网络业务控制系统和网络业务控制方法.pdf

摘要
申请专利号：	CN201210359390.2	申请日：	2012.09.25
公开号：	CN102882869A	公开日：	2013.01.16
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20120925\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	深圳中兴网信科技有限公司
发明人：	张晓廷; 蒋铃锋; 段乾
地址：	518057 广东省深圳市南山区科技南路中兴研发大楼26楼
优先权：
专利代理机构：	北京友联知识产权代理事务所(普通合伙) 11343	代理人：	尚志峰;汪海屏
PDF下载：	PDF下载

内容摘要

本发明提供了一种网络业务控制系统，包括：业务特征码更新单元，存储特定业务的特征码；报文监控单元，采集网络中的报文；业务识别单元，将所述报文与所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务相关；封杀报文构造单元，伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方，阻止所述报文的发送方与接收方建立连接，或构造将所述发送方与所述接收方之间的连接断开的报文，发送至所述发送方，断开所述发送方和所述接收方之间已建立的连接，以禁止所述特定业务进行。相应地，本发明还提供了一种网络业务控制方法。应用本技术方案，阻止报文的收发双方之间建立连接，以及断开已建立的连接，阻止了特定业务的进行，从而达到定点封杀的效果。

权利要求书

权利要求书一种网络业务控制系统，其特征在于，包括：业务特征码更新单元，存储特定业务的特征码；报文监控单元，采集网络中的报文；业务识别单元，将所述报文与所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务相关；封杀报文构造单元，伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方，阻止所述报文的发送方与接收方建立连接，或构造将所述发送方与所述接收方之间的连接断开的报文，发送至所述发送方，断开所述发送方和所述接收方之间已建立的连接，以禁止所述特定业务进行。根据权利要求1所述的网络业务控制系统，其特征在于，所述报文监控单元从网络采集需要监控的文本的报文和/或二进制的报文。根据权利要求1所述的网络业务控制系统，其特征在于，所述报文监控单元在已采集的报文的数据量超过预定阈值时，丢弃已采集的部分报文。根据权利要求1所述的网络业务控制系统，其特征在于，还包括：封杀逻辑策略单元，设置对所述特定业务的封杀策略，所述业务识别单元还按所述封杀策略判断是否需要通过所述封杀报文构造单元禁止所述特定业务进行。根据权利要求1至4中任一项所述的网络业务控制系统，其特征在于，还包括：特征码库云中心，定期访问所述特定业务的网站和/或搜索引擎，以更新所述特征码，并由所述业务特征码更新单元进行存储。一种网络业务控制方法，其特征在于，包括：步骤202，存储特定业务的特征码；步骤204，采集网络中的报文；步骤206，将所述报文与所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务相关；步骤208，伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方，阻止所述报文的发送方与接收方建立连接，或构造将所述发送方与所述接收方之间的连接断开的报文，发送至所述发送方，断开所述发送方和所述接收方之间已建立的连接，以禁止所述特定业务进行。根据权利要求6所述的网络业务控制方法，其特征在于，所述202包括：从网络采集需要监控的文本的报文和/或二进制的报文。根据权利要求6所述的网络业务控制方法，其特征在于，所述步骤202还包括：在已采集的报文的数据量超过预定阈值时，丢弃已采集的部分报文。根据权利要求6所述的网络业务控制方法，其特征在于，所述步骤206还包括：设置对所述特定业务的封杀策略；按所述封杀策略判断是否需要禁止所述特定业务进行。根据权利要求6至9中任一项所述的网络业务控制方法，其特征在于，所述步骤202包括：定期访问所述特定业务的网站和/或搜索引擎，以更新所述特征码，并进行存储。

说明书

说明书网络业务控制系统和网络业务控制方法
技术领域
本发明涉及计算机控制领域，具体而言，涉及一种网络业务控制系统和一种网络业务控制方法。
背景技术
在当前互联网络游戏作为一种很有魅力的娱乐方式在给网民带来快乐的同时也带来很多的负面的东西。
以网游为例，特别是在高校中，很多学生缺乏自制力导致容易沉迷网游而荒废学业。通过技术手段限制网游使用是可以做到的。一些粗暴的做法是限制互联网使用时，只允许访问WEB端口，这在企业网中是常见的做法，简单有效，但是在高校中学生需要使用互联网学习科研，只允许访问WEB端口会严重影响用户体验，例如下载，视频，即时通信等一些软件使用了非WEB端口。
因此，需要一种新的技术方案，可以只精确定点封杀特定业务，而不限制影响用户的其他互联网行为。
发明内容
本发明所要解决的技术问题在于，提供一种新的技术方案，可以只精确定点封杀特定业务，而不限制影响用户的其他互联网行为。
有鉴于此，本发明提供了一种网络业务控制系统，包括：业务特征码更新单元，存储特定业务的特征码；报文监控单元，采集网络中的报文；业务识别单元，将所述报文与所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务相关；封杀报文构造单元，伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方，阻止所述报文的发送方与接收方建立连接，或构造将所述发送方与所述接收方之间的连接断开的报文，发送至所述发送方，断开所述发送方和所述接收方之间已建立的连接，以禁止所述特定业务进行。应用本技术方案，阻止报文的收发双方之间建立连接，以及断开已建立的连接，阻止了特定业务的进行，从而达到定点封杀的效果。
在上述技术方案中，优选地，所述报文监控单元从网络采集需要监控的文本的报文和/或二进制的报文。应用本技术方案，对整个内部网和外部网之间的报文进行实时监控，从而识别出用户要进行特定业务的潜在可能性，干扰用户，使其不能进行特定业务行为。
在上述技术方案中，优选地，所述报文监控单元在已采集的报文的数据量超过预定阈值时，丢弃已采集的部分报文。应用本技术方案，在报文交互量很大时，有可能超过系统的处理能力，则丢弃一些报文即可，以缓解系统压力。
在上述技术方案中，优选地，还包括：封杀逻辑策略单元，设置对所述特定业务的封杀策略，所述业务识别单元还按所述封杀策略判断是否需要通过所述封杀报文构造单元禁止所述特定业务进行。应用本技术方案，系统针对不同情况制定如时间段、节假日、黑白名单等不同的封杀策略，需要采取封杀策略时，禁止特定业务的进行，不需要时，采取放行行为。
在上述技术方案中，优选地，还包括：特征码库云中心，定期访问所述特定业务的网站和/或搜索引擎，以更新所述特征码，并由所述业务特征码更新单元进行存储。应用本技术方案，系统定期更新特定业务的特征码并存储，从而使系统能获得最新最有效的特征码，保证封杀行为更好更有效的进行。
本发明还提供了一种网络业务控制方法，包括：步骤202，存储特定业务的特征码；步骤204，采集网络中的报文；步骤206，将所述报文与所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务相关；步骤208，伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方，阻止所述报文的发送方与接收方建立连接，或构造将所述发送方与所述接收方之间的连接断开的报文，发送至所述发送方，断开所述发送方和所述接收方之间已建立的连接，以禁止所述特定业务进行。。应用本技术方案，阻止报文的收发双方之间建立连接，以及断开已建立的连接，阻止了特定业务的进行，从而达到定点封杀的效果。
在上述技术方案中，优选地，所述202包括：从网络采集需要监控的文本的报文和/或二进制的报文应用本技术方案，对整个内部网和外部网之间的报文进行实时监控，从而识别出用户要进行特定业务的潜在可能性，干扰用户，使其不能进行特定业务行为。
在上述技术方案中，优选地，所述步骤202还包括：在已采集的报文的数据量超过预定阈值时，丢弃已采集的部分报文。应用本技术方案，在报文交互量很大时，有可能超过系统的处理能力，则丢弃一些报文即可，以缓解系统压力。
在上述技术方案中，优选地，所述步骤206还包括：设置对所述特定业务的封杀策略；按所述封杀策略判断是否需要禁止所述特定业务进行。应用本技术方案，系统针对不同情况制定如时间段、节假日、黑白名单等不同的封杀策略，需要采取封杀策略时，禁止特定业务的进行，不需要时，采取放行行为。
在上述技术方案中，优选地，所述步骤202包括：定期访问所述特定业务的网站和/或搜索引擎，以更新所述特征码，并进行存储。应用本技术方案，系统定期更新特定业务的特征码并存储，从而使系统能获得最新最有效的特征码，保证封杀行为更好更有效的进行。
附图说明
图1示出了根据本发明的实施例的网络业务控制系统的框图；
图2示出了根据本发明的实施例的网络业务控制方法的流程图；
图3示出了根据本发明的实施例的网游业务控制系统的结构图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了根据本发明的实施例的网络业务控制系统的框图。
如图1所示，本发明的网络业务控制系统100包括：业务特征码更新单元102，存储特定业务的特征码；报文监控单元104，采集网络中的报文；业务识别单元106，将所述报文与所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务相关；封杀报文构造单元108，伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方，阻止所述报文的发送方与接收方建立连接，或构造将所述发送方与所述接收方之间的连接断开的报文，发送至所述发送方，断开所述发送方和所述接收方之间已建立的连接，以禁止所述特定业务进行。。应用本技术方案，阻止报文的收发双方之间建立连接，以及断开已建立的连接，阻止了特定业务的进行，从而达到定点封杀的效果。
在上述技术方案中，所述报文监控单元104从网络采集需要监控的文本的报文和/或二进制的报文。应用本技术方案，对整个内部网和外部网之间的报文进行实时监控，从而识别出用户要进行特定业务的潜在可能性，干扰用户，使其不能进行特定业务行为。
在上述技术方案中，所述报文监控单元104在已采集的报文的数据量超过预定阈值时，丢弃已采集的部分报文。应用本技术方案，在报文交互量很大时，有可能超过系统的处理能力，则丢弃一些报文即可，以缓解系统压力。
在上述技术方案中，还包括：封杀逻辑策略单元110，设置对所述特定业务的封杀策略，所述业务识别单元106还按所述封杀策略判断是否需要通过所述封杀报文构造单元禁止所述特定业务进行。应用本技术方案，系统针对不同情况制定如时间段、节假日、黑白名单等不同的封杀策略，需要采取封杀策略时，禁止特定业务的进行，不需要时，采取放行行为。
在上述技术方案中，还包括：特征码库云中心112，定期访问所述特定业务的网站和/或搜索引擎，以更新所述特征码，并由所述业务特征码更新单元102进行存储。应用本技术方案，系统定期更新特定业务的特征码并存储，从而使系统能获得最新最有效的特征码，保证封杀行为更好更有效的进行。
图2示出了根据本发明的实施例的网络业务控制方法的流程图
如图2所示，本发明的网络业务控制方法，包括：步骤202，存储特定业务的特征码；步骤204，采集网络中的报文；步骤206，将所述报文与所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务相关；步骤208，伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方，阻止所述报文的发送方与接收方建立连接，或构造将所述发送方与所述接收方之间的连接断开的报文，发送至所述发送方，断开所述发送方和所述接收方之间已建立的连接，以禁止所述特定业务进行。。应用本技术方案，阻止报文的收发双方之间建立连接，以及断开已建立的连接，阻止了特定业务的进行，从而达到定点封杀的效果。
在上述技术方案中，所述202包括：从网络采集需要监控的文本的报文和/或二进制的报文。应用本技术方案，对整个内部网和外部网之间的报文进行实时监控，从而识别出用户要进行特定业务的潜在可能性，干扰用户，使其不能进行特定业务行为。
在上述技术方案中，所述步骤202还包括：在已采集的报文的数据量超过预定阈值时，丢弃已采集的部分报文。应用本技术方案，在报文交互量很大时，有可能超过系统的处理能力，则丢弃一些报文即可，以缓解系统压力。
在上述技术方案中，所述步骤206还包括：设置对所述特定业务的封杀策略；按所述封杀策略判断是否需要禁止所述特定业务进行。应用本技术方案，系统针对不同情况制定如时间段、节假日、黑白名单等不同的封杀策略，需要采取封杀策略时，禁止特定业务的进行，不需要时，采取放行行为。
在上述技术方案中，所述步骤202包括：定期访问所述特定业务的网站和/或搜索引擎，以更新所述特征码，并进行存储。应用本技术方案，系统定期更新特定业务的特征码并存储，从而使系统能获得最新最有效的特征码，保证封杀行为更好更有效的进行。
图3示出了根据本发明的实施例的网游业务控制系统的结构图。
如图3所示，以网游作为所述特定业务的例子，详细说明本发明的网络业务控制系统。网游业务控制系统300包括：报文监控单元302，网游识别单元304，封杀报文构造单元306，网游特征码库更新单元308，网游特征码库云中心310，封杀逻辑策略单元312。下面详细说明各单元的作用及结构：
报文监控单元302部署在互联网出口处抓取整个内部网和外部网络之间的TCP报文。TCP报文包括需要监视的文本的HTTP报文和二进制的报文。HTTP报文主要用于分析是否有游戏下载链接的特征码，客户端获取服务端列表的HTTP报文，游戏客户端连接更新服务器进行版本更新，客户端游戏帐号的注册，页游，这些请求一般都是通过访问WEB服务器完成的。当获取到这些信息后，提交给网游识别单元进行识别，这些特征码基本上是文本的，从URI这一层就基本上达到了识别出了用户要进行网游行为潜在的可能性，从而干扰用户不能进行网游行为。
当WEB报文上不能提供游戏特征码时，从用户和服务端交互的报文上进行判断提取特征值。一般情况下网游的服务器IP和端口是不变的。判断出报文目标地址符合这个条件时就认为是网游行为。但是网游的服务器IP和端口这类特征需要人手工去采集信息。当热门的游戏服务器众多时，就有一些工作量。分析出网游交互的报文的特征值。就不需要根据服务端的IP和端口去判断。
在内部网和互联网出入口处报文交互量大，当流量很大时可能超过了系统处理的阀值时，这时可将一些报文丢弃，因为在流量下降时还是会将正在进行的网游行为探测到，再对此进行干扰，保证用户不能正常的进行网游行为。
报文监控单元302和网游识别单元304最好部署在同台设备上，采用共享环形内存存贮抓取到的报文，报文监控单元302是一个生产者，网游识别单元304是消费者，如果环形内存满了，则直接忽略刚抓取到的报文。
网游识别单元304受控于策略单元设置的策略如时间段，源，目的地址等，从而决定是否对应报文需要检测或者放行。策略单元提供管理界面给用户设置具体封杀策略条件。
网游识别单元304在对应报文需要检测时，将本地的特征码库和抓取到的报文进行比对。应优先使用报文目的地址和目的端口条件判断，如果不满足，再使用报文内容特征特征值比对。如果备检测报文满足条件说明这个报文可能是一个网游行为包，则需要进行干扰封杀。网游识别单元304则请求封杀报文构造单元根据这个报文构造一个伪造的TCP封包对对应用户的TCP链路干扰掐断。
封杀报文构造单元306，用于阻止用户的三次握手的TCP连接的建立，或者将已经建立连接的TCP链路断开。封杀报文构造单元306构造一个TCP的报文，具体就是一个rawsocket的报文，当是一个正在进行三次握手TCP连接报文时，伪造一个服务端的握手返回发送给请求建立连接方，让客户端连接不到真正的服务端。当是一个已经建立连接的链路上的TCP报文，就伪造一个TCP的报文，将FIN位置1，发送给内网用户从而断掉已建立的连接。这些伪造报文填写源地址为目的服务器地址，目的地址填写用户端地址。就是将网游行为报文的源目的地址反转。由于封杀报文构造单元306在物理距离上是比外部的服务器更靠近用户端，所以封杀报文构造单元306伪造的TCP报文能比外部的服务器的报文先于到达用户端。用户端的TCP协议误认为这个报文就是他请求的目的服务器给他回应的报文。
网游特征码库更新单元308以一定的时间频率连接网游特征码库云中心310查询是否有网游特征码的更新。如有更新就下载到本地更新本地的网游特征库。网游特征码库云中心310存贮目前市面上的网游的特征码，只要覆盖常见游戏就可，因为市面上的游戏虽然多，但是占据玩家市场的游戏就那么几款。特征码构建采用人手工分析和机器爬虫抓取的方法。手工分析建立例如市面上主流游戏的服务器地址，报文特征等。和杀毒软件后台病毒库的方法类似，病毒库也需要人手工分析病毒特征码。机器爬虫定期抓取搜索引擎游戏关键字排行榜，游戏推广网站，游戏下载链接。
特征码库的特征码包括依赖WEB报文的游戏下载链接，游戏官网访问，页游官网，游戏客户端获取服务端列表，游戏客户端版本更新等。用户访问游戏官网常需要账号注册，账号激活，账号管理等。还包括下载软件如迅雷，快车，等对游戏的下载，他们也需要请求URL连接。获取这些下载软件的游戏下载的特征码，可以干扰或者断绝下载软件的下载功能，从源头上干扰用户可能潜在进行网游行为。
当从WEB报文上没能封杀用户的网游行为时，可能是用户通过其他渠道绕开了WEB报文的封杀。此时可能网游客户端已经能和外部的游戏服务端建立TCP连接。他们之间交互的报文有目的服务器的IP和端口，报文虽然已经进行加密但是还是有特征。大型的网游服务器设计上常有登录服务器，登录服务器数量少且地址固定。获取登录服务器地址的特征，对他们的TCP链路干扰限制用户不能正常登录游戏。用户即使完成了登录服务器的操作，进入了游戏服务器，游戏服务器的地址也是固定不变的，对和游戏服务器之间的TCP连接进行干扰切断也能最终封杀用户的网游行为。
网游特征码库云中心310特征码库的特征码需要采用人手动和机器爬虫等程序采集结合的方式。人工手动主要分析主流大型游戏的特征码，一款市场占有率高的游戏能保持长达十年的生命力，且人数众多。人工手动建立这些游戏的特征码就能封杀大多数玩家的网游行为。机器爬虫等程序后台定期访问游戏资讯推广网站，搜索引擎，获取新上市的游戏，热门游戏排行榜。
网游特征码库云中心310特征码库的特征码还可以验证已知游戏的特征值是否已经过期，如指定地址的主机是否已经存在，对应的游戏是否已经停运。如果对应的特征值已经过期则对此删除。特征值的构建还需要一些辅助程序对爬虫的处理结果对网游特征码库云中心310管理人员进行，提醒如游戏停运，游戏新上市等。
网游特征码库云中心310特征码库的特征码还可以对主流的搜索引擎、对游戏关键字搜索进行屏蔽。当用户需要进行网游行为时多需要搜索引擎检索助记。所以建立网游关键字库后，对用户使用搜索引擎进行关键字搜索进行干扰屏蔽也能达到良好效果。
封杀逻辑策略单元312用于给本发明描述的系统提供用户的管理界面，设置各种封杀策略，如时间段，节假日，黑白名单等，指定IP地址，MAC地址等。
需要注意的是，以上实施例以网游业务为例，详细说明了本发明对网络业务的控制处理过程，本领域技术人员应当理解，以上实施例不作为对本发明技术方案的限制，更多类型的网络业务适用本发明的技术方案。
以上结合附图详细说明了本发明的技术方案，通过本发明的技术方案，可以精确限制用户进行某些特定业务，不会对其它业务造成影响。
以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

资源描述

《网络业务控制系统和网络业务控制方法.pdf》由会员分享，可在线阅读，更多相关《网络业务控制系统和网络业务控制方法.pdf（11页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102882869 A (43)申请公布日 2013.01.16 C N 1 0 2 8 8 2 8 6 9 A *CN102882869A* (21)申请号 201210359390.2 (22)申请日 2012.09.25 H04L 29/06(2006.01) (71)申请人深圳中兴网信科技有限公司地址 518057 广东省深圳市南山区科技南路中兴研发大楼26楼 (72)发明人张晓廷蒋铃锋段乾 (74)专利代理机构北京友联知识产权代理事务所(普通合伙) 11343 代理人尚志峰汪海屏 (54) 发明名称网络业务控制系统和网络业务控制方法 (57) 。

2、摘要本发明提供了一种网络业务控制系统，包括：业务特征码更新单元，存储特定业务的特征码；报文监控单元，采集网络中的报文；业务识别单元，将所述报文与所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务相关；封杀报文构造单元，伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方，阻止所述报文的发送方与接收方建立连接，或构造将所述发送方与所述接收方之间的连接断开的报文，发送至所述发送方，断开所述发送方和所述接收方之间已建立的连接，以禁止所述特定业务进行。相应地，本发明还提供了一种网络业务控制方法。应用本技术方案，阻止报文的收发双方之间建立连接，以及断开已建立。

3、的连接，阻止了特定业务的进行，从而达到定点封杀的效果。 (51)Int.Cl. 权利要求书1页说明书6页附图3页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 1 页说明书 6 页附图 3 页 1/1页 2 1.一种网络业务控制系统，其特征在于，包括：业务特征码更新单元，存储特定业务的特征码；报文监控单元，采集网络中的报文；业务识别单元，将所述报文与所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务相关；封杀报文构造单元，伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方，阻止所述报文的发送方与接收方建立连接，或构造将所述发。

4、送方与所述接收方之间的连接断开的报文，发送至所述发送方，断开所述发送方和所述接收方之间已建立的连接，以禁止所述特定业务进行。 2.根据权利要求1所述的网络业务控制系统，其特征在于，所述报文监控单元从网络采集需要监控的文本的报文和/或二进制的报文。 3.根据权利要求1所述的网络业务控制系统，其特征在于，所述报文监控单元在已采集的报文的数据量超过预定阈值时，丢弃已采集的部分报文。 4.根据权利要求1所述的网络业务控制系统，其特征在于，还包括：封杀逻辑策略单元，设置对所述特定业务的封杀策略，所述业务识别单元还按所述封杀策略判断是否需要通过所述封杀报文构造单元禁止所述特定业务进行。 5.根据。

5、权利要求1至4中任一项所述的网络业务控制系统，其特征在于，还包括：特征码库云中心，定期访问所述特定业务的网站和/或搜索引擎，以更新所述特征码，并由所述业务特征码更新单元进行存储。 6.一种网络业务控制方法，其特征在于，包括：步骤202，存储特定业务的特征码；步骤204，采集网络中的报文；步骤206，将所述报文与所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务相关；步骤208，伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方，阻止所述报文的发送方与接收方建立连接，或构造将所述发送方与所述接收方之间的连接断开的报文，发送至所述发送方，断开所述发送方和所述接。

6、收方之间已建立的连接，以禁止所述特定业务进行。 7.根据权利要求6所述的网络业务控制方法，其特征在于，所述202包括：从网络采集需要监控的文本的报文和/或二进制的报文。 8.根据权利要求6所述的网络业务控制方法，其特征在于，所述步骤202还包括：在已采集的报文的数据量超过预定阈值时，丢弃已采集的部分报文。 9.根据权利要求6所述的网络业务控制方法，其特征在于，所述步骤206还包括：设置对所述特定业务的封杀策略；按所述封杀策略判断是否需要禁止所述特定业务进行。 10.根据权利要求6至9中任一项所述的网络业务控制方法，其特征在于，所述步骤 202包括：定期访问所述特定业务的网站和/或搜。

7、索引擎，以更新所述特征码，并进行存储。权利要求书CN 102882869 A 1/6页 3 网络业务控制系统和网络业务控制方法技术领域 0001 本发明涉及计算机控制领域，具体而言，涉及一种网络业务控制系统和一种网络业务控制方法。背景技术 0002 在当前互联网络游戏作为一种很有魅力的娱乐方式在给网民带来快乐的同时也带来很多的负面的东西。 0003 以网游为例，特别是在高校中，很多学生缺乏自制力导致容易沉迷网游而荒废学业。通过技术手段限制网游使用是可以做到的。一些粗暴的做法是限制互联网使用时，只允许访问WEB端口，这在企业网中是常见的做法，简单有效，但是在高校中学生需要使。

8、用互联网学习科研，只允许访问WEB端口会严重影响用户体验，例如下载，视频，即时通信等一些软件使用了非WEB端口。 0004 因此，需要一种新的技术方案，可以只精确定点封杀特定业务，而不限制影响用户的其他互联网行为。发明内容 0005 本发明所要解决的技术问题在于，提供一种新的技术方案，可以只精确定点封杀特定业务，而不限制影响用户的其他互联网行为。 0006 有鉴于此，本发明提供了一种网络业务控制系统，包括：业务特征码更新单元，存储特定业务的特征码；报文监控单元，采集网络中的报文；业务识别单元，将所述报文与所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务相关；封杀报文。

9、构造单元，伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方，阻止所述报文的发送方与接收方建立连接，或构造将所述发送方与所述接收方之间的连接断开的报文，发送至所述发送方，断开所述发送方和所述接收方之间已建立的连接，以禁止所述特定业务进行。应用本技术方案，阻止报文的收发双方之间建立连接，以及断开已建立的连接，阻止了特定业务的进行，从而达到定点封杀的效果。 0007 在上述技术方案中，优选地，所述报文监控单元从网络采集需要监控的文本的报文和/或二进制的报文。应用本技术方案，对整个内部网和外部网之间的报文进行实时监控，从而识别出用户要进行特定业务的潜在可能性，干扰用户，使其不能。

10、进行特定业务行为。 0008 在上述技术方案中，优选地，所述报文监控单元在已采集的报文的数据量超过预定阈值时，丢弃已采集的部分报文。应用本技术方案，在报文交互量很大时，有可能超过系统的处理能力，则丢弃一些报文即可，以缓解系统压力。 0009 在上述技术方案中，优选地，还包括：封杀逻辑策略单元，设置对所述特定业务的封杀策略，所述业务识别单元还按所述封杀策略判断是否需要通过所述封杀报文构造单元禁止所述特定业务进行。应用本技术方案，系统针对不同情况制定如时间段、节假日、黑白说明书CN 102882869 A 2/6页 4 名单等不同的封杀策略，需要采取封杀策略时，禁止特定业务的进行，。

11、不需要时，采取放行行为。 0010 在上述技术方案中，优选地，还包括：特征码库云中心，定期访问所述特定业务的网站和/或搜索引擎，以更新所述特征码，并由所述业务特征码更新单元进行存储。应用本技术方案，系统定期更新特定业务的特征码并存储，从而使系统能获得最新最有效的特征码，保证封杀行为更好更有效的进行。 0011 本发明还提供了一种网络业务控制方法，包括：步骤202，存储特定业务的特征码；步骤204，采集网络中的报文；步骤206，将所述报文与所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务相关；步骤208，伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方，阻止。

12、所述报文的发送方与接收方建立连接，或构造将所述发送方与所述接收方之间的连接断开的报文，发送至所述发送方，断开所述发送方和所述接收方之间已建立的连接，以禁止所述特定业务进行。应用本技术方案，阻止报文的收发双方之间建立连接，以及断开已建立的连接，阻止了特定业务的进行，从而达到定点封杀的效果。 0012 在上述技术方案中，优选地，所述202包括：从网络采集需要监控的文本的报文和 /或二进制的报文应用本技术方案，对整个内部网和外部网之间的报文进行实时监控，从而识别出用户要进行特定业务的潜在可能性，干扰用户，使其不能进行特定业务行为。 0013 在上述技术方案中，优选地，所述步骤202还包括：。

13、在已采集的报文的数据量超过预定阈值时，丢弃已采集的部分报文。应用本技术方案，在报文交互量很大时，有可能超过系统的处理能力，则丢弃一些报文即可，以缓解系统压力。 0014 在上述技术方案中，优选地，所述步骤206还包括：设置对所述特定业务的封杀策略；按所述封杀策略判断是否需要禁止所述特定业务进行。应用本技术方案，系统针对不同情况制定如时间段、节假日、黑白名单等不同的封杀策略，需要采取封杀策略时，禁止特定业务的进行，不需要时，采取放行行为。 0015 在上述技术方案中，优选地，所述步骤202包括：定期访问所述特定业务的网站和 /或搜索引擎，以更新所述特征码，并进行存储。应用本技术方案，系。

14、统定期更新特定业务的特征码并存储，从而使系统能获得最新最有效的特征码，保证封杀行为更好更有效的进行。附图说明 0016 图1示出了根据本发明的实施例的网络业务控制系统的框图； 0017 图2示出了根据本发明的实施例的网络业务控制方法的流程图； 0018 图3示出了根据本发明的实施例的网游业务控制系统的结构图。具体实施方式 0019 为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。 0020 在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本。

15、发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开说明书CN 102882869 A 3/6页 5 的具体实施例的限制。 0021 图1示出了根据本发明的实施例的网络业务控制系统的框图。 0022 如图1所示，本发明的网络业务控制系统100包括：业务特征码更新单元102，存储特定业务的特征码；报文监控单元104，采集网络中的报文；业务识别单元106，将所述报文与所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务相关；封杀报文构造单元108，伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方，阻止所述报文的发送方与接收方建立。

16、连接，或构造将所述发送方与所述接收方之间的连接断开的报文，发送至所述发送方，断开所述发送方和所述接收方之间已建立的连接，以禁止所述特定业务进行。应用本技术方案，阻止报文的收发双方之间建立连接，以及断开已建立的连接，阻止了特定业务的进行，从而达到定点封杀的效果。 0023 在上述技术方案中，所述报文监控单元104从网络采集需要监控的文本的报文和 /或二进制的报文。应用本技术方案，对整个内部网和外部网之间的报文进行实时监控，从而识别出用户要进行特定业务的潜在可能性，干扰用户，使其不能进行特定业务行为。 0024 在上述技术方案中，所述报文监控单元104在已采集的报文的数据量超过预定阈值时。

17、，丢弃已采集的部分报文。应用本技术方案，在报文交互量很大时，有可能超过系统的处理能力，则丢弃一些报文即可，以缓解系统压力。 0025 在上述技术方案中，还包括：封杀逻辑策略单元110，设置对所述特定业务的封杀策略，所述业务识别单元106还按所述封杀策略判断是否需要通过所述封杀报文构造单元禁止所述特定业务进行。应用本技术方案，系统针对不同情况制定如时间段、节假日、黑白名单等不同的封杀策略，需要采取封杀策略时，禁止特定业务的进行，不需要时，采取放行行为。 0026 在上述技术方案中，还包括：特征码库云中心112，定期访问所述特定业务的网站和/或搜索引擎，以更新所述特征码，并由所述业务特。

18、征码更新单元102进行存储。应用本技术方案，系统定期更新特定业务的特征码并存储，从而使系统能获得最新最有效的特征码，保证封杀行为更好更有效的进行。 0027 图2示出了根据本发明的实施例的网络业务控制方法的流程图 0028 如图2所示，本发明的网络业务控制方法，包括：步骤202，存储特定业务的特征码；步骤204，采集网络中的报文；步骤206，将所述报文与所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务相关；步骤208，伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方，阻止所述报文的发送方与接收方建立连接，或构造将所述发送方与所述接收方之间的连接断开的报文，发。

19、送至所述发送方，断开所述发送方和所述接收方之间已建立的连接，以禁止所述特定业务进行。应用本技术方案，阻止报文的收发双方之间建立连接，以及断开已建立的连接，阻止了特定业务的进行，从而达到定点封杀的效果。 0029 在上述技术方案中，所述202包括：从网络采集需要监控的文本的报文和/或二进制的报文。应用本技术方案，对整个内部网和外部网之间的报文进行实时监控，从而识别出用户要进行特定业务的潜在可能性，干扰用户，使其不能进行特定业务行为。 0030 在上述技术方案中，所述步骤202还包括：在已采集的报文的数据量超过预定阈值时，丢弃已采集的部分报文。应用本技术方案，在报文交互量很大时，有可能。

20、超过系统的说明书CN 102882869 A 4/6页 6 处理能力，则丢弃一些报文即可，以缓解系统压力。 0031 在上述技术方案中，所述步骤206还包括：设置对所述特定业务的封杀策略；按所述封杀策略判断是否需要禁止所述特定业务进行。应用本技术方案，系统针对不同情况制定如时间段、节假日、黑白名单等不同的封杀策略，需要采取封杀策略时，禁止特定业务的进行，不需要时，采取放行行为。 0032 在上述技术方案中，所述步骤202包括：定期访问所述特定业务的网站和/或搜索引擎，以更新所述特征码，并进行存储。应用本技术方案，系统定期更新特定业务的特征码并存储，从而使系统能获得最新最有效的特。

21、征码，保证封杀行为更好更有效的进行。 0033 图3示出了根据本发明的实施例的网游业务控制系统的结构图。 0034 如图3所示，以网游作为所述特定业务的例子，详细说明本发明的网络业务控制系统。网游业务控制系统300包括：报文监控单元302，网游识别单元304，封杀报文构造单元306，网游特征码库更新单元308，网游特征码库云中心310，封杀逻辑策略单元312。下面详细说明各单元的作用及结构： 0035 报文监控单元302部署在互联网出口处抓取整个内部网和外部网络之间的TCP报文。TCP报文包括需要监视的文本的HTTP报文和二进制的报文。HTTP报文主要用于分析是否有游戏下载链接的特征。

22、码，客户端获取服务端列表的HTTP报文，游戏客户端连接更新服务器进行版本更新，客户端游戏帐号的注册，页游，这些请求一般都是通过访问WEB服务器完成的。当获取到这些信息后，提交给网游识别单元进行识别，这些特征码基本上是文本的，从URI这一层就基本上达到了识别出了用户要进行网游行为潜在的可能性，从而干扰用户不能进行网游行为。 0036 当WEB报文上不能提供游戏特征码时，从用户和服务端交互的报文上进行判断提取特征值。一般情况下网游的服务器IP和端口是不变的。判断出报文目标地址符合这个条件时就认为是网游行为。但是网游的服务器IP和端口这类特征需要人手工去采集信息。当热门的游戏服务器众多。

23、时，就有一些工作量。分析出网游交互的报文的特征值。就不需要根据服务端的IP和端口去判断。 0037 在内部网和互联网出入口处报文交互量大，当流量很大时可能超过了系统处理的阀值时，这时可将一些报文丢弃，因为在流量下降时还是会将正在进行的网游行为探测到，再对此进行干扰，保证用户不能正常的进行网游行为。 0038 报文监控单元302和网游识别单元304最好部署在同台设备上，采用共享环形内存存贮抓取到的报文，报文监控单元302是一个生产者，网游识别单元304是消费者，如果环形内存满了，则直接忽略刚抓取到的报文。 0039 网游识别单元304受控于策略单元设置的策略如时间段，源，目的地址等，从。

24、而决定是否对应报文需要检测或者放行。策略单元提供管理界面给用户设置具体封杀策略条件。 0040 网游识别单元304在对应报文需要检测时，将本地的特征码库和抓取到的报文进行比对。应优先使用报文目的地址和目的端口条件判断，如果不满足，再使用报文内容特征特征值比对。如果备检测报文满足条件说明这个报文可能是一个网游行为包，则需要进行干扰封杀。网游识别单元304则请求封杀报文构造单元根据这个报文构造一个伪造的TCP 封包对对应用户的TCP链路干扰掐断。说明书CN 102882869 A 5/6页 7 0041 封杀报文构造单元306，用于阻止用户的三次握手的TCP连接的建立，或者将已经。

25、建立连接的TCP链路断开。封杀报文构造单元306构造一个TCP的报文，具体就是一个 rawsocket的报文，当是一个正在进行三次握手TCP连接报文时，伪造一个服务端的握手返回发送给请求建立连接方，让客户端连接不到真正的服务端。当是一个已经建立连接的链路上的TCP报文，就伪造一个TCP的报文，将FIN位置1，发送给内网用户从而断掉已建立的连接。这些伪造报文填写源地址为目的服务器地址，目的地址填写用户端地址。就是将网游行为报文的源目的地址反转。由于封杀报文构造单元306在物理距离上是比外部的服务器更靠近用户端，所以封杀报文构造单元306伪造的TCP报文能比外部的服务器的报文先于到达用。

26、户端。用户端的TCP协议误认为这个报文就是他请求的目的服务器给他回应的报文。 0042 网游特征码库更新单元308以一定的时间频率连接网游特征码库云中心310查询是否有网游特征码的更新。如有更新就下载到本地更新本地的网游特征库。网游特征码库云中心310存贮目前市面上的网游的特征码，只要覆盖常见游戏就可，因为市面上的游戏虽然多，但是占据玩家市场的游戏就那么几款。特征码构建采用人手工分析和机器爬虫抓取的方法。手工分析建立例如市面上主流游戏的服务器地址，报文特征等。和杀毒软件后台病毒库的方法类似，病毒库也需要人手工分析病毒特征码。机器爬虫定期抓取搜索引擎游戏关键字排行榜，游戏推广网站，。

27、游戏下载链接。 0043 特征码库的特征码包括依赖WEB报文的游戏下载链接，游戏官网访问，页游官网，游戏客户端获取服务端列表，游戏客户端版本更新等。用户访问游戏官网常需要账号注册，账号激活，账号管理等。还包括下载软件如迅雷，快车，等对游戏的下载，他们也需要请求 URL连接。获取这些下载软件的游戏下载的特征码，可以干扰或者断绝下载软件的下载功能，从源头上干扰用户可能潜在进行网游行为。 0044 当从WEB报文上没能封杀用户的网游行为时，可能是用户通过其他渠道绕开了 WEB报文的封杀。此时可能网游客户端已经能和外部的游戏服务端建立TCP连接。他们之间交互的报文有目的服务器的IP和端口，报文。

28、虽然已经进行加密但是还是有特征。大型的网游服务器设计上常有登录服务器，登录服务器数量少且地址固定。获取登录服务器地址的特征，对他们的TCP链路干扰限制用户不能正常登录游戏。用户即使完成了登录服务器的操作，进入了游戏服务器，游戏服务器的地址也是固定不变的，对和游戏服务器之间的 TCP连接进行干扰切断也能最终封杀用户的网游行为。 0045 网游特征码库云中心310特征码库的特征码需要采用人手动和机器爬虫等程序采集结合的方式。人工手动主要分析主流大型游戏的特征码，一款市场占有率高的游戏能保持长达十年的生命力，且人数众多。人工手动建立这些游戏的特征码就能封杀大多数玩家的网游行为。机器爬虫等。

29、程序后台定期访问游戏资讯推广网站，搜索引擎，获取新上市的游戏，热门游戏排行榜。 0046 网游特征码库云中心310特征码库的特征码还可以验证已知游戏的特征值是否已经过期，如指定地址的主机是否已经存在，对应的游戏是否已经停运。如果对应的特征值已经过期则对此删除。特征值的构建还需要一些辅助程序对爬虫的处理结果对网游特征码库云中心310管理人员进行，提醒如游戏停运，游戏新上市等。 0047 网游特征码库云中心310特征码库的特征码还可以对主流的搜索引擎、对游戏关说明书CN 102882869 A 6/6页 8 键字搜索进行屏蔽。当用户需要进行网游行为时多需要搜索引擎检索助记。所以建立网。

30、游关键字库后，对用户使用搜索引擎进行关键字搜索进行干扰屏蔽也能达到良好效果。 0048 封杀逻辑策略单元312用于给本发明描述的系统提供用户的管理界面，设置各种封杀策略，如时间段，节假日，黑白名单等，指定IP地址，MAC地址等。 0049 需要注意的是，以上实施例以网游业务为例，详细说明了本发明对网络业务的控制处理过程，本领域技术人员应当理解，以上实施例不作为对本发明技术方案的限制，更多类型的网络业务适用本发明的技术方案。 0050 以上结合附图详细说明了本发明的技术方案，通过本发明的技术方案，可以精确限制用户进行某些特定业务，不会对其它业务造成影响。 0051 以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。说明书CN 102882869 A 1/3页 9 图1 说明书附图CN 102882869 A 2/3页 10 图2 说明书附图CN 102882869 A 10 3/3页 11 图3 说明书附图CN 102882869 A 11 。

展开阅读全文