CN112242981A - 一种网站过滤的方法和装置 - Google Patents
一种网站过滤的方法和装置 Download PDFInfo
- Publication number
- CN112242981A CN112242981A CN201910654455.8A CN201910654455A CN112242981A CN 112242981 A CN112242981 A CN 112242981A CN 201910654455 A CN201910654455 A CN 201910654455A CN 112242981 A CN112242981 A CN 112242981A
- Authority
- CN
- China
- Prior art keywords
- message
- filtered
- website
- user
- keywords
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 53
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 description 8
- 230000003993 interaction Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000006066 Comins reaction Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
- G06F16/9535—Search customisation based on user profiles and personalisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本发明实施例公开了一种网站过滤的方法和装置,包括:上网设备监听用户发送的报文或返回给用户的报文;其中,所述报文为应用层报文;当上网设备判断出所述报文中包含待过滤的网站关键字;或者,判断出所述报文中包含所述用户的标识信息对应的待过滤的网站关键字;或者,判断出所述报文中包含所述报文所属的报文类型对应的待过滤的网站关键字;或者,判断出所述报文中包含所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字时,上网设备丢弃所述报文。本发明实施例通过上网设备对应用层报文进行过滤,由于用户所有上网相关的报文都会通过上网设备,因此,通过上网设备对网站进行了有效的过滤。
Description
技术领域
本发明实施例涉及但不限于互联网领域,尤指一种网站过滤的方法和装置。
背景技术
目前网络风险日益增加,因此实现对网站的安全性过滤势在必行。目前公开的过滤方案主要是通过域名系统(DNS,Domain Name System)过滤的方法实现对网络的过滤,在用户发起DNS请求时判断请求的网站是否是待过滤的网站,如果是则不进行DNS解析从而使得用户无法访问对应的网站。这种方法中,当用户通过客户端发起DNS请求时能够对网站进行很好的过滤,而当用户通过浏览器发起DNS请求时,由于第一次发起DNS请求时会进行DNS解析并获得互联网(IP,Internet Protocol)地址后会将IP地址缓存起来,之后再发起DNS请求时如果缓存的IP地址没有过期则不需要进行DNS解析,因此,用户通过浏览器发起DNS请求时,对于缓存的IP地址没有过期的网站则无法进行有效的过滤,并且,这种过滤方法需要在网络侧部署专用DNS服务器,成本更高。
发明内容
本发明实施例提供了一种网站过滤的方法和装置,能够对网站进行有效的过滤。
本发明实施例提供了一种网站过滤的方法,包括:
上网设备监听用户发送的报文或返回给用户的报文;其中,所述报文为应用层报文;
当上网设备判断出所述报文中包含待过滤的网站关键字;或者,判断出所述报文中包含所述用户的标识信息对应的待过滤的网站关键字;或者,判断出所述报文中包含所述报文所属的报文类型对应的待过滤的网站关键字;或者,判断出所述报文中包含所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字时,上网设备丢弃所述报文。
本发明实施例提供了一种网站过滤的装置,包括处理器和计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令被所述处理器执行时,实现上述任一种网站过滤的方法。
本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种网站过滤的方法的步骤。
本发明实施例提供了一种网站过滤的装置,包括:
截获报文模块,用于监听用户发送的报文或返回给用户的报文;其中,所述报文为应用层报文;
过滤模块,用于当判断出所述报文中包含待过滤的网站关键字;或者,判断出所述报文中包含所述用户的标识信息对应的待过滤的网站关键字;或者,判断出所述报文中包含所述报文所属的报文类型对应的待过滤的网站关键字;或者,判断出所述报文中包含所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字时,丢弃所述报文。
本发明实施例包括:上网设备监听用户发送的报文或返回给用户的报文;其中,所述报文为应用层报文;当上网设备判断出所述报文中包含待过滤的网站关键字;或者,判断出所述报文中包含所述用户的标识信息对应的待过滤的网站关键字;或者,判断出所述报文中包含所述报文所属的报文类型对应的待过滤的网站关键字;或者,判断出所述报文中包含所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字时,上网设备丢弃所述报文。本发明实施例通过上网设备对应用层报文进行过滤,由于用户所有上网相关的报文都会通过上网设备,因此,通过上网设备对网站进行了有效的过滤。并且,只需要在上网设备内部通过软件方法实现,不需要在网络侧设置DNS专用服务器,降低了成本。
本发明实施例的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明实施例而了解。本发明实施例的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明实施例技术方案的进一步理解,并且构成说明书的一部分,与本发明实施例的实施例一起用于解释本发明实施例的技术方案,并不构成对本发明实施例技术方案的限制。
图1为本发明一个实施例提出的网站过滤的方法的流程图;
图2为本发明实施例的实例1提出的网站过滤的方法的流程图;
图3为本发明实施例的实例2提出的网站过滤的方法的流程图;
图4为本发明另一个实施例提出的网站过滤的装置的结构组成示意图。
具体实施方式
下文中将结合附图对本发明实施例进行详细说明。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
参见图1,本发明一个实施例提出了一种网络过滤的方法,包括:
步骤100、上网设备监听用户发送的报文或返回给用户的报文;其中,所述报文为应用层报文。
在本发明实施例中,终端通过网线或wifi连接到通过固网或移动网络访问互联网的上网设备,例如,客户前置设备(CPE,Customer Premise Equipment),路由器,移动上网设备等。
步骤101、当上网设备判断出所述报文中包含待过滤的网站关键字;或者,判断出所述报文中包含所述用户的标识信息对应的待过滤的网站关键字;或者,判断出所述报文中包含所述报文所属的报文类型对应的待过滤的网站关键字;或者,判断出所述报文中包含所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字时,上网设备丢弃所述报文。
在本发明另一个实施例中,当上网设备判断出所述报文中不包含待过滤的网站关键字;或者,判断出所述报文中不包含所述用户的标识信息对应的待过滤的网站关键字;或者,判断出所述报文中不包含所述报文所属的报文类型对应的待过滤的网站关键字;或者,判断出所述报文中不包含所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字时,上网设备转发所述报文,对于用户发送的报文,则将报文转发到网络侧;对于返回给用户的报文,则将报文返回给用户。
在本发明实施例中,所述待过滤的网站关键字包括待过滤的网站域名中的部分或全部,例如待过滤的网站关键字为www.baidu.com,那么用户无法访问www.baidu.com,又如,待过滤的网站关键字为baidu,那么用户无法访问ww.baidu.com。
在本发明实施例中,不同用户、不同报文类型对应的待过滤的网站关键字可以相同,也可以不相同。
在本发明实施例中,当不同用户、不同报文类型对应的待过滤的网站关键字均相同时,所述判断出所述报文中包含待过滤的网站关键字包括以下任意一个或多个:
当所述上网设备判断出所述报文为DNS请求报文时,判断出所述DNS请求报文中的待解析的域名中包含所述待过滤的网站关键字;
当判断出所述报文为超文本传输协议(HTTP,Hyper Text Transfer Protocol)请求报文时,判断出所述HTTP请求报文中包含所述待过滤的网站关键字;
当判断出所述报文为超文本传输安全协议(HTTPS,Hyper Text TransferProtocol Secure)请求报文时,判断出所述HTTPS请求报文对应的握手报文中包含所述待过滤的网站关键字。
在本发明实施例中,当不同用户对应的待过滤的网站关键字不相同,不同报文类型对应的待过滤的网站关键字相同时,判断出所述报文中包含所述用户的标识信息对应的待过滤的网站关键字包括以下任意一个或多个:
当所述上网设备判断出所述报文为DNS请求报文时,判断出所述DNS请求报文中的待解析的域名中包含用户的标识信息对应的待过滤的网站关键字;
当判断出所述报文为HTTP请求报文时,判断出所述HTTP请求报文中包含用户的标识信息对应的待过滤的网站关键字;
当判断出所述报文为HTTPS请求报文时,判断出所述HTTPS请求报文对应的握手报文中包含用户的标识信息对应的待过滤的网站关键字。
在本发明实施例中,当不同用户对应的待过滤的网站关键字相同,不同报文类型对应的待过滤的网站关键字不相同时,判断出所述报文中包含报文所属的报文类型对应的待过滤的网站关键字包括以下任意一个或多个:
当所述上网设备判断出所述报文为DNS请求报文时,判断出所述DNS请求报文中的待解析的域名中包含DNS请求报文对应的待过滤的网站关键字;
当判断出所述报文为HTTP请求报文时,判断出所述HTTP请求报文中包含HTTP请求报文对应的待过滤的网站关键字;
当判断出所述报文为HTTPS请求报文时,判断出所述HTTPS请求报文对应的握手报文中包含HTTPS请求报文对应的待过滤的网站关键字。
在本发明实施例中,当不同用户对应的待过滤的网站关键字不相同,不同报文类型对应的待过滤的网站关键字不相同时,判断出所述报文中包含所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字包括以下任意一个或多个:
当所述上网设备判断出所述报文为DNS请求报文时,判断出所述DNS请求报文中的待解析的域名中包含用户的标识信息和DNS请求报文对应的待过滤的网站关键字;
当判断出所述报文为HTTP请求报文时,判断出所述HTTP请求报文中包含用户的标识信息和HTTP请求报文对应的待过滤的网站关键字;
当判断出所述报文为HTTPS请求报文时,判断出所述HTTPS请求报文对应的握手报文中包含用户的标识信息和HTTPS请求报文对应的待过滤的网站关键字。
需要说明的是,HTTPS请求报文在交互开始阶段客户端与服务器之间需要进行握手操作,用于协商密钥等信息,在这一过程中客户端会将待访问的网站域名发送给服务器,这一过程通过明文传输来完成,因此,通过对HTTPS请求报文对应的握手报文的过滤即可实现对HTTPS请求报文的过滤。
在本发明实施例中,所述判断出报文为DNS请求报文包括:判断出所述报文为目的端口为53的传输控制协议(TCP,Transmission Control Protocol)报文或用户数据报协议(UDP,User Datagram Protocol)报文;
所述判断出报文为HTTP请求报文包括:判断出所述报文为目的端口为80的TCP报文;
所述判断出报文为HTTPS请求报文包括:判断出所述报文为目的端口为443的TCP报文。
在本发明实施例中,所述判断出所述报文中包含所述用户的标识信息对应的待过滤的网站关键字包括:
从所述报文中提取所述用户的标识信息,在预先设置的所述用户的标识信息和待过滤的网站关键字之间的第一对应关系中,查找所述用户的标识信息对应的待过滤的网站关键字;
判断出所述报文中包含查找到的待过滤的网站关键字。
在本发明实施例中,所述判断出所述报文中包含所述报文所属的报文类型对应的待过滤的网站关键字包括:
确定所述报文所属的报文类型,在预先设置的所述报文所属的报文类型和待过滤的网站关键字之间的第二对应关系中,查找所述报文所属的报文类型对应的带过滤的网站关键字;
判断出所述报文中包含查找到的待过滤的网站关键字。
在本发明实施例中,所述判断出所述报文中包含所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字包括:
从所述报文中提取所述用户的标识信息,确定所述报文所属的报文类型,在预先设置的所述用户的标识信息、所述报文所属的报文类型和待过滤的网站关键字之间的第三对应关系中,查找所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字;
判断出所述报文中包含查找到的待过滤的网站关键字。
在本发明另一个实施例中,该方法还包括:
所述上网设备设置或更新所述待过滤的网站关键字;
或者,所述上网设备设置或更新所述用户的标识信息和待过滤的网站关键字之间的第一对应关系;
或者,所述上网设备设置或更新所述报文所属的报文类型和待过滤的网站关键字之间的第二对应关系;
或者,所述上网设备设置或更新所述用户的标识信息、所述报文所属的报文类型和待过滤的网站关键字之间的第三对应关系。
需要说明的是,在设置待过滤的网站关键字、第一对应关系、第二对应关系、第三对应关系时,可以的用户为自己做设置,也可以为其他用户做设置,例如家长为孩子设置。
本发明实施例通过上网设备对应用层报文进行过滤,由于用户所有上网相关的报文都会通过上网设备,因此,通过上网设备对网站进行了有效的过滤。并且,只需要在上网设备内部通过软件方法实现,不需要在网络侧设置DNS专用服务器,降低了成本。
实例1
本实例中,通过路由器进行网站过滤,如图2所示,包括:
步骤200、用户在路由器设置页面上添加待过滤的网站关键字后,路由器内部监听用户发来的所有应用层报文并对其进行判断,执行步骤201。
步骤201、路由器判断报文是否是DNS请求报文,若不是执行步骤202。若是DNS请求报文则判断当前待解析的域名是否包含待过滤的网站关键字,如果不是则放行,如果是则将报文丢弃;
DNS请求报文的判断方法:根据DNS请求报文的特点,查找用户发来的目的端口是53的TCP报文或UDP报文,如果找到了,那么就说明该报文是DNS请求报文。
步骤202、判断报文是否是HTTP请求报文,若不是执行步骤203,若是HTTP请求报文则判断报文中是否含有待过滤的网站关键字,如果不含有则放行,如果含有则将报文丢弃。
HTTP请求报文的判断方法:根据HTTP请求报文的特点,查找用户发来的目的端口是80的TCP报文,如果找到了,那么就说明该报文是HTTP请求报文。
步骤203、判断报文是否是HTTPS请求报文,若不是则放行。若是HTTPS请求报文则查看握手协商的明文报文中是否有待过滤的网站关键字,如果不含有则放行,如果含有则将报文丢弃。
HTTPS请求报文的判断方法:根据HTTPS请求报文的特点,查找用户发来的目的端口是443的TCP报文,如果找到了说明该报文是HTTPS请求报文。
HTTPS请求报文交互开始阶段客户端与服务器之间需要进行握手操作用于协商秘钥等信息,在这一过程中客户端会将待访问网站域名发送给服务器,这一过程通过明文传输来完成。因此在截获https报文后查找握手报文中是否有待过滤的网站关键字,如果有则将该报文丢弃,否则放行。
实例2
本实例中,通过路由器进行网站过滤,如图3所示,包括:
步骤300、家长用户在路由器设置页面上添加儿童用户的待过滤的网站关键字后,路由器内部监听儿童用户发来的所有应用层报文并对其进行判断,执行步骤301。
步骤301、路由器判断报文是否是DNS请求报文,若不是执行步骤302。若是DNS请求报文则判断当前待解析的域名是否包含待过滤的网站关键字,如果不是则放行,如果是则将报文丢弃;
DNS请求报文的判断方法:根据DNS请求报文的特点,查找用户发来的目的端口是53的TCP报文或UDP报文,如果找到了,那么就说明该报文是DNS请求报文。
步骤302、判断报文是否是HTTP请求报文,若不是执行步骤303,若是HTTP请求报文则判断报文中是否含有待过滤的网站关键字,如果不含有则放行,如果含有则将报文丢弃。
HTTP请求报文的判断方法:根据HTTP请求报文的特点,查找用户发来的目的端口是80的TCP报文,如果找到了,那么就说明该报文是HTTP请求报文。
步骤303、判断报文是否是HTTPS请求报文,若不是则放行。若是HTTPS请求报文则查看握手协商的明文报文中是否有待过滤的网站关键字,如果不含有则放行,如果含有则将报文丢弃。
HTTPS请求报文的判断方法:根据HTTPS请求报文的特点,查找用户发来的目的端口是443的TCP报文,如果找到了说明该报文是HTTPS请求报文。
HTTPS请求报文交互开始阶段客户端与服务器之间需要进行握手操作用于协商秘钥等信息,在这一过程中客户端会将待访问网站域名发送给服务器,这一过程通过明文传输来完成。因此在截获https报文后查找握手报文中是否有待过滤的网站关键字,如果有则将该报文丢弃,否则放行。
本发明另一个实施例提出了一种网站过滤的装置,包括处理器和计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令被所述处理器执行时,实现上述任一种网站过滤的方法。
本发明另一个实施例提出了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种网站过滤的方法的步骤。
上述网站过滤的装置可以是上网设备,如CPE,路由器,移动上网设备等。
参见图4,本发明另一个实施例提出了一种网站过滤的装置(如上网设备,如CPE,路由器,移动上网设备等),包括:
截获报文模块401,用于监听用户发送的报文或返回给用户的报文;其中,所述报文为应用层报文;
过滤模块402,用于当判断出所述报文中包含待过滤的网站关键字;或者,判断出所述报文中包含所述用户的标识信息对应的待过滤的网站关键字;或者,判断出所述报文中包含所述报文所属的报文类型对应的待过滤的网站关键字;或者,判断出所述报文中包含所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字时,丢弃所述报文。
在本发明实施例中,终端通过网线或wifi连接到通过固网或移动网络访问互联网的上网设备,例如,CPE,路由器,移动上网设备等。
在本发明实施例中,所述待过滤的网站关键字包括待过滤的网站域名中的部分或全部,例如待过滤的网站关键字为www.baidu.com,那么用户无法访问www.baidu.com,又如,待过滤的网站关键字为baidu,那么用户无法访问ww.baidu.com。
在本发明实施例中,不同用户、不同报文类型对应的待过滤的网站关键字可以相同,也可以不相同。
在本发明实施例中,当不同用户、不同报文类型对应的待过滤的网站关键字均相同时,过滤模块402具体用于采用以下任意一个或多个方式实现所述判断出所述报文中包含待过滤的网站关键字:
当判断出所述报文为DNS请求报文时,判断出所述DNS请求报文中的待解析的域名中包含所述待过滤的网站关键字;
当判断出所述报文为超文本传输协议(HTTP,Hyper Text Transfer Protocol)请求报文时,判断出所述HTTP请求报文中包含所述待过滤的网站关键字;
当判断出所述报文为超文本传输安全协议(HTTPS,Hyper Text TransferProtocol Secure)请求报文时,判断出所述HTTPS请求报文对应的握手报文中包含所述待过滤的网站关键字。
在本发明实施例中,当不同用户对应的待过滤的网站关键字不相同,不同报文类型对应的待过滤的网站关键字相同时,过滤模块402具体用于采用以下任意一个或多个方式实现判断出所述报文中包含所述用户的标识信息对应的待过滤的网站关键字:
当判断出所述报文为DNS请求报文时,判断出所述DNS请求报文中的待解析的域名中包含用户的标识信息对应的待过滤的网站关键字;
当判断出所述报文为HTTP请求报文时,判断出所述HTTP请求报文中包含用户的标识信息对应的待过滤的网站关键字;
当判断出所述报文为HTTPS请求报文时,判断出所述HTTPS请求报文对应的握手报文中包含用户的标识信息对应的待过滤的网站关键字。
在本发明实施例中,当不同用户对应的待过滤的网站关键字相同,不同报文类型对应的待过滤的网站关键字不相同时,过滤模块402具体用于采用以下任意一个或多个方式实现判断出所述报文中包含报文所属的报文类型对应的待过滤的网站关键字:
当判断出所述报文为DNS请求报文时,判断出所述DNS请求报文中的待解析的域名中包含DNS请求报文对应的待过滤的网站关键字;
当判断出所述报文为HTTP请求报文时,判断出所述HTTP请求报文中包含HTTP请求报文对应的待过滤的网站关键字;
当判断出所述报文为HTTPS请求报文时,判断出所述HTTPS请求报文对应的握手报文中包含HTTPS请求报文对应的待过滤的网站关键字。
在本发明实施例中,当不同用户对应的待过滤的网站关键字不相同,不同报文类型对应的待过滤的网站关键字不相同时,过滤模块402具体用于采用以下任意一个或多个方式实现判断出所述报文中包含所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字:
当判断出所述报文为DNS请求报文时,判断出所述DNS请求报文中的待解析的域名中包含用户的标识信息和DNS请求报文对应的待过滤的网站关键字;
当判断出所述报文为HTTP请求报文时,判断出所述HTTP请求报文中包含用户的标识信息和HTTP请求报文对应的待过滤的网站关键字;
当判断出所述报文为HTTPS请求报文时,判断出所述HTTPS请求报文对应的握手报文中包含用户的标识信息和HTTPS请求报文对应的待过滤的网站关键字。
需要说明的是,HTTPS请求报文在交互开始阶段客户端与服务器之间需要进行握手操作,用于协商密钥等信息,在这一过程中客户端会将待访问的网站域名发送给服务器,这一过程通过明文传输来完成,因此,通过对HTTPS请求报文对应的握手报文的过滤即可实现对HTTPS请求报文的过滤。
在本发明实施例中,过滤模块402具体用于采用以下方式实现所述判断出报文为DNS请求报文:判断出所述报文为目的端口为53的传输控制协议(TCP,TransmissionControl Protocol)报文或用户数据报协议(UDP,User Datagram Protocol)报文;
过滤模块402具体用于采用以下方式实现所述判断出报文为HTTP请求报文:判断出所述报文为目的端口为80的TCP报文;
过滤模块402具体用于采用以下方式实现所述判断出报文为HTTPS请求报文:判断出所述报文为目的端口为443的TCP报文。
在本发明实施例中,过滤模块402具体用于采用以下方式实现所述判断出所述报文中包含所述用户的标识信息对应的待过滤的网站关键字:
从所述报文中提取所述用户的标识信息,在预先设置的所述用户的标识信息和待过滤的网站关键字之间的第一对应关系中,查找所述用户的标识信息对应的待过滤的网站关键字;
判断出所述报文中包含查找到的待过滤的网站关键字。
在本发明实施例中,过滤模块402具体用于采用以下方式实现所述判断出所述报文中包含所述报文所属的报文类型对应的待过滤的网站关键字:
确定所述报文所属的报文类型,在预先设置的所述报文所属的报文类型和待过滤的网站关键字之间的第二对应关系中,查找所述报文所属的报文类型对应的带过滤的网站关键字;
判断出所述报文中包含查找到的待过滤的网站关键字。
在本发明实施例中,过滤模块402具体用于采用以下方式实现所述判断出所述报文中包含所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字:
从所述报文中提取所述用户的标识信息,确定所述报文所属的报文类型,在预先设置的所述用户的标识信息、所述报文所属的报文类型和待过滤的网站关键字之间的第三对应关系中,查找所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字;
判断出所述报文中包含查找到的待过滤的网站关键字。
在本发明另一个实施例中,还包括:添加规则模块403,用于:
设置或更新所述待过滤的网站关键字;
或者,设置或更新所述用户的标识信息和待过滤的网站关键字之间的第一对应关系;
或者,设置或更新所述报文所属的报文类型和待过滤的网站关键字之间的第二对应关系;
或者,设置或更新所述用户的标识信息、所述报文所属的报文类型和待过滤的网站关键字之间的第三对应关系。
需要说明的是,在设置待过滤的网站关键字、第一对应关系、第二对应关系、第三对应关系时,可以的用户为自己做设置,也可以为其他用户做设置,例如家长为孩子设置。
本发明实施例通过上网设备对应用层报文进行过滤,由于用户所有上网相关的报文都会通过上网设备,因此,通过上网设备对网站进行了有效的过滤。并且,只需要在上网设备内部通过软件方法实现,不需要在网络侧设置DNS专用服务器,降低了成本。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
虽然本发明实施例所揭露的实施方式如上,但所述的内容仅为便于理解本发明实施例而采用的实施方式,并非用以限定本发明实施例。任何本发明实施例所属领域内的技术人员,在不脱离本发明实施例所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明实施例的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (11)
1.一种网站过滤的方法,包括:
上网设备监听用户发送的报文或返回给用户的报文;其中,所述报文为应用层报文;
当上网设备判断出所述报文中包含待过滤的网站关键字;或者,判断出所述报文中包含所述用户的标识信息对应的待过滤的网站关键字;或者,判断出所述报文中包含所述报文所属的报文类型对应的待过滤的网站关键字;或者,判断出所述报文中包含所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字时,上网设备丢弃所述报文。
2.根据权利要求1所述的方法,其特征在于,其中,所述判断出所述报文中包含待过滤的网站关键字包括以下任意一个或多个:
当所述上网设备判断出所述报文为域名系统DNS请求报文时,判断出所述DNS请求报文中的待解析的域名中包含所述待过滤的网站关键字;
当判断出所述报文为超文本传输协议HTTP请求报文时,判断出所述HTTP请求报文中包含所述待过滤的网站关键字;
当判断出所述报文为超文本传输安全协议HTTPS请求报文时,判断出所述HTTPS请求报文对应的握手报文中包含所述待过滤的网站关键字。
3.根据权利要求2所述的方法,其特征在于,其中,包括以下任意一个或多个:
所述判断出报文为DNS请求报文包括:判断出所述报文为目的端口为53的传输控制协议TCP报文或用户数据报协议UDP报文;
所述判断出报文为HTTP请求报文包括:判断出所述报文为目的端口为80的TCP报文;
所述判断出报文为HTTPS请求报文包括:判断出所述报文为目的端口为443的TCP报文。
4.根据权利要求1所述的方法,其特征在于,其中,所述待过滤的网站关键字包括待过滤的网站域名中的部分或全部。
5.根据权利要求1所述的方法,其特征在于,其中,所述判断出所述报文中包含所述用户的标识信息对应的待过滤的网站关键字包括:
从所述报文中提取所述用户的标识信息,在预先设置的所述用户的标识信息和待过滤的网站关键字之间的第一对应关系中,查找所述用户的标识信息对应的待过滤的网站关键字;
判断出所述报文中包含查找到的待过滤的网站关键字。
6.根据权利要求1所述的方法,其特征在于,其中,所述判断出所述报文中包含所述报文所属的报文类型对应的待过滤的网站关键字包括:
确定所述报文所属的报文类型,在预先设置的所述报文所属的报文类型和待过滤的网站关键字之间的第二对应关系中,查找所述报文所属的报文类型对应的带过滤的网站关键字;
判断出所述报文中包含查找到的待过滤的网站关键字。
7.根据权利要求1所述的方法,其特征在于,其中,所述判断出所述报文中包含所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字包括:
从所述报文中提取所述用户的标识信息,确定所述报文所属的报文类型,在预先设置的所述用户的标识信息、所述报文所属的报文类型和待过滤的网站关键字之间的第三对应关系中,查找所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字;
判断出所述报文中包含查找到的待过滤的网站关键字。
8.根据权利要求5~7任一项所述的方法,其特征在于,该方法还包括:
所述上网设备设置或更新所述待过滤的网站关键字;
或者,所述上网设备设置或更新所述用户的标识信息和待过滤的网站关键字之间的第一对应关系;
或者,所述上网设备设置或更新所述报文所属的报文类型和待过滤的网站关键字之间的第二对应关系;
或者,所述上网设备设置或更新所述用户的标识信息、所述报文所属的报文类型和待过滤的网站关键字之间的第三对应关系。
9.一种网站过滤的装置,包括处理器和计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当所述指令被所述处理器执行时,实现如权利要求1~8任一项所述的网站过滤的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1~8任一项所述的网站过滤的方法的步骤。
11.一种网站过滤的装置,包括:
截获报文模块,用于监听用户发送的报文或返回给用户的报文;其中,所述报文为应用层报文;
过滤模块,用于当判断出所述报文中包含待过滤的网站关键字;或者,判断出所述报文中包含所述用户的标识信息对应的待过滤的网站关键字;或者,判断出所述报文中包含所述报文所属的报文类型对应的待过滤的网站关键字;或者,判断出所述报文中包含所述用户的标识信息和所述报文所属的报文类型对应的待过滤的网站关键字时,丢弃所述报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910654455.8A CN112242981A (zh) | 2019-07-19 | 2019-07-19 | 一种网站过滤的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910654455.8A CN112242981A (zh) | 2019-07-19 | 2019-07-19 | 一种网站过滤的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112242981A true CN112242981A (zh) | 2021-01-19 |
Family
ID=74167679
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910654455.8A Pending CN112242981A (zh) | 2019-07-19 | 2019-07-19 | 一种网站过滤的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112242981A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008066249A1 (en) * | 2006-12-01 | 2008-06-05 | Netpia.Com, Inc. | System and method of processing keyword and storage medium of storing program executing the same |
| CN101783803A (zh) * | 2010-01-29 | 2010-07-21 | 中兴通讯股份有限公司 | 一种网页过滤方法及数据卡 |
| CN101834803A (zh) * | 2010-05-24 | 2010-09-15 | 中兴通讯股份有限公司 | 报文处理方法和装置 |
| CN104980409A (zh) * | 2014-04-11 | 2015-10-14 | 中兴通讯股份有限公司 | 一种上网行为管理方法及装置 |
| CN108494761A (zh) * | 2018-03-15 | 2018-09-04 | 四川斐讯信息技术有限公司 | 一种路由器网址过滤方法和过滤系统 |
| CN109167758A (zh) * | 2018-08-07 | 2019-01-08 | 新华三技术有限公司 | 一种报文处理方法及装置 |
-
2019
- 2019-07-19 CN CN201910654455.8A patent/CN112242981A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008066249A1 (en) * | 2006-12-01 | 2008-06-05 | Netpia.Com, Inc. | System and method of processing keyword and storage medium of storing program executing the same |
| CN101783803A (zh) * | 2010-01-29 | 2010-07-21 | 中兴通讯股份有限公司 | 一种网页过滤方法及数据卡 |
| CN101834803A (zh) * | 2010-05-24 | 2010-09-15 | 中兴通讯股份有限公司 | 报文处理方法和装置 |
| CN104980409A (zh) * | 2014-04-11 | 2015-10-14 | 中兴通讯股份有限公司 | 一种上网行为管理方法及装置 |
| CN108494761A (zh) * | 2018-03-15 | 2018-09-04 | 四川斐讯信息技术有限公司 | 一种路由器网址过滤方法和过滤系统 |
| CN109167758A (zh) * | 2018-08-07 | 2019-01-08 | 新华三技术有限公司 | 一种报文处理方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9210122B2 (en) | System and method for inspecting domain name system flows in a network environment | |
| JP5624973B2 (ja) | フィルタリング装置 | |
| US20190075049A1 (en) | Determining Direction of Network Sessions | |
| CN104580192B (zh) | 应用程序的网络访问请求的处理方法和装置 | |
| JP6074781B2 (ja) | 許可されていないサービスアクセスを防止する方法および装置 | |
| AU2012363126B2 (en) | Terminal device and user information synchronization method | |
| CN104333567B (zh) | 采用安全即服务的web缓存 | |
| US8140647B1 (en) | System and method for accelerated data uploading | |
| US9042863B2 (en) | Service classification of web traffic | |
| US11463537B1 (en) | Proxy selection by monitoring quality and available capacity | |
| CN105635073B (zh) | 访问控制方法、装置和网络接入设备 | |
| WO2018188470A1 (zh) | 一种上传接口识别方法、识别服务器及系统及存储介质 | |
| US11496594B1 (en) | Regulation methods for proxy services | |
| CN110677396A (zh) | 一种安全策略配置方法和装置 | |
| EP2640035B1 (en) | Hypertext transfer protocol (http) stream association method and device | |
| Wang et al. | Smart devices information extraction in home wi‐fi networks | |
| US10326819B2 (en) | Method and apparatus for detecting access path | |
| CN108040124B (zh) | 基于DNS-Over-HTTP协议的控制移动端应用的方法及装置 | |
| CN112242981A (zh) | 一种网站过滤的方法和装置 | |
| CN106790176B (zh) | 一种访问网络的方法及系统 | |
| EP2677715A1 (en) | A method and a server for evaluating a request for access to content from a server in a computer network | |
| CN108737291B (zh) | 一种网络流量表示的方法及装置 | |
| CN102638463A (zh) | 跟踪特定radius会话的方法和装置 | |
| FR2853177A1 (fr) | Procede et systeme de controle d'acces a des sites internet | |
| CN114726566A (zh) | 网址过滤方法、装置及节点 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |