(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111357544.X (22)申请日 2021.11.16 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 陈旭　张越　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 李飞 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种报文监测的方法、 装置、 电子设备及介 质 (57)摘要 本申请实施例提供一种报文监测的方法、 装 置、 电子设备及介质， 该方法包括： 获取待发送报 文； 若确认内核包括的外发规则中不存在与待发 送报文对应的特征信息， 则拦截待发送报文， 其 中， 外发规则是根据白名单生成的， 能够通过白 名单机制下发外发规则， 从而对报文进行拦截和 解析， 将不允许外发的报文记录到日志中， 实现 报文交互不仅可控且交互踪迹可查询， 从而可以 实现根据报文日志 跟踪报文。 权利要求书1页 说明书9页 附图4页 CN 114070624 A 2022.02.18 CN 114070624 A 1.一种报文监测的方法， 其特 征在于， 所述方法包括： 获取待发送报文； 若确认内核包括的外发规则中不存在与 所述待发送报文对应的特征信 息， 则拦截所述 待发送报文， 其中， 所述外发规则是根据白名单生成的。 2.根据权利要求1所述的方法， 其特征在于， 在所述若确 认内核包括的外发规则中不存 在与所述待发送报文对应的特 征信息， 则拦截所述待发送报文之前， 所述方法还 包括： 通过外部接口对所述白名单进行 更新， 获得 更新白名单。 3.根据权利要求2所述的方法， 其特征在于， 所述通过外部接口对所述白名单进行更 新， 获得更新白名单， 包括： 确认所述待发送报文的特 征信息符合表征规则； 确认所述白名单中存在本地服务名称且不存在所述特征信 息， 则将所述特征信 息更新 至所述白名单， 获得 所述更新白名单。 4.根据权利要求3所述的方法， 其特征在于， 在所述将所述特征信 息更新至所述白名单 之前， 所述方法还 包括： 确认所述特 征信息的数量小于预设数量。 5.根据权利要求4所述的方法， 其特征在于， 在所述若确 认内核包括的外发规则中不存 在与所述待发送报文对应的特 征信息， 则拦截所述待发送报文之前， 所述方法还 包括： 根据所述更新白名单， 生成所述外发规则和监控规则， 其中， 所述监控规则中包括所述 待发送报文对应的特 征信息； 根据所述 监控规则对所述待发送报文 进行监控。 6.根据权利要求1 ‑5任一项所述的方法， 其特征在于， 在所述若确认内核包括的外发规 则中不存在与所述待发送报文对应的特征信息， 则拦截所述待发送报文之后， 所述方法还 包括： 根据所述待发送报文对应的特 征信息， 生成拦截报文外发日志； 将所述拦截报文外发日志上传到日志模块并存 储所述拦截报文外发日志。 7.根据权利要求1所述的方法， 其特征在于， 在所述获取待发送报文之后， 所述方法还 包括： 若确认所述内核包括的外发规则中存在与 所述待发送报文对应的特征信 息， 则发送所 述待发送报文。 8.一种报文监测的装置， 其特 征在于， 所述装置包括： 报文获取模块， 被 配置为获取待发送报文； 报文监测模块， 被配置为若确认内核包括的外发规则中不存在与所述待发送报文对应 的特征信息， 则拦截所述待发送报文， 其中， 所述外发规则是根据白名单生成的。 9.一种电子设备， 其特 征在于， 包括： 处 理器、 存储器和总线； 所述处理器通过所述总线与所述存储器相连， 所述存储器存储有计算机可读取指令， 当所述计算机可读取指令由所述处 理器执行时， 用于实现如权利要求1 ‑7任一项所述方法。 10.一种计算机可读存储介质， 其特征在于， 该计算机可读存储介质上存储有计算机程 序， 该计算机程序被执 行时实现如权利要求1 ‑7任一项所述方法。权　利　要　求　书 1/1 页 2 CN 114070624 A 2一种报文监测的方 法、 装置、 电子设备及介质 技术领域 [0001]本申请实施例涉及报文监测领域， 具体涉及一种报文监测的方法、 装置、 电子设备 及介质。 背景技术 [0002]相关技术中， 通常会在网络节点设备中， 对报文进行拦截、 过滤和解析， 再进行区 别处理以提升系统网络安全。 在报文监测的过程中， 通常会采用黑白名单进行规制匹配的 方式实现报文外发或拦截， 但无法跟踪报文的访问踪迹， 进而无法给予网络设备管理员违 法报文访问的告警提 示。 [0003]因此， 如何提高报文监测的安全性成为亟 待解决的问题。 发明内容 [0004]本申请实施例提供一种报文监测的方法、 装置、 电子设备及介质， 通过本申请的一 些实施例 至少能够通过白名单机制下发外发规则， 从而对报文进行拦截和解析， 将不允许 外发的报文记录到日志中， 实现报文交互不仅可控且交互踪迹可查询， 从而可以实现根据 报文日志 跟踪报文， 提高报文监测的安全性。 [0005]第一方面， 本申请的一些实施例提供了一种报文监测的方法， 所述方法包括： 获取 待发送报文； 若确认内核包括的外发规则中不存在与所述待发送报文对应的特征信息， 则 拦截所述待发送报文， 其中， 所述外发规则是根据白名单生成的。 [0006]因此， 本申请实施例通过将白名单更新机制， 报文拦截， 报文解析以及日志记录组 合在一起， 通过采用白名单更新机制来下发相关的iptables命令， 然后通过使用NFLOG工具 进行拦截报文和解析报文， 将不允许外发的报文记录到日志信息中， 达到报文交互不仅可 控且交互踪迹可查， 可根据报文日志达 到跟踪的目的。 [0007]结合第一方面， 在本申请的一些实施方式中， 在所述若确认内核包括的外发规则 中不存在与所述待发送报文对应的特征信息， 则拦截所述待发送报文之前， 所述方法还包 括： 通过外 部接口对所述白名单进行 更新， 获得 更新白名单； [0008]因此， 本申请实施例通过对白名单进行更新， 既能够实现安全性访问， 又能够实现 多个本地 服务同时访问白名单。 [0009]结合第一方面， 在本申请的一些实施方式中， 所述通过外部接 口对所述白名单进 行更新， 获得更新白名单， 包括： 确认所述待发送报文的特征信息符合表征规则； 确认所述 白名单中存在本地服务名称且不存在所述特征信息， 则将所述特征信息更新至所述白名 单， 获得所述更新白名单。 [0010]结合第一方面， 在本申请的一些实施方式中， 在所述将所述特征信息更新至所述 白名单之前， 所述方法还 包括： 确认所述特 征信息的数量小于预设数量。 [0011]因此， 本申请实施例通过在更新白名单之前对多个条件进行确认， 能够确保更新 到白名单中的特征信息符合要求， 从而能够区别于相关技术中， 只使用固定的 白名单内容，说　明　书 1/9 页 3 CN 114070624 A 3