CN116132187A - 一种数据包过滤方法及系统 - Google Patents
一种数据包过滤方法及系统 Download PDFInfo
- Publication number
- CN116132187A CN116132187A CN202310157948.7A CN202310157948A CN116132187A CN 116132187 A CN116132187 A CN 116132187A CN 202310157948 A CN202310157948 A CN 202310157948A CN 116132187 A CN116132187 A CN 116132187A
- Authority
- CN
- China
- Prior art keywords
- data packet
- processing result
- data
- security
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 63
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000003066 decision tree Methods 0.000 claims abstract description 28
- 230000009471 action Effects 0.000 claims description 18
- 238000013507 mapping Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 abstract description 10
- 230000006872 improvement Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000006798 recombination Effects 0.000 description 2
- 238000005215 recombination Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种数据包过滤方法及系统,属于网络安全技术领域,解决了现有缺少对数据包传输来源和内容的过滤而无法满足高安全性的问题。包括从数据包的包头中提取出五元组信息;将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果;如果第一处理结果是允许通过,则获取数据包中数据信息,根据数据信息中的业务场景,判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果;否则丢弃数据包;如果第二处理结果是允许通过,则判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果;否则丢弃数据包;如果第三处理结果是允许通过,则转发数据包,否则丢弃数据包。实现了数据安全性的提升。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种数据包过滤方法及系统。
背景技术
数据包过滤技术是指将数据包的IP头、传输层协议头,以及应用层数据按顺序与事先设定的访问规则进行一一匹配比较,进行监控和审查,过滤掉任何不符合安全规则的信息,以保护内部网络不受外界的非法访问和攻击。
现有的数据包过滤技术在网关设备中对网络数据包进行分析而生成的会话表项,再基于会话表项动态生成过滤规则,使过滤规则能够动态适应网络的变化,从而有效避免可能存在的网络安全隐患。
但是,现有动态过滤规则生成系统的计算复杂度未知,若处理周期设置不当,会导致网关设备的计算量增加;另外,对网络较为稳定,数据包格式较为单一的场景,会导致网关设备计算资源的浪费、同时降低了数据包传输的即时性。而且,现有对数据包的过滤方法无法管控信息传输来源的真实性和内容的合规性,无法满足涉密信息系统与工控网络高安全性要求。
发明内容
鉴于上述的分析,本发明实施例旨在提供一种数据包过滤方法及系统,用以解决现有缺少对数据包传输来源和内容的过滤而无法满足高安全性的问题。
一方面,本发明实施例提供了一种数据包过滤方法包括以下步骤:
从接收到的数据包的包头中提取出五元组信息;将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果;
如果第一处理结果是允许通过,则获取数据包中数据部分的数据信息,根据数据信息中的业务场景,判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果;否则,丢弃数据包;
如果第二处理结果是允许通过,则判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果;否则,丢弃数据包;如果第三处理结果是允许通过,则转发数据包,否则,丢弃数据包。
