CN116132187B - 一种数据包过滤方法及系统 - Google Patents

一种数据包过滤方法及系统 Download PDF

Info

Publication number
CN116132187B
CN116132187B CN202310157948.7A CN202310157948A CN116132187B CN 116132187 B CN116132187 B CN 116132187B CN 202310157948 A CN202310157948 A CN 202310157948A CN 116132187 B CN116132187 B CN 116132187B
Authority
CN
China
Prior art keywords
data packet
processing result
data
security
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310157948.7A
Other languages
English (en)
Other versions
CN116132187A (zh
Inventor
杨宇杰
张斌
郑宇宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jinghang Computing Communication Research Institute
Original Assignee
Beijing Jinghang Computing Communication Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jinghang Computing Communication Research Institute filed Critical Beijing Jinghang Computing Communication Research Institute
Priority to CN202310157948.7A priority Critical patent/CN116132187B/zh
Publication of CN116132187A publication Critical patent/CN116132187A/zh
Application granted granted Critical
Publication of CN116132187B publication Critical patent/CN116132187B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种数据包过滤方法及系统,属于网络安全技术领域,解决了现有缺少对数据包传输来源和内容的过滤而无法满足高安全性的问题。包括从数据包的包头中提取出五元组信息;将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果;如果第一处理结果是允许通过,则获取数据包中数据信息,根据数据信息中的业务场景,判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果;否则丢弃数据包;如果第二处理结果是允许通过,则判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果;否则丢弃数据包;如果第三处理结果是允许通过,则转发数据包,否则丢弃数据包。实现了数据安全性的提升。

Description

一种数据包过滤方法及系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种数据包过滤方法及系统。
背景技术
数据包过滤技术是指将数据包的IP头、传输层协议头,以及应用层数据按顺序与事先设定的访问规则进行一一匹配比较,进行监控和审查,过滤掉任何不符合安全规则的信息,以保护内部网络不受外界的非法访问和攻击。
现有的数据包过滤技术在网关设备中对网络数据包进行分析而生成的会话表项,再基于会话表项动态生成过滤规则,使过滤规则能够动态适应网络的变化,从而有效避免可能存在的网络安全隐患。
但是,现有动态过滤规则生成系统的计算复杂度未知,若处理周期设置不当,会导致网关设备的计算量增加;另外,对网络较为稳定,数据包格式较为单一的场景,会导致网关设备计算资源的浪费、同时降低了数据包传输的即时性。而且,现有对数据包的过滤方法无法管控信息传输来源的真实性和内容的合规性,无法满足涉密信息系统与工控网络高安全性要求。
发明内容
鉴于上述的分析,本发明实施例旨在提供一种数据包过滤方法及系统,用以解决现有缺少对数据包传输来源和内容的过滤而无法满足高安全性的问题。
一方面,本发明实施例提供了一种数据包过滤方法包括以下步骤:
从接收到的数据包的包头中提取出五元组信息;将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果;
如果第一处理结果是允许通过,则获取数据包中数据部分的数据信息,根据数据信息中的业务场景,判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果;否则,丢弃数据包;
如果第二处理结果是允许通过,则判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果;否则,丢弃数据包;如果第三处理结果是允许通过,则转发数据包,否则,丢弃数据包。
基于上述方法的进一步改进,预置规则的二叉决策树,是融合预置的五元组过滤规则和安全域过滤规则,获取安全域代码及其处理动作;从根节点开始依次按照安全域代码、源端口号、目的端口号、协议号4个层级而构建,每层的节点根据处理动作分为允许通过和丢弃两个分支。
基于上述方法的进一步改进,融合预置的五元组过滤规则和安全域过滤规则,获取安全域代码及其处理动作,包括:
基于IP地址与域的对应关系,及域的安全等级,将五元组过滤规则中的源IP地址和目的IP地址映射并合并为两位字符作为安全域代码,其中个位表示目的IP地址映射至目的域的安全等级,十位表示源IP地址映射至源域的安全等级;
根据安全域过滤规则,获取安全域代码对应的处理动作。
基于上述方法的进一步改进,预置规则的二叉决策树的每个叶子节点对应一张哈希表,哈希表的键是根据当前叶子节点及其对应的各层父级节点的数据集合,按照CRC32算法生成的哈希值,哈希表的值是当前叶子节点所在分支的处理动作。
基于上述方法的进一步改进,将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果,包括:
先根据五元组信息中的源IP地址和目的IP地址,得到待匹配的安全域代码;再根据五元组信息的待匹配的安全域代码、源端口号、目的端口号和协议号,依次逐层与二叉决策树中节点的数据集合进行匹配,如果任意一层无法匹配,则第一处理结果是允许通过;否则,找到最后一层匹配的叶子节点,将匹配的叶子节点的哈希表的值作为第一处理结果。
基于上述方法的进一步改进,获取数据包中数据部分的数据信息,包括:
识别数据包中是否存在大文件开始标志,如果存在并且数据包中记录文件大小的字段值大于当前数据包的大小,则创建与字段值相同大小的缓存,根据数据包中的序列号和大文件结束标志,在缓存中按顺序对接收到的多个数据包进行重组,对重组后的数据包去除MAC头、IP头和TCP/UDP头,得到数据部分的数据信息;否则,直接对当前数据包去除MAC头、IP头和TCP/UDP头,得到数据部分的数据信息。
基于上述方法的进一步改进,判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果,包括:将业务场景下的文件类型和密级标识作为待匹配的文件类型和密级标识,从预置配置中获取相同业务场景下允许通过的文件类型集合和密级标识集合,如果待匹配的文件类型和密级标识均分别存在于文件类型集合和密级标识集合中,则第二处理结果是允许通过,否则,第二处理结果是丢弃。
基于上述方法的进一步改进,预置配置中的敏感词被构建成多棵敏感词树,其中,按每个敏感词中字或字符的顺序,以第一个字或字符为根节点,依次将下一个字或字符作为逐层的子节点;第一个字或字符相同的敏感词,具有相同的根节点。
基于上述方法的进一步改进,判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果,包括:
依次取出文件内容中的每个字或字符作为当前字,从所有敏感词树中查找是否有根节点与当前字相同的敏感词树,若有,则将查找出的敏感词树作为待比对敏感词树,从当前字开始依次取出相邻的下一个字或字符,与待比对的敏感词树的节点进行逐层比对,直至叶子节点,仅当全部匹配时,第三处理结果是丢弃;其余情况时第三处理结果是允许通过。
另一方面,本发明实施例提供了一种数据包过滤系统,包括:
五元组信息过滤模块,用于从接收到的数据包的包头中提取出五元组信息;将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果;
业务信息过滤模块,用于如果第一处理结果是允许通过,则获取数据包中数据部分的数据信息,根据数据信息中的业务场景,判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果;否则,丢弃数据包;
敏感信息过滤模块,用于如果第二处理结果是允许通过,则判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果;否则,丢弃数据包;如果第三处理结果是允许通过,则转发数据包,否则,丢弃数据包。
与现有技术相比,本发明至少可实现如下有益效果之一:
1、将数据包传输来源映射到不同的安全域,根据各个安全域的防护等级,结合数据包的五元组信息,确保来源的真实性和数据交换过程中不被冒用或重放;
2、采用了二叉决策树,将规则集分成了多个子集,相应地创建了多个长度较小的哈希表,相比于直接通过五元组信息,并将整个规则集存放于一个哈希表进行查找,该方法大大降低了出现哈希冲突的可能性,同时降低了查找复杂度;
3、对来源真实的数据包进一步识别内容的合规性,并考虑了大文件传输情况下数据包的重组合并,确保网络之间传输的数据包内容符合业务需求,防止恶意信息进入,或者无意的加入不符合业务要求的数据,造成不必要的风险,满足涉密信息系统与工控网络高安全性要求。
本发明中,上述各技术方案之间还可以相互组合,以实现更多的优选组合方案。本发明的其他特征和优点将在随后的说明书中阐述,并且,部分优点可从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过说明书以及附图中所特别指出的内容中来实现和获得。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
图1为本发明实施例1中一种数据包过滤方法流程图;
图2为本发明实施例1中二叉决策树和叶子节点的哈希表的结构示意图;
图3为本发明实施例1中敏感词树示意图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
实施例1
本发明的一个具体实施例,公开了一种数据包过滤方法,如图1所示,包括以下步骤:
S11:从接收到的数据包的包头中提取出五元组信息;将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果。
需要说明的是,预置规则包括五元组过滤规则和安全域过滤规则,其中,五元组过滤规则包括源IP地址、目的IP地址、源端口、目的端口和协议号;安全域过滤规则包括源安全域和目的安全域;并且,每个五元组过滤规则和安全域过滤规则均对应一个允许通过或丢弃的处理动作。
进一步地,不同安全域的安全等级不同,本实施例基于军工工控安全防护体系,将安全域划分为:政用域、军用域、商用域,且对应的安全等级依次下降,各个安全域的安全等级用不同的数字表示。示例性地,政用域为2、军用域为1、商用域为0;安全域过滤规则中配置当数据包的源安全域为2,目的安全域为1时,处理动作为允许通过。
在步骤S11之前,将预置规则加载至内存,并构建成二叉决策树,包括:融合预置的五元组过滤规则和安全域过滤规则,获取安全域代码;从根节点开始依次按照安全域代码、源端口号、目的端口号、协议号4个层级而构建,每层的节点根据处理动作分为允许通过和丢弃两个分支。即:二叉决策树是一棵高度为4,叶子节点数为24=16的二叉树。
进一步地,二叉决策树的每个叶子节点对应一张哈希表,哈希表的键是根据当前叶子节点及其对应的各层父级节点的数据集合,按照CRC32算法生成的哈希值,哈希表的值是当前叶子节点所在分支的处理动作。若出现哈希碰撞问题,则采用链地址法,即用链表存储哈希值重复的元素。二叉决策树和叶子节点的哈希表的结构示意图如图2所示。
需要说明的是,融合预置的五元组过滤规则和安全域过滤规则,获取安全域代码及其处理动作,包括:
基于IP地址与域的对应关系,及域的安全等级,将五元组过滤规则中的源IP地址和目的IP地址映射并合并为两位字符作为安全域代码,其中个位表示目的IP地址映射至目的域的安全等级,十位表示源IP地址映射至源域的安全等级;
根据安全域过滤规则,获取安全域代码对应的处理动作。即,根据安全域代码中的源安全域和目的安全域,在安全域过滤规则中找到对应的处理动作。
通过这种方式同时利用两类规则,既可以根据IP地址,判断数据包的安全域是否符合不同域间的通信规则,又可以减少二叉树的层级,提高匹配效率。
在获取了数据包的五元组信息后,将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果,包括:
先根据五元组信息中的源IP地址和目的IP地址,得到待匹配的安全域代码;再根据五元组信息的待匹配的安全域代码、源端口号、目的端口号和协议号,依次逐层与二叉决策树中节点的数据集合进行匹配,如果任意一层无法匹配,说明预置规则中未对该数据包限制,则第一处理结果是允许通过;否则,找到最后一层匹配的叶子节点,将匹配的叶子节点的哈希表的值作为第一处理结果。
示例性地,在安全域代码层中有2个节点,一个节点的数据集合是允许通过分支的安全域代码,另一个节点的数据集合是丢弃分支的安全域代码,如果待匹配的安全域代码存在于允许通过分支的安全域代码节点中,则继续判断待匹配的源端口号是存在于该节点下允许通过分支的源端口号节点的数据集合中,还是存在于该节点下丢弃分支的源端口号节点的数据集合中,如果都不存在,则无需继续比对,直接设置第一处理结果是允许通过,否则,逐层比对到叶子节点,根据该叶子节点的各层父级节点的数据集合,按照CRC32算法计算出哈希值,将哈希值作为键,从该叶子节点的哈希表中取出值,得到该叶子节点的处理动作。
优选地,本实施例中还包括一个监听线程,用于监听规则处理指令,对两类预置规则进行操作,包括添加、修改、删除和查询。当添加、修改和删除规则时,更新存储的规则集,及内存中规则的二叉决策树。
与现有技术相比,本实施例采用了二叉决策树,将规则集分成了多个子集,相应地创建了多个长度较小的哈希表,相比于直接通过五元组信息,并将整个规则集存放于一个哈希表进行查找,该方法大大降低了出现哈希冲突的可能性,同时降低了查找复杂度。
S12:如果第一处理结果是允许通过,则获取数据包中数据部分的数据信息,根据数据信息中的业务场景,判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果;否则,丢弃数据包。
需要说明的是,本实施例考虑到在传输大文件时,会被拆分成多个数据包,预置了大文件开始标志和大文件结束标志,并在数据包中增加了一个记录文件大小的字段。
获取数据包中数据部分的数据信息,包括:
识别数据包中是否存在大文件开始标志,如果存在并且数据包中记录文件大小的字段值大于当前数据包的大小,则创建与字段值相同大小的缓存,根据数据包中的序列号和大文件结束标志,在缓存中按顺序对接收到的多个数据包进行重组,对重组后的数据包去除MAC头、IP头和TCP/UDP头,得到数据部分的数据信息;否则,直接对当前数据包去除MAC头、IP头和TCP/UDP头,得到数据部分的数据信息。
需要说明的是,数据信息包括业务场景、文件类型、密级标识和文件。判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果,包括:
将业务场景下的文件类型和密级标识作为待匹配的文件类型和密级标识,从预置配置中获取相同业务场景下允许通过的文件类型集合和密级标识集合,如果待匹配的文件类型和密级标识均分别存在于文件类型集合和密级标识集合中,则第二处理结果是允许通过,否则,第二处理结果是丢弃。
S13:如果第二处理结果是允许通过,则判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果;否则,丢弃数据包;如果第三处理结果是允许通过,则转发数据包,否则,丢弃数据包。
需要说明的是,预置配置中的敏感词被构建成多棵敏感词树,其中,按每个敏感词中字或字符的顺序,以第一个字或字符为根节点,依次将下一个字或字符作为逐层的子节点;第一个字或字符相同的敏感词,具有相同的根节点。
示例性地,如果敏感词集合为{“ab”,“acd”,“xyz”},则构建得到如图3所示的2棵敏感词树。
判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果,包括:依次取出文件内容中的每个字或字符作为当前字,从所有敏感词树中查找是否有根节点与当前字相同的敏感词树,若有,则将查找出的敏感词树作为待比对敏感词树,从当前字开始依次取出相邻的下一个字或字符,与待比对的敏感词树的节点进行逐层比对,直至叶子节点,仅当全部匹配时,第三处理结果是丢弃;其余情况时第三处理结果是允许通过。即,只有在文本内容中从某个字或字符开始的连续字或字符与任意一棵敏感词树匹配时,就表示文本内容中包含有敏感词,需要丢弃该数据包。
具体来说,操作步骤如下所示:
S130、设置i=1,N为文件内容所有字和字符的总数量;
S131、取出文件内容中第i个字或字符作为当前字;
S132、从所有敏感词树中查找是否有根节点与当前字相同的敏感词树,若无且i<N,则i=i+1,返回步骤S131,即对当前字的下一个字或字符进行比对;若无且i=N,或者有但i=N,则退出比对,第三处理结果是允许通过;若有且i<N,则将查找出的敏感词树作为待比对敏感词树,执行步骤S133;
S133、从当前字开始依次取出相邻的下一个字或字符,分别与待比对的敏感词树的节点进行逐层比对,直至叶子节点,如果出现不匹配,则i=i+1,返回步骤S131;如果均匹配,则退出比对,第三处理结果是丢弃。
如果第三处理结果是允许通过,则转发数据包,否则,丢弃数据包。优选地,记录每个数据包的各个处理结果,用于传输全过程的审计和数据包的追溯。
与现有技术相比,本实施例提供的一种数据包过滤方法,将数据包传输来源映射到不同的安全域,根据各个安全域的防护等级,结合数据包的五元组信息,确保来源的真实性和数据交换过程中不被冒用或重放;采用了二叉决策树,将规则集分成了多个子集,相应地创建了多个长度较小的哈希表,相比于直接通过五元组信息,并将整个规则集存放于一个哈希表进行查找,该方法大大降低了出现哈希冲突的可能性,同时降低了查找复杂度;对来源真实的数据包进一步识别内容的合规性,并考虑了大文件传输情况下数据包的重组合并,确保网络之间传输的数据包内容符合业务需求,防止恶意信息进入,或者无意的加入不符合业务要求的数据,造成不必要的风险,满足涉密信息系统与工控网络高安全性要求。
实施例2
本发明的另一个实施例,公开了一种数据包过滤系统,从而实现实施例1中的一种数据包过滤方法。各模块的具体实现方式参照实施例1中的相应描述。包括:
五元组信息过滤模块,用于从接收到的数据包的包头中提取出五元组信息;将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果;
业务信息过滤模块,用于如果第一处理结果是允许通过,则获取数据包中数据部分的数据信息,根据数据信息中的业务场景,判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果;否则,丢弃数据包;
敏感信息过滤模块,用于如果第二处理结果是允许通过,则判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果;否则,丢弃数据包;如果第三处理结果是允许通过,则转发数据包,否则,丢弃数据包。
由于本实施例一种数据包过滤系统与前述一种数据包过滤方法相关之处可相互借鉴,此处为重复描述,故这里不再赘述。由于本系统实施例与上述方法实施例原理相同,所以本系统实施例也具有上述方法实施例相应的技术效果。
本领域技术人员可以理解,实现上述实施例方法的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读存储介质中。其中,所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。

Claims (8)

1.一种数据包过滤方法,其特征在于,包括以下步骤:
从接收到的数据包的包头中提取出五元组信息;将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果;所述预置规则的二叉决策树,是融合预置的五元组过滤规则和安全域过滤规则,获取安全域代码及其处理动作;从根节点开始依次按照安全域代码、源端口号、目的端口号、协议号4个层级而构建,每层的节点根据处理动作分为允许通过和丢弃两个分支;
所述将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果,包括:先根据五元组信息中的源IP地址和目的IP地址,得到待匹配的安全域代码;再根据五元组信息的待匹配的安全域代码、源端口号、目的端口号和协议号,依次逐层与二叉决策树中节点的数据集合进行匹配,如果任意一层无法匹配,则第一处理结果是允许通过;否则,找到最后一层匹配的叶子节点,将匹配的叶子节点的哈希表的值作为第一处理结果;
如果第一处理结果是允许通过,则获取数据包中数据部分的数据信息,根据数据信息中的业务场景,判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果;否则,丢弃数据包;
如果第二处理结果是允许通过,则判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果;否则,丢弃数据包;如果第三处理结果是允许通过,则转发数据包,否则,丢弃数据包。
2.根据权利要求1所述的数据包过滤方法,其特征在于,所述融合预置的五元组过滤规则和安全域过滤规则,获取安全域代码及其处理动作,包括:
基于IP地址与域的对应关系,及域的安全等级,将五元组过滤规则中的源IP地址和目的IP地址映射并合并为两位字符作为安全域代码,其中个位表示目的IP地址映射至目的域的安全等级,十位表示源IP地址映射至源域的安全等级;
根据安全域过滤规则,获取安全域代码对应的处理动作。
3.根据权利要求1所述的数据包过滤方法,其特征在于,所述预置规则的二叉决策树的每个叶子节点对应一张哈希表,哈希表的键是根据当前叶子节点及其对应的各层父级节点的数据集合,按照CRC32算法生成的哈希值,哈希表的值是当前叶子节点所在分支的处理动作。
4.根据权利要求1所述的数据包过滤方法,其特征在于,所述获取数据包中数据部分的数据信息,包括:
识别数据包中是否存在大文件开始标志,如果存在并且数据包中记录文件大小的字段值大于当前数据包的大小,则创建与字段值相同大小的缓存,根据数据包中的序列号和大文件结束标志,在缓存中按顺序对接收到的多个数据包进行重组,对重组后的数据包去除MAC头、IP头和TCP/UDP头,得到数据部分的数据信息;否则,直接对当前数据包去除MAC头、IP头和TCP/UDP头,得到数据部分的数据信息。
5.根据权利要求1所述的数据包过滤方法,其特征在于,所述判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果,包括:将业务场景下的文件类型和密级标识作为待匹配的文件类型和密级标识,从预置配置中获取相同业务场景下允许通过的文件类型集合和密级标识集合,如果待匹配的文件类型和密级标识均分别存在于文件类型集合和密级标识集合中,则第二处理结果是允许通过,否则,第二处理结果是丢弃。
6.根据权利要求1所述的数据包过滤方法,其特征在于,所述预置配置中的敏感词被构建成多棵敏感词树,其中,按每个敏感词中字或字符的顺序,以第一个字或字符为根节点,依次将下一个字或字符作为逐层的子节点;第一个字或字符相同的敏感词,具有相同的根节点。
7.根据权利要求1所述的数据包过滤方法,其特征在于,所述判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果,包括:
依次取出文件内容中的每个字或字符作为当前字,从所有敏感词树中查找是否有根节点与当前字相同的敏感词树,若有,则将查找出的敏感词树作为待比对敏感词树,从当前字开始依次取出相邻的下一个字或字符,与待比对的敏感词树的节点进行逐层比对,直至叶子节点,仅当全部匹配时,第三处理结果是丢弃;其余情况时第三处理结果是允许通过。
8.一种数据包过滤系统,其特征在于,包括:
五元组信息过滤模块,用于从接收到的数据包的包头中提取出五元组信息;将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果;所述预置规则的二叉决策树,是融合预置的五元组过滤规则和安全域过滤规则,获取安全域代码及其处理动作;从根节点开始依次按照安全域代码、源端口号、目的端口号、协议号4个层级而构建,每层的节点根据处理动作分为允许通过和丢弃两个分支;所述将五元组信息与预置规则的二叉决策树进行匹配,得到第一处理结果,包括:先根据五元组信息中的源IP地址和目的IP地址,得到待匹配的安全域代码;再根据五元组信息的待匹配的安全域代码、源端口号、目的端口号和协议号,依次逐层与二叉决策树中节点的数据集合进行匹配,如果任意一层无法匹配,则第一处理结果是允许通过;否则,找到最后一层匹配的叶子节点,将匹配的叶子节点的哈希表的值作为第一处理结果;
业务信息过滤模块,用于如果第一处理结果是允许通过,则获取数据包中数据部分的数据信息,根据数据信息中的业务场景,判断业务场景下的文件类型和密级标识是否存在于预置配置中,得到第二处理结果;
否则,丢弃数据包;
敏感信息过滤模块,用于如果第二处理结果是允许通过,则判断数据信息中的文件内容是否包含预置配置中的敏感词,得到第三处理结果;
否则,丢弃数据包;如果第三处理结果是允许通过,则转发数据包,否则,丢弃数据包。
CN202310157948.7A 2023-02-23 2023-02-23 一种数据包过滤方法及系统 Active CN116132187B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310157948.7A CN116132187B (zh) 2023-02-23 2023-02-23 一种数据包过滤方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310157948.7A CN116132187B (zh) 2023-02-23 2023-02-23 一种数据包过滤方法及系统

Publications (2)

Publication Number Publication Date
CN116132187A CN116132187A (zh) 2023-05-16
CN116132187B true CN116132187B (zh) 2024-05-14

Family

ID=86311661

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310157948.7A Active CN116132187B (zh) 2023-02-23 2023-02-23 一种数据包过滤方法及系统

Country Status (1)

Country Link
CN (1) CN116132187B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116599780B (zh) * 2023-07-19 2023-10-27 国家计算机网络与信息安全管理中心江西分中心 一种IPv6网络数据流监测技术的分析与测试方法
CN117041392B (zh) * 2023-10-07 2024-06-04 中科方德软件有限公司 数据包的处理方法、装置、电子设备和介质
CN117749489B (zh) * 2023-12-20 2024-09-24 北京熠智科技有限公司 一种分布式系统的网络传输隐私保护方法及系统

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1545285A (zh) * 2003-11-11 2004-11-10 中兴通讯股份有限公司 访问控制列表和安全策略数据库的方法
CN1604564A (zh) * 2004-10-29 2005-04-06 江苏南大苏富特软件股份有限公司 基于策略树的报文分组过滤及管理方法
CN102299901A (zh) * 2010-06-25 2011-12-28 湘潭大学 一种基于二叉树检测UDP Flood攻击和防御的方法
US8856203B1 (en) * 2011-02-08 2014-10-07 Pmc-Sierra Us, Inc. System and method for algorithmic TCAM packet classification
CN105939323A (zh) * 2015-12-31 2016-09-14 杭州迪普科技有限公司 数据包过滤方法及装置
WO2019183962A1 (zh) * 2018-03-30 2019-10-03 北京大学深圳研究生院 一种基于等长度和等密度切割的网络数据包分类的方法
US10686826B1 (en) * 2019-03-28 2020-06-16 Vade Secure Inc. Optical scanning parameters computation methods, devices and systems for malicious URL detection
CN112468370A (zh) * 2020-11-30 2021-03-09 北京锐驰信安技术有限公司 一种支持自定义规则的高速网络报文监测分析方法及系统
CN113254577A (zh) * 2021-05-11 2021-08-13 北京鸿腾智能科技有限公司 敏感文件检测方法、装置、设备及存储介质
CN113992423A (zh) * 2021-11-05 2022-01-28 枣庄科技职业学院 一种安全性高的计算机网络防火墙及其使用方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AUPS204402A0 (en) * 2002-04-30 2002-06-06 Intelliguard I.T. Pty Ltd A firewall system

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1545285A (zh) * 2003-11-11 2004-11-10 中兴通讯股份有限公司 访问控制列表和安全策略数据库的方法
CN1604564A (zh) * 2004-10-29 2005-04-06 江苏南大苏富特软件股份有限公司 基于策略树的报文分组过滤及管理方法
CN102299901A (zh) * 2010-06-25 2011-12-28 湘潭大学 一种基于二叉树检测UDP Flood攻击和防御的方法
US8856203B1 (en) * 2011-02-08 2014-10-07 Pmc-Sierra Us, Inc. System and method for algorithmic TCAM packet classification
CN105939323A (zh) * 2015-12-31 2016-09-14 杭州迪普科技有限公司 数据包过滤方法及装置
WO2019183962A1 (zh) * 2018-03-30 2019-10-03 北京大学深圳研究生院 一种基于等长度和等密度切割的网络数据包分类的方法
US10686826B1 (en) * 2019-03-28 2020-06-16 Vade Secure Inc. Optical scanning parameters computation methods, devices and systems for malicious URL detection
CN112468370A (zh) * 2020-11-30 2021-03-09 北京锐驰信安技术有限公司 一种支持自定义规则的高速网络报文监测分析方法及系统
CN113254577A (zh) * 2021-05-11 2021-08-13 北京鸿腾智能科技有限公司 敏感文件检测方法、装置、设备及存储介质
CN113992423A (zh) * 2021-11-05 2022-01-28 枣庄科技职业学院 一种安全性高的计算机网络防火墙及其使用方法

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
PCHA: A Fast Packet Classification Algorithm For IPv6 Based On Hash And AVL Tree;Y. -Y. Zhang, X. -X. Chen and X. Zhang;《2020 IEEE 13th International Conference on Cloud Computing (CLOUD)》;20201118;全文 *
利用符号OBDD-LIST设计批处理包过滤防火墙;徐周波, 陈帅, 常亮等;《小型微型计算机系统》;20170515;第38卷(第5期);全文 *
基于五元组加载荷特征的在线流量分类方法;黄盛林, 王恩海, 何燕玲, 等;《科研信息化技术与应用》;20160422;第6卷(第5期);全文 *
基于降维的IPv6包分类算法的设计与实现;鲁丽美;《中国优秀硕士学位论文全文数据库 (信息科技辑)》;20110331;全文 *
张月皎,郑宇宁,张彤等.网络作战空间态势感知中数据采集技术的改进研究.《中国指挥与控制学会.2019第七届中国指挥控制大会论文集》.2019,全文. *

Also Published As

Publication number Publication date
CN116132187A (zh) 2023-05-16

Similar Documents

Publication Publication Date Title
CN116132187B (zh) 一种数据包过滤方法及系统
US6917946B2 (en) Method and system for partitioning filter rules for multi-search enforcement
Liu et al. Complete redundancy detection in firewalls
Lee et al. ICMP traceback with cumulative path, an efficient solution for IP traceback
US20090262659A1 (en) Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing
US20100076919A1 (en) Method and apparatus for pattern matching
WO2011060368A1 (en) Method and apparatus for storing and indexing high-speed network traffic data
US20170111389A1 (en) Method and system for protecting domain name system servers against distributed denial of service attacks
US20120177051A1 (en) Data forwarding method, data processing method, system and relevant devices
US7412431B2 (en) Method for managing multi-field classification rules relating to ingress
Li et al. An improved trie-based name lookup scheme for named data networking
US20090019220A1 (en) Method of Filtering High Data Rate Traffic
Aldwairi et al. n‐Grams exclusion and inclusion filter for intrusion detection in Internet of Energy big data systems
Yang Hybrid single‐packet IP traceback with low storage and high accuracy
EP1161059B1 (en) Method and device for translating telecommunication network IP addresses by a leaky-controlled memory
KR101081433B1 (ko) IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체
CN115190056B (zh) 一种可编排的流量协议识别与解析方法、装置及设备
Rana et al. Automated fast-flux detection using machine learning and genetic algorithms
CN111835727A (zh) 一种基于cpu+fpga+搜索引擎平台实现网络访问控制的方法
JP2004280827A (ja) 不要メッセージおよび受信者側が送信を要求していないメッセージの低減
Pilli et al. An IP traceback model for network forensics
Yang Storage‐efficient 16‐bit hybrid IP traceback with single packet
Parashar et al. Improved deterministic packet marking algorithm
CN117499267B (zh) 网络设备的资产测绘方法、设备及存储介质
CN118827090A (zh) 一种数据溯源方法、装置、电子设备和可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant