CN107241344B - 拦截客户端对恶意网络服务器的访问的方法、设备和系统 - Google Patents
拦截客户端对恶意网络服务器的访问的方法、设备和系统 Download PDFInfo
- Publication number
- CN107241344B CN107241344B CN201710524927.9A CN201710524927A CN107241344B CN 107241344 B CN107241344 B CN 107241344B CN 201710524927 A CN201710524927 A CN 201710524927A CN 107241344 B CN107241344 B CN 107241344B
- Authority
- CN
- China
- Prior art keywords
- message
- client
- stream
- network server
- data flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
本发明公开了一种拦截客户端对恶意网络服务器的访问的方法,适于在恶意拦截设备中执行,该方法包括步骤:接收客户端发送的报文;对于特定类型的报文,提取该报文请求访问的网络服务器的网络地址;确定所请求的网络地址是否为恶意网络地址;如果是,则:获取流缓存表中对应于该报文的数据流的流信息;判断客户端与网络服务器是否已进行数据传输;若确定客户端与网络服务器已进行数据传输,则生成包含有终止标记的响应报文并发送至客户端;以及若确定客户端与网络服务器还未进行数据传输,则生成重定向报文并发送至客户端。本发明还公开了一种恶意拦截系统、设备和计算机可读存储介质。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种拦截客户端对恶意网络服务器的访问的方法、设备和系统。
背景技术
随着网络通信技术的迅速发展、所承载信息的日益丰富,互联网已成为人类社会重要的基础设施,越来越多的用户习惯于通过客户端去访问网络服务器来处理各种事务。因此,对网络服务器的访问的安全性尤其重要。
现阶段,恶意网络服务器的恶意网络地址被大肆传播,诸如用户通过恶意网络地址访问到恶意服务器而被欺骗之类的恶性事件层出不穷。为了避免用户访问恶意网络服务器从而遭受诈骗或泄漏信息,部分运营商在网络交换设备(例如网关)处部署恶意拦截设备,以对用户的客户端对恶意网络服务器的访问进行拦截。
然而该设备仅仅能够在该恶意网络服务器还未响应客户端的访问请求的前提下实现拦截功能。若恶意网络服务器在恶意拦截设备拦截之前响应了客户端发出的访问请求,那么这种恶意拦截设备则无法再对访问进行拦截。但考虑到网络运行的复杂情况,需要处理的流量负荷经常超过设备性能,因此设备处理速度缓慢,无法对访问及时地拦截,最后导致在实际应用中,恶意拦截设备对大部分恶意网络服务器的访问无法拦截,拦截效果很差。
因此,迫切需要一种更先进、效果更好的拦截客户端对恶意网络服务器的访问的方案。
发明内容
为此,本发明提供一种拦截客户端对恶意网络服务器的访问的方案,以力图解决或者至少缓解上面存在的至少一个问题。
根据本发明的一个方面,提供了一种拦截客户端对恶意网络服务器的访问的方法,适于在恶意拦截设备中执行,恶意拦截设备对客户端对网络服务器的访问请求进行镜像,并存储有流缓存表,该流缓存表记录有客户端发送至网络服务器的数据流的流信息,该方法包括步骤:通过镜像来接收客户端发送的报文;对于其中特定类型的报文,提取该报文请求访问的网络服务器的网络地址;根据已知的恶意网络地址信息确定所请求的网络地址是否为恶意网络地址;如果确定该网络地址为恶意网络地址,则:获取流缓存表中对应于所述报文的数据流的流信息;根据所获取的数据流的流信息和所述报文的流信息,判断客户端与网络服务器是否已进行数据传输;若确定客户端与网络服务器已进行数据传输,则生成包含有终止标记的响应报文,并发送至客户端,以便客户端响应于该响应报文,关闭与网络服务器的数据传输;以及若确定客户端与网络服务器还未进行数据传输,则生成重定向报文,并发送至客户端,以便客户端响应于该重定向报文,访问提醒网络地址为恶意网络地址的内容;其中流信息包括序列号和确认号。
可选地,在根据本发明的方法中,还包括步骤:若流缓存表中不存在对应于该报文的数据流的流信息,则确定客户端与网络地址还未进行数据传输。
可选地,在根据本发明的方法中,还包括步骤:在生成并发送重定向报文、或者包含有终止标记的响应报文之后,删除流缓存表中对应于该报文的数据流的流信息。
可选地,在根据本发明的方法中,还包括步骤:在接收客户端发送的报文之后,判断报文是否包含有终止标记;若确定报文包含有终止标记,则删除流缓存表中对应于该报文的数据流的流信息,并丢弃该报文。
可选地,在根据本发明的方法中,根据所获取的数据流的流信息与报文的流信息,判断客户端与网络服务器是否已进行数据传输的步骤包括:根据数据流与报文的序列号和确认号的大小,确定客户端与网络服务器是否已进行数据传输。
可选地,在根据本发明的方法中,流缓存表还记录有指示数据流是否恶意的标记,该方法还包括步骤:对于非特定类型的报文,若流缓存表中对应于该报文的数据流的标记为恶意,则生成包含有终止标记的响应报文,并发送至客户端。
可选地,在根据本发明的方法中,该方法还包括步骤:在确定该网络地址为恶意网络地址之后,将流缓存表中对应于该报文的数据流的标记设置为恶意。
可选地,在根据本发明的方法中,还包括步骤:响应于首次接收到某个数据流的报文,在流缓存表中记录该数据流的流信息,其中该数据流的流信息为该报文的流信息;
后续每接收到该数据流的报文,均将该数据流的流信息更新为该报文的流信息。
可选地,在根据本发明的方法中,特定类型为超文本传输协议(HTTP)的GET类型。
可选地,在根据本发明的方法中,客户端与网络服务器在以传输控制协议(TCP)建立的连接上进行数据传输。
根据本发明的另一方面,提供了一种恶意拦截设备,包括:一个或多个处理器;存储器;以及一个或多个程序,其中一个或多个程序存储在存储器中并被配置为由一个或多个处理器执行,一个或多个程序包括用于执行根据本发明拦截客户端对恶意网络服务器的访问的方法中的任一方法的指令。
根据本发明的另一方面,提供了一种存储一个或多个程序的计算机可读存储介质,一个或多个程序包括指令,指令当由恶意拦截设备执行时,使得恶意拦截设备执行根据本发明拦截客户端对恶意网络服务器的访问的方法中的任一方法。
根据本发明的还有一个方面,提供了一种恶意拦截系统,包括:客户端、网络交换设备、根据本发明的恶意拦截设备,其中客户端适于通过网络交换设备向网络服务器发送访问请求;网络交换设备适于将客户端对网络服务器的访问请求镜像到网络拦截设备;以及网络拦截设备与网络交换设备相耦接,适于通过镜像来接收客户端发送的报文,并根据该报文判断客户端所请求访问的网络地址是否为恶意网络地址,若是,则拦截客户端对网络服务器的访问。
根据本发明的拦截客户端对恶意网络服务器的访问的方案,在实时记录客户端发送至网络服务器的数据流的流信息的同时,根据所记录的流信息,对接收到的客户端的报文进行网络地址是否恶意、以及客户端与网络服务器的数据传输是否已开始的判断。并对其中确定为恶意网络地址、客户端与网络服务器已开始数据传输的报文,返回含有终止标记的响应报文。对其中确定为恶意网络地址、客户端与网络服务器未开始数据传输的报文,返回重定向报文。这样,增加了拦截处理时间的宽容度,提高了拦截效率,在恶意网络服务器已响应或未响应客户端的访问请求时均能够实现很好的拦截效果。
附图说明
为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
图1示出了根据本发明的一个示例性实施方式的恶意拦截系统100的结构框图;
图2示出了根据本发明一个示例性实施方式的恶意拦截设备200的结构框图;
图3示出了根据本发明一个示例性实施方式的记录数据流的流信息的方法300的流程图;以及
图4示出了根据本发明一个示例性实施方式的拦截客户端120对恶意网络服务器的访问的方法400的流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个示例性实施方式的恶意拦截系统100的结构框图。该恶意拦截系统100可以包括客户端120、网络交换设备140和恶意拦截设备200。其中,客户端120可以实现为诸如IE、Chrome和Safari之类的浏览器,网络交换设备140可以实现为诸如路由器、交换机之类的构建网络所采用的设备,客户端120可以通过网络交换设备140对互联网中的各种网络服务器160进行访问,即客户端120通过网络交换设备140向网络服务器160发送访问请求,网络服务器160同样也通过网络交换设备140响应客户端120的访问请求。
网络交换设备140还与恶意拦截设备200相耦接,并可以在接收到来自客户端的访问请求、将访问请求转发至网络服务器160的同时,将该访问请求镜像到恶意拦截设备200。
恶意拦截设备200通过镜像来接收客户端120发送的报文,并可以根据该报文判断客户端120所请求访问的网络地址是否为恶意网络地址,若是,则拦截客户端120对网络服务器160的访问。
下面结合图2~图4来详细阐述对恶意拦截设备200拦截客户端120对网络服务器160的访问的原理。
图2示出了根据本发明一个示例性实施方式的恶意拦截设备200的结构框图。该恶意拦截设备200可以实现为服务器,例如文件服务器、数据库服务器、应用程序服务器和网络服务器等,也可以实现为包括桌面计算机和笔记本计算机配置的个人计算机。此外,恶意拦截设备200还可以实现为小尺寸便携(或者移动)电子设备的一部分,这些电子设备可以是诸如蜂窝电话、个人数字助理(PDA)、个人媒体播放器设备、无线网络浏览设备、个人头戴设备、应用专用设备、或者可以包括上面任何功能的混合设备。
