一种流量信息的检测方法、装置、电子设备及存储介质与流程

1.本技术涉及网络安全技术领域，具体而言，涉及一种流量信息的检测方法、装置、电子设备及计算机可读存储介质。


背景技术：

2.代理服务器的功能是代理网络用户去取得网络信息。形象地说，它是网络信息的中转站，是个人网络和互联网服务商之间的中间代理机构，负责转发合法的网络信息，对转发进行控制和登记。一般需要在代理服务器上开发插件，或者对代理服务器进行二次开发，来实现对流量信息做检测。
3.然而，当用户量较大时，对流量信息进行检测是一项繁重的工作，使得代理服务器的工作量剧增，并且有较大的工作量和时间成本，检测效率较低，经常会遗漏流量信息中的恶意信息、敏感内容等。


技术实现要素：

4.本技术实施例的目的在于提供一种流量信息的检测方法、装置、电子设备及计算机可读存储介质，提高对流量信息的检测效率和检测准确率，节省时间成本。
5.第一方面，本技术实施例提供了一种流量信息的检测方法，所述方法包括：接收代理服务器的协议请求；获取黑名单；根据所述黑名单对所述协议请求对应的流量信息进行检测，得到检测结果；若所述检测结果为通过，发送所述协议请求至互联网服务商；若所述检测结果为不通过，对所述流量信息进行封装，得到封装协议请求，将所述封装协议请求发送至客户端。
6.在上述实现过程中，将协议请求中的流量信息进行拆分，再分别进行检测，保证所有在黑名单中的流量信息都可以被检测到，不会发生遗漏，保证检测的准确率和效率。
7.进一步地，所述根据所述黑名单对所述流量信息进行检测，得到检测结果的步骤，包括：对所述流量信息进行拆分处理，得到域名信息和请求体；根据所述黑名单对所述域名信息进行检测，得到第一检测结果；根据所述黑名单对所述请求体进行检测，得到第二检测结果；根据所述第一检测结果和所述第二检测结果得到所述检测结果。
8.在上述实现过程中，将流量信息拆分得到域名信息和请求体，分别对域名信息和请求体进行检测得到检测结果，使得对流量信息的检测更加精细，保证对流量信息的检测不会发生遗漏。
9.进一步地，所述根据所述黑名单对所述域名信息进行检测，得到第一检测结果的步骤，包括：
获取所述域名信息中的域名和路径；根据所述黑名单对所述域名和所述路径进行检测，得到第一检测结果。
10.在上述实现过程中，获取域名信息中的域名和路径，保证对域名信息进行完整地检测，可以准确地检测到域名和路径中可能出现的恶意访问信息，保证流量信息的安全性。
11.进一步地，所述根据所述黑名单对所述域名和所述路径进行检测，得到检测结果的步骤，包括：获取所述域名和所述路径中的关键字；将所述关键字和所述黑名单进行匹配，若匹配成功，所述第一检测结果为不通过，若匹配失败，所述第一检测结果为通过。
12.在上述实现过程中，对域名和路径中的关键字进行匹配，不需要对域名和路径中的其他信息进行匹配，可以节省检测时间和检测过程中占有的计算内存，使得检测速度更快。
13.进一步地，所述根据所述黑名单对所述请求体进行检测，得到第二检测结果的步骤，包括：获取所述请求体中的内容信息；将所述内容信息和所述黑名单进行匹配，若匹配成功，所述第二检测结果为不通过，若匹配失败，所述第二检测结果为通过。
14.在上述实现过程中，根据请求体中的内容信息进行检测，保证请求体中的内容信息可以完整地被检测到，避免内容信息遗漏造成检测结果的不准确。
15.进一步地，所述根据所述第一检测结果和所述第二检测结果得到所述检测结果的步骤，包括：若所述第一检测结果和所述第二检测结果中的任意一个为不通过，所述检测结果为不通过；若所述第一检测结果和所述第二检测结果都为通过，所述检测结果为通过。
16.在上述实现过程中，根据第一检测结果和第二检测结果得到检测结果，保证检测结果的完整性和准确性，同时提高检测率。
17.进一步地，所述对所述流量信息进行封装，得到封装协议请求的步骤，包括：将所述协议请求进行修改，得到提示信息；将所述提示信息和所述流量信息进行封装，得到封装协议请求。
18.在上述实现过程中，将协议请求进行修改得到提示信息，可以获得流量信息中的具体信息，节省获取检测到的具体流量信息的时间，同时将提示信息和流量信息进行封装可以避免流量信息的泄露。
19.第二方面，本技术实施例还提供了一种流量信息的检测装置，所述装置包括：接收模块，用于接收代理服务器的协议请求；获取模块，用于获取黑名单；检测模块，用于根据所述黑名单对所述协议请求对应的流量信息进行检测，得到检测结果；发送模块，用于若所述检测结果为通过，发送所述协议请求至互联网服务商；若所述检测结果为不通过，对所述流量信息进行封装，得到封装协议请求，将所述封装协议请求
发送至客户端。
20.在上述实现过程中，将协议请求中的流量信息进行拆分，再分别进行检测，保证所有在黑名单中的流量信息都可以被检测到，不会发生遗漏，保证检测的准确率和效率。
21.第三方面，本技术实施例提供的一种电子设备，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
22.第四方面，本技术实施例提供的一种计算机可读存储介质，所述存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行如第一方面任一项所述的方法。
23.第五方面，本技术实施例提供的一种计算机程序产品，所述计算机程序产品在计算机上运行时，使得计算机执行如第一方面任一项所述的方法。
24.本公开的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本公开的上述技术即可得知。
25.并可依照说明书的内容予以实施，以下以本技术的较佳实施例并配合附图详细说明如后。
附图说明
26.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
27.图1为本技术实施例提供的流量信息的检测方法的流程示意图；图2为本技术实施例提供的流量信息的检测装置的结构组成示意图；图3为本技术实施例提供的电子设备的结构组成示意图。
具体实施方式
28.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
29.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
30.下面结合附图和实施例，对本技术的具体实施方式作进一步详细描述。以下实施例用于说明本技术，但不用来限制本技术的范围。
31.实施例一图1是本技术实施例提供的流量信息的检测方法的流程示意图，如图1所示，该方法包括：s1，接收代理服务器的协议请求；s2，获取黑名单；s3，根据黑名单对协议请求对应的流量信息进行检测，得到检测结果；s4，若检测结果为通过，发送协议请求至互联网服务商；
s5，若检测结果为不通过，对流量信息进行封装，得到封装协议请求，将封装协议请求发送至客户端。
32.在上述实现过程中，将协议请求中的流量信息进行拆分，再分别进行检测，保证所有在黑名单中的流量信息都可以被检测到，不会发生遗漏，保证检测的准确率和效率。
33.代理服务器（proxy server）的功能是代理网络用户去取得网络信息。代理服务器是网络信息的中转站，是个人网络和互联网服务商之间的中间代理机构，负责转发合法的网络信息，对转发进行控制和登记。本技术实施例利用代理服务器将流量信息在个人用户和互联网服务商之间进行中转。
34.示例性地，可以选择squid（一个高性能的代理缓存服务器）作为代理服务器，负责代理用户的超文本传输协议（hypertext transfer protocol，http）和超文本传输安全协议（hyper text transfer protocol over secure socket layer，https）请求。同时squid也可以作为互联网内容适配协议（internet content adaptation protocol，icap）的客户端，将经过自身的流量信息发送给icap服务器做检测。
35.icap本质上是在http上执行的一种轻量级的协议，也就是说，它让icap 用户可以把http传给icap服务器，然后icap 服务器可以对其进行某种变换或者其他处理。被变换的http可以是http请求也可以是http应答。icap是和http协议在结构和用法上都相似的请求或应答式的协议。
36.pyicap是一个开源的python3框架，用于编写icap服务器。
37.本技术实施例可以在用户上网产生的流量比较大时，对流量信息进行检测，并对流量信息进行拆分、分类，使得可以更精准的检测流量信息，减少资源的浪费。
38.在s1中，用户向squid发送协议请求，使用的协议可以是http，https，请求方法可以是get、post、options、head、trace、put等。然后接收squid代理服务器的协议请求。
39.进一步地，s3包括：对流量信息进行拆分处理，得到域名信息和请求体；根据黑名单对域名信息进行检测，得到第一检测结果；根据黑名单对请求体进行检测，得到第二检测结果；根据第一检测结果和第二检测结果得到检测结果。
40.在上述实现过程中，将流量信息拆分得到域名信息和请求体，分别对域名信息和请求体进行检测得到检测结果，使得对流量信息的检测更加精细，保证对流量信息的检测不会发生遗漏。
41.进一步地，根据黑名单对域名信息进行检测，得到第一检测结果的步骤，包括：获取域名信息中的域名和路径；根据黑名单对域名和路径进行检测，得到第一检测结果。
42.在上述实现过程中，获取域名信息中的域名和路径，保证对域名信息进行完整地检测，可以准确地检测到域名和路径中可能出现的恶意访问信息，保证流量信息的安全性。
43.进一步地，根据黑名单对域名和路径进行检测，得到检测结果的步骤，包括：获取域名和路径中的关键字；将关键字和黑名单进行匹配，若匹配成功，第一检测结果为不通过，若匹配失败，第一检测结果为通过。
44.在上述实现过程中，对域名和路径中的关键字进行匹配，不需要对域名和路径中的其他信息进行匹配，可以节省检测时间和检测过程中占有的计算内存，使得检测速度更快。
45.对域名进行检测可以阻止用户访问一些恶意或者不健康的网站，如钓鱼网站，色情网站，赌博网站等。对路径进行检测，基于域名的检测需要做较多的前期准备工作，需要制定黑名单，而基于路径的检测可以根据关键字来进行，比如，色情网站可以用gangbang/threesome等关键字，赌博网站可以用gambling等。
46.进一步地，根据黑名单对请求体进行检测，得到第二检测结果的步骤，包括：获取请求体中的内容信息；将内容信息和黑名单进行匹配，若匹配成功，第二检测结果为不通过，若匹配失败，第二检测结果为通过。
47.可选地，还会对流量信息中的请求方法进行检测，在实际使用中，get请求方法是使用最多的，并且get请求方法一般用于从服务器获取信息，不携带请求体，为保证性能，对get请求直接不做进一步检测。
48.根据请求体进行检测，若可以获取到请求体中的内容信息，则证明请求体不为空，对请求体进行内容检测。
49.在上述实现过程中，根据请求体中的内容信息进行检测，保证请求体中的内容信息可以完整地被检测到，避免内容信息遗漏造成检测结果的不准确。
50.进一步地，根据第一检测结果和第二检测结果得到检测结果的步骤，包括：若第一检测结果和第二检测结果中的任意一个为不通过，检测结果为不通过；若第一检测结果和第二检测结果都为通过，检测结果为通过。
51.在上述实现过程中，根据第一检测结果和第二检测结果得到检测结果，保证检测结果的完整性和准确性，同时提高检测率。
52.进一步地，对流量信息进行封装，得到封装协议请求的步骤，包括：将协议请求进行修改，得到提示信息；将提示信息和流量信息进行封装，得到封装协议请求。
53.可选地，若检测结果为不通过，则表明检测到敏感内容，将提示信息和流量信息封装后发送至客户端，同时，客户端在接收到封装协议请求之后，互联网服务商会自动获取提示页面。
54.在上述实现过程中，将协议请求进行修改得到提示信息，可以获得流量信息中的具体信息，节省获取检测到的具体流量信息的时间，同时将提示信息和流量信息进行封装可以避免流量信息的泄露。
55.实施例二为了执行上述实施例一对应的方法，以实现相应的功能和技术效果，下面提供一种流量信息的检测装置，如图2所示，该装置包括：接收模块1，用于接收代理服务器的协议请求；获取模块2，用于获取黑名单；检测模块3，用于根据黑名单对协议请求对应的流量信息进行检测，得到检测结果；
unit，cpu）、网络处理器（network processor，np）等；还可以是数字信号处理器（dsp）、专用集成电路（asic）、现成可编程门阵列（fpga）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器31也可以是任何常规的处理器等。
69.存储器33可以是，但不限于，随机存取存储器（random access memory，ram），只读存储器（read only memory，rom），可编程只读存储器（programmable read-only memory，prom），可擦除只读存储器（erasable programmable read-only memory，eprom），电可擦除只读存储器（electric erasable programmable read-only memory，eeprom）等。存储器33中存储有计算机可读取指令，当计算机可读取指令由所述处理器31执行时，设备可以执行上述图1方法实施例涉及的各个步骤。
70.可选地，电子设备还可以包括存储控制器、输入输出单元。存储器33、存储控制器、处理器31、外设接口、输入输出单元各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通信总线34实现电性连接。处理器31用于执行存储器33中存储的可执行模块，例如设备包括的软件功能模块或计算机程序。
71.输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是，但不限于，鼠标和键盘等。
72.可以理解，图3所示的结构仅为示意，电子设备还可包括比图3中所示更多或者更少的组件，或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
73.另外，本技术实施例还提供一种计算机可读存储介质，其存储有计算机程序，该计算机程序被处理器执行时实现实施例一的流量信息的检测方法。
74.本技术实施例还提供一种计算机程序产品，该计算机程序产品在计算机上运行时，使得计算机执行方法实施例所述的方法。
75.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
76.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
77.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个
人计算机，服务器，或者网络设备等）执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
78.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
79.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。
80.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。