一种动态IP数据包过滤方法

摘要

一种动态IP数据包过滤方法，其功能模块由探测器、分析统计器、决策处理器和过滤器四个部分构成，其实现过程也相应的分为探测分类、智能分析和查找、决策处理和执行过滤四个步骤，其特征在于所述的探测器对数据包的IP包头进行初步的分析和归类，所述的分析统计器的作用是对探测器送过来的分类信息进行更深入的分析和判断，并对进来的数据包进行决定性的判断，所述的决策处理器是根据分析统计器提供的判断进行细化和综合分析，最终决定使用何种方式对分析统计器上传上来的信息进行处理，所述的过滤器根据所述的决策处理器所决定的信息处理方式，对上传的数据信号进行相应的过滤操作，从而实现了动态IP数据包的过滤。本发明结合了这NIDS和防火墙2项技术的特点。形成新型的防御方式。本发明可以有效地控制有害的，无效的流量，从而保护了网络带宽和路由器的资源。

主权项

1，一种动态IP数据包过滤方法，其功能模块由探测器、分析统计器、决策处理器和过滤器四个部分构成，其实现过程也相应的分为探测分类、智能分析和查找、决策处理和执行过滤四个步骤，其特征在于：所述的探测器、分析统计器、决策处理器和过滤器都相互独立，各自完成其功能，然后通过标准接口进行通讯，在所述的探测分类步骤中，所述的探测器安放于网络的骨干链路上，并对骨干链路进行端口镜像和流量的监视，所述的探测器对数据包的IP包头进行初步的分析和归类，所述的探测器利用CRC校验来判断数据包的正确性，在判定数据包正确之后，所述的探测器根据数据包中的IP头里的32位源IP，32位目的IP，4位首部长度，16位标识，3位标志，16位的总长度，16位的IP头校验和，3位标识位，13位片偏移，8位TTL，8位协议字段，还有的就是选项位来对数据包进行匹配分类，并根据不同的匹配特征，把数据包的包头和内容复制后，打上一个匹配标签，送往所述的分析统计器，所述的探测器又包括了匹配分类子模块、计数器子模块和速度器子模块，所述的计数器子模块把命中规则的数据包进行计数，而速度器子模块则除了根据命中规则外，还能进行针对每一个源IP或目的IP的数据包或源端口或目的端口进行速度的计算，在所述的智能分析和查找步骤中，所述的分析统计器要对接收到的数据给出判定结果，针对网络入侵和攻击，所述的分析统计器采用了特征匹配的方法，针对通过网络和系统漏洞传播的病毒、D.O.S、网络扫描，所述的分析统计器采用了异常处理的方法，其中，判定为病毒，D.O.S类和扫描类型的包内容，系统会自动抽取其特征，把其特征提取后放入特征库中，使用特征进行判断，能显著加快判断速度和准确性，同时，在网络引擎中本发明使用协议分析和模式匹配结合的方法来分析网络数据包，判定结果由所述的分析统计器传递给所述的决策处理器，在所述的决策处理步骤中，所述的决策处理器是根据所述的分析统计器提供的判断进行细化和综合分析，最终决定上传信息的处理方式，在所述的执行过滤步骤中，所述的过滤器根据所述的决策处理器所决定的信息处理方式，对上传的数据信号进行相应的过滤操作，从而实现了动态IP数据包的过滤。