一种报文过滤的方法及装置与流程

1.本公开技术方案涉及互联网技术领域，尤其涉及一种报文过滤的方法及装置。


背景技术：

2.5g核心网由多个逻辑功能上相互独立的网元构成，是管理5g用户设备以及传输用户设备的业务数据的网络的统称。5g核心网在使用过程中会产生很多的数据报文，但是，用户在某一时刻需要获得的数据报文仅仅是5g核心网产生的数据报文中的一部分，因此，需要使用相关的过滤设备将用户不需要的数据报文进行过滤。
3.现有的对数据报文进行过滤的方式是依据关联表和流量过滤策略表来进行的，过滤装置接收到每一条数据报文以后，均需要依据所述数据报文的目的ip 和隧道端点标识与关联表中存储的目的ip和隧道端点标识进行匹配，然后依据匹配到的关联表中的信令信息与预先创建的流量过滤策略表中的流量特征进行匹配。由于在实际应用中，过滤装置通常会接收到多条具有相同目的ip和隧道端点标识的报文，具有相同目的ip和隧道端点标识的报文始终会匹配到相同的关联表，而相同的关联表中存储着相同的信令信息，依据相同的信令信息匹配的流量过滤策略表也是相同的，所以就会使得所述过滤装置需要进行多次的重复匹配，影响匹配效率。


技术实现要素：

4.有鉴于此，本公开实施例提供一种报文过滤的方法及装置。
5.具体地，本公开实施例是通过如下技术方案实现的：
6.根据本公开的第一方面，提出了一种报文过滤的方法，所述报文过滤的方法包括：
7.响应于接收到的报文为数据报文，解析所述数据报文得到所述数据报文的源ip和目的ip；
8.将所述数据报文的源ip和目的ip与预先创建的流表中存储的源ip和目的ip进行匹配；
9.响应于匹配到存储的源ip和目的ip与所述数据报文的源ip和目的ip 相同的流表，读取所述流表中存储的流量过滤策略；
10.依据所述流量过滤策略，对所述数据报文进行过滤操作。
11.根据本公开的第二方面，提出了一种报文过滤的装置，所述报文过滤的装置包括：
12.解析模块，用于响应于接收到的报文为数据报文，解析所述数据报文得到所述数据报文的源ip和目的ip；
13.匹配模块，用于将所述数据报文的源ip和目的ip与预先创建的流表中存储的源ip和目的ip进行匹配；
14.读取模块，用于响应于匹配到存储的源ip和目的ip与所述数据报文的源ip和目的ip相同的流表，读取所述流表中存储的流量过滤策略；
15.过滤模块，用于依据所述流量过滤策略，对所述数据报文进行过滤操作。
16.根据本公开的第三方面，提供一种计算机可读存储介质，所述机器可读存储介质存储有机器可读指令，所述机器可读指令在被处理器调用和执行时，促使所述处理器实现本公开任一实施例的报文过滤的方法。
17.根据本公开的第四方面，提供一种电子设备，包括通信接口、处理器、存储器和总线，所述通信接口、所述处理器和所述存储器之间通过总线相互连接；所述存储器中存储机器可读指令，所述处理器通过调用所述机器可读指令，执行本公开任一实施例的报文过滤的方法。
18.本公开实施例提供的报文过滤的方法，使得当所述过滤设备接收到数据报文以后，即依据所述数据报文的源ip和目的ip与所述流表中存储的源ip和目的ip进行匹配，成功匹配后，通过读取所述流表中存储的流量过滤策略对所述数据报文进行相应的操作，避免了现有技术中需要对每一条接收到的数据报文都进行匹配关联表和流量过滤策略表而造成的过滤装置需要进行多次的重复匹配的问题，提高了匹配效率。
19.下面通过附图和实施方式，对本公开实施例做进一步的详细描述。
附图说明
20.为了更清楚地说明本公开一个或多个实施例或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开一个或多个实施例中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图：
21.图1是根据本公开一示例性实施例提供的一种分流系统的系统架构图；
22.图2是根据本公开一示例性实施例提供的一种报文过滤的方法的流程图；
23.图3是根据本公开一示例性实施例提供的又一种报文过滤的方法的流程图；
24.图4是根据本公开一示例性实施例提供的一种报文过滤装置的结构示意图；
25.图5是根据本公开又一示例性实施例提供的一种报文过滤装置的结构示意图。
具体实施方式
26.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
27.同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
