本发明涉及通信,特别是涉及一种数据过滤方法、装置、电子设备及存储介质。
背景技术:
::1、在传统的iptables规则设置中,仅仅只能够对ip地址,端口,已知域名进行过滤,无法对加密流量进行过滤。2、现有技术一般通过特定比特流模式对加密流量进行过滤,主要是对应用层载荷信息及数据流信息进行识别,此类信息是以十六进制或者二进制形式描述应用层的信息,规则描述性较差,且需要解析报文,较为复杂,因此该方式会存在加密流量过滤难度较大的问题。技术实现思路1、有鉴于此,本发明旨在提出一种数据过滤方法、装置、电子设备及存储介质,通过根据加密流量数据包对应的特征信息对iptables规则进行配置后所生成的目标iptables规则对加密流量数据包进行过滤,极大的降低了对加密流量过滤的难度,解决了加密流量过滤难度较大的技术问题。2、依据本发明的第一方面,提供了一种数据过滤方法,应用于linux系统的电子设备,该方法包括:3、在目标应用的流量数据包类型是加密流量数据包的情况下,对所述加密流量数据包进行分析,获取所述加密流量数据包对应的特征信息;4、基于所述加密流量数据包对应的特征信息对iptables规则进行配置,生成目标iptables规则;5、根据所述目标iptables规则对所述加密流量数据包进行过滤。6、可选地,在所述获取目标应用的流量数据包的步骤之前,还包括:7、获取目标应用的流量数据包,其中,所述流量数据包包括pcap包;8、根据预设协议对应的端口信息判断所述流量数据包的数据类型,其中,所述流量数据包的数据类型包括加密流量数据包和非加密流量数据包。9、可选地,所述获取目标应用的流量数据包,包括:10、通过tcpdump获取所述目标应用的流量数据包。11、可选地,所述根据所述目标iptables规则对所述加密流量数据包进行过滤,包括:12、根据pre_routing挂载点上存储的规则表对所述加密流量数据包进行过滤,得到第一过滤后的加密流量数据包;13、通过第一路由查询输入所述第一过滤后的加密流量数据包ip头部的目的ip地址,以及,判断所述目的ip地址与本机的ip地址是否相同;14、若相同,则将所述第一过滤后的加密流量数据包发送至local_in挂载点,以及,根据所述local_in挂载点上存储的规则表对所述第一过滤后的加密流量数据包进行过滤,得到第二过滤后的加密流量数据包;15、通过上层协议将所述第二过滤后的加密流量数据包发送至local_out挂载点;16、根据所述local_out挂载点上存储的规则表对所述第二过滤后的加密流量数据包进行过滤,得到第三过滤后的加密流量数据包;17、通过第二路由根据输出所述第三过滤后的加密流量数据包ip头部的目的ip地址从路由表中查找对应的路由信息,以及,根据所述路由信息获取下一跳主机的ip地址;18、根据post_routing挂载点上存储的规则表对所述第三过滤后的加密流量数据包进行过滤,得到第四过滤后的加密流量数据包;19、基于所述下一跳主机的ip地址对所述第四过滤后的加密流量数据包进行数据传输。20、可选地,所述方法还包括:21、若所述目的ip地址与本机的ip地址不相同,则根据forward挂载点上存储的规则表对所述第一过滤后的加密流量数据包进行过滤,得到第五过滤后的加密流量数据包,以及,将所述第五过滤后的加密流量数据包转发至所述post_routing挂载点;22、根据所述post_routing挂载点上存储的规则表对所述第五过滤后的加密流量数据包进行过滤,得到第六过滤后的加密流量数据包,并将所述第六过滤后的加密流量数据包进行输出。23、依据本发明的第二方面,提供了一种数据过滤装置,该装置包括:24、特征数据获取模块,用于在目标应用的流量数据包类型是加密流量数据包的情况下,对所述加密流量数据包进行分析,获取所述加密流量数据包对应的特征信息;25、规则配置模块,用于基于所述加密流量数据包对应的特征信息对iptables规则进行配置,生成目标iptables规则;26、数据过滤模块,用于根据所述目标iptables规则对所述加密流量数据包进行过滤。27、可选地,所述装置还包括:28、数据获取模块,用于获取目标应用的流量数据包,其中,所述流量数据包包括pcap包;29、数据类型判断模块,用于根据预设协议对应的端口信息判断所述流量数据包的数据类型,其中,所述流量数据包的数据类型包括加密流量数据包和非加密流量数据包。30、可选地,所述数据获取模块,包括:31、流量数据包获取子模块,用于通过tcpdump获取所述目标应用的流量数据包。32、可选地,所述数据过滤模块,包括:33、第一数据过滤子模块,用于根据pre_routing挂载点上存储的规则表对所述加密流量数据包进行过滤,得到第一过滤后的加密流量数据包;34、数据判断子模块,用于通过第一路由查询输入所述第一过滤后的加密流量数据包ip头部的目的ip地址,以及,判断所述目的ip地址与本机的ip地址是否相同;35、第二数据过滤子模块,用于若相同,则将所述第一过滤后的加密流量数据包发送至local_in挂载点,以及,根据所述local_in挂载点上存储的规则表对所述第一过滤后的加密流量数据包进行过滤,得到第二过滤后的加密流量数据包;36、数据发送子模块,用于通过上层协议将所述第二过滤后的加密流量数据包发送至local_out挂载点;37、第三数据过滤子模块,用于根据所述local_out挂载点上存储的规则表对所述第二过滤后的加密流量数据包进行过滤,得到第三过滤后的加密流量数据包;38、数据查询子模块,用于通过第二路由根据输出所述第三过滤后的加密流量数据包ip头部的目的ip地址从路由表中查找对应的路由信息,以及,根据所述路由信息获取下一跳主机的ip地址;39、第四数据过滤子模块,用于根据post_routing挂载点上存储的规则表对所述第三过滤后的加密流量数据包进行过滤,得到第四过滤后的加密流量数据包;40、数据传输子模块,用于基于所述下一跳主机ip地址对所述第四过滤后的加密流量数据包进行数据传输。41、可选地,所述数据过滤模块,还包括:42、第五数据过滤子模块,用于若所述目的ip地址与本机的ip地址不相同,则根据forward挂载点上存储的规则表对所述第一过滤后的加密流量数据包进行过滤,得到第五过滤后的加密流量数据包,以及,将所述第五过滤后的加密流量数据包转发至所述post_routing挂载点;43、第六数据过滤子模块,用于根据所述post_routing挂载点上存储的规则表对所述第五过滤后的加密流量数据包进行过滤,得到第六过滤后的加密流量数据包,并将所述第六过滤后的加密流量数据包进行输出。44、根据本发明的第三方面,提供一种电子设备,包括:45、处理器;46、用于存储所述处理器可执行指令的存储器;47、其中,所述处理器被配置为执行所述指令,以实现所述一种数据过滤方法。48、根据本发明的第四方面,提供一种存储介质,所述存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的一种数据过滤方法的步骤。49、本发明实施例提供的一种数据过滤方法、装置、电子设备及存储介质,通过在目标应用的流量数据包类型是加密流量数据包的情况下,对加密流量数据包进行分析,获取加密流量数据包对应的特征信息;基于加密流量数据包对应的特征信息对iptables规则进行配置,生成目标iptables规则;根据目标iptables规则对加密流量数据包进行过滤。本发明通过根据加密流量数据包对应的特征信息对iptables规则进行配置后所生成的目标iptables规则对加密流量数据包进行过滤,极大的降低了对加密流量过滤的难度,解决了加密流量过滤难度较大的技术问题。本发明通过采用linux操作系统自身支持的规则来进行加密流量数据包的过滤,进而在降低了业务程序完成这一目的的复杂度的同时,还能够集中精力做规则实现不了的复杂场景,进一步地提高了业务程序的稳定性,简化了业务程序的处理逻辑。50、上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。当前第1页12当前第1页12