量信息为放行流量信息。
五元组信息未命中黑名单规则为流量信息对应的五元组信息与黑名单规则中任意一条规则所对应的五元组信息均不相同。
步骤S403、若流量信息符合黑名单规则,则流量信息为非法流量信息,将非法流量信息丢弃。
命中为流量信息对应的五元组信息与黑名单规则中任意一条规则所对应的五元组信息相同,即黑名单规则所对应的五元组信息包括流量信息对应的五元组信息。
基于上述任一实施例,参照图5,用户进行流量阻断规则配置的规则通过如下步骤得到:
步骤S501、基于用户接口模块对应的配置接口,获取规则配置信息。
用户通过用户接口模块对应的配置接口进行配置,用户接口模块通过配置接口获取规则配置信息。
步骤S503、校验规则配置信息是否合法,若是,则对规则配置信息对应的待处理规则进行数据处理并存储规则。
需要说明的是,进行数据处理并存储规则为用户接口模块将规则配置信息发送给流量阻断模块后,流量阻断模块进行的操作,在具体实施中,也可以为用户接口模块将规则配置信息进行数据处理,即数据格式转换后存储在用户接口模块并发送给流量阻断模块进行存储。
在一种可选实施例中,步骤S503中的存储规则具体包括:
基于字典树存储规则。
具体来说,字典树在计算机科学中,又称为前缀树或者Trie树,是一种有序树,用于保存关联数组,其中的键通常是字符串。与二叉查找树不同,键不是直接保存在节点中,而是由节点在树中的位置决定。一个节点的所有子孙都有相同的前缀,也就是这个节点对应的字符串,而根节点对应空字符串。一般情况下,不是所有的节点都有对应的值,只有叶子节点和部分内部节点所对应的键才有相关的值。
Trie树设计的核心思想是空间换时间,所以trie树本身比较消耗空间。但它利用了字符串的共同前缀(Common Prefix)作为存储依据,以此来节省存储空间,并加速搜索时间。Trie树具有高效的插入、搜索的特点,其查询性能与集合中的字符串的数量无关。适用于需要大量搜索的场景。在实现流量阻断时采用了采用了不同于netfilter的按顺序逐一匹配的,更高效的trie树算法,当存在大量匹配规则时,有效的提升了匹配性能,降低了系统开销。
参照图6,在具体实施中,采用本公开实施例提供的基于流量阻断的数据处理方法的操作系统进行配置规则和数据处理的方法可以包括:
步骤S601、系统启动,加载流量阻断模块,初始化trie树。
步骤S602、基于用户接口模块对应的配置接口,获取规则配置信息。
步骤S603、基于流量阻断模块进行规则配置信息合法性校验,获取校验结果。
其中,步骤S603具体包括:
步骤S6031、若规则配置信息合法则将配置的规则进行一定的数据处理后存入trie树;
步骤S6033、若规则配置信息非法,则返回错误结束本次配置。
步骤S604、基于流量阻断模块,接收来自数据链路层的流量信息。
步骤S605、依据由用户接口模块预先设定的流量阻断规则,获得放行流量信息并发送至网络协议栈内。
在一种可选实施例中,若用户接口模块预先设定的流量阻断规则为白名单规则,步骤S605具体包括:
步骤S60511、校验流量信息是否合法,若是,则判断流量信息是否符合白名单规则,若是,则流量信息为放行流量信息;
步骤S60513、若流量信息不符合白名单规则,则流量信息为非法流量信息,将非法流量信息丢弃.
