一種網絡訪問請求的過濾方法及裝置制造方法

一種網絡訪問請求的過濾方法及裝置制造方法
【專利摘要】本發明適用于計算機安全領域，提供了一種網絡訪問請求的過濾方法及裝置，該方法包括：獲取為所述網絡訪問請求生成的文件描述符；監測針對所述文件描述符生成的所述網絡訪問請求；獲取監測到的所述網絡訪問請求的頭信息；當所述網絡訪問請求的頭信息符合預設的過濾條件時，過濾掉所述網絡訪問請求。在本發明不需要為每個應用程序設置代理，也可以快速、高效的實現網絡訪問請求的過濾。
【專利說明】一種網絡訪問請求的過濾方法及裝置

【技術領域】
[0001]本發明屬于計算機安全領域領域，尤其涉及一種網絡訪問請求的過濾方法及裝置。

【背景技術】
[0002]隨著網絡通信技術的發展和普及，可在計算機等電子設備中運行的應用程序越來越多，也越來越雜。這些應用程序通過向網絡服務器發送網絡訪問請求，以與網絡服務器進行通信。為了避免這些應用程序因為訪問非法的網絡服務器，而給計算機等電子設備的安全帶來的影響，有必要對應用程序發送的網絡訪問請求進行過濾處理，以提高計算機等電子設備的安全性。
[0003]現有技術提供了一種通過建立代理的方式來對網絡訪問請求進行過濾的方法，如當需要過濾的網絡訪問請求為超文本傳輸協議(Hypertext Transfer Protocol, HTTP)請求時，可以建立HTTP代理，通過HTTP代理來過濾HTTP請求。但這種方式由于需要為終端設備中的每個應用程序均設置HTTP代理，才能對終端設備中的各應用程序的HTTP請求進行過濾處理，從而造成過濾操作復雜，且造成資源浪費。


【發明內容】

[0004]本發明實施例提供一種網絡訪問請求的過濾方法及裝置，旨在解決現有技術存在需要為每個應用程序設置一代理才能對網絡訪問氫氣進行過濾的問題。
[0005]一方面，提供一種網絡訪問請求的過濾方法，所述方法包括:
[0006]獲取為所述網絡訪問請求生成的文件描述符；
[0007]監測針對所述文件描述符生成的所述網絡訪問請求；
[0008]獲取監測到的所述網絡訪問請求的頭信息；
[0009]當所述網絡訪問請求的頭信息符合預設的過濾條件時，過濾掉所述網絡訪問請求。
[0010]另一方面，提供一種網絡訪問請求的過濾裝置，所述裝置包括:
[0011]描述符獲取單元，用于獲取為所述網絡訪問請求生成的文件描述符；
[0012]請求監測單元，用于監測針對所述描述符獲取單元獲取的文件描述符生成的所述網絡訪問請求；
[0013]頭信息獲取單元，用于獲取監測到的所述網絡訪問請求的頭信息；
[0014]請求過濾單元，用于當所述網絡訪問請求的頭信息符合預設的過濾條件時，過濾掉所述網絡訪問請求。
[0015]在本發明實施例中，通過獲取為網絡訪問請求生成的文件描述符，從而可監測到針對該文件描述符生成的網絡訪問請求，獲取監測到的該網絡訪問請求的頭信息，通過將該頭信息與預設的過濾條件進行比較，即可根據比較結果確定是否需要過濾掉該網絡訪問請求，從而不需要為每個應用程序設置代理，也可以快速、高效的實現網絡訪問請求的過濾。

【專利附圖】

【附圖說明】
[0016]圖1是本發明實施例提供的網絡訪問請求的過濾方法的實現流程圖；
[0017]圖2是本發明實施例提供的網絡訪問請求的過濾裝置的結構框圖。

【具體實施方式】
[0018]為了使本發明的目的、技術方案及優點更加清楚明白，以下結合附圖及實施例，對本發明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅僅用以解釋本發明，并不用于限定本發明。
[0019]在本發明實施例中，通過獲取為網絡訪問請求生成的文件描述符，從而可監測到針對該文件描述符生成的網絡訪問請求，獲取監測到的該網絡訪問請求的頭信息，通過將該頭信息與預設的過濾條件進行比較，從而實現對網絡訪問請求進行過濾的目的。
[0020]為了說明本發明所述的技術方案，下面通過具體實施例來進行說明。
[0021]圖1示出了本發明實施例提供的網絡訪問請求的過濾方法的實現流程，詳述如下:
[0022]SlOI，獲取為網絡訪問請求生成的文件描述符。
[0023]在本實施例中，終端設備中的應用程序在需要訪問網絡服務器時，可向網絡服務器發送網絡訪問請求。應用程序向網絡服務器發送網絡訪問請求的過程一般是先與網絡服務器建立連接，再向網絡服務器發送網絡訪問請求。在與網絡服務器建立連接時，一般需要為該網絡訪問請求創建一文件描述符，用于標識該網絡訪問請求所對應的文件。在為網絡訪問請求創建了文件描述符后，即可針對該文件描述符生成網絡訪問請求，并將生成的網絡訪問請求發送至網絡服務器。
[0024]文件描述符是一個簡單的整數，用以標明每一個被進程所打開的文件和socket。操作系統內核一般利用文件描述符(file descriptor, fd)來訪問文件,在打開現存文件或新建文件時，操作系統內核會返回一個文件描述符。讀寫文件也需要使用文件描述符來指定待讀與的文件。
[0025]其中終端設備包括但不限于移動終端、計算機等，尤其是采用Linux操作系統或者Unix操作系統的終端設備。
[0026]其中網絡訪問請求包括但不限于HTTP請求、文件傳輸協議(File TransferProtocol, FTP)請求。
[0027]其中獲取為網絡訪問請求生成的文件描述符的具體過程如下:
[0028]Al、監測終端設備中的網絡端口，捕獲該網絡端口的網絡訪問請求。
[0029]在本實施例中，由于終端設備中的應用程序都是通過終端設備中的各種網絡端口來發送網絡訪問請求的，因此，為了實現對網絡訪問請求的過濾，需要對終端設備中的網絡端口進行監測，以及時獲知終端設備中的應用程序向網絡服務器發送網絡訪問請求。
[0030]在監測終端設備中的網絡端口時，可以根據網絡訪問請求的過濾需求選擇部分網絡端口進行監測，或者選擇所有網絡端口進行監測。如當需要對HTTP請求進行過濾時，由于HTTP請求一般是通過終端設備的80端口發送的，因此，則可以對終端設備的80端口進行監測。如果需要對終端設備中的所有網絡訪問請求都進行過濾，則可以對終端設備的所有網絡端口進行監測。
[0031 ] A2、獲取為捕獲到的網絡訪問請求生成的文件描述符。
[0032]具體的，對于采用不同操作系統的終端設備，獲取為捕獲到的所述網絡訪問請求生成的文件描述符的具體過程可能有所不同。如對于采用Linux操作系統或者Unix操作系統的終端設備來說，獲取為捕獲到的網絡訪問請求生成的文件描述符的具體過程如下:
[0033]調用操作系統中的網絡連接(connect)函數,通過該connect函數為捕獲到的網絡訪問請求創建文件描述符，獲取該connect函數返回的文件描述符。
[0034]由于Linux操作系統或者Unix操作系統中原有的connect函數不具備返回文件描述符的功能，而為了實現網絡訪問請求的過濾，在本實施例中，預先編程實現一個包含Linux操作系統或者Unix操作系統中原有的connect函數的所有功能,并同時可返回為網絡訪問請求創建的文件描述符的connect函數,并通過在Linux操作系統或者Unix操作系統中插入一個內核模塊，通過該插入的內核模塊來修改connect的系統調用表，使得connect的地址指向本發明實施例中編程實現的可返回為網絡訪問請求創建的文件描述符的connect函數。
[0035]A3、將獲取到的所述文件描述符添加至監控文件描述符列表中。
[0036]在本實施例中，通過將獲取到的文件描述符添加至監控文件描述符列表中進行保存，從而可監測到針對監控文件描述符列表中的所有文件描述符生成的網絡訪問請求。
[0037]在將獲取到的所述文件描述符添加至監控文件描述符列表中時，監測針對文件描述符生成的所述網絡訪問請求的步驟具體為:
[0038]監測針對監控文件描述符列表中的文件描述符生成的所述網絡訪問請求。
[0039]在本發明另一實施中，該方法還包括:
[0040]在獲取到網絡訪問請求的頭信息后，刪除該監控文件描述符列表中的文件描述符。
[0041]S102，監測針對所述文件描述符生成的所述網絡訪問請求。
[0042]在本實施例中，當為網絡訪問請求建立了終端設備與網絡服務器之間的連接后，即可針對為該網絡訪問請求創建的文件描述生成網絡訪問請求。通過對生成網絡訪問請求的過程進行監測，可以獲取到該網絡訪問請求中包含的內容，如該網絡訪問請求的頭信息坐寸ο
[0043]具體的，對于采用Linux操作系統或者Unix操作系統的終端設備來說，應用程序可以通過調用操作系統中的寫(write)函數來生成針對文件描述符的網絡訪問請求。本發明實施例在監測到應用程序調用操作系統中的寫(write)函數的操作時，即認為監測到針對文件描述符生成的網絡訪問請求。
[0044]S103，獲取監測到的所述網絡訪問請求的頭信息。
[0045]其中網絡訪問請求的頭信息包括但不限于主機(host)標識、網絡端口(port)號和路徑(path)。其中主機標識是指該網絡訪問請求需要訪問的網絡服務器的標識。網絡端口號是指，路徑是指。
[0046]在本實施例中，當監測到正在針對文件描述符生成網絡訪問請求時，獲取該網絡訪問請求的頭信息。如當應用程序調用寫(write)函數寫入網絡訪問請求的請求頭時，讀取該write函數的請求頭，即可獲取到該網絡訪問請求的頭信息。
[0047]在獲取網絡訪問請求的頭信息時，可以先分析出該網絡訪問請求的請求頭的格式，再根據不同網絡訪問請求的請求頭的格式進行獲取，如對于HTTP請求,其請求頭的格式一般如下:
[0048]http: //host [: port#] /path/./ [?query-string] [#anchor],從該格式的請求頭中可方便、快速的獲取到HTTP請求的頭信息。
[0049]在本發明另一實施例中，當網絡訪問請求為HTTP請求時，獲取監測到的所述網絡訪問請求的頭信息具體為:
[0050]獲取監測到的針對文件描述符第一次生成的HTTP請求的頭信息。其中第一次生成的HTTP請求是指在針對文件描述符第一次寫HTTP請求時的頭信息。
[0051]在本實施例中，由于只獲取監測到的針對文件描述符第一次生成的HTTP請求的頭信息，從而拷貝數據的量較小，節省了過濾網絡訪問請求所耗費的系統資源。
[0052]S104，當所述網絡訪問請求的頭信息符合預設的過濾條件時，過濾掉所述網絡訪問請求。
[0053]其中預設的過濾條件包括但不限于主機(host)白名單、主機黑名單、端口白名單、端口黑名單、路徑白名單、路徑黑名單中的一種或者多種組合。其中白名單是指不需要進行過濾的，黑名單是指需要進行過濾的。舉例說明如下:主機白名單是指若網絡訪問請求的頭信息中的主機標識在該主機白名單內，則不需要對該網絡訪問請求進行過濾，主機黑名單是指若網絡訪問請求的頭信息中的主機標識在該主機白名單內，則需要過濾掉該網絡訪問請求。端口白名單、端口黑名單以及路徑白名單、路徑黑名單可以依此類推。
[0054]其中當所述網絡訪問請求的頭信息符合預設的過濾條件時，過濾掉所述網絡訪問請求的步驟具體如下:
[0055]B1、判斷網絡訪問請求的頭信息是否符合預設的過濾條件，如果是，執行B2，否則執行B3。
[0056]其中判斷網絡訪問請求的頭信息是否符合預設的過濾條件的具體過程如下:
[0057]判斷網絡訪問請求的頭信息中的主機標識是否在主機黑名單中，如果是，則判定該網絡訪問請求的頭信息符合預設的過濾條件，否則判定該網絡訪問請求的頭信息不符合預設的過濾條件。
[0058]在本發明另一實施例中，判斷網絡訪問請求的頭信息是否符合預設的過濾條件的具體過程如下:
[0059]判斷網絡訪問請求的頭信息中的主機標識是否在主機白名單中，如果是，則判定該網絡訪問請求的頭信息不符合預設的過濾條件，否則判定該網絡訪問請求的頭信息符合預設的過濾條件。
[0060]在本發明另一實施例中，判斷網絡訪問請求的頭信息是否符合預設的過濾條件的具體過程如下:
[0061]判斷網絡訪問請求的頭信息中的網絡端口號是否在端口白名單中，如果是，則判定該網絡訪問請求的頭信息不符合預設的過濾條件，否則判定該網絡訪問請求的頭信息符合預設的過濾條件。
[0062]在本發明另一實施例中，判斷網絡訪問請求的頭信息是否符合預設的過濾條件的具體過程如下:
[0063]判斷網絡訪問請求的頭信息中的網絡端口號是否在端口黑名單中，如果是，則判定該網絡訪問請求的頭信息符合預設的過濾條件，否則判定該網絡訪問請求的頭信息不符合預設的過濾條件。
[0064]在本發明另一實施例中，判斷網絡訪問請求的頭信息是否符合預設的過濾條件的具體過程如下:
[0065]判斷網絡訪問請求的頭信息中的路徑是否在路徑白名單中，如果是，則判定該網絡訪問請求的頭信息不符合預設的過濾條件，否則判定該網絡訪問請求的頭信息符合預設的過濾條件。
[0066]在本發明另一實施例中，判斷網絡訪問請求的頭信息是否符合預設的過濾條件的具體過程如下:
[0067]判斷網絡訪問請求的頭信息中的路徑是否在路徑黑名單中，如果是，則判定該網絡訪問請求的頭信息符合預設的過濾條件，否則判定該網絡訪問請求的頭信息不符合預設的過濾條件。
[0068]在本發明另一實施例中，判斷網絡訪問請求的頭信息是否符合預設的過濾條件的具體過程如下:
[0069]判斷網絡訪問請求的頭信息中的主機標識是否在主機白名單中，如果否，則判定網絡訪問請求的頭信息符合預設的過濾條件，否則，進一步判斷判斷網絡訪問請求的頭信息中的網絡端口號是否在端口白名單中，如果是，則判定該網絡訪問請求的頭信息不符合預設的過濾條件，否則判定該網絡訪問請求的頭信息符合預設的過濾條件。
[0070]在本發明另一實施例中，判斷網絡訪問請求的頭信息是否符合預設的過濾條件的具體過程如下:
[0071]判斷網絡訪問請求的頭信息中的主機標識是否在主機白名單中，如果否，則判定網絡訪問請求的頭信息符合預設的過濾條件，否則，進一步判斷判斷網絡訪問請求的頭信息中的網絡端口號是否在端口黑名單中，如果是，則判定該網絡訪問請求的頭信息符合預設的過濾條件，否則判定該網絡訪問請求的頭信息不符合預設的過濾條件。
[0072]在本發明另一實施例中，判斷網絡訪問請求的頭信息是否符合預設的過濾條件的具體過程如下:
[0073]判斷網絡訪問請求的頭信息中的主機標識是否在主機白名單中，如果否，則判定網絡訪問請求的頭信息符合預設的過濾條件，否則，進一步判斷判斷網絡訪問請求的頭信息中的網絡端口號是否在端口白名單中，如果否，則判定網絡訪問請求的頭信息符合預設的過濾條件，否則，進一步判斷判斷網絡訪問請求的頭信息中的路徑是否在路徑白名單中，如果是，則判定該網絡訪問請求的頭信息不符合預設的過濾條件，否則判定該網絡訪問請求的頭信息符合預設的過濾條件。
[0074]在本發明另一實施例中，判斷網絡訪問請求的頭信息是否符合預設的過濾條件的具體過程如下:
[0075]判斷網絡訪問請求的頭信息中的主機標識是否在主機白名單中，如果否，則判定網絡訪問請求的頭信息符合預設的過濾條件，否則，進一步判斷判斷網絡訪問請求的頭信息中的網絡端口號是否在端口白名單中，如果否，則判定網絡訪問請求的頭信息符合預設的過濾條件，否則，進一步判斷判斷網絡訪問請求的頭信息中的路徑是否在路徑黑名單中，如果是，則判定該網絡訪問請求的頭信息符合預設的過濾條件，否則判定該網絡訪問請求的頭信息不符合預設的過濾條件。
[0076]B2、過濾掉該網絡訪問請求。
[0077]其中過濾掉該網絡訪問請求的方式可以為不再繼續生成該網絡訪問請求，或者不將生成的網絡訪問請求發送至網絡服務器。當然還可以為其他方式，在此不再一一例舉。其中過濾掉網絡訪問請求的具體過程，舉例說明如下:
[0078]當在調用write函數寫網絡訪問請求的請求頭時，若判定該網絡訪問請求的頭信息符合預設的過濾條件，則停止該寫操作，不再繼續生成該網絡訪問請求，或者當判定該網絡訪問請求的頭信息符合預設的過濾條件時，write函數已經寫完該網絡訪問請求，則取消該網絡訪問請求的發送，以達到過濾掉該網絡訪問請求的目的。
[0079]B3、將生成的網絡訪問請求發送至網絡服務器。
[0080]在本發明實施例中，通過獲取為網絡訪問請求生成的文件描述符，從而可以監測到針對該文件描述符生成的網絡訪問請求，通過獲取監測到的網絡訪問氫氣的頭信息，將該頭信息與預設的過濾條件進行比較，即可根據比較結果確定是否需要過濾掉該網絡訪問請求，從而快速、高效的實現網絡訪問請求的過濾。
[0081]本發明實施例提供的網絡訪問請求的過濾方法可適用于采用Linux操作系統、Unix操作系統的終端設備。
[0082]圖2示出了本發明實施例提供的網絡訪問請求的過濾裝置的結構，為了便于說明僅不出了與本發明實施例相關的部分。
[0083]該裝置可以用于計算機等電子設備，可以是運行于這些設備內的軟件單元、硬件單元或者軟硬件相結合的單元，也可以作為獨立的掛件集成到這些設備中或者運行于這些設備的應用系統中，其中:
[0084]描述符獲取單元1，用于獲取為所述網絡訪問請求生成的文件描述符。
[0085]其中網絡訪問請求包括超文本傳輸協議HTTP請求、文件傳輸協議FTP請求。
[0086]在本發明優選實施例中，該描述符獲取單元I具體用于監測終端設備中的網絡端口，捕獲所述網絡端口的網絡訪問請求；獲取為捕獲到的所述網絡訪問請求生成的文件描述符；將獲取到的所述文件描述符添加至監控文件描述符列表中。
[0087]在本發明優選實施例中，該所述描述符獲取單元I具體還用于調用網絡連接函數，通過所述網絡連接函數為捕獲到的所述網絡訪問請求創建文件描述符，獲取所述網絡連接函數返回的所述文件描述符。
[0088]請求監測單元2，用于監測針對所述描述符獲取單元獲取的文件描述符生成的所述網絡訪問請求。
[0089]頭信息獲取單元3，用于獲取監測到的所述網絡訪問請求的頭信息。
[0090]在本發明另一實施例中，當網絡訪問請求為HTTP請求時，獲取監測到的所述網絡訪問請求的頭信息具體為:
[0091]獲取監測到的針對文件描述符第一次生成的HTTP請求的頭信息。其中第一次生成的HTTP請求是指在針對文件描述符第一次寫HTTP請求時的頭信息。
[0092]請求過濾單元4，用于當所述網絡訪問請求的頭信息符合預設的過濾條件時，過濾掉所述網絡訪問請求。
[0093]其中預設的過濾條件包括主機白名單、主機黑名單、端口白名單、端口黑名單、路徑白名單、路徑黑名單中的一種或者多種組合。
[0094]優選的，該請求過濾單元4具體用于當所述網絡訪問請求的頭信息中的主機標識在所述主機黑名單中時，或者所述網絡訪問請求的頭信息中的主機標識不在所述主機白名單中時,過濾掉所述網絡訪問請求。
[0095]優選的，該請求過濾單元4具體還用于當所述網絡訪問請求的頭信息中的主機標識在所述主機白名單，且所述網絡訪問請求的頭信息中的網絡端口號在所述端口黑名單時，過濾掉所述網絡訪問請求；當所述網絡訪問請求的頭信息中的主機標識在所述主機白名單，且所述網絡訪問請求的頭信息中的網絡端口號不在所述端口白名單時，過濾掉所述網絡訪問請求。
[0096]優選的，該請求過濾單元4具體還用于當所述網絡訪問請求的頭信息中的主機標識在所述主機白名單，且所述網絡訪問請求的頭信息中的網絡端口號在所述端口白名單，且所述網絡訪問請求的頭信息中的路徑在所述路徑黑名單時，過濾掉所述網絡訪問請求；當所述網絡訪問請求的頭信息中的主機標識在所述主機白名單，且所述網絡訪問請求的頭信息中的網絡端口號在所述端口白名單，且所述網絡訪問請求的頭信息中的路徑不在所述路徑白名單時，過濾掉所述網絡訪問請求。
[0097]值得注意的是，上述系統，所包括的各個單元只是按照功能邏輯進行劃分的，但并不局限于上述的劃分，只要能夠實現相應的功能即可；另外，各功能單元的具體名稱也只是為了便于相互區分，并不用于限制本發明的保護范圍。
[0098]本領域普通技術人員可以理解，實現上述實施例方法中的全部或部分步驟是可以通過程序來指令相關的硬件來完成，所述的程序可以在存儲于一計算機可讀取存儲介質中，所述的存儲介質，如R0M/RAM、磁盤、光盤等。
[0099]在本發明實施例中，通過獲取為網絡訪問請求生成的文件描述符，從而可以監測到針對該文件描述符生成的網絡訪問請求，通過獲取監測到的網絡訪問氫氣的頭信息，將該頭信息與預設的過濾條件進行比較，即可根據比較結果確定是否需要過濾掉該網絡訪問請求，從而不需要為每個應用程序設置代理，也可以快速、高效的實現網絡訪問請求的過濾。
[0100]以上所述僅為本發明的較佳實施例而已，并不用以限制本發明，凡在本發明的精神和原則之內所作的任何修改、等同替換和改進等，均應包含在本發明的保護范圍之內。
【權利要求】
1.一種網絡訪問請求的過濾方法，其特征在于，所述方法包括: 獲取為所述網絡訪問請求生成的文件描述符； 監測針對所述文件描述符生成的所述網絡訪問請求； 獲取監測到的所述網絡訪問請求的頭信息； 當所述網絡訪問請求的頭信息符合預設的過濾條件時，過濾掉所述網絡訪問請求。
2.如權利要求1所述的方法，其特征在于，所述獲取所述網絡訪問請求所對應的文件描述符，具體包括: 監測終端設備中的網絡端口，捕獲所述網絡端口的網絡訪問請求； 獲取為捕獲到的所述網絡訪問請求生成的文件描述符； 將獲取到的所述文件描述符添加至監控文件描述符列表中。
3.如權利要求2所述的方法，其特征在于，所述獲取為捕獲到的所述網絡訪問請求生成的文件描述符，具體包括: 調用網絡連接函數，通過所述網絡連接函數為捕獲到的所述網絡訪問請求創建文件描述符，獲取所述網絡連接函數返回的所述文件描述符。
4.如權利要求1所述的方法，其特征在于，所述網絡訪問請求包括超文本傳輸協議HTTP請求、文件傳輸協議FTP請求。
5.如權利要求1所述的方法，其特征在于，所述預設的過濾條件包括主機白名單、主機黑名單、端口白名單、端口黑名單、路徑白名單、路徑黑名單中的一種或者多種組合。
6.如權利要求5所述的方法，其特征在于，所述當所述網絡訪問請求的頭信息符合預設的過濾條件時,過濾掉所述網絡訪問請求,具體包括: 當所述網絡訪問請求的頭信息中的主機標識在所述主機黑名單中時，或者所述網絡訪問請求的頭信息中的主機標識不在所述主機白名單中時，過濾掉所述網絡訪問請求。
7.如權利要求5所述的方法，其特征在于，所述當所述網絡訪問請求的頭信息符合預設的過濾條件時,過濾掉所述網絡訪問請求,具體包括: 當所述網絡訪問請求的頭信息中的主機標識在所述主機白名單，且所述網絡訪問請求的頭信息中的網絡端口號在所述端口黑名單時，過濾掉所述網絡訪問請求； 當所述網絡訪問請求的頭信息中的主機標識在所述主機白名單，且所述網絡訪問請求的頭信息中的網絡端口號不在所述端口白名單時，過濾掉所述網絡訪問請求。
8.如權利要求5所述的方法，其特征在于，所述當所述網絡訪問請求的頭信息符合預設的過濾條件時,過濾掉所述網絡訪問請求,具體包括: 當所述網絡訪問請求的頭信息中的主機標識在所述主機白名單，且所述網絡訪問請求的頭信息中的網絡端口號在所述端口白名單，且所述網絡訪問請求的頭信息中的路徑在所述路徑黑名單時，過濾掉所述網絡訪問請求； 當所述網絡訪問請求的頭信息中的主機標識在所述主機白名單，且所述網絡訪問請求的頭信息中的網絡端口號在所述端口白名單，且所述網絡訪問請求的頭信息中的路徑不在所述路徑白名單時，過濾掉所述網絡訪問請求。
9.一種網絡訪問請求的過濾裝置，其特征在于，所述裝置包括: 描述符獲取單元，用于獲取為所述網絡訪問請求生成的文件描述符； 請求監測單元，用于監測針對所述描述符獲取單元獲取的文件描述符生成的所述網絡訪問請求； 頭信息獲取單元，用于獲取監測到的所述網絡訪問請求的頭信息； 請求過濾單元，用于當所述網絡訪問請求的頭信息符合預設的過濾條件時，過濾掉所述網絡訪問請求。
10.如權利要求9所述的裝置，其特征在于，所述描述符獲取單元具體用于監測終端設備中的網絡端口，捕獲所述網絡端口的網絡訪問請求；獲取為捕獲到的所述網絡訪問請求生成的文件描述符；將獲取到的所述文件描述符添加至監控文件描述符列表中。
11.如權利要求10所述的裝置，其特征在于，所述所述描述符獲取單元具體還用于調用網絡連接函數，通過所述網絡連接函數為捕獲到的所述網絡訪問請求創建文件描述符，獲取所述網絡連接函數返回的所述文件描述符。
12.如權利要求9所述的裝置，其特征在于，所述網絡訪問請求包括超文本傳輸協議HTTP請求、文件傳輸協議FTP請求。
13.如權利要求9所述的裝置，其特征在于，所述預設的過濾條件包括主機白名單、主機黑名單、端口白名單、端口黑名單、路徑白名單、路徑黑名單中的一種或者多種組合。
14.如權利要求13所述的裝置，其特征在于，所述請求過濾單元具體用于當所述網絡訪問請求的頭信息中的主機標識在所述主機黑名單中時,或者所述網絡訪問請求的頭信息中的主機標識不在所述主機白名單中時，過濾掉所述網絡訪問請求。
15.如權利要求13所述的方法，其特征在于，所述請求過濾單元具體還用于當所述網絡訪問請求的頭信息中的主機標識在所述主機白名單，且所述網絡訪問請求的頭信息中的網絡端口號在所述端口黑名單時，過濾掉所述網絡訪問請求；當所述網絡訪問請求的頭信息中的主機標識在所述主機白名單，且所述網絡訪問請求的頭信息中的網絡端口號不在所述端口白名單時，過濾掉所述網絡訪問請求。
16.如權利要求13所述的裝置，其特征在于，所述所述請求過濾單元具體還用于當所述網絡訪問請求的頭信息中的主機標識在所述主機白名單，且所述網絡訪問請求的頭信息中的網絡端口號在所述端口白名單，且所述網絡訪問請求的頭信息中的路徑在所述路徑黑名單時，過濾掉所述網絡訪問請求；當所述網絡訪問請求的頭信息中的主機標識在所述主機白名單，且所述網絡訪問請求的頭信息中的網絡端口號在所述端口白名單，且所述網絡訪問請求的頭信息中的路徑不在所述路徑白名單時，過濾掉所述網絡訪問請求。
【文檔編號】H04L29/06GK104348799SQ201310329192
【公開日】2015年2月11日 申請日期:2013年7月31日 優先權日:2013年7月31日
【發明者】管勝 申請人:騰訊科技（深圳）有限公司