[发明专利]用于检测和过滤数据报文的方法和设备

说明书

技术领域

本发明总体上涉及数据通信领域，更具体地涉及用于检测和过滤数据报文的方法和设备。

背景技术

随着移动通信终端的广泛应用，其已经成为了当今社会的人们在生产生活中不可或缺的重要组成部分，而针对移动设备的网络数据监管也自然成为了公众关注的研究课题。

作为移动通信终端的主流开发平台之一，在安卓(Android)平台的基础上已经开发出了大量不同类型的应用。而这些应用中的部分应用在实现其基本功能的基础上，出于商业利益或其他因素的驱动，可能会在用户不知情的情况下，在系统后台产生正常功能之外的额外网络访问和数据下载请求，进而产生额外流量。其直接导致的结果就是用户流量被无端消耗，同时产生不必要的流量费用。

目前对网络流量(数据报文)的主流检测技术基本上集中在应用层，其通过对应用的访问行为进行分析来实现数据报文的检测和过滤。通过这种方式，必须在与应用(app)的具体属性进行关联后，才能对应用的安全与否进行分析和判断。从而，无法在底层针对应用产生的非法流量和请求进行分析，进而进行阻断。而只能从应用相关性方面进行安全检查，而无法从流量数据包角度对访问流量进行安全分析和监控。

发明内容

为了解决上述问题，提供了本发明的用于检测和过滤数据报文的方法和设备。

根据本发明的第一方面，提供了一种用于检测和过滤数据报文的方法。该方法包括：a)在操作系统的数据报文发送接口和/或数据报文接收接口处拦截待发送和/或已接收的数据报文；b)根据一个或多个检测规则，对所述数据报文进行匹配；以及c)针对与所述一个或多个检测规则中的至少一个检测规则相匹配的数据报文，执行与所述至少一个检测规则相对应的过滤处理。

在一些实施例中，拦截待发送和/或已接收的数据报文的步骤包括：使用钩子函数来拦截待发送和/或已接收的数据报文。

在一些实施例中，所述方法在步骤a)和步骤b)之间还包括：判断所述数据报文是否完整：如果所述数据报文完整，则继续执行后续步骤；否则，直接丢弃所述数据报文并结束所述方法。

在一些实施例中，每一个检测规则包括以下至少一项：应用协议；目标地址；源地址；以及应用名称。

在一些实施例中，对所述数据报文进行匹配的步骤包括：如果所述数据报文是待发送的数据报文，则根据所述数据报文的源端口来确定发送所述数据报文的应用的应用名称，然后将所述数据报文的应用协议、所述数据报文的目标地址、所述数据报文的源地址、以及所述应用名称中至少一项与所述一个或多个检测规则中的至少一个检测规则的相应项进行比较，以确定所述数据报文是否匹配所述一个或多个检测规则中的至少一个检测规则。

在一些实施例中，对所述数据报文进行匹配的步骤包括：如果所述数据报文是已接收的数据报文，则根据所述数据报文的目标端口来确定要接收所述数据报文的应用的应用名称，然后将所述数据报文的应用协议、所述数据报文的目标地址、所述数据报文的源地址、以及所述应用名称中至少一项与所述一个或多个检测规则中的至少一个检测规则的相应项进行比较，以确定所述数据报文是否匹配所述一个或多个检测规则中的至少一个检测规则。

在一些实施例中，所述过滤处理包括以下各项之一：允许匹配的数据报文通过；以及禁止匹配的数据报文通过。

在一些实施例中，所述方法还包括：向用户提供用于设置和查看所述一个或多个检测规则的能力。

在一些实施例中，所述方法还包括：向用户提供用于设置和查看所述过滤处理的能力。

在一些实施例中，在检测到匹配的数据报文的情况下，所述方法还包括：记录与匹配的数据报文相关的日志。

在一些实施例中，所述方法还包括：向用户提供用于查看所述日志的能力。

根据本发明的第二方面，提供了一种用于检测和过滤数据报文的设备。该设备包括：拦截单元，用于在操作系统的数据报文发送接口和/或数据报文接收接口处拦截待发送和/或已接收的数据报文；匹配单元，用于根据一个或多个检测规则，对所述数据报文进行匹配；以及过滤单元，用于针对与所述一个或多个检测规则中的至少一个检测规则相匹配的数据报文，执行与所述至少一个检测规则相对应的过滤处理。

在一些实施例中，所述拦截单元还用于：使用钩子函数来拦截待发送和/或已接收的数据报文。

在一些实施例中，所述设备还包括：判断单元，用于判断所述数据报文是否完整：如果所述数据报文完整，则继续执行后续步骤；否则，直接丢弃所述数据报文。