在基本的配置202中,恶意拦截设备200典型地包括系统存储器206和一个或者多个处理器204。存储器总线208可以用于在处理器204和系统存储器206之间的通信。
取决于期望的配置,处理器204可以是任何类型的处理,包括但不限于:微处理器((μP)、微控制器(μC)、数字信息处理器(DSP)或者它们的任何组合。处理器204可以包括诸如一级高速缓存210和二级高速缓存212之类的一个或者多个级别的高速缓存、处理器核心214和寄存器216。示例的处理器核心214可以包括运算逻辑单元(ALU)、浮点数单元(FPU)、数字信号处理核心(DSP核心)或者它们的任何组合。示例的存储器控制器218可以与处理器204一起使用,或者在一些实现中,存储器控制器218可以是处理器204的一个内部部分。
取决于期望的配置,系统存储器206可以是任意类型的存储器,包括但不限于:易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或者它们的任何组合。系统存储器206可以包括操作系统220、一个或者多个程序222以及程序数据224。在一些实施方式中,程序222可以被配置为在操作系统上由一个或者多个处理器204利用程序数据224执行指令。
恶意拦截设备200还可以包括有助于从各种接口设备(例如,输出设备242、外设接口244和通信设备246)到基本配置202经由总线/接口控制器130的通信的接口总线240。示例的输出设备242包括图形处理单元248和音频处理单元250。它们可以被配置为有助于经由一个或者多个A/V端口252与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外设接口244可以包括串行接口控制器254和并行接口控制器256,它们可以被配置为有助于经由一个或者多个I/O端口258和诸如输入设备(例如,键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备246可以包括网络控制器260,其可以被布置为便于经由一个或者多个通信端口264与一个或者多个其他类似的设备262通过网络通信链路的通信。
网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块,并且可以包括任何信息递送介质。“调制数据信号”可以这样的信号,它的数据集中的一个或者多个或者它的改变可以在信号中编码信息的方式进行。作为非限制性的示例,通信介质可以包括诸如有线网络或者专线网络之类的有线介质,以及诸如声音、射频(RF)、微波、红外(IR)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。
其中,恶意拦截设备200可以存储有流缓存表,该流缓存表记录有客户端120发送至网络服务器160的数据流的流信息。可以理解地,数据流,表现在TCP/IP协议上,即为由四元组共同确定的、在客户端120与网络服务器160之间建立的TCP连接上的所有报文。同样地,流信息,表现在TCP/IP协议上,即为报文的四元组(源IP地址、目的IP地址、源端口和目的端口)、序列号(Sequence Number)和确认号(Acknowledgment Number)。
恶意拦截设备200的一个或多个程序222可以包括用于执行根据本发明的记录数据流的流信息的方法中任一方法的指令。图3示出了根据本发明一个示例性实施方式的记录数据流的流信息的方法300的流程图。
如图3所示,记录数据流的流信息的方法300始于步骤S310,在步骤S310中,通过镜像来接收客户端120发送的报文。
而后在步骤S320中,获取该报文的四元组,在步骤S330中,以该四元组为索引,查找流缓存表中是否记录有对应的数据流的流信息。
若是,表明之前已接收到该数据流的报文,则在步骤S340中,将流缓存表中该数据流的流信息更新为所接收的报文的流信息。后续每接收到该数据流的报文,均进行此更新。
若否,表明是首次接收到该数据流的报文,则在步骤S350中,在流缓存表中记录该数据流的流信息,其中该数据流的流信息为所接收的报文的流信息。后续每接收到该数据流的报文,则对该数据流的流信息进行更新。
同时,恶意拦截设备200的一个或多个程序222还包括用于执行根据本发明的拦截客户端120对恶意网络服务器的访问的方法中任一方法的指令。
图4示出了根据本发明一个示例性实施方式的拦截客户端120对恶意网络服务器的访问的方法400的流程图。如图4所示,拦截客户端120对恶意网络服务器的访问的方法400始于步骤S410。在步骤S410中,通过镜像来接收客户端120发送的报文。
根据本发明的一个实施方式,在接收到报文之后,可以先判断该报文是否包含有终止标记,终止标记可以表示将关闭当前建立的连接,表现在TCP/IP协议上,即为复位标记(RST)和结束标记(FIN)。
若确定报文包含有终止标记,则可以在存储的流缓存表中查找对应于该报文的数据流的流信息,将其删除,而后丢弃报文。若流缓存表中没有对应的记录,则可以直接丢弃报文。
