一种流量检测方法、系统、装置及计算机可读存储介质与流程

本发明涉及网络安全技术，更具体地说，涉及一种流量检测方法、系统、装置及计算机可读存储介质。

背景技术：

随着信息技术的发展，网络安全性也变得尤为重要。目前为了确保设备不被非法流量入侵，通常采用安全网关类设备进行流量控制，通过网关设备对被保护设备进行上网行为管理，用户根据自己的需求设置一些拒绝访问的网站信息，被拒绝网站信息向被保护设备发送数据流量时，将会被安全网关设备阻止，这些数据将不会到达被保护的设备，从而起到对被保护设备进行安全防护的作用。

安全网关类设备建立有url(uniformresourcelocator，统一资源定位符)库，存储网站url信息以及是否需要被阻止的信息。随着网站的增多，网站url也随之增多，在安全网关类设备中存储大量的url信息将会对安全网关类设备的内存等性能造成非常大的消耗，增加了安全防护的成本。

因此，如何降低安全防护措施对安全网关类设备的内存损耗，是本领域技术人员需要解决的问题。

技术实现要素：

本发明的目的在于提供一种流量检测方法、系统、装置及计算机可读存储介质，以降低安全防护措施对安全网关类设备的内存损耗。

为实现上述目的，本发明实施例提供了如下技术方案：

一种流量检测方法，应用于安全网关，所述方法包括：

获取用户端访问网站的数据包，从所述数据包中提取网站的url信息；

将所述url信息发送至云服务器，以使所述云服务器对所述url信息进行检测；

获取检测结果。

可选地，所述获取用户端访问网站的数据包之后，还包括：

将所述数据包保存到本地缓存；

在获取所述检测结果之后，还包括：根据所述检测结果对所述数据包进行访问控制。

可选地，在将所述url信息发送至云服务器之前，还包括：

判断所述本地缓存是否在所述url信息的检测结果；

若所述本地缓不存在所述url信息的检测结果，则执行将所述url信息发送至云服务器的步骤。

可选地，在从所述数据包中提取url信息之后，将所述url信息发送至云服务器之前，放行所述数据包。

可选地，所述在将所述url信息发送至云服务器之前，还包括：

判断所述本地缓存是否存在所述url信息的检测结果；

若是，则利用所述检测结果对所述数据包进行访问控制；

若否，则放行所述数据包，执行所述将所述url信息发送至云服务器的步骤。

可选地，在获取检测结果之后还包括：

将所述url信息以及所述检测结果保存到本地缓存。

可选地，所述将所述url信息以及所述检测结果保存到本地缓存之前，还包括：

判断所述本地缓存的剩余容量是否大于所述url信息以及所述检测结果的所需容量；

若否，则按照缓存时长由大到小的顺序在所述本地缓存中删除已缓存检测结果，删除的已缓存检测结果的容量大于或等于所述所需容量。

可选地，所述获取用户端访问网站的数据包之后，还包括：

确定所述数据包对应的url，记录预设时长内获取到对应同一url的数据包的频次；

所述将所述url信息以及所述检测结果保存到本地缓存之前，还包括：

判断所述本地缓存的剩余容量是否大于所述url信息以及所述检测结果的所需容量；

若否，则按照获取所述频次从小到大的顺序在所述本地缓存中删除已缓存检测结果，删除的已缓存检测结果的容量大于或等于所述所需容量。

可选地，所述将所述url信息以及所述检测结果保存到本地缓存之后，还包括：

间隔预设时长后在所述本地缓存中删除所述url信息以及所述检测结果。

可选地，所述方法还包括：

确定所述本地缓存中的到期检测结果，所述到期检测结果为缓存时长大于或等于缓存有效期的检测结果；

在所述本地缓存中删除所述到期检测结果。

为实现上述目的，本申请还提供一种流量检测系统，包括：

数据包获取模块，用于获取用户端访问网站的数据包，从所述数据包中提取网站的url信息；

发送模块，用于将所述url信息发送至云服务器，以使所述云服务器对所述url信息进行检测；

检测结果获取模块，用于获取检测结果。

为实现上述目的，本申请还提供一种流量检测装置，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如任一项所述流量检测方法的步骤。

为实现上述目的，本申请还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如任一项所述流量检测方法的步骤。

通过以上方案可知，本发明提供的一种流量检测方法，应用于安全网关，所述方法包括：获取用户端访问网站的数据包，从所述数据包中提取网站的url信息；将所述url信息发送至云服务器，以使所述云服务器对所述url信息进行检测；获取检测结果。

由此可见，本发明中安全网关类设备只需要在获取到用户访问网站的数据包时，提取其中的url信息，并将url信息发送至云服务器，获取云服务器对url信息的检测结果。将url信息检测操作从安全网关类设备转移到云服务器，可以避免安全网关类设备进行大量检测操作并存储大量的用于检测url信息的数据，降低对安全网关类设备的存储资源以及内存性能的损耗。本发明还提供一种流量检测系统、装置及计算机可读存储介质，同样可以实现上述效果。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例公开的一种流量检测方法流程图；

图2为本发明实施例公开的一种具体的流量检测方法流程图；

图3为本发明实施例公开的一种具体的流量检测方法流程图；

图4为本发明实施例公开的一种具体的流量检测方法流程图；

图5为本发明实施例公开的一种具体的流量检测方法流程图；

图6为本发明实施例公开的一种具体的流量检测方法流程图；

图7为本发明实施例公开的一种具体的流量检测方法流程图；

图8为本发明实施例公开的一种流量检测系统结构示意图；

图9为本发明实施例公开的一种流量检测装置结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种流量检测方法、系统、装置及计算机可读存储介质，以降低安全防护措施对安全网关类设备的内存损耗。

参见图1，本发明实施例提供的一种流量检测方法，具体包括：

s101，获取用户端访问网站的数据包，从所述数据包中提取网站的url信息。

本方案具体可应用于安全网关类设备，在获取到用户对外网网络进行访问的流量时，即，获取到用户端访问网站的数据包时，首先提取其中的url信息。其中，url信息除了包括url本身外，还可以根据流量检测技术的不同确定其他用于检测的内容，如http请求包信息里的host(主机)、http_referer字段、https请求包信息里的证书信息、clienthello里的servername(服务器名)，url信息具体包括的内容以及提取操作具体可以参见现有技术，本方案不再赘述。

s102，将所述url信息发送至云服务器，以使所述云服务器对所述url信息进行检测。

区别于现有技术，对url信息进行检测的操作不再由安全网关类设备直接进行，也就是说，安全网关类设备不再存储大量的url信息以及对应的检测结果，而是由安全网关类设备与云服务器进行通信，将url信息发送至云服务器，由云服务器存储检测所需的相关数据，从而使云服务器对url信息进行检测，确定检测结果。云服务器在确定url信息的检测结果后，将检测结果发送至进行流量检测的终端设备。

s103，获取检测结果。

由此可见，本申请实施例提供的一种流量检测方法，本发明中安全网关类设备只需要在获取到用户访问网站的数据包时，提取其中的url信息，并将url信息发送至云服务器，获取云服务器对url信息的检测结果。将url信息检测操作从安全网关类设备转移到云服务器，可以避免安全网关类设备进行大量检测操作并存储大量的用于检测url信息的数据，降低对安全网关类设备的存储资源以及内存性能的损耗。

下面对本申请实施例提供的一种具体的流量检测方法进行介绍，下文描述的一种具体的流量检测方法与上述实施例可以相互参照。

参见图2，本申请实施例提供的一种流量检测方法，具体包括：

s201，获取用户端访问网站的数据包，从所述数据包中提取网站的url信息。

s202，将所述数据包保存到本地缓存。

在本方案中，在获取到用户端访问网站的数据包后，将该数据包保存到本地缓存，以便对其进行访问控制。需要说明的是，在获取到数据包后即可将其保存在本地缓存，本步骤与上述步骤中从所述数据包中提取网站的url信息的操作顺序不做具体限定。

s203，将所述url信息发送至云服务器，以使所述云服务器对所述url信息进行检测。

s204，获取检测结果。

s205，根据所述检测结果对所述数据包进行访问控制。

在本方案中，在获取到检测结果后，还需要根据检测结果对数据包进行访问控制，即，利用检测结果确定是否放行该数据包，是否可以使用户可以访问数据包对应的网站。

由此可见，本申请实施例在获取到用户端访问网站的数据包后，先将其缓存，而不是直接放行，并根据从云端获取到的url信息检测结果对数据包进行访问控制，从而可以避免用户端访问不安全的url，保证了用户端的安全性。

下面对本申请实施例提供的一种具体的流量检测方法进行介绍，下文描述的一种具体的流量检测方法与上述任一实施例可以相互参照。

参见图3，本申请实施例提供的一种具体的流量检测方法，具体包括：

s301，获取用户端访问网站的数据包，从所述数据包中提取网站的url信息。

s302，判断所述本地缓存是否存在所述url信息的检测结果。

需要说明的是，如果所有url信息的检测结果都是由云服务器进行，会消耗相对较长的时间，从而使用户访问网站的等待时间较长，影响用户体验，因此，本方案可以在安全网关设备中结合设备的实际存储情况确定出适量的存储空间，既可以实现不过多消耗安全网关设备的存储资源，又避免确定检测结果过程会消耗大量时间。

本方案中在安全类网关设备中建立缓存，即本地缓存，该缓存的大小根据网关类设备的实际存储性能设定，在缓存中存储部分url信息以及对应的检测结果。

s303，若所述本地缓不存在所述url信息的检测结果，则将所述url信息发送至云服务器，以使所述云服务器对所述url信息进行检测。

s304，获取检测结果。

下面对本申请实施例提供的一种具体的流量检测方法进行介绍，下文描述的一种具体的流量检测方法与上述任一实施例可以相互参照。

参见图4，本申请实施例提供的一种具体的流量检测方法，具体包括：

s401，获取用户端访问网站的数据包，从所述数据包中提取网站的url信息。

s402，放行所述数据包。

由于将数据包发送到云服务器并进行相应的检的操作会消耗一定的时间，为了减少用户访问网站的等待时间，本方案中先将数据包放行，再将其url信息发送到云端进行检测，从而既可以完成对数据包url信息的检测操作，又避免用户端等待大量时间。

s403，将所述url信息发送至云服务器，以使所述云服务器对所述url信息进行检测。

s404，获取检测结果。

由于已经放行了本次发起访问的数据包，因此本次的检测结果可以用作对下次访问相同url信息网站的数据包进行访问控制。

下面对本申请实施例提供的一种具体的流量检测方法进行介绍，下文描述的一种具体的流量检测方法，具体包括：

s501，获取用户端访问网站的数据包，从所述数据包中提取网站的url信息。

s502，判断所述本地缓存是否存在所述url信息的检测结果。

s503，若是，则利用所述检测结果对所述数据包进行访问控制。

s504，若否，则放行所述数据包，将所述url信息发送至云服务器，以使所述云服务器对所述url信息进行检测。

需要说明的是，在一些场景中，为了兼顾用户访问网站的流畅度以及安全性的需求，需要尽可能缩短因安全检测导致的等待时间，为适应此种情况，在本方案中，利用本地缓存先对url进行检测，如果本地缓存有检测结果则进行访问控制，如果本地缓存中没有存储与url信息对应的检测结果时，先直接放行，然后与此同时，或，在放行之后，再向云服务器发送url信息进行检测。还需要说明的是，由于本方案中对于缓存中暂时没有存储检测结果的数据包采用先放行再检测的策略，而缓存的存储空间有限，因此，本方案中为了更好的利用缓存空间，并且进一步保证被放行数据的安全性，可以在本地缓存中只存储不安全的url信息，即黑名单，不在黑名单中的url信息对应的网站的安全性相对较高，从而可以进一步保证被放行数据的安全性。

s505，获取检测结果。

下面对本申请实施例提供的一种具体的流量检测方法进行介绍，下文描述的一种具体的流量检测方法与上述任一实施例可以相互参照。

在上述任一实施例的基础上，在获取检测结果之后还包括：

将所述url信息以及所述检测结果保存到本地缓存。

为了提高再次请求该url信息所对应网站访问数据包的检测速度，本方案可以将从服务器获取到的检测结果添加至缓存。

需要说明的是，通常情况下，只有检测结果为正常的、合法的url信息，其对应的访问数据包才会被放行并发送至网站的web服务器端，所以，为了提高用户对合法数据的获取速度，又避免对安全网关类设备的内存性能造成较大损耗，本方案可以只将检测结果为正常的、合法的url信息对应的检测结果进行缓存，即，在缓存中保存白名单。

此外，对于缓存中暂时没有存储检测结果的数据包采用先放行再检测的策略，可以在本地缓存中只存储不安全的url信息，即黑名单，不在黑名单中的url信息对应的网站访问数据包的安全性相对较高，从而可以进一步保证被放行数据的安全性。

在一个具体的实施方式中，所述将所述url信息与对应的检测结果添加至所述本地缓存之后，还包括：

间隔预设时长后在所述本地缓存中删除所述url信息与对应的检测结果。

需要说明的是，url信息以及对应的检测结果会逐渐的被更新，因此，缓存时长超过预设时间后的url信息以及对应的检测结果会出现失效的情况，因此，间隔预设时长后在所述本地缓存中删除所述url信息与对应的检测结果，可以删除失效的数据。

在另一个具体的实施方式中，所述方法还包括：

确定所述本地缓存中的到期检测结果，所述到期检测结果为缓存时长大于或等于缓存有效期的检测结果；

在所述本地缓存中删除所述到期检测结果。

在本方案中，检测结果均对应有一个缓存有效期，当检测结果到达缓存有效期时，就需要将该检测结果删除。缓存有效期可以根据url信息以及其检测结果出现失效的具体情况确定。

下面对本申请实施例提供的一种具体的流量检测方法进行介绍，下文描述的一种具体的流量检测方法与上述任一实施例可以相互参照。

参见图6，本申请实施例提供的一种具体的流量检测方法，在上述实施例的基础上，将所述url信息以及所述检测结果保存到本地缓存之前，还包括：

s601，判断所述本地缓存的剩余容量是否大于所述url信息以及所述检测结果保存的所需容量。

需要说明的是，由于需要保证网关类设备的存储性能不被大量损耗，往往本地缓存是有一定的容量限制，因此，在向本地缓存中添加新的url信息之前，需要检测当前本地缓存是否还有足够的剩余缓存空间，即，判断本地缓存的剩余容量是否大于url信息与对应的检测结果所需的容量。

s602，若否，则按照缓存时长由大到小的顺序在所述本地缓存中删除已缓存检测结果，删除的已缓存检测结果的容量大于或等于所述所需容量。

在本方案中，可以根据url被访问的时间前后来删除缓存中的url信息以及对应的检测结果。可以理解的是，url信息的缓存时长越大，其被添加到缓存的时间距当前时间与远。

具体地，确定缓存中已存url信息对应的流量请求时间，按照缓存时长由大到小的顺序删除已存url信息和对应的检测结果，直至本地缓存的剩余容量大于或等于当前要被添加到本地缓存中的url信息以及对应的检测结果所需要的容量。

s603，若是，则执行将所述url信息以及所述检测结果保存到本地缓存的步骤。

可见，本申请实施例可以根据时间从远到近的顺序删除本地缓存中的已存url信息以及对应的检测结果，由于url信息以及对应的检测结果会逐渐的被更新，因此，越是缓存时长越久的检测结果越容易出现失效的情况，因此，按照时间从远到近的顺序删除已缓存的数据，可以删除失效可能性较大的数据。

下面对本申请实施例提供的一种具体的流量检测方法进行介绍，下文描述的一种具体的流量检测方法与上述任一实施例可以相互参照。

参见图7，本申请实施例提供的一种具体的流量检测方法，包括：

s701，获取用户端访问网站的数据包，从所述数据包中提取网站的url信息。

s702，确定所述数据包对应的url，记录预设时长内获取到对应同一url的数据包的频次。

在本方案中，获取到用户访问网站的数据包时，需要记录用户端在预设时间内对同一url的访问频次，即需要先确定当前获取到的数据包对应的url，并记录对应同一url的数据包被获取到的频次。此处的预设时间可以综合上述实施例中介绍的无效的情况与其他实际情况确定，在本方案中不做具体限定。

s703，将所述url信息发送至云服务器，以使所述云服务器对所述url信息进行检测。

s704，获取检测结果。

s705，判断所述本地缓存的剩余容量是否大于所述url信息以及所述检测结果的所需容量。

s706，若否，则按照获取所述频次从小到大的顺序在所述本地缓存中删除已缓存检测结果，删除的已缓存检测结果的容量大于或等于所述所需容量。

在本方案中，当本地缓存的剩余容量不足时，按照访问频次来删除已缓存数据，具体的，按照url被访问频次从小到大的顺序删除已缓存的url信息以及对应的检测结果。

对于同一url的数据包来说，被获取的频次高意味着用户会经常向该url对应的网站进行访问，因此，按照频次删除已存数据可以保留下用户常访问的url信息与对应的检测结果，从而使这部分网站访问数据可以较快的到达网站的web服务器端，提升用户体验。

s707，若是，将所述url信息以及所述检测结果保存到本地缓存。

可见，本方案通过记录预设时长内对应同一url的数据包的获取频次，可以确定用户端对同一url的访问频次，按照频次高低确定需要删除的url信息以及对应的检测结果，可以使访问频次更高的url信息以及检测结果保留在缓存中，从而使这部分网站访问数据可以较快的到达往来账的web服务器端，提升用户体验。

下面对本申请实施例提供的一种流量检测系统进行介绍，下文描述的一种流量检测系统与上述任一实施例可以相互参照。

参见图8，本申请实施例提供的一种流量检测系统，具体包括：

数据包获取模块801，用于获取用户端访问网站的数据包，从所述数据包中提取网站的url信息。

发送模块802，用于将所述url信息发送至云服务器，以使所述云服务器对所述url信息进行检测。

检测结果获取模块803，用于获取检测结果。

可选地，所述系统还包括：

数据包缓存模块，用于将所述数据包保存到本地缓存；

第一访问控制模块，用于在获取所述检测结果之后，根据所述检测结果对所述数据包进行访问控制。

可选地，所述系统还包括：

第一本地检测模块，用于判断所述本地缓存是否在所述url信息的检测结果；

若所述本地缓不存在所述url信息的检测结果，则调用所述发送模块802。

可选地，所述系统还包括第一放行模块，用于在从所述数据包中提取url信息之后，将所述url信息发送至云服务器之前，放行所述数据包。

可选地，所述系统还包括：

第二本地检测模块，用于判断所述本地缓存是否存在所述url信息的检测结果；

第二访问控制模块，用于若所述本地缓存存在所述url信息的检测结果，利用所述检测结果对所述数据包进行访问控制；

第二放行模块，用于若所述本地缓存不存在所述url信息的检测结果，则放行所述数据包，调用所述发送模块802。

可选地，所述系统还包括：

缓存添加模块，用于将所述url信息以及所述检测结果保存到本地缓存。

可选地，所述系统还包括：

第一容量判断模块，用于判断所述本地缓存的剩余容量是否大于所述url信息以及所述检测结果的所需容量；

第一删除模块，用于若所述本地缓存的剩余容量不大于所述url信息以及所述检测结果的所需容量，按照缓存时长由大到小的顺序在所述本地缓存中删除已缓存检测结果，删除的已缓存检测结果的容量大于或等于所述所需容量。

可选地，所述系统还包括：

访问频次记录模块，用于确定所述数据包对应的url，记录预设时长内获取到对应同一url的数据包的频次；

第二容量判断模块，用于判断所述本地缓存的剩余容量是否大于所述url信息以及所述检测结果的所需容量；

第二删除模块，用于若所述本地缓存的剩余容量不大于所述url信息以及所述检测结果的所需容量，按照获取所述频次从小到大的顺序在所述本地缓存中删除已缓存检测结果，删除的已缓存检测结果的容量大于或等于所述所需容量。

可选地，所述系统还包括：

第三删除模块，用于间隔预设时长后在所述本地缓存中删除所述url信息以及所述检测结果。

可选地，所述系统还包括：

到期检测模块，用于确定所述本地缓存中的到期检测结果，所述到期检测结果为缓存时长大于或等于缓存有效期的检测结果；

第四删除模块，用于在所述本地缓存中删除所述到期检测结果。

本实施例的流量检测系统用于实现前述的流量检测方法，因此流量检测系统中的具体实施方式可见前文中的流量检测方法的实施例部分，例如，数据包获取模块801，发送模块802，检测结果获取模块803，分别用于实现上述流量检测方法中步骤s101，s102，s103，所以，其具体实施方式可以参照相应的各个部分实施例的描述，在此不再赘述。

下面对本发明实施例提供的一种流量检测装置进行介绍，下文描述的一种流量检测装置与上述任一实施例可以相互参照。

参见图9，本发明实施例提供的一种流量检测装置，具体包括：

存储器100，用于存储计算机程序；

处理器200，用于执行所述计算机程序时实现上述任一流量检测方法的步骤。

具体的，存储器100包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机可读指令，该内存储器为非易失性存储介质中的操作系统和计算机可读指令的运行提供环境。处理器200为流量检测装置提供计算和控制能力，可以实现上述任一实施例所述的流量检测方法。

进一步的，本实施例中的流量检测装置，还可以包括：

输入接口300，用于获取外界导入的计算机程序，并将获取到的计算机程序保存至所述存储器100中，还可以用于获取外界终端设备传输的各种指令和参数，并传输至处理器200中，以便处理器200利用上述各种指令和参数展开相应的处理。本实施例中，所述输入接口300具体可以包括但不限于usb接口、串行接口、语音输入接口、指纹输入接口、硬盘读取接口等。

输出接口400，用于将处理器200产生的各种数据输出至与其相连的终端设备，以便于与输出接口400相连的其他终端设备能够获取到处理器200产生的各种数据。本实施例中，所述输出接口400具体可以包括但不限于usb接口、串行接口等。

通讯单元500，用于完成当前设备与其他设备的通讯。

键盘600，用于获取用户通过实时敲击键帽而输入的各种参数数据或指令。

显示器700，用于对流量检测过程的相关信息进行实时显示，以便于用户及时地了解当前流量检测情况。

鼠标800，可以用于协助用户输入数据并简化用户的操作。

本发明还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时可以实现上述实施例所提供的步骤。该存储介质可以包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。