一种报文拦截方法、装置及设备

技术领域

本发明涉及业务支撑领域，特别是指一种报文拦截方法、装置及设备。

背景技术

目前，网络中存在非法劫持用户流量，在劫持用户流量后非法向用户推送广告等营销的行为。具体的，推送系统非法获得超文本传输协议(Hyper Text TransferProtocol，HTTP)请求报文，然后推送系统伪造服务端向终端发送302重定向报文，接着终端系统发起两个请求，其中一个请求至广告服务器。然后目前网络中仅依靠终端或者内容提供商对非法报文进行自行监管，并没有主动的监管方案。

发明内容

本发明的目的是提供一种报文拦截方法、装置及设备，以解决如何对非法报文进行监测的问题。

为达到上述目的，本发明的实施例提供一种报文拦截方法，所述方法包括：

获取重定向报文的目标报文参数；

将所述重定向报文的目标报文参数与预设报文参数进行匹配处理，得到匹配结果，所述目标报文参数包括源IP，所述预设报文参数包括预设IP；

根据所述匹配结果，对所述重定向报文进行拦截处理。

可选地，根据所述匹配结果，对所述重定向报文进行拦截处理，包括：

在所述匹配结果表明所述重定向报文的源IP与预设IP一致的情况下，对所述重定向报文进行拦截处理。

可选地，根据所述匹配结果，对所述重定向报文进行拦截处理，包括：

在所述匹配结果表明所述重定向报文的源IP与预设IP不一致的情况下，若所述重定向报文的业务类型与HTTP请求的业务类型不一致，则对所述重定向报文进行拦截处理。

可选地，对所述重定向报文进行拦截处理之后，还包括：

上报所述重定向报文的源IP。

本发明实施例还提供了一种报文拦截装置，包括：

第一获取模块，用于获取重定向报文的目标报文参数；

第一处理模块，用于将所述重定向报文的目标报文参数与预设报文参数进行匹配处理，得到匹配结果，所述目标报文参数包括源IP，所述预设报文参数包括预设IP；

第二处理模块，用于根据所述匹配结果，对所述重定向报文进行拦截处理。

可选地，所述第二处理模块用于在所述匹配结果表明所述重定向报文的源IP与预设IP一致的情况下，对所述重定向报文进行拦截处理。

可选地，所述第二处理模块用于在所述匹配结果表明所述重定向报文的源IP与预设IP不一致的情况下，若所述重定向报文的业务类型与HTTP请求的业务类型不一致，则对所述重定向报文进行拦截处理。

可选地，上述装置还包括：

上报模块，用于第二处理模块对所述重定向报文进行拦截处理之后，上报所述重定向报文的源IP。

本发明实施例还提供了一种报文拦截设备，包括：收发机和处理器；

所述处理器用于获取重定向报文的目标报文参数；将所述重定向报文的目标报文参数与预设报文参数进行匹配处理，得到匹配结果，所述目标报文参数包括源IP，所述预设报文参数包括预设IP；根据所述匹配结果，对所述重定向报文进行拦截处理。

本发明实施例还提供了一种报文拦截设备，包括：收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令；所述处理器执行所述程序或指令时实现如上所述报文拦截方法中的步骤。

本发明实施例还提供了一种可读存储介质，其上存储有程序或指令，其特征在于，所述程序或指令被处理器执行时实现如上所述报文拦截方法中的步骤。

本发明的上述技术方案的有益效果如下：

本发明实施例中，获取重定向报文的源IP，通过将重定向报文的源IP与预设IP进行匹配处理，并根据该匹配结果，对重定向报文进行拦截处理，从而实现对非法报文的自动监管，而无需人工参与。

附图说明

图1为本发明实施例的报文拦截方法的流程示意图；

图2为本发明实施例的报文拦截设备的流量处理示意图之一；

图3为本发明实施例的报文拦截设备的流量处理示意图之二；

图4为本发明实施例的报文拦截装置的模块示意图；

图5为本发明实施例的报文拦截设备的结构框图之一；

图6为本发明实施例的报文拦截设备的结构框图之二。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。

在本发明的各种实施例中，应理解，下述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

另外，本文中术语“系统”和“网络”在本文中常可互换使用。

在本申请所提供的实施例中，应理解，“与A相应的B”表示B与A相关联，根据A可以确定B。但还应理解，根据A确定B并不意味着仅仅根据A确定B，还可以根据A和/或其它信息确定B。

如图1所示，本发明实施例提供了一种报文拦截方法，应用于报文拦截设备，该方法包括：

步骤101：获取重定向报文的目标报文参数。

下面先对上述报文拦截设备进行说明。

如图2和图3所示，本发明实施例的报文拦截设备包括深度报文检测(Deep PacketInspection，DPI)设备，该DPI设备可包括：过滤模块、关键信息提取模块、业务识别模块和控制模块。本发明实施例的报文拦截设备还包括：关键信息留存模块和分析模块。由于网络中存在非同源同宿的情况，本发明实施例中可将上述关键信息留存模块和分析模块设置在DPI设备的外部。

通过上述6个模块可对同源同宿或非同源同宿场景中的上下行流量进行监测。

其中，图2中，上行流量和下行流量流经同一台DPI设备，图3中上行流量和下行流量分别流经同一台DPI设备。

下面对上述模块的功能进行说明。

过滤模块：过滤HTTP请求流量和302报文流量中的至少一项，即过滤出用户请求的HTTP信息和302报文中的至少一项。如针对上行流量，过滤出用户请求的HTTP信息，针对下行流量过滤出302报文。

关键信息提取模块：提取HTTP请求信息的源IP、目的IP、URL和Host字段信息；提取302报文的源IP、目的IP和location字段信息。

业务识别模块，该业务识别模块复用现有DPI的7层解析方案，对过滤模块输入的流量信息进行精细化的业务识别，确定请求访问的内容，如某游戏服务器、某视频网站等。

关键信息流量模块，留存终端IP、互联网内容提供商(Internet ContentProvider，ICP)IP、统一资源定位器(Uniform Resource Locator，URL)、Host、location和业务等。

分析模块：(1)接收相关系统下发的危险IP信息；(2)将302报文的源IP与危险IP进行比对，若果两者一致，向控制门口下发信息，阻断该报文的传输，如果不一致进行二次比对；(3)二次比对：对HTTP请求的业务类型与302报文的业务类型进行比对；如果一致，对302报文不做处理，如果不一致，向控制模块下发信息，阻断该报文传输；(4)如果上述两者的业务类型不一致，向相关系统上报危险IP，进行拨测校验及后续追查，形成闭环管理。

控制模块：接收分析模块下发的控制策略，将命中规则的报文进行丢弃处理。

本步骤中，上述重定向报文可具体为302报文，上述目标报文参数可具体为报文的源IP。这里，可具体从上述信息留存模块获取该目标报文参数。

步骤102：将所述重定向报文的目标报文参数与预设报文参数进行匹配处理，得到匹配结果，所述目标报文参数包括源IP，所述预设报文参数包括预设IP。

本步骤中，上述预设报文参数可具体为预设IP，即相关系统下发的危险IP。

步骤103：根据所述匹配结果，对所述重定向报文进行拦截处理。

本发明实施例中，获取重定向报文的源IP，通过将重定向报文的源IP与预设IP进行匹配处理，并根据该匹配结果，对重定向报文进行拦截处理，从而实现对非法报文的自动监管，而无需人工参与。

可选地，根据所述匹配结果，对所述重定向报文进行拦截处理，包括：

在所述匹配结果表明所述重定向报文的源IP与预设IP一致的情况下，对所述重定向报文进行拦截处理。

这里，上述预设IP可具体为预先配置的危险IP，在重定向报文的源IP与预设IP一致的情况下，表明该重定向报文为非法报文，则对该报文进行拦截处理。

可选地，根据所述匹配结果，对所述重定向报文进行拦截处理，包括：

在所述匹配结果表明所述重定向报文的源IP与预设IP不一致的情况下，若所述重定向报文的业务类型与HTTP请求的业务类型不一致，则对所述重定向报文进行拦截处理。

这里，在在重定向报文的源IP与预设IP不一致时，进一步比较重定向报文的业务类型与HTTP请求的业务类型，如果业务类型不一致，则确定该报文为非法报文，则对该报文进行拦截。

其中，HTTP请求的业务类型可通过上述业务识别模块复用现有DPI的7层解析方案，对过滤模块输入的流量信息进行精细化的业务识别，进而确定鳄鱼纹类型。

可选地，对所述重定向报文进行拦截处理之后，还包括：

上报所述重定向报文的源IP。

这里，将所拦截的重定向报文的源IP上报至相关系统，以便于相关系统根据上报的IP进行溯源追查等。

下面对本发明实施例的报文拦截方法进行详细说明。

(1)预置信息库，将相关系统下发的危险IP信息配置在分析模块中。

(2)上行流量经过DPI设备，依次经过过滤模块(过滤出HTTP请求)、关键信息提取模块和业务识别模块。

(3)将上行流量的关键信息上报至关键信息留存模块。

(4)下行流量经过DPI设备，经过过滤模块(过滤出302报文)、关键信息提取模块和业务识别模块。

(5)将下行流量的关键信息上报至关键信息留存模块。

(6)分析模块依次进行预置信息库比对、二次比对、配置信息上报等流程。

(7)若分析模块匹配该流量为非法报文截获后的重定向报文，对该报文进行流量控制并上报危险IP至相关系统。

(8)相关系统根据上报的危险IP进行溯源追查等。

本发明实施例中，获取重定向报文的源IP，通过将重定向报文的源IP与预设IP进行匹配处理，并根据该匹配结果，对重定向报文进行拦截处理，从而实现对非法报文的自动监管，而无需人工参与。

如图4所示，本发明实施例还提供了一种报文拦截装置400，包括：

第一获取模块401，用于获取重定向报文的目标报文参数；

第一处理模块402，用于将所述重定向报文的目标报文参数与预设报文参数进行匹配处理，得到匹配结果，所述目标报文参数包括源IP，所述预设报文参数包括预设IP；

第二处理模块403，用于根据所述匹配结果，对所述重定向报文进行拦截处理。

可选地，所述第二处理模块用于在所述匹配结果表明所述重定向报文的源IP与预设IP一致的情况下，对所述重定向报文进行拦截处理。

可选地，所述第二处理模块用于在所述匹配结果表明所述重定向报文的源IP与预设IP不一致的情况下，若所述重定向报文的业务类型与HTTP请求的业务类型不一致，则对所述重定向报文进行拦截处理。

可选地，本发明实施例的装置，还包括：

上报模块，用于第二处理模块对所述重定向报文进行拦截处理之后，上报所述重定向报文的源IP。

该报文拦截装置能够实现上述报文拦截方法实施例中的所有实现方式，为避免重复，此处不再赘述。

如图5所示，本发明实施例还提供了一种报文拦截设备500，包括：收发机520和处理器510；

所述处理器510用于获取重定向报文的目标报文参数；将所述重定向报文的目标报文参数与预设报文参数进行匹配处理，得到匹配结果，所述目标报文参数包括源IP，所述预设报文参数包括预设IP；根据所述匹配结果，对所述重定向报文进行拦截处理。

可选地，所述处理器510还用于在所述匹配结果表明所述重定向报文的源IP与预设IP一致的情况下，对所述重定向报文进行拦截处理。

可选地，所述处理器510还用于在所述匹配结果表明所述重定向报文的源IP与预设IP不一致的情况下，若所述重定向报文的业务类型与HTTP请求的业务类型不一致，则对所述重定向报文进行拦截处理。

可选地，所述处理器510还用于上报所述重定向报文的源IP。

该报文拦截装置能够实现上述报文拦截方法实施例中的所有实现方式，为避免重复，此处不再赘述。

本发明一实施例提供了一种报文拦截设备，如图6所示，包括收发器610、处理器600、存储器620及存储在所述存储器620上并可在所述处理器600上运行的程序或指令；所述处理器600执行所述程序或指令时实现上述报文拦截方法中的步骤。

所述收发器610，用于在处理器600的控制下接收和发送数据。

其中，在图6中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器600代表的一个或多个处理器和存储器620代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发器610可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。处理器600负责管理总线架构和通常的处理，存储器620可以存储处理器600在执行操作时所使用的数据。

本发明实施例还提供了一种可读存储介质，其上存储有程序或指令，所述程序或指令被处理器执行时实现如上所述的报文拦截方法中的步骤，且能达到相同的技术效果，为避免重复，这里不再赘述。

其中，所述处理器为上述实施例中所述的报文拦截装置中的处理器。所述可读存储介质，包括计算机可读存储介质，如计算机只读存储器(Read-Only Memory，简称ROM)、随机存取存储器(Random Access Memory，简称RAM)、磁碟或者光盘等。

进一步需要说明的是，此说明书中所描述的终端包括但不限于智能手机、平板电脑等，且所描述的许多功能部件都被称为模块，以便更加特别地强调其实现方式的独立性。

本发明实施例中，模块可以用软件实现，以便由各种类型的处理器执行。举例来说，一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块，举例来说，其可以被构建为对象、过程或函数。尽管如此，所标识模块的可执行代码无需物理地位于一起，而是可以包括存储在不同位里上的不同的指令，当这些指令逻辑上结合在一起时，其构成模块并且实现该模块的规定目的。

实际上，可执行代码模块可以是单条指令或者是许多条指令，并且甚至可以分布在多个不同的代码段上，分布在不同程序当中，以及跨越多个存储器设备分布。同样地，操作数据可以在模块内被识别，并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集，或者可以分布在不同位置上(包括在不同存储设备上)，并且至少部分地可以仅作为电子信号存在于系统或网络上。

在模块可以利用软件实现时，考虑到现有硬件工艺的水平，所以可以以软件实现的模块，在不考虑成本的情况下，本领域技术人员都可以搭建对应的硬件电路来实现对应的功能，所述硬件电路包括常规的超大规模集成(VLSI)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备，诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。

上述范例性实施例是参考该些附图来描述的，许多不同的形式和实施例是可行而不偏离本发明精神及教示，因此，本发明不应被建构成为在此所提出范例性实施例的限制。更确切地说，这些范例性实施例被提供以使得本发明会是完善又完整，且会将本发明范围传达给那些熟知此项技术的人士。在该些图式中，组件尺寸及相对尺寸也许基于清晰起见而被夸大。在此所使用的术语只是基于描述特定范例性实施例目的，并无意成为限制用。如在此所使用地，除非该内文清楚地另有所指，否则该单数形式“一”、“一个”和“该”是意欲将该些多个形式也纳入。会进一步了解到该些术语“包含”及/或“包括”在使用于本说明书时，表示所述特征、整数、步骤、操作、构件及/或组件的存在，但不排除一或更多其它特征、整数、步骤、操作、构件、组件及/或其族群的存在或增加。除非另有所示，陈述时，一值范围包含该范围的上下限及其间的任何子范围。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。