一种基于通用协议模块化网络传输数据包过滤方法
【专利摘要】本发明公开了一种基于通用协议模块化网络传输数据包过滤方法,通过过滤技术的装置对网络的数据流入以及流出进行控制,通过通用网络传输协议的规则,对网络传输过程中数据流的所有包进行检查,通过有效的规则匹配,来对数据包进行有效的过滤;本发明对于方法进行了模块化的划分,主要由数据包处理模块、驱动通信模块、自定义过滤规则模块、记录与报警模块四部分组成;该数据包过滤方法通过对所有流入和流出包的过滤和检测,做到实时的监控网络传输的数据包的传递安全。
【专利说明】一种基于通用协议模块化网络传输数据包过滤方法
【技术领域】
[0001]本发明涉及网络传输过程中的安全防护领域,以及包过滤技术的应用,具体涉及一种基于通用协议模块化网络传输数据包过滤方法。
【背景技术】
[0002]本方明以下面几个技术点为背景:
包过滤技术:它的原理是在于利用路由器进行监视和过滤网络传输过程中数据包的流入和流出,并且拒绝发送可疑的数据包,由于网络与网络在连接中最多的使用的是路由器,所以路由器是内外网络通信的一个必经端口,作为该数据包的过滤方法,主要的针对位置是在路由器上进行作相应的设置。
[0003]数据包是TCP/IP协议通信运输中的数据单位,对于数据包的结构,主要有如下几个:版本、头长、服务类型、包裹总长等,但是针对内容的话,主要由目标IP地址、源IP地址、净载数据等几个部分组成。数据包的结构与我们平常写信非常类似,目的IP地址是说明这个数据包是要发给谁的,相当于收信人地址;源IP地址是说明这个数据包是发自哪里的,相当于发信人地址;而净载数据相当于信件的内容。正是因为数据包具有这样的结构,安装了 TCP/IP协议的计算机之间才能相互通信。我们在使用基于TCP/IP协议的网络时,网络中其实传递的就是数据包。理解数据包,对于网络管理的网络安全具有至关重要的意义。
[0004]TCP/IP协议是Internet最基本的协议之一,也是Internet国际互联网络的基础,由网络层的IP协议和传输层的TCP协议组成。TCP/IP定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。协议采用了 4层的层级结构,每一层都呼叫它的下一层所提供的协议来完成自己的需求。简单的说=TCP负责发现传输的问题,如果出现有问题就发出信号,要求重新传输,直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台电脑规定一个地址。
[0005]随着网络的不断发展,在日常生活和工作中对于网络的依赖程度也越来越高,面对网站攻击、病毒入侵以及个人信息泄露等安全问题,从网络传输层面上,对于数据包的过滤是网络安全防范的关键模块;针对如何解决网络传输过程中数据流中包的鱼龙混杂,如何将可信和自己需要的包进行过滤,对不需要或者是不可信的包进行拒绝发送的问题,本发明完成了基于通用协议模块化网络传输数据包过滤的解决方案。
【发明内容】
[0006]针对现有技术存在的不足之处,本发明提供了一种基于通用协议模块化网络传输数据包过滤方法。
[0007]本发明提供了一种基于通用协议模块化网络传输数据包过滤方法,其解决所述技术问题采用的技术方案如下:该输数据包过滤方法,通过过滤技术的装置对网络的数据流入以及流出进行控制,通过通用网络传输协议的规则,对网络传输过程中数据流的所有包进行检查,通过有效的规则匹配,来对数据包进行有效的过滤;本发明对于方法进行了模块化的划分,有助于对于功能的拆分和补充,该数据包过滤方法主要由数据包处理模块、驱动通信模块、自定义过滤规则模块、记录与报警模块四部分组成;其中:
所述数据包处理模块是该方法的数据流处理模块,作为该方法的核心模块,负责数据包的过滤匹配以及数据包的截获;
