CN107846381A - 网络安全处理方法及设备 - Google Patents
网络安全处理方法及设备 Download PDFInfo
- Publication number
- CN107846381A CN107846381A CN201610830175.4A CN201610830175A CN107846381A CN 107846381 A CN107846381 A CN 107846381A CN 201610830175 A CN201610830175 A CN 201610830175A CN 107846381 A CN107846381 A CN 107846381A
- Authority
- CN
- China
- Prior art keywords
- file destination
- mirror image
- target cloud
- main frame
- path information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提供一种网络安全处理方法及设备,该网络安全处理方法,包括:从第一客户端与目标云主机之间的镜像流量中解析出下载路径信息;根据下载路径信息,从目标云主机下载目标文件;对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件;若目标文件属于非安全目标文件,则将下载路径信息标记为非安全对象。能够有效防止客户端被非安全数据破坏。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络安全处理方法及设备。
背景技术
随着网络的不断发展,越来越多的用户通过网络进行沟通,然而,网络在给用户带来便利的同时还存在一定的风险,比如:病毒程序对网络信息安全造成了一定的安全隐患。
云平台是计算机网络的一个重要产物,该平台允许开发者们将写好的程序放到“云”里运行,或是使用“云”里提供的服务,目标云主机是云平台的重要组成部分,用于为客户端提供服务。
现有技术中,客户端本地数据库中可以预先存储非安全数据所对应的下载路径信息。当一台客户端访问目标云主机进行数据下载时,该客户端首先在该客户端的本地数据库中进行下载路径信息的匹配,若匹配成功,则表示该下载路径信息为恶意下载路径信息,即该客户端所要下载的数据为非安全数据,该客户端将该目标云主机识别为非安全主机,并且不再与该目标云主机进行通信。
由于现有技术中,客户端预先存储非安全数据所对应的下载路径信息,采用数据下载时的下载路径信息与本地数据库中的下载路径信息进行匹配的方法来判断下载的数据是否为非安全数据。由于该方法不能保证本地数据库中存储的恶意下载路径信息为全部的恶意下载路径信息,并且若将进行下载的路径信息进行更改,使其不能跟本地数据库中的下载路径信息匹配成功,则该方法并不能判断出进行下载的数据为非安全数据。所以现有技术中的判断下载的数据是否为非安全数据的方法并不准确,不能有效防止客户端不被非安全数据破坏。
并且,在现有技术中,客户端预先存储非安全数据所对应的下载路径信息,采用数据下载时的下载路径信息与本地数据库中的下载路径信息进行匹配的方法来判断下载的数据是否为非安全数据。由于只采用下载数据的下载路径信息对下载数据是否安全进行判断,而未对标识下载数据是否为非安全数据的信息进行判断,导致对于每个下载数据是否为非安全数据均需要进行判断,进而导致了网络安全处理效率较低。
再者,现有技术中当另一台客户端采用同样的下载路径信息访问该目标云主机进行数据下载时,也需要采用下载路径信息匹配的方式才能确定该目标云主机为非安全主机,并且不再与该目标云主机进行通信。然而,这种网络安全处理方式也存在效率较低的问题。
发明内容
本申请提供一种网络安全处理方法及设备,能够有效防止客户端被非安全数据破坏。
一个方面,本申请提供一种网络安全处理方法,包括:
从第一客户端与目标云主机之间的镜像流量中解析出下载路径信息;
根据所述下载路径信息,从所述目标云主机下载目标文件;
对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件;
若所述目标文件属于非安全目标文件,则将所述下载路径信息标记为非安全对象。
该方法中,从镜像流量中解析出下载路径信息,并根据下载路径信息下载目标文件,对目标文件进行安全检测,实现了下载路径信息的动态分析,能够准确检测出下载的目标文件是否为非安全目标文件,进而有效防止客户端被非安全数据破坏。
作为一种可实现的方式,在所述从第一客户端与目标云主机之间的镜像流量中解析出下载路径信息之前,还包括:
对所述第一客户端发送给所述目标云主机的流量进行镜像处理,得到镜像流量。
基于上述一种可实现的方式的基础,进一步地,还包括如下两种可选方式:
一种可选方式:在所述对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件之前,还包括:
获取所述目标文件的后缀名;
根据所述目标文件的后缀名,确定所述目标文件是否为文本文件;
若所述目标文件不是文本文件,则跳转至执行对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件的步骤;
若所述目标文件是所述文本文件,则返回并迭代执行对所述第一客户端发送给所述目标云主机的流量进行镜像处理,得到镜像流量的步骤。
本方法中,在对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件之前,根据目标文件的后缀名,确定目标文件是否为文本文件,当所需下载的目标文件不是文本文件时,才跳转至执行对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件的步骤,即并不是对所有的目标文件进行安全检测,从而提高网络安全处理的效率。
另一种可选方式,在所述对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件之前,还包括:
获取所述目标文件的文件名;
根据所述目标文件的文件名在本地数据库进行文件名匹配,其中,所述本地数据库包括非安全文件的文件名;
若匹配成功,则跳转至执行对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件的步骤;
若匹配失败,则返回并迭代执行对所述第一客户端发送给所述目标云主机的流量进行镜像处理,得到镜像流量的步骤。
本方法中,在对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件之前,从镜像流量中获取目标文件的文件名;根据目标文件的文件名在本地数据库进行文件名匹配,当匹配成功时,才跳转至执行对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件的步骤,即并不是对所有的目标文件进行安全检测,从而提高网络安全处理的效率。
基于上述所有方案的基础,进一步地,所述从第一客户端与目标云主机之间的镜像流量中解析出下载路径信息,包括:
对所述镜像流量进行应用层协议解析,获取所述第一客户端与所述目标云主机之间所采用的应用层协议类型;
采用所述应用层协议类型,解析所述镜像流量中所包含的所述下载路径信息。
其中,所述采用所述应用层协议类型,解析所述镜像流量中所包含的所述下载路径信息,包括:
根据所述应用层协议类型,确定所述下载路径信息在所述镜像流量中的位置;
从所述位置处读取所述下载路径信息,以解析所述下载路径信息。
更进一步地,所述还包括:
从所述镜像流量中解析出所述目标云主机地址;
相应的,所述若所述目标文件属于非安全目标文件,则还包括:
将所述目标云主机地址标记为非安全对象。
本方法中,第一客户端和其他客户端根据标记的目标云主机地址,在从目标云主机获取目标文件前,可明确该目标云主机上包含有非安全数据,所以使得第一客户端和其他客户端不会再从该目标云主机上下载数据,进而提高网络安全处理效率。
另一方面,本申请提供一种网络安全处理设备,包括:解析模块、下载模块、安全检测模块和标记模块;
所述解析模块,用于从第一客户端与目标云主机之间的镜像流量中解析出下载路径信息;
所述下载模块,用于根据所述下载路径信息,从所述目标云主机下载目标文件;
所述安全检测模块,用于对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件;
