CN106778229A - 一种基于vpn的恶意应用下载拦截方法及系统 - Google Patents
一种基于vpn的恶意应用下载拦截方法及系统 Download PDFInfo
- Publication number
- CN106778229A CN106778229A CN201611077568.9A CN201611077568A CN106778229A CN 106778229 A CN106778229 A CN 106778229A CN 201611077568 A CN201611077568 A CN 201611077568A CN 106778229 A CN106778229 A CN 106778229A
- Authority
- CN
- China
- Prior art keywords
- application
- file
- characteristic information
- malicious
- storehouse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种基于VPN的恶意应用下载拦截方法及系统,所述方法包括:利用用户终端上的VPN拦截网络连接请求;识别所述网络连接请求中的下载应用安装包请求;监听所述下载应用安装包请求的响应数据流;还原所述响应数据流中的应用安装包的特征信息,并根据所述特征查找恶意应用库,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流。本发明利用用户终端上搭建的VPN拦截用户的网络连接请求,识别出应用程序下载请求后,监听响应的流量包,通过还原应用安装包中的特征信息,查找恶意应用库,在应用程序的下载阶段对应用程序的安全进行鉴别,避免用户安装恶意的应用程序带来的损失。
Description
技术领域
本发明涉及移动信息安全技术领域,特别是涉及一种基于VPN的恶意应用下载拦截方法及系统。
背景技术
随着移动应用的广泛普及,用户在终端上下载各种类型的应用程序进行使用,如果所下载的应用程序是恶意应用,会给用户带来经济上的损失以及个人隐私信息的泄漏,因此,终端上所下载的应用程序的安全保障,是移动信息安全技术的重要课题。传统的终端应用程序下载安全识别的主要技术包括,识别应用下载商店所颁发的安全证书,在用户安装应用后,扫描证书,如果发现安全证书有问题,提示用户卸载,但此时恶意应用所带来的问题已经无法避免。
发明内容
基于此,有必要针对终端应用下载的安全问题,提供一种基于VPN的恶意应用下载拦截方法及系统,其中,所述方法包括:
利用用户终端上的VPN拦截网络连接请求;
识别所述网络连接请求中的下载应用安装包请求;
监听所述下载应用安装包请求的响应数据流;
还原所述响应数据流中的应用安装包的特征信息,并根据所述特征信息查找恶意应用库,所述恶意应用库包括恶意应用安装包的恶意特征信息,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流。
在其中一个实施例中,所述还原所述响应数据流中的应用安装包的特征信息,并根据所述特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流,包括:
还原所述响应数据流中的应用文件的文件头,解析所述应用文件的文件头中的应用文件的哈希值,并将所述应用文件的哈希值确定为应用安装包的第一特征信息;
根据所述第一特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第一特征信息相同的恶意特征信息,则阻断所述响应数据流,若未在所述恶意应用库中查找到与所述第一特征信息相同的恶意特征信息,则
还原所述响应数据流中的应用文件的文件内容,根据所述应用文件的文件内容确定所述应用安装包的第二特征信息,根据所述第二特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第二特征信息相同的恶意特征信息,则阻断所述响应数据流。
在其中一个实施例中,所述根据所述应用文件的文件内容确定所述应用安装包的第二特征信息,包括:
还原所述响应数据流中的证书文件,并将所述证书文件确定为应用安装包的第二特征信息。
在其中一个实施例中,所述根据所述应用文件的文件内容确定所述应用安装包的第二特征信息,还包括:
还原所述响应数据流中的可执行文件的文件头,解析所述可执行文件头中的可执行文件的哈希值,并将所述可执行文件的哈希值确定为应用安装包的第二特征信息。
在其中一个实施例中,在所述根据所述第二特征信息查找恶意应用库的步骤之后,所述方法还包括:
若未在所述恶意应用库中查找到与所述第二特征信息相同的恶意特征信息,则
还原所述响应数据流中的可执行文件的全部文件,并将所述可执行文件的全部文件确定为应用安装包的第三特征信息,并根据所述第三特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第三特征信息相同的恶意特征信息,则阻断所述响应数据流。
