一種基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法
【專利摘要】本發(fā)明公開了一種基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法�,通過過濾技術(shù)的裝置對網(wǎng)絡(luò)的數(shù)據(jù)流入以及流出進(jìn)行控制,通過通用網(wǎng)絡(luò)傳輸協(xié)議的規(guī)則��,對網(wǎng)絡(luò)傳輸過程中數(shù)據(jù)流的所有包進(jìn)行檢查��,通過有效的規(guī)則匹配�����,來對數(shù)據(jù)包進(jìn)行有效的過濾��;本發(fā)明對于方法進(jìn)行了模塊化的劃分��,主要由數(shù)據(jù)包處理模塊����、驅(qū)動(dòng)通信模塊、自定義過濾規(guī)則模塊�����、記錄與報(bào)警模塊四部分組成;該數(shù)據(jù)包過濾方法通過對所有流入和流出包的過濾和檢測�,做到實(shí)時(shí)的監(jiān)控網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的傳遞安全。
【專利說明】一種基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)傳輸過程中的安全防護(hù)領(lǐng)域�,以及包過濾技術(shù)的應(yīng)用,具體涉及一種基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法�。
【背景技術(shù)】
[0002]本方明以下面幾個(gè)技術(shù)點(diǎn)為背景:
包過濾技術(shù):它的原理是在于利用路由器進(jìn)行監(jiān)視和過濾網(wǎng)絡(luò)傳輸過程中數(shù)據(jù)包的流入和流出,并且拒絕發(fā)送可疑的數(shù)據(jù)包�����,由于網(wǎng)絡(luò)與網(wǎng)絡(luò)在連接中最多的使用的是路由器�����,所以路由器是內(nèi)外網(wǎng)絡(luò)通信的一個(gè)必經(jīng)端口��,作為該數(shù)據(jù)包的過濾方法��,主要的針對位置是在路由器上進(jìn)行作相應(yīng)的設(shè)置�。
[0003]數(shù)據(jù)包是TCP/IP協(xié)議通信運(yùn)輸中的數(shù)據(jù)單位����,對于數(shù)據(jù)包的結(jié)構(gòu)��,主要有如下幾個(gè):版本�、頭長����、服務(wù)類型、包裹總長等�����,但是針對內(nèi)容的話����,主要由目標(biāo)IP地址、源IP地址�����、凈載數(shù)據(jù)等幾個(gè)部分組成����。數(shù)據(jù)包的結(jié)構(gòu)與我們平常寫信非常類似,目的IP地址是說明這個(gè)數(shù)據(jù)包是要發(fā)給誰的�,相當(dāng)于收信人地址;源IP地址是說明這個(gè)數(shù)據(jù)包是發(fā)自哪里的�����,相當(dāng)于發(fā)信人地址;而凈載數(shù)據(jù)相當(dāng)于信件的內(nèi)容�。正是因?yàn)閿?shù)據(jù)包具有這樣的結(jié)構(gòu),安裝了 TCP/IP協(xié)議的計(jì)算機(jī)之間才能相互通信����。我們在使用基于TCP/IP協(xié)議的網(wǎng)絡(luò)時(shí),網(wǎng)絡(luò)中其實(shí)傳遞的就是數(shù)據(jù)包���。理解數(shù)據(jù)包��,對于網(wǎng)絡(luò)管理的網(wǎng)絡(luò)安全具有至關(guān)重要的意義�。
[0004]TCP/IP協(xié)議是Internet最基本的協(xié)議之一�����,也是Internet國際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)�����,由網(wǎng)絡(luò)層的IP協(xié)議和傳輸層的TCP協(xié)議組成�����。TCP/IP定義了電子設(shè)備如何連入因特網(wǎng)���,以及數(shù)據(jù)如何在它們之間傳輸?shù)臉?biāo)準(zhǔn)���。協(xié)議采用了 4層的層級結(jié)構(gòu),每一層都呼叫它的下一層所提供的協(xié)議來完成自己的需求�����。簡單的說=TCP負(fù)責(zé)發(fā)現(xiàn)傳輸?shù)膯栴}����,如果出現(xiàn)有問題就發(fā)出信號(hào),要求重新傳輸�����,直到所有數(shù)據(jù)安全正確地傳輸?shù)侥康牡?��。而IP是給因特網(wǎng)的每一臺(tái)電腦規(guī)定一個(gè)地址�。
[0005]隨著網(wǎng)絡(luò)的不斷發(fā)展��,在日常生活和工作中對于網(wǎng)絡(luò)的依賴程度也越來越高���,面對網(wǎng)站攻擊��、病毒入侵以及個(gè)人信息泄露等安全問題�����,從網(wǎng)絡(luò)傳輸層面上�����,對于數(shù)據(jù)包的過濾是網(wǎng)絡(luò)安全防范的關(guān)鍵模塊����;針對如何解決網(wǎng)絡(luò)傳輸過程中數(shù)據(jù)流中包的魚龍混雜,如何將可信和自己需要的包進(jìn)行過濾��,對不需要或者是不可信的包進(jìn)行拒絕發(fā)送的問題����,本發(fā)明完成了基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾的解決方案。
【發(fā)明內(nèi)容】
[0006]針對現(xiàn)有技術(shù)存在的不足之處��,本發(fā)明提供了一種基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法����。
[0007]本發(fā)明提供了一種基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法�,其解決所述技術(shù)問題采用的技術(shù)方案如下:該輸數(shù)據(jù)包過濾方法����,通過過濾技術(shù)的裝置對網(wǎng)絡(luò)的數(shù)據(jù)流入以及流出進(jìn)行控制���,通過通用網(wǎng)絡(luò)傳輸協(xié)議的規(guī)則��,對網(wǎng)絡(luò)傳輸過程中數(shù)據(jù)流的所有包進(jìn)行檢查���,通過有效的規(guī)則匹配,來對數(shù)據(jù)包進(jìn)行有效的過濾���;本發(fā)明對于方法進(jìn)行了模塊化的劃分�,有助于對于功能的拆分和補(bǔ)充�����,該數(shù)據(jù)包過濾方法主要由數(shù)據(jù)包處理模塊�����、驅(qū)動(dòng)通信模塊、自定義過濾規(guī)則模塊����、記錄與報(bào)警模塊四部分組成;其中:
所述數(shù)據(jù)包處理模塊是該方法的數(shù)據(jù)流處理模塊�,作為該方法的核心模塊,負(fù)責(zé)數(shù)據(jù)包的過濾匹配以及數(shù)據(jù)包的截獲�;
所述驅(qū)動(dòng)通信模塊是該方法的驅(qū)動(dòng)程序和應(yīng)用程序通信模塊,負(fù)責(zé)通知應(yīng)用程序?qū)?shù)據(jù)包進(jìn)行判斷����,是否接受或者是放棄數(shù)據(jù)包;
所述自定義過濾規(guī)則模塊是該方法過濾規(guī)則設(shè)定模塊�����,負(fù)責(zé)根據(jù)各種網(wǎng)絡(luò)環(huán)境�,對規(guī)律規(guī)則的自定義改變和設(shè)定,來解決不同的過濾模式����;
所述記錄與報(bào)警模塊是該方法的輸出和顯示記錄模塊,負(fù)責(zé)對包過濾過程中的處理日志以及各種報(bào)警設(shè)置進(jìn)行統(tǒng)一的管理�����,提供了日志信息的管理和存儲(chǔ)的方法。
[0008]此外���,該數(shù)據(jù)包過濾方法通過對所有流入和流出包的過濾和檢測�����,做到實(shí)時(shí)的監(jiān)控網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的傳遞安全�����;通過記錄與報(bào)警模塊可以有效的對過濾過程中出現(xiàn)的問題進(jìn)行可視化分析,幫助更好的監(jiān)控網(wǎng)絡(luò)的安全���;通過自定義過濾規(guī)則模塊的設(shè)定���,可以做到根據(jù)不同的網(wǎng)絡(luò)和環(huán)境,實(shí)時(shí)而高效的進(jìn)行定制專屬的過濾方案�,來解決網(wǎng)絡(luò)傳輸問題。
[0009]本發(fā)明公開的基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法的有益效果是:
通過基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法�����,解決了網(wǎng)絡(luò)傳輸過程中對數(shù)據(jù)包的實(shí)時(shí)監(jiān)控和過濾的功能���,在設(shè)計(jì)過程中創(chuàng)新的定義了自定義過濾規(guī)則模塊以及記錄與報(bào)警模塊����,用來根據(jù)復(fù)雜而多變的網(wǎng)絡(luò)環(huán)境進(jìn)行有效的自定義的應(yīng)對方案,提高了網(wǎng)絡(luò)傳輸?shù)陌踩院挽`活性�;除此之外,對數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中過濾方法對傳輸效率的影響做了一些優(yōu)化���,對于網(wǎng)絡(luò)傳輸中抓包和分析包都有一些優(yōu)化��,對于互聯(lián)網(wǎng)的web數(shù)據(jù)傳輸和處理方面����,具有非常廣闊的發(fā)展前景�����。
【專利附圖】
【附圖說明】
[0010]附圖1為數(shù)據(jù)包內(nèi)部結(jié)構(gòu)圖�;
附圖2為本方明過濾方法工作流程圖。
【具體實(shí)施方式】
[0011]下面通過附圖�����,對本發(fā)明所述一種基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法做進(jìn)一步詳細(xì)說明���,并不造成對本發(fā)明的限制��。
[0012]本方明針對網(wǎng)絡(luò)傳輸過程中�����,對于一些被限制的或者是非要求的包進(jìn)行一定的過濾���,使其不能順利通過端口��,是一種有效的保護(hù)數(shù)據(jù)傳輸安全的方式����,并且對網(wǎng)絡(luò)傳輸過程中的安全問題進(jìn)行一個(gè)有效的解決方案��。通過基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法主要解決如下幾個(gè)問題�����,第一�、網(wǎng)絡(luò)傳輸過程中��,對于一些被限制的或者是非要求的包進(jìn)行一定的過濾����,使其不能順利通過端口���,找到一種有效的保護(hù)數(shù)據(jù)傳輸安全的方式;第二���、由于網(wǎng)絡(luò)的日新月異的變化�,對于過濾的方式和規(guī)則也會(huì)隨時(shí)進(jìn)行相應(yīng)的改變�����,如何能夠快速的根據(jù)自己的需要進(jìn)行有效的改變��,也是過濾方法整體解決方案的重要模塊�;第三、對于未知的或者是已知的處理問題的日志或者是記錄����,如何進(jìn)行有效的管理和存儲(chǔ),并且可以從中挖掘出比較有價(jià)值的關(guān)鍵問題�����,分析出目前網(wǎng)絡(luò)環(huán)境的變化���,也是本發(fā)明解決的問題之一����; 此外,對于基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法����,在對包處理過程中,驅(qū)動(dòng)和應(yīng)用程序的通信是比較重要的一塊��,對于數(shù)據(jù)包的獲取和過濾攔截�����,如何能做到在保證性能和攔截效率的同時(shí)不影響到正常的數(shù)據(jù)通信��,也是解決的問題����。
[0013]為了實(shí)現(xiàn)上述目的��,本方明的基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法��,通過過濾技術(shù)的裝置對網(wǎng)絡(luò)的數(shù)據(jù)流入以及流出進(jìn)行控制��,通過通用網(wǎng)絡(luò)傳輸協(xié)議的規(guī)則,對網(wǎng)絡(luò)傳輸過程中數(shù)據(jù)流的所有包進(jìn)行檢查��,對于數(shù)據(jù)包檢查的部分只涉及到數(shù)據(jù)包的源地址�、目標(biāo)地址以及TCP/IP端口號(hào)等,通過有效的規(guī)則匹配����,來對數(shù)據(jù)包進(jìn)行有效的過濾;本發(fā)明對于方法進(jìn)行了模塊化的劃分�����,有助于對于功能的拆分和補(bǔ)充��,該數(shù)據(jù)包過濾方法主要有數(shù)據(jù)包處理模塊���、驅(qū)動(dòng)通信模塊�、自定義過濾規(guī)則模塊�����、記錄與報(bào)警模塊四部分組成;其中:
所述數(shù)據(jù)包處理模塊是該方法的數(shù)據(jù)流處理模塊����,作為該方法的核心模塊�,負(fù)責(zé)數(shù)據(jù)包的過濾匹配以及數(shù)據(jù)包的截獲��;
所述驅(qū)動(dòng)通信模塊是該方法的驅(qū)動(dòng)程序和應(yīng)用程序通信模塊��,負(fù)責(zé)通知應(yīng)用程序?qū)?shù)據(jù)包進(jìn)行判斷�����,是否接受或者是放棄數(shù)據(jù)包��;
所述自定義過濾規(guī)則模塊是該方法過濾規(guī)則設(shè)定模塊��,負(fù)責(zé)根據(jù)各種網(wǎng)絡(luò)環(huán)境�,對規(guī)律規(guī)則的自定義改變和設(shè)定,來解決不同的過濾模式�;
所述記錄與報(bào)警模塊是該方法的輸出和顯示記錄模塊,負(fù)責(zé)對包過濾過程中的處理日志以及各種報(bào)警設(shè)置進(jìn)行統(tǒng)一的管理���,提供了日志信息的管理和存儲(chǔ)的方法�。
[0014]此外�����,該數(shù)據(jù)包過濾方法通過對所有流入和流出包的過濾和檢測��,做到實(shí)時(shí)的監(jiān)控網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的傳遞安全���;通過記錄與報(bào)警模塊可以有效的對過濾過程中出現(xiàn)的問題進(jìn)行可視化分析�����,幫助更好的監(jiān)控網(wǎng)絡(luò)的安全����;通過自定義過濾規(guī)則模塊的設(shè)定���,可以做到根據(jù)不同的網(wǎng)絡(luò)和環(huán)境����,實(shí)時(shí)而高效的進(jìn)行定制專屬的過濾方案��,來解決網(wǎng)絡(luò)傳輸問題�����。
[0015]如附圖2所示���,本方明的基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法的具體實(shí)施步驟如下:
步驟一��、首先抓取數(shù)據(jù)包����,對內(nèi)外網(wǎng)數(shù)據(jù)包進(jìn)行逐個(gè)過濾和檢查,需要通過數(shù)據(jù)包處理模塊來進(jìn)行實(shí)現(xiàn)����,拿到數(shù)據(jù)包進(jìn)行處理;
步驟二�、數(shù)據(jù)包處理模塊拿到數(shù)據(jù)包之后,調(diào)用自定義過濾規(guī)則模塊來進(jìn)行過濾規(guī)則的匹配檢查���,并進(jìn)行數(shù)據(jù)包的過濾和解析�����;
步驟三�����、調(diào)用驅(qū)動(dòng)通信模塊通知應(yīng)用程序?qū)?shù)據(jù)包進(jìn)行判斷��,來反饋這個(gè)數(shù)據(jù)包是否接受或者是放棄��;
步驟四���、當(dāng)數(shù)據(jù)包通過時(shí)(所有流程走過之后),需要對整個(gè)的過濾過程進(jìn)行一個(gè)日志記錄���,如果出現(xiàn)問題需要進(jìn)行報(bào)警�,這些由記錄與報(bào)警模塊完成����;否則,若數(shù)據(jù)包沒有通過�,則返回步驟二進(jìn)行執(zhí)行。
[0016]凡在本發(fā)明的精神和原則之內(nèi)��,所作的任何修改��、等同替換���、改進(jìn)等��,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。
【權(quán)利要求】
