本發(fā)明涉及一種基于L7?filter的視頻類應用的識別與控制方法和系統(tǒng)，所述方法包括：識別各個視頻類應用的應用層專有協(xié)議的解析特征并用正則表達式進行表達，設置控制規(guī)則存儲在內(nèi)核空間的數(shù)據(jù)包過濾表中；根據(jù)控制規(guī)則所處理的數(shù)據(jù)包的類型把不同功能的控制規(guī)則分組在不同的規(guī)則鏈中；利用數(shù)據(jù)包過濾表中的控制規(guī)則進行檢查，實現(xiàn)對數(shù)據(jù)包的控制。本發(fā)明通過識別視頻類應用的應用層專有協(xié)議的特征，基于L7?filter對視頻類應用中的每個應用可以進行單獨的識別控制，實現(xiàn)了識別控制各類視頻類應用并展示視頻類應用的解析特征，從而可以根據(jù)實際需求對視頻類應用進行識別控制。

技術領域

本發(fā)明涉及網(wǎng)絡安全技術領域，特別是涉及一種基于L7-filter的視頻類應用的識別與控制方法和系統(tǒng)。

背景技術

目前，L7-filter是基于特征的關鍵字匹配，它可以實現(xiàn)從應用層過濾的功能。它不是通過匹配某個字和詞來匹配，而是使用了更加高級的正則表達式(regularexpression)來進行匹配。正則表達式(regular expression)是一種文本模式，是由普通字符(例如字符a到z)以及特殊字符(稱為元字符)組成的。它描述了一種字符串匹配的模式，可以用來檢查一個串是否含有某種子串、將匹配的子串做替換或者從某個串中取出符合某個條件的子串等。

L7-filter在默認情況下，將同一個連接中的10個數(shù)據(jù)包或者2KB的數(shù)據(jù)包內(nèi)容放在緩存中。并將緩存中的內(nèi)容作為一段普通的文本，用模板文件中的正則表達式去數(shù)據(jù)包應用層進行搜索比對，如果發(fā)現(xiàn)存在與正則表達式匹配的內(nèi)容，就會在netfilter中將這幾個數(shù)據(jù)包DROP掉或者給數(shù)據(jù)包打上標記。在tc中，過濾器根據(jù)netfilter中所做的標記對數(shù)據(jù)包進行分類。

L7-filter所包含的可以識別的協(xié)議有:100bao、aim、aimwebcontent、applejuice、ares、armagetron、battlefield1942、bgp等一百多種應用。所識別的協(xié)議只能針對單個應用，無法根據(jù)實際需求對視頻類應用的識別和控制。

發(fā)明內(nèi)容

基于此，有必要針對上述技術問題，提供一種基于L7-filter的視頻類應用的識別與控制方法和系統(tǒng)，可以根據(jù)多方面的需求對視頻類應用進行識別控制。

一種基于L7-filter的視頻類應用的識別與控制方法，包括如下步驟：

獲取各種視頻類應用的數(shù)據(jù)包并對所述數(shù)據(jù)包進行解析，識別各個視頻類應用的應用層專有協(xié)議的解析特征，并將所述解析特征用正則表達式進行表達，根據(jù)正則表達式對視頻進行分類；

根據(jù)視頻應用分類，通過用戶空間對數(shù)據(jù)包設置控制規(guī)則，將所述控制規(guī)則存儲在內(nèi)核空間的數(shù)據(jù)包過濾表中；其中，所述控制規(guī)則包括對設定解析特征的數(shù)據(jù)包所要執(zhí)行的操作；

根據(jù)控制規(guī)則所處理的數(shù)據(jù)包的類型把不同功能的控制規(guī)則分組在不同的規(guī)則鏈中；當視頻類應用的數(shù)據(jù)包到達時，通過內(nèi)核檢查數(shù)據(jù)包的頭信息，從內(nèi)核空間的數(shù)據(jù)包過濾表中的第一條控制規(guī)則開始檢查，判斷是否符合該控制規(guī)則，如果符合，依據(jù)所述控制規(guī)則所要執(zhí)行的操作處理該數(shù)據(jù)包，否則繼續(xù)檢查下一條控制規(guī)則。

一種基于L7-filter的視頻類應用的識別與控制系統(tǒng)，包括：

識別分類模塊，用于獲取各種視頻類應用的數(shù)據(jù)包并對所述數(shù)據(jù)包進行解析，識別各個視頻類應用的應用層專有協(xié)議的解析特征，并將所述解析特征用正則表達式進行表達，根據(jù)正則表達式對視頻進行分類；

管理控制模塊，用于根據(jù)視頻應用分類，通過用戶空間對數(shù)據(jù)包設置控制規(guī)則，將所述控制規(guī)則存儲在內(nèi)核空間的數(shù)據(jù)包過濾表中；其中，所述控制規(guī)則包括對設定解析特征的數(shù)據(jù)包所要執(zhí)行的操作；