一种针对飞信网络数据进行监控的方法技术

本发明专利技术公开了一种针对飞信网络数据进行监控的方法，包括以下步骤：S1：通过网络抓包方式获取网络数据包采集；S2：网络数据包解析，通过飞信数据包特征找到飞信数据，包括用户信息包、好友信息包、文本发送协议包和文本接收协议包；S3：对飞信不同数据包的处理结果封装为相应的JSON数据格式方便其他程序调用展示。本发明专利技术的有益效果如下：1、无需安装客户端，2、无需知道用户飞信密码，3、通过抓取、解析路由器上收发的网络数据包实现监控，保护隐私数据的信息安全。

【技术实现步骤摘要】

本专利技术涉及信息安全
，特别涉及一种针对飞信网络数据进行监控的方法。
技术介绍
随着科技的发展，人们对网络的依赖也越来越大，网络泄密问题也随之显现出来，各大公司，各种部门也不得不对职员的网络使用情况进行管控，防止职员泄露机密信息。飞信是中国移动的综合通信服务，是融合语音(IVR)、GPRS、短信等多种通信方式，实现互联网、移动互联网和移动网间的无缝通信服务。目前市面上也有很多的网络管控工具，大多数都是对电脑进行管控，且需在电脑上安装客户端，由客户端收集数据发送到监控端实现监控。这种方式就必然会有以下问题：1：客户端被卸载或禁用后就不会再起到监控作用；2：由于客户端需要在后台运行，不断向服务器发送数据必然会使耗电量增大，显然在移动设备上是不适用的。
技术实现思路
本专利技术针对现有技术的缺陷，提供了一种针对飞信网络数据进行监控的方法，能有效的解决上述现有技术存在的问题。一种针对飞信网络数据进行监控的方法,包括以下步骤：S1：网络数据包采集；通过winPcap提供的相应接口抓取用户使用网络过程中产生的数据包，再通过相应端口和标识或地址初步过滤，拿到飞信数据包；S2：数据包处理；以下数据处理过程中创建startoffset记录数据偏移量，length记录属性长度，具体步骤如下：S2.1：用户信息包处理；S2.1.1：数据包标识判断，在偏移量0x03，长度为4处判断标识是否为“6E4D7E44”，是则执行步骤S2.1.2，否则不再解析结束所有流程。S2.1.2：数据包第一位代表飞信数据包的标识信息长度5E，5E后0x02～0x19位为飞信数据包的标识信息。扫描数据填充长度为5E，5E后0x02～0x19位为飞信数据包的标识信息。S2.1.3：在扫描过程中，找到信息标识位位置，设N大于等于1，执行公式startoffset＝1飞信数据包的标识信息长度+94飞信数据包的标识信息+24*N个字节+1，通过用户信息包标识位“0208”确定数据包是否正确，若找不到该标识位说明该数据包不是用户信息数据包，不再解析结束所有流程，若找到则执行S2.1.4；S2.1.4：用户信息解析，在偏移startoffset＝startoffset+0x17位置处是用户第一个属性值标识开始，以该位置开始获取用户手机号码、用户邮箱、用户昵称、用户生日的标识位、属性长度、属性值；S2.2：好友信息包处理；S2.2.1：飞信包标识判断，判断方法与S2.1.1相同；S2.2.2：获取数据包长度，数据包前两位偏移量startoffset＝0x00为数据包长度；S2.2.3：好友信息包标识判断；偏移量startoffset＝0x1a，通过判断startoffset＝startoffset+6处的值减2是否为8的倍数来确定是否为好友信息包，若不是则不再解析结束所有流程；S2.2.4：好友信息解析，在偏移startoffset位置处获取用户第一个属性值标识，以该位置开始按顺序获取好友邮箱、好友账号、好友手机号、好友昵称的标识位、属性长度和属性值；S2.3：文本发送协议包处理；S2.3.1：飞信包标识判断，方法与S2.1.1相同；S2.3.2：获取数据包长度，方法与S2.2.2相同；S2.3.3：文本发送协议解析，在偏移startoffset＝0x1a位置处获取用户第一个属性值标识；以该位置开始按顺序获取文本信息类型、文本信息内容、文本信息状态、信息MD5值、文本接收者邮箱、文本发送者昵称、发送者邮箱和bubbleId的标识、属性长度和属性内容；S2.4：文本接收协议包处理；S2.4.1：飞信包标识判断，方法与S2.1.1相同；S2.4.2：获取数据包长度，方法与S2.2.2相同；S2.4.3：文本接收协议包标识判断，偏移量为startoffset＝0x1a，判断startoffset＝startoffset+6处的值减2是否为8的倍数来确定是否为文本接收协议包，若是执行S2.4.4,若不是则结束；S2.4.4：文本接收协议解析，在偏移startoffset位置处获取用户第一个属性值标识；分别获取信息MD5值、发送者邮箱获取、信息内容获取、信息类型获取、信息确认MD5值获取、信息状态获取、发送者昵称获取、接收时间获取、bubbleId的标识、属性长度和内容；S2.5：文件发送协议包处理，文件发送会分为多个包传输，包括文件检测包和文件上传数据包；S2.5.1：文件检测包，在文件发送过程中会先发送一个HTTPGET包检测文件在服务器中是否存在，目标地址\\CheckFileExist，将收到检测结果，若返回<resultsresultcode＝\200\>代表存在，存在则返回在下地址，若返回<resultsresultcode＝\404\>代表不存在，则需上传文件，协议为HTTP-POST，格式如下：“POST/ncfp/blockupload？id＝04978c96da16b7b10537b96c3a6e19fa&filesize＝129130&range＝0-65536&tid＝1253454353&type＝IMG&sp＝1”及POST协议基本参数；S2.5.2：文件拼接，根据传输信息中获得的range值将所有id值相同的文件数据按顺序拼接组成完整文件；S2.6：文件接收协议包处理；S2.6.1、图片、视频缩略图包处理；以HTTP-GET方式提交下载请求，请求地址ncfp/blockdownload，服务器返回文件类型“Content-Type”和文件长度“Content-Length”和文件偏移量“x-feinno-range”；接着就是完整的缩略图文件数据。S2.6.2：原文件包处理；以HTTP-POST方式提交下载请求，请求地址ncfp/blockdownload，服务器返回HTTP数据格式与缩略图格式相同，同样每次最多也传输65536个字节，所以文件过大就就会分多个POST数据包进行传输，直到传输完成；S2.6.3：文件拼接，根据传输信息中获得的x-feinno-range值将所有id值相同的文件数据按顺序拼接组成完整文件；S3：将S2对飞信不同数据包的处理结果封装为相应的JSON数据格式方便其他程序调用展示。作为优选，所述S2.1.4中解析用户信息的具体方法如下：S2.1.4.1：用户手机号解析；手机号属性标识获取，0x2A为手机号属性标识；手机号属性长度获取，在属性标识后一位，偏移量startoffset＝startoffset+1即为手机号长度length＝0x0B；手机号属性值获取，在属性长度后一位，偏移量startoffset＝startoffset+1后十一位就是用户的手机号；S2.1.4.2：用户邮箱解析、用户昵称解析和用户生日解析的方法如下：属性标识获取，在偏移startoffset＝startoffset+上一个属性长度length位置处得到下一个标识；属性长度获取，在属性标识后一位，偏移量startoffset＝startoffset+1即为用户属性长度length；属性值获取，在属性长度后一位，偏移量startoffset＝startoffs本文档来自技高网...

【技术保护点】
一种针对飞信网络数据进行监控的方法,其特征在于包括以下步骤：S1：网络数据包采集；通过winPcap提供的相应接口抓取用户使用网络过程中产生的数据包，再通过相应端口和标识或地址初步过滤，拿到飞信数据包；S2：数据包处理；以下数据处理过程中创建startoffset记录数据偏移量，length记录属性长度，具体步骤如下：S2.1：用户信息包处理；S2.1.1：数据包标识判断，在偏移量0x03，长度为4处判断标识是否为“6E 4D 7E 44”，是则执行步骤S2.1.2，否则不再解析结束所有流程；S2.1.2：数据包第一位代表飞信数据包的标识信息长度5E，5E后0x02～0x19位为飞信数据包的标识信息；扫描数据填充长度为5E，5E后0x02～0x19位为飞信数据包的标识信息；S2.1.3：在扫描过程中，找到信息标识位位置，设N大于等于1，执行公式startoffset＝1飞信数据包的标识信息长度+94飞信数据包的标识信息+24*N个字节+1，通过用户信息包标识位“02 08”确定数据包是否正确，若找不到该标识位说明该数据包不是用户信息数据包，不再解析结束所有流程，若找到则执行S2.1.4；S2.1.4：用户信息解析，在偏移startoffset＝startoffset+0x17位置处是用户第一个属性值标识开始，以该位置开始获取用户手机号码、用户邮箱、用户昵称、用户生日的标识位、属性长度、属性值；S2.2：好友信息包处理；S2.2.1：飞信包标识判断，判断方法与S2.1.1相同；S2.2.2：获取数据包长度，数据包前两位偏移量startoffset＝0x00为数据包长度；S2.2.3：好友信息包标识判断；偏移量startoffset＝0x1a，通过判断startoffset＝startoffset+6处的值减2是否为8的倍数来确定是否为好友信息包，若不是则不再解析结束所有流程；S2.2.4：好友信息解析，在偏移startoffset位置处获取用户第一个属性值标识，以该位置开始按顺序获取好友邮箱、好友账号、好友手机号、好友昵称的标识位、属性长度和属性值；S2.3：文本发送协议包处理；S2.3.1：飞信包标识判断，方法与S2.1.1相同；S2.3.2：获取数据包长度，方法与S2.2.2相同；S2.3.3：文本发送协议解析，在偏移startoffset＝0x1a位置处获取用户第一个属性值标识；以该位置开始按顺序获取文本信息类型、文本信息内容、文本信息状态、信息MD5值、文本接收者邮箱、文本发送者昵称、发送者邮箱和bubbleId的标识、属性长度和属性内容；S2.4：文本接收协议包处理；S2.4.1：飞信包标识判断，方法与S2.1.1相同；S2.4.2：获取数据包长度，方法与S2.2.2相同；S2.4.3：文本接收协议包标识判断，偏移量为startoffset＝0x1a，判断startoffset＝startoffset+6处的值减2是否为8的倍数来确定是否为文本接收协议包，若是执行S2.4.4,若不是则结束；S2.4.4：文本接收协议解析，在偏移startoffset位置处获取用户第一个属性值标识；分别获取信息MD5值、发送者邮箱获取、信息内容获取、信息类型获取、信息确认MD5值获取、信息状态获取、发送者昵称获取、接收时间获取、bubbleId的标识、属性长度和内容；S2.5：文件发送协议包处理，文件发送会分为多个包传输，包括文件检测包和文件上传数据包；S2.5.1：文件检测包，在文件发送过程中会先发送一个HTTP GET包检测文件在服务器中是否存在，目标地址\CheckFileExist，将收到检测结果，若返回<results resultcode＝200>代表存在，存在则返回在下地址，若返回<results resultcode＝404>代表不存在，则需上传文件，协议为HTTP‑POST，格式如下：“POST/ncfp/blockupload？id＝04978c96da16b7b10537b96c3a6e19fa&filesize＝129130&range＝0‑65536&tid＝1253454353&type＝IMG&sp＝1”及POST协议基本参数；S2.5.2：文件拼接，根据传输信息中获得的range值将所有id值相同的文件数据按顺序拼接组成完整文件；S2.6：文件接收协议包处理；S2.6.1、图片、视频缩略图包处理；以HTTP‑GET方式提交下载请求，请求地址ncfp/blockdownload，服务器返回文件类型“Content‑Type”和文件长度“Content‑Length”和文件偏移量“x‑feinno‑range”；接着就是完整的缩略图文件数据；S2...

【技术特征摘要】
1.一种针对飞信网络数据进行监控的方法,其特征在于包括以下步骤：S1：网络数据包采集；通过winPcap提供的相应接口抓取用户使用网络过程中产生的数据包，再通过相应端口和标识或地址初步过滤，拿到飞信数据包；S2：数据包处理；以下数据处理过程中创建startoffset记录数据偏移量，length记录属性长度，具体步骤如下：S2.1：用户信息包处理；S2.1.1：数据包标识判断，在偏移量0x03，长度为4处判断标识是否为“6E4D7E44”，是则执行步骤S2.1.2，否则不再解析结束所有流程；S2.1.2：数据包第一位代表飞信数据包的标识信息长度5E，5E后0x02～0x19位为飞信数据包的标识信息；扫描数据填充长度为5E，5E后0x02～0x19位为飞信数据包的标识信息；S2.1.3：在扫描过程中，找到信息标识位位置，设N大于等于1，执行公式startoffset＝1飞信数据包的标识信息长度+94飞信数据包的标识信息+24*N个字节+1，通过用户信息包标识位“0208”确定数据包是否正确，若找不到该标识位说明该数据包不是用户信息数据包，不再解析结束所有流程，若找到则执行S2.1.4；S2.1.4：用户信息解析，在偏移startoffset＝startoffset+0x17位置处是用户第一个属性值标识开始，以该位置开始获取用户手机号码、用户邮箱、用户昵称、用户生日的标识位、属性长度、属性值；S2.2：好友信息包处理；S2.2.1：飞信包标识判断，判断方法与S2.1.1相同；S2.2.2：获取数据包长度，数据包前两位偏移量startoffset＝0x00为数据包长度；S2.2.3：好友信息包标识判断；偏移量startoffset＝0x1a，通过判断startoffset＝startoffset+6处的值减2是否为8的倍数来确定是否为好友信息包，若不是则不再解析结束所有流程；S2.2.4：好友信息解析，在偏移startoffset位置处获取用户第一个属性值标识，以该位置开始按顺序获取好友邮箱、好友账号、好友手机号、好友昵称的标识位、属性长度和属性值；S2.3：文本发送协议包处理；S2.3.1：飞信包标识判断，方法与S2.1.1相同；S2.3.2：获取数据包长度，方法与S2.2.2相同；S2.3.3：文本发送协议解析，在偏移startoffset＝0x1a位置处获取用户第一个属性值标识；以该位置开始按顺序获取文本信息类型、文本信息内容、文本信息状态、信息MD5值、文本接收者邮箱、文本发送者昵称、发送者邮箱和bubbleId的标识、属性长度和属性内容；S2.4：文本接收协议包处理；S2.4.1：飞信包标识判断，方法与S2.1.1相同；S2.4.2：获取数据包长度，方法与S2.2.2相同；S2.4.3：文本接收协议包标识判断，偏移量为startoffset＝0x1a，判断startoffset＝startoffset+6处的值减2是否为8的倍数来确定是否为文本接收协议包，若是执行S2.4.4,若不是则结束；S2.4.4：文本接收协议解析，在偏移startoffset位置处获取用户第一个属性值标识；分别获取信息MD5值、发送者邮箱获取、信息内容获取、信息类型获取、信息确认MD5值获取、信息状态获取、发送者昵称获取、接收时间获取、bubbleId的标识、属性长度和内容；S2.5：文件发送协议包处理，文件发送会分为多个包传输，包括文件检测包和文件上传数据包；S2.5.1：文件检测包，在文件发送过程中会先发送一个HTTPGET包检测文件在服务器中是否存在，目标地址\\CheckFileExist，将收到检测结果，若返回<resultsresultcode＝\200\>代表存在，存在则返回在下地址，若返回<resultsresultcode＝\404\>代表不存在，则需上传文件，协议为HTTP-POST，格式如下：“POST/ncfp/blockupload？id＝04978c96da16b7b10537b96c3a6e19fa&filesize＝129130&range＝0-65536&tid＝1253454353&type＝IMG&sp＝1”及POST协议基本参数；S2.5.2：文件拼接，根据传输信息中获得的range值将所有id值相同的文件数据按顺序拼接组成完整文件；S2.6：文件接收协议包处理；S2.6.1、图片、视频缩略图包处理；以HTTP-GET方式提交下载请求，请...

【专利技术属性】
技术研发人员：黄旭，雷珂，
申请(专利权)人：四川秘无痕信息安全技术有限责任公司，
类型：发明
国别省市：四川;51