【技术实现步骤摘要】
本专利技术涉及网络安全
,特别是涉及一种基于L7-filter的视频类应用的识别与控制方法和系统。
技术介绍
目前,L7-filter是基于特征的关键字匹配,它可以实现从应用层过滤的功能。它不是通过匹配某个字和词来匹配,而是使用了更加高级的正则表达式(regularexpression)来进行匹配。正则表达式(regularexpression)是一种文本模式,是由普通字符(例如字符a到z)以及特殊字符(称为元字符)组成的。它描述了一种字符串匹配的模式,可以用来检查一个串是否含有某种子串、将匹配的子串做替换或者从某个串中取出符合某个条件的子串等。L7-filter在默认情况下,将同一个连接中的10个数据包或者2KB的数据包内容放在缓存中。并将缓存中的内容作为一段普通的文本,用模板文件中的正则表达式去数据包应用层进行搜索比对,如果发现存在与正则表达式匹配的内容,就会在netfilter中将这几个数据包DROP掉或者给数据包打上标记。在tc中,过滤器根据netfilter中所做的标记对数据包进行分类。L7-filter所包含的可以识别的协议有:100bao、aim、aimwebcontent、applejuice、ares、armagetron、battlefield1942、bgp等一百多种应用。所识别的协议只能针对单个应用,无法根据实际需求对视频类应用的识别和控制。
技术实现思路
基于此,有必要针对上述 ...
【技术保护点】
一种基于L7‑filter的视频类应用的识别与控制方法,其特征在于,包括如下步骤:获取各种视频类应用的数据包并对所述数据包进行解析,识别各个视频类应用的应用层专有协议的解析特征,并将所述解析特征用正则表达式进行表达,根据正则表达式对视频进行分类;根据视频应用分类,通过用户空间对数据包设置控制规则,将所述控制规则存储在内核空间的数据包过滤表中;其中,所述控制规则包括对设定解析特征的数据包所要执行的操作;根据控制规则所处理的数据包的类型把不同功能的控制规则分组在不同的规则链中;当视频类应用的数据包到达时,通过内核检查数据包的头信息,从内核空间的数据包过滤表中的第一条控制规则开始检查,判断是否符合该控制规则,如果符合,依据所述控制规则所要执行的操作处理该数据包,否则继续检查下一条控制规则。
【技术特征摘要】
1.一种基于L7-filter的视频类应用的识别与控制方法,其特征在于,包括如下步骤:
获取各种视频类应用的数据包并对所述数据包进行解析,识别各个视频类应用的应用
层专有协议的解析特征,并将所述解析特征用正则表达式进行表达,根据正则表达式对视
频进行分类;
根据视频应用分类,通过用户空间对数据包设置控制规则,将所述控制规则存储在内
核空间的数据包过滤表中;其中,所述控制规则包括对设定解析特征的数据包所要执行的
操作;
根据控制规则所处理的数据包的类型把不同功能的控制规则分组在不同的规则链中;
当视频类应用的数据包到达时,通过内核检查数据包的头信息,从内核空间的数据包过滤
表中的第一条控制规则开始检查,判断是否符合该控制规则,如果符合,依据所述控制规则
所要执行的操作处理该数据包,否则继续检查下一条控制规则。
2.根据权利要求1所述的基于L7-filter的视频类应用的识别与控制方法,其特征在
于,还包括:识别各个视频类应用的共同解析特征,并用正则表达式进行表达。
3.根据权利要求2所述的基于L7-filter的视频类应用的识别与控制方法,其特征在
于,所述识别各个视频类应用的应用层专有协议的解析特征的步骤包括:
抓取视频的数据包,提取数据包的数据交换部分的UDP数据包,分析不同IP地址对应的
若干个数据包内容,确定固定不变的解析特征字符串,解析特征字符串写成正则表达式;
所述识别各个视频类应用的共同解析特征的步骤包括:
根据数据交换部分的UDP数据包的报文结构信息分析出视频类应用中的解析特征,并
用正则表达式表达。
4.根据权利要求1所述的基于L7-filter的视频类应用的识别与控制方法,其特征在
于,所述规则链包括INPUT链、OUTPUT链和FORWARD链;处理流入数据包的控制规则被添加到
INPUT链中,处理流出数据包的控制规则被添加到OUTPUT链中,处理正在转发的数据包的控
制规则被添加到FORWARD链中。
5.根据权利要求4所述的基于L7-filter的视频类应用的识别与控制方法,其特征在
于,判断数据包是否符合该控制规则的方法包括:
当一个视频数据包进入主机的防火墙时,先将其转发到路由表中确定其路径,若视频
数据包处于被发送至本机流程,则将该视频数据包输入至INPUT链中;若INPUT链的控制规
则允许该视频数据包进入,则允许该视频数据包输入至本地流程中,否则将该视频数据包
丢弃;
当本机流程产生向外的视频数据包时,先查找路由表获取目标主机的位置,将视频数
据数据包发送至OUTPUT链,若该视频数据包满足OUTPUT链的控制规则,允许该视频数据包
从主机发出,否则将该视频数据包丢弃;
当视频数据包穿过主机的防火墙时,将该视频数据数据包输入至FORWARD链,若该视频
数据包符合FORWARD链的控制规则,将该视频数据包从防火墙发出,否则将该视频数据包丢
弃。
6.根据权利要求5所述的基于L7-filter的视频类应用的识别与控制方法,其特征在
于:
对于发往本地的视频数据包:
视频数据包到达防火墙时,先进入mangle表的PREROUTING链改变视频数据包的TOS、
TTL或MARK标志位;然后进入nat表的PREROUTING链进行DNAT操作;经过路由判断后依次进
入mangle表的OUTPUT链和filter表的INPUT链进行过滤;
对于从本地发出的视频数据包:
视频数...
【专利技术属性】
技术研发人员:孙寅,余顺争,
申请(专利权)人:广东顺德中山大学卡内基梅隆大学国际联合研究院,中山大学,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。