The invention discloses a filtering method and device for traffic message, which includes: parsing and extracting key field information in network traffic message, assembling key field information into first rule search information, searching information according to first rule, querying preset first rule table, and if the first rule search information does not match in the first rule table. If the first rule search information has matching information in the first rule table, the corresponding execution action information, the combination rule label information and the combination rule index subscript information in the first rule table will be used to process the network traffic message. The invention does not need to perform a series of deep-seated combination rules of message parsing when the message is first received in the network analysis device, thereby greatly improving the access speed and efficiency of hardware resources.
【技术实现步骤摘要】
流量报文的过滤方法及装置
本专利技术涉及流量处理领域,特别涉及一种流量报文的过滤方法及装置。
技术介绍
伴随着互联网的高速发展,各种网络业务的层出不穷,从而带来了各种的网络流量,导致分析用户行为的分析人物更加繁重,所以需要快速高效的过滤定位出需要分析的部分流量。现有的网络分析流量过滤设备的处理方法中,通常包括了基于用户预设的规则处理流程,其中主要的处理流程包括了对预设的规则表的匹配的处理,通过抓取目标网络流量;基于目标协议类型对所述目标网络流量进行报文格式解析,获取该目标网络流量中携带的与文件格式相关联的内容关键字;将所述内容关键字与预设关键字进行匹配,若所述内容关键字匹配所述预设关键字,过滤并保存携带有所述内容关键字的目标网络流量。如中国专利技术专利,专利申请号:201710087243.2,名称为《流量过滤方法及装置》,就介绍了这种报文处理的方法。参见图1,在该专利技术中,分片信息处理步骤包括:步骤1,接收报文,并解析其中的关键信息,步骤2,基于目标协议的类型对所述目标网络流量进行报文解析,获取该目标网络流量中携带的相关联的内容关键字;步骤3,将从网络流量中提取出的内容关键字与预设关键字进行匹配,若所述内容关键字匹配预设关键字,过滤并保存携带有所述内容关键字的目标网络流量。该专利文献所揭示的流量过滤的处理方案,对抓取到的目标网络流量分析时,通过用户预设的关键字规则表进行匹配,根据解析目标流量中的携带的关键字与预设的比较,从而过滤出所需要的目标流量并保存,同时也与文件格式相关联,对文件格式的内容也进行了匹配,可根据文件类型过滤出部分流量,从而提高了部分性...
【技术保护点】
1.一种流量报文的过滤方法,其特征在于,包括:解析提取网络流量报文中的关键字段信息,并将所述关键字段信息组装成第一规则查找信息,所述关键字段信息包括网络流量报文的来源设备物理地址、网络流量报文的目的设备物理地址、网络流量报文的来源设备IP地址、网络流量报文的目的设备IP地址、以及网络流量报文的协议版本号;根据所述第一规则查找信息,查询预设的第一规则表;所述第一规则表中存储有各种网络流量报文的来源设备物理地址、网络流量报文的目的设备物理地址、网络流量报文的来源设备IP地址、网络流量报文的目的设备IP地址、以及网络流量报文的协议版本号信息以及对应的执行动作信息、组合规则标记信息与组合规则索引下标信息;若所述第一规则查找信息在所述第一规则表中没有匹配的信息,则对所述网络流量报文执行丢弃处理;若所述第一规则查找信息在所述第一规则表中有匹配的信息,则根据所述第一规则表中对应的执行动作信息、组合规则标记信息与组合规则索引下标信息,对所述网络流量报文执行相应的处理。
【技术特征摘要】
1.一种流量报文的过滤方法,其特征在于,包括:解析提取网络流量报文中的关键字段信息,并将所述关键字段信息组装成第一规则查找信息,所述关键字段信息包括网络流量报文的来源设备物理地址、网络流量报文的目的设备物理地址、网络流量报文的来源设备IP地址、网络流量报文的目的设备IP地址、以及网络流量报文的协议版本号;根据所述第一规则查找信息,查询预设的第一规则表;所述第一规则表中存储有各种网络流量报文的来源设备物理地址、网络流量报文的目的设备物理地址、网络流量报文的来源设备IP地址、网络流量报文的目的设备IP地址、以及网络流量报文的协议版本号信息以及对应的执行动作信息、组合规则标记信息与组合规则索引下标信息;若所述第一规则查找信息在所述第一规则表中没有匹配的信息,则对所述网络流量报文执行丢弃处理;若所述第一规则查找信息在所述第一规则表中有匹配的信息,则根据所述第一规则表中对应的执行动作信息、组合规则标记信息与组合规则索引下标信息,对所述网络流量报文执行相应的处理。2.如权利要求1所述的流量报文的过滤方法,其特征在于,所述根据所述第一规则表中对应的执行动作信息、组合规则标记信息与组合规则索引下标信息,对所述网络流量报文执行相应的处理包括:判断所述第一规则表中对应的组合规则标记信息是否为预设的组合规则标识;若为预设的组合规则标识,则根据所述网络流量报文在所述第一规则表中对应的组合规则索引下标信息,对所述网络流量报文执行相应的处理;若不为预设的组合规则标识,则根据所述网络流量报文在所述第一规则表中对应的执行动作信息,对所述网络流量报文执行相应的处理;所述执行动作信息包括转发动作信息。3.如权利要求2所述的流量报文的过滤方法,其特征在于,所述根据所述网络流量报文在所述第一规则表中对应的组合规则索引下标信息,对所述网络流量报文执行相应的处理的步骤包括:根据所述网络流量报文在所述第一规则表中对应的组合规则索引下标信息,判断是否为组合规则的第一类子集或为组合规则的第二类子集;若一个所述网络流量报文对应的组合规则索引下标信息为组合规则的第一类子集且另一个所述网络流量报文对应的组合规则索引下标信息为组合规则的第二类子集,则根据一个所述网络流量报文对应的组合规则索引下标信息以及另一个所述网络流量报文对应的组合规则索引下标信息组建第二规则查找信息;根据所述第二规则查找信息,查询预设的第二规则表;所述第二规则表中存储有第一类子集、第二类子集关联形成的组合规则信息以及对应的组合规则执行动作信息;若所述第二规则查找信息在所述第二规则表中没有匹配的组合规则信息,则对一个所述网络流量报文以及另一个所述网络流量报文执行丢弃处理;若所述第一规则查找信息在所述第二规则表中有匹配的组合规则信息,对一个所述网络流量报文以及另一个所述网络流量报文执行转发处理。4.如权利要求3所述的流量报文的过滤方法,其特征在于,所述网络流量报文的协议版本号为第四层协议的协议类型。5.如权利要求4所述的流量报文的过滤方法,其特征在于,所述第一规则查找信息元组规则表为Hash表。6.如权利要求5所述的流量报文的过滤方法,其特征在于,所述第一类子集的个数为1...
【专利技术属性】
技术研发人员:党向磊,张良,李高超,陈训逊,李建强,孙中豪,马欢,吴昊,常雪侠,
申请(专利权)人:国家计算机网络与信息安全管理中心,长安通信科技有限责任公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。