[发明专利]一种数据包过滤的方法及装置

说明书

本申请提供一种数据包过滤的方法，所述方法包括：在接收到数据包时，判断预设的更新事件是否触发；当预设的更新事件触发时，依次在根据预设的等级划分策略划分的每个等级所包含的数据包过滤规则中，查找与接收到的数据包所对应的数据包过滤规则，且每个等级中所包含的数据包过滤规则在等级划分之后按照预设的预处理算法对其进行预处理，所述预设的等级划分策略是统计数据包过滤规则对应的命中次数，基于所述数据包过滤规则对应的命中次数，对当前现有的数据包过滤规则进行等级划分，划分成至少两个等级，且不同等级的优先级不同；基于所述查找到的数据包过滤规则对所述接收到的数据包进行过滤处理。

技术领域

本申请涉及网络安全领域，尤其涉及一种数据包过滤的方法及装置。

背景技术

在网络安全领域，数据包过滤是对进出网络的数据包与用户配置的一系列数据包过滤规则进行比较，以判断一个数据包是否匹配到某一条规则，其中数据包过滤规则通常由源IP地址、目的IP地址、端口号、协议等字段组成。为了使网络设备能够快速有效的根据数据包过滤规则匹配数据包，通常需要对数据包过滤规则进行预处理，网络设备根据预处理后的数据包过滤规则匹配接收到的数据包。

现有的数据包过滤方法在对数据包过滤规则进行预处理的时候对每条规则平等对待，为其分配的预处理时间和内存是相等的，因此根据预处理后的数据包过滤规则匹配接收到的数据包时，平等的去匹配每条数据包规则，这种方法并没有考虑在实际应用中数据包过滤规则被命中的情况，在实际应用中往往很少一部分的数据包过滤规则经常被命中，很大一部分数据包过滤规则很少被命中。这样就会导致很大一部分预处理阶段的资源消耗没有发挥应有的作用，同时也限制了匹配效率的提升。

发明内容

有鉴于此，本申请提供一种数据包过滤的方法及装置。

具体地，本申请是通过如下技术方案实现的：

一种数据包过滤的方法，所述方法包括：

在接收到数据包时，判断预设的更新事件是否触发；

当预设的更新事件触发时，依次在根据预设的等级划分策略划分的每个等级所包含的数据包过滤规则中，查找与接收到的数据包所对应的数据包过滤规则，且每个等级中所包含的数据包过滤规则在等级划分之后按照预设的预处理算法对其进行预处理，所述预设的等级划分策略是统计数据包过滤规则对应的命中次数，基于所述数据包过滤规则对应的命中次数，对当前现有的数据包过滤规则进行等级划分，划分成至少两个等级，且不同等级的优先级不同；

基于所述查找到的数据包过滤规则对所述接收到的数据包进行过滤处理。

一种数据包过滤的装置，所述装置包括：

第一判断单元，用于在接收到数据包时，判断预设的更新事件是否触发；

规则查找单元，用于当预设的更新事件触发时，依次在根据预设的等级划分策略划分的每个等级所包含的数据包过滤规则中，查找与接收到的数据包所对应的数据包过滤规则，且每个等级中所包含的数据包过滤规则在等级划分之后按照预设的预处理算法对其进行预处理，所述预设的等级划分策略是统计数据包过滤规则对应的命中次数，基于所述数据包过滤规则对应的命中次数，对当前现有的数据包过滤规则进行等级划分，划分成至少两个等级，且不同等级的优先级不同；

数据包过滤单元，用于基于所述查找到的数据包过滤规则对所述接收到的数据包进行过滤处理。

通过本申请的技术方案，依次在根据预设的等级划分策略划分的每个等级所包含的数据包过滤规则中匹配接收到的数据包时，有效提高了匹配效率。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例描述中所需要的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。