CN111600904B - 一种绿色上网的方法和存储设备 - Google Patents

一种绿色上网的方法和存储设备 Download PDF

Info

Publication number
CN111600904B
CN111600904B CN202010474403.5A CN202010474403A CN111600904B CN 111600904 B CN111600904 B CN 111600904B CN 202010474403 A CN202010474403 A CN 202010474403A CN 111600904 B CN111600904 B CN 111600904B
Authority
CN
China
Prior art keywords
user
module
rule
matching
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010474403.5A
Other languages
English (en)
Other versions
CN111600904A (zh
Inventor
上官明棠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Guangtong Internet Communication Co ltd
Original Assignee
Fujian Guangtong Internet Communication Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Guangtong Internet Communication Co ltd filed Critical Fujian Guangtong Internet Communication Co ltd
Priority to CN202010474403.5A priority Critical patent/CN111600904B/zh
Publication of CN111600904A publication Critical patent/CN111600904A/zh
Application granted granted Critical
Publication of CN111600904B publication Critical patent/CN111600904B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及互联网技术领域,特别涉及一种绿色上网的方法和存储设备。所述一种绿色上网的方法,包括步骤:用户加入至特定APN中;对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象;根据预设上网策略对所述用户访问的对象进行管控。因对用户的上网流量的分析是在网络端进行,使得受控端的孩子的手机、PAD等设备上无需安装任何APP,即可避免受控软件被手动卸载而失去管控能力,且整个方法操作简单,并且可降低小孩的排斥心理。

Description

一种绿色上网的方法和存储设备
技术领域
本发明涉及互联网技术领域,特别涉及一种绿色上网的方法和存储设备。
背景技术
随着互联网的发展与网络教学的流行,青少年越来越多地接触与使用到网络,但是是网络环境复杂多样,在青少年的成长过程中很多网络内容都不适合青少年接触,可能会造成人生观还不明确的青少年产生迷茫甚至误导,这已经是一个严重的社会问题。
很多家长为了保护自己的孩子在不能正确鉴别信息来源的情况下,开始禁止孩子上网。这会导致孩子无法了解最新的新闻资讯和科学技术,在一开始就落后别人一步,因此如何有效地对青少年浏览的内容进行一个把关,将含有不良信息的内容去除或禁止青少年可浏览到不良信息的内容,成了亟需解决的问题;
现有技术方案中,常见的解决方法是安装专门给学生用的学生端app,然而这么做变成每个应用都需要安装专门的学生端app,不仅操作起来很繁琐,而且很容易引起学生的逆反心理。
发明内容
为此,需要提供一种绿色上网的方法,用以解决现有技术中实现绿色上网操作复杂繁琐的问题。具体技术方案如下:
一种绿色上网的方法,包括步骤:
用户加入至特定APN中;
对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象;
根据预设上网策略对所述用户访问的对象进行管控。
进一步的,所述“对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象”,还包括步骤:
根据用户访问的协议类型判断用户访问的对象,所述用户访问的对象包括以下中的一种或多种:应用、网站;
若识别出用户访问的对象为网站,则采集用户协议的上行流量,通过分析协议的上行流量得用户的访问信息,所述用户的访问信息包括以下中的一种或多种:手机号码、访问的域名、IP、URL。
进一步的,所述“对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象”,还包括步骤:
根据用户访问的协议类型判断用户访问的对象,所述用户访问的对象包括以下中的一种或多种:应用、网站;
若识别出用户访问的对象为应用,则以连接为识别单位,对数据包的IP层负载数据进行扫描检测特征;
若在数据包中检测到某个规则所包含的所有特征,则判定该连接的应用类型为该规则所属的应用。
进一步的,所述“对数据包的IP层负载数据进行扫描检测特征”,还包括步骤:
对所有识别规则进行预处理;
根据预处理结果对数据包的IP层负载数据进行扫描检测特征。
进一步的,所述“对所有识别规则进行预处理,根据预处理结果对数据包的IP层负载数据进行扫描检测特征”,还包括步骤:
读取预置的规则文件,并将规则按特征分类,对不同类的规则编译不同的匹配信息;
根据所述匹配信息对数据包的IP层负载数据进行扫描检测特征。
为解决上述技术问题,还提供了一种存储设备,具体技术方案如下:
一种存储设备,其中存储有指令集,所述指令集用于执行:
用户加入至特定APN中;
对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象;
根据预设上网策略对所述用户访问的对象进行管控。
进一步的,所述指令集还用于执行:
所述“对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象”,还包括步骤:
根据用户访问的协议类型判断用户访问的对象,所述用户访问的对象包括以下中的一种或多种:应用、网站;
若识别出用户访问的对象为网站,则采集用户协议的上行流量,通过分析协议的上行流量得用户的访问信息,所述用户的访问信息包括以下中的一种或多种:手机号码、访问的域名、IP、URL。
进一步的,所述指令集还用于执行:
所述“对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象”,还包括步骤:
根据用户访问的协议类型判断用户访问的对象,所述用户访问的对象包括以下中的一种或多种:应用、网站;
若识别出用户访问的对象为应用,则以连接为识别单位,对数据包的IP层负载数据进行扫描检测特征;
若在数据包中检测到某个规则所包含的所有特征,则判定该连接的应用类型为该规则所属的应用。
进一步的,所述指令集还用于执行:
所述“对数据包的IP层负载数据进行扫描检测特征”,还包括步骤:
对所有识别规则进行预处理;
根据预处理结果对数据包的IP层负载数据进行扫描检测特征。
进一步的,所述指令集还用于执行:
所述“对所有识别规则进行预处理,根据预处理结果对数据包的IP层负载数据进行扫描检测特征”,还包括步骤:
读取预置的规则文件,并将规则按特征分类,对不同类的规则编译不同的匹配信息;
根据所述匹配信息对数据包的IP层负载数据进行扫描检测特征。
本发明的有益效果是:通过在云端平台设置特定的APN,当用户加入到特定的APN后,会对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象,对于用户访问的对象,会根据预设上网策略对所述用户访问的对象进行管控。因对用户的上网流量的分析是在网络端进行,使得受控端的孩子的手机、PAD等设备上无需安装任何APP,即可避免受控软件被手动卸载而失去管控能力,且整个方法操作简单,并且可降低小孩的排斥心理。
附图说明
图1为具体实施方式所述一种绿色上网的方法的流程图;
图2为具体实施方式所述网站分析示意图;
图3为具体实施方式所述应用识别示意图;
图4为具体实施方式所述预处理示意图;
图5为具体实施方式所述各类特征匹配单元编译示意图;
图6为具体实施方式所述匹配模块示意图;
图7为具体实施方式所述存储设备的模块示意图。
附图标记说明:
700、存储设备。
具体实施方式
为详细说明技术方案的技术内容、构造特征、所实现目的及效果,以下结合具体实施例并配合附图详予说明。
请参阅图1至图6,在本实施方式中,一种绿色上网的方法可应用在一种存储设备上,该存储设备相对于用户使用的移动端体现为云端,所述存储设备包括但不限于:个人计算机、服务器、通用计算机、专用计算机、网络设备、嵌入式设备、可编程设备、智能移动终端等。
在本技术方案中,在云端设置有特定的APN节点,主要利用APN节点功能实现流量导向,实现对用户流量行为的有效管控。具体技术方案如下:
在本实施方式中,云端所在的平台包括:流量数据采集模块。其中流量数据采集模块可用于识别出用户访问的对象,所述用户访问的对象包括:网站或应用。亦可以根据实际情况,添加或删减用户访问的对象,如用户经常访问的是应用,不包含网站,则只设定用户访问的对象为应用,同理若用户经常访问网站,不访问应用,则设定用户访问的对象为网站,若除了应用和网站,用户还会访问其它资源,则亦可以根据实际应用情况将这些资源添加到用户访问的对象中,做到根据实际用户使用情况个性化增删用户访问的对象。
步骤S101:用户加入至特定APN中。实际操作中体现为:用户开通相关业务后,平台就会将用户加入至特定APN中。一旦用户被加入至特定的APN中后,就有了对用户上网流量进行分析的权限。
即加入至特定APN中后,执行步骤S102:对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象。因加入至特定APN后,会将该APN中的用户流量引导至对应的流量数据采集模块,流量数据采集模块可识别出用户当前上网流量中的所访问的对象为网站或为应用。
识别出来后,执行步骤S103:根据预设上网策略对所述用户访问的对象进行管控。所述预设上网策略包括以下中的一种或多种:模式管理、时段管理、应用管理、上网奖励、网络解锁、紧急联系人。
其中模式管理包括:绿色上网模式(过滤不良网络内容)、网络畅游模式(网络不受限)、守护模式A(用户可自定义管控策略)、守护模式B(用户可自定义管控策略)。方便用户进行一键切换。
时段管理包括:限时开放网络。
应用管理包括:对平台提供的应用进行分类,自定义应用黑名单组。
上网奖励包括:上网奖励卡(可通过该奖励卡临时解锁网络)、任务奖励功能。
通信管理包括:限时收发短信和限时段控制通话。
网络解锁包括:临时或永久开放网络。
紧急联系人包括:设置应急电话功能(通话管控状态下可拨通)。
通过在云端平台设置特定的APN,当用户加入到特定的APN后,会对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象,对于用户访问的对象,会根据预设上网策略对所述用户访问的对象进行管控。因对用户的上网流量的分析是在网络端进行,使得受控端的孩子的手机、PAD等设备上无需安装任何APP,即可避免受控软件被手动卸载而失去管控能力,且整个方法操作简单,并且可降低小孩的排斥心理。
以下分别对用户访问的对象为网站或应用展开说明:
首先说明如何判断用户访问的对象为网站或应用,具体可如下:
所述“对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象”,还包括步骤:
根据用户访问的协议类型判断用户访问的对象,所述用户访问的对象包括以下中的一种或多种:应用、网站。
如:采集用户的上网流量,根据用户访问的协议类型来确认是否为网站访问,常见的即若用户访问的协议类型为HTTP、HTTPS、RADIUS等,则为网站访问,否则判定为应用访问。以下对网站访问和应用访问的不同处理方式具体展开说明:
用户访问的对象为网站
所述“对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象”,还包括步骤:
若识别出用户访问的对象为网站,则采集用户协议的上行流量,通过分析协议的上行流量得用户的访问信息,所述用户的访问信息包括以下中的一种或多种:手机号码、访问的域名、IP、URL。
如图3所示,通过采集用户HTTP、HTTPS、RADIUS等协议的上行流量,通过协议分析,得到用户手机号码以及访问的域名、IP、URL等内容。同时根据用户配置的上网策略,实现对用户的上网行为进行管理。
1、通过RADIUS上行流量得到用户账号和IP地址对应关系,通过APN镜像用户的HTTP、HTTPS、DNS数据。
2、上行流量实时分析用户的访问的站点,终端等信息;根据用户配置的策略,实时做出处理;策略包括部分可访问,或过滤不良信息,部分时段可访问等。
3、在本实施方式中仅对开通服务的用户流量做实时处理,不保存任何用户访问数据。
即若分析到用户想要访问的网站为百度,可根据预设上网策略对所述用户访问的对象进行管控,如限制用户对百度网站的访问,或限制用户在特定时间内可以对百度网站进行访问等。而若不让用户对百度网站进行访问,则可以根据图2所示流程对用户访问进行重定向或reset,以达到禁止访问网站的目的。
用户访问的对象为应用
所述“对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象”,还包括步骤:
若识别出用户访问的对象为应用,则以连接为识别单位,对数据包的IP层负载数据进行扫描检测特征;
若在数据包中检测到某个规则所包含的所有特征,则判定该连接的应用类型为该规则所属的应用。
如:最后判定出用户要访问的应用为微信,则根据预设上网策略对微信进行管控。
因每个应用都有对应的识别应用规则,其中应用规则中包含数据包的以下特征:IP、端口、数据包方向、数据包协议、协议细分、域名特征、7层负载的长度或范围、Z特征、S特征、D特征、offlen特征。故可通过规则来识别应用,具体是如何操作的以下展开说明:
其中所述“对数据包的IP层负载数据进行扫描检测特征”,还包括步骤:
对所有识别规则进行预处理;
根据预处理结果对数据包的IP层负载数据进行扫描检测特征。
所述“对所有识别规则进行预处理,根据预处理结果对数据包的IP层负载数据进行扫描检测特征”,还包括步骤:
读取预置的规则文件,并将规则按特征分类,对不同类的规则编译不同的匹配信息;
根据所述匹配信息对数据包的IP层负载数据进行扫描检测特征。
请参阅图4至图6,以下对应用识别过程、预处理过程和匹配过程展开具体说明:
如图4所示,在本实施方式中,应用识别以连接为识别单位,采用对数据包的IP层负载数据进行扫描检测特征的方法进行识别,如果在同一数据包能检测到某个规则所包含的所有特征,则判定为此连接的应用类型为该规则所属的应用。
如图5所示,为达到对应用的高速识别,应用识别首先对所有识别规则进行预处理,然后把预处理的结果交给匹配模块进行匹配。预处理模块负责读取预置的规则文件,并按各类特征的特性构造不同的算法处理单元,然后将构造后的二进制内存信息下发给匹配模块。匹配模块负责根据预处理模块提供的信息对数据包的IP负载数据进行扫描匹配,然后将匹配的结果设置在连接跟踪的相关字段。
预处理过程
预处理模块包含有规则文件解析、规则依赖关系化划分、规则分类、各类特征匹配单元编译、规则匹配信息下发子模块。其中规则文件解析模块负责读取解析规则文件的规则信息,规则依赖关系划分模块负载创建规则间的依赖关系树,规则分类模块根据规则包含的特征情况作分类,各类特征匹配单元编译模块负责将各个特征分类集合下的规则按各特征匹配所采用的算法进行编译处理,规则匹配信息下发模块负责将编译后的信息下发给匹配模块。
如图6所示,特征匹配单元编译部分包括:ZDFA编译、MWM编译、Http-MWM编译、DDFA编译、Offlen DFA编译、IP特征匹配、域名特征匹配、端口特征匹配、BMH编译、自定义规则匹配等处理单元。AC应用识别对Z特征、D特征、Offlen特征进行DFA预编译,使用确定有限状态自动机DFA可以使得整个规则的匹配与计算无关,而仅与状态有关,这是应用识别规则匹配效率高效的另外一个方面。
匹配过程
匹配模块包含规则匹配信息接收、数据包负载提取及分支判断、特征匹配、单规则匹配、特殊规则匹配、关联连接识别模块。规则匹配信息接收模块负责接收从预处理模块下发的规则信息。数据包负载提取及分支判断模块负责获取数据包的IP层负载数据、判断当前连接需要匹配哪类规则或不需要匹配哪些规则。特征匹配通过各类特征匹配单元对数据包进行扫描得到当前数据包含的特征及这些特征对应的规则集。单规则匹配模块对特征匹配模块得到的规则集进行准确匹配。关联连接识别负责关联连接的识别将主连接的连接跟踪信息置到从连接的连接跟踪结构中。
对应用识别规则集的端口特征,则首先按照协议类型进行分类,比如TCP和UDP协议,然后将整个端口范围65536平均分成64段,每段内包含1024个端口号,经过这一层散列后再指定该1024个端口范围内规则指定的端口特征,从而使得每次匹配端口的个数尽可能最少进而高效的匹配。
进一步的,在本实施方式中,还可用于通信(语音、短信)管控。
语音、短信管控由于涉及到基础通信网元的改造及升级,需运营商配合,并提供基础的语音和短信开关接口。需改造的网元如下:
限时收发短信,短信DCS上增加开发短信临时保管箱。
限时段控制通话,智能网SCP-AS(业务控制点)进行功能改造。
请参阅图2至图7,在本实施方式中,一种存储设备700的具体实施方式如下:
在本实施方式中,所述存储设备700包括但不限于:个人计算机、服务器、通用计算机、专用计算机、网络设备、嵌入式设备、可编程设备、智能移动终端等。该存储设备700相对于用户使用的移动端体现为云端。
在本技术方案中,在存储设备700设置有特定的APN节点,主要利用APN节点功能实现流量导向,实现对用户流量行为的有效管控。具体技术方案如下:
在本实施方式中,存储设备700中可包括:流量数据采集模块。其中流量数据采集模块可用于识别出用户访问的对象,所述用户访问的对象包括:网站或应用。亦可以根据实际情况,添加或删减用户访问的对象,如用户经常访问的是应用,不包含网站,则只设定用户访问的对象为应用,同理若用户经常访问网站,不访问应用,则设定用户访问的对象为网站,若除了应用和网站,用户还会访问其它资源,则亦可以根据实际应用情况将这些资源添加到用户访问的对象中,做到根据实际用户使用情况个性化增删用户访问的对象。
一种存储设备700,其中存储有指令集,所述指令集用于执行:
用户加入至特定APN中。实际操作中体现为:用户开通相关业务后,平台就会将用户加入至特定APN中。一旦用户被加入至特定的APN中后,就有了对用户上网流量进行分析的权限。
即对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象。因加入至特定APN后,会将该APN中的用户流量引导至对应的流量数据采集模块,流量数据采集模块可识别出用户当前上网流量中的所访问的对象为网站或为应用。
根据预设上网策略对所述用户访问的对象进行管控。
所述预设上网策略包括以下中的一种或多种:模式管理、时段管理、应用管理、上网奖励、网络解锁、紧急联系人。
其中模式管理包括:绿色上网模式(过滤不良网络内容)、网络畅游模式(网络不受限)、守护模式A(用户可自定义管控策略)、守护模式B(用户可自定义管控策略)。方便用户进行一键切换。
时段管理包括:限时开放网络。
应用管理包括:对平台提供的应用进行分类,自定义应用黑名单组。
上网奖励包括:上网奖励卡(可通过该奖励卡临时解锁网络)、任务奖励功能。
通信管理包括:限时收发短信和限时段控制通话。
网络解锁包括:临时或永久开放网络。
紧急联系人包括:设置应急电话功能(通话管控状态下可拨通)。
通过在存储设备700上设置特定的APN,当用户加入到特定的APN后,会对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象,对于用户访问的对象,会根据预设上网策略对所述用户访问的对象进行管控。因对用户的上网流量的分析是在存储设备700端进行,使得受控端的孩子的手机、PAD等设备上无需安装任何APP,即可避免受控软件被手动卸载而失去管控能力,且整个方法操作简单,并且可降低小孩的排斥心理。
以下分别对用户访问的对象为网站或应用展开说明:
首先说明如何判断用户访问的对象为网站或应用,具体可如下:
所述“对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象”,还包括步骤:
根据用户访问的协议类型判断用户访问的对象,所述用户访问的对象包括以下中的一种或多种:应用、网站。
如:采集用户的上网流量,根据用户访问的协议类型来确认是否为网站访问,常见的即若用户访问的协议类型为HTTP、HTTPS、RADIUS等,则为网站访问,否则判定为应用访问。以下对网站访问和应用访问的不同处理方式具体展开说明:
用户访问的对象为网站
进一步的,所述指令集还用于执行:
所述“对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象”,还包括步骤:
若识别出用户访问的对象为网站,则采集用户协议的上行流量,通过分析协议的上行流量得用户的访问信息,所述用户的访问信息包括以下中的一种或多种:手机号码、访问的域名、IP、URL。
如图3所示,通过采集用户HTTP、HTTPS、RADIUS等协议的上行流量,通过协议分析,得到用户手机号码以及访问的域名、IP、URL等内容。同时根据用户配置的上网策略,实现对用户的上网行为进行管理。
1、通过RADIUS上行流量得到用户账号和IP地址对应关系,通过APN镜像用户的HTTP、HTTPS、DNS数据。
2、上行流量实时分析用户的访问的站点,终端等信息;根据用户配置的策略,实时做出处理;策略包括部分可访问,或过滤不良信息,部分时段可访问等。
3、在本实施方式中仅对开通服务的用户流量做实时处理,不保存任何用户访问数据。
即若分析到用户想要访问的网站为百度,可根据预设上网策略对所述用户访问的对象进行管控,如限制用户对百度网站的访问,或限制用户在特定时间内可以对百度网站进行访问等。而若不让用户对百度网站进行访问,则可以根据图2所示流程对用户访问进行重定向或reset,以达到禁止访问网站的目的。
用户访问的对象为应用
进一步的,所述指令集还用于执行:
所述“对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象”,还包括步骤:
若识别出用户访问的对象为应用,则以连接为识别单位,对数据包的IP层负载数据进行扫描检测特征;
若在数据包中检测到某个规则所包含的所有特征,则判定该连接的应用类型为该规则所属的应用。
如:最后判定出用户要访问的应用为微信,则根据预设上网策略对微信进行管控。
因每个应用都有对应的识别应用规则,其中应用规则中包含数据包的以下特征:IP、端口、数据包方向、数据包协议、协议细分、域名特征、7层负载的长度或范围、Z特征、S特征、D特征、offlen特征。故可通过规则来识别应用,具体是如何操作的以下展开说明:
进一步的,所述指令集还用于执行:
所述“对数据包的IP层负载数据进行扫描检测特征”,还包括步骤:
对所有识别规则进行预处理;
根据预处理结果对数据包的IP层负载数据进行扫描检测特征。
进一步的,所述指令集还用于执行:
所述“对所有识别规则进行预处理,根据预处理结果对数据包的IP层负载数据进行扫描检测特征”,还包括步骤:
读取预置的规则文件,并将规则按特征分类,对不同类的规则编译不同的匹配信息;
根据所述匹配信息对数据包的IP层负载数据进行扫描检测特征。
请参阅图4至图7,以下对应用识别过程、预处理过程和匹配过程展开具体说明:
如图4所示,在本实施方式中,应用识别以连接为识别单位,采用对数据包的IP层负载数据进行扫描检测特征的方法进行识别,如果在同一数据包能检测到某个规则所包含的所有特征,则判定为此连接的应用类型为该规则所属的应用。
如图5所示,为达到对应用的高速识别,应用识别首先对所有识别规则进行预处理,然后把预处理的结果交给匹配模块进行匹配。预处理模块负责读取预置的规则文件,并按各类特征的特性构造不同的算法处理单元,然后将构造后的二进制内存信息下发给匹配模块。匹配模块负责根据预处理模块提供的信息对数据包的IP负载数据进行扫描匹配,然后将匹配的结果设置在连接跟踪的相关字段。
预处理过程
预处理模块包含有规则文件解析、规则依赖关系化划分、规则分类、各类特征匹配单元编译、规则匹配信息下发子模块。其中规则文件解析模块负责读取解析规则文件的规则信息,规则依赖关系划分模块负载创建规则间的依赖关系树,规则分类模块根据规则包含的特征情况作分类,各类特征匹配单元编译模块负责将各个特征分类集合下的规则按各特征匹配所采用的算法进行编译处理,规则匹配信息下发模块负责将编译后的信息下发给匹配模块。
如图6所示,特征匹配单元编译部分包括:ZDFA编译、MWM编译、Http-MWM编译、DDFA编译、Offlen DFA编译、IP特征匹配、域名特征匹配、端口特征匹配、BMH编译、自定义规则匹配等处理单元。AC应用识别对Z特征、D特征、Offlen特征进行DFA预编译,使用确定有限状态自动机DFA可以使得整个规则的匹配与计算无关,而仅与状态有关,这是应用识别规则匹配效率高效的另外一个方面。
匹配过程
匹配模块包含规则匹配信息接收、数据包负载提取及分支判断、特征匹配、单规则匹配、特殊规则匹配、关联连接识别模块。规则匹配信息接收模块负责接收从预处理模块下发的规则信息。数据包负载提取及分支判断模块负责获取数据包的IP层负载数据、判断当前连接需要匹配哪类规则或不需要匹配哪些规则。特征匹配通过各类特征匹配单元对数据包进行扫描得到当前数据包含的特征及这些特征对应的规则集。单规则匹配模块对特征匹配模块得到的规则集进行准确匹配。关联连接识别负责关联连接的识别将主连接的连接跟踪信息置到从连接的连接跟踪结构中。
对应用识别规则集的端口特征,则首先按照协议类型进行分类,比如TCP和UDP协议,然后将整个端口范围65536平均分成64段,每段内包含1024个端口号,经过这一层散列后再指定该1024个端口范围内规则指定的端口特征,从而使得每次匹配端口的个数尽可能最少进而高效的匹配。
进一步的,在本实施方式中,还可用于通信(语音、短信)管控。
语音、短信管控由于涉及到基础通信网元的改造及升级,需运营商配合,并提供基础的语音和短信开关接口。需改造的网元如下:
限时收发短信,短信DCS上增加开发短信临时保管箱。
限时段控制通话,智能网SCP-AS(业务控制点)进行功能改造。
需要说明的是,尽管在本文中已经对上述各实施例进行了描述,但并非因此限制本发明的专利保护范围。因此,基于本发明的创新理念,对本文所述实施例进行的变更和修改,或利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接地将以上技术方案运用在其他相关的技术领域,均包括在本发明的专利保护范围之内。

Claims (4)

1.一种绿色上网的方法,其特征在于,包括步骤:
用户加入至特定APN中;
对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象;
根据预设上网策略对所述用户访问的对象进行管控;
所述“对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象”,还包括步骤:
根据用户访问的协议类型判断用户访问的对象,所述用户访问的对象包括以下中的一种或多种:应用、网站;
若识别出用户访问的对象为应用,则以连接为识别单位,对数据包的IP层负载数据进行扫描检测特征;
若在数据包中检测到某个规则所包含的所有特征,则判定该连接的应用类型为该规则所属的应用;
所述“对数据包的IP层负载数据进行扫描检测特征”,还包括步骤:
对所有识别规则进行预处理;
根据预处理结果对数据包的IP层负载数据进行扫描检测特征;
所述“对所有识别规则进行预处理,根据预处理结果对数据包的IP层负载数据进行扫描检测特征”,还包括步骤:
预处理模块读取预置的规则文件,并按各类特征的特性构造不同的算法处理单元,将构造后的二进制内存信息下发至匹配模块,匹配模块对数据包的IP负载数据进行扫描匹配,将匹配的结果设置在连接跟踪的相关字段;
所述预处理模块包括:规则文件解析模块、规则依赖关系划分模块、规则分类模块、各类特征匹配单元编译模块、规则匹配分析下发子模块;
所述规则文件解析模块,用于读取解析规则文件的规则信息,
所述规则依赖关系划分模块,用于负责 创建规则间的依赖关系树,
所述规则分类模块,用于根据规则包含的特征情况作分类,
所述各类特征匹配单元编译模块用于,负责将各个特征分类集合下的规则按各特征匹配所采用的算法进行编译处理,
所述规则匹配信息下发子模块,用于负责将编译后的信息下发给匹配模块;
所述匹配模块包括:规则匹配信息接收模块、数据包负载提取及分支判断模块、特征匹配模块、单规则匹配模块、特殊规则匹配模块和关联连接识别模块;
所述规则匹配信息接收模块,用于负责接收从预处理模块下发的规则信息,
所述数据包负载提取及分支判断模块,用于负责获取数据包的IP层负载数据、判断当前连接需要匹配哪类规则或不需要匹配哪些规则,
所述特征匹配模块,用于通过各类特征匹配单元对数据包进行扫描得到当前数据包含的特征及这些特征对应的规则集,
所述单规则匹配模块,用于对特征匹配模块得到的规则集进行准确匹配,
关联连接识别模块,负责关联连接的识别将主连接的连接跟踪信息置到从连接的连接跟踪结构中。
2.根据权利要求1所述的一种绿色上网的方法,其特征在于,所述“对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象”,还包括步骤:
根据用户访问的协议类型判断用户访问的对象,所述用户访问的对象包括以下中的一种或多种:应用、网站;
若识别出用户访问的对象为网站,则采集用户协议的上行流量,通过分析协议的上行流量得用户的访问信息,所述用户的访问信息包括以下中的一种或多种:手机号码、访问的域名、IP、URL。
3.一种存储设备,其中存储有指令集,其特征在于,所述指令集用于执行:
用户加入至特定APN中;
对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象;
根据预设上网策略对所述用户访问的对象进行管控;
所述指令集还用于执行:
根据用户访问的协议类型判断用户访问的对象,所述用户访问的对象包括以下中的一种或多种:应用、网站;
所述“对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象”,还包括步骤:
若识别出用户访问的对象为应用,则以连接为识别单位,对数据包的IP层负载数据进行扫描检测特征;
若在数据包中检测到某个规则所包含的所有特征,则判定该连接的应用类型为该规则所属的应用;
所述指令集还用于执行:
所述“对数据包的IP层负载数据进行扫描检测特征”,还包括步骤:
对所有识别规则进行预处理;
根据预处理结果对数据包的IP层负载数据进行扫描检测特征;
所述指令集还用于执行:
预处理模块读取预置的规则文件,并按各类特征的特性构造不同的算法处理单元,将构造后的二进制内存信息下发至匹配模块,匹配模块对数据包的IP负载数据进行扫描匹配,将匹配的结果设置在连接跟踪的相关字段;
所述预处理模块包括:规则文件解析模块、规则依赖关系划分模块、规则分类模块、各类特征匹配单元编译模块、规则匹配分析下发子模块;
所述规则文件解析模块,用于读取解析规则文件的规则信息,
所述规则依赖关系划分模块,用于负责 创建规则间的依赖关系树,
所述规则分类模块,用于根据规则包含的特征情况作分类,
所述各类特征匹配单元编译模块用于,负责将各个特征分类集合下的规则按各特征匹配所采用的算法进行编译处理,
所述规则匹配信息下发子模块,用于负责将编译后的信息下发给匹配模块;
所述匹配模块包括:规则匹配信息接收模块、数据包负载提取及分支判断模块、特征匹配模块、单规则匹配模块、特殊规则匹配模块和关联连接识别模块;
所述规则匹配信息接收模块,用于负责接收从预处理模块下发的规则信息,
所述数据包负载提取及分支判断模块,用于负责获取数据包的IP层负载数据、判断当前连接需要匹配哪类规则或不需要匹配哪些规则,
所述特征匹配模块,用于通过各类特征匹配单元对数据包进行扫描得到当前数据包含的特征及这些特征对应的规则集,
所述单规则匹配模块,用于对特征匹配模块得到的规则集进行准确匹配,
关联连接识别模块,负责关联连接的识别将主连接的连接跟踪信息置到从连接的连接跟踪结构中。
4.根据权利要求3所述的一种存储设备,其特征在于,所述指令集还用于执行:
所述“对所述特定APN中用户的上网流量进行分析,识别出用户访问的对象”,还包括步骤:
根据用户访问的协议类型判断用户访问的对象,所述用户访问的对象包括以下中的一种或多种:应用、网站;
若识别出用户访问的对象为网站,则采集用户协议的上行流量,通过分析协议的上行流量得用户的访问信息,所述用户的访问信息包括以下中的一种或多种:手机号码、访问的域名、IP、URL。
CN202010474403.5A 2020-05-29 2020-05-29 一种绿色上网的方法和存储设备 Active CN111600904B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010474403.5A CN111600904B (zh) 2020-05-29 2020-05-29 一种绿色上网的方法和存储设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010474403.5A CN111600904B (zh) 2020-05-29 2020-05-29 一种绿色上网的方法和存储设备

Publications (2)

Publication Number Publication Date
CN111600904A CN111600904A (zh) 2020-08-28
CN111600904B true CN111600904B (zh) 2022-08-05

Family

ID=72191641

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010474403.5A Active CN111600904B (zh) 2020-05-29 2020-05-29 一种绿色上网的方法和存储设备

Country Status (1)

Country Link
CN (1) CN111600904B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113691549B (zh) * 2021-08-27 2023-01-13 四川长虹网络科技有限责任公司 一种基于路由器的访问拦截方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103688489A (zh) * 2012-12-03 2014-03-26 华为技术有限公司 一种策略处理的方法及网络设备
CN107645502A (zh) * 2017-09-20 2018-01-30 新华三信息安全技术有限公司 一种报文检测方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101505236A (zh) * 2009-03-12 2009-08-12 成都市华为赛门铁克科技有限公司 一种实现绿色上网的方法和装置
CN202856778U (zh) * 2012-07-03 2013-04-03 湖南省烟草公司长沙市公司 一种网络应用层流量管理系统
CN103167180A (zh) * 2013-03-19 2013-06-19 浙江中呼科技有限公司 手机上网控制系统及方法
CN107277034A (zh) * 2017-07-04 2017-10-20 深圳天珑无线科技有限公司 一种学生用移动终端控制方法、装置及存储介质
CN108964983A (zh) * 2018-06-13 2018-12-07 四川斐讯全智信息技术有限公司 一种基于路由器的上网控制方法及系统
CN109862512B (zh) * 2018-12-12 2021-04-09 南京友众力信息技术有限公司 未成年人通信的信息监管控制系统及方法、计算机程序

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103688489A (zh) * 2012-12-03 2014-03-26 华为技术有限公司 一种策略处理的方法及网络设备
CN107645502A (zh) * 2017-09-20 2018-01-30 新华三信息安全技术有限公司 一种报文检测方法及装置

Also Published As

Publication number Publication date
CN111600904A (zh) 2020-08-28

Similar Documents

Publication Publication Date Title
CN105787366B (zh) 基于组件关系的安卓软件可视化安全分析方法
CN107634931A (zh) 异常数据的处理方法、云端服务器、网关及终端
CN110337059B (zh) 一种用户家庭关系的分析算法、服务器及网络系统
CN109688097A (zh) 网站防护方法、网站防护装置、网站防护设备及存储介质
CN113098870A (zh) 一种网络诈骗检测方法、装置、电子设备及存储介质
CN112751835B (zh) 一种流量预警方法、系统、设备和存储介质
CN103607385A (zh) 基于浏览器进行安全检测的方法和装置
CN111404937B (zh) 一种服务器漏洞的检测方法和装置
CN105825129A (zh) 一种融合通信中恶意软件鉴别方法和系统
CN113572757B (zh) 服务器访问风险监测方法及装置
CN113810381B (zh) 一种爬虫检测方法、web应用云防火墙、装置和存储介质
CN111600904B (zh) 一种绿色上网的方法和存储设备
CN115396218A (zh) 基于流量分析的企业api安全管控方法及系统
CN109446807A (zh) 用于识别拦截恶意机器人的方法、装置以及电子设备
CN111859069B (zh) 一种网络恶意爬虫识别方法、系统、终端及存储介质
CN115442159B (zh) 一种基于家用路由的风险管控方法、系统和存储介质
CN115001790B (zh) 基于设备指纹的二级认证方法、装置及电子设备
EP4093076A1 (en) Method, mobile equipment, and system for vulnerability detection and prevention in a sim, and storage media
CN106713285A (zh) 网站链接安全性验证方法和系统
CN113676466A (zh) 一种网络安全检测的方法和装置
CN114071464A (zh) 基于5g消息的专网实现方法、装置、设备及存储介质
CN111147523A (zh) 一种基于服务伪装探测技术的综合性应用协议识别方法
CN113747443B (zh) 基于机器学习算法的安全检测方法及装置
CN115460059B (zh) 风险预警方法及装置
CN118300826A (zh) 基于api资产的数据流量管理方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant