网络业务控制系统和网络业务控制方法

摘要

本发明提供了一种网络业务控制系统，包括：业务特征码更新单元，存储特定业务的特征码；报文监控单元，采集网络中的报文；业务识别单元，将所述报文与所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务相关；封杀报文构造单元，伪造所述报文的接收方接收连接的新报文发送给所述报文的发送方，阻止所述报文的发送方与接收方建立连接，或构造将所述发送方与所述接收方之间的连接断开的报文，发送至所述发送方，断开所述发送方和所述接收方之间已建立的连接，以禁止所述特定业务进行。相应地，本发明还提供了一种网络业务控制方法。应用本技术方案，阻止报文的收发双方之间建立连接，以及断开已建立的连接，阻止了特定业务的进行，从而达到定点封杀的效果。

说明书

技术领域

本发明涉及计算机控制领域，具体而言，涉及一种网络业务控制系统 和一种网络业务控制方法。

背景技术

在当前互联网络游戏作为一种很有魅力的娱乐方式在给网民带来快乐 的同时也带来很多的负面的东西。

以网游为例，特别是在高校中，很多学生缺乏自制力导致容易沉迷网 游而荒废学业。通过技术手段限制网游使用是可以做到的。一些粗暴的做 法是限制互联网使用时，只允许访问WEB端口，这在企业网中是常见的 做法，简单有效，但是在高校中学生需要使用互联网学习科研，只允许访 问WEB端口会严重影响用户体验，例如下载，视频，即时通信等一些软 件使用了非WEB端口。

因此，需要一种新的技术方案，可以只精确定点封杀特定业务，而不 限制影响用户的其他互联网行为。

发明内容

本发明所要解决的技术问题在于，提供一种新的技术方案，可以只精 确定点封杀特定业务，而不限制影响用户的其他互联网行为。

有鉴于此，本发明提供了一种网络业务控制系统，包括：业务特征码 更新单元，存储特定业务的特征码；报文监控单元，采集网络中的报文； 业务识别单元，将所述报文与所述特征码进行比对，根据比对结果判断所 述报文是否与所述特定业务相关；封杀报文构造单元，伪造所述报文的接 收方接收连接的新报文发送给所述报文的发送方，阻止所述报文的发送方 与接收方建立连接，或构造将所述发送方与所述接收方之间的连接断开的 报文，发送至所述发送方，断开所述发送方和所述接收方之间已建立的连 接，以禁止所述特定业务进行。应用本技术方案，阻止报文的收发双方之 间建立连接，以及断开已建立的连接，阻止了特定业务的进行，从而达到 定点封杀的效果。

在上述技术方案中，优选地，所述报文监控单元从网络采集需要监控 的文本的报文和/或二进制的报文。应用本技术方案，对整个内部网和外 部网之间的报文进行实时监控，从而识别出用户要进行特定业务的潜在可 能性，干扰用户，使其不能进行特定业务行为。

在上述技术方案中，优选地，所述报文监控单元在已采集的报文的数 据量超过预定阈值时，丢弃已采集的部分报文。应用本技术方案，在报文 交互量很大时，有可能超过系统的处理能力，则丢弃一些报文即可，以缓 解系统压力。

在上述技术方案中，优选地，还包括：封杀逻辑策略单元，设置对所 述特定业务的封杀策略，所述业务识别单元还按所述封杀策略判断是否需 要通过所述封杀报文构造单元禁止所述特定业务进行。应用本技术方案， 系统针对不同情况制定如时间段、节假日、黑白名单等不同的封杀策略， 需要采取封杀策略时，禁止特定业务的进行，不需要时，采取放行行为。

在上述技术方案中，优选地，还包括：特征码库云中心，定期访问所 述特定业务的网站和/或搜索引擎，以更新所述特征码，并由所述业务特 征码更新单元进行存储。应用本技术方案，系统定期更新特定业务的特征 码并存储，从而使系统能获得最新最有效的特征码，保证封杀行为更好更 有效的进行。

本发明还提供了一种网络业务控制方法，包括：步骤202，存储特定 业务的特征码；步骤204，采集网络中的报文；步骤206，将所述报文与 所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务相 关；步骤208，伪造所述报文的接收方接收连接的新报文发送给所述报文 的发送方，阻止所述报文的发送方与接收方建立连接，或构造将所述发送 方与所述接收方之间的连接断开的报文，发送至所述发送方，断开所述发 送方和所述接收方之间已建立的连接，以禁止所述特定业务进行。。应用 本技术方案，阻止报文的收发双方之间建立连接，以及断开已建立的连 接，阻止了特定业务的进行，从而达到定点封杀的效果。

在上述技术方案中，优选地，所述202包括：从网络采集需要监控的 文本的报文和/或二进制的报文应用本技术方案，对整个内部网和外部网 之间的报文进行实时监控，从而识别出用户要进行特定业务的潜在可能 性，干扰用户，使其不能进行特定业务行为。

在上述技术方案中，优选地，所述步骤202还包括：在已采集的报文 的数据量超过预定阈值时，丢弃已采集的部分报文。应用本技术方案，在 报文交互量很大时，有可能超过系统的处理能力，则丢弃一些报文即可， 以缓解系统压力。

在上述技术方案中，优选地，所述步骤206还包括：设置对所述特定 业务的封杀策略；按所述封杀策略判断是否需要禁止所述特定业务进行。 应用本技术方案，系统针对不同情况制定如时间段、节假日、黑白名单等 不同的封杀策略，需要采取封杀策略时，禁止特定业务的进行，不需要 时，采取放行行为。

在上述技术方案中，优选地，所述步骤202包括：定期访问所述特定 业务的网站和/或搜索引擎，以更新所述特征码，并进行存储。应用本技 术方案，系统定期更新特定业务的特征码并存储，从而使系统能获得最新 最有效的特征码，保证封杀行为更好更有效的进行。

附图说明

图1示出了根据本发明的实施例的网络业务控制系统的框图；

图2示出了根据本发明的实施例的网络业务控制方法的流程图；

图3示出了根据本发明的实施例的网游业务控制系统的结构图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附 图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不 冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是， 本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明 的保护范围并不受下面公开的具体实施例的限制。

图1示出了根据本发明的实施例的网络业务控制系统的框图。

如图1所示，本发明的网络业务控制系统100包括：业务特征码更新 单元102，存储特定业务的特征码；报文监控单元104，采集网络中的报 文；业务识别单元106，将所述报文与所述特征码进行比对，根据比对结 果判断所述报文是否与所述特定业务相关；封杀报文构造单元108，伪造 所述报文的接收方接收连接的新报文发送给所述报文的发送方，阻止所述 报文的发送方与接收方建立连接，或构造将所述发送方与所述接收方之间 的连接断开的报文，发送至所述发送方，断开所述发送方和所述接收方之 间已建立的连接，以禁止所述特定业务进行。。应用本技术方案，阻止报 文的收发双方之间建立连接，以及断开已建立的连接，阻止了特定业务的 进行，从而达到定点封杀的效果。

在上述技术方案中，所述报文监控单元104从网络采集需要监控的文 本的报文和/或二进制的报文。应用本技术方案，对整个内部网和外部网 之间的报文进行实时监控，从而识别出用户要进行特定业务的潜在可能 性，干扰用户，使其不能进行特定业务行为。

在上述技术方案中，所述报文监控单元104在已采集的报文的数据量 超过预定阈值时，丢弃已采集的部分报文。应用本技术方案，在报文交互 量很大时，有可能超过系统的处理能力，则丢弃一些报文即可，以缓解系 统压力。

在上述技术方案中，还包括：封杀逻辑策略单元110，设置对所述特 定业务的封杀策略，所述业务识别单元106还按所述封杀策略判断是否需 要通过所述封杀报文构造单元禁止所述特定业务进行。应用本技术方案， 系统针对不同情况制定如时间段、节假日、黑白名单等不同的封杀策略， 需要采取封杀策略时，禁止特定业务的进行，不需要时，采取放行行为。

在上述技术方案中，还包括：特征码库云中心112，定期访问所述特 定业务的网站和/或搜索引擎，以更新所述特征码，并由所述业务特征码 更新单元102进行存储。应用本技术方案，系统定期更新特定业务的特征 码并存储，从而使系统能获得最新最有效的特征码，保证封杀行为更好更 有效的进行。

图2示出了根据本发明的实施例的网络业务控制方法的流程图

如图2所示，本发明的网络业务控制方法，包括：步骤202，存储特 定业务的特征码；步骤204，采集网络中的报文；步骤206，将所述报文 与所述特征码进行比对，根据比对结果判断所述报文是否与所述特定业务 相关；步骤208，伪造所述报文的接收方接收连接的新报文发送给所述报 文的发送方，阻止所述报文的发送方与接收方建立连接，或构造将所述发 送方与所述接收方之间的连接断开的报文，发送至所述发送方，断开所述 发送方和所述接收方之间已建立的连接，以禁止所述特定业务进行。。应 用本技术方案，阻止报文的收发双方之间建立连接，以及断开已建立的连 接，阻止了特定业务的进行，从而达到定点封杀的效果。

在上述技术方案中，所述202包括：从网络采集需要监控的文本的报 文和/或二进制的报文。应用本技术方案，对整个内部网和外部网之间的 报文进行实时监控，从而识别出用户要进行特定业务的潜在可能性，干扰 用户，使其不能进行特定业务行为。

在上述技术方案中，所述步骤202还包括：在已采集的报文的数据量 超过预定阈值时，丢弃已采集的部分报文。应用本技术方案，在报文交互 量很大时，有可能超过系统的处理能力，则丢弃一些报文即可，以缓解系 统压力。

在上述技术方案中，所述步骤206还包括：设置对所述特定业务的封 杀策略；按所述封杀策略判断是否需要禁止所述特定业务进行。应用本技 术方案，系统针对不同情况制定如时间段、节假日、黑白名单等不同的封 杀策略，需要采取封杀策略时，禁止特定业务的进行，不需要时，采取放 行行为。

在上述技术方案中，所述步骤202包括：定期访问所述特定业务的网 站和/或搜索引擎，以更新所述特征码，并进行存储。应用本技术方案， 系统定期更新特定业务的特征码并存储，从而使系统能获得最新最有效的 特征码，保证封杀行为更好更有效的进行。

图3示出了根据本发明的实施例的网游业务控制系统的结构图。

如图3所示，以网游作为所述特定业务的例子，详细说明本发明的网 络业务控制系统。网游业务控制系统300包括：报文监控单元302，网游 识别单元304，封杀报文构造单元306，网游特征码库更新单元308，网 游特征码库云中心310，封杀逻辑策略单元312。下面详细说明各单元的 作用及结构：

报文监控单元302部署在互联网出口处抓取整个内部网和外部网络之 间的TCP报文。TCP报文包括需要监视的文本的HTTP报文和二进制的 报文。HTTP报文主要用于分析是否有游戏下载链接的特征码，客户端获 取服务端列表的HTTP报文，游戏客户端连接更新服务器进行版本更新， 客户端游戏帐号的注册，页游，这些请求一般都是通过访问WEB服务器 完成的。当获取到这些信息后，提交给网游识别单元进行识别，这些特征 码基本上是文本的，从URI这一层就基本上达到了识别出了用户要进行网 游行为潜在的可能性，从而干扰用户不能进行网游行为。

当WEB报文上不能提供游戏特征码时，从用户和服务端交互的报文 上进行判断提取特征值。一般情况下网游的服务器IP和端口是不变的。 判断出报文目标地址符合这个条件时就认为是网游行为。但是网游的服务 器IP和端口这类特征需要人手工去采集信息。当热门的游戏服务器众多 时，就有一些工作量。分析出网游交互的报文的特征值。就不需要根据服 务端的IP和端口去判断。

在内部网和互联网出入口处报文交互量大，当流量很大时可能超过了 系统处理的阀值时，这时可将一些报文丢弃，因为在流量下降时还是会将 正在进行的网游行为探测到，再对此进行干扰，保证用户不能正常的进行 网游行为。

报文监控单元302和网游识别单元304最好部署在同台设备上，采用 共享环形内存存贮抓取到的报文，报文监控单元302是一个生产者，网游 识别单元304是消费者，如果环形内存满了，则直接忽略刚抓取到的报 文。

网游识别单元304受控于策略单元设置的策略如时间段，源，目的地 址等，从而决定是否对应报文需要检测或者放行。策略单元提供管理界面 给用户设置具体封杀策略条件。

网游识别单元304在对应报文需要检测时，将本地的特征码库和抓取 到的报文进行比对。应优先使用报文目的地址和目的端口条件判断，如果 不满足，再使用报文内容特征特征值比对。如果备检测报文满足条件说明 这个报文可能是一个网游行为包，则需要进行干扰封杀。网游识别单元 304则请求封杀报文构造单元根据这个报文构造一个伪造的TCP封包对对 应用户的TCP链路干扰掐断。

封杀报文构造单元306，用于阻止用户的三次握手的TCP连接的建 立，或者将已经建立连接的TCP链路断开。封杀报文构造单元306构造 一个TCP的报文，具体就是一个rawsocket的报文，当是一个正在进行三 次握手TCP连接报文时，伪造一个服务端的握手返回发送给请求建立连 接方，让客户端连接不到真正的服务端。当是一个已经建立连接的链路上 的TCP报文，就伪造一个TCP的报文，将FIN位置1，发送给内网用户 从而断掉已建立的连接。这些伪造报文填写源地址为目的服务器地址，目 的地址填写用户端地址。就是将网游行为报文的源目的地址反转。由于封 杀报文构造单元306在物理距离上是比外部的服务器更靠近用户端，所以 封杀报文构造单元306伪造的TCP报文能比外部的服务器的报文先于到 达用户端。用户端的TCP协议误认为这个报文就是他请求的目的服务器 给他回应的报文。

网游特征码库更新单元308以一定的时间频率连接网游特征码库云中 心310查询是否有网游特征码的更新。如有更新就下载到本地更新本地的 网游特征库。网游特征码库云中心310存贮目前市面上的网游的特征码， 只要覆盖常见游戏就可，因为市面上的游戏虽然多，但是占据玩家市场的 游戏就那么几款。特征码构建采用人手工分析和机器爬虫抓取的方法。手 工分析建立例如市面上主流游戏的服务器地址，报文特征等。和杀毒软件 后台病毒库的方法类似，病毒库也需要人手工分析病毒特征码。机器爬虫 定期抓取搜索引擎游戏关键字排行榜，游戏推广网站，游戏下载链接。

特征码库的特征码包括依赖WEB报文的游戏下载链接，游戏官网访 问，页游官网，游戏客户端获取服务端列表，游戏客户端版本更新等。用 户访问游戏官网常需要账号注册，账号激活，账号管理等。还包括下载软 件如迅雷，快车，等对游戏的下载，他们也需要请求URL连接。获取这 些下载软件的游戏下载的特征码，可以干扰或者断绝下载软件的下载功 能，从源头上干扰用户可能潜在进行网游行为。

当从WEB报文上没能封杀用户的网游行为时，可能是用户通过其他 渠道绕开了WEB报文的封杀。此时可能网游客户端已经能和外部的游戏 服务端建立TCP连接。他们之间交互的报文有目的服务器的IP和端口， 报文虽然已经进行加密但是还是有特征。大型的网游服务器设计上常有登 录服务器，登录服务器数量少且地址固定。获取登录服务器地址的特征， 对他们的TCP链路干扰限制用户不能正常登录游戏。用户即使完成了登 录服务器的操作，进入了游戏服务器，游戏服务器的地址也是固定不变 的，对和游戏服务器之间的TCP连接进行干扰切断也能最终封杀用户的 网游行为。

网游特征码库云中心310特征码库的特征码需要采用人手动和机器爬 虫等程序采集结合的方式。人工手动主要分析主流大型游戏的特征码，一 款市场占有率高的游戏能保持长达十年的生命力，且人数众多。人工手动 建立这些游戏的特征码就能封杀大多数玩家的网游行为。机器爬虫等程序 后台定期访问游戏资讯推广网站，搜索引擎，获取新上市的游戏，热门游 戏排行榜。

网游特征码库云中心310特征码库的特征码还可以验证已知游戏的特 征值是否已经过期，如指定地址的主机是否已经存在，对应的游戏是否已 经停运。如果对应的特征值已经过期则对此删除。特征值的构建还需要一 些辅助程序对爬虫的处理结果对网游特征码库云中心310管理人员进行， 提醒如游戏停运，游戏新上市等。

网游特征码库云中心310特征码库的特征码还可以对主流的搜索引 擎、对游戏关键字搜索进行屏蔽。当用户需要进行网游行为时多需要搜索 引擎检索助记。所以建立网游关键字库后，对用户使用搜索引擎进行关键 字搜索进行干扰屏蔽也能达到良好效果。

封杀逻辑策略单元312用于给本发明描述的系统提供用户的管理界 面，设置各种封杀策略，如时间段，节假日，黑白名单等，指定IP地 址，MAC地址等。

需要注意的是，以上实施例以网游业务为例，详细说明了本发明对网 络业务的控制处理过程，本领域技术人员应当理解，以上实施例不作为对 本发明技术方案的限制，更多类型的网络业务适用本发明的技术方案。

以上结合附图详细说明了本发明的技术方案，通过本发明的技术方 案，可以精确限制用户进行某些特定业务，不会对其它业务造成影响。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于 本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精 神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明 的保护范围之内。