一种报文处理方法及装置与流程

1.本技术涉及网络安全技术领域，尤其涉及一种报文处理方法及装置、电子设备及存储介质。


背景技术：

2.网络发展给网络用户带来便捷的同时，也威胁着网络用户的信息安全，如用户在进行网上聊天、网上购物、访问资讯等网上活动时，若用户访问的服务器不安全，或者用户在上网过程中被恶意攻击，或者在用户不知情的情况下外发了用户的敏感数据(如：身份证号，密码，电话等)等，这些都有可能导致用户的个人信息泄露或者丢失。


技术实现要素：

3.本技术实施例提供了一种报文处理方法、装置、电子设备及存储介质，以解决用户进行网上活动时，访问不安全的服务器或者使用不安全的应用程序，导致的个人信息泄露或丢失的问题。
4.本技术实施例的第一方面，提供一种报文处理方法，应用于具有sim卡的网络设备，该方法包括：获取报文，报文为客户端与服务器的通信报文，客户端通过网络设备提供的wifi网络与服务器进行通信；获取报文的目标信息，目标信息用于指示报文是否存在异常；在目标信息与信息库中的目标预设信息匹配的情况下，执行与目标预设信息对应的目标处理，目标处理包括以下任一项：丢弃报文，修改报文，向客户端发送告警消息；在目标信息与信息库中的任意信息不匹配的情况下，转发报文；其中，信息库包括多个预设信息，与任意预设信息匹配的目标信息对应的报文存在异常，修改后的报文的目标信息与信息库中的任意预设信息不匹配。
5.可选地，报文为密文，信息库包括至少一个预设地址信息；获取报文的目标信息，包括：获取报文携带的服务器的地址信息；在目标信息与信息库中的目标预设信息匹配的情况下，执行与目标预设信息对应的目标处理，包括：将服务器的地址信息与每个预设地址信息进行对比；在服务器的地址信息为目标预设地址的情况下，执行与目标预设地址对应的目标处理，目标预设地址为至少一个预设地址信息中的一个。
6.可选地，在目标信息与信息库中的目标预设信息匹配的情况下，执行与目标预设信息对应的目标处理，还包括：在服务器的地址信息不是至少一个预设地址信息中的任意预设地址信息的情况下，确定报文访问的是不是web服务；在报文访问的是web服务的情况下，基于http正向代理技术，将密文形式的报文进行解密，得到明文形式的报文；该方法还包括：在报文访问的不是web服务的情况下，转发报文。
7.可选地，报文为明文，信息库包括至少一个预设哈希值；获取报文的目标信息，包括：对报文进行明文解析处理，得到报文携带的数据包对应的数据文件；获取数据文件的哈希值；在目标信息与信息库中的目标预设信息匹配的情况下，执行与目标预设信息对应的目标处理，包括：将数据文件的哈希值与每个预设哈希值进行对比；在数据文件的哈希值为
目标预设哈希值的情况下，执行与目标预设哈希值对应的目标处理，目标预设哈希值为至少一个预设哈希值中的一个。
8.可选地，报文为明文，信息库包括至少一个正则表达式；获取报文的目标信息，包括：对报文进行明文解析处理，得到报文携带的数据包；在目标信息与信息库中的目标预设信息匹配的情况下，执行与目标预设信息对应的目标处理，包括：将数据包与每个正则表达式进行匹配；在数据包与目标正则表达式匹配的情况下，执行与目标正则表达式对应的目标处理，目标正则表达式为至少一个正则表达式中的一个。
9.可选地，每个正则表达式用于指示以下任一项：地址信息，应用程序标识，统一资源定位符，应用程序的类型标识，统一资源定位符的类型标识，恶意攻击事件。
10.可选地，报文为明文，信息库包括至少一个预设标识信息，每个预设标识信息为以下任意一项：地址信息，应用程序标识，统一资源定位符，应用程序的类型标识，统一资源定位符的类型标识；获取报文的目标信息，包括：获取报文的标识信息；在目标信息与信息库中的目标预设信息匹配的情况下，执行与目标预设信息对应的目标处理，包括：将报文的标识信息与每个预设标识信息进行比对；在报文的标识信息为目标预设标识信息的情况下，执行与目标预设标识信息对应的目标处理，目标预设标识信息为至少一个预设标识信息中的一个。
11.可选地，本技术实施例的报文处理方法还包括：接收客户端发送的更新消息，更新消息中携带用户的设置信息；获取待更新的预设信息，待更新的预设信息为根据客户端发送的用户的设置信息生成的，或者，待更新的预设信息为从网络获取的；根据待更新的预设信息，更新信息库。
12.可选地，本技术实施例的报文处理方法还包括：将日志文件上传至网络设备的后端服务器，以便客户端访问后端服务器，查看日志文件；或者，将日志文件发送给客户端，以便客户端保存并查看日志文件。
13.本技术实施例的第二方面，提供一种报文处理装置，应用于具有sim卡的网络设备，该装置包括：获取模块，执行模块，转发模块；该获取模块，用于获取报文，报文为客户端与服务器的通信报文，客户端为通过网络设备提供的wifi网络与服务器进行通信；该获取模块，还用于获取报文的目标信息，目标信息用于指示报文是否存在异常；该执行模块，用于在目标信息与信息库中的目标预设信息匹配的情况下，执行与目标预设信息对应的目标处理，目标处理包括以下任一项：丢弃报文，修改报文，向客户端发送告警消息；该转发模块，用于在目标信息与信息库中的任意信息不匹配的情况下，转发报文；其中，信息库包括多个预设信息，与任意预设信息匹配的目标信息对应的报文存在异常，修改后的报文的目标信息与信息库中的任意预设信息不匹配。
14.可选地，报文为密文，信息库包括至少一个预设地址信息；本技术实施例的报文处理装置还包括：对比模块；该获取模块，具体用于获取报文携带的服务器的地址信息；该对比模块，用于将服务器的地址信息与每个预设地址信息进行对比；该执行模块，具体用于在服务器的地址信息为目标预设地址的情况下，执行与目标预设地址对应的目标处理，目标预设地址为至少一个预设地址信息中的一个。
15.可选地，本技术实施例的报文处理装置还包括：确定模块，解密模块；该确定模块，用于在服务器的地址信息不是至少一个预设地址信息中的任意预设地址信息的情况下，确
定报文访问的是不是web服务；该解密模块，用于在报文访问的是web服务的情况下，基于http正向代理技术，将密文形式的报文进行解密，得到明文形式的报文；该转发模块，还用于在报文访问的不是web服务的情况下，转发报文。
16.可选地，报文为明文，信息库包括至少一个预设哈希值；本技术实施例的报文处理装置还包括：解析模块；该解析模块，用于对报文进行明文解析处理，得到报文携带的数据包对应的数据文件；该获取模块，具体用于获取数据文件的哈希值；该对比模块，还用于将数据文件的哈希值与每个预设哈希值进行对比；该执行模块，具体用于在数据文件的哈希值为目标预设哈希值的情况下，执行与目标预设哈希值对应的目标处理，目标预设哈希值为至少一个预设哈希值中的一个。
17.可选地，报文为明文，信息库包括至少一个正则表达式；该解析模块，用于对报文进行明文解析处理，得到报文携带的数据包；该对比模块，用于将数据包与每个正则表达式进行匹配；该执行模块，具体用于在数据包与目标正则表达式匹配的情况下，执行与目标正则表达式对应的目标处理，目标正则表达式为至少一个正则表达式中的一个。
18.可选地，每个正则表达式用于指示以下任一项：地址信息，应用程序标识，统一资源定位符，应用程序的类型标识，统一资源定位符的类型标识，恶意攻击事件。
19.可选地，报文为明文，信息库包括至少一个预设标识信息，每个预设标识信息为以下任意一项：地址信息，应用程序标识，统一资源定位符，应用程序的类型标识，统一资源定位符的类型标识；该获取模块，还用于获取报文的标识信息；该对比模块，还用于将报文的标识信息与每个预设标识信息进行比对；该执行模块，具体用于在报文的标识信息为目标预设标识信息的情况下，执行与目标预设标识信息对应的目标处理，目标预设标识信息为至少一个预设标识信息中的一个。
20.可选地，本技术实施例的报文处理装置还包括：接收模块，更新模块；该接收模块，用于接收客户端发送的更新消息，更新消息中携带用户的设置信息；该获取模块，还用于获取待更新的预设信息，待更新的预设信息为根据客户端发送的用户的设置信息生成的，或者，待更新的预设信息为从网络获取的；该更新模块，用于根据待更新的预设信息，更新信息库。
21.可选地，本技术实施例的报文处理装置还包括：上传模块；该上传模块，用于将日志文件上传至网络设备的后端服务器，以便客户端访问后端服务器，查看日志文件；或者，将日志文件发送给客户端，以便客户端保存并查看日志文件。
22.本技术实施例的第三方面，提供一种电子设备，该电子设备包括处理器、存储器及存储在该存储器上并可在该处理器上运行的程序或指令，该程序或指令被该处理器执行时实现如第一方面所述的报文处理方法的步骤。
23.本技术实施例的第四方面，提供一种可读存储介质，该可读存储介质上存储程序或指令，该程序或指令被处理器执行时实现如第一方面所述的报文处理方法的步骤。
24.本技术实施例的第五方面，提供一种计算机程序产品，其中，该计算机程序产品包括计算机程序或指令，当该计算机程序产品在处理器上运行时，使得处理器执行该计算机程序或指令，实现如第一方面所述的报文处理方法的步骤。
25.本技术实施例的第六方面，提供了一种芯片，该芯片包括处理器和通信接口，该通信接口和该处理器耦合，该处理器用于运行程序或指令，实现如第一方面所述的报文处理
方法的步骤。
26.本技术实施例提供的技术方案与现有技术相比具有如下优点：
27.本技术实施例中，获取报文，该报文为客户端与服务器的通信报文，该客户端为通过网络设备提供的wifi网络与服务器进行通信；获取报文的目标信息，目标信息用于指示报文是否存在异常；在目标信息与信息库中的目标预设信息匹配的情况下，执行与所述目标预设信息对应的目标处理，目标处理包括以下任一项：丢弃报文，修改报文，向客户端发送告警消息；在目标信息与信息库中的任意信息不匹配的情况下，转发报文，信息库包括多个预设信息，与任意预设信息匹配的目标信息对应的报文存在异常，修改后的报文的目标信息与信息库中的任意预设信息不匹配。因为目标信息与信息库中任一预设信息匹配，表明该目标信息对应的报文存在异常(如：报文中包含用户的敏感信息，报文包含恶意攻击信息，报文的源地址或者目的地址是不受信终端，报文的信息指示该报文是广告等)，因此通过将目标信息与信息库中的预设信息进行对比，若匹配成功，表示该目标信息对应的报文存在异常，对该报文进行与目标预设信息对应的目标处理(信息库中的每条预设信息都有对应的处理)，目标处理包括丢弃报文、修改报文或者向客户端发送告警消息，从而确保了客户端与服务器之间的通信安全，降低了因用户访问的服务器不安全，或者用户在上网过程中被恶意攻击，或者在用户不知情的情况下外发用户的敏感数据导致的用户数据泄露或丢失等风险。
附图说明
28.为了更清楚地说明本技术实施例技术方案，下面将对实施例和现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，还可以根据这些附图获得其他的附图。
29.图1为本技术实施例提供的报文处理方法的流程示意图之一；
30.图2为本技术实施例提供的报文处理方法的流程示意图之二；
31.图3为本技术实施例提供的报文处理方法的流程示意图之三；
32.图4为本技术实施例提供的报文处理方法的流程示意图之四；
33.图5为本技术实施例提供的报文处理方法的流程示意图之五；
34.图6为本技术实施例提供的报文处理方法的流程示意图之六；
35.图7为本技术实施例提供的报文处理方法的流程示意图之七；
36.图8为本技术实施例提供的报文处理方法的流程示意图之八；
37.图9为本技术实施例提供的报文处理方法的流程示意图之九；
38.图10为本技术实施例提供的一种报文处理方法装置的结构框图；
39.图11为本技术实施例提供的一种电子设备的硬件结构示意图。
具体实施方式
40.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员获得的所有其他实施例，都属于本技术保护的范围。
41.本技术的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对
象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”等所区分的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。此外，说明书以及权利要求中“和/或”表示所连接对象的至少其中之一，字符“/”，一般表示前后关联对象是一种“或”的关系。
42.下面首先对本发明的权利要求书和说明书中涉及的一些名词或者术语进行解释说明。
43.超文本传输协议(hypertext transfer protocol，http)，是互联网上应用最为广泛的一种网络协议。
44.万维网(world wide web，web)，是一种基于超文本和http的、全球性的、动态交互的、跨平台的分布式图形信息系统。
45.无线保真(wireless-fidelity，wifi)，是一种允许电子设备连接到一个无线局域网(wlan)的技术。
46.本技术实施例中的电子设备可以为移动电子设备，也可以为非移动电子设备。移动电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、可穿戴设备、超级移动个人计算机(ultra-mobile personal computer，umpc)、上网本或者个人数字助理(personal digital assistant，pda)等；非移动电子设备可以为个人计算机(personal computer，pc)、电视机(television，tv)等；本技术实施例不作具体限定。
47.本技术实施例提供的报文处理方法的执行主体可以为上述的电子设备(包括移动电子设备和非移动电子设备)，也可以为该电子设备中能够实现该报文处理方法的功能模块和/或功能实体，具体的可以根据实际使用需求确定，本技术实施例不作限定。
48.下面结合附图，通过具体的实施例及其应用场景对本技术实施例提供的报文处理方法进行详细地说明。
49.如图1所示，本技术实施例提供一种报文处理方法，应用于具有sim卡的网络设备，下面对本技术实施例提供的报文处理方法进行示例性的说明。该方法可以包括下述的步骤101至步骤104。
50.101、获取报文。
51.其中，上述报文为客户端与服务器的通信报文，该客户端为通过网络设备提供的wifi网络与服务器进行通信。
52.可以理解，该报文可以是通过网卡捕获的，也可以是客户端直接发送给该网络设备。
53.可以理解，对于客户端直接将报文发送给该网络设备的情况，需要使用http的正向代理技术(针对web服务)，其原理是客户端先安装该网络设备出厂的设备证书，使得该网络设备具有代理转发的功能，即当客户端要发送报文时，会先发送给该网络设备，再由该网络设备代理转发给服务器，当服务器返回的响应的报文时，也是先经过该网络设备，由该网络设备代理转发给客户端。
54.102、获取报文的目标信息。
55.其中，目标信息用于指示报文是否存在异常。
56.103、在目标信息与信息库中的目标预设信息匹配的情况下，执行与所述目标预设
信息对应的目标处理。
57.其中，目标处理包括以下任一项：丢弃报文，修改报文，向客户端发送告警消息。
58.可以理解，信息库中存储的信息按照类型可以分为：地址信息黑名单，正则表达式，敏感信息黑名单，标识信息黑名单。
59.其中，地址信息黑名单主要是针对获取到的报文是密文时，确定该报文对应的服务器的地址信息是否在黑名单中；正则表达式、敏感信息黑名单和标识信息黑名单主要是针对获取到的报文是明文时，正则表达式，用于确定该报文中是否包含恶意攻击(如僵木蠕、恶意扫描等)信息、广告等；敏感信息黑名单(可以是文件的哈希值，或者具体的用户信息)，用于确定报文中是否包含用户的个人重要信息(如身份证号、密码、手机号等)或重要文件等；标识信息黑名单(某个程序的标识、某类程序、网络资源的地址、某类网络资源、ip地址、域名等)，用于确定报文中是否包含不允许访问的资源或者不允许使用的程序等；需要说明的是，地址信息黑名单、标识信息黑名单也可以用正则表达式表示，敏感信息黑名单中用户信息也可以用正则表达式表示，具体地，根据实际需要确定，本技术实施例不做限定。
60.可以理解，丢弃报文后，客户端的请求不会得到响应，相应地，服务器发送给客户端的报文，客户端也接收不到；修改报文，可以是将报文中的某些信息进行修改，也可以是将整个报文进行替换(即重定向)；向客户端发送告警消息，可以是向客户端发出告警以后转发报文，也可以是向客户端发出告警，基于客户端作出的选择，确定对报文进行转发或者丢弃。
61.示例性地，信息库中存储了用户的手机号，在客户端向外发送手机号时，该手机号对应的目标处理为修改，则可以将报文中的敏感信息进行修改(如用x代替)，该手机号对应的目标处理为告警，则向客户端发出告警并转发；信息库中存储了指示广告弹窗的信息，在客户端收到广告弹窗时，在该广告弹窗对应的处理是丢弃时，则将捕获到的广告弹窗的报文丢弃，在该广告弹窗对应的处理是修改时，则将捕获到的广告弹窗的报文直接替换成自定义的报文(即重定向)，则用户看不到广告或者看到预设的图片(可以防止用户误点广告，下载垃圾应用或者受网络攻击)。
62.可以理解，每条预设信息有对应的处理，不同处理的优先级不同，其中，按照处理的优先级别从高到低排序为：丢弃报文，修改报文，向客户端发送告警消息。
63.可以理解，在目标信息匹配到一条预设信息时，该一条预设信息即为目标预设信息，将该一条预设信息对应的处理确定为目标处理；在目标信息匹配到多条预设信息时，若该多条预设信息对应的处理的优先级别相同，则将该多条预设信息对应的处理中的任一处理确定为目标处理；在目标信息匹配到多条预设信息时，将该多条预设信息中的任一预设信息确定为目标预设信息，或者将该多条预设信息对应的处理的优先级最高的处理对应的预设信息确定为目标预设信息，将该目标预设信息对应的处理确定为目标处理。
64.可以理解，信息库中的至少一条预设信息可以设置相同的处理，即信息库中的所有预设信息对应的处理相同；信息库中的每条预设信息都有与其对应的预设处理，即信息库中给每条预设信息指定了一种处理；信息库中的预设信息还可以按照类别进行分类后确定某一类预设信息具有相同的处理，如信息库中的地址信息黑名单对应的处理均为丢弃报文，信息库中的敏感信息黑名单的处理均为修改报文；具体地，根据实际需要确定，本技术
实施例不做限定。
65.104、在目标信息与信息库中的任意信息不匹配的情况下，转发报文。
66.其中，信息库包括多个预设信息，与任意预设信息匹配的目标信息对应的报文存在异常，修改后的报文的目标信息与信息库中的任意预设信息不匹配。
67.本技术实施例中，获取报文，上述报文为客户端与服务器的通信报文，该客户端为通过网络设备提供的wifi网络与服务器进行通信；获取报文的目标信息，目标信息用于指示报文是否存在异常；在目标信息与信息库中的目标预设信息匹配的情况下，执行与所述目标预设信息对应的目标处理，目标处理包括以下任一项：丢弃报文，修改报文，向客户端发送告警消息；在目标信息与信息库中的任意信息不匹配的情况下，转发报文，信息库包括多个预设信息，与任意预设信息匹配的目标信息对应的报文存在异常，修改后的报文的目标信息与信息库中的任意预设信息不匹配。因为目标信息与信息库中任一预设信息匹配，表明该目标信息对应的报文存在异常(如：报文中包含用户的敏感信息，报文包含恶意攻击信息，报文的源地址或者目的地址是不受信终端，报文的信息指示该报文是广告等)，因此通过将目标信息与信息库中的预设信息进行对比，若匹配成功，表示该目标信息对应的报文存在异常，对该报文进行与目标预设信息对应的目标处理(信息库中的每条预设信息都有对应的处理)，目标处理包括丢弃报文、修改报文或者向客户端发送告警消息，从而确保了客户端与服务器之间的通信安全，降低了因用户访问的服务器不安全，或者用户在上网过程中被恶意攻击，或者在用户不知情的情况下外发用户的敏感数据导致的用户数据泄露或丢失等风险。
68.可以理解，信息库包括以下至少一项：至少一个预设地址信息，至少一个预设哈希值，至少一个正则表达式，至少一个预设标识信息。
69.可选地，在信息库中仅包括至少一个预设地址信息时，如图2所示，获取到的报文为密文，上述步骤102具体可以通过步骤102a实现，上述步骤103具体可以通过下述步骤103a和步骤103b实现。
70.102a、获取报文携带的服务器的地址信息。
71.可以理解，地址信息包括以下至少一项：互联网协议地址(internet protocol address，ip地址)，域名，统一资源定位符。
72.103a、将服务器的地址信息与每个预设地址信息进行对比。
73.103b、在服务器的地址信息为目标预设地址的情况下，执行与目标预设地址对应的目标处理。
74.其中，目标预设地址为信息库中包括的至少一个预设地址信息中的一个。
75.可以理解，通过服务器的地址信息，可以确定出该服务器是否可信，如服务器是远程命令和控制服务器，该类服务器不受信，客户端可能会接收到服务器发送的控制指令，从而服务器可以控制客户端，从而传播网络病毒等，因此，该类服务器的地址信息将被加入信息库中。
76.需要说明的是，本技术实施例中将步骤102a、步骤103a合起来记为第一步骤。
77.本技术实施例中，获取报文携带的服务器的地址信息，将服务器的地址信息与每个预设地址信息进行对比，在服务器的地址信息为目标预设地址的情况下，执行与目标预设地址对应的目标处理。因为当获取的报文是密文时，无法获取到报文中的数据包(报文的
具体内容)，但可以获取到报文中包含的源地址、目的地址或者域名，因此，可以检查客户端访问的服务器的地址是否可信，确定是否要转发该报文，通过限制客户端访问不受信的服务器(即该服务器的地址信息在信息库中)，减少了客户端受不信任服务器攻击导致的网络安全事件。
78.可选地，如图3所示，获取到的报文为密文，上述步骤103a之后，还包括下述步骤103c、步骤103d，和步骤105。
79.103c、在服务器的地址信息不是信息库中包括的至少一个预设地址信息中的任意预设地址信息的情况下，确定报文访问的是不是web服务。
80.103d、在报文访问的是web服务的情况下，基于http正向代理技术，将密文形式的报文进行解密，得到明文形式的报文。
81.可以理解，客户端大部分的网络行为都与web服务相关，但大部分web服务的报文都是密文，因此需要使用http的正向代理技术，将访问的是web服务的报文进行解密后，再去做下述步骤中对应的报文是明文的处理，具体的后续处理，可以参考下述第二步骤、第三步骤和第四步骤的相关描述，此处不再赘述。
82.105、在报文访问的不是web服务的情况下，转发报文。
83.本技术实施例中，在服务器的地址信息不是信息库中包括的至少一个预设地址信息中的任意预设地址信息的情况下，确定报文访问的是不是web服务，在报文访问的是web服务的情况下，基于http正向代理技术，将密文形式的报文进行解密，得到明文形式的报文。客户端大部分的网络行为都与web服务相关，但大部分web服务的报文都是密文，因此通过使用http正向代理技术，将与访问web服务相关的密文报文转化为明文报文，由此，可以进一步比对该明文报文中包含的目标信息是否在信息库中，通过执行丢弃报文、修改报文或者向客户端发出告警，来降低用户网络行为中与web服务相关的网络安全事件。
84.需要说明的是，下述步骤中涉及的明文报文，可以是通过步骤101中直接获取的明文报文，也可以是上述步骤103d中将密文的报文解密以后得到的明文报文。
85.可选地，在信息库中仅包括至少一个预设哈希值时，如图4所示，获取到的报文为明文，上述步骤102具体可以通过步骤102b和步骤102c实现，上述步骤103具体可以通过下述步骤103e和步骤103f实现。
86.102b、对报文进行明文解析处理，得到报文携带的数据包对应的数据文件。
87.可以理解，数据包是客户端发送给服务器的报文中的实质内容，将数据包进行包重组等处理后，得到客户端需要发送的数据文件。
88.102c、获取数据文件的哈希值。
89.可以理解，每个文件的哈希值是唯一的，如：一个文档，修改了文档名称以后，哈希值不变。
90.103e、将数据文件的哈希值与每个预设哈希值进行比对。
91.103f、在数据文件的哈希值为目标预设哈希值的情况下，执行与目标预设哈希值对应的目标处理。
92.其中，目标预设哈希值为信息库中包括的至少一个预设哈希值中的一个。
93.需要说明的是，本技术实施例中将步骤102b、步骤102c、步骤103e合起来记为第二步骤。
94.本技术实施例中，对报文进行明文解析处理，得到报文携带的数据包对应的数据文件，获取数据文件的哈希值，将数据文件的哈希值与每个预设哈希值进行比对，在数据文件的哈希值为目标预设哈希值的情况下，执行与目标预设哈希值对应的目标处理。通过将数据文件的哈希值与每个预设哈希值进行比对，确定该数据文件对应的报文是否存在异常，如该哈希值指示对应的报文中包含了敏感信息，因此执行对应的目标处理，降低了用户信息被窃取或者丢失的风险。
95.可选地，在信息库中仅包括至少一个正则表达式时，如图5所示，获取到的报文为明文，上述步骤102具体可以通过步骤102d实现，上述步骤103具体可以通过下述步骤103g和步骤103h实现。
96.102d、对报文进行明文解析处理，得到报文携带的数据包。
97.103g、将数据包与每个正则表达式进行匹配。
98.103h、在数据包与目标正则表达式匹配的情况下，执行与目标正则表达式对应的目标处理。
99.其中，目标正则表达式为信息库中包括的至少一个正则表达式中的一个。
100.可以理解，信息库中包括至少一条预设信息，获取到的报文的数据包是并行于每条预设信息进行匹配的。如果数据包只匹配到一个正则表达式，那么目标处理即为该正则表达式对应的处理；如果数据包匹配到多个正则表达式，且该多个正则表达式对应的处理相同，那么目标处理即为该多个正则表达式任一正则表达式对应的处理；如果数据包匹配到多个正则表达式，且该多个正则表达式对应的处理不相同，那么目标处理即为该多个正则表达式中任一正则表达时对应的处理，或者，目标处理即为该多个正则表达式的处理中优先级最高的处理。
101.其中，每个正则表达式用于指示以下任一项：地址信息，应用程序标识，统一资源定位符，应用程序的类型标识，统一资源定位符的类型标识，恶意攻击事件。
102.可以理解，地址信息中的一个地址信息用于指示一个ip地址或一个域名；应用程序标识中的一个应用程序标识用于指示一个应用程序；统一资源定位符中的一个统一资源定位符用于指示互联网上一个资源的地址；应用程序的类型标识中的一个应用程序的类型标识用于指示一类应用程序(如资讯类、视频类、娱乐类等)；恶意攻击事件中的一条恶意攻击事件用于指示一种计算机病毒。
103.本技术实施例中，对报文进行明文解析处理，得到报文携带的数据包，将数据包与每个正则表达式进行匹配，在数据包与目标正则表达式匹配的情况下，执行与目标正则表达式对应的目标处理。通过解析报文得到报文中携带的数据包，数据包与信息库中的任一正则表达式匹配，即说明该报文可能存在异常，需要做目标处理，如此，将包含网络上常见的计算机病毒、不受信任客户端的地址信息、不受信任资源等进行目标处理，降低了客户端感染计算机病毒、个人信息被窃取等网络安全事件导致的风险。
104.需要说明的是，本技术实施例中将步骤102d、步骤103g合起来记为第三步骤。
105.可选地，在信息库中仅包括至少一个预设标识信息时，如图6所示，获取到的报文为明文，上述步骤102具体可以通过步骤102e实现，上述步骤103具体可以通过下述步骤103i和步骤103j实现。
106.102e、获取报文的标识信息。
107.103i、将报文的标识信息与每个预设标识信息进行比对。
108.103j、在报文的标识信息为目标预设标识信息的情况下，执行与目标预设标识信息对应的目标处理。
109.其中，目标预设标识信息为信息库中包括的至少一个预设标识信息中的一个。
110.其中，每个预设标识信息为以下任意一项：地址信息，应用程序标识，统一资源定位符，应用程序的类型标识，统一资源定位符的类型标识。
111.可以理解，预设标识信息即为一个标识信息黑名单，当报文中携带的标识信息与一个预设标识信息相同时，则将该预设标识信息对应的处理确定为目标处理；当报文中携带的标识信息与多个预设标识信息相同时(如即与应用程序标识相同，又与某一应用程序的类型标识相同)，若该多个预设标识信息的对应的处理相同，则将该多个预设标识信息中任一预设标识信息对应的处理确定为目标处理；若该多个预设标识信息的对应的处理不同，将该多个预设标识信息中任一预设标识信息对应的处理确定为目标处理，或者，将该多个预设标识信息对应的处理中优先级最高的处理确定为目标处理。
112.可以理解，用户可以在客户端登录该网络设备的后端服务器，自定义不允许访问的网站、不允许访问的某类网站、不允许使用的应用程序、不允许使用的某类应用程序等，该网络设备基于用户的设定生成至少一条预设标识信息。
113.可以理解，该网络设备维护了多个应用程序的指纹信息(唯一指示一个应用程序)，统一资源定位符的指纹信息(唯一指示一个网络资源的地址)，并且为每个应用程序或者统一资源定位符标上标签(如娱乐类、视频类、咨询类等)。
114.示例性地，用户设置客户端不允许访问某个应用程序，则该网络设备基于维护的多条应用程序的指纹信息生成该应用程序对应的预设标识信息，存储到信息库中，当客户端访问该应用程序时，网络设备获取的报文中携带了该应用程序的指纹信息，就会被识别，进而进行相应的目标处理；用户设置客户端不允许访娱乐类的网站，则该网络设备基于维护的多条统一资源定位符的指纹信息和对应的标签，生成多条娱乐类网站对应的预设标识信息，存储到信息库中，当客户端访问娱乐类网站时，网络设备获取的报文中携带了指示该报文包含娱乐类信息时，就会被识别，进而进行相应的目标处理。如此，可以使用该网络设备限制客户端对某些应用程序或者网络资源的访问，如：学生在使用该客户端进行学习时，家长可以设置不允许该客户端访问娱乐类、视频类、咨询类等网络资源或者应用程序。
115.本技术实施例中，获取报文的标识信息，将报文的标识信息与每个预设标识信息进行比对，在报文的标识信息为目标预设标识信息的情况下，执行与目标预设标识信息对应的目标处理，如此，用户可以自定义需要限制访问的网络资源、应用程序等，可以更方便用户使用，提升用户体验。
116.需要说明的是，本技术实施例中将步骤102e、步骤103i合起来记为第四步骤。
117.需要说明的是，在信息库中包括：至少一个预设地址信息，至少一个预设哈希值，至少一个正则表达式，至少一个预设标识信息中的多个时，上述第一步骤、第二步骤、第三步骤和第四步骤是并行对获取到的报文进行处理的；如果一条报文的目标信息匹配到一条预设信息，则将该一条预设信息对应的处理确定为目标处理；如果一条报文的目标信息匹配到多条预设信息，该多条预设信息对应的处理相同，则将该多条预设信息中的任一预设信息对应的处理确定为目标处理；如果一条报文的目标信息匹配到多条预设信息，该多条
预设信息对应的处理不同，则将该多条预设信息中任一预设信息对应的处理确定为目标处理，或者，将该多条预设信息对应的处理中优先级最高的处理确定为目标处理。
118.可选地，如图7所示，本技术实施例提供一种报文处理方法，该方法还可以包括下述步骤106至步骤108。
119.106、接收客户端发送的更新消息。
120.其中，更新消息中携带用户的设置信息。
121.可以理解，用户可以通过客户端登录网络设备的后端服务器，自定义一些信息，如：定义不允许外发的个人信息、重要文件等，不允许访问的网站、限制使用的应用程序等。
122.107、获取待更新的预设信息，待更新的预设信息为根据客户端发送的用户的设置信息生成的，或者，待更新的预设信息为从网络获取的。
123.108、根据待更新的预设信息，更新信息库。
124.可以理解，当用户发送了更新信息或者网络中发布了最新的病毒信息等，网络设备会周期性或者实时进行更新，具体地，根据实际需要确定，本技术实施例不做限定。
125.本技术实施例中，接收客户端发送的更新消息，获取待更新的预设信息，待更新的预设信息为根据客户端发送的用户的设置信息生成的，或者，待更新的预设信息为从网络获取的，根据待更新的预设信息，更新信息库。如此，确保了信息库中的预设信息更加丰富，对于异常报文的检测更加准确，并且降低了异常报文遗漏的概率，使得客户端的网络行为更加安全。
126.可选地，如图8所示，本技术实施例提供一种报文处理方法，该方法还可以包括下述步骤109至步骤110。
127.109、将日志文件上传至网络设备的后端服务器，以便客户端访问后端服务器，查看日志文件。
128.可以理解，日志文件中记录了网络设备的所有行为，如：丢弃了哪些报文，丢弃原因(如蠕虫病毒、木马病毒等)，丢弃报文的条数，修改了哪些报文，修改原因(如包含身份证号)，修改的内容，修改的报文的条数，向客户端发出的告警信息，拦截了多少条广告等；并且日志文件中还可以记录用户访问了哪些网站，每个网站访问的时长，消耗得流量，用户使用了哪些应用程序，每个应用程序使用的时长，消耗的流量等；具体地，日志文件包含的内容，本技术实施例不做限定。
129.可选地，用户还可以通过客户端登录网络设备的后端服务器，设置允许接入该网络设备的客户端的数量阈值，还可以设置网络上行带宽阈值和下行带宽阈值；由此，可以限制不信任的客户端接入该网络设备，或者某一应用程序的上行或者下行花费大量流量。
130.110、将日志文件发送给客户端，以便客户端保存并查看日志文件。
131.可以理解，用户可以通过登录网络设备的后端服务器查看日志文件，也可以将日志文件直接保存到客户端，还可以下载该网络设备对应的应用程序查看日志文件，具体日志文件保存的位置，本技术实施例不做限定。
132.本技术实施例中，将日志文件上传至网络设备的后端服务器，以便客户端访问后端服务器，查看日志文件，或者，将日志文件发送给客户端，以便客户端保存并查看日志文件，如此，客户端可以查看到该网络设备的网络行为，也可以查看各种网络行为花费的流量，进一步提升了用户体验。
133.示例性地，如图9所示，为本技术实施例提供的一种可选地报文处理流程，包括步骤801至步骤809。
134.801、获取报文。
135.802、获取目标信息。
136.803、报文是否是密文。
137.是则执行步骤804，否则执行步骤809。
138.804、是否与预设地址信息匹配。
139.是则执行步骤805，否则执行步骤806。
140.805、执行目标处理。
141.806、是否访问的web服务。
142.是则执行步骤808，否则执行步骤807。
143.807、将密文解密为明文。
144.808、转发报文。
145.809、与信息库中的预设哈希值、预设正则表达式、预设标识信息是否匹配。
146.是则执行步骤805，否则执行步骤808。
147.图10为本技术实施例示出的一种报文处理装置的结构框图，如图10所示，该装置900包括：获取模块901，执行模块902，转发模块903；该获取模块901，用于获取报文，报文为客户端与服务器的通信报文，客户端为通过网络设备提供的wifi网络与服务器进行通信；该获取模块901，还用于获取报文的目标信息，目标信息用于指示报文是否存在异常；该执行模块902，用于在目标信息与信息库中的目标预设信息匹配的情况下，执行与目标预设信息对应的目标处理，目标处理包括以下任一项：丢弃报文，修改报文，向客户端发送告警消息；该转发模块903，用于在目标信息与信息库中的任意信息不匹配的情况下，转发报文；其中，信息库包括多个预设信息，与任意预设信息匹配的目标信息对应的报文存在异常，修改后的报文的目标信息与信息库中的任意预设信息不匹配。
148.可选地，报文为密文，信息库包括至少一个预设地址信息；本技术实施例的报文处理装置还包括：对比模块；该获取模块901，具体用于获取报文携带的服务器的地址信息；该对比模块，用于将服务器的地址信息与每个预设地址信息进行对比；该执行模块902，具体用于在服务器的地址信息为目标预设地址的情况下，执行与目标预设地址对应的目标处理，目标预设地址为至少一个预设地址信息中的一个。
149.可选地，本技术实施例的报文处理装置还包括：确定模块，解密模块；该确定模块，用于在服务器的地址信息不是至少一个预设地址信息中的任意预设地址信息的情况下，确定报文访问的是不是web服务；该解密模块，用于在报文访问的是web服务的情况下，基于http正向代理技术，将密文形式的报文进行解密，得到明文形式的报文；该转发模块903，还用于在报文访问的不是web服务的情况下，转发报文。
150.可选地，报文为明文，信息库包括至少一个预设哈希值；本技术实施例的报文处理装置还包括：解析模块；该解析模块，用于对报文进行明文解析处理，得到报文携带的数据包对应的数据文件；该获取模块901，具体用于获取数据文件的哈希值；该对比模块，还用于将数据文件的哈希值与每个预设哈希值进行对比；该执行模块902，具体用于在数据文件的哈希值为目标预设哈希值的情况下，执行与目标预设哈希值对应的目标处理，目标预设哈
希值为至少一个预设哈希值中的一个。
151.可选地，报文为明文，信息库包括至少一个正则表达式；该解析模块，用于对报文进行明文解析处理，得到报文携带的数据包；该对比模块，用于将数据包与每个正则表达式进行匹配；该执行模块902，具体用于在数据包与目标正则表达式匹配的情况下，执行与目标正则表达式对应的目标处理，目标正则表达式为至少一个正则表达式中的一个。
152.可选地，每个正则表达式用于指示以下任一项：地址信息，应用程序标识，统一资源定位符，应用程序的类型标识，统一资源定位符的类型标识，恶意攻击事件。
153.可选地，报文为明文，信息库包括至少一个预设标识信息，每个预设标识信息为以下任意一项：地址信息，应用程序标识，统一资源定位符，应用程序的类型标识，统一资源定位符的类型标识；该获取模块901，还用于获取报文的标识信息；该对比模块，还用于将报文的标识信息与每个预设标识信息进行比对；该执行模块902，具体用于在报文的标识信息为目标预设标识信息的情况下，执行与目标预设标识信息对应的目标处理，目标预设标识信息为至少一个预设标识信息中的一个。
154.可选地，本技术实施例的报文处理装置还包括：接收模块，更新模块；该接收模块，用于接收客户端发送的更新消息，更新消息中携带用户的设置信息；该获取模块901，还用于获取待更新的预设信息，待更新的预设信息为根据客户端发送的用户的设置信息生成的，或者，待更新的预设信息为从网络获取的；该更新模块，用于根据待更新的预设信息，更新信息库。
155.可选地，本技术实施例的报文处理装置还包括：上传模块；该上传模块，用于将日志文件上传至网络设备的后端服务器，以便客户端访问后端服务器，查看日志文件；或者，将日志文件发送给客户端，以便客户端保存并查看日志文件。
156.需要说明的是，上述报文处理装置可以为本技术上述方法实施例中的电子设备，也可以是该电子设备中能够实现该装置实施例功能的功能模块和/或功能实体，本技术实施例不做限定。
157.本技术实施例中，各模块可以实现上述方法实施例提供的报文处理方法，且能达到相同的技术效果，为避免重复，这里不再赘述。
158.本技术实施例还提供一种电子设备，如图11所示，该电子设备可以包括：处理器1101，存储器1102以及存储在存储器1102上并可在处理器1101上运行的程序或指令，该程序或指令被处理器1101执行时可以实现上述方法实施例提供的报文处理方法的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
159.本技术实施例提供一种可读存储介质，该可读存储介质上存储程序或指令，该程序或指令被处理器执行时实现上述方法实施例提供的报文处理方法的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
160.本技术实施例还提供一种计算机程序产品，其中，该计算机程序产品包括计算机程序或指令，当该计算机程序产品在处理器上运行时，使得处理器执行该计算机程序或指令，实现上述方法实施例提供的报文处理方法的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
161.本技术实施例另提供了一种芯片，所述芯片包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现上述报文处理方法实施例的
各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
162.应理解，本技术实施例提到的芯片还可以称为系统级芯片、系统芯片、芯片系统或片上系统芯片等。
163.在本技术所提供的几个实施例中，应该理解到，所揭露的系统，装置，服务器和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
164.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
165.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
166.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
167.以上所述，以上实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的精神和范围。