若所述目标文件属于非安全目标文件,则所述标记模块,用于将所述下载路径信息标记为非安全对象。
作为一种可实现的方式,所述设备还包括:处理模块,用于:
对所述第一客户端发送给所述目标云主机的流量进行镜像处理,得到镜像流量。
基于上述一种可实现的方式的基础,进一步地,还包括如下两种可选方式:
一种可选方式:还包括第一获取模块,用于获取所述目标文件的后缀名;
确定模块,用于根据所述目标文件的后缀名,确定所述目标文件是否为文本文件;
若所述目标文件不是文本文件,则跳转至安全检测模块执行对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件的步骤;
若所述目标文件是所述文本文件,则返回处理模块迭代执行对所述第一客户端发送给所述目标云主机的流量进行镜像处理,得到镜像流量的步骤。
另一种可选方式,还包括:第二获取模块,用于获取所述目标文件的文件名;
匹配模块,用于根据所述目标文件的文件名在本地数据库进行文件名匹配,其中,所述本地数据库包括非安全文件的文件名;
若匹配成功,则跳转至安全检测模块执行对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件的步骤;
若匹配失败,则返回处理模块迭代执行对所述第一客户端发送给所述目标云主机的流量进行镜像处理,得到镜像流量的步骤。
基于上述所有方案的基础,进一步地,所述解析模块,包括:
第一解析单元,用于对所述镜像流量进行应用层协议解析,获取所述第一客户端与所述目标云主机之间所采用的应用层协议类型;
第二解析单元,用于采用所述应用层协议类型,解析所述镜像流量中所包含的所述下载路径信息。
其中,第二解析单元,具体用于:
根据所述应用层协议类型,确定所述下载路径信息在所述镜像流量中的位置;
从所述位置处读取所述下载路径信息,以解析所述下载路径信息。
更进一步地,所述解析模块,还用于:
从所述镜像流量中解析出所述目标云主机地址;
相应的,所述若所述目标文件属于非安全目标文件,则所述标记模块,还用于将所述目标云主机地址标记为非安全对象。
又一方面,本申请提供一种网络安全处理设备,包括:存储器和处理器;
所述存储器,用于存储所述处理器可执行指令:
所述处理器,用于从第一客户端与目标云主机之间的镜像流量中解析出下载路径信息;根据所述下载路径信息,从所述目标云主机下载目标文件;对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件;若所述目标文件属于非安全目标文件,则将所述下载路径信息和标记为非安全对象。
作为一种可实现的方式,所述处理器还用于:
对所述第一客户端发送给所述目标云主机的流量进行镜像处理,得到镜像流量。
基于上述一种可实现的方式的基础,进一步地,还包括如下两种可选方式:
一种可选方式:所述处理器还用于:
获取所述目标文件的后缀名;
根据所述目标文件的后缀名,确定所述目标文件是否为文本文件;
若所述目标文件不是文本文件,则跳转至执行对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件的步骤;
若所述目标文件是所述文本文件,则返回并迭代执行对所述第一客户端发送给所述目标云主机的流量进行镜像处理,得到镜像流量的步骤。
另一种可选方式,所述处理器还用于:
获取所述目标文件的文件名;
根据所述目标文件的文件名在本地数据库进行文件名匹配,其中,所述本地数据库包括非安全文件的文件名;
若匹配成功,则跳转至执行对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件的步骤;
若匹配失败,则返回并迭代执行对所述第一客户端发送给所述目标云主机的流量进行镜像处理,得到镜像流量的步骤。
基于上述所有方案的基础,进一步地,所述处理器具体用于:
对所述镜像流量进行应用层协议解析,获取所述第一客户端与所述目标云主机之间所采用的应用层协议类型;
采用所述应用层协议类型,解析所述镜像流量中所包含的所述下载路径信息。
其中,所述处理器具体用于:
根据所述应用层协议类型,确定所述下载路径信息在所述镜像流量中的位置;
从所述位置处读取所述下载路径信息,以解析所述下载路径信息。
更进一步地,所述处理器还用于:
从所述镜像流量中解析出所述目标云主机地址;
相应的,所述若所述目标文件属于非安全目标文件,则还包括:
将所述目标云主机地址标记为非安全对象。
本申请提供一种网络安全处理方法及设备,该网络安全处理方法,包括:从第一客户端与目标云主机之间的镜像流量中解析出下载路径信息;根据所述下载路径信息,从所述目标云主机下载目标文件;对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件;若所述目标文件属于非安全目标文件,则将所述下载路径信息和标记为非安全对象。由于从镜像流量中解析出下载路径信息,并根据下载路径信息下载目标文件,对目标文件进行安全检测,实现了下载路径信息的动态分析,能够准确检测出下载的目标文件是否为非安全目标文件,进而有效防止客户端被非安全数据破坏。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请的一种可选的云平台的示意图;
图2为本申请实施例一提供的一种网络安全处理方法的流程图;
图3为本申请实施例二提供的一种网络安全处理方法的流程图;
图4为本申请实施例三提供的一种网络安全处理方法的流程图;
图5为本申请所提供的OSI七层协议示意图;
图6为本申请实施例四提供的一种网络安全处理方法的流程图;
图7为本申请实施例五提供的一种网络安全处理方法的流程图;
图8为本申请实施例六提供的网络安全处理设备的结构示意图;
图9为本申请实施例七提供的网络安全处理设备的结构示意图;
图10为本申请实施例八提供的网络安全处理设备的结构示意图;
图11为本申请实施例九提供的网络安全处理设备的结构示意图;
图12为本申请实施例十提供的网络安全处理设备的结构示意图;
图13为本申请实施例十一提供的网络安全处理设备的结构示意图;
图14是本申请一实施例提供的一种用于网络安全处理设备1400的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与本发明的一些方面相一致的设备和方法的例子。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
应当理解,尽管在本发明实施例中可能采用术语第一、第二、第三等来描述XXX,但这些XXX不应限于这些术语。这些术语仅用来将XXX彼此区分开。例如,在不脱离本发明实施例范围的情况下,第一XXX也可以被称为第二XXX,类似地,第二XXX也可以被称为第一XXX。
取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种商品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的商品或者系统中还存在另外的相同要素。
本申请所涉及的“至少一个”包括两种情况:一个或者多个的情况。
为了清楚起见,首先说明本发明使用的特定词或短语的定义。
镜像流量:是指对客户端发送给目标云主机的流量进行镜像处理,得到的流量。
非安全文件:是指携带有病毒程序的文件。
基于背景技术中提到的现有技术中的一个问题或结合多个问题,提出本申请的技术方案,能够解决现有技术中的每个问题或同时解决多个问题。
本申请提供的网络安全处理方法及设备,可适用于云平台,图1为本申请的一种可选的云平台的示意图,如图1所示,该云平台包括:多个客户端11、至少一个目标云主机12以及各个客户端11与目标云主机12之间的路由器13,其中,多个客户端包括第一客户端11a和其他客户端11b,其他客户端11b可以为多个。进一步地,该目标云平台还包括:至少一个网络安全处理设备14,该网络安全处理设备14与路由器13并联连接,该网络安全处理设备14可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
需要说明的是,如图1所示的云平台仅为一种实例,本申请并不以此作为限制。例如:网络安全处理设备14可以不与路由器13并联,只要该网络安全处理设备14可以获取到客户端11发送给目标云主机12之间的镜像流量即可。
其中,客户端11与目标云主机12基于开放式系统互联(Open SystemInterconnection,简称OSI)七层协议实现流量传输,七层协议分别为:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
本申请各实施例提供的网络安全处理方法是在第一客户端11a发送给目标云主机12的某次流量之后执行。本申请提供的网络安全处理方法可以是由网络安全处理设备执行。
本申请提供的网络安全处理方法,网络安全处理设备14对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量;对镜像流量进行应用层协议解析,获取第一客户端11a与目标云主机12之间所采用的应用层协议类型,根据应用层协议类型,确定下载路径信息和目标云主机地址在镜像流量中的位置,从对应的位置处读取下载路径信息和目标云主机地址,根据下载路径信息,从目标云主机12下载目标文件,获取目标文件的后缀名或文件名。若获取的是目标文件的后缀名,则根据目标文件的后缀名,确定目标文件是否为文本文件,若目标文件不是文本文件,则跳转至执行对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件的步骤,若目标文件是文本文件,则返回并迭代执行对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量的步骤。若获取的是目标文件的文件名,则根据目标文件的文件名在本地数据库进行文件名匹配,其中,本地数据库包括非安全文件的文件名,若匹配成功,则跳转至执行对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件的步骤;若匹配失败,则返回并迭代执行对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量的步骤。在对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件时,可采用杀毒软件对目标文件进行查杀处理,以确定目标文件中是否含有病毒程序,若目标文件中含有病毒程序,则确定目标文件属于非安全目标文件,否则目标文件属于安全目标文件。若目标文件数据属于非安全目标文件,则将下载路径信息和目标云主机地址标记为非安全对象。
为了解决现有技术中的判断下载的数据是否为非安全数据的方法并不准确,不能有效防止客户端不被非安全数据破坏的技术问题,本申请提供的网络安全处理方法,可以为:从第一客户端11a与目标云主机12之间的镜像流量中解析出下载路径信息;根据下载路径信息,从目标云主机12下载目标文件;对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件。对目标文件进行安全检测可以为通过杀毒软件对目标文件进行病毒查杀,当查杀出目标文件携带有病毒,则表示该目标文件为非安全目标文件。相对于现有技术中客户端采用数据下载时的下载路径信息与本地数据库中的下载路径信息进行匹配的方法来判断下载的数据是否为非安全数据的方法,本申请中由于根据镜像流量中的下载路径信息,从目标云主机12上下载目标文件,直接对下载的目标文件进行安全检测,即使对下载路径进行更改,使其不与本地数据库中的恶意下载路径信息匹配成功,也能够通过对真实下载的目标文件进行安全检测来确定下载的目标文件是否为非安全目标文件。所以能够有效防止对下载路径信息进行更改,不能与本地数据库中的下载路径信息匹配成功,而将下载的目标文件判断为安全目标文件的现象发生。
并且,为了解决现有技术中未对标识下载的目标文件是否为非安全数据的信息进行判断,导致对于每个下载的目标文件是否为非安全目标文件均需要进行判断,进而导致了网络安全处理效率较低的技术问题。本申请提供的网络安全处理方法,可以为:从第一客户端11a与目标云主机12之间的镜像流量中解析出下载路径信息,根据下载路径信息,从目标云主机12下载目标文件,获取目标文件的后缀名;根据目标文件的后缀名,确定目标文件是否为文本文件;若目标文件不是文本文件,则跳转至执行对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件的步骤;若目标文件是文本文件,则返回并迭代执行对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量的步骤。即由于对于文本文件,其通常为安全文件,所以若获取目标文件的后缀名,确定目标文件为文本文件,则不对该目标文件进行安全检测,默认其为安全目标文件,否则,对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件,进而确定目标云主机12上是否包含非安全文件。由于并不是像现有技术中对每个所需下载的目标文件均需要进行判断,所以提高了网络安全处理效率。
再者,相对于现有技术中,第一客户端11a和其他客户端11b采用同样的下载路径信息访问该目标云主机12进行目标文件下载时,都需要采用下载路径信息匹配的方式才能确定该目标云主机12为非安全主机,并且不再与该目标云主机12进行通信。本申请中,从第一客户端11a与目标云主机12之间的镜像流量中解析出目标云主机地址,若目标文件属于非安全目标文件,则将目标云主机地址标记为非安全对象。使得第一客户端11a和其他客户端11b不会再从该目标云主机12上下载数据,减少了现有技术中其他客户端11b进行下载路径信息匹配的步骤。所以提高网络安全处理效率。
图2为本申请实施例一提供的一种网络安全处理方法的流程图,如图2所示,该方法包括如下步骤:
步骤201:从第一客户端11a与目标云主机12之间的镜像流量中解析出下载路径信息。
结合图1所示,网络安全处理设备14可以与第一客户端11a与目标云主机12之间的路由器并联,以获取第一客户端11a与目标云主机12之间的镜像流量。第一客户端11a与目标云主机12之间的镜像流量包括:第一客户端11a向目标云主机12发送的请求下载消息,其中,该请求下载消息消息包括:下载路径信息,该下载路径信息可以为统一资源定位符(Uniform Resource Locator,简称URL)。
需要说明的是,本申请的镜像流量是动态流量,包括:通过七层协议传输产生的所有数据。
步骤202,根据下载路径信息,从目标云主机12下载目标文件。
步骤203,对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件。
结合步骤202和步骤203进行说明,以下载路径信息为URL为例,网络安全处理设备14通过该URL从目标云主机12上下载目标文件,网络安全处理设备通过杀毒软件对下载的目标文件进行病毒查杀,当查杀出下载的目标文件携带有病毒,则表示该下载的目标文件为非安全目标文件,从而确定目标云主机12上包含有非安全目标文件,相反,当确定下载的目标文件未携带有病毒,则表示该下载的目标文件为安全目标文件。
步骤204,若目标文件属于非安全目标文件,则将下载路径信息标记为非安全对象。
本申请实施例所提供的网络安全处理方法,通过从第一客户端11a与目标云主机12之间的镜像流量中解析出下载路径信息,根据下载路径信息,从目标云主机12下载目标文件,对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件,若目标文件属于非安全目标文件,则将下载路径信息和标记为非安全对象。相对于现有技术,即使对下载路径进行更改,使其不与本地数据库中的恶意下载路径信息匹配成功,也能够通过对真实下载的目标文件进行安全检测来确定下载的目标文件是否为非安全目标文件。所以能够有效防止对下载路径信息进行更改,不能与本地数据库中的下载路径信息匹配成功,而将下载的目标文件判断为安全目标文件的现象发生,进而有效防止客户端被非安全数据破坏。
图3为本申请实施例二提供的一种网络安全处理方法的流程图,如图3所示,本实施例在实施例一的基础上,在步骤201之前,还包括对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量的步骤,以及对步骤201和步骤204的进一步细化,则该方法包括如下步骤:
步骤301,对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量。具体地,本实施例中,网络安全处理设备14对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量,而并不是第一客户端11a获取该流量,这种网络安全处理设备获取镜像流量的方式可以保证第一客户端11a与目标云主机12之间的正常传输流量,即网络安全处理设备分析哪台目标云主机12包含有非安全数据的过程,与第一客户端11a与目标云主机12之间的流量传输过程是两个相互独立的过程,从而不影响第一客户端11a与目标云主机12之间的正常传输流量。
步骤302,从第一客户端11a与目标云主机12之间的镜像流量中解析出下载路径信息和目标云主机地址。
进一步地,本实施例中,从镜像流量中还解析出目标云主机地址,以便在确定目标文件属于非安全目标文件时,将目标云主机地址进行标记。
本实施例中,目标云主机地址可以为目标云主机的IP地址。
步骤303,根据下载路径信息,从目标云主机12下载目标文件。
步骤304,对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件。
本实施例中,步骤303-步骤304的实现方式与本申请实施例一中的步骤202-步骤203的实现方式相同,在此不再一一赘述。
步骤305,若目标文件属于非安全目标文件,则将下载路径信息和目标云主机地址标记为非安全对象。
本申请实施例提供的网络安全处理方法,通过对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量。使镜像处理得到镜像流量的过程、第一客户端11a与目标云主机12之间的流量传输过程是两个相互独立的过程,从而不影响第一客户端11a与目标云主机12之间的正常传输流量。并且第一客户端11a和其他客户端根据标记的目标云主机地址,在从目标云主机12获取目标文件前,可明确该目标云主机12上包含有非安全数据,所以使得第一客户端11a和其他客户端不会再从该目标云主机12上下载数据,进而提高网络安全处理效率。
基于实施例二的基础,本实施例对实施例二中的步骤302进行进一步细化,具体地,图4为本申请实施例三提供的一种网络安全处理方法的流程图,如图4所示,该方法包括如下步骤:
步骤401,对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量。
步骤402,对镜像流量进行应用层协议解析,获取第一客户端11a与目标云主机12之间所采用的应用层协议类型。
步骤403,采用应用层协议类型,解析镜像流量中所包含的下载路径信息和目标云主机地址。
进一步地,采用应用层协议类型,解析镜像流量中所包含的下载路径信息,包括:
根据应用层协议类型,确定下载路径信息在镜像流量中的位置;从位置处读取下载路径信息,以解析下载路径信息。
进一步地,采用应用层协议类型,解析镜像流量中所包含的目标云主机地址,包括:
根据应用层协议类型,确定目标云主机地址在镜像流量中的位置;从对应位置处读取目标云主机地址,以解析目标云主机地址。
结合步骤402和步骤403进行说明,上述应用层协议可以为超文本传送协议(Hypertext Transfer Protocol,简称HTTP),或者文件传输协议(File TransferProtocol,简称FTP)等,图5为本申请所提供的OSI七层协议示意图,如图5所示,第一客户端11a或者目标云主机12在发送数据时,依次经过物理层、数据链路层、网络层、传输层、会话层、表示层和应用层传输,每一层将增加相应的帧头信息等,相应的,第一客户端11a或者目标云主机12在接收数据时,依次经过应用层、表示层、会话层、传输层、网络层、数据链路层和物理层,每一层将实现数据的拆分,获取相应的信息。其中不同的应用层协议类型所对应的二进制码将不同,基于此,网络安全处理设备通过对镜像流量进行协议解析,获取第一客户端11a与目标云主机12之间所采用的应用层协议类型,根据应用层协议类型解析确定下载路径信息和目标云主机地址在第一镜像流量中的位置,从对应位置处读取下载路径信息和目标云主机地址,以解析下载路径信息和目标云主机地址。
步骤404,根据下载路径信息,从目标云主机12下载目标文件。
步骤405,对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件。
步骤406,若目标文件属于非安全目标文件,则将下载路径信息和目标云主机地址标记为非安全对象。
本实施例中,步骤404-步骤406的实现方式与本申请实施例二中的步骤303-步骤305的实现方式相同,在此不再一一赘述。
本申请实施例提供的网络安全处理方法,通过对镜像流量进行应用层协议解析,获取第一客户端11a与目标云主机12之间所采用的应用层协议类型,采用应用层协议类型,解析镜像流量中所包含的下载路径信息和目标云主机地址。使该方法适用于具有不同应用层协议类型的客户端与目标云主机12的通信中。
基于实施例三的基础,在上述步骤405之前还包括如下步骤:获取目标文件的后缀名;根据目标文件的后缀名,确定目标文件是否为文本文件;具体地,图6为本申请实施例三提供的一种网络安全处理方法的流程图,如图6所示,该方法包括如下步骤:
步骤601:对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量。
其中,步骤601与步骤401相同,对步骤601的解释说明在此不再赘述。
步骤602:对镜像流量进行应用层协议解析,获取第一客户端11a与目标云主机12之间所采用的应用层协议类型。
步骤603,采用应用层协议类型,解析镜像流量中所包含的下载路径信息和目标云主机地址。
步骤604,根据下载路径信息,从目标云主机12下载目标文件。
本实施例中,步骤601-步骤604的实现方式与本申请实施例三中的步骤401-步骤404的实现方式相同,在此不再一一赘述。
步骤605,获取目标文件的后缀名。
步骤606,根据目标文件的后缀名,确定目标文件是否为文本文件,若不是,则跳转至执行步骤607,否则,返回并迭代执行步骤601。
结合步骤605和步骤606进行说明,下载的文件的后缀名可以为.html或者.jsp等,其中,.html或者.jsp都是文本文件的后缀名,当获取下载的目标文件的后缀名不为上述的.html或者.jsp时,则确定下载的目标文件不是文本文件数据。
需要说明的是,本申请实施例中,是以文本文件的后缀名为.html或者.jsp进行举例说明的,本申请实施例并不对文本文件的后缀名限制于此。
通常当目标文件为文本文件数据时,则该目标文件为安全目标文件,否则,它可能为非安全目标文件,因此,当目标文件不是文本文件时,则跳转至执行对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件的步骤。
步骤607,对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件。
步骤608,若目标文件属于非安全目标文件,则将下载路径信息标记为非安全对象。
本实施例中,步骤607-步骤608的实现方式与本发明实施例三中的步骤405-步骤406的实现方式相同,在此不再一一赘述。
本申请实施例所提供的网络安全处理方法,在对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件,获取目标文件的后缀名,根据目标文件的后缀名,确定目标文件是否为文本文件,若目标文件为文本文件,才跳转至执行对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件的步骤,即并不是对所有的目标文件均进行安全检测,从而提高网络安全处理的效率。
基于实施例三的基础,在上述步骤405之前还包括如下步骤,具体地,获取目标文件的文件名;根据目标文件的文件名在本地数据库进行文件名匹配,其中,本地数据库包括非安全文件的文件名。图7为本申请实施例五提供的一种网络安全处理方法的流程图,如图7所示,该方法包括如下步骤:
步骤701:对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量。
其中,步骤701与步骤401相同,对步骤701的解释说明在此不再赘述。
步骤702:对镜像流量进行应用层协议解析,获取第一客户端11a与目标云主机12之间所采用的应用层协议类型。
步骤703,采用应用层协议类型,解析镜像流量中所包含的下载路径信息和目标云主机地址。
步骤704,根据下载路径信息,从目标云主机12下载目标文件。
本实施例中,步骤701-步骤704的实现方式与本申请实施例三中的步骤401-步骤404的实现方式相同,在此不再一一赘述。
步骤705:获取目标文件的文件名。
步骤706:根据目标文件的文件名在本地数据库进行文件名匹配,其中,本地数据库包括非安全文件的文件名,若匹配成功,则跳转至执行步骤707;否则,则执行步骤701;
结合步骤705和步骤706进行说明,本地数据库为网络安全处理设备中的本地数据库,它包括非安全文件的文件名,该非安全文件即为携带有病毒的文件。获取目标文件的文件名,根据目标文件的文件名在本地数据库进行文件名匹配,若匹配成功,则说明该目标文件为非安全目标文件,可能携带有病毒,则跳转至执行对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件的步骤,即并不是对所有的目标文件均进行安全检测。步骤707:对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件。
步骤708,若目标文件属于非安全目标文件,则将下载路径信息标记为非安全对象。
本实施例中,步骤707-步骤708的实现方式与本申请实施例三中步骤405-步骤406的实现方式相同,在此不再一一赘述。
本申请实施例所提供的网络安全处理方法,在对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件之前,获取目标文件的文件名。根据目标文件的文件名在本地数据库进行文件名匹配,其中,本地数据库包括非安全文件的文件名,当匹配成功时,才跳转至执行对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件的步骤,即并不是对所有的目标文件进行安全检测,从而提高网络安全处理的效率。
根据本申请的上述实施例,将本申请提供的网络安全处理方法代入一个具体的应用场景中,进行具体的实例说明,具体可为如下所述。
网络安全处理设备14对8:00-9:00这一时间段第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量,对镜像流量进行应用层协议解析,根据应用层协议类型对应的二进制码,确定应用层协议类型为超文本传送协议(HTTP),根据HTTP的应用层协议类型,确定URL和目标云主机IP地址在镜像流量中的位置,从对应的位置处分别读取URL和目标云主机的IP地址。其中,读取的URL为:http://jingyan.baidu.com/article/2c8c281df0afd00008252aa7.exe,读取的目标云主机地址为:103.242.109.31,根据该URL,从目标云主机12按照该下载路径下载目标文件,获取下载的目标文件的文件名为“2c8c281df0afd00008252aa7”,后缀名“.exe”。判断该目标文件的后缀名“.exe”是否为文本文件,判断方法可以将目标文件的后缀名“.exe”与预存储的多种文本文件的后缀名进行匹配,若匹配成功,则说明该目标文件为文本文件,否则不是文本文件。经过匹配,确定该目标文件的后缀名“.exe”匹配失败,则该目标文件不是文本文件,对该文件名为“2c8c281df0afd00008252aa7”的目标文件进行安全检测,具体采用杀毒软件对目标文件进行查杀处理,在进行查杀处理后,查出该目标文件中具有木马病毒程序。所以确定该目标文件属于非安全目标文件,为了防止第一客户端被该非安全的目标文件破坏,则将URL“http://jingyan.baidu.com/article/2c8c281df0afd00008252aa7.exe”和目标云主机的IP地址“103.242.109.31”标记为非安全对象。以在其他客户端请求从该目标主机下载文件时,提醒其他客户端该目标云主机中包括有非安全的目标文件以及含有的非安全目标文件对应的下载路径信息,有效防止其他客户端被非安全数据破坏。
以下将详细描述根据本申请的一个或多个实施例的网络安全处理设备。这些网络安全处理设备可以被实现在计算机或移动终端的基础架构中,也可以被实现在目标云主机12和客户端的交互系统中。本领域技术人员可以理解,这些网络安全处理设备均可使用市售的硬件组件通过本方案所教导的步骤进行配置来构成。例如,处理器组件(或处理模块、处理单元)可以使用来自德州仪器公司、英特尔公司、ARM公司、等企业的单片机、微控制器、微处理器等组件。
图8为本申请实施例六提供的网络安全处理设备的结构示意图,如图8所示,该网络安全处理设备包括:解析模块801、下载模块802、安全检测模块803和标记模块804。
解析模块801,用于从第一客户端11a与目标云主机12之间的镜像流量中解析出下载路径信息。下载模块802,用于根据下载路径信息,从目标云主机12下载目标文件。安全检测模块803,用于对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件。若目标文件属于非安全目标文件,则标记模块804,用于将下载路径信息标记为非安全对象。
本申请实施例六提供的网络安全处理设备,可用于执行图2所示的网络安全处理方法,其具体的实现过程及有益效果与上述实施例类似,在此不再赘述。
基于图8所示的网络安全处理设备,进一步地,图9为本申请实施例七提供的网络安全处理设备的结构示意图,如图9所示,该网络安全处理设备还包括:处理模块901。
处理模块901还用于:对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量。
进一步地,解析模块801,还用于:从镜像流量中解析出目标云主机地址。
相应的,若目标文件属于非安全目标文件,则标记模块804,还用于将目标云主机地址标记为非安全对象。
本申请实施例七提供的网络安全处理设备,可用于执行图3所示的网络安全处理方法,其具体的实现过程及有益效果与上述实施例类似,在此不再赘述。
基于图9所示的网络安全处理设备,进一步地,图10为本申请实施例八提供的网络安全处理设备的结构示意图,如图10所示,该网络安全处理设备中的解析模块801,包括:第一解析单元801a和第二解析单元801b。
进一步地,第一解析单元801a,用于对镜像流量进行应用层协议解析,获取第一客户端11a与目标云主机12之间所采用的应用层协议类型;第二解析单元801b,用于采用应用层协议类型,解析镜像流量中所包含的下载路径信息。
其中,第二解析单元801b,具体用于:根据应用层协议类型,确定下载路径信息在镜像流量中的位置;从位置处读取下载路径信息,以解析下载路径信息。
本申请实施例八提供的网络安全处理设备,可用于执行图4所示的网络安全处理方法,其具体的实现过程及有益效果与上述实施例类似,在此不再赘述。
基于图10所示的网络安全处理设备,进一步地,图11为本申请实施例九提供的网络安全处理设备的结构示意图,如图11所示,该网络安全处理设备还包括:第一获取模块1101和确定模块1102。
进一步地,第一获取模块1101,用于获取目标文件的后缀名。确定模块1102,用于根据目标文件的后缀名,确定目标文件是否为文本文件。若目标文件不是文本文件,则跳转至安全检测模块803执行对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件的步骤;若目标文件是文本文件,则返回处理模块901迭代执行对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量的步骤。
本申请实施例九提供的网络安全处理设备,可用于执行图6所示的网络安全处理方法,其具体的实现过程及有益效果与上述实施例类似,在此不再赘述。
基于图10所示的网络安全处理设备,进一步地,图12为本申请实施例十提供的网络安全处理设备的结构示意图,如图12所示,该网络安全处理设备还包括:第二获取模块1201和匹配模块1202。
进一步地,第二获取模块1201,用于获取目标文件的文件名。匹配模块1202,用于根据目标文件的文件名在本地数据库进行文件名匹配,其中,本地数据库包括非安全文件的文件名。若匹配成功,则跳转至安全检测模块803执行对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件的步骤。若匹配失败,则返回处理模块901迭代执行对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量的步骤。
本申请实施例十提供的网络安全处理设备,可用于执行图7所示的网络安全处理方法,其具体的实现过程及有益效果与上述实施例类似,在此不再赘述。
图13为本申请实施例十一提供的网络安全处理设备的结构示意图,如图13所示,该网络安全处理设备包括:存储器1301处理器1302。
其中,存储器1301,用于存储处理器可执行指令。
处理器1302用于:从第一客户端11a与目标云主机12之间的镜像流量中解析出下载路径信息;根据下载路径信息,从目标云主机12下载目标文件;对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件;若目标文件属于非安全目标文件,则将下载路径信息标记为非安全对象。
进一步地,处理器1302还用于:对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量。
可选地,处理器1302还用于:获取目标文件的后缀名;根据目标文件的后缀名,确定目标文件是否为文本文件;若目标文件不是文本文件,则跳转至执行对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件的步骤;若目标文件是文本文件,则返回并迭代执行对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量的步骤。
可选地,处理器1302还用于:获取目标文件的文件名;根据目标文件的文件名在本地数据库进行文件名匹配,其中,本地数据库包括非安全文件的文件名;若匹配成功,则跳转至执行对目标文件进行安全检测,以确定目标文件是否属于非安全目标文件的步骤;若匹配失败,则返回并迭代执行对第一客户端11a发送给目标云主机12的流量进行镜像处理,得到镜像流量的步骤。
进一步地,处理器1302具体用于:对镜像流量进行应用层协议解析,获取第一客户端11a与目标云主机12之间所采用的应用层协议类型;采用应用层协议类型,解析镜像流量中所包含的下载路径信息。
进一步地,处理器1302具体用于:根据应用层协议类型,确定下载路径信息在镜像流量中的位置;从位置处读取下载路径信息,以解析下载路径信息。
进一步地,处理器1302还用于:从镜像流量中解析出目标云主机地址;相应的,若目标文件属于非安全目标文件,则还包括:将目标云主机地址标记为非安全对象。
本申请实施例十一提供的网络安全处理设备,可用于执行上述实施例的网络安全处理方法,其具体的实现过程及有益效果与上述实施例类似,在此不再赘述。
本申请实施例十二还提供一种处理器可读存储介质。该存储介质中存储有程序指令,该程序指令用于使处理器执行上述任一实施例所述的网络安全处理方法。
上述可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
图14是本申请一实施例提供的一种用于网络安全处理设备1400的框图。例如,设备1400可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图14,设备1400可以包括以下一个或多个组件:处理组件1402,存储器1404,电力组件1406,多媒体组件1408,音频组件1410,输入/输出(I/O)的接口1412,传感器组件1414,以及通信组件1416。
处理组件1402通常控制设备1400的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件1402可以包括一个或多个处理器1420来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件1402可以包括一个或多个模块,便于处理组件1402和其他组件之间的交互。例如,处理组件1402可以包括多媒体模块,以方便多媒体组件1408和处理组件1402之间的交互。
存储器1404被配置为存储各种类型的数据以支持在设备800的操作。这些数据的示例包括用于在设备1400上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器1404可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电力组件1406为设备1400的各种组件提供电力。电力组件1406可以包括电源管理系统,一个或多个电源,及其他与为设备1400生成、管理和分配电力相关联的组件。
多媒体组件1408包括在所述设备1400和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件1408包括一个前置摄像头和/或后置摄像头。当设备800处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件1410被配置为输出和/或输入音频信号。例如,音频组件1410包括一个麦克风(MIC),当设备1400处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器1404或经由通信组件1416发送。在一些实施例中,音频组件1410还包括一个扬声器,用于输出音频信号。
I/O接口1412为处理组件1402和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件1414包括一个或多个传感器,用于为设备1400提供各个方面的状态评估。例如,传感器组件1414可以检测到设备800的打开/关闭状态,组件的相对定位,例如所述组件为设备1400的显示器和小键盘,传感器组件1414还可以检测设备1400或设备1400一个组件的位置改变,用户与设备1400接触的存在或不存在,设备1400方位或加速/减速和设备1400的温度变化。传感器组件1414可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件1414还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件1414还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件1416被配置为便于设备1400和其他设备之间有线或无线方式的通信。设备1400可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件1416经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件1416还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,设备1400可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (17)
1.一种网络安全处理方法,其特征在于,包括:
从第一客户端与目标云主机之间的镜像流量中解析出下载路径信息;
根据所述下载路径信息,从所述目标云主机下载目标文件;
对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件;
若所述目标文件属于非安全目标文件,则将所述下载路径信息标记为非安全对象。
2.根据权利要求1所述的方法,其特征在于,在所述从第一客户端与目标云主机之间的镜像流量中解析出下载路径信息之前,还包括:
对所述第一客户端发送给所述目标云主机的流量进行镜像处理,得到镜像流量。
3.根据权利要求2所述的方法,其特征在于,在所述对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件之前,还包括:
获取所述目标文件的后缀名;
根据所述目标文件的后缀名,确定所述目标文件是否为文本文件;
若所述目标文件不是文本文件,则跳转至执行对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件的步骤;
若所述目标文件是所述文本文件,则返回并迭代执行对所述第一客户端发送给所述目标云主机的流量进行镜像处理,得到镜像流量的步骤。
4.根据权利要求2所述的方法,其特征在于,在所述对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件之前,还包括:
获取所述目标文件的文件名;
根据所述目标文件的文件名在本地数据库进行文件名匹配,其中,所述本地数据库包括非安全文件的文件名;
若匹配成功,则跳转至执行对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件的步骤;
若匹配失败,则返回并迭代执行对所述第一客户端发送给所述目标云主机的流量进行镜像处理,得到镜像流量的步骤。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述从第一客户端与目标云主机之间的镜像流量中解析出下载路径信息,包括:
对所述镜像流量进行应用层协议解析,获取所述第一客户端与所述目标云主机之间所采用的应用层协议类型;
采用所述应用层协议类型,解析所述镜像流量中所包含的所述下载路径信息。
6.根据权利要求5所述的方法,其特征在于,所述采用所述应用层协议类型,解析所述镜像流量中所包含的所述下载路径信息,包括:
根据所述应用层协议类型,确定所述下载路径信息在所述镜像流量中的位置;
从所述位置处读取所述下载路径信息,以解析所述下载路径信息。
7.根据权利要求6所述方法,其特征在于,还包括:
从所述镜像流量中解析出所述目标云主机地址;
相应的,所述若所述目标文件属于非安全目标文件,则还包括:
将所述目标云主机地址标记为非安全对象。
8.一种网络安全处理设备,其特征在于,包括:解析模块、下载模块、安全检测模块和标记模块;
所述解析模块,用于从第一客户端与目标云主机之间的镜像流量中解析出下载路径信息;
所述下载模块,用于根据所述下载路径信息,从所述目标云主机下载目标文件;
所述安全检测模块,用于对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件;
若所述目标文件属于非安全目标文件,则所述标记模块,用于将所述下载路径信息标记为非安全对象。
9.根据权利要求8所述的设备,其特征在于,还包括:处理模块,用于:
对所述第一客户端发送给所述目标云主机的流量进行镜像处理,得到镜像流量。
10.根据权利要求8或9所述的设备,其特征在于,所述解析模块,包括:
第一解析单元,用于对所述镜像流量进行应用层协议解析,获取所述第一客户端与所述目标云主机之间所采用的应用层协议类型;
第二解析单元,用于采用所述应用层协议类型,解析所述镜像流量中所包含的所述下载路径信息。
11.一种网络安全处理设备,其特征在于,包括:存储器和处理器;
所述存储器,用于存储所述处理器可执行指令:
所述处理器,用于从第一客户端与目标云主机之间的镜像流量中解析出下载路径信息;根据所述下载路径信息,从所述目标云主机下载目标文件;对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件;若所述目标文件属于非安全目标文件,则将所述下载路径信息标记为非安全对象。
12.根据权利要求11所述的设备,其特征在于,所述处理器还用于:
对所述第一客户端发送给所述目标云主机的流量进行镜像处理,得到镜像流量。
13.根据权利要求12所述的设备,其特征在于,所述处理器还用于:
获取所述目标文件的后缀名;
根据所述目标文件的后缀名,确定所述目标文件是否为文本文件;
若所述目标文件不是文本文件,则跳转至执行对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件的步骤;
若所述目标文件是所述文本文件,则返回并迭代执行对所述第一客户端发送给所述目标云主机的流量进行镜像处理,得到镜像流量的步骤。
14.根据权利要求12所述的设备,其特征在于,所述处理器还用于:
获取所述目标文件的文件名;
根据所述目标文件的文件名在本地数据库进行文件名匹配,其中,所述本地数据库包括非安全文件的文件名;
若匹配成功,则跳转至执行对所述目标文件进行安全检测,以确定所述目标文件是否属于非安全目标文件的步骤;
若匹配失败,则返回并迭代执行对所述第一客户端发送给所述目标云主机的流量进行镜像处理,得到镜像流量的步骤。
15.根据权利要求11-14任一项所述的设备,其特征在于,所述处理器具体用于:
对所述镜像流量进行应用层协议解析,获取所述第一客户端与所述目标云主机之间所采用的应用层协议类型;
采用所述应用层协议类型,解析所述镜像流量中所包含的所述下载路径信息。
16.根据权利要求15所述的设备,其特征在于,所述处理器具体用于:
根据所述应用层协议类型,确定所述下载路径信息在所述镜像流量中的位置;
从所述位置处读取所述下载路径信息,以解析所述下载路径信息。
17.根据权利要求16所述的设备,其特征在于,所述处理器还用于:
从所述镜像流量中解析出所述目标云主机地址;
相应的,所述若所述目标文件属于非安全目标文件,则还包括:
将所述目标云主机地址标记为非安全对象。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610830175.4A CN107846381B (zh) | 2016-09-18 | 2016-09-18 | 网络安全处理方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610830175.4A CN107846381B (zh) | 2016-09-18 | 2016-09-18 | 网络安全处理方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107846381A true CN107846381A (zh) | 2018-03-27 |
| CN107846381B CN107846381B (zh) | 2021-02-09 |
Family
ID=61656623
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610830175.4A Active CN107846381B (zh) | 2016-09-18 | 2016-09-18 | 网络安全处理方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107846381B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110032414A (zh) * | 2019-03-06 | 2019-07-19 | 联想企业解决方案(新加坡)有限公司 | 远程控制台模式下安全的用户认证的装置和方法 |
| CN111125701A (zh) * | 2019-12-24 | 2020-05-08 | 深信服科技股份有限公司 | 文件检测方法、设备、存储介质及装置 |
| CN111262934A (zh) * | 2020-01-16 | 2020-06-09 | 南京领行科技股份有限公司 | 一种文件解析方法及装置 |
| CN115766099A (zh) * | 2022-10-24 | 2023-03-07 | 国家能源蓬莱发电有限公司 | 一种网络安全处理方法与装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004102430A (ja) * | 2002-09-05 | 2004-04-02 | Ntt Docomo Inc | 構造化文書ファイル処理装置、構造化文書ファイル処理方法、プログラム及び記憶媒体 |
| CN101228508A (zh) * | 2005-07-21 | 2008-07-23 | 国际商业机器公司 | 以安全方式从引导文件服务器下载引导镜像文件的方法、装置和程序产品 |
| CN102469146A (zh) * | 2010-11-19 | 2012-05-23 | 北京奇虎科技有限公司 | 一种云安全下载方法 |
| CN102571767A (zh) * | 2011-12-24 | 2012-07-11 | 成都市华为赛门铁克科技有限公司 | 文件类型识别方法及文件类型识别装置 |
| CN102693374A (zh) * | 2011-09-23 | 2012-09-26 | 新奥特(北京)视频技术有限公司 | 数据安全防控中文件分析方法、用户设备、服务器及系统 |
| CN102882923A (zh) * | 2012-07-25 | 2013-01-16 | 北京亿赛通科技发展有限责任公司 | 移动终端安全存储系统及方法 |
| US20140258717A1 (en) * | 2013-03-06 | 2014-09-11 | Intellectual Discovery Co., Ltd. | Cloud application installed in client terminal connected to cloud server |
| CN105187394A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 具有移动终端恶意软件行为检测能力的代理服务器及方法 |
| CN105607944A (zh) * | 2015-12-18 | 2016-05-25 | 北京奇虎科技有限公司 | 一种共享应用环境的方法及装置 |
| CN105893462A (zh) * | 2016-03-20 | 2016-08-24 | 百势软件(北京)有限公司 | 一种用户网络行为分析方法及装置 |
-
2016
- 2016-09-18 CN CN201610830175.4A patent/CN107846381B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004102430A (ja) * | 2002-09-05 | 2004-04-02 | Ntt Docomo Inc | 構造化文書ファイル処理装置、構造化文書ファイル処理方法、プログラム及び記憶媒体 |
| CN101228508A (zh) * | 2005-07-21 | 2008-07-23 | 国际商业机器公司 | 以安全方式从引导文件服务器下载引导镜像文件的方法、装置和程序产品 |
| CN102469146A (zh) * | 2010-11-19 | 2012-05-23 | 北京奇虎科技有限公司 | 一种云安全下载方法 |
| CN102693374A (zh) * | 2011-09-23 | 2012-09-26 | 新奥特(北京)视频技术有限公司 | 数据安全防控中文件分析方法、用户设备、服务器及系统 |
| CN102571767A (zh) * | 2011-12-24 | 2012-07-11 | 成都市华为赛门铁克科技有限公司 | 文件类型识别方法及文件类型识别装置 |
| CN102882923A (zh) * | 2012-07-25 | 2013-01-16 | 北京亿赛通科技发展有限责任公司 | 移动终端安全存储系统及方法 |
| US20140258717A1 (en) * | 2013-03-06 | 2014-09-11 | Intellectual Discovery Co., Ltd. | Cloud application installed in client terminal connected to cloud server |
| CN105187394A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 具有移动终端恶意软件行为检测能力的代理服务器及方法 |
| CN105607944A (zh) * | 2015-12-18 | 2016-05-25 | 北京奇虎科技有限公司 | 一种共享应用环境的方法及装置 |
| CN105893462A (zh) * | 2016-03-20 | 2016-08-24 | 百势软件(北京)有限公司 | 一种用户网络行为分析方法及装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110032414A (zh) * | 2019-03-06 | 2019-07-19 | 联想企业解决方案(新加坡)有限公司 | 远程控制台模式下安全的用户认证的装置和方法 |
| CN110032414B (zh) * | 2019-03-06 | 2023-06-06 | 联想企业解决方案(新加坡)有限公司 | 远程控制台模式下安全的用户认证的装置和方法 |
| CN111125701A (zh) * | 2019-12-24 | 2020-05-08 | 深信服科技股份有限公司 | 文件检测方法、设备、存储介质及装置 |
| CN111125701B (zh) * | 2019-12-24 | 2022-04-29 | 深信服科技股份有限公司 | 文件检测方法、设备、存储介质及装置 |
| CN111262934A (zh) * | 2020-01-16 | 2020-06-09 | 南京领行科技股份有限公司 | 一种文件解析方法及装置 |
| CN115766099A (zh) * | 2022-10-24 | 2023-03-07 | 国家能源蓬莱发电有限公司 | 一种网络安全处理方法与装置 |
| CN115766099B (zh) * | 2022-10-24 | 2023-08-08 | 国家能源蓬莱发电有限公司 | 一种网络安全处理方法与装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107846381B (zh) | 2021-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10601865B1 (en) | Detection of credential spearphishing attacks using email analysis | |
| CN106936793B (zh) | 一种信息拦截处理方法及终端 | |
| CN106161381B (zh) | 用于去混淆脚本化语言的设备和方法以及计算机可读介质 | |
| CN103155513B (zh) | 加速认证的方法和装置 | |
| CN104601641B (zh) | 应用链接分享方法、装置及系统 | |
| US20080046738A1 (en) | Anti-phishing agent | |
| CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| US20160241589A1 (en) | Method and apparatus for identifying malicious website | |
| CN107277153A (zh) | 用于提供语音服务的方法、装置和服务器 | |
| CN110489626A (zh) | 一种信息采集方法和装置 | |
| CN107278361A (zh) | 在即时消息传递期间传输媒体内容 | |
| CN107846381A (zh) | 网络安全处理方法及设备 | |
| CN111163095B (zh) | 网络攻击分析方法、网络攻击分析装置、计算设备和介质 | |
| CN107016074B (zh) | 一种网页加载方法及装置 | |
| JP2019530295A (ja) | ネットワークベースの広告データトラフィックレイテンシ削減 | |
| CN109862003A (zh) | 本地威胁情报库的生成方法、装置、系统及存储介质 | |
| CN108494762A (zh) | 网页访问方法、装置及计算机可读存储介质、终端 | |
| EP3176719A1 (en) | Methods and devices for acquiring certification document | |
| CN107506646A (zh) | 恶意应用的检测方法、装置及计算机可读存储介质 | |
| US20230153434A1 (en) | Machine learning-based malicious attachment detector | |
| CN106534280B (zh) | 数据分享方法及装置 | |
| CN110348210A (zh) | 安全防护方法及装置 | |
| CN111163094A (zh) | 网络攻击检测方法、网络攻击检测装置、电子设备和介质 | |
| KR20020027702A (ko) | 인터넷상에서 유해 사이트 접속을 차단하는 방법 | |
| CN106095781A (zh) | 恶意网站识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |