一种网络流量阻断的方法及装置与流程

本申请涉及通信技术领域，特别涉及一种网络流量阻断的方法及装置。

背景技术：

随着信息化的发展，各类网络应用服务层出不穷，极大地丰富了人们的生活。对于一些网络环境，限制一些应用服务的使用是很有必要的。比如：对于企业内网而言，可以限制视频类服务和游戏类服务的使用，避免员工浪费工作时间和网络带宽。

在这种情况下，需对各应用服务的网络流量进行区分，从而基于区分结果，阻断部分网络流量。目前，越来越多的服务器通过HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer，基于安全套接字层的超文本传输协议)协议传输数据，以保证数据不被窃听和修改。

对于基于HTTPS协议传输的网络流量，无法细致地区分，只能采集到少数报文特征。而一些不同的应用服务的网络流量可能具有相同的报文特征。比如：一家服务商旗下有多种应用服务产品，不同的应用服务产品会使用相同的服务器，此时，不同应用服务产品的网络流量会携带相同的服务器域名。

对于网络流量具有相同报文特征的不同应用服务而言，为区别处理不同应用服务的网络流量，需对基于HTTPS协议传输的网络流量进行解密，然后对解密后的网络流量进行区分。而解密HTTPS流量的过程较为复杂，在网络流量大的网络环境中，会导致设备性能下降，影响正常业务的处理。

技术实现要素：

有鉴于此，本申请提供一种网络流量阻断的方法及装置，用以在开销较小的情况下，实现对HTTPS流量进行区分和阻断。

具体地，本申请是通过如下技术方案实现的：

一种网络流量阻断的方法，包括：

提取接收到的第一报文的报文特征；

查找预设的特征关联库中是否存在所述报文特征；其中，所述特征关联库包括若干特征关联组，各特征关联组包括一种公共特征和至少两种与该公关特征相关联的服务特征；

若存在所述报文特征，且所述报文特征为公共特征，判断是否存在与所述报文特征相关联的携带时效标记的服务特征；其中，所述时效标记添加在最近接收到的报文所携带的特征关联组的服务特征上；

若存在，检查所述报文特征所在的特征关联组中携带时效标记的服务特征对应的处理动作是否为阻断，若是，丢弃所述第一报文。

在所述网络流量阻断的方法中，所述方法还包括：

若存在所述报文特征，且所述报文特征为服务特征，将所述报文特征所在的特征关联组中的时效标记添加到所述报文特征上；

检查所述报文特征所在的特征关联组中携带时效标记的服务特征对应的处理动作是否为阻断，若是，丢弃所述第一报文。

在所述网络流量阻断的方法中，所述方法还包括：

若不存在携带时效标记的服务特征，转发所述第一报文。

在所述网络流量阻断的方法中，所述特征关联组中的各服务特征的优先级不同；所述方法还包括：

若所述特征关联库的同一特征关联组存在提取到的多个报文特征，且存在至少两个报文特征为服务特征，将该特征关联组中的时效标记添加到优先级最高的报文特征上；

检查所述报文特征所在的特征关联组中携带时效标记的服务特征对应的处理动作是否为阻断，若是，丢弃所述第一报文。

在所述网络流量阻断的方法中，所述检查所述报文特征所在的特征关联组中携带时效标记的服务特征对应的处理动作是否为阻断，包括：

基于所述报文特征所在的特征关联组中携带时效标记的服务特征，查找预设的阻断策略表；其中，所述阻断策略表包括服务特征与处理动作的映射关系，所述处理动作包括阻断和放通；

从查找到的阻断策略表项中确定处理动作是否为阻断。

一种网络流量阻断的装置，包括：

提取单元，用于提取接收到的第一报文的报文特征；

查找单元，用于查找预设的特征关联库中是否存在所述报文特征；其中，所述特征关联库包括若干特征关联组，各特征关联组包括一种公共特征和至少两种与该公关特征相关联的服务特征；

判断单元，用于若存在所述报文特征，且所述报文特征为公共特征，判断是否存在与所述报文特征相关联的携带时效标记的服务特征；其中，所述时效标记添加在最近接收到的报文所携带的特征关联组的服务特征上；

处理单元，用于若存在，检查所述报文特征所在的特征关联组中携带时效标记的服务特征对应的处理动作是否为阻断，若是，丢弃所述第一报文。

在所述网络流量阻断的装置中，所述装置还包括：

添加单元，用于若存在所述报文特征，且所述报文特征为服务特征，将所述报文特征所在的特征关联组中的时效标记添加到所述报文特征上；

所述处理单元，进一步用于检查所述报文特征所在的特征关联组中携带时效标记的服务特征对应的处理动作是否为阻断，若是，丢弃所述第一报文。

在所述网络流量阻断的装置中，所述装置还包括：

所述处理单元，进一步用于若不存在携带时效标记的服务特征，转发所述第一报文。

在所述网络流量阻断的装置中，所述特征关联组中的各服务特征的优先级不同；所述装置还包括：

所述添加单元，进一步用于若所述特征关联库的同一特征关联组存在提取到的多个报文特征，且存在至少两个报文特征为服务特征，将该特征关联组中的时效标记添加到优先级最高的报文特征上；

所述处理单元，进一步用于检查所述报文特征所在的特征关联组中携带时效标记的服务特征对应的处理动作是否为阻断，若是，丢弃所述第一报文。

在所述网络流量阻断的装置中，所述处理单元，进一步用于：

基于所述报文特征所在的特征关联组中携带时效标记的服务特征，查找预设的阻断策略表；其中，所述阻断策略表包括服务特征与处理动作的映射关系，所述处理动作包括阻断和放通；

从查找到的阻断策略表项中确定处理动作是否为阻断。

在本申请技术方案中，通过将公共特征与服务特征相关联，并在将时效标记添加在最近接收到的报文所携带的特征关联组的服务特征上；当提取到第一报文的报文特征为公共特征时，可以检查与该报文特征相关联的携带时效标记的服务特征，进而确定第一报文所属的应用服务；通过该措施实现了对网络流量的区分；

进一步地，通过检查上述报文特征所在的特征关联组中携带时效标记的服务特征对应的处理动作是否为阻断，从而实现对区分后的网络流量的阻断或放通；

本申请技术方案无需对HTTPS流量进行复杂的解密，而根据应用服务中网络流量传输的连续性的特点，实现了对仅携带公共特征的报文的区分，因此，开销较小，不会造成设备性能下降，避免网络流量阻断的功能影响正常业务的处理。

附图说明

图1是本申请示出的一种网络流量阻断的方法的流程图；

图2是本申请示出的一种特征关联库的示意图；

图3是本申请示出的一种网络流量识别方法的示意图；

图4是本申请示出的一种网络流量阻断的装置的实施例框图；

图5是本申请示出的一种网络流量阻断的装置的硬件结构图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对现有技术方案和本发明实施例中的技术方案作进一步详细的说明。

参见图1，为本申请示出的一种网络流量阻断的方法的流程图，该方法包括以下步骤：

步骤101：提取接收到的第一报文的报文特征。

其中，该方法可应用于局域网的流量监控设备上，用以对局域网内主机与外网交互的网络流量进行区别，并阻断一些应用服务的网络流量。当然，该方法也可应用于集成了流量监控功能的网关设备上。下文以网关设备作为执行主体描述本方案。

这里，第一报文泛指接收到的任一报文，其只是为便于描述进行的命名，并不限定本申请。

网关设备可基于预设的配置文件，确定提取报文特征的指定字段，进而从接收到的报文的指定字段提取报文特征。对于一个报文而言，上述指定字段可以是一个，也可以是多个，本申请不作具体限定。

作为一种实施例，上述指定字段可以指示服务器名称、服务器域名地址等。此时，网关设备可以基于报文特征获知发送或接收该报文的服务器。当然，上述指定字段也可以指示报文所携带的文件类型或报文所属的应用服务，在此不做具体限定。需要指出的是，从基于HTTPS协议传输的报文中提取上述指定字段内容，无需对基于HTTPS协议传输的报文进行复杂的解密，避免影响设备性能。

步骤102：查找预设的特征关联库中是否存在所述报文特征；其中，所述特征关联库包括若干特征关联组，各特征关联组包括一种公共特征和至少两种与该公关特征相关联的服务特征。

网关设备上可预配置特征关联库，该特征关联库的特征关联组中的一种公共特征与至少两种服务特征。

其中，公共特征指的是多种不同应用服务的网络流量可能都有的报文特征，因此，仅根据公共特征无法具体区分报文属于哪种应用服务；服务特征指的是各应用服务的网络流量独有的报文特征，每一服务特征可指示唯一的应用服务。

比如：“新浪新闻”、“新浪视频”和“新浪微博”三种应用服务的图片均来自域名为“image.sina.com”的服务器，因此，“image.sina.com”可作为这三种应用服务的报文的公共特征。对于“新浪新闻”而言，还有部分数据来自域名为“news.sina.com”的服务器，因此，“news.sina.com”可作为“新浪新闻”的服务特征。对于“新浪视频”而言，还有部分数据来自域名为“video.sina.com”，因此，“video.sina.com”可作为“新浪视频”的服务特征。

参见图2，为本申请示出的一种特征关联库的示意图。如图2所示，该特征关联库中包括若干特征关联组(虚线框内表示一个特征关联组)，各特征关联组中均包括一个公共特征和至少两种与该公共特征相关联的服务特征。

在示出的一种实施方式中，网关设备提取到报文特征后，可以依次选择特征关联组，然后首先在选中的特征关联组的服务特征中查找是否存在该报文特征，若不存在，则检查该特征关联组的公共特征是否为该报文特征。

当对在一个特征关联组中未查找到上述报文特征，则选择下一特征关联组继续查找，直到查找到上述报文特征或检查完所有特征关联组。

步骤103：若存在所述报文特征，且所述报文特征为公共特征，判断是否存在与所述报文特征相关联的携带时效标记的服务特征；其中，所述时效标记添加在最近接收到的报文所携带的特征关联组的服务特征上。

需要指出的是，每一特征关联组中至多有一个服务特征携带时效标记。图2中以箭头表示时效标记，在实际应用中，可以在服务特征后预设标记位，以填入标记位的字符(比如：数字1)表示时效标记，具体不作限定。

对于每一特征关联组而言，时效标记添加在最近接收到的报文所携带的服务特征上。

以图2为例进行说明，在初始情况下，特征关联组中的各服务特征均不携带时效标记，表示尚未接收到任何应用服务的报文。此时，若网关设备接收到携带公共特征a的报文，无法确定该报文属于哪种应用服务，因此，可以不处理该报文，直接进行转发。

当网关设备接收到携带服务特征2的报文后，可以为服务特征2添加时效标记，后续网关设备接收到携带公共特征a的报文后，可以确定该报文属于服务特征2指示的应用服务。

当然，网关设备为服务特征2添加时效标记后，对其它特征关联组并无影响。比如：若网关设备接收到携带公共特征b的报文，由于公共特征b所在的特征关联组中不存在携带时效标记的服务特征，因此，无法确定携带公共特征b的报文所属的应用服务。

后续若网关设备接收到携带服务特征3的报文后，可以将服务特征2上的时效标记转移至服务特征3上。因此，当网关设备再接收到携带公共特征a的报文后，可以确定该报文属于服务特征3指示的应用服务。

为更清楚的说明本申请的网络流量识别机制，参见图3，为本申请示出的一种网络流量识别方法的示意图。

如图3所示，服务特征a指示A服务，服务特征b指示B服务，A服务和B服务的网络流量都可能携带公共特征p，因此，将公共特征p与服务特征a、服务特征b分别建立关联关系，生成一个特征关联组。网关设备依次接收到携带p1的报文、携带p2的报文、携带a的报文、携带p3的报文、携带b的报文和携带p4的报文。其中，p1、p2、p3和p4中的序号表示接收到携带公共特征p的报文的次序。

对于携带p1和p2的报文，网关设备无法识别该报文所属的应用服务，因此，可以直接转发报文。当接收到携带a的报文后，网关设备可确定该报文属于A服务，进一步地，将特征关联组中的服务特征a添加时效标记。后续接收到携带p3的报文，网关设备可以将该报文识别为A服务的报文。当网关设备接收到携带b的报文后，将特征关联组的时效标记添加在服务特征b上，并将后续接收到的携带p4的报文识别为B服务的报文。

当网关设备确定提取到的报文特征为一个特征关联组的公共特征时，需判断是否存在与上述报文特征相关联的携带时效标记的服务特征。

一方面，不存在携带时效标记的服务特征，则网关设备无法识别上述第一报文所属的应用服务，在这种情况下，网关设备可以转发上述第一报文。

另一方面，存在携带时效标记的服务特征，则网关设备可以识别上述第一报文所属的应用服务。进一步地，网关设备需判断是否要阻断上述应用服务的网络流量，具体详见下文相关描述。

步骤104：若存在，检查所述报文特征所在的特征关联组中携带时效标记的服务特征对应的处理动作是否为阻断，若是，丢弃所述第一报文。

在示出的一种实施方式中，网关设备上可以预配置阻断策略表，其中，该阻断策略表包括服务特征与处理动作的映射关系，上述处理动作包括阻断和放通。比如：企业内网的网关设备可以阻断占用网络带宽较大的视频类应用服务的网络流量，因此，阻断策略表中包括视频类应用服务的服务特征与阻断动作的映射关系。

网关设备基于上述报文特征所在的特征关联组中携带时效标记的服务特征，查找上述阻断策略表，然后从查找到的阻断策略表项中确定处理动作是否为阻断。

若处理动作为阻断，网关设备可以丢弃上述第一报文。反之，网关设备可以转发上述第一报文。

通过将公共特征与服务特征建立关联关系，然后为最近接收到的报文所携带的服务特征添加时效标记，从而通过与公共特征相关联的携带时效标记的服务特征，来确定仅携带公共特征的报文所属的应用服务，实现了网络流量的识别；进一步地，根据应用服务对应的处理动作，对仅携带公共特征的报文进行处理，从而在无需解密HTTPS流量实现网络流量的阻断。

在本申请实施例中，网关设备在上述特征关联库中查找上述报文特征时，若存在上述报文特征，且上述报文特征为服务特征，则可以将上述报文特征所在特征关联组中的时效标记添加到上述报文特征上。

以图2为例进行说明，若网关设备从上述第一报文中提取到服务特征1，则网关设备可以将服务特征1所在的特征关联组中的时效标记添加到该服务特征1上，表示对于携带公共特征a的报文而言，最近接收到的此类报文来自服务特征1指示的应用服务。

进一步地，网关设备可以检查上述报文特征所在的特征关联组中携带时效标记的服务特征对应的处理动作是否为阻断，若是，丢弃上述第一报文。

在示出的一种实施方式中，当网关设备确定上述报文特征为特征关联库中的服务特征时，可以直接基于上述报文特征查找上述阻断策略表，然后从查找到的阻断策略表项中确定处理动作是否为阻断。

若处理动作为阻断，网关设备可以丢弃上述第一报文。反之，网关设备可以转发上述第一报文。

在本申请实施例中，网关设备基于预设的配置文件，确定出的提取报文特征的指定字段可以是多个，在这种情况下，网关设备需将提取到的多个报文特征查找上述特征关联库。

若在上述特征关联库中查找到一个提取到的报文特征，无论该报文特征是公共特征还是服务特征，均可参照上文公开的技术方案进行处理。

若在上述特征关联库中查找到两个提取到的报文特征，且一个报文特征为公共特征，另一报文特征为服务特征，则以提取到的服务特征对上述第一报文进行识别和处理，具体可参照上文公开的技术方案。

若上述特征关联库的同一特征关联组存在提取到的多个报文特征，且存在至少两个报文特征为服务特征，网关设备将无法识别上述第一报文所属的应用服务。为解决这个问题，网关设备上预配置的特征关联库中各特征关联组的各服务特征可以预配置不同的优先级。其中，当从同一报文中提取到多个服务特征时，由优先级最高的服务特征指示该报文所属的应用服务。

因此，网关设备可以将该上述报文特征所在的特征关联组中的时效标记添加到优先级最高的报文特征上。

进一步地，网关设备可以检查上述报文特征所在的特征关联组中携带时效标记的服务特征对应的处理动作是否为阻断，若是，丢弃上述第一报文。

在示出的一种实施方式中，当网关设备将时效标记添加到优先级最高的服务特征上以后，可以基于该服务特征查找上述阻断策略表，然后从查找到的阻断策略表项中确定处理动作是否为阻断。

若处理动作为阻断，网关设备可以丢弃上述第一报文。反之，网关设备可以转发上述第一报文。

通过为各服务特征预设优先级，并以提取到的服务特征中优先级最高的一个确定上述第一报文实际所属的应用服务，可适用于较为复杂的网络环境，从而实现提取多个报文特征来准确识别网络流量，进而对识别出的网络流量进行处理。

综上所述，在本申请技术方案中，通过将公共特征与服务特征相关联，并在将时效标记添加在最近接收到的报文所携带的特征关联组的服务特征上；当提取到第一报文的报文特征为公共特征时，可以检查与该报文特征相关联的携带时效标记的服务特征，进而确定第一报文所属的应用服务；通过该措施实现了对网络流量的区分；

进一步地，通过检查上述报文特征所在的特征关联组中携带时效标记的服务特征对应的处理动作是否为阻断，从而实现对区分后的网络流量的阻断或放通；

本申请技术方案无需对HTTPS流量进行复杂的解密，而根据应用服务中网络流量传输的连续性的特点，实现了对仅携带公共特征的报文的区分，因此，开销较小，不会造成设备性能下降，避免网络流量阻断的功能影响正常业务的处理。

与前述网络流量阻断的方法的实施例相对应，本申请还提供了网络流量阻断的装置的实施例。

参见图4，为本申请示出的一种网络流量阻断的装置的实施例框图：

如图4所示，该网络流量阻断的装置40，包括：

提取单元410，用于提取接收到的第一报文的报文特征。

查找单元420，用于查找预设的特征关联库中是否存在所述报文特征；其中，所述特征关联库包括若干特征关联组，各特征关联组包括一种公共特征和至少两种与该公关特征相关联的服务特征。

判断单元430，用于若存在所述报文特征，且所述报文特征为公共特征，判断是否存在与所述报文特征相关联的携带时效标记的服务特征；其中，所述时效标记添加在最近接收到的报文所携带的特征关联组的服务特征上。

处理单元440，用于若存在，检查所述报文特征所在的特征关联组中携带时效标记的服务特征对应的处理动作是否为阻断，若是，丢弃所述第一报文。

在本例中，所述装置还包括：

添加单元450(图中未示出)，用于若存在所述报文特征，且所述报文特征为服务特征，将所述报文特征所在的特征关联组中的时效标记添加到所述报文特征上。

所述处理单元440，进一步用于检查所述报文特征所在的特征关联组中携带时效标记的服务特征对应的处理动作是否为阻断，若是，丢弃所述第一报文。

在本例中，所述装置还包括：

所述处理单元440，进一步用于若不存在携带时效标记的服务特征，转发所述第一报文。

在本例中，所述特征关联组中的各服务特征的优先级不同；所述装置还包括：

所述添加单元450(图中未示出)，进一步用于若所述特征关联库的同一特征关联组存在提取到的多个报文特征，且存在至少两个报文特征为服务特征，将该特征关联组中的时效标记添加到优先级最高的报文特征上。

所述处理单元440，进一步用于检查所述报文特征所在的特征关联组中携带时效标记的服务特征对应的处理动作是否为阻断，若是，丢弃所述第一报文。

在本例中，所述处理单元440，进一步用于：

基于所述报文特征所在的特征关联组中携带时效标记的服务特征，查找预设的阻断策略表；其中，所述阻断策略表包括服务特征与处理动作的映射关系，所述处理动作包括阻断和放通；

从查找到的阻断策略表项中确定处理动作是否为阻断。

本申请网络流量阻断的装置的实施例可以应用在网关设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在网关设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图5所示，为本申请网络流量阻断的装置所在网关设备的一种硬件结构图，除了图5所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的网关设备通常根据该网络流量阻断的装置的实际功能，还可以包括其他硬件，对此不再赘述。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。