本发明专利技术公开了一种网络数据包阻断优化方法以及系统,本方法包括将数据包解析信息与预设的若干个安全规则进行匹配,若数据包解析信息与其中一个安全规则之间完全匹配,对数据包进行阻断操作,并从数据包解析信息提取与其中一个安全规则对应的第一信息,将第一信息写入至对应的处理列表;将目标数据包解析信息与安全规则对应的处理列表中写入的数据进行匹配,若存在匹配,对目标数据包进行阻断操作。可以有效提高网络数据处理的性能,按照不同用户最常用安全规则设置,建立处理列表,处理列表中只提取对应信息,可以抛弃多余信息,节约存储空间,提高处理速度,通过处理列表与目标数据包解析信息之间匹配的方式实现快速监控和阻断数据传输。断数据传输。断数据传输。
【技术实现步骤摘要】
一种网络数据包阻断优化方法以及系统
[0001]本专利技术涉及网络安全
,特别涉及一种网络数据包阻断优化方法以及系统。
技术介绍
[0002]在网络中,设备之间的通讯是通过多种网络协议实现的,为了对网络行为进行有效的监控,其安全规则往往基于深度数据包解析,包含多种复杂的数据包信息,并且由于网络的复杂性,定义网络安全规则的方法复杂度高,需要消耗大量的CPU资源,可能影响到网络正常通讯。
技术实现思路
[0003]本专利技术旨在至少解决现有技术中存在的技术问题。为此,本专利技术提出一种网络数据包阻断优化方法以及系统,能够节约CPU处理能力,提高网络传输效率。
[0004]本专利技术的第一方面,提供了一种网络数据包阻断优化方法,包括如下步骤:
[0005]获取并解析网络中的数据包,得到所述数据包对应的数据包解析信息;
[0006]将所述数据包解析信息与预设的若干个安全规则进行匹配,若所述数据包解析信息与其中一个所述安全规则之间完全匹配,对所述数据包进行阻断操作,并从所述数据包解析信息提取与所述其中一个所述安全规则对应的第一信息,将所述第一信息写入至与所述其中一个所述安全规则对应的处理列表;
[0007]获取并解析网络中的目标数据包,得到所述目标数据包对应的目标数据包解析信息;
[0008]将所述目标数据包解析信息与所述处理列表中写入的数据进行匹配,若存在匹配,对所述目标数据包进行阻断操作。
[0009]根据本专利技术的一些实施例,所述处理列表为特定维度的分级表,其中所述特定维度包括所述数据包中的源地址、目标地址、网络协议名、端口号、数据特征码以及请求URL信息中的至少一种。
[0010]根据本专利技术的一些实施例,在所述将所述第一信息写入至与所述其中一个所述安全规则对应的处理列表之后,还包括步骤:
[0011]将写入所述处理列表中的所述第一信息划分不同类型;
[0012]根据不同类型的所述第一信息的数量,为所述处理列表中的不同类型的所述第一信息进行排序。
[0013]根据本专利技术的一些实施例,所述将所述目标数据包解析信息与所述处理列表中写入的数据进行匹配,包括步骤:
[0014]按照所述处理列表中由高至低排序的所述第一信息依次与所述目标数据包解析信息之间进行匹配。
[0015]根据本专利技术的一些实施例,在所述对所述目标数据包进行阻断操作之后,还包括
步骤:
[0016]若所述处理列表未写满,从所述目标数据包解析信息中提取与所述安全规则对应的目标第一信息;
[0017]将所述目标第一信息写入所述处理列表中。
[0018]根据本专利技术的一些实施例,在所述将所述目标数据包解析信息与所述处理列表中写入的数据进行匹配之前,还包括步骤:
[0019]通过AI进程将所述目标数据包解析信息与所述预设的若干个安全规则进行匹配,若匹配几率超过阈值,则将所述目标数据包解析信息与所述处理列表中写入的数据进行匹配。
[0020]本专利技术的第二方面,提供了一种网络数据包阻断优化系统,包括:
[0021]数据获取单元,用于获取网络中的数据包和目标数据包;
[0022]信息解析单元,用于解析所述数据包和所述目标数据包,得到所述数据包对应的数据包解析信息和所述目标数据包对应的目标数据包解析信息;
[0023]数据划分单元,用于将所述数据包解析信息与预设的若干个安全规则进行匹配,若所述数据包解析信息与其中一个所述安全规则之间完全匹配,从所述数据包解析信息提取与所述其中一个所述安全规则对应的第一信息,将所述第一信息写入至与所述其中一个所述安全规则对应的处理列表;
[0024]数据阻断单元,用于在所述数据包解析信息与其中一个所述安全规则之间完全匹配时,对所述数据包进行阻断操作;以及用于将所述目标数据包解析信息与所述处理列表中写入的数据进行匹配,若存在匹配,对所述目标数据包进行阻断操作。
[0025]根据本专利技术的一些实施例,所述数据划分单元还用于将写入所述处理列表中的所述第一信息划分不同类型,并且根据不同类型的所述第一信息的数量,为所述处理列表中的不同类型的所述第一信息进行排序。
[0026]根据本专利技术的一些实施例,还包括数据存储单元,所述数据存储单元用于存储所述处理列表以及存储阻断操作之后产生的阻断记录。
[0027]根据本专利技术的一些实施例,所述数据获取单元从网络交换机、路由器或终端日志中获取所述数据包和所述目标数据包。
[0028]本申请第一方面提供了一种网络数据包阻断优化方法,首先获取并解析网络中的数据包,得到数据包对应的数据包解析信息;将数据包解析信息与预设的若干个安全规则进行匹配,若数据包解析信息与其中一个安全规则之间完全匹配,对数据包进行阻断操作,并从数据包解析信息提取与其中一个安全规则对应的第一信息,将第一信息写入至与其中一个安全规则对应的处理列表;获取并解析网络中的目标数据包,得到目标数据包对应的目标数据包解析信息;将目标数据包解析信息与处理列表中写入的数据进行匹配,若存在匹配,对目标数据包进行阻断操作。本方法可以有效提高网络数据处理的性能,按照不同用户最常用安全规则设置,建立处理列表,处理列表中只提取与匹配安全规则所对应的关键信息,可以抛弃多余信息,节约存储空间,提高处理速度,通过处理列表与目标数据包解析信息之间匹配的方式实现快速监控和阻断数据传输。
[0029]可以理解的是,上述第二方面与相关技术相比存在的有益效果与上述第一方面与相关技术相比存在的有益效果相同,可以参见上述第一方面中的相关描述,在此不再赘述。
[0030]本专利技术的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。
附图说明
[0031]本专利技术的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
[0032]图1为本专利技术一个实施例提供的一种网络数据包阻断优化方法的流程示意图;
[0033]图2为本专利技术一个实施例提供的一种网络数据包阻断优化系统的结构示意图。
具体实施方式
[0034]下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本专利技术,而不能理解为对本专利技术的限制。
[0035]在网络中,设备之间的通讯是通过多种网络协议实现的,为了对网络行为进行有效的监控,其安全规则往往基于深度数据包解析,包含多种复杂的数据包信息,并且由于网络的复杂性,定义网络安全规则的方法复杂度高,需要消耗大量的CPU资源,可能影响到网络正常通讯。
[0036]为了解决上述缺陷,按照不同用户最常用安全规则设置,建立处理列表,处理列表中只提取与匹配安全规则所对应的关键信息,可以抛弃多余信息,节约存储空间,提高处理速度,通过处理列表与目标数据包解析信息之间匹配本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络数据包阻断优化方法,其特征在于,包括如下步骤:获取并解析网络中的数据包,得到所述数据包对应的数据包解析信息;将所述数据包解析信息与预设的若干个安全规则进行匹配,若所述数据包解析信息与其中一个所述安全规则之间完全匹配,对所述数据包进行阻断操作,并从所述数据包解析信息提取与所述其中一个所述安全规则对应的第一信息,将所述第一信息写入至与所述其中一个所述安全规则对应的处理列表;获取并解析网络中的目标数据包,得到所述目标数据包对应的目标数据包解析信息;将所述目标数据包解析信息与所述处理列表中写入的数据进行匹配,若存在匹配,对所述目标数据包进行阻断操作。2.根据权利要求1所述的网络数据包阻断优化方法,其特征在于,所述处理列表为特定维度的分级表,其中所述特定维度包括所述数据包中的源地址、目标地址、网络协议名、端口号、数据特征码以及请求URL信息中的至少一种。3.根据权利要求2所述的网络数据包阻断优化方法,其特征在于,在所述将所述第一信息写入至与所述其中一个所述安全规则对应的处理列表之后,还包括步骤:将写入所述处理列表中的所述第一信息划分不同类型;根据不同类型的所述第一信息的数量,为所述处理列表中的不同类型的所述第一信息进行排序。4.根据权利要求3所述的网络数据包阻断优化方法,其特征在于,所述将所述目标数据包解析信息与所述处理列表中写入的数据进行匹配,包括步骤:按照所述处理列表中由高至低排序的所述第一信息依次与所述目标数据包解析信息之间进行匹配。5.根据权利要求3所述的网络数据包阻断优化方法,其特征在于,在所述对所述目标数据包进行阻断操作之后,还包括步骤:若所述处理列表未写满,从所述目标数据包解析信息中提取与所述安全规则对应的目标第一信息;将所述目标第一信息写入所述处理列表中。6.根据权利要...
【专利技术属性】
技术研发人员:钟耀武,李正,王斌,郭敏,
申请(专利权)人:湖南恒茂高科股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。