基于上述方法的进一步改进,预置规则的二叉决策树,是融合预置的五元组过滤规则和安全域过滤规则,获取安全域代码及其处理动作;从根节点开始依次按照安全域代码、源端口号、目的端口号、协议号4个层级而构建,每层的节点根据处理动作分为允许通过和丢弃两个分支。
基于上述方法的进一步改进,融合预置的五元组过滤规则和安全域过滤规则,获取安全域代码及其处理动作,包括:
基于IP地址与域的对应关系,及域的安全等级,将五元组过滤规则中的源IP地址和目的IP地址映射并合并为两位字符作为安全域代码,其中个位表示目的IP地址映射至目的域的安全等级,十位表示源IP地址映射至源域的安全等级;
根据安全域过滤规则,获取安全域代码对应的处理动作。
基于上述方法的进一步改进,预置规则的二叉决策树的每个叶子节点对应一张哈希表,哈希表的键是根据当前叶子节点及其对应的各层父级节点的数据集合,按照CRC32算法生成的哈希值,哈希表的值是当前叶子节点所在分支的处理动作。
基于上述方法的进一步改进,将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果,包括:
先根据五元组信息中的源IP地址和目的IP地址,得到待匹配的安全域代码;再根据五元组信息的待匹配的安全域代码、源端口号、目的端口号和协议号,依次逐层与二叉决策树中节点的数据集合进行匹配,如果任意一层无法匹配,则第一处理结果是允许通过;否则,找到最后一层匹配的叶子节点,将匹配的叶子节点的哈希表的值作为第一处理结果。
基于上述方法的进一步改进,获取数据包中数据部分的数据信息,包括:
识别数据包中是否存在大文件开始标志,如果存在并且数据包中记录文件大小的字段值大于当前数据包的大小,则创建与字段值相同大小的缓存,根据数据包中的序列号和大文件结束标志,在缓存中按顺序对接收到的多个数据包进行重组,对重组后的数据包去除MAC头、IP头和TCP/UDP头,得到数据部分的数据信息;否则,直接对当前数据包去除MAC头、IP头和TCP/UDP头,得到数据部分的数据信息。
基于上述方法的进一步改进,判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果,包括:将业务场景下的文件类型和密级标识作为待匹配的文件类型和密级标识,从预置配置中获取相同业务场景下允许通过的文件类型集合和密级标识集合,如果待匹配的文件类型和密级标识均分别存在于文件类型集合和密级标识集合中,则第二处理结果是允许通过,否则,第二处理结果是丢弃。
基于上述方法的进一步改进,预置配置中的敏感词被构建成多棵敏感词树,其中,按每个敏感词中字或字符的顺序,以第一个字或字符为根节点,依次将下一个字或字符作为逐层的子节点;第一个字或字符相同的敏感词,具有相同的根节点。
基于上述方法的进一步改进,判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果,包括:
依次取出文件内容中的每个字或字符作为当前字,从所有敏感词树中查找是否有根节点与当前字相同的敏感词树,若有,则将查找出的敏感词树作为待比对敏感词树,从当前字开始依次取出相邻的下一个字或字符,与待比对的敏感词树的节点进行逐层比对,直至叶子节点,仅当全部匹配时,第三处理结果是丢弃;其余情况时第三处理结果是允许通过。
另一方面,本发明实施例提供了一种数据包过滤系统,包括:
五元组信息过滤模块,用于从接收到的数据包的包头中提取出五元组信息;将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果;
业务信息过滤模块,用于如果第一处理结果是允许通过,则获取数据包中数据部分的数据信息,根据数据信息中的业务场景,判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果;否则,丢弃数据包;
敏感信息过滤模块,用于如果第二处理结果是允许通过,则判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果;否则,丢弃数据包;如果第三处理结果是允许通过,则转发数据包,否则,丢弃数据包。
与现有技术相比,本发明至少可实现如下有益效果之一:
1、将数据包传输来源映射到不同的安全域,根据各个安全域的防护等级,结合数据包的五元组信息,确保来源的真实性和数据交换过程中不被冒用或重放;
2、采用了二叉决策树,将规则集分成了多个子集,相应地创建了多个长度较小的哈希表,相比于直接通过五元组信息,并将整个规则集存放于一个哈希表进行查找,该方法大大降低了出现哈希冲突的可能性,同时降低了查找复杂度;
3、对来源真实的数据包进一步识别内容的合规性,并考虑了大文件传输情况下数据包的重组合并,确保网络之间传输的数据包内容符合业务需求,防止恶意信息进入,或者无意的加入不符合业务要求的数据,造成不必要的风险,满足涉密信息系统与工控网络高安全性要求。
本发明中,上述各技术方案之间还可以相互组合,以实现更多的优选组合方案。本发明的其他特征和优点将在随后的说明书中阐述,并且,部分优点可从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过说明书以及附图中所特别指出的内容中来实现和获得。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
图1为本发明实施例1中一种数据包过滤方法流程图;
图2为本发明实施例1中二叉决策树和叶子节点的哈希表的结构示意图;
图3为本发明实施例1中敏感词树示意图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
实施例1
本发明的一个具体实施例,公开了一种数据包过滤方法,如图1所示,包括以下步骤:
S11:从接收到的数据包的包头中提取出五元组信息;将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果。
需要说明的是,预置规则包括五元组过滤规则和安全域过滤规则,其中,五元组过滤规则包括源IP地址、目的IP地址、源端口、目的端口和协议号;安全域过滤规则包括源安全域和目的安全域;并且,每个五元组过滤规则和安全域过滤规则均对应一个允许通过或丢弃的处理动作。
进一步地,不同安全域的安全等级不同,本实施例基于军工工控安全防护体系,将安全域划分为:政用域、军用域、商用域,且对应的安全等级依次下降,各个安全域的安全等级用不同的数字表示。示例性地,政用域为2、军用域为1、商用域为0;安全域过滤规则中配置当数据包的源安全域为2,目的安全域为1时,处理动作为允许通过。
在步骤S11之前,将预置规则加载至内存,并构建成二叉决策树,包括:融合预置的五元组过滤规则和安全域过滤规则,获取安全域代码;从根节点开始依次按照安全域代码、源端口号、目的端口号、协议号4个层级而构建,每层的节点根据处理动作分为允许通过和丢弃两个分支。即:二叉决策树是一棵高度为4,叶子节点数为24=16的二叉树。
进一步地,二叉决策树的每个叶子节点对应一张哈希表,哈希表的键是根据当前叶子节点及其对应的各层父级节点的数据集合,按照CRC32算法生成的哈希值,哈希表的值是当前叶子节点所在分支的处理动作。若出现哈希碰撞问题,则采用链地址法,即用链表存储哈希值重复的元素。二叉决策树和叶子节点的哈希表的结构示意图如图2所示。
需要说明的是,融合预置的五元组过滤规则和安全域过滤规则,获取安全域代码及其处理动作,包括:
基于IP地址与域的对应关系,及域的安全等级,将五元组过滤规则中的源IP地址和目的IP地址映射并合并为两位字符作为安全域代码,其中个位表示目的IP地址映射至目的域的安全等级,十位表示源IP地址映射至源域的安全等级;
根据安全域过滤规则,获取安全域代码对应的处理动作。即,根据安全域代码中的源安全域和目的安全域,在安全域过滤规则中找到对应的处理动作。
通过这种方式同时利用两类规则,既可以根据IP地址,判断数据包的安全域是否符合不同域间的通信规则,又可以减少二叉树的层级,提高匹配效率。
在获取了数据包的五元组信息后,将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果,包括:
先根据五元组信息中的源IP地址和目的IP地址,得到待匹配的安全域代码;再根据五元组信息的待匹配的安全域代码、源端口号、目的端口号和协议号,依次逐层与二叉决策树中节点的数据集合进行匹配,如果任意一层无法匹配,说明预置规则中未对该数据包限制,则第一处理结果是允许通过;否则,找到最后一层匹配的叶子节点,将匹配的叶子节点的哈希表的值作为第一处理结果。
示例性地,在安全域代码层中有2个节点,一个节点的数据集合是允许通过分支的安全域代码,另一个节点的数据集合是丢弃分支的安全域代码,如果待匹配的安全域代码存在于允许通过分支的安全域代码节点中,则继续判断待匹配的源端口号是存在于该节点下允许通过分支的源端口号节点的数据集合中,还是存在于该节点下丢弃分支的源端口号节点的数据集合中,如果都不存在,则无需继续比对,直接设置第一处理结果是允许通过,否则,逐层比对到叶子节点,根据该叶子节点的各层父级节点的数据集合,按照CRC32算法计算出哈希值,将哈希值作为键,从该叶子节点的哈希表中取出值,得到该叶子节点的处理动作。
优选地,本实施例中还包括一个监听线程,用于监听规则处理指令,对两类预置规则进行操作,包括添加、修改、删除和查询。当添加、修改和删除规则时,更新存储的规则集,及内存中规则的二叉决策树。
与现有技术相比,本实施例采用了二叉决策树,将规则集分成了多个子集,相应地创建了多个长度较小的哈希表,相比于直接通过五元组信息,并将整个规则集存放于一个哈希表进行查找,该方法大大降低了出现哈希冲突的可能性,同时降低了查找复杂度。
S12:如果第一处理结果是允许通过,则获取数据包中数据部分的数据信息,根据数据信息中的业务场景,判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果;否则,丢弃数据包。
需要说明的是,本实施例考虑到在传输大文件时,会被拆分成多个数据包,预置了大文件开始标志和大文件结束标志,并在数据包中增加了一个记录文件大小的字段。
获取数据包中数据部分的数据信息,包括:
