[发明专利]网络流量的过滤方法及过滤装置

说明书

技术领域

本发明涉及网络流量分析技术领域，尤其涉及一种网络流量的过滤方法，还涉及一种网络流量的过滤装置。

背景技术

在网络数据分析中，网络流量分为背景流量和前景流量，背景流量对于分析对象而言，是额外的、多余的、不相关的，前景流量正是需要分析的对象。但网络流量中，背景流量所占比例是相当大的，因此在进行网络数据分析时，需要过滤网络流量中的背景流量，以达到消除噪声数据，提高后续数据分析效能的目的。

然而在现有技术中，对网络流量进行过滤的条件是背景流量的属性已知或者特性已知，因此，现有技术只适用于识别并过滤实验室环境下几种已知属性的背景流量，而在对实际环境中的背景流量进行识别和过滤时准确性低，所以现有技术的局限性较大。

发明内容

本发明所要解决的技术问题是提供一种网络流量的过滤方法及过滤装置，能够在网络流量属性未知的情况下准确过滤网络流量。

为了解决上述技术问题，本发明采用的一种技术方案是提供一种网络流量的过滤方法，所述过滤方法包括：接收对网络流量进行过滤的指令；根据所述指令关闭缓冲区的输出路径同时保持缓冲区的输入路径开启，其中，所述缓冲区的输入路径连接网卡，以存入所述网卡发送的数据包；判断所述缓冲区存入的数据包的数量是否达到预定阈值，如果达到预定阈值，提取当前待存入缓冲区的数据包的IP地址信息并将所述IP地址信息写入预设的过滤表，同时开启所述缓冲区的输出路径；将当前待存入的数据包丢弃后，将所述网卡后续发送的数据包的IP地址信息与所述过滤表中的IP地址信息进行比对，如果相同，则丢弃所述后续的数据包，如果不相同，则将所述后续的数据包存入缓冲区。

其中，所述预定阈值为缓冲区的容量上限。

其中，在进行将所述网卡后续发送的数据包的IP地址信息与所述过滤表中的IP地址信息进行比对的步骤之前，所述过滤方法还包括：判断所述指令是否被取消，如果所述指令没有被取消，则将所述网卡后续发送的数据包的IP地址信息与所述过滤表中的IP地址信息进行比对，如果所述指令被取消，则清空所述过滤表并进行将所述后续的数据包存入缓冲区的步骤。

其中，如果所述指令没有被取消，则将所述网卡后续发送的数据包的IP地址信息与所述过滤表中的IP地址信息进行比对的步骤具体包括：如果所述指令没有被取消，判断所述缓冲区是否为空，如果所述缓冲区不为空，则将所述网卡后续发送的数据包的IP地址信息与所述过滤表中的IP地址信息进行比对，如果所述缓冲区为空，则清空所述过滤表并进行将所述后续的数据包存入缓冲区的步骤。

其中，所述IP地址信息包括源IP地址和目的IP地址。

为了解决上述技术问题，本发明采用的另一种技术方案是提供一种网络流量的过滤装置，所述过滤装置包括接收模块、响应模块、提取模块和比对模块，其中，所述接收模块用于接收对网络流量进行过滤的指令；所述响应模块用于根据所述指令关闭缓冲区的输出路径同时保持缓冲区的输入路径开启，其中，所述缓冲区的输入路径连接网卡，以存入所述网卡发送的数据包；所述提取模块用于判断所述缓冲区存入的数据包的数量是否达到预定阈值，如果达到预定阈值，提取当前待存入缓冲区的数据包的IP地址信息并将所述IP地址信息写入预设的过滤表，同时开启所述缓冲区的输出路径；所述比对模块用于将当前待存入的数据包丢弃后，将所述网卡后续发送的数据包的IP地址信息与所述过滤表中的IP地址信息进行比对，如果相同，则丢弃所述后续的数据包，如果不相同，则将所述后续的数据包存入缓冲区。

其中，所述预定阈值为缓冲区的容量上限。

其中，所述比对模块还用于在将所述网卡后续发送的数据包的IP地址信息与所述过滤表中的IP地址信息进行比对之前，判断所述指令是否被取消，如果所述指令没有被取消，则将所述网卡后续发送的数据包的IP地址信息与所述过滤表中的IP地址信息进行比对，如果所述指令被取消，则清空所述过滤表并将所述后续的数据包存入缓冲区。

其中，如果所述指令没有被取消，所述比对模块还用于判断所述缓冲区是否为空，如果所述缓冲区不为空，则将所述网卡后续发送的数据包的IP地址信息与所述过滤表中的IP地址信息进行比对，如果所述缓冲区为空，则清空所述过滤表并将所述后续的数据包存入缓冲区。

其中，所述IP地址信息包括源IP地址和目的IP地址。