Linux系统中数据的处理方法和装置制造方法及图纸

本申请公开了一种Linux系统中数据的处理方法和装置。所述方法包括：在检测到Linux系统中有等待传输的数据包后，获取数据包在Linux系统中所需调用的进程的标识信息；根据所述进程的标识信息，获取所述进程的数据包过滤策略；根据所述数据包过滤策略，对所述数据包进行处理。

Data Processing Method and Device in Linux System

This application discloses a method and device for data processing in Linux system. The method includes: after detecting the data packet waiting for transmission in the Linux system, obtaining the identification information of the process that the data packet needs to be invoked in the Linux system; acquiring the data packet filtering strategy of the process according to the identification information of the process; and processing the data packet according to the data packet filtering strategy.

【技术实现步骤摘要】
Linux系统中数据的处理方法和装置
本申请涉及信息处理领域，尤指一种Linux系统中数据的处理方法和装置。
技术介绍
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关(SecurityGateway)，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。主机防火墙可以有效的阻止木马/病毒程序连接外部主机，从而防止信息数据的泄露，或者被黑客利用对互联网上的机器进行DDOS攻击。在主机安全Linux系统后，如何提升Linux系统的主机的安全性是亟待解决的问题。
技术实现思路
为了解决上述技术问题，本申请提供了一种Linux系统中数据的处理方法和装置，能够实现基于进程的网络访问控制。为了达到本申请目的，本申请提供了一种Linux系统中数据的处理方法，包括：在检测到Linux系统中有等待传输的数据包后，获取数据包在Linux系统中所需调用的进程的标识信息；根据所述进程的标识信息，获取所述进程的数据包过滤策略；根据所述数据包过滤策略，对所述数据包进行处理。在一个示例性实施例中，所述根据所述数据包过滤策略，对所述数据包进行处理，包括：判断所述数据包的特征信息是否符合所述数据包过滤策略；如果所述数据包的特征符合所述数据包的过滤策略，则控制允许所述进程传输所述数据包；否则，控制所述进程不传输所述数据包；其中，所述特征信息包括所述数据包的源地址、目的地址、源端口、目的端口和传输协议中的至少一个。在一个示例性实施例中，所述判断所述数据包的特征信息是否符合所述数据包过滤策略，包括：获取所述数据包的进程的名称和套接字；根据所述进行的名称和套接字，创建对所述数据包进行报文过滤的处理任务；调用所述Linux系统中对应的处理模块对创建的处理任务进行响应，完成对所述数据包的报文过滤操作。在一个示例性实施例中，调用所述Linux系统中对应的处理模块对创建的处理任务进行响应，完成对所述数据包的报文过滤操作，包括：如果所述数据包的数据方向为外发数据，调用所述Linux系统中netfilter子系统对创建的处理任务进行响应，完成对所述数据包的报文过滤操作；如果所述数据包的数据方向为接收数据，调用所述Linux系统中的Linux安全模块对创建的处理任务进行响应，完成对所述数据包的报文过滤操作。在一个示例性实施例中，调用所述Linux系统中对应的处理模块对创建的处理任务进行响应，完成对所述数据包的报文过滤操作，包括：如果所述数据包的数据方向为外发数据，调用所述Linux系统中netfilter子系统对创建的处理任务进行响应，完成对所述数据包的报文过滤操作；如果所述数据包的数据方向为接收数据，调用所述Linux系统中的Linux安全模块对创建的处理任务进行响应，完成对所述数据包的报文过滤操作。在一个示例性实施例中，所述方法还包括：获取Linux系统中不允许传输的数据包的特征信息，并在预先设置的日志文件中记录所述本地不允许传输的所述数据包的特征信息。为了达到本申请目的，本申请提供了一种Linux系统中数据的处理装置，包括存储器和处理器，其中所述存储器存储有计算机程序，所述处理器通过调用所述存储器的计算机程序，以实现如下操作，包括：在检测到Linux系统中有等待传输的数据包后，获取数据包在Linux系统中所需调用的进程的标识信息；根据所述进程的标识信息，获取所述进程的数据包过滤策略；根据所述数据包过滤策略，对所述数据包进行处理。在一个示例性实施例中，所述处理器在调用计算机程序实现根据所述数据包过滤策略，对所述数据包进行处理的过程中，具体实现如下操作，包括：判断所述数据包的特征信息是否符合所述数据包过滤策略；如果所述数据包的特征符合所述数据包的过滤策略，则控制允许所述进程传输所述数据包；否则，控制所述进程不传输所述数据包；其中，所述特征信息包括所述数据包的源地址、目的地址、源端口、目的端口和传输协议中的至少一个。在一个示例性实施例中，所述处理器在调用计算机程序实现判断所述数据包的特征信息是否符合所述数据包过滤策略的过程中，具体实现如下操作，包括：获取所述数据包的进程的名称和套接字；根据所述进行的名称和套接字，创建对所述数据包进行报文过滤的处理任务；调用所述Linux系统中对应的处理模块对创建的处理任务进行响应，完成对所述数据包的报文过滤操作。在一个示例性实施例中，所述处理器在调用计算机程序实现判断所述数据包的特征信息是否符合所述数据包过滤策略的过程中，具体实现如下操作，包括：如果所述数据包的数据方向为外发数据，调用所述Linux系统中netfilter子系统对创建的处理任务进行响应，完成对所述数据包的报文过滤操作；如果所述数据包的数据方向为接收数据，调用所述Linux系统中的Linux安全模块对创建的处理任务进行响应，完成对所述数据包的报文过滤操作。在一个示例性实施例中，所述处理器通过调用所述存储器的计算机程序，以实现如下操作，还包括：获取Linux系统中不允许传输的数据包的特征信息，并在预先设置的日志文件中记录所述本地不允许传输的所述数据包的特征信息。本申请提供的实施例，在检测到Linux系统中有等待传输的数据包后，获取数据包在Linux系统中所需调用的进程的标识信息，根据预先设置的进程管理策略，判断所述进程是否有对应的数据包过滤策略，得到判断结果，根据所述数据包过滤策略，对所述数据包进行处理，实现基于进程控制数据包接收的目的，保证主机数据传输的安全，提供Linux系统的网络安全性。本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。附图说明附图用来提供对本申请技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本申请的技术方案，并不构成对本申请技术方案的限制。图1为本申请提供的Linux系统中数据的处理方法的流程图；图2为本申请提供的在Linux系统基于进程的主机防火墙实现方法的流程图。具体实施方式为使本申请的目的、技术方案和优点更加清楚明白，下文中将结合附图对本申请的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并本文档来自技高网...

【技术保护点】
1.一种Linux系统中数据的处理方法，其特征在于，包括：在检测到Linux系统中有等待传输的数据包后，获取数据包在Linux系统中所需调用的进程的标识信息；根据所述进程的标识信息，获取所述进程的数据包过滤策略；根据所述数据包过滤策略，对所述数据包进行处理。

【技术特征摘要】
1.一种Linux系统中数据的处理方法，其特征在于，包括：在检测到Linux系统中有等待传输的数据包后，获取数据包在Linux系统中所需调用的进程的标识信息；根据所述进程的标识信息，获取所述进程的数据包过滤策略；根据所述数据包过滤策略，对所述数据包进行处理。2.根据权利要求1所述的方法，其特征在于，所述根据所述数据包过滤策略，对所述数据包进行处理，包括：判断所述数据包的特征信息是否符合所述数据包过滤策略；如果所述数据包的特征符合所述数据包的过滤策略，则控制允许所述进程传输所述数据包；否则，控制所述进程不传输所述数据包；其中，所述特征信息包括所述数据包的源地址、目的地址、源端口、目的端口和传输协议中的至少一个。3.根据权利要求2所述的方法，其特征在于，所述判断所述数据包的特征信息是否符合所述数据包过滤策略，包括：获取所述数据包的进程的名称和套接字；根据所述进行的名称和套接字，创建对所述数据包进行报文过滤的处理任务；调用所述Linux系统中对应的处理模块对创建的处理任务进行响应，完成对所述数据包的报文过滤操作。4.根据权利要求3所述的方法，其特征在于，所述调用所述Linux系统中对应的处理模块对创建的处理任务进行响应，完成对所述数据包的报文过滤操作，包括：如果所述数据包的数据方向为外发数据，调用所述Linux系统中netfilter子系统对创建的处理任务进行响应，完成对所述数据包的报文过滤操作；如果所述数据包的数据方向为接收数据，调用所述Linux系统中的Linux安全模块对创建的处理任务进行响应，完成对所述数据包的报文过滤操作。5.根据权利要求1至4任一所述的方法，其特征在于，所述方法还包括：获取Linux系统中不允许传输的数据包的特征信息，并在预先设置的日志文件中记录所述本地不允许传输的所述数据包的特征信息。6.一种Linux系统中数据的处理装置，其特征在于，包括存储器和处理器，其中所述存储器存储有计算机程序，所述处理器通过调用所述存储器的计...

【专利技术属性】
技术研发人员：崔士伟，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41