CN104348799B - 一种网络访问请求的过滤方法及装置 - Google Patents
一种网络访问请求的过滤方法及装置 Download PDFInfo
- Publication number
- CN104348799B CN104348799B CN201310329192.6A CN201310329192A CN104348799B CN 104348799 B CN104348799 B CN 104348799B CN 201310329192 A CN201310329192 A CN 201310329192A CN 104348799 B CN104348799 B CN 104348799B
- Authority
- CN
- China
- Prior art keywords
- access request
- network access
- head information
- network
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明适用于计算机安全领域,提供了一种网络访问请求的过滤方法及装置,该方法包括:获取为所述网络访问请求生成的文件描述符;监测针对所述文件描述符生成的所述网络访问请求;获取监测到的所述网络访问请求的头信息;当所述网络访问请求的头信息符合预设的过滤条件时,过滤掉所述网络访问请求。在本发明不需要为每个应用程序设置代理,也可以快速、高效的实现网络访问请求的过滤。
Description
技术领域
本发明属于计算机安全领域领域,尤其涉及一种网络访问请求的过滤方法及装置。
背景技术
随着网络通信技术的发展和普及,可在计算机等电子设备中运行的应用程序越来越多,也越来越杂。这些应用程序通过向网络服务器发送网络访问请求,以与网络服务器进行通信。为了避免这些应用程序因为访问非法的网络服务器,而给计算机等电子设备的安全带来的影响,有必要对应用程序发送的网络访问请求进行过滤处理,以提高计算机等电子设备的安全性。
现有技术提供了一种通过建立代理的方式来对网络访问请求进行过滤的方法,如当需要过滤的网络访问请求为超文本传输协议(Hypertext Transfer Protocol,HTTP)请求时,可以建立HTTP代理,通过HTTP代理来过滤HTTP请求。但这种方式由于需要为终端设备中的每个应用程序均设置HTTP代理,才能对终端设备中的各应用程序的HTTP请求进行过滤处理,从而造成过滤操作复杂,且造成资源浪费。
发明内容
本发明实施例提供一种网络访问请求的过滤方法及装置,旨在解决现有技术存在需要为每个应用程序设置一代理才能对网络访问请求进行过滤的问题。
一方面,提供一种网络访问请求的过滤方法,所述方法包括:
获取为所述网络访问请求生成的文件描述符;
监测针对所述文件描述符生成的所述网络访问请求;
获取监测到的所述网络访问请求的头信息;
当所述网络访问请求的头信息符合预设的过滤条件时,过滤掉所述网络访问请求。
另一方面,提供一种网络访问请求的过滤装置,所述装置包括:
描述符获取单元,用于获取为所述网络访问请求生成的文件描述符;
请求监测单元,用于监测针对所述描述符获取单元获取的文件描述符生成的所述网络访问请求;
头信息获取单元,用于获取监测到的所述网络访问请求的头信息;
请求过滤单元,用于当所述网络访问请求的头信息符合预设的过滤条件时,过滤掉所述网络访问请求。
在本发明实施例中,通过获取为网络访问请求生成的文件描述符,从而可监测到针对该文件描述符生成的网络访问请求,获取监测到的该网络访问请求的头信息,通过将该头信息与预设的过滤条件进行比较,即可根据比较结果确定是否需要过滤掉该网络访问请求,从而不需要为每个应用程序设置代理,也可以快速、高效的实现网络访问请求的过滤。
附图说明
图1是本发明实施例提供的网络访问请求的过滤方法的实现流程图;
图2是本发明实施例提供的网络访问请求的过滤装置的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在本发明实施例中,通过获取为网络访问请求生成的文件描述符,从而可监测到针对该文件描述符生成的网络访问请求,获取监测到的该网络访问请求的头信息,通过将该头信息与预设的过滤条件进行比较,从而实现对网络访问请求进行过滤的目的。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
图1示出了本发明实施例提供的网络访问请求的过滤方法的实现流程,详述如下:
S101,获取为网络访问请求生成的文件描述符。
在本实施例中,终端设备中的应用程序在需要访问网络服务器时,可向网络服务器发送网络访问请求。应用程序向网络服务器发送网络访问请求的过程一般是先与网络服务器建立连接,再向网络服务器发送网络访问请求。在与网络服务器建立连接时,一般需要为该网络访问请求创建一文件描述符,用于标识该网络访问请求所对应的文件。在为网络访问请求创建了文件描述符后,即可针对该文件描述符生成网络访问请求,并将生成的网络访问请求发送至网络服务器。
文件描述符是一个简单的整数,用以标明每一个被进程所打开的文件和socket。操作系统内核一般利用文件描述符(file descriptor,fd)来访问文件,在打开现存文件或新建文件时,操作系统内核会返回一个文件描述符。读写文件也需要使用文件描述符来指定待读写的文件。
其中终端设备包括但不限于移动终端、计算机等,尤其是采用Linux操作系统或者Unix操作系统的终端设备。
其中网络访问请求包括但不限于HTTP请求、文件传输协议(File TransferProtocol,FTP)请求。
其中获取为网络访问请求生成的文件描述符的具体过程如下:
A1、监测终端设备中的网络端口,捕获该网络端口的网络访问请求。
在本实施例中,由于终端设备中的应用程序都是通过终端设备中的各种网络端口来发送网络访问请求的,因此,为了实现对网络访问请求的过滤,需要对终端设备中的网络端口进行监测,以及时获知终端设备中的应用程序向网络服务器发送网络访问请求。
在监测终端设备中的网络端口时,可以根据网络访问请求的过滤需求选择部分网络端口进行监测,或者选择所有网络端口进行监测。如当需要对HTTP请求进行过滤时,由于HTTP请求一般是通过终端设备的80端口发送的,因此,则可以对终端设备的80端口进行监测。如果需要对终端设备中的所有网络访问请求都进行过滤,则可以对终端设备的所有网络端口进行监测。
A2、获取为捕获到的网络访问请求生成的文件描述符。
具体的,对于采用不同操作系统的终端设备,获取为捕获到的所述网络访问请求生成的文件描述符的具体过程可能有所不同。如对于采用Linux操作系统或者Unix操作系统的终端设备来说,获取为捕获到的网络访问请求生成的文件描述符的具体过程如下:
调用操作系统中的网络连接(connect)函数,通过该connect函数为捕获到的网络访问请求创建文件描述符,获取该connect函数返回的文件描述符。
由于Linux操作系统或者Unix操作系统中原有的connect函数不具备返回文件描述符的功能,而为了实现网络访问请求的过滤,在本实施例中,预先编程实现一个包含Linux操作系统或者Unix操作系统中原有的connect函数的所有功能,并同时可返回为网络访问请求创建的文件描述符的connect函数,并通过在Linux操作系统或者Unix操作系统中插入一个内核模块,通过该插入的内核模块来修改connect的系统调用表,使得connect的地址指向本发明实施例中编程实现的可返回为网络访问请求创建的文件描述符的connect函数。
A3、将获取到的所述文件描述符添加至监控文件描述符列表中。
在本实施例中,通过将获取到的文件描述符添加至监控文件描述符列表中进行保存,从而可监测到针对监控文件描述符列表中的所有文件描述符生成的网络访问请求。
在将获取到的所述文件描述符添加至监控文件描述符列表中时,监测针对文件描述符生成的所述网络访问请求的步骤具体为:
监测针对监控文件描述符列表中的文件描述符生成的所述网络访问请求。
在本发明另一实施中,该方法还包括:
在获取到网络访问请求的头信息后,删除该监控文件描述符列表中的文件描述符。
S102,监测针对所述文件描述符生成的所述网络访问请求。
在本实施例中,当为网络访问请求建立了终端设备与网络服务器之间的连接后,即可针对为该网络访问请求创建的文件描述生成网络访问请求。通过对生成网络访问请求的过程进行监测,可以获取到该网络访问请求中包含的内容,如该网络访问请求的头信息等。
具体的,对于采用Linux操作系统或者Unix操作系统的终端设备来说,应用程序可以通过调用操作系统中的写(write)函数来生成针对文件描述符的网络访问请求。本发明实施例在监测到应用程序调用操作系统中的写(write)函数的操作时,即认为监测到针对文件描述符生成的网络访问请求。
S103,获取监测到的所述网络访问请求的头信息。
其中网络访问请求的头信息包括但不限于主机(host)标识、网络端口(port)号和路径(path)。其中主机标识是指该网络访问请求需要访问的网络服务器的标识。
在本实施例中,当监测到正在针对文件描述符生成网络访问请求时,获取该网络访问请求的头信息。如当应用程序调用写(write)函数写入网络访问请求的请求头时,读取该write函数的请求头,即可获取到该网络访问请求的头信息。
在获取网络访问请求的头信息时,可以先分析出该网络访问请求的请求头的格式,再根据不同网络访问请求的请求头的格式进行获取,如对于HTTP请求,其请求头的格式一般如下:
http://host[:port#]/path/.../[?query-string][#anchor],从该格式的请求头中可方便、快速的获取到HTTP请求的头信息。
在本发明另一实施例中,当网络访问请求为HTTP请求时,获取监测到的所述网络访问请求的头信息具体为:
获取监测到的针对文件描述符第一次生成的HTTP请求的头信息。其中第一次生成的HTTP请求是指在针对文件描述符第一次写HTTP请求时的头信息。
在本实施例中,由于只获取监测到的针对文件描述符第一次生成的HTTP请求的头信息,从而拷贝数据的量较小,节省了过滤网络访问请求所耗费的系统资源。
S104,当所述网络访问请求的头信息符合预设的过滤条件时,过滤掉所述网络访问请求。
其中预设的过滤条件包括但不限于主机(host)白名单、主机黑名单、端口白名单、端口黑名单、路径白名单、路径黑名单中的一种或者多种组合。其中白名单是指不需要进行过滤的,黑名单是指需要进行过滤的。举例说明如下:主机白名单是指若网络访问请求的头信息中的主机标识在该主机白名单内,则不需要对该网络访问请求进行过滤,主机黑名单是指若网络访问请求的头信息中的主机标识在该主机白名单内,则需要过滤掉该网络访问请求。端口白名单、端口黑名单以及路径白名单、路径黑名单可以依此类推。
其中当所述网络访问请求的头信息符合预设的过滤条件时,过滤掉所述网络访问请求的步骤具体如下:
B1、判断网络访问请求的头信息是否符合预设的过滤条件,如果是,执行B2,否则执行B3。
其中判断网络访问请求的头信息是否符合预设的过滤条件的具体过程如下:
判断网络访问请求的头信息中的主机标识是否在主机黑名单中,如果是,则判定该网络访问请求的头信息符合预设的过滤条件,否则判定该网络访问请求的头信息不符合预设的过滤条件。
在本发明另一实施例中,判断网络访问请求的头信息是否符合预设的过滤条件的具体过程如下:
判断网络访问请求的头信息中的主机标识是否在主机白名单中,如果是,则判定该网络访问请求的头信息不符合预设的过滤条件,否则判定该网络访问请求的头信息符合预设的过滤条件。
在本发明另一实施例中,判断网络访问请求的头信息是否符合预设的过滤条件的具体过程如下:
判断网络访问请求的头信息中的网络端口号是否在端口白名单中,如果是,则判定该网络访问请求的头信息不符合预设的过滤条件,否则判定该网络访问请求的头信息符合预设的过滤条件。
在本发明另一实施例中,判断网络访问请求的头信息是否符合预设的过滤条件的具体过程如下:
判断网络访问请求的头信息中的网络端口号是否在端口黑名单中,如果是,则判定该网络访问请求的头信息符合预设的过滤条件,否则判定该网络访问请求的头信息不符合预设的过滤条件。
在本发明另一实施例中,判断网络访问请求的头信息是否符合预设的过滤条件的具体过程如下:
判断网络访问请求的头信息中的路径是否在路径白名单中,如果是,则判定该网络访问请求的头信息不符合预设的过滤条件,否则判定该网络访问请求的头信息符合预设的过滤条件。
在本发明另一实施例中,判断网络访问请求的头信息是否符合预设的过滤条件的具体过程如下:
判断网络访问请求的头信息中的路径是否在路径黑名单中,如果是,则判定该网络访问请求的头信息符合预设的过滤条件,否则判定该网络访问请求的头信息不符合预设的过滤条件。
在本发明另一实施例中,判断网络访问请求的头信息是否符合预设的过滤条件的具体过程如下:
判断网络访问请求的头信息中的主机标识是否在主机白名单中,如果否,则判定网络访问请求的头信息符合预设的过滤条件,否则,进一步判断判断网络访问请求的头信息中的网络端口号是否在端口白名单中,如果是,则判定该网络访问请求的头信息不符合预设的过滤条件,否则判定该网络访问请求的头信息符合预设的过滤条件。
在本发明另一实施例中,判断网络访问请求的头信息是否符合预设的过滤条件的具体过程如下:
判断网络访问请求的头信息中的主机标识是否在主机白名单中,如果否,则判定网络访问请求的头信息符合预设的过滤条件,否则,进一步判断判断网络访问请求的头信息中的网络端口号是否在端口黑名单中,如果是,则判定该网络访问请求的头信息符合预设的过滤条件,否则判定该网络访问请求的头信息不符合预设的过滤条件。
在本发明另一实施例中,判断网络访问请求的头信息是否符合预设的过滤条件的具体过程如下:
判断网络访问请求的头信息中的主机标识是否在主机白名单中,如果否,则判定网络访问请求的头信息符合预设的过滤条件,否则,进一步判断判断网络访问请求的头信息中的网络端口号是否在端口白名单中,如果否,则判定网络访问请求的头信息符合预设的过滤条件,否则,进一步判断判断网络访问请求的头信息中的路径是否在路径白名单中,如果是,则判定该网络访问请求的头信息不符合预设的过滤条件,否则判定该网络访问请求的头信息符合预设的过滤条件。
在本发明另一实施例中,判断网络访问请求的头信息是否符合预设的过滤条件的具体过程如下:
判断网络访问请求的头信息中的主机标识是否在主机白名单中,如果否,则判定网络访问请求的头信息符合预设的过滤条件,否则,进一步判断判断网络访问请求的头信息中的网络端口号是否在端口白名单中,如果否,则判定网络访问请求的头信息符合预设的过滤条件,否则,进一步判断判断网络访问请求的头信息中的路径是否在路径黑名单中,如果是,则判定该网络访问请求的头信息符合预设的过滤条件,否则判定该网络访问请求的头信息不符合预设的过滤条件。
B2、过滤掉该网络访问请求。
其中过滤掉该网络访问请求的方式可以为不再继续生成该网络访问请求,或者不将生成的网络访问请求发送至网络服务器。当然还可以为其他方式,在此不再一一例举。其中过滤掉网络访问请求的具体过程,举例说明如下:
当在调用write函数写网络访问请求的请求头时,若判定该网络访问请求的头信息符合预设的过滤条件,则停止该写操作,不再继续生成该网络访问请求,或者当判定该网络访问请求的头信息符合预设的过滤条件时,write函数已经写完该网络访问请求,则取消该网络访问请求的发送,以达到过滤掉该网络访问请求的目的。
B3、将生成的网络访问请求发送至网络服务器。
在本发明实施例中,通过获取为网络访问请求生成的文件描述符,从而可以监测到针对该文件描述符生成的网络访问请求,通过获取监测到的网络访问请求的头信息,将该头信息与预设的过滤条件进行比较,即可根据比较结果确定是否需要过滤掉该网络访问请求,从而快速、高效的实现网络访问请求的过滤。
本发明实施例提供的网络访问请求的过滤方法可适用于采用Linux操作系统、Unix操作系统的终端设备。
图2示出了本发明实施例提供的网络访问请求的过滤装置的结构,为了便于说明仅示出了与本发明实施例相关的部分。
该装置可以用于计算机等电子设备,可以是运行于这些设备内的软件单元、硬件单元或者软硬件相结合的单元,也可以作为独立的挂件集成到这些设备中或者运行于这些设备的应用系统中,其中:
描述符获取单元1,用于获取为所述网络访问请求生成的文件描述符。
其中网络访问请求包括超文本传输协议HTTP请求、文件传输协议FTP请求。
在本发明优选实施例中,该描述符获取单元1具体用于监测终端设备中的网络端口,捕获所述网络端口的网络访问请求;获取为捕获到的所述网络访问请求生成的文件描述符;将获取到的所述文件描述符添加至监控文件描述符列表中。
在本发明优选实施例中,该所述描述符获取单元1具体还用于调用网络连接函数,通过所述网络连接函数为捕获到的所述网络访问请求创建文件描述符,获取所述网络连接函数返回的所述文件描述符。
请求监测单元2,用于监测针对所述描述符获取单元获取的文件描述符生成的所述网络访问请求。
头信息获取单元3,用于获取监测到的所述网络访问请求的头信息。
在本发明另一实施例中,当网络访问请求为HTTP请求时,获取监测到的所述网络访问请求的头信息具体为:
获取监测到的针对文件描述符第一次生成的HTTP请求的头信息。其中第一次生成的HTTP请求是指在针对文件描述符第一次写HTTP请求时的头信息。
请求过滤单元4,用于当所述网络访问请求的头信息符合预设的过滤条件时,过滤掉所述网络访问请求。
其中预设的过滤条件包括主机白名单、主机黑名单、端口白名单、端口黑名单、路径白名单、路径黑名单中的一种或者多种组合。
优选的,该请求过滤单元4具体用于当所述网络访问请求的头信息中的主机标识在所述主机黑名单中时,或者所述网络访问请求的头信息中的主机标识不在所述主机白名单中时,过滤掉所述网络访问请求。
优选的,该请求过滤单元4具体还用于当所述网络访问请求的头信息中的主机标识在所述主机白名单,且所述网络访问请求的头信息中的网络端口号在所述端口黑名单时,过滤掉所述网络访问请求;当所述网络访问请求的头信息中的主机标识在所述主机白名单,且所述网络访问请求的头信息中的网络端口号不在所述端口白名单时,过滤掉所述网络访问请求。
优选的,该请求过滤单元4具体还用于当所述网络访问请求的头信息中的主机标识在所述主机白名单,且所述网络访问请求的头信息中的网络端口号在所述端口白名单,且所述网络访问请求的头信息中的路径在所述路径黑名单时,过滤掉所述网络访问请求;当所述网络访问请求的头信息中的主机标识在所述主机白名单,且所述网络访问请求的头信息中的网络端口号在所述端口白名单,且所述网络访问请求的头信息中的路径不在所述路径白名单时,过滤掉所述网络访问请求。
值得注意的是,上述系统,所包括的各个单元只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
本领域普通技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以在存储于一计算机可读取存储介质中,所述的存储介质,如ROM/RAM、磁盘、光盘等。
在本发明实施例中,通过获取为网络访问请求生成的文件描述符,从而可以监测到针对该文件描述符生成的网络访问请求,通过获取监测到的网络访问请求的头信息,将该头信息与预设的过滤条件进行比较,即可根据比较结果确定是否需要过滤掉该网络访问请求,从而不需要为每个应用程序设置代理,也可以快速、高效的实现网络访问请求的过滤。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种网络访问请求的过滤方法,其特征在于,所述方法包括:
获取为所述网络访问请求生成的文件描述符,将获取到的所述文件描述符添加至监控文件描述符列表中;
监测针对所述监控文件描述符列表中的文件描述符生成的所述网络访问请求;
获取监测到的所述网络访问请求的头信息;
当所述网络访问请求的头信息符合预设的过滤条件时,过滤掉所述网络访问请求。
2.如权利要求1所述的方法,其特征在于,所述获取为所述网络访问请求生成的文件描述符,具体包括:
监测终端设备中的网络端口,捕获所述网络端口的网络访问请求;
获取为捕获到的所述网络访问请求生成的文件描述符。
3.如权利要求2所述的方法,其特征在于,所述获取为捕获到的所述网络访问请求生成的文件描述符,具体包括:
调用网络连接函数,通过所述网络连接函数为捕获到的所述网络访问请求创建文件描述符,获取所述网络连接函数返回的所述文件描述符。
4.如权利要求1所述的方法,其特征在于,所述网络访问请求包括超文本传输协议HTTP请求、文件传输协议FTP请求。
5.如权利要求1所述的方法,其特征在于,所述预设的过滤条件包括主机白名单、主机黑名单、端口白名单、端口黑名单、路径白名单、路径黑名单中的一种或者多种组合。
6.如权利要求5所述的方法,其特征在于,所述当所述网络访问请求的头信息符合预设的过滤条件时,过滤掉所述网络访问请求,具体包括:
当所述网络访问请求的头信息中的主机标识在所述主机黑名单中时,或者所述网络访问请求的头信息中的主机标识不在所述主机白名单中时,过滤掉所述网络访问请求。
7.如权利要求5所述的方法,其特征在于,所述当所述网络访问请求的头信息符合预设的过滤条件时,过滤掉所述网络访问请求,具体包括:
当所述网络访问请求的头信息中的主机标识在所述主机白名单,且所述网络访问请求的头信息中的网络端口号在所述端口黑名单时,过滤掉所述网络访问请求;
当所述网络访问请求的头信息中的主机标识在所述主机白名单,且所述网络访问请求的头信息中的网络端口号不在所述端口白名单时,过滤掉所述网络访问请求。
8.如权利要求5所述的方法,其特征在于,所述当所述网络访问请求的头信息符合预设的过滤条件时,过滤掉所述网络访问请求,具体包括:
当所述网络访问请求的头信息中的主机标识在所述主机白名单,且所述网络访问请求的头信息中的网络端口号在所述端口白名单,且所述网络访问请求的头信息中的路径在所述路径黑名单时,过滤掉所述网络访问请求;
当所述网络访问请求的头信息中的主机标识在所述主机白名单,且所述网络访问请求的头信息中的网络端口号在所述端口白名单,且所述网络访问请求的头信息中的路径不在所述路径白名单时,过滤掉所述网络访问请求。
9.一种网络访问请求的过滤装置,其特征在于,所述装置包括:
描述符获取单元,用于获取为所述网络访问请求生成的文件描述符,将获取到的所述文件描述符添加至监控文件描述符列表中;
请求监测单元,用于监测针对所述监控文件描述符列表中的文件描述符生成的所述网络访问请求;
头信息获取单元,用于获取监测到的所述网络访问请求的头信息;
请求过滤单元,用于当所述网络访问请求的头信息符合预设的过滤条件时,过滤掉所述网络访问请求。
10.如权利要求9所述的装置,其特征在于,所述描述符获取单元具体用于监测终端设备中的网络端口,捕获所述网络端口的网络访问请求;获取为捕获到的所述网络访问请求生成的文件描述符。
11.如权利要求10所述的装置,其特征在于,所述描述符获取单元具体用于调用网络连接函数,通过所述网络连接函数为捕获到的所述网络访问请求创建文件描述符,获取所述网络连接函数返回的所述文件描述符。
12.如权利要求9所述的装置,其特征在于,所述网络访问请求包括超文本传输协议HTTP请求、文件传输协议FTP请求。
13.如权利要求9所述的装置,其特征在于,所述预设的过滤条件包括主机白名单、主机黑名单、端口白名单、端口黑名单、路径白名单、路径黑名单中的一种或者多种组合。
14.如权利要求13所述的装置,其特征在于,所述请求过滤单元具体用于当所述网络访问请求的头信息中的主机标识在所述主机黑名单中时,或者所述网络访问请求的头信息中的主机标识不在所述主机白名单中时,过滤掉所述网络访问请求。
15.如权利要求13所述的装置,其特征在于,所述请求过滤单元具体用于当所述网络访问请求的头信息中的主机标识在所述主机白名单,且所述网络访问请求的头信息中的网络端口号在所述端口黑名单时,过滤掉所述网络访问请求;当所述网络访问请求的头信息中的主机标识在所述主机白名单,且所述网络访问请求的头信息中的网络端口号不在所述端口白名单时,过滤掉所述网络访问请求。
16.如权利要求13所述的装置,其特征在于,所述请求过滤单元具体用于当所述网络访问请求的头信息中的主机标识在所述主机白名单,且所述网络访问请求的头信息中的网络端口号在所述端口白名单,且所述网络访问请求的头信息中的路径在所述路径黑名单时,过滤掉所述网络访问请求;当所述网络访问请求的头信息中的主机标识在所述主机白名单,且所述网络访问请求的头信息中的网络端口号在所述端口白名单,且所述网络访问请求的头信息中的路径不在所述路径白名单时,过滤掉所述网络访问请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310329192.6A CN104348799B (zh) | 2013-07-31 | 2013-07-31 | 一种网络访问请求的过滤方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310329192.6A CN104348799B (zh) | 2013-07-31 | 2013-07-31 | 一种网络访问请求的过滤方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104348799A CN104348799A (zh) | 2015-02-11 |
| CN104348799B true CN104348799B (zh) | 2019-02-05 |
Family
ID=52503612
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310329192.6A Active CN104348799B (zh) | 2013-07-31 | 2013-07-31 | 一种网络访问请求的过滤方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104348799B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657006A (zh) * | 2016-11-17 | 2017-05-10 | 北京中电普华信息技术有限公司 | 一种软件信息的安全防护方法和装置 |
| CN111526108B (zh) * | 2019-02-01 | 2021-08-20 | 华为技术有限公司 | 防止网络攻击的方法与装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101556608A (zh) * | 2009-02-27 | 2009-10-14 | 浙大网新科技股份有限公司 | 一种基于事件监控机制的文件系统操作拦截方法 |
| CN102932375A (zh) * | 2012-11-22 | 2013-02-13 | 北京奇虎科技有限公司 | 网络访问行为的防护方法和装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100395735C (zh) * | 2003-04-07 | 2008-06-18 | 华为技术有限公司 | Unix环境中远程终端接入的方法 |
| US8504597B2 (en) * | 2005-09-09 | 2013-08-06 | William M. Pitts | Distributed file system consistency mechanism extension for enabling internet video broadcasting |
| CN102663313B (zh) * | 2012-03-22 | 2015-02-18 | 吴晓栋 | 一种实现计算机系统信息安全的方法 |
-
2013
- 2013-07-31 CN CN201310329192.6A patent/CN104348799B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101556608A (zh) * | 2009-02-27 | 2009-10-14 | 浙大网新科技股份有限公司 | 一种基于事件监控机制的文件系统操作拦截方法 |
| CN102932375A (zh) * | 2012-11-22 | 2013-02-13 | 北京奇虎科技有限公司 | 网络访问行为的防护方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104348799A (zh) | 2015-02-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8516586B1 (en) | Classification of unknown computer network traffic | |
| US20150150128A1 (en) | Method and apparatus for intercepting or cleaning-up plugins | |
| CN103514075B (zh) | 在移动终端中监控api函数调用的方法和装置 | |
| CN112989330B (zh) | 容器的入侵检测方法、装置、电子设备及存储介质 | |
| CN106656577B (zh) | 一种app及浏览器的用户行为统计方法及智能路由器 | |
| CN106878108B (zh) | 网络流量回放测试方法及装置 | |
| CN112468416B (zh) | 网络流量镜像方法、装置、计算机设备和存储介质 | |
| CN102859505B (zh) | 管理系统以及计算机系统的管理方法 | |
| CN103268448B (zh) | 动态检测移动应用的安全性的方法和系统 | |
| CN106161396B (zh) | 一种实现虚拟机网络访问控制的方法及装置 | |
| CN113225339B (zh) | 网络安全监测方法、装置、计算机设备及存储介质 | |
| CN103685354A (zh) | 一种基于rmi协议的测试方法和装置 | |
| CN111404937A (zh) | 一种服务器漏洞的检测方法和装置 | |
| CN104348799B (zh) | 一种网络访问请求的过滤方法及装置 | |
| CN114244568B (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
| CN102271331B (zh) | 一种检测业务提供商sp站点可靠性的方法及系统 | |
| CN112187898A (zh) | 一种基于公安网的数据接入系统、方法及装置 | |
| CN112564957A (zh) | 虚拟网元的运行数据采集方法及装置 | |
| CN114531345A (zh) | 流量比对结果存储方法、装置、设备及存储介质 | |
| CN112162873A (zh) | 一种远程调用方法、电子装置和存储介质 | |
| JP2008258846A (ja) | イーサネットスイッチ及びリモートキャプチャシステム | |
| CN102053862B (zh) | 一种即时通讯软件中的素材文件的检验方法和设备 | |
| KR101456467B1 (ko) | 패킷변조를 이용한 접속기록 생성 시스템 | |
| CN112261051B (zh) | 一种用户注册方法、装置及系统 | |
| JP2002319940A (ja) | 情報共有化システムと情報共有化の方法、及びこの方法を実行させるプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |