CN102801740A - 木马病毒的阻止方法及装置 - Google Patents
木马病毒的阻止方法及装置 Download PDFInfo
- Publication number
- CN102801740A CN102801740A CN2012103153599A CN201210315359A CN102801740A CN 102801740 A CN102801740 A CN 102801740A CN 2012103153599 A CN2012103153599 A CN 2012103153599A CN 201210315359 A CN201210315359 A CN 201210315359A CN 102801740 A CN102801740 A CN 102801740A
- Authority
- CN
- China
- Prior art keywords
- resource
- acl
- visitor
- title
- compartment wall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种木马病毒的阻止方法及装置,该木马病毒的阻止方法包括:防火墙获取访问控制列表,其中,访问控制列表中包括资源的名称;防火墙判断访问者的资源请求对应的资源的名称是否在访问控制列表中;以及当访问者的资源请求对应的资源的名称在访问控制列表中时,防火墙终止访问者与资源对应的服务器之间的连接。通过本发明,由于采用了访问控制列表,而访问控制列表的提供者具有辨别木马病毒的能力,通过判断资源请求对应的资源是否在访问控制列表中,可以确定是否终止访问者和服务器之间的连接,进而达到了准确阻值未知的木马病毒的效果。
Description
技术领域
本发明涉及互联网领域,具体而言,涉及一种木马病毒的阻止方法及装置。
背景技术
随着以高交互性为主要特点的Web 2.0技术的推广,很多Web站点允许访问者上传文件,随之而来的是Web服务器挂马(服务器被上传包含木马、病毒等恶意代码的文件)越来越威胁Web服务器和客户端浏览器的安全。从Web服务器木马的种类区分有两种形式,一种是服务器木马,一种是客户端木马。服务器木马通常是一个可以在Web服务器上被动态执行的恶意脚本或恶意可执行程序。客户端木马通常是恶意的浏览器程序,它可以是一段Javascript脚本、恶意Java Applet小程序或恶意浏览器插件。Web服务器挂马,通常是借助某些其他的漏洞实现,例如SQL注入漏洞、跨站漏洞、上传漏洞等。
现有技术的木马病毒的阻值方法是在服务器上安装反病毒软件,通过对服务器上文件的监控和扫描,发现恶意代码。当攻击者上传恶意文件的时候,由杀毒软件发现并响应。
这些杀毒软件是基于已知病毒样本的,对未知恶意代码缺乏有效的抵抗手段。现在攻击者在制作恶意程序的时候,通常会使用主流的杀毒软件进行测试,通过各种混淆手段做到杀毒软件的免杀。这样,杀毒软件在应对文件病毒的时候作用有限。同时,如果攻击者上传的恶意代码没有保存成文件,而是利用数据库保存(或者干脆存储在内存中),基于文件的杀毒软件将无法检测。而且杀毒软件严重消耗服务器计算资源和性能,这一点在对IO读写非常频繁的Web服务器更加明显。
针对现有技术中无法准确阻止未知的木马病毒的问题,目前尚未提出有效的解决方案。
发明内容
本发明提供了一种木马病毒的阻止方法及装置,以至少解决现有技术中无法准确阻止未知的木马病毒的问题。
为了实现上述目的,根据本发明的一个方面,提供了一种木马病毒的阻止方法。
根据本发明的木马病毒的阻止方法包括:防火墙获取访问控制列表,其中,访问控制列表中包括资源的名称;防火墙判断访问者的资源请求对应的资源的名称是否在访问控制列表中;以及当访问者的资源请求对应的资源的名称在访问控制列表中时,防火墙终止访问者与资源对应的服务器之间的连接。
进一步地,防火墙获取访问控制列表包括:防火墙获取第一访问控制列表,其中,第一访问控制列表中包括第一资源的名称,第一资源由管理员设置,防火墙判断访问者的资源请求对应的资源的名称是否在访问控制列表中包括:防火墙判断访问者请求访问的资源的名称是否在第一访问控制列表中。
进一步地,防火墙获取访问控制列表包括:防火墙获取第二访问控制列表,其中,第二访问控制列表中包括第二资源的名称,防火墙判断访问者的资源请求对应的资源的名称是否在访问控制列表中包括:防火墙判断访问者请求上传的资源的名称是否在第二访问控制列表中,当资源请求对应的资源的名称在访问控制列表中时,防火墙终止访问者与资源对应的服务器之间的连接包括:当访问者请求上传的资源的名称在第二访问控制列表中时,防火墙终止访问者与资源对应的服务器之间的连接。
进一步地,防火墙获取第二访问控制列表包括:防火墙判断访问者的资源请求对应的资源的名称是否在访问控制列表中包括:防火墙获取可执行文件资源的扩展名;防火墙确定包括扩展名的资源为第二资源;以及将第二资源所构成的访问控制列表作为第二访问控制列表并获取第二访问控制列表。
进一步地,在防火墙判断访问者请求上传的资源的名称是否在第二访问控制列表中之后,上述方法还包括:在访问者请求上传的资源的名称不在第二访问控制列表中的情况下,防火墙对服务器发送至访问者的资源进行语法分析以获取资源中的扩展名;判断扩展名对应的资源是否为第二资源;以及当资源为第二资源时,防火墙终止访问者与资源对应的服务器之间的连接。
为了实现上述目的,根据本发明的另一个方面,提供了一种木马病毒的阻止装置,该装置用于执行本发明提供的任意一种木马病毒的阻止方法。
根据本发明的另一方面,提供了一种木马病毒的阻止装置。该木马病毒的阻止装置包括:第一获取单元,用于获取访问控制列表,其中,访问控制列表中包括资源的名称;第一判断单元,用于判断访问者的资源请求对应的资源的名称是否在访问控制列表中;以及第一终止单元,用于当访问者的资源请求对应的资源的名称在访问控制列表中时,终止访问者与资源对应的服务器之间的连接。
进一步地,第一获取单元还用于获取第一访问控制列表,其中,第一访问控制列表中包括第一资源的名称,第一资源由管理员设置,第一判断单元还用于判断访问者请求访问的资源的名称是否在第一访问控制列表中。
进一步地,第一获取单元还用于获取第二访问控制列表,其中,第二访问控制列表中包括第二资源的名称,第一判断单元还用于判断访问者请求上传的资源的名称是否在第二访问控制列表中,第一终止单元还用于当访问者请求上传的资源的名称在第二访问控制列表中时,终止访问者与资源对应的服务器之间的连接。
进一步地,第一获取单元包括:第一获取子单元,用于获取可执行文件资源的扩展名;确定子单元,用于确定包括扩展名的资源为第二资源;以及第二获取子单元,用于将第二资源所构成的访问控制列表作为第二访问控制列表并获取第二访问控制列表。
进一步地,上述装置还包括:第二获取单元,用于在访问者请求上传的资源的名称不在第二访问控制列表中的情况下,对服务器发送至访问者的资源进行语法分析以获取资源中的扩展名;第二判断单元,用于判断扩展名对应的资源是否为第二资源;以及第二终止单元,用于当资源为第二资源时,防火墙终止访问者与资源对应的服务器之间的连接。
通过本发明,由于采用了访问控制列表,而访问控制列表的提供者具有辨别木马病毒的能力,通过判断资源请求对应的资源是否在访问控制列表中,可以确定是否终止访问者和服务器之间的连接,因此解决了现有技术中无法准确阻值未知的木马病毒的问题,进而达到了准确阻值未知的木马病毒的效果。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的木马病毒的阻止装置的结构框图;
图2是根据本发明实施例的木马病毒的阻止方法的流程图;
图3是根据本发明第一优选实施例的木马病毒的阻止方法的流程图;以及
图4是根据本发明第二优选实施例的木马病毒的阻止方法的流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
本发明实施例提供了一种木马病毒的阻止装置,以下对本发明实施例所提供的木马病毒的阻止装置进行介绍。
图1是根据本发明实施例的木马病毒的阻止装置的结构框图。
如图1所示,该木马病毒的阻止装置包括第一获取单元11、第一判断单元12和第一终止单元13。
第一获取单元11用于获取访问控制列表,其中,访问控制列表中包括资源的名称。
访问控制列表用于指示防火墙在接收到哪些资源时允许通过,或者资源以什么方式被访问,在接收到哪些资源时需要断开服务器和客户端之间的连接。通过访问控制列表,可以准确对资源进行过滤。
第一判断单元12用于判断访问者的资源请求对应的资源的名称是否在访问控制列表中。
第一判断单元12的判断结果为第一终止单元13的工作提供了依据。
第一终止单元13用于当访问者的资源请求对应的资源的名称在访问控制列表中时,终止访问者与资源对应的服务器之间的连接。
在本实施例中,由于采用了访问控制列表,而访问控制列表的提供者具有辨别木马病毒的能力,通过判断资源请求对应的资源是否在访问控制列表中,可以确定是否终止访问者和服务器之间的连接,进而达到了准确阻值未知的木马病毒的效果。
作为一种优选的实施方式,控制访问列表可以用作限制访问者访问机密文件,优选地,第一获取单元11还用于获取第一访问控制列表,其中,第一访问控制列表中包括第一资源的名称,第一资源由管理员设置,第一资源是不允许外部访问者直接访问的资源,本实施例中的第一访问控制列表可以被称为DENY ACL。第一判断单元12还用于判断访问者请求访问的资源的名称是否在第一访问控制列表中,即,判断访问者请求访问的资源的名称是否在DENY ACL中。
作为另一种优选的实施方式,控制访问列表可以用作限制访问者上传资源,优选地,第一获取单元11还用于获取第二访问控制列表,其中,第二访问控制列表中包括第二资源的名称,本实施例中的第二资源可以是可执行文件资源,第二访问控制列表可以被称为STATIC ACL,第一判断单元12还用于判断访问者请求上传的资源的名称是否在第二访问控制列表中,即,判断访问者请求上传的资源的名称是否在STATICACL中。第一终止单元13还用于当访问者请求上传的资源的名称在第二访问控制列表中时,终止访问者与资源对应的服务器之间的连接。
具体的,可以通过资源的扩展名来判断该资源是否是可执行文件资源,优选地,第一获取单元11包括第一获取子单元、确定子单元和第二获取子单元,其中,第一获取子单元用于获取可执行文件资源的扩展名。确定子单元用于确定包括扩展名的资源为第二资源。第二获取子单元用于将第二资源所构成的访问控制列表作为第二访问控制列表并获取第二访问控制列表。如果是POST请求,即使文件的扩展名是.html,确定子单元也会确定该文件对应的资源为第二资源,另外在URI中包含问号“?”时,确定子单元也会确定从该地址引用的资源为第二资源。例如:GET/a.html?id=1。虽然文件名是以html结尾,但是仍然认为是第二资源,即可执行文件资源。
在另外一些情况下,防火墙还需要限制服务器向客户端发送的资源以减小木马病毒对浏览器的威胁,优选地,上述装置还包括第二获取单元、第二判断单元和第二终止单元,其中,第二获取单元,用于在访问者请求上传的资源的名称不在第二访问控制列表中的情况下,对服务器发送至访问者的资源进行语法分析以获取资源中的扩展名。第二判断单元,用于判断扩展名对应的资源是否为第二资源。第二终止单元,用于当资源为第二资源时,终止访问者与资源对应的服务器之间的连接。
本发明实施例还提供了一种木马病毒的阻止方法,该方法可以基于上述的木马病毒的阻止装置来执行。
图2是根据本发明实施例的木马病毒的阻止方法的流程图。
如图2所示,该木马病毒的阻止方法包括如下的步骤S202至步骤S206。
步骤S202,防火墙获取访问控制列表,其中,访问控制列表中包括资源的名称。
步骤S204,防火墙判断访问者的资源请求对应的资源的名称是否在访问控制列表中。
步骤S206,当访问者的资源请求对应的资源的名称在访问控制列表中时,防火墙终止访问者与资源对应的服务器之间的连接。
本实施例提供的木马病毒的阻止方法可以在多种环境中应用,例如用来限制访问者访问服务器中机密文件等内容。服务器的Web路径下,有一些资源是不允许外部访问者直接通过URL访问的。例如某些服务器内部调用的脚本、认证信息文件或者数据库文件等等。本实施例通取Web目录或文件的DENYACL,从而可以限制访问者的访问,例如内部调用的脚本,通常是一些拥有特权的脚本,由于这些脚本被设计成内部调用,因而里边通常缺少必要的过滤或者可能被不安全配置,过滤一般需要由脚本的调用者完成,也就是直接在处理访问者输入的那部分逻辑中进行,所以一旦这些脚本被恶意调用,必将造成严重的后果。
图3是根据本发明第一优选实施例的木马病毒的阻止方法的流程图。如图3所示,该方法包括如下的步骤S302至步骤S306。
步骤S302,防火墙获取第一访问控制列表,其中,第一访问控制列表中包括第一资源的名称,第一资源由管理员设置。
在本实施例中,第一访问控制列表可以被称为DENY ACL。
步骤S304,防火墙判断访问者请求访问的资源的名称是否在第一访问控制列表中。
当在客户端请求的URI中发现所请求的文件属于DENY ACL,则说明访问者正在试图访问某些机密文件。
步骤S306,当访问者的资源请求对应的资源的名称在访问控制列表(即第一访问控制列表)中时,防火墙终止访问者与资源对应的服务器之间的连接。
防火墙会对一类请求进行响应并报警,从而保证服务器不会收到违反DENYACL的HTTP请求。该响应可以是终止访问者与资源对应的服务器之间的连接。访问者试图通过调用配置了DENY ACL的特权脚本进行直接访问来挂马,就会被防火墙及时终止其与服务器的连接,从而减轻了挂马的可能,访问者对配置了DENY ACL的机密文件的直接访问,也会被防火墙拦截,从而减少了数据泄漏的风险。
本实施例提供的木马病毒的阻止方法还可以在限制访问者上传资源时应用,服务器允许访问者上传文件,通常专门划定一个专门的目录进行存储,服务器通常只允许上传静态内容(例如文档、图片等),而不允许上传动态内容,即包括可执行文件资源的内容。
图4是根据本发明第二优选实施例的木马病毒的阻止方法的流程图。如图4所示,该方法包括如下的步骤S402至步骤S406。
步骤S402,防火墙获取第二访问控制列表,其中,第二访问控制列表中包括第二资源的名称。
此时,可以对只允许存储静态文件的Web路径例如配置如下STATIC ACL:
/img STATIC-ACL
当访问者的请求到来时,例如:
/img/a.asp
/img/subdir/a.asp
/img/a.html?id=1
/img/a.dll?id=1
在本实施例中,URI中请求的路径均匹配了配置了STATIC ACL属性的路径/img,则开始进行进一步的具体检查。在这里需要注意的是,对于/img/subdir/a.asp,请求的是位于/img下的一个子目录subdir,也被视为命中/img。
防火墙获取第二访问控制列表可以分成三个步骤。
首先,防火墙获取可执行文件资源的扩展名。
防火墙在内部穷举了所有的可执行文件的扩展名,例如exe、dll、asp、jsp、py、pl、php、js、vbs等等几十种可执行扩展名,并制成可执行文件扩展名集合。
然后,防火墙确定包括扩展名的资源为第二资源。
通过本步骤,防火墙将所有带有以上拓展名的资源认作第二资源,即可执行文件资源。
最后,将第二资源所构成的访问控制列表作为第二访问控制列表并获取第二访问控制列表。
步骤S404,防火墙判断访问者请求上传的资源的名称是否在第二访问控制列表中。
如果请求的文件的扩展名命中的内置的可执行文件扩展名集合,即被认为请求的是一个可执行文件资源,即第二资源,这与/img配置的STATIC ACL不符。
对于没有命中可执行文件扩展名的请求,如果发现URI的文件名后带着问号,例如/img/a.html?id=1,即使a.html使用一个静态扩展名,也会被认为是一个可执行文件资源的上传请求。
步骤S406,当访问者请求上传的资源的名称在第二访问控制列表中时,防火墙终止访问者与资源对应的服务器之间的连接。
在这种情况下,防火墙会按照配置进行响应并记录日志,以保证服务器不会收到第二资源的上传请求,这里的响应可以是终止访问者与资源对应的服务器之间的连接。
在本实施例中还考虑如下的一种情况,假如下列代码出现在Web服务器上的某个页面/test.html代码中:
<link href=”/img/a.txt”type=”text/javascript”>
浏览器在收到这样的HTML标签后,会启动一次GET/img/a.txt的HTTP请求,但是当服务器将/img/a.txt返回给浏览器之后,浏览器并不会按照txt文件进行文本显示,而是会按照type=”text/javasript”的指示,当作Javascript脚本来执行。
此时,如果单看GET/img/a.txt这次请求,并不能知道它是不是会在浏览器上运行,这给攻击者进行客户端挂马提供了一种新的思路:
在可上传的目录中,上传一个修改了扩展名的Javascript脚本文件。
只要有办法修改Web服务器上的某一个页面代码(例如上例中的/test.html),嵌入形如上文的示例代码,即可以完成挂马。访问者一旦点击了挂马页面(例如/test.html),恶意代码就会被浏览器自动下载并在浏览器上执行。
因此,本实施例还可以通过对服务器返回页面进行智能分析,来限制服务器将第二资源发送给客户端。即,在步骤S406之后,还可以包括以下三个步骤:
首先,在访问者请求上传的资源的名称不在第二访问控制列表中的情况下,防火墙对服务器发送至访问者的资源进行语法分析以获取资源中的扩展名。
然后,判断扩展名对应的资源是否为第二资源。
最后,当资源为第二资源时,防火墙终止访问者与资源对应的服务器之间的连接。
访问者访问/test.html的时候,防火墙获取服务器的应答页面,通过HTML语法分析器和CSS语法分析器,把返回页面中的HTML和CSS内容进行语法分析,并把分析后的内容还原成HTML/CSS语法树。
经过语法分析之后,防火墙获取了所有需要使用可执行文件作为标签属性的HTML标签,例如<link>、<form>、<script>、<applet>、<object>等等,并对语法分析得到文件路径进行检查,检查过程与步骤S402相同。一旦发现违反了STATIC ACL则立刻按照配置进行行为响应和报警,例如,终止访问者与资源对应的服务器之间的连接,不会把当前浏览的页面内容(例如上例中/test.html的返回内容)发送到客户端,同时,还可以把被挂马的URL加入防火墙的URL黑名单列表,后续的用户对该URL的访问都将被禁止。
例如,上例中,经过语法分析,发现了<link href=”/img/a.txt”type=”text/javascript”>。此时可以看到,type指示href是一个可以执行的路径。即提取到的/img/a.txt在STATICACL中,这就说明/img/a.txt会按照代码的方式在客户端解释执行,因此防火墙会终止访问者与资源对应的服务器之间的连接。此时,即使访问者成功上传了包含恶意代码的文件,例如/img/a.txt,并篡改了/test.html页面,/img目录的STATIC ACL,也能够保证/img/a.txt不可能在客户端浏览器上被执行。
在另外一些情况中,防火墙也可以仅仅报警,而不阻断连接。防火墙的每一次行为都会被记录,供管理员进行数据分析。
从以上的描述中,可以看出,本发明实现了如下技术效果:
(1)DENY ACL能够降低服务器被挂马的可能,并减小信息泄漏的威胁。
(2)STATIC ACL在保证业务畅通的前提下,能够降低恶意文件上传带来的挂马威胁,保证不管是服务器木马还是客户端木马,即使被上传到服务器也不可能得到执行。
(3)本实施例可以提供能详细的行为说明,本实施例中的行为可以分两种:仅仅报警,不阻断连接;或者报警并阻断连接,同时把被挂马的URL加入防火墙的URL黑名单列表,后续的用户对该URL的访问都将被禁止。通过对行为的说明,可以有效帮助管理员进行数据分析。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种木马病毒的阻止方法,其特征在于,包括:
防火墙获取访问控制列表,其中,所述访问控制列表中包括资源的名称;
所述防火墙判断访问者的资源请求对应的资源的名称是否在所述访问控制列表中;以及
当所述访问者的资源请求对应的资源的名称在所述访问控制列表中时,所述防火墙终止所述访问者与所述资源对应的服务器之间的连接。
2.根据权利要求1所述的木马病毒的阻止方法,其特征在于,
防火墙获取访问控制列表包括:
所述防火墙获取第一访问控制列表,其中,所述第一访问控制列表中包括第一资源的名称,所述第一资源由管理员设置,
所述防火墙判断访问者的资源请求对应的资源的名称是否在所述访问控制列表中包括:
所述防火墙判断访问者请求访问的资源的名称是否在所述第一访问控制列表中。
3.根据权利要求1所述的木马病毒的阻止方法,其特征在于,
防火墙获取访问控制列表包括:
所述防火墙获取第二访问控制列表,其中,所述第二访问控制列表中包括第二资源的名称,
所述防火墙判断访问者的资源请求对应的资源的名称是否在所述访问控制列表中包括:
所述防火墙判断访问者请求上传的资源的名称是否在所述第二访问控制列表中,
当所述资源请求对应的资源的名称在所述访问控制列表中时,所述防火墙终止所述访问者与所述资源对应的服务器之间的连接包括:
当所述访问者请求上传的资源的名称在所述第二访问控制列表中时,所述防火墙终止所述访问者与所述资源对应的服务器之间的连接。
4.根据权利要求3所述的木马病毒的阻止方法,其特征在于,所述防火墙获取第二访问控制列表包括:
所述防火墙判断访问者的资源请求对应的资源的名称是否在所述访问控制列表中包括:
所述防火墙获取可执行文件资源的扩展名;
所述防火墙确定包括所述扩展名的资源为所述第二资源;以及
将所述第二资源所构成的访问控制列表作为所述第二访问控制列表并获取所述第二访问控制列表。
5.根据权利要求4所述的木马病毒的阻止方法,其特征在于,
在所述防火墙判断访问者请求上传的资源的名称是否在所述第二访问控制列表中之后,所述方法还包括:
在所述访问者请求上传的资源的名称不在所述第二访问控制列表中的情况下,所述防火墙对所述服务器发送至所述访问者的资源进行语法分析以获取所述资源中的扩展名;
判断所述扩展名对应的资源是否为第二资源;以及
当所述资源为第二资源时,所述防火墙终止访问者与所述资源对应的服务器之间的连接。
6.一种木马病毒的阻止装置,应用于防火墙上,其特征在于,包括:
第一获取单元,用于获取访问控制列表,其中,所述访问控制列表中包括资源的名称;
第一判断单元,用于判断访问者的资源请求对应的资源的名称是否在所述访问控制列表中;以及
第一终止单元,用于当所述访问者的资源请求对应的资源的名称在所述访问控制列表中时,终止所述访问者与所述资源对应的服务器之间的连接。
7.根据权利要求6所述的木马病毒的阻止装置,其特征在于,
所述第一获取单元还用于获取第一访问控制列表,其中,所述第一访问控制列表中包括第一资源的名称,所述第一资源由管理员设置,
所述第一判断单元还用于判断访问者请求访问的资源的名称是否在所述第一访问控制列表中。
8.根据权利要求6所述的木马病毒的阻止装置,其特征在于,
所述第一获取单元还用于获取第二访问控制列表,其中,所述第二访问控制列表中包括第二资源的名称,
所述第一判断单元还用于判断访问者请求上传的资源的名称是否在所述第二访问控制列表中,
所述第一终止单元还用于当所述访问者请求上传的资源的名称在所述第二访问控制列表中时,终止所述访问者与所述资源对应的服务器之间的连接。
9.根据权利要求8所述的木马病毒的阻止装置,其特征在于,所述第一获取单元包括:
第一获取子单元,用于获取可执行文件资源的扩展名;
确定子单元,用于确定包括所述扩展名的资源为所述第二资源;以及
第二获取子单元,用于将所述第二资源所构成的访问控制列表作为所述第二访问控制列表并获取所述第二访问控制列表。
10.根据权利要求9所述的木马病毒的阻止装置,其特征在于,所述装置还包括:
第二获取单元,用于在所述访问者请求上传的资源的名称不在所述第二访问控制列表中的情况下,对所述服务器发送至所述访问者的资源进行语法分析以获取所述资源中的扩展名;
第二判断单元,用于判断所述扩展名对应的资源是否为第二资源;以及
第二终止单元,用于当所述资源为第二资源时,所述防火墙终止访问者与所述资源对应的服务器之间的连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103153599A CN102801740A (zh) | 2012-08-30 | 2012-08-30 | 木马病毒的阻止方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103153599A CN102801740A (zh) | 2012-08-30 | 2012-08-30 | 木马病毒的阻止方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102801740A true CN102801740A (zh) | 2012-11-28 |
Family
ID=47200702
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012103153599A Pending CN102801740A (zh) | 2012-08-30 | 2012-08-30 | 木马病毒的阻止方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102801740A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428195A (zh) * | 2012-12-27 | 2013-12-04 | 北京安天电子设备有限公司 | 一种未知病毒检测方法 |
| CN107086978A (zh) * | 2016-02-15 | 2017-08-22 | 中国移动通信集团福建有限公司 | 一种识别木马病毒的方法及装置 |
| CN107566415A (zh) * | 2017-10-25 | 2018-01-09 | 国家电网公司 | 主页推送方法与装置 |
| CN107580075A (zh) * | 2017-10-25 | 2018-01-12 | 国家电网公司 | 主页推送方法与系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001065330A2 (en) * | 2000-03-03 | 2001-09-07 | Sanctum Ltd. | System for determining web application vulnerabilities |
| CN101009704A (zh) * | 2006-01-13 | 2007-08-01 | 飞塔信息科技(北京)有限公司 | 一种处理高级网络内容的计算机系统与方法 |
| CN101569129A (zh) * | 2005-07-29 | 2009-10-28 | Bit9公司 | 网络安全系统和方法 |
| CN101692267A (zh) * | 2009-09-15 | 2010-04-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
| CN102104601A (zh) * | 2011-01-14 | 2011-06-22 | 无锡市同威科技有限公司 | 一种基于渗透技术的web漏洞扫描方法和漏洞扫描器 |
| CN102355667A (zh) * | 2011-06-30 | 2012-02-15 | 北京邮电大学 | 移动智能终端系统中应用程序网络连接控制方法和系统 |
-
2012
- 2012-08-30 CN CN2012103153599A patent/CN102801740A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001065330A2 (en) * | 2000-03-03 | 2001-09-07 | Sanctum Ltd. | System for determining web application vulnerabilities |
| CN101569129A (zh) * | 2005-07-29 | 2009-10-28 | Bit9公司 | 网络安全系统和方法 |
| CN101009704A (zh) * | 2006-01-13 | 2007-08-01 | 飞塔信息科技(北京)有限公司 | 一种处理高级网络内容的计算机系统与方法 |
| CN101692267A (zh) * | 2009-09-15 | 2010-04-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
| CN102104601A (zh) * | 2011-01-14 | 2011-06-22 | 无锡市同威科技有限公司 | 一种基于渗透技术的web漏洞扫描方法和漏洞扫描器 |
| CN102355667A (zh) * | 2011-06-30 | 2012-02-15 | 北京邮电大学 | 移动智能终端系统中应用程序网络连接控制方法和系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428195A (zh) * | 2012-12-27 | 2013-12-04 | 北京安天电子设备有限公司 | 一种未知病毒检测方法 |
| CN103428195B (zh) * | 2012-12-27 | 2016-09-07 | 北京安天电子设备有限公司 | 一种未知病毒检测方法 |
| CN107086978A (zh) * | 2016-02-15 | 2017-08-22 | 中国移动通信集团福建有限公司 | 一种识别木马病毒的方法及装置 |
| CN107086978B (zh) * | 2016-02-15 | 2019-12-10 | 中国移动通信集团福建有限公司 | 一种识别木马病毒的方法及装置 |
| CN107566415A (zh) * | 2017-10-25 | 2018-01-09 | 国家电网公司 | 主页推送方法与装置 |
| CN107580075A (zh) * | 2017-10-25 | 2018-01-12 | 国家电网公司 | 主页推送方法与系统 |
| CN107580075B (zh) * | 2017-10-25 | 2021-07-20 | 国家电网公司 | 主页推送方法与系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103001817B (zh) | 一种实时检测网页跨域请求的方法和装置 | |
| CN104767775B (zh) | 网页应用消息推送方法及系统 | |
| US8949990B1 (en) | Script-based XSS vulnerability detection | |
| CN104348803B (zh) | 链路劫持检测方法、装置、用户设备、分析服务器及系统 | |
| CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
| CN102739653B (zh) | 一种针对网址的检测方法及装置 | |
| CN108989355B (zh) | 一种漏洞检测方法和装置 | |
| CN104486140A (zh) | 一种检测网页被劫持的装置及其检测方法 | |
| CN106548075B (zh) | 漏洞检测方法和装置 | |
| CN106101145A (zh) | 一种网站漏洞检测方法及装置 | |
| KR20090090685A (ko) | 웹 어플리케이션의 취약성 판단 방법 및 시스템 | |
| CN103685294A (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
| CN103699840A (zh) | 网页劫持的检测方法和装置 | |
| KR101902747B1 (ko) | 클라이언트 측 웹 취약점 분석 방법 및 장치 | |
| CN109672658B (zh) | Json劫持漏洞的检测方法、装置、设备及存储介质 | |
| CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
| CN108965296A (zh) | 一种用于智能家居设备的漏洞检测方法及检测装置 | |
| CN105049440A (zh) | 检测跨站脚本攻击注入的方法及系统 | |
| CN102970282A (zh) | 网站安全检测系统 | |
| US10701087B2 (en) | Analysis apparatus, analysis method, and analysis program | |
| CN102664872A (zh) | 用于检测和防止对计算机网络中服务器攻击的系统和方法 | |
| CN107103243B (zh) | 漏洞的检测方法及装置 | |
| CN102801740A (zh) | 木马病毒的阻止方法及装置 | |
| CN103390129B (zh) | 检测统一资源定位符安全性的方法和装置 | |
| CN104375935A (zh) | Sql注入攻击的测试方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 215163 Jiangsu city of Suzhou province high tech Industrial Development Zone, kolding Road No. 78 Su Gaoxin Software Park Building 7 layer 3 Applicant after: HILLSTONE NETWORKS Address before: 215163 Jiangsu city of Suzhou province high tech Zone (Suzhou city) kolding Road No. 78 Gaoxin Software Park Building 7 floor 3 Applicant before: Suzhou Shanshi Network Co., Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: SUZHOU SHANSHI NETWORK CO., LTD. TO: HILLSTONE NETWORKS COMMUNICATION TECHNOLOGY CO., LTD. |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20121128 |