1.一種基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法�����,其特征在于�,該輸數(shù)據(jù)包過濾方法,通過過濾技術(shù)的裝置對網(wǎng)絡(luò)的數(shù)據(jù)流入以及流出進(jìn)行控制�,通過通用網(wǎng)絡(luò)傳輸協(xié)議的規(guī)則,對網(wǎng)絡(luò)傳輸過程中數(shù)據(jù)流的所有包進(jìn)行檢查�����,通過有效的規(guī)則匹配����,來對數(shù)據(jù)包進(jìn)行有效的過濾;該輸數(shù)據(jù)包過濾方法進(jìn)行了模塊化的劃分�,主要由數(shù)據(jù)包處理模塊、驅(qū)動(dòng)通信模塊�����、自定義過濾規(guī)則模塊�、記錄與報(bào)警模塊四部分組成;其中: 所述數(shù)據(jù)包處理模塊是該方法的數(shù)據(jù)流處理模塊�,作為該方法的核心模塊,負(fù)責(zé)數(shù)據(jù)包的過濾匹配以及數(shù)據(jù)包的截獲��; 所述驅(qū)動(dòng)通信模塊是該方法的驅(qū)動(dòng)程序和應(yīng)用程序通信模塊,負(fù)責(zé)通知應(yīng)用程序?qū)?shù)據(jù)包進(jìn)行判斷����,是否接受或者是放棄數(shù)據(jù)包; 所述自定義過濾規(guī)則模塊是該方法過濾規(guī)則設(shè)定模塊���,負(fù)責(zé)根據(jù)各種網(wǎng)絡(luò)環(huán)境,對規(guī)律規(guī)則的自定義改變和設(shè)定�����,來解決不同的過濾模式��; 所述記錄與報(bào)警模塊是該方法的輸出和顯示記錄模塊�,負(fù)責(zé)對包過濾過程中的處理日志以及各種報(bào)警設(shè)置進(jìn)行統(tǒng)一的管理,提供了日志信息的管理和存儲(chǔ)的方法����。
2.根據(jù)權(quán)利要求1所述的基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法,其特征在于��,該數(shù)據(jù)包過濾方法對所有流入和流出包進(jìn)行過濾和檢測�,對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包做到實(shí)時(shí)的監(jiān)控。
3.根據(jù)權(quán)利要求1所述的基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法����,其特征在于���,通過所述記錄與報(bào)警模塊能夠有效的對過濾過程中出現(xiàn)的問題進(jìn)行可視化分析。
4.根據(jù)權(quán)利要求1所述的基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法��,其特征在于�����,通過所述自定義過濾規(guī)則模塊的設(shè)定�����,能夠根據(jù)不同的網(wǎng)絡(luò)和環(huán)境��,實(shí)時(shí)而高效的進(jìn)行定制專屬的過濾方案��。
5.根據(jù)權(quán)利要求1所述的基于通用協(xié)議模塊化網(wǎng)絡(luò)傳輸數(shù)據(jù)包過濾方法����,其特征在于,該數(shù)據(jù)包過濾方法的具體實(shí)施步驟如下: 步驟一����、通過數(shù)據(jù)包處理模塊對內(nèi)外網(wǎng)數(shù)據(jù)包進(jìn)行逐個(gè)過濾和檢查����,并且拿到數(shù)據(jù)包進(jìn)行處理����; 步驟二、數(shù)據(jù)包處理模塊拿到數(shù)據(jù)包之后��,調(diào)用自定義過濾規(guī)則模塊來進(jìn)行過濾規(guī)則的匹配檢查����,并進(jìn)行數(shù)據(jù)包的過濾和解析��; 步驟三���、調(diào)用驅(qū)動(dòng)通信模塊通知應(yīng)用程序?qū)?shù)據(jù)包進(jìn)行判斷����,來反饋這個(gè)數(shù)據(jù)包是否接受或者是放棄���; 步驟四���、若當(dāng)數(shù)據(jù)包通過���,則通過記錄與報(bào)警模塊對整個(gè)的過濾過程進(jìn)行一個(gè)日志記錄,出現(xiàn)問題時(shí)進(jìn)行報(bào)警���;否則���,若數(shù)據(jù)包沒有通過,則返回步驟二進(jìn)行執(zhí)行���。
【文檔編號(hào)】H04L12/26GK103986707SQ201410204911
【公開日】2014年8月13日 申請日期:2014年5月15日 優(yōu)先權(quán)日:2014年5月15日
【發(fā)明者】邢偉 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司