专利名称:网络业务控制系统和网络业务控制方法
技术领域:
本发明涉及计算机控制领域,具体而言,涉及一种网络业务控制系统和一种网络业务控制方法。
背景技术:
在当前互联网络游戏作为一种很有魅力的娱乐方式在给网民带来快乐 的同时也带来很多的负面的东西。以网游为例,特别是在高校中,很多学生缺乏自制力导致容易沉迷网游而荒废学业。通过技术手段限制网游使用是可以做到的。一些粗暴的做法是限制互联网使用时,只允许访问WEB端口,这在企业网中是常见的做法,简单有效,但是在高校中学生需要使用互联网学习科研,只允许访问WEB端口会严重影响用户体验,例如下载,视频,即时通信等一些软件使用了非WEB端口。因此,需要一种新的技术方案,可以只精确定点封杀特定业务,而不限制影响用户的其他互联网行为。
发明内容
本发明所要解决的技术问题在于,提供一种新的技术方案,可以只精确定点封杀特定业务,而不限制影响用户的其他互联网行为。有鉴于此,本发明提供了一种网络业务控制系统,包括业务特征码更新单元,存储特定业务的特征码;报文监控单元,采集网络中的报文;业务识别单元,将所述报文与所述特征码进行比对,根据比对结果判断所述报文是否与所述特定业务相关;封杀报文构造单元,伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方,阻止所述报文的发送方与接收方建立连接,或构造将所述发送方与所述接收方之间的连接断开的报文,发送至所述发送方,断开所述发送方和所述接收方之间已建立的连接,以禁止所述特定业务进行。应用本技术方案,阻止报文的收发双方之间建立连接,以及断开已建立的连接,阻止了特定业务的进行,从而达到定点封杀的效果。在上述技术方案中,优选地,所述报文监控单元从网络采集需要监控的文本的报文和/或二进制的报文。应用本技术方案,对整个内部网和外部网之间的报文进行实时监控,从而识别出用户要进行特定业务的潜在可能性,干扰用户,使其不能进行特定业务行为。在上述技术方案中,优选地,所述报文监控单元在已采集的报文的数据量超过预定阈值时,丢弃已采集的部分报文。应用本技术方案,在报文交互量很大时,有可能超过系统的处理能力,则丢弃一些报文即可,以缓解系统压力。在上述技术方案中,优选地,还包括封杀逻辑策略单元,设置对所述特定业务的封杀策略,所述业务识别单元还按所述封杀策略判断是否需要通过所述封杀报文构造单元禁止所述特定业务进行。应用本技术方案,系统针对不同情况制定如时间段、节假日、黑白名单等不同的封杀策略,需要采取封杀策略时,禁止特定业务的进行,不需要时,采取放行行为。在上述技术方案中,优选地,还包括特征码库云中心,定期访问所述特定业务的网站和/或搜索引擎,以更新所述特征码,并由所述业务特征码更新单元进行存储。应用本技术方案,系统定期更新特定业务的特征码并存储,从而使系统能获得最新最有效的特征码,保证封杀行为更好更有效的进行。本发明还提供了一种网络业务控制方法,包括步骤202,存储特定业务的特征码;步骤204,采集网络中的报文;步骤206,将所述报文与所述特征码进行比对,根据比对结果判断所述报文是否与所述特定业务相关;步骤208,伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方,阻止所述报文的发送方与接收方建立连接,或构造将所述发送方与所述接收方之间的连接断开的报文,发送至所述发送方,断开所述发送方和所述接收方之间已建立的连接,以禁止所述特定业务进行。。应用本技术方案,阻止报文的收发双方之间建立连接,以及断开已建立的连接,阻止了特定业务的进行,从而达到定点封杀的效果。 在上述技术方案中,优选地,所述202包括从网络采集需要监控的文本的报文和/或二进制的报文应用本技术方案,对整个内部网和外部网之间的报文进行实时监控,从而识别出用户要进行特定业务的潜在可能性,干扰用户,使其不能进行特定业务行为。在上述技术方案中,优选地,所述步骤202还包括在已采集的报文的数据量超过预定阈值时,丢弃已采集的部分报文。应用本技术方案,在报文交互量很大时,有可能超过系统的处理能力,则丢弃一些报文即可,以缓解系统压力。在上述技术方案中,优选地,所述步骤206还包括设置对所述特定业务的封杀策略;按所述封杀策略判断是否需要禁止所述特定业务进行。应用本技术方案,系统针对不同情况制定如时间段、节假日、黑白名单等不同的封杀策略,需要采取封杀策略时,禁止特定业务的进行,不需要时,采取放行行为。在上述技术方案中,优选地,所述步骤202包括定期访问所述特定业务的网站和/或搜索引擎,以更新所述特征码,并进行存储。应用本技术方案,系统定期更新特定业务的特征码并存储,从而使系统能获得最新最有效的特征码,保证封杀行为更好更有效的进行。
图I示出了根据本发明的实施例的网络业务控制系统的框图;图2示出了根据本发明的实施例的网络业务控制方法的流程图;图3示出了根据本发明的实施例的网游业务控制系统的结构图。
具体实施例方式为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式
对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。图I示出了根据本发明的实施例的网络业务控制系统的框图。如图I所示,本发明的网络业务控制系统100包括业务特征码更新单元102,存储特定业务的特征码;报文监控单元104,采集网络中的报文;业务识别单元106,将所述报文与所述特征码进行比对,根据比对结果判断所述报文是否与所述特定业务相关;封杀报文构造单元108,伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方,阻止所述报文的发送方与接收方建立连接,或构造将所述发送方与所述接收方之间的连接断开的报文,发送至所述发送方,断开所述发送方和所述接收方之间已建立的连接,以禁止所述特定业务进行。。应用本技术方案,阻止报文的收发双方之间建立连接,以及断开已建立的连接,阻止了特定业务的进行,从而达到定点封杀的效果。在上述技术方案中,所述报文监控单元104从网络采集需要监控的文本的报文和/或二进制的报文。应用本技术方案,对整个内部网和外部网之间的报文进行实时监控,从而识别出用户要进行特定业务的潜在可能性,干扰用户,使其不能进行特定业务行为。 在上述技术方案中,所述报文监控单元104在已采集的报文的数据量超过预定阈值时,丢弃已采集的部分报文。应用本技术方案,在报文交互量很大时,有可能超过系统的处理能力,则丢弃一些报文即可,以缓解系统压力。在上述技术方案中,还包括封杀逻辑策略单元110,设置对所述特定业务的封杀策略,所述业务识别单元106还按所述封杀策略判断是否需要通过所述封杀报文构造单元禁止所述特定业务进行。应用本技术方案,系统针对不同情况制定如时间段、节假日、黑白名单等不同的封杀策略,需要采取封杀策略时,禁止特定业务的进行,不需要时,采取放行行为。在上述技术方案中,还包括特征码库云中心112,定期访问所述特定业务的网站和/或搜索引擎,以更新所述特征码,并由所述业务特征码更新单元102进行存储。应用本技术方案,系统定期更新特定业务的特征码并存储,从而使系统能获得最新最有效的特征码,保证封杀行为更好更有效的进行。图2示出了根据本发明的实施例的网络业务控制方法的流程图如图2所示,本发明的网络业务控制方法,包括步骤202,存储特定业务的特征码;步骤204,采集网络中的报文;步骤206,将所述报文与所述特征码进行比对,根据比对结果判断所述报文是否与所述特定业务相关;步骤208,伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方,阻止所述报文的发送方与接收方建立连接,或构造将所述发送方与所述接收方之间的连接断开的报文,发送至所述发送方,断开所述发送方和所述接收方之间已建立的连接,以禁止所述特定业务进行。。应用本技术方案,阻止报文的收发双方之间建立连接,以及断开已建立的连接,阻止了特定业务的进行,从而达到定点封杀的效果。在上述技术方案中,所述202包括从网络采集需要监控的文本的报文和/或二进制的报文。应用本技术方案,对整个内部网和外部网之间的报文进行实时监控,从而识别出用户要进行特定业务的潜在可能性,干扰用户,使其不能进行特定业务行为。在上述技术方案中,所述步骤202还包括在已采集的报文的数据量超过预定阈值时,丢弃已采集的部分报文。应用本技术方案,在报文交互量很大时,有可能超过系统的处理能力,则丢弃一些报文即可,以缓解系统压力。在上述技术方案中,所述步骤206还包括设置对所述特定业务的封杀策略;按所述封杀策略判断是否需要禁止所述特定业务进行。应用本技术方案,系统针对不同情况制定如时间段、节假日、黑白名单等不同的封杀策略,需要采取封杀策略时,禁止特定业务的进行,不需要时,采取放行行为。在上述技术方案中,所述步骤202包括定期访问所述特定业务的网站和/或搜索引擎,以更新所述特征码,并进行存储。应用本技术方案,系统定期更新特定业务的特征码并存储,从而使系统能获得最新最有效的特征码,保证封杀行为更好更有效的进行。图3示出了根据本发明的实施例的网游业务控制系统的结构图。如图3所示,以网游作为所述特定业务的例子,详细说明本发明的网络业务控制系统。网游业务控制系统300包括报文监控单元302,网游识别单元304,封杀报文构造单 元306,网游特征码库更新单元308,网游特征码库云中心310,封杀逻辑策略单元312。下面详细说明各单元的作用及结构报文监控单元302部署在互联网出口处抓取整个内部网和外部网络之间的TCP报文。TCP报文包括需要监视的文本的HTTP报文和二进制的报文。HTTP报文主要用于分析是否有游戏下载链接的特征码,客户端获取服务端列表的HTTP报文,游戏客户端连接更新服务器进行版本更新,客户端游戏帐号的注册,页游,这些请求一般都是通过访问WEB服务器完成的。当获取到这些信息后,提交给网游识别单元进行识别,这些特征码基本上是文本的,从URI这一层就基本上达到了识别出了用户要进行网游行为潜在的可能性,从而干扰用户不能进行网游行为。当WEB报文上不能提供游戏特征码时,从用户和服务端交互的报文上进行判断提取特征值。一般情况下网游的服务器IP和端口是不变的。判断出报文目标地址符合这个条件时就认为是网游行为。但是网游的服务器IP和端口这类特征需要人手工去采集信息。当热门的游戏服务器众多时,就有一些工作量。分析出网游交互的报文的特征值。就不需要根据服务端的IP和端口去判断。在内部网和互联网出入口处报文交互量大,当流量很大时可能超过了系统处理的阀值时,这时可将一些报文丢弃,因为在流量下降时还是会将正在进行的网游行为探测到,再对此进行干扰,保证用户不能正常的进行网游行为。报文监控单元302和网游识别单元304最好部署在同台设备上,采用共享环形内存存贮抓取到的报文,报文监控单元302是一个生产者,网游识别单元304是消费者,如果环形内存满了,则直接忽略刚抓取到的报文。网游识别单元304受控于策略单元设置的策略如时间段,源,目的地址等,从而决定是否对应报文需要检测或者放行。策略单元提供管理界面给用户设置具体封杀策略条件。网游识别单元304在对应报文需要检测时,将本地的特征码库和抓取到的报文进行比对。应优先使用报文目的地址和目的端口条件判断,如果不满足,再使用报文内容特征特征值比对。如果备检测报文满足条件说明这个报文可能是一个网游行为包,则需要进行干扰封杀。网游识别单元304则请求封杀报文构造单元根据这个报文构造一个伪造的TCP封包对对应用户的TCP链路干扰掐断。
封杀报文构造单元306,用于阻止用户的三次握手的TCP连接的建立,或者将已经建立连接的TCP链路断开。封杀报文构造单元306构造一个TCP的报文,具体就是一个rawsocket的报文,当是一个正在进行三次握手TCP连接报文时,伪造一个服务端的握手返回发送给请求建立连接方,让客户端连接不到真正的服务端。当是一个已经建立连接的链路上的TCP报文,就伪造一个TCP的报文,将FIN位置1,发送给内网用户从而断掉已建立的连接。这些伪造报文填写源地址为目的服务器地址,目的地址填写用户端地址。就是将网游行为报文的源目的地址反转。由于封杀报文构造单元306在物理距离上是比外部的服务器更靠近用户端,所以封杀报文构造单元306伪造的TCP报文能比外部的服务器的报文先于到达用户端。用户端的TCP协议误认为这个报文就是他请求的目的服务器给他回应的报文。网游特征码库更新单元308以一定的时间频率连接网游特征码库云中心310查询是否有网游特征码的更新。如有更新就下载到本地更新本地的网游特征库。网游特征码库云中心310存贮目前市面上的网游的特征码,只要覆盖常见游戏就可,因为市面上的游戏虽然多,但是占据玩家市场的游戏就那么几款。特征码构建采用人手工分析和机器爬虫抓取的方法。手工分析建立例如市面上主流游戏的服务器地址,报文特征等。和杀毒软件后 台病毒库的方法类似,病毒库也需要人手工分析病毒特征码。机器爬虫定期抓取搜索引擎游戏关键字排行榜,游戏推广网站,游戏下载链接。特征码库的特征码包括依赖WEB报文的游戏下载链接,游戏官网访问,页游官网,游戏客户端获取服务端列表,游戏客户端版本更新等。用户访问游戏官网常需要账号注册,账号激活,账号管理等。还包括下载软件如迅雷,快车,等对游戏的下载,他们也需要请求URL连接。获取这些下载软件的游戏下载的特征码,可以干扰或者断绝下载软件的下载功能,从源头上干扰用户可能潜在进行网游行为。当从WEB报文上没能封杀用户的网游行为时,可能是用户通过其他渠道绕开了WEB报文的封杀。此时可能网游客户端已经能和外部的游戏服务端建立TCP连接。他们之间交互的报文有目的服务器的IP和端口,报文虽然已经进行加密但是还是有特征。大型的网游服务器设计上常有登录服务器,登录服务器数量少且地址固定。获取登录服务器地址的特征,对他们的TCP链路干扰限制用户不能正常登录游戏。用户即使完成了登录服务器的操作,进入了游戏服务器,游戏服务器的地址也是固定不变的,对和游戏服务器之间的TCP连接进行干扰切断也能最终封杀用户的网游行为。网游特征码库云中心310特征码库的特征码需要采用人手动和机器爬虫等程序采集结合的方式。人工手动主要分析主流大型游戏的特征码,一款市场占有率高的游戏能保持长达十年的生命力,且人数众多。人工手动建立这些游戏的特征码就能封杀大多数玩家的网游行为。机器爬虫等程序后台定期访问游戏资讯推广网站,搜索引擎,获取新上市的游戏,热门游戏排行榜。网游特征码库云中心310特征码库的特征码还可以验证已知游戏的特征值是否已经过期,如指定地址的主机是否已经存在,对应的游戏是否已经停运。如果对应的特征值已经过期则对此删除。特征值的构建还需要一些辅助程序对爬虫的处理结果对网游特征码库云中心310管理人员进行,提醒如游戏停运,游戏新上市等。网游特征码库云中心310特征码库的特征码还可以对主流的搜索引擎、对游戏关键字搜索进行屏蔽。当用户需要进行网游行为时多需要搜索引擎检索助记。所以建立网游关键字库后,对用户使用搜索引擎进行关键字搜索进行干扰屏蔽也能达到良好效果。封杀逻辑策略单元312用于给本发明描述的系统提供用户的管理界面,设置各种封杀策略,如时间段,节假日,黑白名单等,指定IP地址,MAC地址等。需要注意的是,以上实施例以网游业务为例,详细说明了本发明对网络业务的控制处理过程,本领域技术人员应当理解,以上实施例不作为对本发明技术方案的限制,更多类型的网络业务适用本发明的技术方案。以上结合附图详细说明了本发明的技术方案,通过本发明的技术方案,可以精确限制用户进行某些特定业务,不会对其它业务造成影响。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种网络业务控制系统,其特征在于,包括 业务特征码更新单元,存储特定业务的特征码; 报文监控单元,采集网络中的报文; 业务识别单元,将所述报文与所述特征码进行比对,根据比对结果判断所述报文是否与所述特定业务相关; 封杀报文构造单元,伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方,阻止所述报文的发送方与接收方建立连接,或 构造将所述发送方与所述接收方之间的连接断开的报文,发送至所述发送方,断开所述发送方和所述接收方之间已建立的连接,以禁止所述特定业务进行。
2.根据权利要求I所述的网络业务控制系统,其特征在于,所述报文监控单元从网络采集需要监控的文本的报文和/或二进制的报文。
3.根据权利要求I所述的网络业务控制系统,其特征在于,所述报文监控单元在已采集的报文的数据量超过预定阈值时,丢弃已采集的部分报文。
4.根据权利要求I所述的网络业务控制系统,其特征在于,还包括 封杀逻辑策略单元,设置对所述特定业务的封杀策略,所述业务识别单元还按所述封杀策略判断是否需要通过所述封杀报文构造单元禁止所述特定业务进行。
5.根据权利要求I至4中任一项所述的网络业务控制系统,其特征在于,还包括 特征码库云中心,定期访问所述特定业务的网站和/或搜索引擎,以更新所述特征码,并由所述业务特征码更新单元进行存储。
6.一种网络业务控制方法,其特征在于,包括 步骤202,存储特定业务的特征码; 步骤204,采集网络中的报文; 步骤206,将所述报文与所述特征码进行比对,根据比对结果判断所述报文是否与所述特定业务相关; 步骤208,伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方,阻止所述报文的发送方与接收方建立连接,或构造将所述发送方与所述接收方之间的连接断开的报文,发送至所述发送方,断开所述发送方和所述接收方之间已建立的连接,以禁止所述特定业务进行。
7.根据权利要求6所述的网络业务控制方法,其特征在于,所述202包括 从网络采集需要监控的文本的报文和/或二进制的报文。
8.根据权利要求6所述的网络业务控制方法,其特征在于,所述步骤202还包括 在已采集的报文的数据量超过预定阈值时,丢弃已采集的部分报文。
9.根据权利要求6所述的网络业务控制方法,其特征在于,所述步骤206还包括 设置对所述特定业务的封杀策略; 按所述封杀策略判断是否需要禁止所述特定业务进行。
10.根据权利要求6至9中任一项所述的网络业务控制方法,其特征在于,所述步骤202包括 定期访问所述特定业务的网站和/或搜索引擎,以更新所述特征码,并进行存储。
全文摘要
本发明提供了一种网络业务控制系统,包括业务特征码更新单元,存储特定业务的特征码;报文监控单元,采集网络中的报文;业务识别单元,将所述报文与所述特征码进行比对,根据比对结果判断所述报文是否与所述特定业务相关;封杀报文构造单元,伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方,阻止所述报文的发送方与接收方建立连接,或构造将所述发送方与所述接收方之间的连接断开的报文,发送至所述发送方,断开所述发送方和所述接收方之间已建立的连接,以禁止所述特定业务进行。相应地,本发明还提供了一种网络业务控制方法。应用本技术方案,阻止报文的收发双方之间建立连接,以及断开已建立的连接,阻止了特定业务的进行,从而达到定点封杀的效果。
文档编号H04L29/06GK102882869SQ201210359390
公开日2013年1月16日 申请日期2012年9月25日 优先权日2012年9月25日
发明者张晓廷, 蒋铃锋, 段乾 申请人:深圳中兴网信科技有限公司