本发明专利技术提供一种基于网络会话的数据筛选方法,该方法包括步骤:(1)设置会话筛选条件,设置所述筛选条件所筛选的会话类型,所述会话筛选条件由规则构成;(2)将会话筛选条件与会话进行匹配判断,得出筛选条件的匹配结果;(3)根据筛选条件的匹配结果标记对应会话的匹配结果;(4)根据会话的匹配结果,将匹配的会话通过界面显示给用户。本发明专利技术在数据包筛选的基础上,提出了会话筛选的概念,通过会话筛选,使我们可以了解到整个会话的通信过程,数据的上下文关系,分析人员可以快速定位到网络问题所在。
【技术实现步骤摘要】
本专利技术涉及网络数据筛选领域,尤其是涉及一种基于网络会话的数据筛选方法。
技术介绍
随着网络技术的不断发展,网络安全也显得越来越重要。为了保证网络的正常运行,我们需要对网络中出现的问题进行分析,进而解决网络中存在的问题隐患。现在,市面上也存在不少的网络分析工具,可以对网络进行抓包,然后针对数据包进行分析。对于大批量的数据包,其包含有太多的信息,如何从其中筛选出对分析人员有用的信息是非常关键的一步,只有这步做好了,才能快速的找到问题所在。市面上的网络分析工具也都提供了简单的筛选功能——对数据包进行筛选,但这种筛选功能筛选出来的数据包是一个一个的数据包,这些数据包并没有上下文的关系,也不能体现网络通信传输的整个流程,对我们分析网络问题的作用并不大。
技术实现思路
本专利技术的目的在于:针对现有技术存在的问题,提供一种基于网络会话的数据筛选方法,解决现有筛选方法筛选出来的数据包是一个一个的数据包,这些数据包并没有上下文的关系,也不能体现网络通信传输的整个流程,对我们分析网络问题的作用并不大的问题。本专利技术的专利技术目的通过以下技术方案来实现:一种基于网络会话的数据筛选方法,其特征在于,该方法包括步骤:(1)设置会话筛选条件,设置所述筛选条件所筛选的会话类型,所述会话筛选条件由规则构成;(2)将会话筛选条件与会话进行匹配判断,得出筛选条件的匹配结果;(3)根据筛选条件的匹配结果标记对应会话的匹配结果;(4)根据会话的匹配结果,将匹配的会话通过界面显示给用户。作为进一步的技术方案,所述会话筛选条件由一个规则构成,将该规则与会话进行一一匹配判断,得出该规则的匹配结果,该规则的匹配结果即为筛选条件的匹配结果。作为进一步的技术方案,所述会话筛选条件由多个规则组合而成,将会话筛选条件中的每一个规则与会话进行一一匹配判断,得出每个规则的匹配结果,然后根据规则的组合来得出该筛选条件的匹配结果。作为进一步的技术方案,所述会话类型为物理会话、IP会话、TCP会话、UDP会话的任意一种或多种。作为进一步的技术方案,会话筛选条件的规则包括:地址与端口规则、归属地规则、会话协议规则、会话数据包属性规则、会话内容规则或会话属性规则。作为进一步的技术方案,多个规则之间采用与/或两种方式进行组合,单个规则可以取反。作为进一步的技术方案,各规则的匹配结果包括匹配、匹配但不确定、不匹配但不确定和不匹配四种匹配状态。作为进一步的技术方案,当筛选条件的匹配结果为匹配或匹配但不确定时,将匹配的会话通过界面显示给用户。作为进一步的技术方案,四种匹配状态的优先级为:匹配>匹配但不确定>不匹配但不确定>不匹配,当存储的会话数据超过限制后,首先删除匹配结果标记为不匹配的会话,然后依次为不匹配但不确定、匹配但不确定、匹配。与现有技术相比,本专利技术在数据包筛选的基础上,提出了会话筛选的概念,通过会话筛选,使我们可以了解到整个会话的通信过程,数据的上下文关系,分析人员可以快速定位到网络问题所在。附图说明图1为会话筛选处理流程图;图2为地址与端口规则筛选界面图;图3为归属地规则筛选界面图;图4为会话协议规则筛选界面图;图5为会话数据包属性规则筛选界面图;图6为会话内容规则筛选界面图;图7为会话属性规则筛选界面图;图8为规则“与”的逻辑图;图9为规则“或”逻辑图;图10为匹配状态图;图11为匹配但不确定状态;图12为不匹配但不确定状态;图13为不匹配状态。具体实施方式下面结合附图和具体实施例对本专利技术进行详细说明。实施例本专利技术提供一种基于网络会话的数据筛选方法,针对会话进行筛选,比数据包筛选更有意义,能够从筛选结果中取得会话的上下文通信信息,更有效地分析会话数据,该方法的筛选处理流程如图1所示,主要包括四个步骤:一是设置会话筛选条件,以及该筛选条件筛选的会话类型;筛选条件可以由多个规则组合(与/或)而成;二是会话筛选的匹配过程,将筛选条件中的每一个规则与会话进行一一匹配判断,得出每一个规则的匹配结果,然后根据规则的组合(与/或)来得出该筛选条件的匹配结果;三是根据筛选条件的匹配结果来标记该会话的匹配结果;四是根据会话的匹配结果,将匹配的会话通过界面展示给用户。其中,会话类型包括:物理会话、IP会话、TCP会话、UDP会话;会话筛选可以针对四种会话类型的任意一种或多种进行筛选。其中,会话筛选规则为多样化、可配置、可任意组合的会话筛选规则,包括:地址与端口规则、归属地规则、会话协议规则、会话数据包属性规则、会话内容规则、会话属性规则。图2是地址与端口规则设置,可以设置会话双方或者其中一方的物理地址、IP地址、端口等,可以设置多组IP地址与端口的条件,会话满足其中一组即可;图3是归属地规则设置,会话双方IP地址满足任意一个即可;图4是会话协议规则设置,可以设置会话一个或多个协议类型,会话协议满足其中任意一个即可;图5是会话数据包属性规则设置,可以设置会话中第几个数据包的数据包大小、数据包协议类型,如果该数据包是TCP协议的数据包,还可以设置该数据包的TCPflags;图6是会话内容规则设置,可以设置会话传输的内容中是否包含特定的信息,其中内容的类型可以为:ASCII码、HEX、UTF-8、UTF-16等四种编码,支持大小写匹配、反向查找等;图7是会话属性规则设置,可以对会话统计数据进行筛选,包括会话数据包数、字节数,会话发送数据包数、字节数,会话接收数据包数、字节数,会话持续时间,会话的时间范围等。另外,每种会话筛选规则可以有0个或者多个规则实例,规则可以取反,多个规则之间可以按照任意顺序以与/或两种方式进行组合,形成会话筛选条件。图8是两个规则与,并且协议规则是取反的,此规则的含义即是满足其中一方端口为80,并且会话协议不是HTTP的会话将被筛选出来。图9是两个规则或,此规则的含义即是满足会话数据包大于1000个,或者会话协议是HTTP的会话将被筛选出来。会话筛选规则对会话的匹配结果包含4种状态:匹配,匹配但不确定,不匹配但不确定,不匹配;规则的匹配状态可变化的,会话内容随着会话的交互而不断变化,其匹配结果也是可能随之而变化的,以下是各状态的含义:匹配:会话满足该规则条件,且后续状态不会改变;如图10;如:需要筛选包含IP地址为192.168.5.5的会话,每一个会话双方的IP地址是确定的,所以判断IP地址是否匹配肯定是确定的,满足则是匹配;反之,不满足则不匹配;匹配但不确定:会话当前满足该规则条件,但随着会话内容的增加会导致状态发生改变;如图11;如:需要筛选出会话的数据包数<1000的会话,则在会话的数据包个数在小于1000的时候,该会话的匹配结果应为匹配但不确定,因为随着会话数据包个数的增加,在数据包个数等于1000的时候,会话就不满足此条件了,匹配状态应该修改为不匹配;不匹配但不确定:会话当前不满足该规则条件,但随着会话内容的增加会导致状态发生改变;如图12;如:需要筛选出会话的协议为HTTP的会话,在会话开始三次握手阶段会被识别为TCP协议,此时,该会话的匹配结果应为不匹配但不确定,因为在有HTTP数据包之后,会话会被识别为HTTP协议,此时会话的匹配结果会被标记为匹配但不确定,因为不确定后续协议识别会不会变为,所以不会被标记为匹配本文档来自技高网...
【技术保护点】
一种基于网络会话的数据筛选方法,其特征在于,该方法包括步骤:(1)设置会话筛选条件,设置所述筛选条件所筛选的会话类型,所述会话筛选条件由规则构成;(2)将会话筛选条件与会话进行匹配判断,得出筛选条件的匹配结果;(3)根据筛选条件的匹配结果标记对应会话的匹配结果;(4)根据会话的匹配结果,将匹配的会话通过界面显示给用户。
【技术特征摘要】
1.一种基于网络会话的数据筛选方法,其特征在于,该方法包括步骤:(1)设置会话筛选条件,设置所述筛选条件所筛选的会话类型,所述会话筛选条件由规则构成;(2)将会话筛选条件与会话进行匹配判断,得出筛选条件的匹配结果;(3)根据筛选条件的匹配结果标记对应会话的匹配结果;(4)根据会话的匹配结果,将匹配的会话通过界面显示给用户。2.根据权利要求1所述的一种基于网络会话的数据筛选方法,其特征在于,所述会话筛选条件由一个规则构成,将该规则与会话进行一一匹配判断,得出该规则的匹配结果,该规则的匹配结果即为筛选条件的匹配结果。3.根据权利要求1所述的一种基于网络会话的数据筛选方法,其特征在于,所述会话筛选条件由多个规则组合而成,将会话筛选条件中的每一个规则与会话进行一一匹配判断,得出每个规则的匹配结果,然后根据规则的组合来得出该筛选条件的匹配结果。4.根据权利要求1所述的一种基于网络会话的数据筛选方法,其特征在于,所述会话类型为物理会话、IP会话、TCP会话、UDP会话的任意一...
【专利技术属性】
技术研发人员:罗鹰,何罡,林康,
申请(专利权)人:成都科来软件有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。