如果确定报文没有包含终止标记,则可以获取该报文的类型。典型地,在HTTP/1.1协议中共定义了八种请求类型来以不同方式操作指定的资源,其中GET类型和POST类型最为常见。
对于GET类型这种包含有报文请求访问的网络地址的特定类型的报文,在步骤S420中,提取该报文请求访问的网络服务器160的网络地址。
而后在步骤S430中,根据已知的恶意网络地址信息来确定所请求的网络地址是否为恶意网络地址。根据本发明的一个实施方式,恶意拦截系统100,如图1所示,还可以包括恶意网络地址存储设备180,该恶意网络地址存储设备180与恶意拦截设备200相耦接,并存储有已知的恶意网络地址信息。
具体地,可以查询所请求的网络地址是否存在于恶意网络地址存储设备180中,如果存在,则确定该网络地址为恶意网络地址。如果不存在,则确定该网络地址不为恶意网络地址,则可以删除流缓存表中对应的数据流的流信息,并丢弃该报文,不对此次访问进行任何拦截。
当然,已知的恶意网络地址信息还可以存储于恶意拦截设备200本身,同样可以实现对网络地址是否恶意的判断。根据本发明的一个实施方式,恶意网络地址分析设备还可以存储有恶意网络地址缓存表,该恶意网络地址缓存表存储有在恶意拦截设备200中被确定为恶意网络地址的那些网络地址。因此,在查找恶意网络地址存储设备180中是否存在该网络地址之前,先可以查找恶意网络地址缓存表中是否存在该网络地址。若存在,则确定该网络地址为恶意网络地址。若不存在,则继续去恶意网络地址存储设备180中查找。
总之,如果确定该网络地址为恶意网络地址,接下来需要判断客户端120是否已经与该恶意网络地址对应的网络服务器160进行了数据传输,并针对这两种情况采取不同的拦截策略。
首先,以报文的四元组为索引,查找流缓存表中是否记录有对应的数据流的流信息。根据本发明的一个实施方式,若流缓存表中没有对应的数据流的流信息,则确定客户端120与网络服务器160还未进行数据传输。
若流缓存表中记录有对应的数据流的流信息,则在步骤S440中,获取流缓存表中对应于该报文的数据流的流信息。
而后可以获取该报文的流信息,并在步骤S450中,根据所获取的数据流的流信息和该报文的流信息,判断客户端120与网络服务器160是否已进行数据传输。根据本发明的一个实施方式,可以根据所记录的数据流的序列号和确认号、与报文的序列号和确认号的大小,来确定客户端120与网络服务器160是否已进行数据传输。
具体地,可以比较二者的序列号和确认号的大小,若数据流的序列号大于该报文的序列号、或者数据流的确认号大于该报文的确认号,则可以确定客户端120与网络服务器160已进行数据传输,否则可以确定客户端120与网络服务器160还未进行数据传输。
例如,接收到的报文所包含的序列号为0x5d6c8ece、确认号为0xdf156c86,流缓存表中对应于该报文的数据流的序列号为0x5d6c8ece、确认号为0xdf156e86。将数据流的序列号和确认号与报文的序列号和确认号进行比较,显然,数据流的序列号等于报文的序列号,数据流的确认号0xdf156e86大于报文的确认号0xdf156c86,因此可以确定目前客户端与网络服务器已经进行数据传输,才导致确认号的数值随传输的数据量而增加。
可以理解地,恶意拦截设备200在更新流缓存表中数据流的流信息的同时,并行地对接收到的报文进行拦截分析。前者计算量较小,不需占用太多系统资源,可以实时完成,而后者计算量较大,经常会因为复杂的运行情况而出现延迟。例如,可能流缓存表中该数据流的流信息已经更新为最新的报文的流信息,但此时进行拦截分析的报文还是该数据流的上一条或上上一条报文。
考虑到这种实际情况,本发明创造性地提出通过记录的数据流和当前处理的报文的流信息,来判断客户端120与网络服务器160是否已进行数据传输。不同于现有技术,即使已进行数据传输,也可以拦截该访问。从而实现了对进行拦截分析所需处理时间的宽容度的提高,即使设备超负荷、无法及时处理某一个或若干个报文,但总有能处理到的一部分,不会影响最后的拦截效果。
下面详细阐述客户端120与网络服务器160已进行数据传输和还未进行数据的拦截策略。
在上述步骤中,若确定网络地址为恶意网络地址、且客户端120与网络服务器160还未进行数据传输,则接下来在步骤S460中,生成重定向报文,并经由网络交换设备140发送至客户端120,以便客户端120响应于该重定向报文,关闭与网络服务器160的连接,去访问提醒该网络地址为恶意网络地址的内容。这样,用户可以停止对该网络服务器160的访问。其中,重定向报文通常实现为HTTP协议下的重定向,并且报文包含的序列号和确认号与所接收的报文的序列号和确认号相匹配。
若确定网络地址为恶意网络地址、且客户端120与网络服务器160已进行数据传输,则在步骤S470中,生成包含有终止标记的响应报文,并经由网络交换设备140发送至客户端120,以便客户端120响应于该响应报文,关闭与网络服务器160的数据传输,从而停止对网络服务器160的访问。其中,该响应报文通常实现为TCP/IP协议下包含有复位标记(RST)的报文,并且报文包含的序列号和确认号与流缓存表中记录的序列号和确认号相匹配。
这样,就成功实现了在客户端与恶意网络服务器已进行数据传输和未进行数据传输时对访问的拦截,极大地提高了拦截效率,避免了因处理速度缓慢、网络服务器先于恶意拦截设备响应客户端,重定向报文失效从而无法拦截访问的情况。
在生成并发送重定向报文、或者包含有终止标记的响应报文之后,根据本发明的一个实施方式,还可以删除流缓存表中对应的数据流的流信息。
另外,若在步骤S410中所接收的报文为诸如HTTP协议下POST类型之类的非特定类型,可以认为客户端120与网络服务器160已进行数据传输。此时,考虑到诸如POST类型之类的非特定类型的报文没有包括所请求访问的网络地址,根据本发明的另一个实施方式,流缓存表可以记录指示数据流是否恶意的标记。对于非特定类型的报文,可以根据该标记来确定是否要拦截该访问。
具体地,查找流缓存表中是否记录有对应的数据流的流信息,若是,则获取该数据流的标记。若流缓存表中对应于该报文的数据流的标记为恶意,则需要拦截该访问。可以采取与上文描述的客户端120与网络服务器160已进行数据传输的情况相同的拦截策略,生成包含有终止标记的响应报文,并发送至客户端120。若对应于该报文的数据流的标记为恶意,则不拦截该访问。
其中,数据流的标记初始时可以默认为非恶意,而后在步骤S430中确定该网络地址为恶意网络地址之后,将流缓存表中对应于该报文的数据流的标记设置为恶意。
应当理解,这里描述的各种技术可结合硬件或软件,或者它们的组合一起实现。从而,本发明的方法和设备,或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介,例如软盘、CD-ROM、硬盘驱动器或者其它任意机器可读的存储介质中的程序代码(即指令)的形式,其中当程序被载入诸如计算机之类的机器,并被该机器执行时,该机器变成实践本发明的设备。
在程序代码在可编程计算机上执行的情况下,计算设备一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件),至少一个输入装置,和至少一个输出装置。其中,存储器被配置用于存储程序代码;处理器被配置用于根据该存储器中存储的该程序代码中的指令,执行本发明的各种方法。
本发明还可以包括:A8、如A1-7中任一个所述的方法,其中,还包括步骤:响应于首次接收到某个数据流的报文,在流缓存表中记录该数据流的流信息,其中该数据流的流信息为该报文的流信息;后续每接收到该数据流的报文,均将该数据流的流信息更新为该报文的流信息。A9、如A1-8中任一个所述的方法,其中,所述特定类型为超文本传输协议(HTTP)的GET类型。A10、如A1-9中任一个所述的方法,其中,所述客户端与网络服务器在以传输控制协议(TCP)建立的连接上进行数据传输。
以示例而非限制的方式,计算机可读介质包括计算机存储介质和通信介质。计算机可读介质包括计算机存储介质和通信介质。计算机存储介质存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并且包括任何信息传递介质。以上的任一种的组合也包括在计算机可读介质的范围之内。
应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中,或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
此外,所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此,具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外,装置实施例的在此所述的元素是如下装置的例子:该装置用于实施由为了实施该发明的目的的元素所执行的功能。
如在此所使用的那样,除非另行规定,使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例,并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。
Claims (13)
1.一种拦截客户端对恶意网络服务器的访问的方法,适于在恶意拦截设备中执行,所述恶意拦截设备对客户端对网络服务器的访问请求进行镜像,并存储有流缓存表,该流缓存表记录有客户端发送至网络服务器的数据流的流信息,所述方法包括步骤:
通过镜像来接收客户端发送的报文;
对于其中特定类型的报文,提取该报文请求访问的网络服务器的网络地址;
根据已知的恶意网络地址信息确定所请求的网络地址是否为恶意网络地址;
如果确定该网络地址为恶意网络地址,则:
获取所述流缓存表中对应于所述报文的数据流的流信息;
根据所获取的数据流的流信息和所述报文的流信息,判断客户端与所述网络服务器是否已进行数据传输;
若确定客户端与所述网络服务器已进行数据传输,则生成包含有终止标记的响应报文,并发送至客户端,以便客户端响应于该响应报文,关闭与所述网络服务器的数据传输;以及
若确定客户端与所述网络服务器还未进行数据传输,则生成重定向报文,并发送至客户端,以便客户端响应于该重定向报文,访问提醒所述网络地址为恶意网络地址的内容;
其中所述流信息包括序列号和确认号。
2.如权利要求1所述的方法,其中,还包括步骤:
若所述流缓存表中不存在对应于所述报文的数据流的流信息,则确定客户端与所述网络地址还未进行数据传输。
3.如权利要求1所述的方法,还包括步骤:
在生成并发送重定向报文、或者包含有终止标记的响应报文之后,删除流缓存表中对应于所述报文的数据流的流信息。
4.如权利要求1所述的方法,还包括步骤:
在接收客户端发送的报文之后,判断所述报文是否包含有终止标记;
若确定报文包含有终止标记,则删除流缓存表中对应于该报文的数据流的流信息,并丢弃该报文。
5.如权利要求1所述的方法,其中,所述根据所获取的数据流的流信息与报文的流信息,判断客户端与网络服务器是否已进行数据传输的步骤包括:
根据所获取的对应于所述报文的数据流与所述报文的序列号和确认号的大小,确定客户端与所述网络服务器是否已进行数据传输。
6.如权利要求1所述的方法,其中,所述流缓存表还记录有指示数据流是否恶意的标记,所述方法还包括步骤:
对于非特定类型的报文,若流缓存表中对应于该报文的数据流的标记为恶意,则生成包含有终止标记的响应报文,并发送至客户端。
7.如权利要求1-6中任一个所述的方法,其中,所述方法还包括步骤:
在确定该网络地址为恶意网络地址之后,将流缓存表中对应于该报文的数据流的标记设置为恶意。
8.如权利要求1-6中任一个所述的方法,其中,还包括步骤:
响应于首次接收到某个数据流的报文,在流缓存表中记录该数据流的流信息,其中该数据流的流信息为该报文的流信息;
后续每接收到该数据流的报文,均将该数据流的流信息更新为该报文的流信息。
9.如权利要求1-6中任一个所述的方法,其中,所述特定类型为超文本传输协议(HTTP)的GET类型。
10.如权利要求1-6中任一个所述的方法,其中,所述客户端与网络服务器在以传输控制协议(TCP)建立的连接上进行数据传输。
11.一种恶意拦截设备,包括:
一个或多个处理器;
存储器;以及
一个或多个程序,其中所述一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据权利要求1-10所述的方法中的任一方法的指令。
12.一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由恶意拦截设备执行时,使得所述恶意拦截设备执行根据权利要求1-10所述的方法中的任一方法。
13.一种恶意拦截系统,包括:客户端、网络交换设备、如权利要求11所述的恶意拦截设备,其中
所述客户端适于通过网络交换设备向网络服务器发送访问请求;
所述网络交换设备适于将客户端对网络服务器的访问请求镜像到网络拦截设备;以及
所述网络拦截设备与网络交换设备相耦接,适于通过镜像来接收客户端发送的报文,并根据该报文判断客户端所请求访问的网络地址是否为恶意网络地址,若是,则拦截客户端对所述网络服务器的访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710524927.9A CN107241344B (zh) | 2017-06-30 | 2017-06-30 | 拦截客户端对恶意网络服务器的访问的方法、设备和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710524927.9A CN107241344B (zh) | 2017-06-30 | 2017-06-30 | 拦截客户端对恶意网络服务器的访问的方法、设备和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107241344A CN107241344A (zh) | 2017-10-10 |
| CN107241344B true CN107241344B (zh) | 2019-11-12 |
Family
ID=59991224
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710524927.9A Active CN107241344B (zh) | 2017-06-30 | 2017-06-30 | 拦截客户端对恶意网络服务器的访问的方法、设备和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107241344B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2728506C2 (ru) * | 2018-06-29 | 2020-07-29 | Акционерное общество "Лаборатория Касперского" | Способ блокировки сетевых соединений |
| EP3588900B1 (en) * | 2018-06-29 | 2022-10-05 | AO Kaspersky Lab | System and method of analyzing the content of encrypted network traffic |
| CN110198298B (zh) * | 2018-10-11 | 2021-08-27 | 腾讯科技(深圳)有限公司 | 一种信息处理方法、装置及存储介质 |
| CN111147425A (zh) * | 2018-11-05 | 2020-05-12 | 成都鼎桥通信技术有限公司 | 数据访问处理方法、装置、设备以及存储介质 |
| CN109688140B (zh) * | 2018-12-27 | 2022-02-01 | 北京天融信网络安全技术有限公司 | 一种信息处理方法及信息处理装置 |
| CN111917682B (zh) * | 2019-05-07 | 2023-01-24 | 阿里巴巴集团控股有限公司 | 访问行为识别方法、性能检测方法、装置、设备和系统 |
| CN110830484A (zh) * | 2019-11-13 | 2020-02-21 | 深圳市信锐网科技术有限公司 | 一种数据报文处理方法、装置、内网交换机及存储介质 |
| CN112087459B (zh) * | 2020-09-11 | 2023-02-21 | 杭州安恒信息技术股份有限公司 | 一种访问请求检测的方法、装置、设备及可读存储介质 |
| CN113660194A (zh) * | 2021-06-28 | 2021-11-16 | 国网思极网安科技(北京)有限公司 | 网络数据的处理方法、系统、电子设备和存储介质 |
| CN114143046B (zh) * | 2021-08-30 | 2024-02-23 | 统信软件技术有限公司 | 一种用户隔离方法、数据传输方法、计算设备及存储介质 |
| CN117579383B (zh) * | 2024-01-15 | 2024-03-22 | 杭州优云科技股份有限公司 | 一种主动http响应的检测及拦截方法、装置及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553662A (zh) * | 2003-06-08 | 2004-12-08 | 华为技术有限公司 | 防止拒绝服务型攻击的方法 |
| CN1909507A (zh) * | 2006-07-04 | 2007-02-07 | 华为技术有限公司 | 一种报文转发方法和系统 |
| US8245296B2 (en) * | 2008-05-23 | 2012-08-14 | Verizon Patent And Licensing Inc. | Malware detection device |
| CN103096321A (zh) * | 2011-11-02 | 2013-05-08 | 西门子公司 | 一种用于检测恶意服务器的方法和装置 |
| CN106656922A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种基于流量分析的网络攻击防护方法和装置 |
-
2017
- 2017-06-30 CN CN201710524927.9A patent/CN107241344B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553662A (zh) * | 2003-06-08 | 2004-12-08 | 华为技术有限公司 | 防止拒绝服务型攻击的方法 |
| CN1909507A (zh) * | 2006-07-04 | 2007-02-07 | 华为技术有限公司 | 一种报文转发方法和系统 |
| US8245296B2 (en) * | 2008-05-23 | 2012-08-14 | Verizon Patent And Licensing Inc. | Malware detection device |
| CN103096321A (zh) * | 2011-11-02 | 2013-05-08 | 西门子公司 | 一种用于检测恶意服务器的方法和装置 |
| CN106656922A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种基于流量分析的网络攻击防护方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107241344A (zh) | 2017-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107241344B (zh) | 拦截客户端对恶意网络服务器的访问的方法、设备和系统 | |
| CN104580192B (zh) | 应用程序的网络访问请求的处理方法和装置 | |
| US20200228433A1 (en) | Computer-readable recording medium including monitoring program, programmable device, and monitoring method | |
| JP4668567B2 (ja) | クライアントベースのウェブクローリングのためのシステムおよび方法 | |
| KR101850351B1 (ko) | P2P 프로토콜을 이용한 IoC 정보 조회 방법 | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| CA2956805C (en) | Web redirection for caching | |
| US8352580B2 (en) | Server and method for providing mobile web service | |
| EP3170091B1 (en) | Method and server of remote information query | |
| CN106055603B (zh) | 基于vpn的浏览器访问网址推荐方法、客户端及系统 | |
| AU2017265064B2 (en) | Access to data on a remote device | |
| US20160299971A1 (en) | Identifying Search Engine Crawlers | |
| WO2015003556A1 (zh) | 获取一个主域名相关联的二级域名信息的设备和方法 | |
| US20160294989A1 (en) | Method and system for modifying http request headers without terminating the connection | |
| CN110413846A (zh) | 用于网页镜像的数据处理方法、装置及计算机可读存储介质 | |
| WO2017097092A1 (zh) | 缓存集群服务的处理方法及系统 | |
| US20120185558A1 (en) | Data storage management | |
| CN103036895A (zh) | 一种状态跟踪方法及系统 | |
| US9654352B2 (en) | Brokering data access requests and responses | |
| EP3438867A1 (en) | Network device and method for determining security problems in such a network device | |
| Wu et al. | The design and implementation of database audit system framework | |
| CN109635203A (zh) | 网页抓取请求处理方法、装置、服务器及存储介质 | |
| US20190104110A1 (en) | Method and system for controlling transmission of data packets in a network | |
| Yoon et al. | Design of a mobile application framework with context sensitivities | |
| CN111447205B (zh) | 一种数据处理方法、系统及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 311501, Unit 1, Building 5, Courtyard 1, Futong East Street, Chaoyang District, Beijing 100102 Applicant after: Beijing Zhichuangyu Information Technology Co., Ltd. Address before: 100097 Jinwei Building 803, 55 Lanindichang South Road, Haidian District, Beijing Applicant before: Beijing Knows Chuangyu Information Technology Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |