數(shù)據(jù)包處理方法及裝置制造方法
【專利摘要】本發(fā)明實(shí)施例提供一種數(shù)據(jù)包處理方法及裝置。本發(fā)明數(shù)據(jù)包處理方法,包括:接收IP數(shù)據(jù)包,所述IP數(shù)據(jù)包的IP地址中包含用于指示所述IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息;根據(jù)所述標(biāo)識信息,對所述IP數(shù)據(jù)包進(jìn)行過濾處理。本發(fā)明實(shí)施例,通過接收IP地址中含有指示該IP地址對應(yīng)業(yè)務(wù)類型標(biāo)識信息的IP數(shù)據(jù)包,并根據(jù)該IP數(shù)據(jù)包的IP地址中的標(biāo)識信息對該IP數(shù)據(jù)包進(jìn)行過濾處理,大大提高了檢測速度,滿足實(shí)時(shí)檢測的要求。
【專利說明】數(shù)據(jù)包處理方法及裝置
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明實(shí)施例涉及通信技術(shù),尤其涉及一種數(shù)據(jù)包處理方法及裝置。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,互聯(lián)網(wǎng)已經(jīng)成為人們工作、生活、學(xué)習(xí)過程中不可或缺、便捷高效的工具,而一些惡意網(wǎng)站或者釣魚網(wǎng)站的出現(xiàn)嚴(yán)重影響用戶的數(shù)據(jù)安全信息,同時(shí)企業(yè)普遍存在電腦和互聯(lián)網(wǎng)濫用的嚴(yán)重問題,因此,安全網(wǎng)關(guān)技術(shù)變地非常重要,同時(shí)對于安全網(wǎng)關(guān)技術(shù)的要求也越來越高。
[0003]現(xiàn)有技術(shù)通過對數(shù)據(jù)包進(jìn)行一系列的深度內(nèi)容分析后,判斷是否需要按照安全管理策略對數(shù)據(jù)包進(jìn)行相應(yīng)的丟棄、攔截或放行等處理。例如,對數(shù)據(jù)包攜帶的應(yīng)用層數(shù)據(jù)依次進(jìn)行數(shù)據(jù)提取,將提取的數(shù)據(jù)輸入統(tǒng)一資源定位符(Uniform Resource Locator,簡稱URL)匹配模塊與惡意URL庫中的URL進(jìn)行匹配,以及對提取的數(shù)據(jù)進(jìn)行病毒檢測,進(jìn)行惡意代碼檢測,進(jìn)行反釣魚檢測等等一系列的檢測。
[0004]由于現(xiàn)有技術(shù)需要對數(shù)據(jù)包做大量的分析比對,其檢測速度慢,難以滿足實(shí)時(shí)要求。
【發(fā)明內(nèi)容】
[0005]本發(fā)實(shí)施例提供一種數(shù)據(jù)包處理方法及裝置,用以解決現(xiàn)有技術(shù)檢測速度慢的問題。
[0006]第一方面,本發(fā)明實(shí)施例提供一種數(shù)據(jù)包處理方法,包括:
[0007]接收IP數(shù)據(jù)包,所述IP數(shù)據(jù)包的IP地址中包含用于指示所述IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息;
[0008]根據(jù)所述標(biāo)識信息,對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
[0009]結(jié)合第一方面,在第一方面的第一種可能的實(shí)現(xiàn)方式中,所述標(biāo)識信息為子網(wǎng)地址中預(yù)定位置比特位的編碼值。
[0010]結(jié)合第一方面或第一方面的第一種可能的實(shí)現(xiàn)方式,在第一方面的第二種可能的實(shí)現(xiàn)方式中,所述根據(jù)所述標(biāo)識信息,對所述IP數(shù)據(jù)包進(jìn)行過濾處理,包括:
[0011]提取所述IP數(shù)據(jù)包攜帶的業(yè)務(wù)數(shù)據(jù),并對所述業(yè)務(wù)數(shù)據(jù)的類型進(jìn)行識別,確定所述IP數(shù)據(jù)包中包含的業(yè)務(wù)數(shù)據(jù)為第一業(yè)務(wù)類型,并且,根據(jù)所述標(biāo)識信息,確定所述IP地址對應(yīng)的第二業(yè)務(wù)類型;
[0012]比較所述第一業(yè)務(wù)類型和第二業(yè)務(wù)類型是否一致;
[0013]若不一致,則對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
[0014]結(jié)合第一方面或第一方面的第一種可能的實(shí)現(xiàn)方式,在第一方面的第三種可能的實(shí)現(xiàn)方式中,所述根據(jù)所述標(biāo)識信息,對所述IP數(shù)據(jù)包進(jìn)行過濾處理,包括:
[0015]根據(jù)所述標(biāo)識信息,確定所述IP地址對應(yīng)的業(yè)務(wù)類型;
[0016]采用與所述業(yè)務(wù)類型對應(yīng)的安全策略,對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
[0017]結(jié)合第一方面、第一方面的第一種至第三種任一種可能的實(shí)現(xiàn)方式,在第一方面的第四種可能的實(shí)現(xiàn)方式中,所述IP數(shù)據(jù)包為IPv6數(shù)據(jù)包或IPv4數(shù)據(jù)包;
[0018]對應(yīng)地,所述IP地址為IPv6地址或IPv4地址。
[0019]第二方面,本發(fā)明實(shí)施例提供一種數(shù)據(jù)包處理裝置,包括:
[0020]接收模塊,用于接收IP數(shù)據(jù)包,所述IP數(shù)據(jù)包的IP地址中包含用于指示所述IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息;
[0021]處理模塊,用于根據(jù)所述標(biāo)識信息,對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
[0022]結(jié)合第二方面,在第二面的第一種可能的實(shí)現(xiàn)方式中,所述標(biāo)識信息為子網(wǎng)地址中預(yù)定位置比特位的編碼值。
[0023]結(jié)合第二方面或第二方面的第一種可能的實(shí)現(xiàn)方式,在第二方面的第二種可能的實(shí)現(xiàn)方式中,所述處理模塊包括:
[0024]識別單元,用于提取所述IP數(shù)據(jù)包攜帶的業(yè)務(wù)數(shù)據(jù),并對所述業(yè)務(wù)數(shù)據(jù)的類型進(jìn)行識別,確定所述IP數(shù)據(jù)包中包含的業(yè)務(wù)數(shù)據(jù)為第一業(yè)務(wù)類型,并且,根據(jù)所述標(biāo)識信息,確定所述IP地址對應(yīng)的第二業(yè)務(wù)類型;
[0025]比較單元,用于比較所述識別單元確定的所述第一業(yè)務(wù)類型和第二業(yè)務(wù)類型是否一致;
[0026]第一處理單元,用于若所述比較單元的比較結(jié)果不一致,則對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
[0027]結(jié)合第二方面或第二方面的第一種可能的實(shí)現(xiàn)方式,在第二方面的第三種可能的實(shí)現(xiàn)方式中,所述處理模塊包括:
[0028]確定單元,用于根據(jù)所述標(biāo)識信息,確定所述IP地址對應(yīng)的業(yè)務(wù)類型;
[0029]第二處理單元,用于采用與所述確定單元確定的所述業(yè)務(wù)類型對應(yīng)的安全策略,對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
[0030]結(jié)合第二方面、第二方面的第一種至第三種任一種可能的實(shí)現(xiàn)方式,在第二方面的第四種可能的實(shí)現(xiàn)方式中,所述IP數(shù)據(jù)包為IPv6數(shù)據(jù)包或IPv4數(shù)據(jù)包;
[0031]對應(yīng)地,所述IP地址為IPv6地址或IPv4地址。
[0032]本發(fā)明實(shí)施例,通過接收IP地址中含有指示該IP地址對應(yīng)業(yè)務(wù)類型標(biāo)識信息的IP數(shù)據(jù)包,并根據(jù)該IP數(shù)據(jù)包的IP地址中的標(biāo)識信息對該IP數(shù)據(jù)包進(jìn)行過濾處理,大大提高了檢測速度,滿足實(shí)時(shí)檢測的要求。
【專利附圖】
【附圖說明】
[0033]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0034]圖1a為本發(fā)明實(shí)施例的應(yīng)用場景示意圖;
[0035]圖1b為本發(fā)明數(shù)據(jù)包處理方法實(shí)施例一的流程示意圖;
[0036]圖2a為本發(fā)明數(shù)據(jù)包處理方法實(shí)施例二的流程示意圖;
[0037]圖2b為本實(shí)施例中IPv6地址格式示意圖;
[0038]圖3為本發(fā)明數(shù)據(jù)包處理方法實(shí)施例三的流程示意圖;
[0039]圖4為本發(fā)明數(shù)據(jù)包處理方法實(shí)施例四的流程示意圖;
[0040]圖5為本發(fā)明數(shù)據(jù)包處理裝置實(shí)施例一的結(jié)構(gòu)示意圖;
[0041]圖6為本發(fā)明數(shù)據(jù)包處理裝置實(shí)施例二的結(jié)構(gòu)示意圖;
[0042]圖7為本發(fā)明數(shù)據(jù)包處理裝置實(shí)施例三的結(jié)構(gòu)示意圖;
[0043]圖8為本發(fā)明數(shù)據(jù)包處理裝置實(shí)施例四的結(jié)構(gòu)示意圖;
[0044]圖9為本發(fā)明實(shí)施例提供的數(shù)據(jù)包處理設(shè)備的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0045]為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0046]圖la為本發(fā)明實(shí)施例的應(yīng)用場景示意圖,如圖la所示,本發(fā)明實(shí)施例中,執(zhí)行主體為數(shù)據(jù)包處理裝置,該裝置可以通過軟件和/或硬件實(shí)現(xiàn),且可以將該數(shù)據(jù)包處理裝置部署在用戶現(xiàn)有的網(wǎng)絡(luò)接入點(diǎn)或者客戶終端,對應(yīng)于該數(shù)據(jù)包處理裝置可以具體為網(wǎng)關(guān)類設(shè)備或客戶端的軟件,可以降低用戶終端上網(wǎng)時(shí)所引發(fā)的風(fēng)險(xiǎn)與問題。
[0047]圖lb為本發(fā)明數(shù)據(jù)包處理方法實(shí)施例一的流程示意圖。本實(shí)施例的執(zhí)行主體為數(shù)據(jù)包處理裝置。如圖lb所示,本實(shí)施例的方法可以包括:
[0048]步驟101、接收IP數(shù)據(jù)包,所述IP數(shù)據(jù)包的IP地址中包含用于指示所述IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息。
[0049]目前網(wǎng)絡(luò)間互聯(lián)協(xié)議(Internet Protocol,簡稱IP協(xié)議)包含互聯(lián)網(wǎng)協(xié)議第四版(Internet Protocol vers1n4,簡稱 IPv4)及互聯(lián)網(wǎng)協(xié)議第六版(Internet Protocolvers1n6,簡稱IPv6)。其中,IPv4被廣泛應(yīng)用,但由于其地址只有32位,隨著互聯(lián)網(wǎng)的蓬勃發(fā)展,網(wǎng)絡(luò)設(shè)備及終端大規(guī)模地增長,網(wǎng)絡(luò)協(xié)議地址(Internet Protocol Address,簡稱IP地址)的需求量愈來愈大,出現(xiàn)IP地址短缺情況。而其中,IPv6采用128位地址長度,擴(kuò)大了地址空間,帶來了地址的極大豐富,有比較多的空閑bit位。因此,本實(shí)施例中可以根據(jù)內(nèi)容的信息即網(wǎng)站服務(wù)內(nèi)容對IP地址進(jìn)行進(jìn)一步地劃分,即在IP地址的子網(wǎng)地址中選取一定位置上的比特位,這些比特位的不同編碼值分別分配給提供不同類別業(yè)務(wù)的網(wǎng)站內(nèi)容提供商。
[0050]本實(shí)施例中,數(shù)據(jù)包處理裝置接收IP數(shù)據(jù)包即IP報(bào)文,該IP報(bào)文不一定是單個(gè)報(bào)文,可以是基于同一連接的連續(xù)多個(gè)IP報(bào)文,即某條數(shù)據(jù)流。由于該IP數(shù)據(jù)包的IP地址中包含用于指示該IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息,該標(biāo)識信息是子網(wǎng)地址中預(yù)定位置比特位的編碼值,如第a位到第b位上的編碼值,例如社交類網(wǎng)站發(fā)送的IP數(shù)據(jù)包IP地址的第a位到第b位編碼為80,新聞?lì)愵惥W(wǎng)站發(fā)送的IP數(shù)據(jù)包IP地址的該位編碼為90等類似方法,其中國際組織互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)(The Internet Assigned NumbersAuthority,簡稱IANA)分配給某個(gè)國家、某個(gè)運(yùn)營商或者某個(gè)企業(yè)一段固定長度的前綴后,再由國家或運(yùn)營商根據(jù)內(nèi)容的信息對IP地址進(jìn)行進(jìn)一步劃分,例如IP地址總共有Μ位,ΙΑΝΑ分配給某個(gè)運(yùn)營商的前綴是Ν位,則剩余的Μ-Ν位可供該運(yùn)營商進(jìn)一步劃分,a位到b位為所述可供進(jìn)一步劃分的M-N位中的至少I個(gè)比特位,a的取值范圍為I至M-N中的自然數(shù),b的取值范圍2至M-N中的自然數(shù),a小于b。因此,可以通過該IP數(shù)據(jù)包的IP地址中的標(biāo)識信息獲知該IP數(shù)據(jù)包的業(yè)務(wù)類型。
[0051]步驟102、根據(jù)所述標(biāo)識信息,對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
[0052]通過該IP數(shù)據(jù)包的IP地址中的標(biāo)識信息獲知該IP數(shù)據(jù)包的業(yè)務(wù)類型,然后對該IP數(shù)據(jù)包進(jìn)行過濾處理,比如對于惡意網(wǎng)站進(jìn)行阻止,或者對于上班時(shí)間阻止娛樂網(wǎng)站只允許上技術(shù)類網(wǎng)站等類似情況。
[0053]本實(shí)施例中,所述IP數(shù)據(jù)包可以為IPv6數(shù)據(jù)包或IPv4數(shù)據(jù)包;對應(yīng)地,所述IP地址可以為IPv6地址或IPv4地址。
[0054]根據(jù)上述可知IPv6采用128位地址長度,擴(kuò)大了地址空間,有比較多的空閑bit位,本實(shí)施例中可以根據(jù)網(wǎng)站服務(wù)內(nèi)容不同,對IP地址進(jìn)一步地劃分,因此,IP數(shù)據(jù)包為IPv6數(shù)據(jù)包及IP地址為IPv6地址時(shí)可以實(shí)現(xiàn)本發(fā)明上述技術(shù)方案。而對于IPv4,雖然在大部分地區(qū)IPv4地址比較緊張,沒有太多空閑地址可以用來標(biāo)示內(nèi)容類型,但是不排除在某些IP地址豐富的國家或者地區(qū),或者分配給大企業(yè)的IPv4地址,也可以使用某些空閑bit位來標(biāo)示網(wǎng)站內(nèi)容類型,因此,IP數(shù)據(jù)包為IPv4數(shù)據(jù)包及IP地址為IPv4地址時(shí)亦可以實(shí)現(xiàn)本發(fā)明上述技術(shù)方案。
[0055]本實(shí)施例,通過接收IP地址中含有指示該IP地址對應(yīng)業(yè)務(wù)類型標(biāo)識信息的IP數(shù)據(jù)包,并根據(jù)該IP數(shù)據(jù)包的IP地址中的標(biāo)識信息對該IP數(shù)據(jù)包進(jìn)行過濾處理,大大提高了檢測速度,滿足實(shí)時(shí)檢測的要求。
[0056]下面采用幾個(gè)具體的實(shí)施例,對圖1所示方法實(shí)施例的技術(shù)方案進(jìn)行詳細(xì)說明。
[0057]圖2a為本發(fā)明數(shù)據(jù)包處理方法實(shí)施例二的流程示意圖,如圖2a所示,本實(shí)施例的方法可以包括:
[0058]步驟201、接收IP數(shù)據(jù)包,所述IP數(shù)據(jù)包的IP地址中包含用于指示所述IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息。
[0059]IP地址的分成了子網(wǎng)地址(Subnet Prefix)和主機(jī)地址(Identifier Id)兩部分,其中,網(wǎng)絡(luò)號用于識別主機(jī)所在的網(wǎng)絡(luò),其位數(shù)直接決定了可以分配的網(wǎng)絡(luò)數(shù);主機(jī)號用于識別該網(wǎng)絡(luò)中的主機(jī),其位數(shù)直接決定了網(wǎng)絡(luò)中最大的主機(jī)數(shù)。
[0060]本實(shí)施例中,具體地所述標(biāo)識信息為子網(wǎng)地址中預(yù)定位置比特位的編碼值。
[0061]數(shù)據(jù)包處理裝置接收IP數(shù)據(jù)包,該IP數(shù)據(jù)包的IP地址的子網(wǎng)地址中包含用于指示該IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息,例如社交類網(wǎng)站發(fā)送的IP數(shù)據(jù)包IP地址中子網(wǎng)地址的第a位到第b位編碼為80,新聞?lì)愵惥W(wǎng)站發(fā)送的IP數(shù)據(jù)包IP地址中子網(wǎng)地址的該些位編碼為90等類似方法。本實(shí)施例中,該標(biāo)識信息可以包含在該子網(wǎng)地址的如最后4位或者8位或者16位或者其它位上,本實(shí)施例在此不作特別限制。例如,圖2b為本實(shí)施例中IPv6地址格式示意圖,如圖2b所示,對于128位的IPv6地址,子網(wǎng)地址和主機(jī)地址各占64位,子網(wǎng)地址中的第57-64位編碼為10則代表該網(wǎng)站為新聞?lì)惥W(wǎng)站,子網(wǎng)地址中的第57-64位編碼為20則代表該網(wǎng)站為電子商務(wù)類網(wǎng)站等。因此,可以通過該IP數(shù)據(jù)包的IP地址的子網(wǎng)地址中的標(biāo)識信息獲知該IP數(shù)據(jù)包的業(yè)務(wù)類型。
[0062]步驟202、提取所述IP數(shù)據(jù)包攜帶的業(yè)務(wù)數(shù)據(jù),并對所述業(yè)務(wù)數(shù)據(jù)的類型進(jìn)行識另IJ,確定所述IP數(shù)據(jù)包中包含的業(yè)務(wù)數(shù)據(jù)為第一業(yè)務(wù)類型。
[0063]本實(shí)施例中,通過利用深度包檢測(Deep Packet Inspect1n,簡稱DPI)技術(shù)提取IP數(shù)據(jù)包攜帶的業(yè)務(wù)數(shù)據(jù)如URL,具體應(yīng)用層數(shù)據(jù)等,通過根據(jù)URL和/或數(shù)據(jù)包中具體內(nèi)容中的關(guān)鍵字對該IP數(shù)據(jù)包攜帶的業(yè)務(wù)數(shù)據(jù)進(jìn)行簡單地?cái)?shù)據(jù)解析,只需識別該IP數(shù)據(jù)包內(nèi)容的類別,并對已識別的IP數(shù)據(jù)包內(nèi)容類型進(jìn)行分類,如數(shù)據(jù)包具體內(nèi)容中包含“晨報(bào)”等類似關(guān)鍵字,則該網(wǎng)頁是新聞網(wǎng)站并以“ 1”為代表,包含“明星”,“電影”等類似關(guān)鍵字,則該網(wǎng)頁是娛樂網(wǎng)站并以“3”為代表,而不需要進(jìn)行過多的分析和惡意代碼檢測。比如,1、2及3三種類型,其中1、2及3分別代表:新聞?lì)悺㈦娮由虅?wù)類及娛樂類,通過分析確定該IP數(shù)據(jù)包中包含的業(yè)務(wù)數(shù)據(jù)為第一業(yè)務(wù)類型,例如為類型1或者2或者3。
[0064]步驟203、根據(jù)所述標(biāo)識信息,確定所述IP地址對應(yīng)的第二業(yè)務(wù)類型。
[0065]同時(shí),根據(jù)IP地址中包含用于指示該IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息,對IP數(shù)據(jù)包的IP地址中特定bit位數(shù)值進(jìn)行分析,可以快速地確定該IP地址對應(yīng)的第二業(yè)務(wù)類型,例如,對于IPv6地址,子網(wǎng)地址中的第57位-64位為10、20及30分別代表1新聞?lì)悺?電子商務(wù)類及3娛樂類。
[0066]步驟204、比較所述第一業(yè)務(wù)類型和第二業(yè)務(wù)類型是否一致;若不一致,則對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
[0067]需要說明的是,若一個(gè)網(wǎng)站是正規(guī)網(wǎng)站,則一定滿足上述第一業(yè)務(wù)類型和第二業(yè)務(wù)類型一致。因此,若通過將同一 IP數(shù)據(jù)包根據(jù)DPI分類(即第一業(yè)務(wù)類型)與根據(jù)該IP數(shù)據(jù)包的IP地址所攜帶業(yè)務(wù)類型信息分類(即第二業(yè)務(wù)類型)的結(jié)果進(jìn)行比對,判斷該第一業(yè)務(wù)類型和第二業(yè)務(wù)類型是否一致,若不一致,則說明該IP地址對應(yīng)的網(wǎng)站有問題,是假冒網(wǎng)站,可能是釣魚網(wǎng)站,例如,通過DPI方式對IP數(shù)據(jù)包應(yīng)用層數(shù)據(jù)的分析結(jié)果為電子商務(wù)類購物網(wǎng)站,而通過IP地址所攜帶的業(yè)務(wù)類型信息判斷該IP數(shù)據(jù)包是新聞網(wǎng)站,則說明該網(wǎng)站是一個(gè)假冒的網(wǎng)站。根據(jù)事先設(shè)定的安全策略對該IP數(shù)據(jù)包進(jìn)行相應(yīng)地過濾處理,例如,丟棄該IP數(shù)據(jù)包,或者對用戶彈出提示告警,由用戶手動進(jìn)行確認(rèn)。
[0068]而若判斷該第一業(yè)務(wù)類型和第二業(yè)務(wù)類型一致,則亦根據(jù)事先設(shè)定的安全策略對該IP數(shù)據(jù)包進(jìn)行相應(yīng)地處理,例如,可以將該數(shù)據(jù)放行。
[0069]本實(shí)施例,通過接收IP地址中含有指示該IP地址對應(yīng)業(yè)務(wù)類型標(biāo)識信息的IP數(shù)據(jù)包,使用DPI對該IP數(shù)據(jù)包檢測分析該IP數(shù)據(jù)包包含的業(yè)務(wù)數(shù)據(jù)類型,以及根據(jù)該IP數(shù)據(jù)包的IP地址中的標(biāo)識信息判斷該IP數(shù)據(jù)包包含的業(yè)務(wù)數(shù)據(jù)類型,將通過兩種方式得到的業(yè)務(wù)數(shù)據(jù)類型進(jìn)行比對判斷,根據(jù)比對判斷的結(jié)果對該IP數(shù)據(jù)包進(jìn)行過濾處理,大大提高了檢測速度,滿足實(shí)時(shí)檢測的要求,同時(shí)提高了檢測的準(zhǔn)確率。
[0070]圖3為本發(fā)明數(shù)據(jù)包處理方法實(shí)施例三的流程示意圖,如圖3所示,本實(shí)施例與圖2所示實(shí)施例的區(qū)別在于本實(shí)施例中直接根據(jù)IP數(shù)據(jù)包的IP地址中攜帶的該IP數(shù)據(jù)包的內(nèi)容分類信息對該IP數(shù)據(jù)包進(jìn)行過濾處理,本實(shí)施例的方法可以包括:
[0071]步驟301、接收IP數(shù)據(jù)包,所述IP數(shù)據(jù)包的IP地址中包含用于指示所述IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息。
[0072]本實(shí)施例中,具體地所述標(biāo)識信息為子網(wǎng)地址中預(yù)定位置比特位的編碼值。本實(shí)施例中,該標(biāo)識信息可以包含在該子網(wǎng)地址的如最后4位或者8位或者16位或者其它位上,本實(shí)施例在此不作特別限制。例如,對于IPv6地址,可以根據(jù)IP數(shù)據(jù)包內(nèi)容的信息不同,在IP地址的子網(wǎng)地址的后8位即第57-64位給予固定編碼代表不同類型的內(nèi)容信息。
[0073]步驟302、根據(jù)所述標(biāo)識信息,確定所述IP地址對應(yīng)的業(yè)務(wù)類型。
[0074]本實(shí)施例中,執(zhí)行主體為數(shù)據(jù)包處理裝置,例如可以為上網(wǎng)行為管理設(shè)備,上網(wǎng)行為管理設(shè)備根據(jù)IP地址中包含用于指示該IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息,對IP數(shù)據(jù)包的IP地址中特定bit位數(shù)值可以通過查詢內(nèi)容分類信息表進(jìn)行分析,例如,對于IPv6地址,子網(wǎng)地址中的第57位-64位為10、20及30分別代表I新聞?lì)悺?電子商務(wù)類及3娛樂類,從而可以快速地確定該IP地址對應(yīng)的業(yè)務(wù)類型。
[0075]步驟303、采用與所述業(yè)務(wù)類型對應(yīng)的安全策略,對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
[0076]本實(shí)施例中,上網(wǎng)行為管理設(shè)備采用業(yè)務(wù)類型對應(yīng)的安全策略之前,還可根據(jù)事先設(shè)定的各分類信息對應(yīng)的安全策略查詢與該業(yè)務(wù)類型對應(yīng)的安全策略,例如,公司禁止員工在上班時(shí)間上娛樂類及購物類網(wǎng)站,只允許上技術(shù)類網(wǎng)站,或者禁止孩子在某個(gè)時(shí)間段上相關(guān)游戲網(wǎng)站等。從而上網(wǎng)行為管理設(shè)備根據(jù)與該IP數(shù)據(jù)包的業(yè)務(wù)類型相應(yīng)的安全策略對該IP數(shù)據(jù)包進(jìn)行相應(yīng)地過濾處理,例如丟包或者放行處理。
[0077]本實(shí)施例,通過接收IP地址中含有指示該IP地址對應(yīng)業(yè)務(wù)類型標(biāo)識信息的IP數(shù)據(jù)包,并直接根據(jù)該IP數(shù)據(jù)包的IP地址中的標(biāo)識信息對該IP數(shù)據(jù)包進(jìn)行過濾處理,大大提高了檢測及處理速度,滿足實(shí)時(shí)檢測的要求。
[0078]圖4為本發(fā)明數(shù)據(jù)包處理方法實(shí)施例四的流程示意圖。本實(shí)施例的執(zhí)行主體為數(shù)據(jù)包處理裝置,該裝置可以通過軟件和/或硬件實(shí)現(xiàn)。如圖4所示,本實(shí)施例的方法可以包括:
[0079]步驟401、生成IP數(shù)據(jù)包,所述IP數(shù)據(jù)包的IP地址中包含用于指示所述IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息。
[0080]根據(jù)上述實(shí)施例可知,目前IP協(xié)議包含IPv4和IPv6,而其中IPv6采用128位地址長度,擴(kuò)大了地址空間,帶來了地址的極大豐富,有比較多的空閑bit位。而對于IPv4,雖然在大部分地區(qū)IPv4地址比較緊張,沒有太多空閑地址可以用來標(biāo)示內(nèi)容類型,但是不排除在某些IP地址豐富的國家或者地區(qū),或者分配給大企業(yè)的IPv4地址,也可以使用某些空閑bit位來標(biāo)示網(wǎng)站內(nèi)容類型。因此,本實(shí)施例中,可以根據(jù)網(wǎng)站服務(wù)內(nèi)容信息不同,對IP地址進(jìn)一步地劃分,即可按照網(wǎng)站服務(wù)內(nèi)容不同,在IP地址中特定位給予固定的編碼,即在IP地址中嵌入了 IP地址所指向的內(nèi)容。
[0081]本實(shí)施例中,生成的IP數(shù)據(jù)包即IP報(bào)文,該IP報(bào)文不一定是單個(gè)報(bào)文,可以是基于同一連接的連續(xù)多個(gè)IP報(bào)文,即某條數(shù)據(jù)流。該IP數(shù)據(jù)包的IP地址中包含用于指示該IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息,例如社交類網(wǎng)站的IP地址的特定位,如第a位到第b位編碼為80,新聞?lì)愵惥W(wǎng)站的該些位編碼為90等類似方法,其中a位到b位為該IP地址中任意若干地址位。因此,數(shù)據(jù)包處理裝置可以通過該IP數(shù)據(jù)包的IP地址中的標(biāo)識信息獲知該IP數(shù)據(jù)包的業(yè)務(wù)類型。
[0082]步驟402、發(fā)送所述IP數(shù)據(jù)包。
[0083]向網(wǎng)關(guān)類設(shè)備或客戶端軟件發(fā)送該IP數(shù)據(jù)包,該IP數(shù)據(jù)包的IP地址中包含用于指示該IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息,以便于網(wǎng)關(guān)類設(shè)備或客戶端軟件根據(jù)該IP數(shù)據(jù)包所攜帶的業(yè)務(wù)類型的信息對IP數(shù)據(jù)包進(jìn)行快速地過濾處理。
[0084]本實(shí)施例中,所述IP數(shù)據(jù)包可以為IPv6數(shù)據(jù)包或IPv4數(shù)據(jù)包,對應(yīng)地,所述IP地址可以為IPv6地址或IPv4地址。
[0085]根據(jù)上述可知IPv6采用128位地址長度,擴(kuò)大了地址空間,有比較多的空閑bit位,本實(shí)施例中可以根據(jù)網(wǎng)站服務(wù)內(nèi)容不同,對IP地址進(jìn)一步地劃分,因此,IP數(shù)據(jù)包為IPv6數(shù)據(jù)包及IP地址為IPv6地址時(shí)可以實(shí)現(xiàn)本發(fā)明上述技術(shù)方案。而對于IPv4,雖然在大部分地區(qū)IPv4地址比較緊張,沒有太多空閑地址可以用來標(biāo)示內(nèi)容類型,但是不排除在某些IP地址豐富的國家或者地區(qū),或者分配給大企業(yè)的IPv4地址,也可以使用某些空閑bit位來標(biāo)示網(wǎng)站內(nèi)容類型,因此,IP數(shù)據(jù)包為IPv4數(shù)據(jù)包及IP地址為IPv4地址時(shí)亦可以實(shí)現(xiàn)本發(fā)明上述技術(shù)方案。
[0086]進(jìn)一步地,所述標(biāo)識信息為子網(wǎng)地址中預(yù)定位置比特位的編碼值。本實(shí)施例中,數(shù)據(jù)包處理裝置生成IP數(shù)據(jù)包,該IP數(shù)據(jù)包的IP地址的子網(wǎng)地址中包含用于指示該IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息,例如社交類網(wǎng)站的IP地址中子網(wǎng)地址部分的特定位,如第a位到第b位編碼為80,新聞?lì)愵惥W(wǎng)站的該位編碼為90等類似方法。本實(shí)施例中,該標(biāo)識信息可以包含在該子網(wǎng)地址的如最后4位或者8位或者16位或者其它位上,本實(shí)施例在此不作特別限制。例如,對于128位的IPv6地址,子網(wǎng)地址中的第57-64位編碼為10則代表該網(wǎng)站為新聞?lì)惥W(wǎng)站,第57-64位編碼為20則代表該網(wǎng)站為電子商務(wù)類網(wǎng)站等。
[0087]本實(shí)施例,通過生成IP地址中含有指示該IP地址對應(yīng)業(yè)務(wù)類型標(biāo)識信息的IP數(shù)據(jù)包,并發(fā)送該IP數(shù)據(jù)包,以便于對IP數(shù)據(jù)包進(jìn)行過濾處理,大大提高了檢測速度,滿足實(shí)時(shí)檢測的要求。
[0088]圖5為本發(fā)明數(shù)據(jù)包處理裝置實(shí)施例一的結(jié)構(gòu)示意圖。本實(shí)施例中的數(shù)據(jù)包處理裝置可以設(shè)置在用戶側(cè)。本實(shí)施例提供的數(shù)據(jù)包處理裝置50包括:接收模塊501及處理模塊 502。
[0089]其中,接收模塊501用于接收IP數(shù)據(jù)包,所述IP數(shù)據(jù)包的IP地址中包含用于指示所述IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息;
[0090]處理模塊502用于根據(jù)所述標(biāo)識信息,對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
[0091]可選地,所述IP數(shù)據(jù)包為IPv6數(shù)據(jù)包或IPv4數(shù)據(jù)包;對應(yīng)地,所述IP地址為IPv6地址或IPv4地址。
[0092]本實(shí)施例的數(shù)據(jù)包處理裝置,可以用于數(shù)據(jù)包處理方法實(shí)施例一的技術(shù)方案,其實(shí)現(xiàn)原理和技術(shù)效果類似,此處不再贅述。
[0093]圖6為本發(fā)明數(shù)據(jù)包處理裝置實(shí)施例二的結(jié)構(gòu)示意圖,如圖6所示,本實(shí)施例提供的數(shù)據(jù)包處理裝置50在圖5所示數(shù)據(jù)包處理裝置結(jié)構(gòu)的基礎(chǔ)上,所述處理模塊502可以包括:
[0094]識別單元5021,用于提取所述IP數(shù)據(jù)包攜帶的業(yè)務(wù)數(shù)據(jù),并對業(yè)務(wù)數(shù)據(jù)的類型進(jìn)行識別,確定所述IP數(shù)據(jù)包中包含的業(yè)務(wù)數(shù)據(jù)為第一業(yè)務(wù)類型,并且,根據(jù)所述標(biāo)識信息,確定所述IP地址對應(yīng)的第二業(yè)務(wù)類型;
[0095]比較單元5022,用于比較所述識別單元5021確定的所述第一業(yè)務(wù)類型和第二業(yè)務(wù)類型是否一致;
[0096]第一處理單元5023,用于若所述比較單元5022的比較結(jié)果不一致,則對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
[0097]可選地,所述標(biāo)識信息為子網(wǎng)地址中預(yù)定位置比特位的編碼值。
[0098]本實(shí)施例的數(shù)據(jù)包處理裝置,可以用于數(shù)據(jù)包處理方法實(shí)施例二的技術(shù)方案,其實(shí)現(xiàn)原理和技術(shù)效果類似,此處不再贅述。
[0099]圖7為本發(fā)明數(shù)據(jù)包處理裝置實(shí)施例三的結(jié)構(gòu)示意圖,如圖7所示,本實(shí)施例提供的數(shù)據(jù)包處理裝置50在圖5所示數(shù)據(jù)包處理裝置結(jié)構(gòu)的基礎(chǔ)上,所述處理模塊502可以包括:
[0100]確定單元5024,用于根據(jù)所述標(biāo)識信息,確定所述IP地址對應(yīng)的業(yè)務(wù)類型;
[0101]第二處理單元5025,用于采用與所述確定單元5024確定的所述業(yè)務(wù)類型對應(yīng)的安全策略,對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
[0102]可選地,所述標(biāo)識信息為子網(wǎng)地址中預(yù)定位置比特位的編碼值。
[0103]本實(shí)施例的數(shù)據(jù)包處理裝置,可以用于數(shù)據(jù)包處理方法實(shí)施例三的技術(shù)方案,其實(shí)現(xiàn)原理和技術(shù)效果類似,此處不再贅述。
[0104]圖8為本發(fā)明數(shù)據(jù)包處理裝置實(shí)施例四的結(jié)構(gòu)示意圖。本實(shí)施例中的數(shù)據(jù)包處理裝置可以設(shè)置在網(wǎng)絡(luò)側(cè)。本實(shí)施例提供的數(shù)據(jù)包處理裝置80包括:生成模塊801及發(fā)送模塊 802。
[0105]其中,生成模塊801,用于生成IP數(shù)據(jù)包,所述IP數(shù)據(jù)包的IP地址中包含用于指示所述IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息;
[0106]發(fā)送模塊802,用于發(fā)送所述IP數(shù)據(jù)包。
[0107]可選地,所述標(biāo)識信息為子網(wǎng)地址中預(yù)定位置比特位的編碼值??蛇x地,所述IP數(shù)據(jù)包為IPv6數(shù)據(jù)包或IPv4數(shù)據(jù)包;對應(yīng)地,所述IP地址為IPv6地址或IPv4地址。
[0108]本實(shí)施例的數(shù)據(jù)包處理裝置,可以用于數(shù)據(jù)包處理方法實(shí)施例四的技術(shù)方案,其實(shí)現(xiàn)原理和技術(shù)效果類似,此處不再贅述。
[0109]圖9為本發(fā)明實(shí)施例提供的數(shù)據(jù)包處理設(shè)備的結(jié)構(gòu)示意圖。如圖9所示,本實(shí)施例提供的數(shù)據(jù)包處理設(shè)備90包括處理器901和存儲器902。數(shù)據(jù)包處理設(shè)備90還可以包括網(wǎng)絡(luò)接口單元903,該網(wǎng)絡(luò)接口單元903可以和處理器901相連。其中,網(wǎng)絡(luò)接口單元903用于接收IP數(shù)據(jù)包,存儲器902用于存儲執(zhí)行指令,當(dāng)設(shè)備90運(yùn)行時(shí),處理器901與存儲器902之間通信,處理器901調(diào)用存儲器902中的執(zhí)行指令,用于對所述網(wǎng)絡(luò)接口單元903接收的所述IP數(shù)據(jù)包執(zhí)行以下操作:
[0110]根據(jù)所述IP數(shù)據(jù)包的IP地址中包含的用于指示所述IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息,對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
[0111]可選地,所述標(biāo)識信息為子網(wǎng)地址中預(yù)定位置比特位的編碼值。
[0112]可選地,所述根據(jù)所述標(biāo)識信息,對所述IP數(shù)據(jù)包進(jìn)行過濾處理,包括:
[0113]提取所述IP數(shù)據(jù)包攜帶的業(yè)務(wù)數(shù)據(jù),并對所述業(yè)務(wù)數(shù)據(jù)的類型進(jìn)行識別,確定所述IP數(shù)據(jù)包中包含的業(yè)務(wù)數(shù)據(jù)為第一業(yè)務(wù)類型,并且,根據(jù)所述標(biāo)識信息,確定所述IP地址對應(yīng)的第二業(yè)務(wù)類型;
[0114]比較所述第一業(yè)務(wù)類型和第二業(yè)務(wù)類型是否一致;
[0115]若不一致,則對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
[0116]可選地,所述根據(jù)所述標(biāo)識信息,對所述IP數(shù)據(jù)包進(jìn)行過濾處理,包括:
[0117]根據(jù)所述標(biāo)識信息,確定所述IP地址對應(yīng)的業(yè)務(wù)類型;
[0118]采用與所述業(yè)務(wù)類型對應(yīng)的安全策略,對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
[0119]可選地,所述IP數(shù)據(jù)包為IPv6數(shù)據(jù)包或IPv4數(shù)據(jù)包;
[0120]對應(yīng)地,所述IP地址為IPv6地址或IPv4地址。
[0121]本實(shí)施例的設(shè)備,可以用于執(zhí)行本發(fā)明任意實(shí)施例所提供的數(shù)據(jù)包處理方法的技術(shù)方案,其實(shí)現(xiàn)原理和技術(shù)效果類似,此處不再贅述。
[0122]本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述各方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成。前述的程序可以存儲于一計(jì)算機(jī)可讀取存儲介質(zhì)中。該程序在執(zhí)行時(shí),執(zhí)行包括上述各方法實(shí)施例的步驟;而前述的存儲介質(zhì)包括:R0M、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。
[0123]最后應(yīng)說明的是:以上各實(shí)施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制;盡管參照前述各實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對其中部分或者全部技術(shù)特征進(jìn)行等同替換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍。
【權(quán)利要求】
1.一種數(shù)據(jù)包處理方法,其特征在于,包括: 接收IP數(shù)據(jù)包,所述IP數(shù)據(jù)包的IP地址中包含用于指示所述IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息; 根據(jù)所述標(biāo)識信息,對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述標(biāo)識信息為子網(wǎng)地址中預(yù)定位置比特位的編碼值。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述根據(jù)所述標(biāo)識信息,對所述IP數(shù)據(jù)包進(jìn)行過濾處理,包括: 提取所述IP數(shù)據(jù)包攜帶的業(yè)務(wù)數(shù)據(jù),并對所述業(yè)務(wù)數(shù)據(jù)的類型進(jìn)行識別,確定所述IP數(shù)據(jù)包中包含的業(yè)務(wù)數(shù)據(jù)為第一業(yè)務(wù)類型,并且,根據(jù)所述標(biāo)識信息,確定所述IP地址對應(yīng)的第二業(yè)務(wù)類型; 比較所述第一業(yè)務(wù)類型和第二業(yè)務(wù)類型是否一致; 若不一致,則對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
4.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述根據(jù)所述標(biāo)識信息,對所述IP數(shù)據(jù)包進(jìn)行過濾處理,包括: 根據(jù)所述標(biāo)識信息,確定所述IP地址對應(yīng)的業(yè)務(wù)類型; 采用與所述業(yè)務(wù)類型對應(yīng)的安全策略,對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
5.根據(jù)權(quán)利要求1-4中任一項(xiàng)所述的方法,其特征在于,所述IP數(shù)據(jù)包為IPv6數(shù)據(jù)包或IPv4數(shù)據(jù)包; 對應(yīng)地,所述IP地址為IPv6地址或IPv4地址。
6.一種數(shù)據(jù)包處理裝置,其特征在于,包括: 接收模塊,用于接收IP數(shù)據(jù)包,所述IP數(shù)據(jù)包的IP地址中包含用于指示所述IP地址對應(yīng)的業(yè)務(wù)類型的標(biāo)識信息; 處理模塊,用于根據(jù)所述標(biāo)識信息,對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
7.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述標(biāo)識信息為子網(wǎng)地址中預(yù)定位置比特位的編碼值。
8.根據(jù)權(quán)利要求6或7所述的裝置,其特征在于,所述處理模塊包括: 識別單元,用于提取所述IP數(shù)據(jù)包攜帶的業(yè)務(wù)數(shù)據(jù),并對所述業(yè)務(wù)數(shù)據(jù)的類型進(jìn)行識另O,確定所述IP數(shù)據(jù)包中包含的業(yè)務(wù)數(shù)據(jù)為第一業(yè)務(wù)類型,并且,根據(jù)所述標(biāo)識信息,確定所述IP地址對應(yīng)的第二業(yè)務(wù)類型; 比較單元,用于比較所述識別單元確定的所述第一業(yè)務(wù)類型和第二業(yè)務(wù)類型是否一致; 第一處理單元,用于若所述比較單元的比較結(jié)果不一致,則對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
9.根據(jù)權(quán)利要求6或7所述的裝置,其特征在于,所述處理模塊包括: 確定單元,用于根據(jù)所述標(biāo)識信息,確定所述IP地址對應(yīng)的業(yè)務(wù)類型; 第二處理單元,用于采用與所述確定單元確定的所述業(yè)務(wù)類型對應(yīng)的安全策略,對所述IP數(shù)據(jù)包進(jìn)行過濾處理。
10.根據(jù)權(quán)利要求6-9中任一項(xiàng)所述的裝置,其特征在于,所述IP數(shù)據(jù)包為IPv6數(shù)據(jù)包或IPv4數(shù)據(jù)包;對應(yīng)地,所述IP地址為IPv6地址或IPv4地址。
【文檔編號】H04L29/06GK104348776SQ201310312190
【公開日】2015年2月11日 申請日期:2013年7月23日 優(yōu)先權(quán)日:2013年7月23日
【發(fā)明者】黃敏 申請人:華為技術(shù)有限公司