所述驱动通信模块是该方法的驱动程序和应用程序通信模块,负责通知应用程序对数据包进行判断,是否接受或者是放弃数据包;
所述自定义过滤规则模块是该方法过滤规则设定模块,负责根据各种网络环境,对规律规则的自定义改变和设定,来解决不同的过滤模式;
所述记录与报警模块是该方法的输出和显示记录模块,负责对包过滤过程中的处理日志以及各种报警设置进行统一的管理,提供了日志信息的管理和存储的方法。
[0008]此外,该数据包过滤方法通过对所有流入和流出包的过滤和检测,做到实时的监控网络传输的数据包的传递安全;通过记录与报警模块可以有效的对过滤过程中出现的问题进行可视化分析,帮助更好的监控网络的安全;通过自定义过滤规则模块的设定,可以做到根据不同的网络和环境,实时而高效的进行定制专属的过滤方案,来解决网络传输问题。
[0009]本发明公开的基于通用协议模块化网络传输数据包过滤方法的有益效果是:
通过基于通用协议模块化网络传输数据包过滤方法,解决了网络传输过程中对数据包的实时监控和过滤的功能,在设计过程中创新的定义了自定义过滤规则模块以及记录与报警模块,用来根据复杂而多变的网络环境进行有效的自定义的应对方案,提高了网络传输的安全性和灵活性;除此之外,对数据在网络传输过程中过滤方法对传输效率的影响做了一些优化,对于网络传输中抓包和分析包都有一些优化,对于互联网的web数据传输和处理方面,具有非常广阔的发展前景。
【专利附图】
【附图说明】
[0010]附图1为数据包内部结构图;
附图2为本方明过滤方法工作流程图。
【具体实施方式】
[0011]下面通过附图,对本发明所述一种基于通用协议模块化网络传输数据包过滤方法做进一步详细说明,并不造成对本发明的限制。
[0012]本方明针对网络传输过程中,对于一些被限制的或者是非要求的包进行一定的过滤,使其不能顺利通过端口,是一种有效的保护数据传输安全的方式,并且对网络传输过程中的安全问题进行一个有效的解决方案。通过基于通用协议模块化网络传输数据包过滤方法主要解决如下几个问题,第一、网络传输过程中,对于一些被限制的或者是非要求的包进行一定的过滤,使其不能顺利通过端口,找到一种有效的保护数据传输安全的方式;第二、由于网络的日新月异的变化,对于过滤的方式和规则也会随时进行相应的改变,如何能够快速的根据自己的需要进行有效的改变,也是过滤方法整体解决方案的重要模块;第三、对于未知的或者是已知的处理问题的日志或者是记录,如何进行有效的管理和存储,并且可以从中挖掘出比较有价值的关键问题,分析出目前网络环境的变化,也是本发明解决的问题之一; 此外,对于基于通用协议模块化网络传输数据包过滤方法,在对包处理过程中,驱动和应用程序的通信是比较重要的一块,对于数据包的获取和过滤拦截,如何能做到在保证性能和拦截效率的同时不影响到正常的数据通信,也是解决的问题。
[0013]为了实现上述目的,本方明的基于通用协议模块化网络传输数据包过滤方法,通过过滤技术的装置对网络的数据流入以及流出进行控制,通过通用网络传输协议的规则,对网络传输过程中数据流的所有包进行检查,对于数据包检查的部分只涉及到数据包的源地址、目标地址以及TCP/IP端口号等,通过有效的规则匹配,来对数据包进行有效的过滤;本发明对于方法进行了模块化的划分,有助于对于功能的拆分和补充,该数据包过滤方法主要有数据包处理模块、驱动通信模块、自定义过滤规则模块、记录与报警模块四部分组成;其中:
所述数据包处理模块是该方法的数据流处理模块,作为该方法的核心模块,负责数据包的过滤匹配以及数据包的截获;
所述驱动通信模块是该方法的驱动程序和应用程序通信模块,负责通知应用程序对数据包进行判断,是否接受或者是放弃数据包;
所述自定义过滤规则模块是该方法过滤规则设定模块,负责根据各种网络环境,对规律规则的自定义改变和设定,来解决不同的过滤模式;
所述记录与报警模块是该方法的输出和显示记录模块,负责对包过滤过程中的处理日志以及各种报警设置进行统一的管理,提供了日志信息的管理和存储的方法。
[0014]此外,该数据包过滤方法通过对所有流入和流出包的过滤和检测,做到实时的监控网络传输的数据包的传递安全;通过记录与报警模块可以有效的对过滤过程中出现的问题进行可视化分析,帮助更好的监控网络的安全;通过自定义过滤规则模块的设定,可以做到根据不同的网络和环境,实时而高效的进行定制专属的过滤方案,来解决网络传输问题。
[0015]如附图2所示,本方明的基于通用协议模块化网络传输数据包过滤方法的具体实施步骤如下:
步骤一、首先抓取数据包,对内外网数据包进行逐个过滤和检查,需要通过数据包处理模块来进行实现,拿到数据包进行处理;
步骤二、数据包处理模块拿到数据包之后,调用自定义过滤规则模块来进行过滤规则的匹配检查,并进行数据包的过滤和解析;
步骤三、调用驱动通信模块通知应用程序对数据包进行判断,来反馈这个数据包是否接受或者是放弃;
步骤四、当数据包通过时(所有流程走过之后),需要对整个的过滤过程进行一个日志记录,如果出现问题需要进行报警,这些由记录与报警模块完成;否则,若数据包没有通过,则返回步骤二进行执行。
[0016]凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种基于通用协议模块化网络传输数据包过滤方法,其特征在于,该输数据包过滤方法,通过过滤技术的装置对网络的数据流入以及流出进行控制,通过通用网络传输协议的规则,对网络传输过程中数据流的所有包进行检查,通过有效的规则匹配,来对数据包进行有效的过滤;该输数据包过滤方法进行了模块化的划分,主要由数据包处理模块、驱动通信模块、自定义过滤规则模块、记录与报警模块四部分组成;其中: 所述数据包处理模块是该方法的数据流处理模块,作为该方法的核心模块,负责数据包的过滤匹配以及数据包的截获; 所述驱动通信模块是该方法的驱动程序和应用程序通信模块,负责通知应用程序对数据包进行判断,是否接受或者是放弃数据包; 所述自定义过滤规则模块是该方法过滤规则设定模块,负责根据各种网络环境,对规律规则的自定义改变和设定,来解决不同的过滤模式; 所述记录与报警模块是该方法的输出和显示记录模块,负责对包过滤过程中的处理日志以及各种报警设置进行统一的管理,提供了日志信息的管理和存储的方法。
2.根据权利要求1所述的基于通用协议模块化网络传输数据包过滤方法,其特征在于,该数据包过滤方法对所有流入和流出包进行过滤和检测,对网络传输的数据包做到实时的监控。
3.根据权利要求1所述的基于通用协议模块化网络传输数据包过滤方法,其特征在于,通过所述记录与报警模块能够有效的对过滤过程中出现的问题进行可视化分析。
4.根据权利要求1所述的基于通用协议模块化网络传输数据包过滤方法,其特征在于,通过所述自定义过滤规则模块的设定,能够根据不同的网络和环境,实时而高效的进行定制专属的过滤方案。
5.根据权利要求1所述的基于通用协议模块化网络传输数据包过滤方法,其特征在于,该数据包过滤方法的具体实施步骤如下: 步骤一、通过数据包处理模块对内外网数据包进行逐个过滤和检查,并且拿到数据包进行处理; 步骤二、数据包处理模块拿到数据包之后,调用自定义过滤规则模块来进行过滤规则的匹配检查,并进行数据包的过滤和解析; 步骤三、调用驱动通信模块通知应用程序对数据包进行判断,来反馈这个数据包是否接受或者是放弃; 步骤四、若当数据包通过,则通过记录与报警模块对整个的过滤过程进行一个日志记录,出现问题时进行报警;否则,若数据包没有通过,则返回步骤二进行执行。
【文档编号】H04L12/26GK103986707SQ201410204911
【公开日】2014年8月13日 申请日期:2014年5月15日 优先权日:2014年5月15日
【发明者】邢伟 申请人:浪潮电子信息产业股份有限公司