识别数据包中是否存在大文件开始标志,如果存在并且数据包中记录文件大小的字段值大于当前数据包的大小,则创建与字段值相同大小的缓存,根据数据包中的序列号和大文件结束标志,在缓存中按顺序对接收到的多个数据包进行重组,对重组后的数据包去除MAC头、IP头和TCP/UDP头,得到数据部分的数据信息;否则,直接对当前数据包去除MAC头、IP头和TCP/UDP头,得到数据部分的数据信息。
需要说明的是,数据信息包括业务场景、文件类型、密级标识和文件。判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果,包括:
将业务场景下的文件类型和密级标识作为待匹配的文件类型和密级标识,从预置配置中获取相同业务场景下允许通过的文件类型集合和密级标识集合,如果待匹配的文件类型和密级标识均分别存在于文件类型集合和密级标识集合中,则第二处理结果是允许通过,否则,第二处理结果是丢弃。
S13:如果第二处理结果是允许通过,则判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果;否则,丢弃数据包;如果第三处理结果是允许通过,则转发数据包,否则,丢弃数据包。
需要说明的是,预置配置中的敏感词被构建成多棵敏感词树,其中,按每个敏感词中字或字符的顺序,以第一个字或字符为根节点,依次将下一个字或字符作为逐层的子节点;第一个字或字符相同的敏感词,具有相同的根节点。
示例性地,如果敏感词集合为{“ab”,“acd”,“xyz”},则构建得到如图3所示的2棵敏感词树。
判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果,包括:依次取出文件内容中的每个字或字符作为当前字,从所有敏感词树中查找是否有根节点与当前字相同的敏感词树,若有,则将查找出的敏感词树作为待比对敏感词树,从当前字开始依次取出相邻的下一个字或字符,与待比对的敏感词树的节点进行逐层比对,直至叶子节点,仅当全部匹配时,第三处理结果是丢弃;其余情况时第三处理结果是允许通过。即,只有在文本内容中从某个字或字符开始的连续字或字符与任意一棵敏感词树匹配时,就表示文本内容中包含有敏感词,需要丢弃该数据包。
具体来说,操作步骤如下所示:
S130、设置i=1,N为文件内容所有字和字符的总数量;
S131、取出文件内容中第i个字或字符作为当前字;
S132、从所有敏感词树中查找是否有根节点与当前字相同的敏感词树,若无且i<N,则i=i+1,返回步骤S131,即对当前字的下一个字或字符进行比对;若无且i=N,或者有但i=N,则退出比对,第三处理结果是允许通过;若有且i<N,则将查找出的敏感词树作为待比对敏感词树,执行步骤S133;
S133、从当前字开始依次取出相邻的下一个字或字符,分别与待比对的敏感词树的节点进行逐层比对,直至叶子节点,如果出现不匹配,则i=i+1,返回步骤S131;如果均匹配,则退出比对,第三处理结果是丢弃。
如果第三处理结果是允许通过,则转发数据包,否则,丢弃数据包。优选地,记录每个数据包的各个处理结果,用于传输全过程的审计和数据包的追溯。
与现有技术相比,本实施例提供的一种数据包过滤方法,将数据包传输来源映射到不同的安全域,根据各个安全域的防护等级,结合数据包的五元组信息,确保来源的真实性和数据交换过程中不被冒用或重放;采用了二叉决策树,将规则集分成了多个子集,相应地创建了多个长度较小的哈希表,相比于直接通过五元组信息,并将整个规则集存放于一个哈希表进行查找,该方法大大降低了出现哈希冲突的可能性,同时降低了查找复杂度;对来源真实的数据包进一步识别内容的合规性,并考虑了大文件传输情况下数据包的重组合并,确保网络之间传输的数据包内容符合业务需求,防止恶意信息进入,或者无意的加入不符合业务要求的数据,造成不必要的风险,满足涉密信息系统与工控网络高安全性要求。
实施例2
本发明的另一个实施例,公开了一种数据包过滤系统,从而实现实施例1中的一种数据包过滤方法。各模块的具体实现方式参照实施例1中的相应描述。包括:
五元组信息过滤模块,用于从接收到的数据包的包头中提取出五元组信息;将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果;
业务信息过滤模块,用于如果第一处理结果是允许通过,则获取数据包中数据部分的数据信息,根据数据信息中的业务场景,判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果;否则,丢弃数据包;
敏感信息过滤模块,用于如果第二处理结果是允许通过,则判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果;否则,丢弃数据包;如果第三处理结果是允许通过,则转发数据包,否则,丢弃数据包。
由于本实施例一种数据包过滤系统与前述一种数据包过滤方法相关之处可相互借鉴,此处为重复描述,故这里不再赘述。由于本系统实施例与上述方法实施例原理相同,所以本系统实施例也具有上述方法实施例相应的技术效果。
本领域技术人员可以理解,实现上述实施例方法的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读存储介质中。其中,所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种数据包过滤方法,其特征在于,包括以下步骤:
从接收到的数据包的包头中提取出五元组信息;将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果;
如果第一处理结果是允许通过,则获取数据包中数据部分的数据信息,根据数据信息中的业务场景,判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果;否则,丢弃数据包;
如果第二处理结果是允许通过,则判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果;否则,丢弃数据包;如果第三处理结果是允许通过,则转发数据包,否则,丢弃数据包。
2.根据权利要求1所述的数据包过滤方法,其特征在于,所述预置规则的二叉决策树,是融合预置的五元组过滤规则和安全域过滤规则,获取安全域代码及其处理动作;从根节点开始依次按照安全域代码、源端口号、目的端口号、协议号4个层级而构建,每层的节点根据处理动作分为允许通过和丢弃两个分支。
3.根据权利要求2所述的数据包过滤方法,其特征在于,所述融合预置的五元组过滤规则和安全域过滤规则,获取安全域代码及其处理动作,包括:
基于IP地址与域的对应关系,及域的安全等级,将五元组过滤规则中的源IP地址和目的IP地址映射并合并为两位字符作为安全域代码,其中个位表示目的IP地址映射至目的域的安全等级,十位表示源IP地址映射至源域的安全等级;
根据安全域过滤规则,获取安全域代码对应的处理动作。
4.根据权利要求2所述的数据包过滤方法,其特征在于,所述预置规则的二叉决策树的每个叶子节点对应一张哈希表,哈希表的键是根据当前叶子节点及其对应的各层父级节点的数据集合,按照CRC32算法生成的哈希值,哈希表的值是当前叶子节点所在分支的处理动作。
5.根据权利要求4所述的数据包过滤方法,其特征在于,所述将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果,包括:
先根据五元组信息中的源IP地址和目的IP地址,得到待匹配的安全域代码;再根据五元组信息的待匹配的安全域代码、源端口号、目的端口号和协议号,依次逐层与二叉决策树中节点的数据集合进行匹配,如果任意一层无法匹配,则第一处理结果是允许通过;否则,找到最后一层匹配的叶子节点,将匹配的叶子节点的哈希表的值作为第一处理结果。
6.根据权利要求1所述的数据包过滤方法,其特征在于,所述获取数据包中数据部分的数据信息,包括:
识别数据包中是否存在大文件开始标志,如果存在并且数据包中记录文件大小的字段值大于当前数据包的大小,则创建与字段值相同大小的缓存,根据数据包中的序列号和大文件结束标志,在缓存中按顺序对接收到的多个数据包进行重组,对重组后的数据包去除MAC头、IP头和TCP/UDP头,得到数据部分的数据信息;否则,直接对当前数据包去除MAC头、IP头和TCP/UDP头,得到数据部分的数据信息。
7.根据权利要求1所述的数据包过滤方法,其特征在于,所述判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果,包括:将业务场景下的文件类型和密级标识作为待匹配的文件类型和密级标识,从预置配置中获取相同业务场景下允许通过的文件类型集合和密级标识集合,如果待匹配的文件类型和密级标识均分别存在于文件类型集合和密级标识集合中,则第二处理结果是允许通过,否则,第二处理结果是丢弃。
8.根据权利要求1所述的数据包过滤方法,其特征在于,所述预置配置中的敏感词被构建成多棵敏感词树,其中,按每个敏感词中字或字符的顺序,以第一个字或字符为根节点,依次将下一个字或字符作为逐层的子节点;第一个字或字符相同的敏感词,具有相同的根节点。
9.根据权利要求1所述的数据包过滤方法,其特征在于,所述判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果,包括:
依次取出文件内容中的每个字或字符作为当前字,从所有敏感词树中查找是否有根节点与当前字相同的敏感词树,若有,则将查找出的敏感词树作为待比对敏感词树,从当前字开始依次取出相邻的下一个字或字符,与待比对的敏感词树的节点进行逐层比对,直至叶子节点,仅当全部匹配时,第三处理结果是丢弃;其余情况时第三处理结果是允许通过。
10.一种数据包过滤系统,其特征在于,包括:
五元组信息过滤模块,用于从接收到的数据包的包头中提取出五元组信息;将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果;
业务信息过滤模块,用于如果第一处理结果是允许通过,则获取数据包中数据部分的数据信息,根据数据信息中的业务场景,判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果;否则,丢弃数据包;
敏感信息过滤模块,用于如果第二处理结果是允许通过,则判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果;否则,丢弃数据包;如果第三处理结果是允许通过,则转发数据包,否则,丢弃数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310157948.7A CN116132187B (zh) | 2023-02-23 | 2023-02-23 | 一种数据包过滤方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310157948.7A CN116132187B (zh) | 2023-02-23 | 2023-02-23 | 一种数据包过滤方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116132187A true CN116132187A (zh) | 2023-05-16 |
| CN116132187B CN116132187B (zh) | 2024-05-14 |
Family
ID=86311661
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310157948.7A Active CN116132187B (zh) | 2023-02-23 | 2023-02-23 | 一种数据包过滤方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116132187B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116599780A (zh) * | 2023-07-19 | 2023-08-15 | 国家计算机网络与信息安全管理中心江西分中心 | 一种IPv6网络数据流监测技术的分析与测试方法 |
| CN117041392A (zh) * | 2023-10-07 | 2023-11-10 | 中科方德软件有限公司 | 数据包的处理方法、装置、电子设备和介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AUPS204402A0 (en) * | 2002-04-30 | 2002-06-06 | Intelliguard I.T. Pty Ltd | A firewall system |
| CN1545285A (zh) * | 2003-11-11 | 2004-11-10 | 中兴通讯股份有限公司 | 访问控制列表和安全策略数据库的方法 |
| CN1604564A (zh) * | 2004-10-29 | 2005-04-06 | 江苏南大苏富特软件股份有限公司 | 基于策略树的报文分组过滤及管理方法 |
| CN102299901A (zh) * | 2010-06-25 | 2011-12-28 | 湘潭大学 | 一种基于二叉树检测UDP Flood攻击和防御的方法 |
| US8856203B1 (en) * | 2011-02-08 | 2014-10-07 | Pmc-Sierra Us, Inc. | System and method for algorithmic TCAM packet classification |
| CN105939323A (zh) * | 2015-12-31 | 2016-09-14 | 杭州迪普科技有限公司 | 数据包过滤方法及装置 |
| WO2019183962A1 (zh) * | 2018-03-30 | 2019-10-03 | 北京大学深圳研究生院 | 一种基于等长度和等密度切割的网络数据包分类的方法 |
| US10686826B1 (en) * | 2019-03-28 | 2020-06-16 | Vade Secure Inc. | Optical scanning parameters computation methods, devices and systems for malicious URL detection |
| CN112468370A (zh) * | 2020-11-30 | 2021-03-09 | 北京锐驰信安技术有限公司 | 一种支持自定义规则的高速网络报文监测分析方法及系统 |
| CN113254577A (zh) * | 2021-05-11 | 2021-08-13 | 北京鸿腾智能科技有限公司 | 敏感文件检测方法、装置、设备及存储介质 |
| CN113992423A (zh) * | 2021-11-05 | 2022-01-28 | 枣庄科技职业学院 | 一种安全性高的计算机网络防火墙及其使用方法 |
-
2023
- 2023-02-23 CN CN202310157948.7A patent/CN116132187B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AUPS204402A0 (en) * | 2002-04-30 | 2002-06-06 | Intelliguard I.T. Pty Ltd | A firewall system |
| CN1545285A (zh) * | 2003-11-11 | 2004-11-10 | 中兴通讯股份有限公司 | 访问控制列表和安全策略数据库的方法 |
| CN1604564A (zh) * | 2004-10-29 | 2005-04-06 | 江苏南大苏富特软件股份有限公司 | 基于策略树的报文分组过滤及管理方法 |
| CN102299901A (zh) * | 2010-06-25 | 2011-12-28 | 湘潭大学 | 一种基于二叉树检测UDP Flood攻击和防御的方法 |
| US8856203B1 (en) * | 2011-02-08 | 2014-10-07 | Pmc-Sierra Us, Inc. | System and method for algorithmic TCAM packet classification |
| CN105939323A (zh) * | 2015-12-31 | 2016-09-14 | 杭州迪普科技有限公司 | 数据包过滤方法及装置 |
| WO2019183962A1 (zh) * | 2018-03-30 | 2019-10-03 | 北京大学深圳研究生院 | 一种基于等长度和等密度切割的网络数据包分类的方法 |
| US10686826B1 (en) * | 2019-03-28 | 2020-06-16 | Vade Secure Inc. | Optical scanning parameters computation methods, devices and systems for malicious URL detection |
| CN112468370A (zh) * | 2020-11-30 | 2021-03-09 | 北京锐驰信安技术有限公司 | 一种支持自定义规则的高速网络报文监测分析方法及系统 |
| CN113254577A (zh) * | 2021-05-11 | 2021-08-13 | 北京鸿腾智能科技有限公司 | 敏感文件检测方法、装置、设备及存储介质 |
| CN113992423A (zh) * | 2021-11-05 | 2022-01-28 | 枣庄科技职业学院 | 一种安全性高的计算机网络防火墙及其使用方法 |
Non-Patent Citations (5)
| Title |
|---|
| Y. -Y. ZHANG, X. -X. CHEN AND X. ZHANG: "PCHA: A Fast Packet Classification Algorithm For IPv6 Based On Hash And AVL Tree", 《2020 IEEE 13TH INTERNATIONAL CONFERENCE ON CLOUD COMPUTING (CLOUD)》, 18 November 2020 (2020-11-18) * |
| 张月皎, 郑宇宁, 张彤等: "网络作战空间态势感知中数据采集技术的改进研究", 《中国指挥与控制学会.2019第七届中国指挥控制大会论文集》, 25 July 2019 (2019-07-25) * |
| 徐周波, 陈帅, 常亮等: "利用符号OBDD-LIST设计批处理包过滤防火墙", 《小型微型计算机系统》, vol. 38, no. 5, 15 May 2017 (2017-05-15) * |
| 鲁丽美: "基于降维的IPv6包分类算法的设计与实现", 《中国优秀硕士学位论文全文数据库 (信息科技辑)》, 31 March 2011 (2011-03-31) * |
| 黄盛林, 王恩海, 何燕玲, 等: "基于五元组加载荷特征的在线流量分类方法", 《科研信息化技术与应用》, vol. 6, no. 5, 22 April 2016 (2016-04-22) * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116599780A (zh) * | 2023-07-19 | 2023-08-15 | 国家计算机网络与信息安全管理中心江西分中心 | 一种IPv6网络数据流监测技术的分析与测试方法 |
| CN116599780B (zh) * | 2023-07-19 | 2023-10-27 | 国家计算机网络与信息安全管理中心江西分中心 | 一种IPv6网络数据流监测技术的分析与测试方法 |
| CN117041392A (zh) * | 2023-10-07 | 2023-11-10 | 中科方德软件有限公司 | 数据包的处理方法、装置、电子设备和介质 |
| CN117041392B (zh) * | 2023-10-07 | 2024-06-04 | 中科方德软件有限公司 | 数据包的处理方法、装置、电子设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116132187B (zh) | 2024-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN116132187B (zh) | 一种数据包过滤方法及系统 | |
| US6917946B2 (en) | Method and system for partitioning filter rules for multi-search enforcement | |
| Savage et al. | Network support for IP traceback | |
| Liu et al. | Complete redundancy detection in firewalls | |
| US6718326B2 (en) | Packet classification search device and method | |
| Lee et al. | ICMP traceback with cumulative path, an efficient solution for IP traceback | |
| US20110125749A1 (en) | Method and Apparatus for Storing and Indexing High-Speed Network Traffic Data | |
| US7941390B2 (en) | System for managing multi-field classification rules relating to ingress contexts and egress contexts | |
| US20100076919A1 (en) | Method and apparatus for pattern matching | |
| US20170111389A1 (en) | Method and system for protecting domain name system servers against distributed denial of service attacks | |
| CN114389835A (zh) | 一种IPv6选项显式源地址加密安全验证网关及验证方法 | |
| US20090019220A1 (en) | Method of Filtering High Data Rate Traffic | |
| Li et al. | An improved trie-based name lookup scheme for named data networking | |
| Aldwairi et al. | n‐Grams exclusion and inclusion filter for intrusion detection in Internet of Energy big data systems | |
| Yang | Hybrid single‐packet IP traceback with low storage and high accuracy | |
| EP1161059B1 (en) | Method and device for translating telecommunication network IP addresses by a leaky-controlled memory | |
| KR101081433B1 (ko) | IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체 | |
| CN115190056B (zh) | 一种可编排的流量协议识别与解析方法、装置及设备 | |
| Rana et al. | Automated fast-flux detection using machine learning and genetic algorithms | |
| CN113660165A (zh) | 一种基于tcam的掩码规则匹配方法、电子设备和存储介质 | |
| CN111835727A (zh) | 一种基于cpu+fpga+搜索引擎平台实现网络访问控制的方法 | |
| JP2004280827A (ja) | 不要メッセージおよび受信者側が送信を要求していないメッセージの低減 | |
| Yang | Storage‐efficient 16‐bit hybrid IP traceback with single packet | |
| CN117499267B (zh) | 网络设备的资产测绘方法、设备及存储介质 | |
| CN108270800B (zh) | 一种基于自认证码的报文处理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |