一种对终端共享接入进行快速检测的方法及装置与流程

本发明涉及网络通信技术领域，尤其是涉及一种对终端共享接入进行快速检测的方法及装置。

背景技术：

随着通信以及电子的发展，各种形式的移动终端(例如，手机或者ipad)进入了人们的生活。为了能便捷的上网，各种移动终端都通过无线接入到互联网，方便了用户的同时也产生了巨大的安全隐患。尤其是在公司里面，为了杜绝因共享接入导致的安全事件，提出了更加严格的管理规定，比如限制接入终端的数量和终端类型等。为了做到快速检测，对于共享接入的检测速度也提出了更高的要求。。

现有的对共享接入的检测技术有不少，例如，基于数据包特征的检测和是基于特征的检测。其中，基于数据包特征的检测主要是通过检测终端类型或者终端中网络层，传输层的某些特征来进行检测。比如通过检测ttl值来统计共享终端数量，通过连续变化的ipid值，源端口和tcp窗口值来统计终端数量。然而，由于这些参数作用有限，容易造成误识别和漏识别。基于特征的检测主要是不断过滤用户的流量，寻找一些特殊标志，比如用户的imei，imsi等唯一的标识用户的标识信息。然而，这种方法依赖于特殊的流量触发，容易造成漏判。

在实现本发明实施例的过程中，发明人发现现有的对移动终端共享接入的检测方法，通过访问时得到的数据包特征或者终端特征进行检测，无法对非法终端的访问进行及时的阻止且容易造成误判或者漏判。

技术实现要素：

本发明所要解决的技术问题是如何解决现有的对移动终端共享接入的检测方法，通过访问时得到的数据包特征或者终端特征进行检测，无法对非法终端的访问进行及时的阻止且容易造成误判或者漏判的问题。

针对以上技术问题，本发明的实施例提供了一种对终端共享接入进行快速检测的方法，包括：

在检测到通过预设路由设备接入互联网的接入终端后，获取所述接入终端请求接入互联网的请求信息；

根据所述请求信息判断所述接入终端访问互联网是否符合预设的控制规则，若所述接入终端访问互联网不符合所述控制规则，则将所述接入终端标记为非法终端；

若接收到访问互联网的访问信息，判断所述访问信息对应的访问终端是否属于被标记的非法终端，若是，阻断通过所述预设路由设备接入互联网的所有终端对互联网的访问。

可选地，所述根据所述请求信息判断所述接入终端访问互联网是否符合预设的控制规则，若所述接入终端访问互联网不符合所述控制规则，则将所述接入终端标记为非法终端，包括：

获取预设特征库，从所述请求信息中提取对应于所述接入终端的特征信息，作为目标特征信息；

将所述目标特征信息和所述特征库中的特征信息进行匹配，根据匹配结果对所述接入终端的设备信息进行识别；

根据所述设备信息判断所述接入终端访问互联网是否符合所述控制规则，若不符合，将所述接入终端对应的ip标记为非法ip；

其中，所述特征库为预先录入的，终端的设备信息和其接入互联网的请求信息中的特征信息之间的映射关系。

可选地，所述若接收到访问互联网的访问信息，判断所述访问信息对应的访问终端是否属于被标记的非法终端，若是，阻断通过所述预设路由设备接入互联网的所有终端对互联网的访问，包括：

若接收到访问互联网的访问信息，根据所述访问信息解析出对应于所述访问终端对应的ip，作为访问ip，判断所述访问ip是否属于被标记的非法ip，若是，阻断通过所述预设路由设备接入互联网的所有终端对互联网的访问。

可选地，还包括：

若所述访问信息对应的访问终端属于被标记的非法终端，则显示所述访问终端的设备信息。

可选地，还包括：

自阻断通过所述预设路由设备接入互联网的所有终端对互联网的访问后，经过预设时间段，恢复未被标记为非法终端的终端对互联网的访问。

第二方面，本发明的实施例提供了一种对终端共享接入进行快速检测的装置，包括：

获取模块，用于在检测到通过预设路由设备接入互联网的接入终端后，获取所述接入终端请求接入互联网的请求信息；

判断模块，用于根据所述请求信息判断所述接入终端访问互联网是否符合预设的控制规则，若所述接入终端访问互联网不符合所述控制规则，则将所述接入终端标记为非法终端；

执行模块，用于若接收到访问互联网的访问信息，判断所述访问信息对应的访问终端是否属于被标记的非法终端，若是，阻断通过所述预设路由设备接入互联网的所有终端对互联网的访问。

可选地，所述判断模块还用于获取预设特征库，从所述请求信息中提取对应于所述接入终端的特征信息，作为目标特征信息；将所述目标特征信息和所述特征库中的特征信息进行匹配，根据匹配结果对所述接入终端的设备信息进行识别；根据所述设备信息判断所述接入终端访问互联网是否符合所述控制规则，若不符合，将所述接入终端对应的ip标记为非法ip；

其中，所述特征库为预先录入的，终端的设备信息和其接入互联网的请求信息中的特征信息之间的映射关系。

可选地，所述执行模块还用于若接收到访问互联网的访问信息，根据所述访问信息解析出对应于所述访问终端对应的ip，作为访问ip，判断所述访问ip是否属于被标记的非法ip，若是，阻断通过所述预设路由设备接入互联网的所有终端对互联网的访问。

可选地，还包括显示模块，所述显示模块用于若所述访问信息对应的访问终端属于被标记的非法终端，则显示所述访问终端的设备信息。

可选地，还包括恢复模块，所述恢复模块用于自阻断通过所述预设路由设备接入互联网的所有终端对互联网的访问后，经过预设时间段，恢复未被标记为非法终端的终端对互联网的访问。

第三方面，本发明的实施例还提供了一种电子设备，包括：

至少一个处理器、至少一个存储器、通信接口和总线；其中，

所述处理器、存储器、通信接口通过所述总线完成相互间的通信；

所述通信接口用于该电子设备和服务器的通信设备或者终端的通信设备之间的信息传输；

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行以上所述的方法。

第四方面，本发明的实施例还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行以上所述的方法。

本发明的实施例提供了一种对终端共享接入进行快速检测的方法及装置，该方法在检测到通过预设路由设备接入互联网的接入终端后，对该接入终端访问互联网是否符合控制规则进行判断，若不符合，对该接入终端进行标记。当接收到终端访问互联网的访问信息后，判断该终端是否被标记，若是，则阻断通过该预设路由设备接入互联网的所有终端对互联网的访问。该方法通过终端接入互联网的请求信息对不能否访问互联网的终端进行标记，从而在检测到被标记的终端访问互联网时，能够及时阻断其对互联网的访问，避免了由于不能及时阻断对互联网的访问带来的网络安全问题。另一方面，该方法相比于通过访问过程中的各种参数对终端访问互联网是否符合控制规则进行判断的方法，提高了判断的准确性，降低了误判或者漏判的几率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一个实施例提供的对终端共享接入进行快速检测的方法的流程示意图；

图2是本发明另一个实施例提供的用于对终端共享接入进行快速检测的设备的结构示意图；

图3是本发明另一个实施例提供的特征库的生成过程示意图；

图4是本发明另一个实施例提供的控制规则执行过程示意图；

图5是本发明另一个实施例提供的对终端共享接入进行快速检测的装置的结构框图；

图6是本发明另一个实施例提供的电子设备的结构框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1是本实施例提供的一种对终端共享接入进行快速检测的方法的流程示意图，参见图1，该方法包括：

101：在检测到通过预设路由设备接入互联网的接入终端后，获取所述接入终端请求接入互联网的请求信息；

102：根据所述请求信息判断所述接入终端访问互联网是否符合预设的控制规则，若所述接入终端访问互联网不符合所述控制规则，则将所述接入终端标记为非法终端；

103：若接收到访问互联网的访问信息，判断所述访问信息对应的访问终端是否属于被标记的非法终端，若是，阻断通过所述预设路由设备接入互联网的所有终端对互联网的访问。

需要说明的是，本实施例提供的方法通常用于控制通过内网或者专网连接至互联网的终端对互联网(因特网)的访问，由设置在内网或者专网和互联网之间的接入管理设备(例如，防火墙)执行。接入互联网的终端可以是手机、平板电脑或者电脑。

请求信息是接入终端请求连接互联网时发出的数据包，通常为http请求。例如，接入终端通过公司的wifi连接至互联网时，连接wifi时生成的接入互联网的请求数据包即为请求信息。一般来说，请求信息携带了该接入终端的设备信息(例如，接入终端的类型是pc还是手机)。

控制规则是预先设定的用于限制通过预设路由设备接入互联网的终端对互联网的访问的规则。例如，控制规则为仅允许类型为pc的接入终端对互联网进行访问，或者，控制规则为仅允许3台接入终端对互联网进行访问，控制规则可以依据需要进行设定，本实施例对此不做具体限制。

例如，控制规则为仅允许类型为pc的接入终端对互联网进行访问。当通过某接入终端的请求信息判断该接入终端的类型为手机时，将该接入终端标记位非法终端。当接收到对互联网进行访问的访问信息时，判断该访问信息对应的终端是否被标记为非法终端，若是，则阻断通过该预设路由设备接入互联网的所有终端对互联网的访问。其中，将终端标记为非法终端的过程可以通过终端的标识信息或者其它参数进行标记，只要能够通过该终端的访问信息识别出该终端是否被标记为非法终端即可。

可理解的是，当终端为非法终端时，直接阻断通过该预设路由设备接入互联网的所有终端对互联网的访问。经过预设时间段后，需恢复终端对互联网的访问。

本实施例提供了一种对终端共享接入进行快速检测的方法，该方法在检测到通过预设路由设备接入互联网的接入终端后，对该接入终端访问互联网是否符合控制规则进行判断，若不符合，对该接入终端进行标记。当接收到终端访问互联网的访问信息后，判断该终端是否被标记，若是，则阻断通过该预设路由设备接入互联网的所有终端对互联网的访问。该方法通过终端接入互联网的请求信息对不能否访问互联网的终端进行标记，从而在检测到被标记的终端访问互联网时，能够及时阻断其对互联网的访问，避免了由于不能及时阻断对互联网的访问带来的网络安全问题。另一方面，该方法相比于通过访问过程中的各种参数对终端访问互联网是否符合控制规则进行判断的方法，提高了判断的准确性，降低了误判或者漏判的几率。

更进一步地，在上述实施例的基础上，所述根据所述请求信息判断所述接入终端访问互联网是否符合预设的控制规则，若所述接入终端访问互联网不符合所述控制规则，则将所述接入终端标记为非法终端，包括：

获取预设特征库，从所述请求信息中提取对应于所述接入终端的特征信息，作为目标特征信息；

将所述目标特征信息和所述特征库中的特征信息进行匹配，根据匹配结果对所述接入终端的设备信息进行识别；

根据所述设备信息判断所述接入终端访问互联网是否符合所述控制规则，若不符合，将所述接入终端对应的ip标记为非法ip；

其中，所述特征库为预先录入的，终端的设备信息和其接入互联网的请求信息中的特征信息之间的映射关系。

需要说明的是，特征库用于对终端的设备信息进行识别，以便对该终端访问互联网是否符合控制规则进行判断。特征库中存储了终端的设备信息，和该终端请求连接互联网时的请求信息中的特征信息(即请求信息中的字段，例如，useragent字段)之间的对应关系。例如，将请求信息中的特征信息和特征库中的特征信息进行匹配，可以识别出该终端的类型，设备型号等。

当识别某个终端为非法终端时，可以将该终端的设备信息进行显示，以便管理员能够结合设备信息和该设备的访问信息进行具体的分析，及时对控制规则进行相应的调整。

本实施例提供了一种对终端共享接入进行快速检测的方法，该方法通过预先生成的特征库对终端的设备信息进行识别，为对该终端访问互联网是否符合控制规则的判断提供了更为具体的依据。同时，设备信息的识别为管理员分析各设备的行为提供了依据，为对终端的上网行为进行更好的管控提供了便利。

更进一步地，在上述各实施例的基础上，所述若接收到访问互联网的访问信息，判断所述访问信息对应的访问终端是否属于被标记的非法终端，若是，阻断通过所述预设路由设备接入互联网的所有终端对互联网的访问，包括：

若接收到访问互联网的访问信息，根据所述访问信息解析出对应于所述访问终端对应的ip，作为访问ip，判断所述访问ip是否属于被标记的非法ip，若是，阻断通过所述预设路由设备接入互联网的所有终端对互联网的访问。

本实施例提供了一种对终端共享接入进行快速检测的方法，该方法在检测到某接入终端访问互联网不符合控制规则时，对该终端对应的ip进行标记，以便在接收到访问信息后，能够通过访问信息解析出ip，快速执行控制策略。

更进一步地，在上述各实施例的基础上，还包括：

若所述访问信息对应的访问终端属于被标记的非法终端，则显示所述访问终端的设备信息。

本实施例提供了一种对终端共享接入进行快速检测的方法，该方法对标记的非法终端的设备信息进行显示，为管理员及时监控非法设备的行为提供了便利。

更进一步地，在上述各实施例的基础上，还包括：

自阻断通过所述预设路由设备接入互联网的所有终端对互联网的访问后，经过预设时间段，恢复未被标记为非法终端的终端对互联网的访问。

需要说明的是，阻断访问后，经过预设时间段需重新恢复对互联网的访问，以保证需要访问互联网的设备能够对互联网进行正常的访问。预设时间段由人为设定，例如，预设时间段为30分钟，1小时或者3小时，本实施例对此不做具体限制。

作为一种更为具体的实施例，图2示出了本实施例提供的用于对终端共享接入进行快速检测的设备的结构示意图，参见图2，该设备包括显示界面101、用户态程序运行部分102和内核态程序运行部分103。其中，用户态程序运行部分102和内核态程序运行部分103之间设置数据传输的通道2022，用于进行信息的传输。

当检测到接入终端通过预设路由设备接入互联网后，该设备的内核态程序运行部分103中的获取模块2031，从网站协议栈截取http数据包，作为接入终端请求接入互联网的请求信息；

识别模块2032，对数据包进行初步分析，只提取http的get和post请求。例如，识别模块2032获取请求信息中的useragent字段；作为目标特征信息。

匹配模块2033，对数据包的多个字段进行多模匹配，高效进行数据检索，对于满足条件的数据包，将ip和匹配规则返回给匹配模块。例如，通过特征库对该目标特征信息进行匹配，根据匹配结果识别该接入终端的设备信息。根据预先写入的控制规则，判断该接入终端访问互联网是否符合该控制规则，若不符合，将ip标记为非法ip。

匹配模块2033通过通道2022将标记的非法ip发送到控制模块2021。

控制模块2021为进行共享接入控制的模块，控制模块2021记录非法ip，当检测到非法ip对应的终端访问互联网后，实施控制策略。例如，当控制规则为限制访问互联网的终端的数量，则控制模块2021通过ip记录访问互联网的终端数量，实施控制策略，即阻断通过该预设路由设备接入互联网的所有终端对互联网的访问。

总体来说，结合图2中的结构示意图，本实施例提供的对终端共享接入进行快速检测的方法包括：

获取互联网上的数据包；

通过识别模块判断为http请求；

通过解析模块获取里面的http方法，host和useragent字段；

通过匹配模块，看看该请求是否满足特定的域名和useragent规则；

然后将匹配结果送到控制模块，输出共享接入终端数量。

本实施例提供的方法的基础是移动终端接入无线网络都会发出特定的域名探测，通过检测特殊域名就能知道接入的终端类型和时间，在用户进行进一步的网络活动之前进行控制。

图3为本实施例提供的特征库的生成过程示意图，参见图3，特征库的生成过程包括：

301：分析连接请求。即分析移动终端(接入终端)连接入wifi和其他热点的请求。

302：提取特征。即根据接入的请求，提取出特征规则(终端的设备信息和其接入互联网的请求信息中的特征信息之间的映射关系)。

303：生成匹配特征库。即将特征规则组织成特征库，依据不同的算法进行特征库编译。

304：下发匹配规则。即将编译完成的特征库直接下发到内核中，内核可以快速加载运行。

图4为本实施例提供的控制规则执行过程示意图，参见图4，该过程包括：

401：接受用户配置，记录策略配置。即控制模块接受用户设置的策略，例如，接受某公司设置的控制规则。

402：提取不满足用户配置的ip。即根据每个ip下的终端数量来匹配用户策略，不满足策略的ip单独记录。

403：将ip下发到内核。在内核添加控制规则，将非法的ip加入到ipset里面。

404：阻断此ip的访问请求。当非法的ip访问网络时，立即阻断。

本实施例提供的对终端共享接入进行快速检测的方法，根据移动终端连接wifi时产生的域名探测来检测某个ip访问互联网是否符合控制规则，例如，控制规则为对对接入互联网的终端数量进行限制。由于wifi接入的探测覆盖范围广，且该检测过程发生在终端进行网络访问之前，安全性更高。

本方法通过内核引擎来实现规则匹配，通过连接通道将匹配结果上送给控制模块。通过匹配引擎和上述的方法相配合，比其他所有方法检测速度更快。

本方法通过控制模块下发控制策略到内核，实现快速的访问控制，简单有效，对于系统的负担较轻。

图5示出了本发明的实施例提供的一种对终端共享接入进行快速检测的装置的结构框图，参见图5，本实施例提供的对终端共享接入进行快速检测的装置，包括获取模块501、判断模块502和执行模块503，其中，

获取模块501，用于在检测到通过预设路由设备接入互联网的接入终端后，获取所述接入终端请求接入互联网的请求信息；

判断模块502，用于根据所述请求信息判断所述接入终端访问互联网是否符合预设的控制规则，若所述接入终端访问互联网不符合所述控制规则，则将所述接入终端标记为非法终端；

执行模块503，用于若接收到访问互联网的访问信息，判断所述访问信息对应的访问终端是否属于被标记的非法终端，若是，阻断通过所述预设路由设备接入互联网的所有终端对互联网的访问。

本实施例提供的对终端共享接入进行快速检测的装置适用于上述实施例中提供的对终端共享接入进行快速检测的方法，在此不再赘述。

本实施例提供了一种对终端共享接入进行快速检测的装置，该装置在检测到通过预设路由设备接入互联网的接入终端后，对该接入终端访问互联网是否符合控制规则进行判断，若不符合，对该接入终端进行标记。当接收到终端访问互联网的访问信息后，判断该终端是否被标记，若是，则阻断通过该预设路由设备接入互联网的所有终端对互联网的访问。该装置通过终端接入互联网的请求信息对不能否访问互联网的终端进行标记，从而在检测到被标记的终端访问互联网时，能够及时阻断其对互联网的访问，避免了由于不能及时阻断对互联网的访问带来的网络安全问题。另一方面，该装置相比于通过访问过程中的各种参数对终端访问互联网是否符合控制规则进行判断的装置，提高了判断的准确性，降低了误判或者漏判的几率。

图6是示出本实施例提供的电子设备的结构框图。

参照图6，所述电子设备包括：处理器(processor)601、存储器(memory)602、通信接口(communicationsinterface)603和总线604；

其中，

所述处理器601、存储器602、通信接口603通过所述总线604完成相互间的通信；

所述通信接口603用于该电子设备和终端的通信设备或者互联网之间的信息传输；

所述处理器601用于调用所述存储器602中的程序指令，以执行上述各方法实施例所提供的方法，例如包括：在检测到通过预设路由设备接入互联网的接入终端后，获取所述接入终端请求接入互联网的请求信息；根据所述请求信息判断所述接入终端访问互联网是否符合预设的控制规则，若所述接入终端访问互联网不符合所述控制规则，则将所述接入终端标记为非法终端；若接收到访问互联网的访问信息，判断所述访问信息对应的访问终端是否属于被标记的非法终端，若是，阻断通过所述预设路由设备接入互联网的所有终端对互联网的访问。

本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：在检测到通过预设路由设备接入互联网的接入终端后，获取所述接入终端请求接入互联网的请求信息；根据所述请求信息判断所述接入终端访问互联网是否符合预设的控制规则，若所述接入终端访问互联网不符合所述控制规则，则将所述接入终端标记为非法终端；若接收到访问互联网的访问信息，判断所述访问信息对应的访问终端是否属于被标记的非法终端，若是，阻断通过所述预设路由设备接入互联网的所有终端对互联网的访问。。

本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如，包括：在检测到通过预设路由设备接入互联网的接入终端后，获取所述接入终端请求接入互联网的请求信息；根据所述请求信息判断所述接入终端访问互联网是否符合预设的控制规则，若所述接入终端访问互联网不符合所述控制规则，则将所述接入终端标记为非法终端；若接收到访问互联网的访问信息，判断所述访问信息对应的访问终端是否属于被标记的非法终端，若是，阻断通过所述预设路由设备接入互联网的所有终端对互联网的访问。。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

以上所描述的电子设备等实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上各实施例仅用以说明本发明的实施例的技术方案，而非对其限制；尽管参照前述各实施例对本发明的实施例进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明的实施例各实施例技术方案的范围。