28.在本公开中使用的术语仅仅出于描述特定实施例的目的，而非旨在限制本申公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
29.应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第
一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
30.本公开实施例提供一种报文过滤的方法，解决相关技术中需要对每一条接收到的数据报文都进行匹配关联表和流量过滤策略表而造成的过滤装置需要进行多次的重复匹配的问题。
31.下面结合附图，对本公开实施例的方法进行详细描述。
32.图1为本公开一示例性实施例提供的一种分流系统的系统架构图，如图1 所示，该分流系统可以包括sgsn(serving gprs support node，服务gprs支持节点)11、ggsn(gateway gprs support node，网关gprs支持节点)12、分流设备13、业务系统14、业务系统15、业务系统16、分析系统17、分析系统18 和分析系统19。
33.其中，所述sgsn和所述ggsn之间使用报文进行数据通信，图1中的小黑点表示旁路分光点，所述旁路分光点用于复制所述sgsn和所述ggsn之间进行通信的报文，并将复制后的报文输入所述分流设备，使得分流设备进行的分流操作不影响所述sgsn和所述ggsn之间的正常的数据通信。
34.在实际应用中，每一个业务系统都对应它的分析系统。如图1所示，所述业务系统14可以与所述分析系统17相对应，所述业务系统15可以与所述分析系统18相对应，所述业务系统16可以与所述分析系统19相对应。用户通过业务系统下发流量特征时会在流量特征中填写对应的输出端口，对应的输出端口连接的服务器就是所述业务系统对应的分析系统，输入所述分流设备的报文中的信令信息命中所述流量特征时，所述分流设备即可以通过所述流量特征中携带的输出端口将所述报文输出至对应的分析系统。
35.例如，当想要查看某用户的上网信息时，可以通过业务系统14下发流量特征和流量过滤策略：“所述用户的手机号，输出至端口20”，其中，所述端口20 连接所述分析系统17，当所述用户的小区的报文进入所述分流设备以后，关于所述用户的报文就会命中所述流量特征，然后通过所述端口20转发至对应的分析系统17进行后续的数据分析。
36.当然，还可以通过所述业务系统15和所述业务系统16下发其他的流量特征和流量过滤策略，本示例在此不再详述。
37.本公开实施例描述的是依据其中一个业务系统下发的流量特征和流量过滤策略对输入所述分流设备的报文进行分流的过程，由于在依据一个业务系统下发的流量特征和流量过滤策略进行分流的场景下，只需要将命中所述流量特征的报文进行输出操作，将没有命中所述流量特征的流量进行丢弃操作，所以在本实施例的描述中，可以将所述分流设备称为过滤设备。
38.图2是本公开一示例性实施例提供的一种报文过滤的方法的流程图。如图2 所示，该示例性实施例方法可以包括如下处理：
39.步骤s201，响应于接收到的报文为数据报文，解析所述数据报文得到所述数据报文的源ip和目的ip。
40.在本示例中，过滤设备接收到的报文可能是信令报文或数据报文，所述信令报文包含n1报文、n2报文、n4报文和n11报文，其中，所述n1报文和所述n2报文ip头协议号为sctp，所述n4报文的udp默认端口号为8805，所述 n11报文的端口号为80且荷载起始24字节为505249202a20485454502f322e300 d0a0d0a534d0d0a0。除了具有上述特征的报文，所述
过滤设备接收到的其他报文均为数据报文。
41.步骤s202，将所述数据报文的源ip和目的ip与预先创建的流表中存储的源ip和目的ip进行匹配。
42.在一个可选示例中，所述预先创建的流表以依据所述流表的源ip和目的ip 计算的哈希值为存储地址，因此，可以依据所述数据报文的源ip和目的ip计算哈希值，并以所述哈希值为地址读取预先创建的流表，读取到以后，由于不同的流表依据不同的源ip和目的ip可能会计算出相同的哈希值，所以同一个哈希值可能会对应多个流表，因此，可以将所述数据报文的源ip和目的ip与读取到的流表中存储的源ip和目的ip进行进一步的匹配，从而得到存储的源ip和目的 ip与所述数据报文的源ip和目的ip相同的流表。
43.通过上述的先读取以所述数据报文的源ip和目的ip计算而来的哈希值为存储地址的流表，可以缩小用所述数据报文的源ip和目的ip与所述预先创建的流表的源ip和目的ip进行匹配的范围，提高匹配效率。
44.步骤s203，响应于匹配到存储的源ip和目的ip与所述数据报文的源ip和目的ip相同的流表，读取所述流表中存储的流量过滤策略。
45.其中，所述流表中存储有源ip、目的ip和流量过滤策略，所述流量过滤策略用于指示具有所述源ip和目的ip的报文下一步需要进行的操作。
46.步骤s204，依据所述流量过滤策略，对所述数据报文进行过滤操作。
47.在一个可选示例中，所述流量过滤策略可以为输出，所述过滤设备对具有所述源ip和目的ip的数据报文进行输出操作。
48.在一个可选示例中，所述流量过滤策略可以为丢弃，所述过滤设备对具有所述源ip和目的ip的数据报文进行丢弃操作。
49.本实施例的报文过滤的方法，使得当所述过滤设备接收到所述数据报文以后，即依据所述数据报文的源ip和目的ip与所述流表中存储的源ip和目的ip 进行匹配，成功匹配后，通过读取所述流表中存储的流量过滤策略对所述数据报文进行相应的操作，避免了现有技术中需要对每一条接收到的数据报文都进行匹配关联表和流量过滤策略表而造成的过滤装置需要进行多次的重复匹配的问题，提高了匹配效率。
50.图3是本公开一示例性实施例提供的又一种报文过滤的方法的流程图。其中，在本实施例的描述中，与前述任一实施例中相同的步骤将简单描述，不再详述，具体可以参见前述的任一实施例。如图3所示，该实施例方法可以包括如下处理：
51.步骤s301，响应于接收到的第一报文为数据报文，解析所述第一报文得到所述第一报文的源ip、目的ip和隧道端点标识。
52.其中，可以将创建流表前接收到的报文称为所述第一报文。
53.所述数据报文可以分为tcp报文和udp报文两种，而不论是所述tcp报文还是所述udp报文，均携带有各自的所述源ip、目的ip和隧道端点标识。
54.步骤s302，将所述第一报文的源ip和目的ip与预先创建的流表中存储的源 ip和目的ip进行匹配，判断是否能够匹配到源ip和目的ip相同的流表。
55.若匹配到存储的源ip和目的ip与所述第一报文的源ip和目的ip相同的流表上，则执行步骤s307；
56.若匹配不上，则继续执行步骤s303。
57.步骤s303，创建流表，并将所述第一报文的源ip和目的ip存储至所述流表中。
58.对于所述tcp报文，基于tcp协议的三次握手，可以将正反双向报文构建为同一流表，而对于所述udp报文，可以将具有相同的源ip和目的ip的udp 报文构建为同一流表。
59.在一个可选示例中，可以依据所述第一报文的源ip和目的ip计算哈希值，并以所述哈希值为地址创建流表，然后将所述第一报文的源ip和目的ip存储至所述流表中。
60.步骤s304，将所述第一报文的目的ip和隧道端点标识与预先创建的关联表中存储的目的ip和隧道端点标识进行匹配。
61.前述实施例中提到，所述过滤设备接收到的报文可能是数据报文，也可能是信令报文。所述信令报文中存储有信令信息，所述过滤设备接收到所述信令报文时，可以对所述信令报文进行信令报文解析的操作，并将解析到的所述信令报文中包含的信令信息、所述信令报文的目的ip和隧道端点标识存储在所述关联表中。
62.其中，所述关联表也可以以所述关联表中存储的目的ip和隧道端点标识计算的哈希值为地址进行存储。
63.与前述实施例相同，在所述与预先创建的关联表中存储的目的ip和隧道端点标识进行匹配时，可以先依据所述第一报文的目的ip和隧道端点标识计算哈希值，并以所述哈希值为地址读取预先创建的关联表，然后再用所述第一报文的目的ip和隧道端点标识与读取到的以所述哈希值为存储地址的关联表中存储的目的ip和隧道端点标识进行匹配，从而提高匹配效率。
64.步骤s305，响应于匹配到存储的目的ip和隧道端点标识与所述第一报文的目的ip和隧道端点标识相同的关联表，依据所述关联表中存储的信令信息匹配预先创建的流量过滤策略表中的流量特征。
65.其中，所述流量过滤策略表是用户依据现阶段的需求进行设定的，由用户通过所述过滤设备的用户接口进行输入。所述流量过滤策略表中存储有流量特征和流量过滤策略。
66.所述流量特征与上述的关联表中存储的信令信息指代相同类型的信息。所述流量过滤策略指的是用户想要所述过滤设备对具有所述流量特征的报文进行的操作。
67.例如所述流量特征可以是某个用户的手机号，对应的流量过滤策略可以是输出。其对应的含义是：当所述过滤设备接收到包含有所述用户的手机号的信息的数据报文时，将所述数据报文进行输出的操作。
68.按照上述的，当匹配到存储的目的ip和隧道端点标识与所述第一报文的目的ip和隧道端点标识相同的关联表以后，可以依据所述关联表中存储的信令信息计算哈希值，并以所述哈希值匹配预先创建的所述流量过滤策略表，然后再使用所述关联表中存储的具体的信令信息与匹配到的流量过滤策略表中存储的流量特征进行匹配。
69.在本示例中，通过所述流量过滤策略表中的流量特征及流量过滤策略对数据报文进行过滤的方法，可以在现有的仅基于源ip和目的ip对所述数据报文进行过滤的基础上，基于所述流量过滤策略表中的流量特征对所述数据报文进行进一步的过滤操作，从而使得所述过滤设备对数据报文的过滤更细致。
70.步骤s306，响应于获取到匹配的流量过滤策略表，且所述匹配的流量过滤策略表中的流量特征是对应的关联表中存储的信令信息的至少一部分，将所述流量过滤策略表中
的流量过滤策略存储至所述流表中。
71.在实际应用中，用户输入所述流量过滤策略表中的流量特征可能只有一个，而所述关联表中存储的信令信息可能有多个，但是，只要所述流量过滤策略表中的流量特征是对应的关联表中存储的信令信息的至少一部分，也就是说，只要所述关联表中存储的信令信息包含所述流量过滤策略表中的流量特征，即将所述流量过滤策略表中的流量过滤策略存储至所述流表中。
72.在一个可选示例中，在将所述流量过滤策略表中的流量过滤策略存储至所述流表中后，可以在所述流表中写入写入标记。
73.当后续接收到数据报文并依据所述数据报文的源ip和目的ip匹配到所述流表时，可以先读取所述写入标记，响应于读取到所述写入标记，即依据读取到的所述流量过滤策略，对所述数据报文进行过滤操作。
74.当读取不到所述写入标记时，即依据上述的先匹配关联表再匹配流量过滤策略表的方式对所述数据报文进行操作。
75.本示例的为所述流表写入所述写入标记的方法，避免在具体的实现过程中，由于第一条数据报文还在匹配流量过滤策略表的阶段时，所述过滤装置即接收到具有与所述第一条数据报文相同源ip和目的ip的第二条数据报文，而所述过滤装置会因为在依据所述第二条数据报文的源ip和目的ip进行匹配流表的操作时获取到空结果而将所述第二条数据报文判断为“丢弃”的现象发生。
76.步骤s307，依据所述流表中的流量过滤策略，对所述数据报文进行过滤操作。
77.本实施例的报文过滤的方法，对于具有相同源ip和目的ip的数据报文，只需要进行一次匹配关联表和流量过滤策略表的操作，后续的报文，只要进行匹配流表的操作即可，操作简单。并且，由于关联表需要携带大量的信令信息，所以在数据报文的匹配过程中需要消耗较多的时间，而基于流表的匹配只需要匹配一次关联表，后续的性能取决于流表的性能，又由于流表中存储的流量特征较少，所以匹配流表的过程需要的时间也较少，因此，可以提高所述过滤装置的整体性能。
78.图4是本公开一示例性实施例中的一种报文过滤的装置的结构示意图，如图4所示，该报文过滤的装置可以包括：
79.解析模块41，用于响应于接收到的报文为数据报文，解析所述数据报文得到所述数据报文的源ip和目的ip；
80.匹配模块42，用于将所述数据报文的源ip和目的ip与预先创建的流表中存储的源ip和目的ip进行匹配；
81.读取模块43，用于响应于匹配到存储的源ip和目的ip与所述数据报文的源ip和目的ip相同的流表，读取所述流表中存储的流量过滤策略；
82.过滤模块44，用于依据所述流量过滤策略，对所述数据报文进行过滤操作。
83.可选的，所述过滤模块44，在用于依据所述流量过滤策略，对所述数据报文进行过滤操作时，具体包括：
84.响应于所述流量过滤策略为输出，输出所述数据报文；
85.或者，响应于所述流量过滤策略为丢弃，丢弃所述数据报文。
86.可选的，所述过滤装置还包括如图5所示的：
87.第一解析模块51，用于响应于接收到的第一报文为数据报文，解析所述第一报文得到所述第一报文的源ip、目的ip和隧道端点标识；
88.创建模块52，用于创建流表，并将所述第一报文的源ip和目的ip存储至所述流表中；
89.第一匹配模块53，用于将所述第一报文的目的ip和隧道端点标识与预先创建的关联表中存储的目的ip和隧道端点标识进行匹配；
90.第二匹配模块54，用于响应于匹配到存储的目的ip和隧道端点标识与所述第一报文的目的ip和隧道端点标识相同的关联表，依据所述关联表中存储的信令信息匹配预先创建的流量过滤策略表中的流量特征，其中，所述流量过滤策略表中存储有流量特征和流量过滤策略；
91.存储模块55，用于响应于获取到匹配的流量过滤策略表，且所述匹配的流量过滤策略表中的流量特征是对应的关联表中存储的信令信息的至少一部分，将所述流量过滤策略表中的流量过滤策略存储至所述流表中。
92.可选的，所述创建模块52，在用于创建流表时，具体包括：
93.将所述第一报文的源ip和目的ip与预先创建的流表中存储的源ip和目的ip进行匹配；
94.响应于匹配不到存储的源ip和目的ip与所述第一报文的源ip和目的ip 相同的流表，创建流表。
95.可选的，所述读取模块43，在用于响应于匹配到存储的源ip和目的ip 与所述数据报文的源ip和目的ip相同的流表之后，所述读写模块43还用于：读取所述流表的写入标记；
96.可选的，所述过滤模块44，在用于依据所述流量过滤策略，对所述数据报文进行过滤操作时，具体包括：
97.响应于读取到所述写入标记，依据读取的所述流量过滤策略，对所述数据报文进行过滤操作；
98.所述过滤模块44，还用于：
99.响应于读取不到所述写入标记，将所述数据报文的目的ip和隧道端点标识与预先创建的关联表中存储的目的ip和隧道端点标识进行匹配；
100.响应于匹配到存储的目的ip和隧道端点标识与所述数据报文的目的ip 和隧道端点标识相同的关联表，依据所述关联表中存储的信令信息匹配预先创建的流量过滤策略表中的流量特征，其中，所述流量过滤策略表中存储有流量特征和流量过滤策略；
101.响应于获取到匹配的流量过滤策略表，且所述匹配的流量过滤策略表中的流量特征是对应的关联表中存储的信令信息的至少一部分，依据所述流量过滤策略表中的流量过滤策略，对所述数据报文进行过滤操作。
102.可选的，所述装置还包括：
103.响应于获取到匹配的流量过滤策略表，且所述匹配的流量过滤策略表中的流量特征是对应的关联表中存储的信令信息的至少一部分，将所述流量过滤策略表中的流量过滤策略存储至所述流表；
104.并在所述流表中写入写入标记。
105.上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的
实现过程，在此不再赘述。
106.对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本公开技术方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
107.本说明书中描述的主题及功能操作的实施例可以在以下中实现：数字电子电路、有形体现的计算机软件或固件、包括本说明书中公开的结构及其结构性等同物的计算机硬件、或者它们中的一个或多个的组合。本说明书中描述的主题的实施例可以实现为一个或多个计算机程序，即编码在有形非暂时性程序载体上以被数据处理装置执行或控制数据处理装置的操作的计算机程序指令中的一个或多个模块。可替代地或附加地，程序指令可以被编码在人工生成的传播信号上，例如机器生成的电、光或电磁信号，该信号被生成以将信息编码并传输到合适的接收机装置以由数据处理装置执行。计算机存储介质可以是机器可读存储设备、机器可读存储基板、随机或串行存取存储器设备、或它们中的一个或多个的组合。
108.适合于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、媒介和存储器设备，例如包括半导体存储器设备(例如eprom、 eeprom和闪存设备)、磁盘(例如内部硬盘或可移动盘)、磁光盘以及cd rom 和dvd-rom盘。处理器和存储器可由专用逻辑电路补充或并入专用逻辑电路中。
109.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。
110.虽然本说明书包含许多具体实施细节，但是这些不应被解释为限制任何发明的范围或所要求保护的范围，而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面，在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外，虽然特征可以如上所述在某些组合中起作用并且甚至最初如此要求保护，但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除，并且所要求保护的组合可以指向子组合或子组合的变型。
111.由此，主题的特定实施例已被描述。其他实施例在所附权利要求书的范围以内。在某些情况下，权利要求书中记载的动作可以以不同的顺序执行并且仍实现期望的结果。此外，附图中描绘的处理并非必需所示的特定顺序或顺次顺序，以实现期望的结果。在某些实现中，多任务和并行处理可能是有利的。
112.以上所述仅为本公开的较佳实施例而已，并不用以限制本公开，凡在本公开的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本公开保护的范围之内。