在另一种可选实施例中,步骤S605具体包括:
步骤S60521、校验流量信息是否合法,若是,则判断流量信息是否符合黑名单规则,若否,则流量信息为放行流量信息;
步骤S60523、若流量信息符合黑名单规则,则流量信息为非法流量信息,将非法流量信息丢弃。
步骤S606、基于网络协议栈,对放行流量信息进行数据处理。
下面对本公开实施例提供的基于流量阻断的数据处理装置进行描述,下文描述的基于流量阻断的数据处理装置与上文描述的基于流量阻断的数据处理方法可相互对应参照。
参照图7,本公开还提供一种基于流量阻断的数据处理装置,包括:设置于操作系统内核的流量阻断模块73和用户接口模块71;所述用户接口模块71用于进行流量阻断规则的配置;所述流量阻断模块73用于接收来自数据链路层的流量信息,并基于所述用户接口模块预先设定的流量阻断规则获得放行流量信息,并将所述放行流量信息发送至网络协议栈75进行数据处理。
具体来说,用户接口模块71用于进行流量阻断规则的配置,用户接口模块命令工作于用户态,用户可根据需要进行流量阻断规则配置,如删除、新增或修改流量阻断规则,用户接口模块基于操作系统内核接口接收来自用户态的用户接口模块命令并转化为合适的数据结构,将规则对应的数据结构保存至流量阻断模块。流量阻断规则可以基于黑名单规则,也可以基于白名单规则。黑名单机制是指,用户指定的特定流量拒绝放行,做丢弃处理,其它流量则正常放行。白名单机制与黑名单相反,用户指定的流量放行,其它未明确指定的流量则一律做丢弃处理。黑名单与白名单相同之处在于根据一定规则丢弃不需要的报文,达到流量阻断之目的。
流量阻断模块73所接收的流量信息为数据包去除数据链路帧头之后的信息,也可以称为报文,需要说明的是,若流量信息为符合TCP/IP协议的正确报文,那么流量信息头部信息中包括流量信息对应的五元组信息,即协议号、源IP、源端口、目的IP、目的端口等信息。数据链路层是OSI参考模型中的第二层,介乎于物理层和网络层之间。数据链路层在物理层提供的服务的基础上向网络层提供服务,其最基本的服务是将源自网络层来的数据可靠地传输到相邻节点的目标机网络层。为达到这一目的,数据链路必须具备一系列相应的功能,主要有:如何将数据组合成数据块,在数据链路层中称这种数据块为帧(frame),帧是数据链路层的传送单位;如何控制帧在物理信道上的传输,包括如何处理传输差错,如何调节发送速率以使与接收方相匹配;以及在两个网络实体之间提供数据链路通路的建立、维持和释放的管理。
流量阻断模块73还用于将所述放行流量信息发送至网络协议栈进行数据处理。网络协议栈为TCP/IP协议栈。
通过上述工作原理的说明可以看出,由于流量阻断模块对流量信息进行先行过滤,进而数据筛选的压力无需由网络协议栈分布的多个过滤装置来承担,例如,无需由现有技术中操作系统内核的网络协议栈的五个关键节点分布的五个报文过滤系统多次承担,因此,即使存在大量流量信息需要处理,也由流量阻断模块先行一次处理,减轻了网络协议栈的数据处理压力,提高了系统性能。。
在一种可选实施例中,若用户接口模块预先设定的流量阻断规则为白名单规则,则流量阻断模块73进一步包括:
校验白名单单元,用于校验流量信息是否合法,若是,则判断流量信息是否符合白名单规则,若是,则流量信息为放行流量信息。
校验流量信息是否合法为判断流量信息是否为符合TCP/IP协议的正确报文。
丢弃单元,用于若流量信息不符合白名单规则,则流量信息为非法流量信息,将非法流量信息丢弃。
非法流量信息为非用户指定的流量信息。
在一种可选实施例中,校验白名单单元进一步包括:
提取子单元,用于校验流量信息是否合法,若是,则提取流量信息的头部信息,获取到流量信息对应的五元组信息。
具体来说,五元组信息为流量信息对应的协议号信息、源IP信息、源端口信息、目的IP信息、目的端口信息。
匹配子单元,用于匹配流量信息对应的五元组信息与预先设定的白名单规则,若五元组信息命中白名单规则,则流量信息为放行流量信息。
命中为流量信息对应的五元组信息与白名单规则中任意一条规则所对应的五元组信息相同,即白名单规则所对应的五元组信息包括流量信息对应的五元组信息。
基于上述实施例,若用户接口模块预先设定的流量阻断规则为黑名单规则,则流量阻断模块73进一步包括:
校验黑名单单元,用于校验流量信息是否合法,若是,则判断流量信息是否符合黑名单规则,若否,则流量信息为放行流量信息;
校验流量信息是否合法为判断流量信息是否为符合TCP/IP协议的正确报文。
丢弃黑名单信息单元,用于若流量信息符合黑名单规则,则流量信息为非法流量信息,将非法流量信息丢弃。
命中为流量信息对应的五元组信息与黑名单规则中任意一条规则所对应的五元组信息相同,即黑名单规则所对应的五元组信息包括流量信息对应的五元组信息。
在一种可选实施例中,校验黑名单单元进一步包括:
提取获取单元,用于校验流量信息是否合法,若是,则提取流量信息的头部信息,获取到流量信息对应的五元组信息。
具体来说,五元组信息为流量信息对应的协议号信息、源IP信息、源端口信息、目的IP信息、目的端口信息。
匹配规则子单元,用于匹配流量信息对应的五元组信息与预先设定的黑名单规则,若五元组信息未命中黑名单规则,则流量信息为放行流量信息。
五元组信息未命中黑名单规则为流量信息对应的五元组信息与黑名单规则中任意一条规则所对应的五元组信息均不相同。
基于上述任一实施例,用户进行流量阻断规则配置的规则通过如下方式得到:
基于用户接口模块对应的配置接口,获取规则配置信息。
具体来说,用户通过用户接口模块对应的配置接口进行配置,用户接口模块通过配置接口获取规则配置信息。
校验规则配置信息是否合法,若是,则对规则配置信息对应的待处理规则进行数据处理并存储规则。
需要说明的是,进行数据处理并存储规则为用户接口模块将规则配置信息发送给流量阻断模块后,流量阻断模块进行的操作,在具体实施中,也可以为用户接口模块将规则配置信息进行数据处理,即数据格式转换后存储在用户接口模块并发送给流量阻断模块进行存储。
图8示例了一种电子设备的实体结构示意图,如图8所示,该电子设备可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行基于流量阻断的数据处理方法。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本公开实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本公开还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的基于流量阻断的数据处理方法。
又一方面,本公开还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的基于流量阻断的数据处理方法。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本公开的技术方案,而非对其限制;尽管参照前述实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本公开各实施例技术方案的精神和范围。
Claims (9)
1.一种基于流量阻断的数据处理方法,应用于操作系统,其特征在于,
所述操作系统的内核配置有流量阻断模块和用户接口模块,所述用户接口模块用于进行流量阻断规则的配置;
所述方法包括:
基于所述流量阻断模块,接收来自数据链路层的流量信息;
依据由所述用户接口模块预先设定的流量阻断规则,获得放行流量信息并发送至所述内核中的网络协议栈;
对所述放行流量信息进行数据处理。
2.根据权利要求1所述的基于流量阻断的数据处理方法,其特征在于,若用户接口模块预先设定的流量阻断规则为白名单规则,则,
所述获得放行流量信息进一步为:
校验所述流量信息是否合法,若是,则判断所述流量信息是否符合所述白名单规则,若是,则所述流量信息为放行流量信息;
若所述流量信息不符合所述白名单规则,则所述流量信息为非法流量信息,将所述非法流量信息丢弃。
3.根据权利要求1所述的基于流量阻断的数据处理方法,其特征在于,若用户接口模块预先设定的流量阻断规则为黑名单规则,则,
所述获得放行流量信息进一步为:
校验所述流量信息是否合法,若是,则判断所述流量信息是否符合所述黑名单规则,若否,则所述流量信息为放行流量信息;
若所述流量信息符合所述黑名单规则,则所述流量信息为非法流量信息,将所述非法流量信息丢弃。
4.根据权利要求2或3任一项所述的基于流量阻断的数据处理方法,其特征在于,所述用户进行流量阻断规则配置的规则通过如下步骤得到:
基于用户接口模块对应的配置接口,获取规则配置信息;
校验所述规则配置信息是否合法,若是,则对所述规则配置信息对应的待处理规则进行数据处理并存储所述规则。
5.根据权利要求4所述的基于流量阻断的数据处理方法,其特征在于,所述存储所述规则具体包括:
基于字典树存储所述规则。
6.一种基于流量阻断数据处理装置,其特征在于,包括:
设置于操作系统内核的流量阻断模块和用户接口模块;
所述用户接口模块用于进行流量阻断规则的配置;
所述流量阻断模块用于接收来自数据链路层的流量信息,并基于所述用户接口模块预先设定的流量阻断规则获得放行流量信息,并将所述放行流量信息发送至网络协议栈进行数据处理。
7.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述基于流量阻断的数据处理方法的步骤。
8.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至5任一项所述基于流量阻断的数据处理方法的步骤。
9.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述基于流量阻断的数据处理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210225624.8A CN114640515A (zh) | 2022-03-09 | 2022-03-09 | 基于流量阻断的数据处理方法、装置及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210225624.8A CN114640515A (zh) | 2022-03-09 | 2022-03-09 | 基于流量阻断的数据处理方法、装置及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114640515A true CN114640515A (zh) | 2022-06-17 |
Family
ID=81948541
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210225624.8A Pending CN114640515A (zh) | 2022-03-09 | 2022-03-09 | 基于流量阻断的数据处理方法、装置及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114640515A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581363A (zh) * | 2013-11-29 | 2014-02-12 | 杜跃进 | 对恶意域名和非法访问的控制方法及装置 |
| CN106209684A (zh) * | 2016-07-14 | 2016-12-07 | 深圳市永达电子信息股份有限公司 | 一种基于时间触发转发检测调度的方法 |
| CN109450893A (zh) * | 2018-11-05 | 2019-03-08 | 南京壹进制信息技术股份有限公司 | 一种基于linux内核的网络防护软件方法和系统 |
| WO2019165883A1 (zh) * | 2018-03-01 | 2019-09-06 | 中兴通讯股份有限公司 | 数据的处理方法及装置 |
| CN110391999A (zh) * | 2018-04-18 | 2019-10-29 | 海能达通信股份有限公司 | 一种数据通信方法及系统 |
| CN111371779A (zh) * | 2020-02-29 | 2020-07-03 | 苏州浪潮智能科技有限公司 | 一种基于dpdk虚拟化管理系统的防火墙及其实现方法 |
| CN111970249A (zh) * | 2020-07-22 | 2020-11-20 | 山西大学 | 一种基于DPDK的Modbus协议实现方法和装置 |
| CN112422453A (zh) * | 2020-12-09 | 2021-02-26 | 新华三信息技术有限公司 | 一种报文处理的方法、装置、介质及设备 |
| CN113194065A (zh) * | 2021-03-17 | 2021-07-30 | 广州根链国际网络研究院有限公司 | Dns攻击防护方法及系统 |
-
2022
- 2022-03-09 CN CN202210225624.8A patent/CN114640515A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581363A (zh) * | 2013-11-29 | 2014-02-12 | 杜跃进 | 对恶意域名和非法访问的控制方法及装置 |
| CN106209684A (zh) * | 2016-07-14 | 2016-12-07 | 深圳市永达电子信息股份有限公司 | 一种基于时间触发转发检测调度的方法 |
| WO2019165883A1 (zh) * | 2018-03-01 | 2019-09-06 | 中兴通讯股份有限公司 | 数据的处理方法及装置 |
| CN110391999A (zh) * | 2018-04-18 | 2019-10-29 | 海能达通信股份有限公司 | 一种数据通信方法及系统 |
| CN109450893A (zh) * | 2018-11-05 | 2019-03-08 | 南京壹进制信息技术股份有限公司 | 一种基于linux内核的网络防护软件方法和系统 |
| CN111371779A (zh) * | 2020-02-29 | 2020-07-03 | 苏州浪潮智能科技有限公司 | 一种基于dpdk虚拟化管理系统的防火墙及其实现方法 |
| CN111970249A (zh) * | 2020-07-22 | 2020-11-20 | 山西大学 | 一种基于DPDK的Modbus协议实现方法和装置 |
| CN112422453A (zh) * | 2020-12-09 | 2021-02-26 | 新华三信息技术有限公司 | 一种报文处理的方法、装置、介质及设备 |
| CN113194065A (zh) * | 2021-03-17 | 2021-07-30 | 广州根链国际网络研究院有限公司 | Dns攻击防护方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7665128B2 (en) | Method and apparatus for reducing firewall rules | |
| US10091248B2 (en) | Context-aware pattern matching accelerator | |
| US9917783B2 (en) | Method, system and non-transitory computer readable medium for profiling network traffic of a network | |
| EP2434689A1 (en) | Method and apparatus for detecting message | |
| CN109274522B (zh) | 一种oam信息的处理方法、装置、设备及存储介质 | |
| CN107465567B (zh) | 一种数据库防火墙的数据转发方法 | |
| CN106416171A (zh) | 一种特征信息分析方法及装置 | |
| US20130294449A1 (en) | Efficient application recognition in network traffic | |
| CN113055127B (zh) | 数据报文去重与传输方法、电子设备及存储介质 | |
| CN102571613A (zh) | 一种转发报文的方法及网络设备 | |
| CN112165460B (zh) | 流量检测方法、装置、计算机设备和存储介质 | |
| CN101741745B (zh) | 识别对等网络应用流量的方法及其系统 | |
| CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
| EP2916516A1 (en) | Packet processing method and apparatus | |
| CN111404768A (zh) | 一种dpi识别的实现方法及设备 | |
| KR101292873B1 (ko) | 네트워크 인터페이스 카드장치 및 상기 네트워크 인터페이스 카드장치를 이용한 트래픽 처리 방법 | |
| US20190124184A1 (en) | Data Processing Method and Apparatus | |
| CN114640515A (zh) | 基于流量阻断的数据处理方法、装置及相关设备 | |
| CN115412512B (zh) | 一种基于IPv6的多云跨网互通方法及装置 | |
| CN111262782B (zh) | 一种报文处理方法、装置及设备 | |
| CN112491745B (zh) | 一种流量去重方法和装置 | |
| JP2007141084A (ja) | パターン照合装置、パターン照合方法、パターン照合プログラム及び記録媒体 | |
| CN111654556B (zh) | Snat设备翻译前后的流量对应关系匹配方法及装置 | |
| CN114301960B (zh) | 集群非对称流量的处理方法及装置、电子设备及存储介质 | |
| TWI828347B (zh) | 使用硬體設備減輕DDoS攻擊的方法及其設備 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |