数据包处理方法、装置、网络设备及可读存储介质与流程

本发明涉及通信技术领域，具体而言，涉及一种数据包处理方法、装置、网络设备及可读存储介质。

背景技术：

目前的家用网络设备(例如，家用路由器)的安全性主要体现在防蹭网、防入侵等方面，防止非法用户入侵到局域网内、获得路由器管理权限等，但是没有对用户数据、财产的保护，例如对于用户数据、财产的保护主要集中在终端(pc端、移动终端等)上安装的反病毒软件和浏览器上。然而面对当前复杂的网络环境，用户可能同时接入pc、手机、平板电脑、智能硬件等多种设备，传统的反病毒软件和浏览器已经不能满足保护用户数据和财产安全的需求，而家用网络设备也没有这方面的安全保护，在当前恶意软件数量飙升、恶意行为日趋复杂的情况下，用户的数据和财产安全性极其脆弱，面临巨大的威胁。

技术实现要素：

为了克服现有技术中的上述不足，本发明的目的在于提供一种数据包处理方法、装置、网络设备及可读存储介质，弥补了现有家用网络设备和反病毒软件的不足，与传统的家用网络设备相比，解决了用户的数据和财产安全问题，同时与传统的反病毒软件相比，不依赖于操作系统，适用范围更广，拦截效果更佳。

为了实现上述目的，本发明较佳实施例采用的技术方案如下：

本发明较佳实施例提供一种数据包处理方法，应用于网络设备，所述网络设备中存储有敏感接口列表，所述方法包括：

拦截待发送的数据包；

判断所述数据包访问的接口是否为所述敏感接口列表中的敏感接口；

在为是时，向对应的用户终端发送是否需要拦截的提示信息；

接收所述用户终端发送的反馈信息，并根据所述反馈信息对所述数据包进行处理。

在本发明较佳实施例中，所述判断所述数据包访问的接口是否为所述敏感接口列表中的敏感接口之后，所述方法还包括：

在为否时，将所述待发送的数据包发送给访问的接口。

在本发明较佳实施例中，所述拦截待发送的数据包之前，所述方法还包括：

每隔一预设时间段向目标服务器发送更新所述敏感接口列表的请求；

接收并存储所述目标服务器更新的敏感接口列表。

在本发明较佳实施例中，所述网络设备中配置有至少一个所述用户终端上已安装的应用软件，所述向对应的用户终端发送是否继续访问的提示信息，包括：

获取所述待发送的数据包对应的目标应用软件；

通过所述目标应用软件向所述用户终端上安装的对应的应用软件发送是否继续访问的提示信息。

在本发明较佳实施例中，所述根据所述反馈信息对所述数据包进行处理，包括：

在所述反馈信息表征用户选择拦截所述数据包时，将所述数据包丢弃；以及

在所述反馈信息表征用户不选择拦截所述数据包时，将所述数据包发送给访问的接口。

本发明较佳实施例还提供一种数据包处理装置，应用于网络设备，所述网络设备中存储有敏感接口列表，所述装置包括：

拦截模块，用于拦截待发送的数据包；

判断模块，用于判断所述数据包访问的接口是否为所述敏感接口列表中的敏感接口；

发送模块，用于在为是时，向对应的用户终端发送是否需要拦截的提示信息；

数据包处理模块，用于接收所述用户终端发送的反馈信息，并根据所述反馈信息对所述数据包进行处理。

本发明较佳实施例还提供一种网络设备，所述网络设备包括：

存储介质；

处理器；以及

数据包处理装置，所述数据包处理装置安装于所述存储介质中并包括一个或者多个由所述处理器执行的软件功能模块，所述装置包括：

拦截模块，用于拦截待发送的数据包；

判断模块，用于判断所述数据包访问的接口是否为敏感接口列表中的敏感接口；

发送模块，用于在为是时，向对应的用户终端发送是否需要拦截的提示信息；

数据包处理模块，用于接收所述用户终端发送的反馈信息，并根据所述反馈信息对所述数据包进行处理。

本发明较佳实施例还提供一种可读存储介质，所述可读存储介质中存储有计算机程序，所述计算机程序运行时控制所述可读存储介质所在网络设备执行上述的数据包处理方法。

相对于现有技术而言，本发明具有以下有益效果：

本发明实施例提供一种数据包处理方法、装置、网络设备及可读存储介质，通过拦截待发送的数据包，当所述数据包访问的接口为所述敏感接口列表中的敏感接口时向对应的用户终端发送是否需要拦截的提示信息，并根据用户终端发送的反馈信息对所述数据包进行处理。本发明提供的技术方案弥补了现有家用网络设备和反病毒软件的不足，与传统的家用网络设备相比，解决了用户的数据和财产安全问题，同时与传统的反病毒软件相比，不依赖于操作系统，适用范围更广，拦截效果更佳。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它相关的附图。

图1为本发明较佳实施例提供的数据包处理方法的一种流程示意图；

图2为本发明较佳实施例提供的数据包处理方法的另一种流程示意图；

图3为本发明较佳实施例提供的数据包处理装置的一种功能模块图；

图4为本发明较佳实施例提供的网络设备的一种结构示意框图。

图标：100-网络设备；110-总线；120-处理器；130-存储介质；140-总线接口；150-网络适配器；160-用户接口；200-数据包处理装置；210-拦截模块；220-判断模块；230-发送模块；240-数据包处理模块。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语"第一"、"第二"等仅用于区分描述，而不能理解为指示或暗示相对重要性。

经本申请发明人研究发现，目前，对于用户数据、财产的保护主要集中在终端的反病毒软件和浏览器上。例如，当用户访问钓鱼网站时，或进行支付等敏感操作时由反病毒软件或浏览器进行拦截或提示。但是由于用户可能同时接入pc、手机、平板电脑、智能硬件等多种设备，传统的反病毒软件和浏览器已经不能满足保护用户数据和财产安全的需求，而家用路由器也没有这方面的安全保护。因此，在当前恶意软件数量飙升、恶意行为日趋复杂的情况下，用户的数据和财产安全性极其脆弱，面临巨大的威胁。

鉴于上述问题，本申请发明人经过长期研究探索，提出以下实施例以解决上述问题。下面结合附图，对本发明实施例作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。

请参阅图1，为本发明较佳实施例提供的数据包处理方法的一种流程示意图。所应说明的是，本发明实施例提供的数据包处理方法不以图1及以下所述的具体顺序为限制。所述方法的具体流程如下：

步骤s210，拦截待发送的数据包。

本实施例中，当终端设备需要访问目标服务器时，可通过网络设备100向目标服务器发送数据包，所述网络设备100在接收到所述数据包时拦截待发送的数据包。

步骤s220，判断所述数据包访问的接口是否为所述敏感接口列表中的敏感接口。

本实施例中，所述网络设备100中存储有敏感接口列表，所述敏感接口列表存储有多个敏感接口信息。所述敏感接口可以是指：正常的涉及支付等敏感操作的互联网应用接口，和非正常的(例如钓鱼网站、恶意软件等)的互联网应用接口。

在拦截所述待发送的数据包后，判断所述数据包访问的接口是否为所述敏感接口列表中的敏感接口。

可选地，为了保证所述敏感接口列表的实时更新，所述网络设备100还可以每隔一预设时间段向用于更新所述敏感接口列表的目标服务器发送更新所述敏感接口列表的请求，所述目标服务器根据所述请求向所述网络设备100发送更新的敏感接口列表，所述网络设备100接收并存储所述目标服务器更新的敏感接口列表。

步骤s230，在为是时，向对应的用户终端发送是否需要拦截的提示信息。

可选地，所述网络设备100中配置有至少一个所述用户终端上已安装的应用软件、web应用等，例如支付宝，微信、百度钱包、网商银行等等，如果所述数据包访问的接口为所述敏感接口列表中的敏感接口，例如，如果所述数据包访问的接口为涉及支付宝支付的敏感接口，那么所述网络网络设备100则通过配置的支付宝app向对应的发送所述数据包的用户终端的支付宝app发送是否需要拦截的提示信息，所述用户终端在接收到所述提示信息提示用户是否需要进行拦截。

可选地，请参阅图2，在所述步骤s220之后，所述方法还可以包括：

步骤s225，在为否时，将所述待发送的数据包发送给访问的接口。

本实施例中，在为否时，也即所述数据包访问的接口不为所述敏感接口列表中的敏感接口，那么所述网络设备100可以直接将所述待发送的数据包发送给访问的接口。

步骤s240，接收所述用户终端发送的反馈信息，并根据所述反馈信息对所述数据包进行处理。

具体地，在本实施例中，如果所述反馈信息表征用户选择拦截所述数据包时，则将所述数据包丢弃，如果所述反馈信息表征用户不选择拦截所述数据包时，则将所述数据包发送给访问的接口。

基于上述设计，本实施例通过在网络设备100中预先配置敏感接口列表，当拦截到的数据包访问的接口为所述敏感接口列表中的接口时，提示用户是否需要拦截，当用户确认拦截时丢弃所述数据包，从而通过网络设备100和用户双证认证，避免访问敏感接口，弥补了现有家用网络设备100和反病毒软件的不足，与传统的家用网络设备100相比，解决了用户的数据和财产安全问题，同时与传统的反病毒软件相比，不依赖于操作系统，适用范围更广，拦截效果更佳。另外，在整个过程中所述网络设备100不需要解析拦截的数据包，大大提高了处理效率。

进一步地，请参阅图3，本发明较佳实施例还提供一种数据包处理装置200，所述装置包括：

拦截模块210，用于拦截待发送的数据包。

判断模块220，用于判断所述数据包访问的接口是否为所述敏感接口列表中的敏感接口。

发送模块230，用于在为是时，向对应的用户终端发送是否需要拦截的提示信息。

数据包处理模块240，用于接收所述用户终端发送的反馈信息，并根据所述反馈信息对所述数据包进行处理。

可选地，所述网络设备100中配置有至少一个所述用户终端上已安装的应用软件。所述发送模块230，还用于获取所述待发送的数据包对应的目标应用软件，并通过所述目标应用软件向所述用户终端上安装的对应的应用软件发送是否继续访问的提示信息。

可选地，所述数据包处理模块240，还用于在所述反馈信息表征用户选择拦截所述数据包时，将所述数据包丢弃；以及在所述反馈信息表征用户不选择拦截所述数据包时，将所述数据包发送给访问的接口。

本实施例中的各功能模块的具体操作方法可参照上述方法实施例中相应步骤的详细描述，在此不再重复赘述。

进一步地，请参阅图4，为本发明较佳实施例提供的网络设备100的一种结构示意框图。本实施例中，本实施例中，所述网络设备100可以是但不限于交换机、网桥、路由器、网关、网络接口卡(nic)、无线接入点(wap)、打印机和调制解调器、光纤收发器、光缆等。作为一种实施方式，所述网络设备100可以采用家用路由器。

如图4所示，所述网络设备100可以由总线110作一般性的总线体系结构来实现。根据网络设备100的具体应用和整体设计约束条件，总线110可以包括任意数量的互连总线和桥接。总线110将各种电路连接在一起，这些电路包括处理器120、存储介质130和总线接口140。可选地，网络设备100可以使用总线接口140将网络适配器150等经由总线110连接。网络适配器150可用于实现无线通信网络中物理层的信号处理功能，并通过天线实现射频信号的发送和接收。用户接口160可以连接外部设备，例如：键盘、显示器、鼠标或者操纵杆等。总线110还可以连接各种其它电路，如定时源、外围设备、电压调节器或者功率管理电路等，这些电路是本领域所熟知的，因此不再详述。

可以替换的，网络设备100也可配置成通用处理系统，例如通称为芯片，该通用处理系统包括:提供处理功能的一个或多个微处理器，以及提供存储介质130的至少一部分的外部存储介质，所有这些都通过外部总线体系结构与其它支持电路连接在一起。

可替换的，网络设备100可以使用下述来实现:具有处理器120、总线接口140、用户接口160的asic(专用集成电路)；以及集成在单个芯片中的存储介质130的至少一部分，或者，网络设备100可以使用下述来实现：一个或多个fpga(现场可编程门阵列)、pld(可编程逻辑器件)、控制器、状态机、门逻辑、分立硬件部件、任何其它适合的电路、或者能够执行本发明通篇所描述的各种功能的电路的任意组合。

其中，处理器120负责管理总线110和一般处理(包括执行存储在存储介质130上的软件)。处理器120可以使用一个或多个通用处理器和/或专用处理器来实现。处理器120的例子包括微处理器、微控制器、dsp处理器和能够执行软件的其它电路。应当将软件广义地解释为表示指令、数据或其任意组合，而不论是将其称作为软件、固件、中间件、微代码、硬件描述语言还是其它。

在图4中存储介质130被示为与处理器120分离，然而，本领域技术人员很容易明白，存储介质130或其任意部分可位于网络设备100之外。举例来说，存储介质130可以包括传输线、用数据调制的载波波形、和/或与无线节点分离开的计算机制品，这些介质均可以由处理器120通过总线接口140来访问。可替换地，存储介质130或其任意部分可以集成到处理器120中，例如，可以是高速缓存和/或通用寄存器。

所述处理器120可执行上述实施例，具体地，所述存储介质130中可以存储有所述数据包处理装置200，所述处理器120可以用于执行所述数据包处理装置200。

综上所述，本发明实施例提供一种数据包处理方法、装置、网络设备100及可读存储介质，通过拦截待发送的数据包，当所述数据包访问的接口为所述敏感接口列表中的敏感接口时向对应的用户终端发送是否需要拦截的提示信息，并根据用户终端发送的反馈信息对所述数据包进行处理。本发明提供的技术方案弥补了现有家用网络设备100和反病毒软件的不足，与传统的家用网络设备100相比，解决了用户的数据和财产安全问题，同时与传统的反病毒软件相比，不依赖于操作系统，适用范围更广，拦截效果更佳。

在本发明所提供的实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

可以替换的，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等

需要说明的是，在本文中，术语"包括"、"包含"或者其任何其它变体意在涵盖非排它性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句"包括一个……"限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其它的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。