在其中一个实施例中,所述恶意应用库存储在云端,则所述根据所述特征信息查找恶意应用库,所述恶意应用库包括恶意应用安装包的恶意特征信息,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流,包括:
根据所述特征信息向云端发送特征信息匹配请求;
接收所述云端返回的特征信息匹配成功的结果;
根据所述特征信息匹配成功的结果阻断所述响应数据流。
本发明利用用户终端上搭建的VPN拦截用户的网络连接请求,识别出应用程序下载请求后,监听响应的流量包,通过还原应用安装包中的特征信息,查找恶意应用库,如果所下载应用程序的特征信息与恶意应用库匹配,则阻断所述应用程序的下载,在应用程序的下载阶段对应用程序的安全进行鉴别,避免用户安装恶意的应用程序带来的损失。
在其中一个实施例中,对应用程序下载过程中的应用文件的文件头、可执行文件的文件头、可执行文件的全文、证书的全文,进行逐层递进的特征信息匹配,如果任何一个环节存在安全问题,都会阻断所述应用程序的下载,全面的保证所下载的应用程序的安全性。
在其中一个实施例中,所述的恶意应用库存储在云端,用户将应用程序的特征发送至云端进行匹配,存储在云端的恶意信息库方便维护及信息的更新,保证用户应用程序下载的安全性。
本发明还提供一种基于VPN的恶意应用下载拦截系统,包括:
网络请求拦截模块,用于利用用户终端上的VPN拦截网络连接请求;
下载应用安装包请求识别模块,用于识别所述网络连接请求中的下载应用安装包请求;
监听响应数据流模块,用于监听所述下载应用安装包请求的响应数据流;
恶意应用安装包拦截模块,用于还原所述响应数据流中的应用安装包的特征信息,并根据所述特征信息查找恶意应用库,所述恶意应用库包括恶意应用安装包的恶意特征信息,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流。
在其中一个实施例中,所述恶意应用安装包拦截模块,包括:
应用文件头查找单元,用于还原所述响应数据流中的应用文件的文件头,解析所述应用文件的文件头中的应用文件的哈希值,并将所述应用文件的哈希值确定为应用安装包的第一特征信息;根据所述第一特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第一特征信息相同的恶意特征信息,则阻断所述响应数据流,若未在所述恶意应用库中查找到与所述第一特征信息相同的恶意特征信息,则
应用文件内容查找单元,用于还原所述响应数据流中的应用文件的文件内容,根据所述应用文件的文件内容确定所述应用安装包的第二特征信息,根据所述第二特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第二特征信息相同的恶意特征信息,则阻断所述响应数据流。
在其中一个实施例中,所述应用文件内容查找单元,包括:
证书文件查找子单元,用于还原所述响应数据流中的证书文件,并将所述证书文件确定为应用安装包的第二特征信息。
在其中一个实施例中,所述应用文件内容查找单元,还包括:
可执行文件头查找子单元,用于还原所述响应数据流中的可执行文件的文件头,解析所述可执行文件头中的可执行文件的哈希值,并将所述可执行文件的哈希值确定为应用安装包的第二特征信息。
在其中一个实施例中,所述应用文件内容查找单元,还包括:
可执行文件全文查找子单元,用于还原所述响应数据流中的可执行文件的全部文件,并将所述可执行文件的全部文件确定为应用安装包的第三特征信息,并根据所述第三特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第三特征信息相同的恶意特征信息,则阻断所述响应数据流。
在其中一个实施例中,所述恶意应用库存储在云端,
所述恶意应用安装包拦截模块,还包括:
匹配请求发送单元,用于根据所述特征信息向云端发送特征信息匹配请求;
匹配结果接收单元,用于接收所述云端返回的特征信息匹配成功的结果;
恶意应用安装包拦截单元,用于根据所述特征信息匹配成功的结果阻断所述响应数据流。本发明利用用户终端上搭建的VPN拦截用户的网络连接请求,识别出应用程序下载请求后,监听响应的流量包,通过还原应用安装包中的特征信息,查找恶意应用库,如果所下载应用程序的特征信息与恶意应用库匹配,则阻断所述应用程序的下载,在应用程序的下载阶段对应用程序的安全进行鉴别,避免用户安装恶意的应用程序带来的损失。
在其中一个实施例中,对应用程序下载过程中的应用文件的文件头、可执行文件的文件头、可执行文件的全文、证书的全文,进行逐层递进的特征信息匹配,如果任何一个环节存在安全问题,都会阻断所述应用程序的下载,全面的保证所下载的应用程序的安全性。
在其中一个实施例中,所述的恶意应用库存储在云端,用户将应用程序的特征发送至云端进行匹配,存储在云端的恶意信息库方便维护及信息的更新,保证用户应用程序下载的安全性。
附图说明
图1为一个实施例中的基于VPN的恶意应用下载拦截方法的流程示意图;
图2为另一个实施例中的基于VPN的恶意应用下载拦截方法的流程示意图;
图3为又一个实施例中的基于VPN的恶意应用下载拦截方法的流程示意图;
图4为再一个实施例中的基于VPN的恶意应用下载拦截方法的流程示意图;
图5为一个实施例中的基于VPN的恶意应用下载拦截系统的结构示意图;
图6为另一个实施例中的基于VPN的恶意应用下载拦截系统的结构示意图
图7为又一个实施例中的基于VPN的恶意应用下载拦截系统的结构示意图;
图8为再一个实施例中的基于VPN的恶意应用下载拦截系统的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
图1为一个实施例中的基于VPN的恶意应用下载拦截方法的流程示意图,如图1所示的基于VPN的恶意应用下载拦截方法包括:
步骤S100,利用用户终端上的VPN拦截网络连接请求。
具体的,在用户终端上搭建VPN(Virtual Private Network虚拟专用网),利用软件的方式实现VPN的搭建,在VPN搭建完成后,终端用户发出的所有网络连接请求都会的通过VPN进行转发,利用VPN监听终端用户所有的网络连接请求,如HTTP(HyperText TransferProtocol超文本传输协议)连接请求,包括TCP(Transmission Control Protocol传输控制协议)连接和UDP(User Datagram Protocol用户数据报协议)请求,当收到用户的TCP握手包后,可以得知用户发起一个TCP连接请求,并能根据数据包的源端口得知是哪个应用发起的网络连接请求。当收到用户的UDP包后,根据包的源端口可以得知是哪个应用发起的请求。其中,用户终端可为智能手机、平板电脑、个人数字助理、穿戴式设备等。
步骤S200,识别所述网络连接请求中的下载应用安装包请求。
具体的,所述识别下载应用安装包请求,包括识别下载的网络链接请求中,是否有明确的应用程序的文件类型描述,如以.apk为后缀的文件类型;识别下载的类型是否为:application/vnd.android.package-archive;以及识别所下载的文件的文件头的头两个字母是否为pk。
步骤S300,监听所述下载应用安装包请求的响应数据流。
具体的,根据识别出的下载应用安装包请求,监听其响应的数据流,所述响应数据流为响应所述下载应用安装包请求的数据流。
步骤S400,还原所述响应数据流中的应用安装包的特征信息,并根据所述特征信息查找恶意应用库,所述恶意应用库包括恶意应用安装包的恶意特征信息,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流。
具体的,通过服务器返回的响应数据流,将数据包逐一进行还原,提取其中的特征信息后,查找恶意应用库。所述的特征信息包括应用文件的文件头的特征信息、可执行文件的文件头的特征信息、可执行文件的全文提取的特征信息,以及证书文件的特征信息。通过逐层的还原,对下载应用安装包的响应数据流进行各层次的、全面的安全检测,如发现有与恶意应用库中的恶意特征值对应的特征信息,则阻断所述响应数据流。
在本实施例中,利用用户终端上搭建的VPN拦截用户的网络连接请求,识别出应用程序下载请求后,监听响应的流量包,通过还原应用安装包中的特征信息,查找恶意应用库,如果所下载应用程序的特征信息与恶意应用库匹配,则阻断所述应用程序的下载,在应用程序的下载阶段对应用程序的安全进行鉴别,避免用户安装恶意的应用程序带来的损失。
图2为另一个实施例中的基于VPN的恶意应用下载拦截方法的流程示意图,如图2所示的基于VPN的恶意应用下载拦截方法包括:
步骤S410,还原所述响应数据流中的应用文件的文件头,解析所述应用文件的文件头中的应用文件的哈希值,并将所述应用文件的哈希值确定为应用安装包的第一特征信息。
具体的,在响应数据流中,首先能还原出的是应用文件的文件头信息。在还原出的应用文件的文件头信息中,解析出整个应用文件的哈希值,并将所述整个应用文件的哈希值确定为查找恶意应用库的第一特征信息。
步骤S420,根据所述第一特征信息查找恶意应用库,判断在所述恶意应用库中是否查找到与所述第一特征信息相同的恶意特征信息,若查找到,跳至步骤S480,否则接步骤S430。
具体的,如根据所述应用文件的哈希值确定所述的应用文件是恶意文件,则需要阻断响应数据流,否则继续接收。
步骤S430,还原所述响应数据流中的可执行文件的文件头,解析所述可执行文件头中的可执行文件的哈希值,并将所述可执行文件的哈希值确定为应用安装包的第二特征信息。
具体的,继续还原可执行文件的文件头,解析所述可执行文件的文件中的整个可执行文件的哈希值,将所述的可执行文件的哈希值确定为查找恶意应用库的第二特征信息。
步骤S440,根据所述第二特征信息查找恶意应用库,判断在所述恶意应用库中查找到与所述第二特征信息相同的恶意特征信息,若查找到,跳至步骤S480,否则接步骤S450。
具体的,如根据所述可执行文件的文件头信息可以确定所述的可执行文件是恶意文件,则需要阻断响应数据流,否则继续接收。
步骤S450,还原所述响应数据流中的可执行文件的全部文件,并将所述可执行文件的全部文件确定为应用安装包的第三特征信息。
具体的,进一步还原可执行文件的全部文件后,将所述可执行文件的全部文件作为设定为查找恶意应用库的特征信息。
步骤S460,根据所述第三特征信息查找恶意应用库,判断在所述恶意应用库中查找到与所述第三特征信息相同的恶意特征信息,若查找到,跳至步骤S480,否则接步骤S470。
具体的,如根据所述可执行文件的全部文件信息可以确定所述的可执行文件是恶意文件,则需要阻断响应数据流,否则继续接收。
步骤S470,安装所述应用程序。
步骤S480,阻断所述响应数据流。
在本实施例中,对应用程序下载过程中的应用文件的文件头、可执行文件的文件头、可执行文件的全文、证书的全文,进行逐层递进的特征信息匹配,如果任何一个环节存在安全问题,都会阻断所述应用程序的下载,全面的保证所下载的应用程序的安全性。
在本实施例中,通过解析应用文件的文件头,可执行文件的文件头,获取所述应用文件的哈希值和可执行文件的哈希值,并与恶意应用库中的恶意特征信息进行匹配,所述的恶意应用库中的恶意特征信息也是对应的哈希值,通过哈希值的对比,查找恶意文件,提高恶意文件的查找成功率,并能提高恶意文件查找的速率。
图3为又一个实施例中的基于VPN的恶意应用下载拦截方法的流程示意图,如图3所示的基于VPN的恶意应用下载拦截方法包括:
步骤S410a,还原所述响应数据流中的应用文件的文件头,解析所述应用文件的文件头中的应用文件的哈希值,并将所述应用文件的哈希值确定为应用安装包的第一特征信息。
具体的,同步骤S410。
步骤S420a,根据所述第一特征信息查找恶意应用库,判断在所述恶意应用库中是否查找到与所述第一特征信息相同的恶意特征信息,若查找到,跳至步骤S460a,否则接步骤S430a。
具体的,同步骤S420。
步骤S430,还原所述响应数据流中的证书文件,并将所述证书文件确定为应用安装包的第二特征信息。
具体的,将还原出来的响应数据流中的证书文件的全文,作为应用安装包的第二特征信息。
步骤S440a,根据所述第二特征信息查找恶意应用库,判断在所述恶意应用库中查找到与所述第二特征信息相同的恶意特征信息,若查找到,跳至步骤S460a,否则接步骤S450a。
具体的,如根据所述证书文件可以确定所述的可执行文件是恶意文件,则需要阻断响应数据流,否则继续接收。
步骤S450a,安装所述应用程序。
步骤S460a,阻断所述响应数据流。
在本实施例中,通过解析应用文件内容中的证书文件,利用证书文件作为特征信息与恶意应用库中的恶意文件信息进行对比,进一步的提高恶意文件的查找成功率。
在其中一个实施例中,在应用文件内容的认证过程中,可以先进行可执行文件文件头中的哈希值的认证,通过后,进行可执行文件全文的认证,再次通过后,继续解析证书文件进行认证,全部通过后才能进行应用程序的安装,将本实施例中,将证书文件作为第四特征信息去恶意应用库中查找与第四特征信息相同的恶意特征信息即可。本实施例采用应用文件、可执行文件和证书文件层层递进的认证方式,全方位的对恶意应用程序进行查找,提高恶意应用程序查找的成功率。
图4为又一个实施例中的基于VPN的恶意应用下载拦截方法的流程示意图,如图4所示的基于VPN的恶意应用下载拦截方法包括:
为提高恶意应用库的实时性,保证恶意特征信息的及时更新,将所述恶意应用库存储在云端。
步骤S100,利用用户终端上的VPN拦截网络连接请求。
步骤S200,识别所述网络连接请求中的下载应用安装包请求。
步骤S300,监听所述下载应用安装包请求的响应数据流。
步骤S400,还原所述响应数据流中的应用安装包的特征信息,根据所述特征信息根据所述特征信息向云端发送特征信息匹配请求,接收所述云端返回的特征信息匹配结果,所述特征信息匹配结果包括匹配成功和匹配失败,若所述匹配结果为匹配成功,则阻断所述响应数据流。
具体的,终端将还原出的特征信息实时发送至远端的恶意应用库进行查找,并接收来自云端的恶意应用库的匹配结果。若匹配成功,则说明响应数据流中的特征信息符合恶意应用特征信息,需要阻断所述响应信息流。
图5为一个实施例中的基于VPN的恶意应用下载拦截系统的结构示意图,如图5所示的基于VPN的恶意应用下载拦截系统包括:
网络请求拦截模块100,用于利用用户终端上的VPN拦截网络连接请求;
下载应用安装包请求识别模块200,用于识别所述网络连接请求中的下载应用安装包请求;
监听响应数据流模块300,用于监听所述下载应用安装包请求的响应数据流;
恶意应用安装包拦截模块400,用于还原所述响应数据流中的应用安装包的特征信息,并根据所述特征信息查找恶意应用库,所述恶意应用库包括恶意应用安装包的恶意特征信息,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流。
在本实施例中,利用用户终端上搭建的VPN拦截用户的网络连接请求,识别出应用程序下载请求后,监听响应的流量包,通过还原应用安装包中的特征信息,查找恶意应用库,如果所下载应用程序的特征信息与恶意应用库匹配,则阻断所述应用程序的下载,在应用程序的下载阶段对应用程序的安全进行鉴别,避免用户安装恶意的应用程序带来的损失。
图6为另一个实施例中的基于VPN的恶意应用下载拦截系统的结构示意图,如图6所示的基于VPN的恶意应用下载拦截系统包括:
应用文件头查找单元410,用于还原所述响应数据流中的应用文件的文件头,解析所述应用文件的文件头中的应用文件的哈希值,并将所述应用文件的哈希值确定为应用安装包的第一特征信息;根据所述第一特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第一特征信息相同的恶意特征信息,则阻断所述响应数据流,若未在所述恶意应用库中查找到与所述第一特征信息相同的恶意特征信息,则
应用文件内容查找单元420,用于还原所述响应数据流中的应用文件的文件内容,根据所述应用文件的文件内容确定所述应用安装包的第二特征信息,根据所述第二特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第二特征信息相同的恶意特征信息,则阻断所述响应数据流。
在本实施例中,对应用程序下载过程中的应用文件的文件头、应用文件的文件内容进行逐层递进的特征信息匹配,如果任何一个环节存在安全问题,都会阻断所述应用程序的下载,全面的保证所下载的应用程序的安全性。
图7为又一个实施例中的基于VPN的恶意应用下载拦截系统的结构示意图,如图7所示的基于VPN的恶意应用下载拦截系统包括:
证书文件查找子单元423,用于还原所述响应数据流中的证书文件,并将所述证书文件确定为应用安装包的第二特征信息。
可执行文件头查找子单元421,用于还原所述响应数据流中的可执行文件的文件头,解析所述可执行文件头中的可执行文件的哈希值,并将所述可执行文件的哈希值确定为应用安装包的第二特征信息。
可执行文件全文查找子单元422,用于还原所述响应数据流中的可执行文件的全部文件,并将所述可执行文件的全部文件确定为应用安装包的第三特征信息,并根据所述第三特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第三特征信息相同的恶意特征信息,则阻断所述响应数据流。
图8为再一个实施例中的基于VPN的恶意应用下载拦截系统的结构示意图,如图8所示的基于VPN的恶意应用下载拦截系统包括:
匹配请求发送单元430,用于根据所述特征信息向云端发送特征信息匹配请求。
匹配结果接收单元440,用于接收所述云端返回的特征信息匹配成功的结果。
恶意应用安装包拦截单元450,用于根据所述特征信息匹配成功的结果阻断所述响应数据流。在本实施例中,所述的恶意应用库存储在云端,用户将应用程序的特征发送至云端进行匹配,存储在云端的恶意信息库方便维护及信息的更新,保证用户应用程序下载的安全性。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (12)
1.一种基于VPN的恶意应用下载拦截方法,其特征在于,所述方法包括:
利用用户终端上的VPN拦截网络连接请求;
识别所述网络连接请求中的下载应用安装包请求;
监听所述下载应用安装包请求的响应数据流;
还原所述响应数据流中的应用安装包的特征信息,并根据所述特征信息查找恶意应用库,所述恶意应用库包括恶意应用安装包的恶意特征信息,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流。
2.根据权利要求1所述的基于VPN的恶意应用下载拦截方法,其特征在于,所述还原所述响应数据流中的应用安装包的特征信息,并根据所述特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流,包括:
还原所述响应数据流中的应用文件的文件头,解析所述应用文件的文件头中的应用文件的哈希值,并将所述应用文件的哈希值确定为应用安装包的第一特征信息;
根据所述第一特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第一特征信息相同的恶意特征信息,则阻断所述响应数据流,若未在所述恶意应用库中查找到与所述第一特征信息相同的恶意特征信息,则
还原所述响应数据流中的应用文件的文件内容,根据所述应用文件的文件内容确定所述应用安装包的第二特征信息,根据所述第二特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第二特征信息相同的恶意特征信息,则阻断所述响应数据流。
3.根据权利要求2所述的基于VPN的恶意应用下载拦截方法,其特征在于,所述根据所述应用文件的文件内容确定所述应用安装包的第二特征信息,包括:
还原所述响应数据流中的证书文件,并将所述证书文件确定为应用安装包的第二特征信息。
4.根据权利要求2所述的基于VPN的恶意应用下载拦截方法,其特征在于,所述根据所述应用文件的文件内容确定所述应用安装包的第二特征信息,还包括:
还原所述响应数据流中的可执行文件的文件头,解析所述可执行文件头中的可执行文件的哈希值,并将所述可执行文件的哈希值确定为应用安装包的第二特征信息。
5.根据权利要求4所述的基于VPN的恶意应用下载拦截方法,其特征在于,在所述根据所述第二特征信息查找恶意应用库的步骤之后,所述方法还包括:
若未在所述恶意应用库中查找到与所述第二特征信息相同的恶意特征信息,则
还原所述响应数据流中的可执行文件的全部文件,并将所述可执行文件的全部文件确定为应用安装包的第三特征信息,并根据所述第三特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第三特征信息相同的恶意特征信息,则阻断所述响应数据流。
6.根据权利要求1所述的基于VPN的恶意应用下载拦截方法,其特征在于:
所述恶意应用库存储在云端,则所述根据所述特征信息查找恶意应用库,所述恶意应用库包括恶意应用安装包的恶意特征信息,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流,包括:
根据所述特征信息向云端发送特征信息匹配请求;
接收所述云端返回的特征信息匹配成功的结果;
根据所述特征信息匹配成功的结果阻断所述响应数据流。
7.一种基于VPN的恶意应用下载拦截系统,其特征在于,包括:
网络请求拦截模块,用于利用用户终端上的VPN拦截网络连接请求;
下载应用安装包请求识别模块,用于识别所述网络连接请求中的下载应用安装包请求;
监听响应数据流模块,用于监听所述下载应用安装包请求的响应数据流;
恶意应用安装包拦截模块,用于还原所述响应数据流中的应用安装包的特征信息,并根据所述特征信息查找恶意应用库,所述恶意应用库包括恶意应用安装包的恶意特征信息,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流。
8.根据权利要求7所述的基于VPN的恶意应用下载拦截系统,其特征在于,所述恶意应用安装包拦截模块,包括:
应用文件头查找单元,用于还原所述响应数据流中的应用文件的文件头,解析所述应用文件的文件头中的应用文件的哈希值,并将所述应用文件的哈希值确定为应用安装包的第一特征信息;根据所述第一特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第一特征信息相同的恶意特征信息,则阻断所述响应数据流,若未在所述恶意应用库中查找到与所述第一特征信息相同的恶意特征信息,则
应用文件内容查找单元,用于还原所述响应数据流中的应用文件的文件内容,根据所述应用文件的文件内容确定所述应用安装包的第二特征信息,根据所述第二特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第二特征信息相同的恶意特征信息,则阻断所述响应数据流。
9.根据权利要求8所述的基于VPN的恶意应用下载拦截系统,其特征在于,所述应用文件内容查找单元,包括:
证书文件查找子单元,用于还原所述响应数据流中的证书文件,并将所述证书文件确定为应用安装包的第二特征信息。
10.根据权利要求8所述的基于VPN的恶意应用下载拦截系统,其特征在于,所述应用文件内容查找单元,还包括:
可执行文件头查找子单元,用于还原所述响应数据流中的可执行文件的文件头,解析所述可执行文件头中的可执行文件的哈希值,并将所述可执行文件的哈希值确定为应用安装包的第二特征信息。
11.根据权利要求10所述的基于VPN的恶意应用下载拦截系统,其特征在于,所述应用文件内容查找单元,还包括:
可执行文件全文查找子单元,用于还原所述响应数据流中的可执行文件的全部文件,并将所述可执行文件的全部文件确定为应用安装包的第三特征信息,并根据所述第三特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第三特征信息相同的恶意特征信息,则阻断所述响应数据流。
12.根据权利要求7所述的基于VPN的恶意应用下载拦截系统,其特征在于:
所述恶意应用库存储在云端,
所述恶意应用安装包拦截模块,还包括:
匹配请求发送单元,用于根据所述特征信息向云端发送特征信息匹配请求;
匹配结果接收单元,用于接收所述云端返回的特征信息匹配成功的结果;
恶意应用安装包拦截单元,用于根据所述特征信息匹配成功的结果阻断所述响应数据流。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611077568.9A CN106778229B (zh) | 2016-11-29 | 2016-11-29 | 一种基于vpn的恶意应用下载拦截方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611077568.9A CN106778229B (zh) | 2016-11-29 | 2016-11-29 | 一种基于vpn的恶意应用下载拦截方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106778229A true CN106778229A (zh) | 2017-05-31 |
| CN106778229B CN106778229B (zh) | 2020-02-14 |
Family
ID=58897982
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611077568.9A Active CN106778229B (zh) | 2016-11-29 | 2016-11-29 | 一种基于vpn的恶意应用下载拦截方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106778229B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107241354A (zh) * | 2017-07-20 | 2017-10-10 | 国网上海市电力公司 | 基于无线wifi设备的恶意行为发现阻断设备和方法 |
| CN107798236A (zh) * | 2017-11-30 | 2018-03-13 | 广州优视网络科技有限公司 | 一种对应用程序安装包实现安全安装的方法和装置 |
| CN109002710A (zh) * | 2017-06-07 | 2018-12-14 | 中国移动通信有限公司研究院 | 一种检测方法、装置及计算机可读存储介质 |
| CN109889486A (zh) * | 2018-12-28 | 2019-06-14 | 武汉职业技术学院 | 移动办公安全接入平台 |
| CN110022340A (zh) * | 2018-01-10 | 2019-07-16 | 腾讯科技(深圳)有限公司 | 应用安装方法、装置及终端 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103020526A (zh) * | 2012-12-21 | 2013-04-03 | 北京奇虎科技有限公司 | 恶意程序主动拦截方法和装置及客户端设备 |
| CN103034807A (zh) * | 2011-10-08 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
| CN105323261A (zh) * | 2015-12-15 | 2016-02-10 | 北京奇虎科技有限公司 | 数据检测方法及装置 |
| CN105530255A (zh) * | 2015-12-16 | 2016-04-27 | 网宿科技股份有限公司 | 验证请求数据的方法及装置 |
| CN108073803A (zh) * | 2016-11-18 | 2018-05-25 | 北京京东尚科信息技术有限公司 | 用于检测恶意应用的方法及装置 |
-
2016
- 2016-11-29 CN CN201611077568.9A patent/CN106778229B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103034807A (zh) * | 2011-10-08 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
| CN103020526A (zh) * | 2012-12-21 | 2013-04-03 | 北京奇虎科技有限公司 | 恶意程序主动拦截方法和装置及客户端设备 |
| CN105323261A (zh) * | 2015-12-15 | 2016-02-10 | 北京奇虎科技有限公司 | 数据检测方法及装置 |
| CN105530255A (zh) * | 2015-12-16 | 2016-04-27 | 网宿科技股份有限公司 | 验证请求数据的方法及装置 |
| CN108073803A (zh) * | 2016-11-18 | 2018-05-25 | 北京京东尚科信息技术有限公司 | 用于检测恶意应用的方法及装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109002710A (zh) * | 2017-06-07 | 2018-12-14 | 中国移动通信有限公司研究院 | 一种检测方法、装置及计算机可读存储介质 |
| CN107241354A (zh) * | 2017-07-20 | 2017-10-10 | 国网上海市电力公司 | 基于无线wifi设备的恶意行为发现阻断设备和方法 |
| CN107798236A (zh) * | 2017-11-30 | 2018-03-13 | 广州优视网络科技有限公司 | 一种对应用程序安装包实现安全安装的方法和装置 |
| CN107798236B (zh) * | 2017-11-30 | 2021-05-04 | 阿里巴巴(中国)有限公司 | 一种对应用程序安装包实现安全安装的方法和装置 |
| CN110022340A (zh) * | 2018-01-10 | 2019-07-16 | 腾讯科技(深圳)有限公司 | 应用安装方法、装置及终端 |
| CN110022340B (zh) * | 2018-01-10 | 2021-05-25 | 腾讯科技(深圳)有限公司 | 应用安装方法、装置及终端 |
| CN109889486A (zh) * | 2018-12-28 | 2019-06-14 | 武汉职业技术学院 | 移动办公安全接入平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106778229B (zh) | 2020-02-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10992691B2 (en) | Method and an apparatus to perform multi-connection traffic analysis and management | |
| Narayan et al. | A survey of automatic protocol reverse engineering tools | |
| CN106778229A (zh) | 一种基于vpn的恶意应用下载拦截方法及系统 | |
| US9954873B2 (en) | Mobile device-based intrusion prevention system | |
| EP2850770B1 (en) | Transport layer security traffic control using service name identification | |
| US10574686B2 (en) | Security verification by message interception and modification | |
| US10979512B2 (en) | Method and system of data packet transmission | |
| US20090055930A1 (en) | Content Security by Network Switch | |
| US20220263823A1 (en) | Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium | |
| US10757135B2 (en) | Bot characteristic detection method and apparatus | |
| CN112468518B (zh) | 访问数据处理方法、装置、存储介质及计算机设备 | |
| CN106713061B (zh) | 监测攻击报文的方法、系统及装置 | |
| CN105208041B (zh) | 基于hook的云存储应用加密数据包破解方法 | |
| US8572366B1 (en) | Authenticating clients | |
| CN111049781A (zh) | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 | |
| CN113595967A (zh) | 数据识别方法、设备、存储介质及装置 | |
| Tahir et al. | A novel DDoS floods detection and testing approaches for network traffic based on linux techniques | |
| Jaswal | Hands-On Network Forensics: Investigate network attacks and find evidence using common network forensic tools | |
| CN113992734A (zh) | 会话连接方法及装置、设备 | |
| CN107547497A (zh) | 一种无感知portal认证方法及装置 | |
| US11038844B2 (en) | System and method of analyzing the content of encrypted network traffic | |
| CN108234415A (zh) | 用于验证用户的方法和装置 | |
| CN105812416B (zh) | 不同网络间传输文件的方法和系统 | |
| CA3159619C (en) | Packet processing method and apparatus, device, and computer-readable storage medium | |
| CN111970281B (zh) | 基于验证服务器的路由设备远程控制方法、系统及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100190 Zhongguancun street, Haidian District, Beijing, No. 22, A1305, 13 Applicant after: Beijing net an Technology Limited by Share Ltd Address before: 100190 Beijing City, Haidian District Zhongguancun street, No. 22, building 1301 Applicant before: Beijing Rising Information Technology Co., Ltd |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |