[发明专利]一种WFP+NDISFilter组合驱动实现网络底层过滤的方法

权利要求书

1.一种组合驱动实现网络底层过滤的方法，其特征在于，包括以下步骤：

S1，当主机有系统进程创建网络连接时，WFP驱动层获取进该网络连接的相关信息，同时NDISFilter驱动层则创建一个通讯状态机，用于接收应用层下发的过滤策略和WFP传递来的网络连接策略；

S2，所述WFP驱动层将获取得到的网络连接的相关信息存入网络连接策略中，并将所述网络连接策略复制到WFP驱动层构造的IRP请求中，然后再将该IRP请求发送给所述NDISFilter驱动层创建的通讯状态机中；

S3，所述NDISFilter驱动层获取所述WFP驱动层下发的网络连接策略和应用层下发的网络过滤策略并保存，如果该网络连接策略和该网络过滤策略已存在则不重复存入；

S4，当有数据包通过该主机的NDISFilter驱动层时，所述NDISFilter驱动层将数据包和网络连接策略、网络过滤策略进行匹配，根据匹配结果对数据包拦截或放行，完成过滤过程；

步骤S1和S2中所述的网络连接的相关信息包括协议、本地IP、本地端口、本次连接所属的进程PID和进程名；

所述的网络连接策略包括网络连接策略ID、网络连接协议、网络连接本地IP、网络连接本地端口、本次网络连接所属的进程PID和进程名；

步骤S4具体包括：

S41，当网络过滤策略中的协议、源IP地址、目的IP地址、源端口、目的端口匹配通过，则继续匹配网络过滤策略中的进程匹配标志位；否则设置数据包拦截总标志为0；

S42，当进程匹配标志位存在，则数据包继续匹配网络连接策略中的协议、本地IP、本地端口，网络连接策略中的进程名匹配网络过滤策略的进程名；否则设置数据包拦截总标志为0；

S43，当步骤S42中过程匹配通过并且过滤标志为阻止则设置数据包拦截总标志位为1，否则设置数据包拦截总标志为0；

S44,重复S41、S42、S43过程直到网络过滤策略全部匹配完成，如果数据包拦截总标志位为1，则拦截数据包；否则，放行数据包；

步骤S4中具体的匹配原则包括：

1)数据包进入NDISFilter驱动层，判断数据包源IP和目的IP是否匹配通过网络过滤策略的源IP和目的IP，若是，则进入步骤2)；否则，进入步骤7)；

2)继续监测数据包源端口和目的端口是否匹配通过网络过滤策略的源端口和目的端口，若是，则进入步骤3)；否则，进入步骤7)；

3)确定进程匹配标志NameFlag是否为1，若是，则进入步骤4)；否则，进入步骤7；

4)继续监测网络过滤策略中的进程名和网络连接各项策略中的进程名是否匹配通过，若是，则进入步骤5)；否则，进入步骤7)；

5)确定该数据包的方向，如果是进入本机的数据包，则将数据包的协议、目的IP、目的端口作为匹配项；如果是从本机发出的数据包，则将数据包的协议、源IP、源端口作为匹配项；该数据包的所述的匹配项是否匹配通过网络连接规则的协议、本地IP、本地端口，若是，则进入步骤6)；否则，进入步骤7)；

6)最后确认过滤标志位是否为1，若是，则设置数据包拦截标志位LastRule为1；否则，则设置拦截总标志位LastRule为0，进入步骤7)；

7)检测是否匹配全部网络过滤规则，若否，则进入步骤1)；若是，则检测标志位LastRule是否为1，若是，则拦截数据包；否则，放行数据包。

2.根据权利要求1所述的组合驱动实现网络底层过滤的方法，其特征在于，步骤S3和步骤S4中所述的网络过滤策略包括网络过滤策略ID、网络过滤协议、网络过滤过滤标志位、网络过滤源IP、网络过滤目的IP、网络过滤源端口、网络过滤目的端口、网络过滤进程匹配标志位、网络过滤进程名。

3.根据权利要求1所述的组合驱动实现网络底层过滤的方法，其特征在于，该方法还包括：

S5，当被过滤进程关闭或者被过滤进程中的网络连接关闭时，所述WFP驱动层也将获取的网络连接信息存入网络连接策略并下发到所述NDISFilter驱动层中，所述NDISFilter驱动层获取该网络连接策略，依次匹配所有已存的网络连接策略，一旦匹配上则将已存储的网络连接策略删除。