CN109474568B - 针对利用域前置技术实现恶意攻击的检测方法及系统 - Google Patents

针对利用域前置技术实现恶意攻击的检测方法及系统 Download PDF

Info

Publication number
CN109474568B
CN109474568B CN201711419692.3A CN201711419692A CN109474568B CN 109474568 B CN109474568 B CN 109474568B CN 201711419692 A CN201711419692 A CN 201711419692A CN 109474568 B CN109474568 B CN 109474568B
Authority
CN
China
Prior art keywords
field
result
sni
matching
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711419692.3A
Other languages
English (en)
Other versions
CN109474568A (zh
Inventor
邢宝玉
李柏松
王小丰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN201711419692.3A priority Critical patent/CN109474568B/zh
Publication of CN109474568A publication Critical patent/CN109474568A/zh
Application granted granted Critical
Publication of CN109474568B publication Critical patent/CN109474568B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出一种针对利用域前置技术实现恶意攻击的检测方法及系统,所述方法通过设置终端TLS协议数据报文过滤条件,对数据流进行监控,获得进程PID信息和SNI信息;利用钩子程序对特定进程的流量进行监控,并提取构造的HTTP报文数据的HOST消息,将HOST字段与SNI字段比较,如果返回值为真,则恢复所述进程,否则阻断该进程并发出告警信息。本发明还给出对应系统。通过本发明的技术方案可以提供在终端的检测,避免由于使用HTTPS加密数据而难以检测恶意流量信息。

Description

针对利用域前置技术实现恶意攻击的检测方法及系统
技术领域
本发明涉及计算机网络安全领域,特别涉及一种针对利用域前置技术实现恶意攻击的检测方法及系统。
背景技术
随着APT攻击已经是网络空间的常态存在,而其未来增量部分将主要来自两个因素:一是针对新兴的关键信息基础设施和传统基础设施的信息化;二是由于攻击面不断扩大、攻击成本不断下降而导致的入场门槛降低。与此同时,对APT攻击的检测、追溯、曝光和全网止损也同样成为常态化的反制动作。
域前置(Domain Fronting)技术,其特点在于,真正访问的域名并不是看到的域名,即可以隐藏攻击者的真实地址,并且此技术能够让我们在一些受限制的网络中依然连接到我们的C&C服务器,其关键思想是在不同的通信层使用不同的域名,在HTTPS请求中,目标域名通常显示在三个关键位置:DNS查询,TLS(SNI)拓展及HTTP HOST主机头中,通常,这三个地方都会是我们要访问的域名地址,然而,在请求domain fronting中,DNS查询以及SNI携带了一个域名(前域),而在HTTP HOST头中携带了另一个域名(隐蔽的,被禁止访问的域名)。
目前代理规避存在的主要检测手段包括根据内容阻断(深度包检测技术DPI),根据IP地址阻断,活动探针三种策略。而对于利用domain fronting技术传输的加密报文如HTTPS时,通常检查器不能阻止DNS及SNI中正常请求的内容,并且HOST字段内容已被加密因而对检查器不可见,但接收HTTPS请求的前端服务器可见。许多流行云服务和CDN,如Google,Amazon Cloudfront,Amazon S3,Azure,CloudFlare,Fastly和Akamai等高信誉域名可以被黑客利用作为C&C地址隐藏恶意活动踪迹。
发明内容
针对上述问题,本发明提出了一种针对利用域前置技术实现恶意攻击的检测方法及系统,通过在加密通信协议TLS握手阶段结束,生成用于加密流量数据的会话密钥时,利用HOOK钩子记录进程信息和SNI信息,HOOK钩子拦截进程构造的数据报文,获取报文中HOST字段数据并与SNI比较,来判断是否为采用了域前置技术的恶意攻击。
首先,本发明通过一种针对利用域前置技术实现恶意攻击的检测方法实现,所述方法包括:
S101,设置终端安全传输层协议数据报文过滤条件,对安全传输层协议握手阶段数据流进行监控,捕获符合过滤条件的报文;
S102,分析捕获的报文,并记录进程PID信息和SNI字段信息;
S103,设置所述进程构造数据报文函数的HOOK钩子,监控所述进程的HTTP流量;
S104,提取所述进程构造的HTTP报文的HOST字段数据;
S105,将所述HOST字段数据与SNI字段信息比较,如果HOST字段和SNI字段同为域名或IP地址,则执行步骤S106;如果HOST字段为域名,SNI字段为IP地址,或HOST字段为IP地址,SNI字段为域名,则执行步骤S107;
S106,将HOST字段数据与SNI字段信息直接进行字符串匹配,如果匹配成功,则结果为真,否则结果为假;
S107,向HOST字段或SNI字段的域名发起DNS请求,将请求结果与HOST字段或SNI字段的IP地址匹配,如果匹配成功,则结果为真,否则结果为假;
S108,根据匹配返回结果,如果为真,则恢复所述进程,否则阻断所述进程并发出告警信息。
所述的方法中,所述设置终端安全传输层协议数据报文过滤条件,对安全传输层协议握手阶段数据流进行监控,捕获符合过滤条件的报文,具体为:指定获取报文的端口,在终端获取所述端口的安全传输层协议流量数据报文;当终端向服务端发出加密通信请求,且获得服务端的应答,则捕获加密通信请求报文。
所述的方法中,所述设置所述进程构造数据报文函数的HOOK钩子,监控所述进程的HTTP流量,具体为:根据进程PID信息,设置所述进程构造数据报文函数的HOOK钩子函数,当进程封装HTTP报文时,触发HOOK钩子函数,挂起所述进程。
所述的方法中,所述向HOST字段或SNI字段的域名发起DNS请求,将请求结果与HOST字段或SNI字段的IP地址匹配,具体为:如果HOST字段为域名,则发起DNS请求,将得到的IP地址与SNI中的IP地址匹配,如果匹配成功则结果为真,否则结果为假;
如果SNI字段为域名,则发起DNS请求,将得到的IP地址与HOST中的IP地址匹配,如果匹配成功则结果为真,否则结果为假。
本发明还相应提出一种针对利用域前置技术实现恶意攻击的检测系统,包括:
捕获模块,设置终端安全传输层协议数据报文过滤条件,对安全传输层协议握手阶段数据流进行监控,捕获符合过滤条件的报文;
分析模块,分析捕获的报文,并记录进程PID信息和SNI字段信息;
监控模块,设置所述进程构造数据报文函数的HOOK钩子,监控所述进程的HTTP流量;
数据提取模块,提取所述进程构造的HTTP报文的HOST字段数据;
对比模块,将所述HOST字段数据与SNI字段信息比较,如果HOST字段和SNI字段同为域名或IP地址,则转到第一匹配模块;如果HOST字段为域名,SNI字段为IP地址,或HOST字段为IP地址,SNI字段为域名,则转到第二匹配模块;
第一匹配模块,将HOST字段数据与SNI字段信息直接进行字符串匹配,如果匹配成功,则结果为真,否则结果为假;
第二匹配模块,向HOST字段或SNI字段的域名发起DNS请求,将请求结果与HOST字段或SNI字段的IP地址匹配,如果匹配成功,则结果为真,否则结果为假;
执行模块,根据匹配返回结果,如果为真,则恢复所述进程,否则阻断所述进程并发出告警信息。
所述的系统中,所述设置终端安全传输层协议数据报文过滤条件,对安全传输层协议握手阶段数据流进行监控,捕获符合过滤条件的报文,具体为:指定获取报文的端口,在终端获取所述端口的安全传输层协议流量数据报文;当终端向服务端发出加密通信请求,且获得服务端的应答,则捕获加密通信请求报文。
所述的系统中,所述设置所述进程构造数据报文函数的HOOK钩子,监控所述进程的HTTP流量,具体为:根据进程PID信息,设置所述进程构造数据报文函数的HOOK钩子函数,当进程封装HTTP报文时,触发HOOK钩子函数,挂起所述进程。
所述的系统中,所述向HOST字段或SNI字段的域名发起DNS请求,将请求结果与HOST字段或SNI字段的IP地址匹配,具体为:如果HOST字段为域名,则发起DNS请求,将得到的IP地址与SNI中的IP地址匹配,如果匹配成功则结果为真,否则结果为假;
如果SNI字段为域名,则发起DNS请求,将得到的IP地址与HOST中的IP地址匹配,如果匹配成功则结果为真,否则结果为假。
一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述针对利用域前置技术实现恶意攻击的检测方法。
一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,执行上述针对利用域前置技术实现恶意攻击的检测方法。
本发明的优势在于,能够通过在加密通信协议TLS握手阶段结束,生成用于加密流量数据的会话密钥时,利用HOOK钩子记录进程信息和SNI信息,HOOK钩子拦截进程构造的数据报文,获取报文中HOST字段数据并与SNI比较,来判断是否为采用了域前置技术的恶意攻击。该方法提供了一种在计算机终端检测恶意代码利用域前置技术的方法,避免了由于攻击者使用HTTPS加密数据而难以检测恶意流量信息的问题。该方法能够有效检测使用域前置技术的隐匿攻击,及时阻断进程,缓解攻击。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种针对利用域前置技术实现恶意攻击的检测方法实施例流程图;
图2为本发明一种针对利用域前置技术实现恶意攻击的检测系统结构示意图;
图3为本发明一种电子设备实施例的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
针对上述问题,本发明提出了一种针对利用域前置技术实现恶意攻击的检测方法及系统,通过在加密通信协议TLS握手阶段结束,生成用于加密流量数据的会话密钥时,利用HOOK钩子记录进程信息和SNI信息,HOOK钩子拦截进程构造的数据报文,获取报文中HOST字段数据并与SNI比较,来判断是否为采用了域前置技术的恶意攻击。
首先,本发明通过一种针对利用域前置技术实现恶意攻击的检测方法实现,如图1所示,所述方法包括:
S101,设置终端安全传输层协议数据报文过滤条件,对安全传输层协议握手阶段数据流进行监控,捕获符合过滤条件的报文;
S102,分析捕获的报文,并记录进程PID信息和SNI字段信息;
即将捕获的报文拆解,记录SSL报文扩展字段Server Name Indicationextension中的Server Name内容,即SNI字段信息;同时记录所述报文中的进程PID信息;
S103,设置所述进程构造数据报文函数的HOOK钩子,监控所述进程的HTTP流量;
S104,提取所述进程构造的HTTP报文的HOST字段数据;
S105,将所述HOST字段数据与SNI字段信息比较,如果HOST字段和SNI字段同为域名或IP地址,则执行步骤S106;如果HOST字段为域名,SNI字段为IP地址,或HOST字段为IP地址,SNI字段为域名,则执行步骤S107;
S106,将HOST字段数据与SNI字段信息直接进行字符串匹配,如果匹配成功,则结果为真,否则结果为假;
S107,向HOST字段或SNI字段的域名发起DNS请求,将请求结果与HOST字段或SNI字段的IP地址匹配,如果匹配成功,则结果为真,否则结果为假;
S108,根据匹配返回结果,如果为真,则恢复所述进程,否则阻断所述进程并发出告警信息。
所述的方法中,所述设置终端安全传输层协议数据报文过滤条件,对安全传输层协议握手阶段数据流进行监控,捕获符合过滤条件的报文,具体为:指定获取报文的端口,如443端口,在终端获取所述端口的安全传输层协议流量数据报文;当终端向服务端发出加密通信请求即Client Hello请求报文,且获得服务端的应答,即返回的Server Hello报文,则捕获加密通信请求报文。
所述的方法中,所述设置所述进程构造数据报文函数的HOOK钩子,监控所述进程的HTTP流量,具体为:根据进程PID信息,设置所述进程构造数据报文函数的HOOK钩子函数,当进程封装HTTP报文时,触发HOOK钩子函数,挂起所述进程。
所述的方法中,所述向HOST字段或SNI字段的域名发起DNS请求,将请求结果与HOST字段或SNI字段的IP地址匹配,具体为:如果HOST字段为域名,则发起DNS请求,将得到的IP地址与SNI中的IP地址匹配,如果匹配成功则结果为真,否则结果为假;
如果SNI字段为域名,则发起DNS请求,将得到的IP地址与HOST中的IP地址匹配,如果匹配成功则结果为真,否则结果为假。
本发明还相应提出一种针对利用域前置技术实现恶意攻击的检测系统,如图2所示,包括:
捕获模块201,设置终端安全传输层协议数据报文过滤条件,对安全传输层协议握手阶段数据流进行监控,捕获符合过滤条件的报文;
分析模块202,分析捕获的报文,并记录进程PID信息和SNI字段信息;
监控模块203,设置所述进程构造数据报文函数的HOOK钩子,监控所述进程的HTTP流量;
数据提取模块204,提取所述进程构造的HTTP报文的HOST字段数据;
对比模块205,将所述HOST字段数据与SNI字段信息比较,如果HOST字段和SNI字段同为域名或IP地址,则转到第一匹配模块;如果HOST字段为域名,SNI字段为IP地址,或HOST字段为IP地址,SNI字段为域名,则转入第二匹配模块;
第一匹配模块206,将HOST字段数据与SNI字段信息直接进行字符串匹配,如果匹配成功,则结果为真,否则结果为假;
第二匹配模块207,向HOST字段或SNI字段的域名发起DNS请求,将请求结果与HOST字段或SNI字段的IP地址匹配,如果匹配成功,则结果为真,否则结果为假;
执行模块208,根据匹配返回结果,如果为真,则恢复所述进程,否则阻断所述进程并发出告警信息。
所述的系统中,所述设置终端安全传输层协议数据报文过滤条件,对安全传输层协议握手阶段数据流进行监控,捕获符合过滤条件的报文,具体为:指定获取报文的端口,在终端获取所述端口的安全传输层协议流量数据报文;当终端向服务端发出加密通信请求,且获得服务端的应答,则捕获加密通信请求报文。
所述的系统中,所述设置所述进程构造数据报文函数的HOOK钩子,监控所述进程的HTTP流量,具体为:根据进程PID信息,设置所述进程构造数据报文函数的HOOK钩子函数,当进程封装HTTP报文时,触发HOOK钩子函数,挂起所述进程。
所述的系统中,所述向HOST字段或SNI字段的域名发起DNS请求,将请求结果与HOST字段或SNI字段的IP地址匹配,具体为:如果HOST字段为域名,则发起DNS请求,将得到的IP地址与SNI中的IP地址匹配,如果匹配成功则结果为真,否则结果为假;
如果SNI字段为域名,则发起DNS请求,将得到的IP地址与HOST中的IP地址匹配,如果匹配成功则结果为真,否则结果为假。
一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述针对利用域前置技术实现恶意攻击的检测方法。
一种电子设备,如图3所示,包括:壳体301、处理器302、存储器303、电路板304和电源电路305,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,执行上述针对利用域前置技术实现恶意攻击的检测方法。
本发明的优势在于,能够通过在加密通信协议TLS握手阶段结束,生成用于加密流量数据的会话密钥时,利用HOOK钩子记录进程信息和SNI信息,HOOK钩子拦截进程构造的数据报文,获取报文中HOST字段数据并与SNI比较,来判断是否为采用了域前置技术的恶意攻击。该方法提供了一种在计算机终端检测恶意代码利用域前置技术的方法,避免了由于攻击者使用HTTPS加密数据而难以检测恶意流量信息的问题。该方法能够有效检测使用域前置技术的隐匿攻击,及时阻断进程,缓解攻击。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中。说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (10)

1.一种针对利用域前置技术实现恶意攻击的检测方法,其特征在于,包括:
S101,设置终端安全传输层协议数据报文过滤条件,对安全传输层协议握手阶段数据流进行监控,捕获符合过滤条件的报文;
S102,分析捕获的报文,并记录进程PID信息和SNI字段信息;
S103,设置所述进程构造数据报文函数的HOOK钩子,监控所述进程的HTTP流量;
S104,提取所述进程构造的HTTP报文的HOST字段数据;
S105,将所述HOST字段数据与SNI字段信息比较,如果HOST字段和SNI字段同为域名或IP地址,则执行步骤S106;如果HOST字段为域名,SNI字段为IP地址,或HOST字段为IP地址,SNI字段为域名,则执行步骤S107;
S106,将HOST字段数据与SNI字段信息直接进行字符串匹配,如果匹配成功,则结果为真,否则结果为假;
S107,向HOST字段或SNI字段的域名发起DNS请求,将请求结果与HOST字段或SNI字段的IP地址匹配,如果匹配成功,则结果为真,否则结果为假;
S108,根据匹配返回结果,如果为真,则恢复所述进程,否则阻断所述进程并发出告警信息。
2.如权利要求1所述的方法,其特征在于,所述设置终端安全传输层协议数据报文过滤条件,对安全传输层协议握手阶段数据流进行监控,捕获符合过滤条件的报文,具体为:指定要获取报文的端口,当终端向服务端发出加密通信请求,且获得服务端的应答,则捕获加密通信请求报文。
3.如权利要求1所述的方法,其特征在于,所述设置所述进程构造数据报文函数的HOOK钩子,监控所述进程的HTTP流量,具体为:根据进程PID信息,设置所述进程构造数据报文函数的HOOK钩子函数,当进程封装HTTP报文时,触发HOOK钩子函数,挂起所述进程。
4.如权利要求1所述的方法,其特征在于,所述向HOST字段或SNI字段的域名发起DNS请求,将请求结果与HOST字段或SNI字段的IP地址匹配,具体为:如果HOST字段为域名,则发起DNS请求,将得到的IP地址与SNI中的IP地址匹配,如果匹配成功则结果为真,否则结果为假;
如果SNI字段为域名,则发起DNS请求,将得到的IP地址与HOST中的IP地址匹配,如果匹配成功则结果为真,否则结果为假。
5.一种针对利用域前置技术实现恶意攻击的检测系统,其特征在于,包括:
捕获模块,设置终端安全传输层协议数据报文过滤条件,对安全传输层协议握手阶段数据流进行监控,捕获符合过滤条件的报文;
分析模块,分析捕获的报文,并记录进程PID信息和SNI字段信息;
监控模块,设置所述进程构造数据报文函数的HOOK钩子,监控所述进程的HTTP流量;
数据提取模块,提取所述进程构造的HTTP报文的HOST字段数据;
对比模块,将所述HOST字段数据与SNI字段信息比较,如果HOST字段和SNI字段同为域名或IP地址,则转到第一匹配模块;如果HOST字段为域名,SNI字段为IP地址,或HOST字段为IP地址,SNI字段为域名,则转到第二匹配模块;
第一匹配模块,将HOST字段数据与SNI字段信息直接进行字符串匹配,如果匹配成功,则结果为真,否则结果为假;
第二匹配模块,向HOST字段或SNI字段的域名发起DNS请求,将请求结果与HOST字段或SNI字段的IP地址匹配,如果匹配成功,则结果为真,否则结果为假;
执行模块,根据匹配返回结果,如果为真,则恢复所述进程,否则阻断所述进程并发出告警信息。
6.如权利要求5所述的系统,其特征在于,所述设置终端安全传输层协议数据报文过滤条件,对安全传输层协议握手阶段数据流进行监控,捕获符合过滤条件的报文,具体为:指定要获取报文的端口,当终端向服务端发出加密通信请求,且获得服务端的应答,则捕获加密通信请求报文。
7.如权利要求5所述的系统,其特征在于,所述设置所述进程构造数据报文函数的HOOK钩子,监控所述进程的HTTP流量,具体为:根据进程PID信息,设置所述进程构造数据报文函数的HOOK钩子函数,当进程封装HTTP报文时,触发HOOK钩子函数,挂起所述进程。
8.如权利要求5所述的系统,其特征在于,所述向HOST字段或SNI字段的域名发起DNS请求,将请求结果与HOST字段或SNI字段的IP地址匹配,具体为:如果HOST字段为域名,则发起DNS请求,将得到的IP地址与SNI中的IP地址匹配,如果匹配成功则结果为真,否则结果为假;
如果SNI字段为域名,则发起DNS请求,将得到的IP地址与HOST中的IP地址匹配,如果匹配成功则结果为真,否则结果为假。
9.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一所述的针对利用域前置技术实现恶意攻击的检测方法。
10.一种电子设备,其特征在于,包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为所述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,执行如权利要求1-4中任一所述的针对利用域前置技术实现恶意攻击的检测方法。
CN201711419692.3A 2017-12-25 2017-12-25 针对利用域前置技术实现恶意攻击的检测方法及系统 Active CN109474568B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711419692.3A CN109474568B (zh) 2017-12-25 2017-12-25 针对利用域前置技术实现恶意攻击的检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711419692.3A CN109474568B (zh) 2017-12-25 2017-12-25 针对利用域前置技术实现恶意攻击的检测方法及系统

Publications (2)

Publication Number Publication Date
CN109474568A CN109474568A (zh) 2019-03-15
CN109474568B true CN109474568B (zh) 2021-09-28

Family

ID=65658229

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711419692.3A Active CN109474568B (zh) 2017-12-25 2017-12-25 针对利用域前置技术实现恶意攻击的检测方法及系统

Country Status (1)

Country Link
CN (1) CN109474568B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110120899B (zh) * 2019-05-10 2024-03-01 北京百度网讯科技有限公司 一种数据流的检测方法、装置、电子设备及存储介质
CN111092783B (zh) * 2019-07-26 2024-03-12 中兴通讯股份有限公司 探测多层数据的方法及装置
CN110535982B (zh) * 2019-09-05 2023-04-07 赛尔网络有限公司 基于DNS over TLS的排名统计方法、装置、系统及介质
CN110784465B (zh) * 2019-10-25 2023-04-07 新华三信息安全技术有限公司 一种数据流检测方法、装置及电子设备
CN111556045B (zh) * 2020-04-23 2022-02-15 亚信科技(成都)有限公司 一种恶意程序的检测方法和装置
CN112187935B (zh) * 2020-09-30 2023-02-07 杭州迪普科技股份有限公司 信息识别方法与只读内存
CN113194065A (zh) * 2021-03-17 2021-07-30 广州根链国际网络研究院有限公司 Dns攻击防护方法及系统
CN113794731B (zh) * 2021-09-17 2023-05-02 工银科技有限公司 识别基于cdn流量伪装攻击的方法、装置、设备和介质
CN114363058B (zh) * 2021-12-31 2024-02-23 深信服科技股份有限公司 一种设备探测方法、装置及相关设备
US20240236118A1 (en) * 2023-01-10 2024-07-11 Cisco Technology, Inc. Detecting and alerting on domain fronting within a network
US20240236117A1 (en) * 2023-01-10 2024-07-11 Cisco Technology, Inc. Blocking and alerting with domain fronting intelligence

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1839608A (zh) * 2003-09-30 2006-09-27 艾利森电话股份有限公司 用于产生在不同域间使用的唯一用户身份的装置和方法
CN104980419A (zh) * 2014-09-11 2015-10-14 腾讯科技(深圳)有限公司 一种代理通信方法及装置
CN107077432A (zh) * 2014-09-29 2017-08-18 阿卡麦科技公司 Https请求充实

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9015469B2 (en) * 2011-07-28 2015-04-21 Cloudflare, Inc. Supporting secure sessions in a cloud-based proxy service

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1839608A (zh) * 2003-09-30 2006-09-27 艾利森电话股份有限公司 用于产生在不同域间使用的唯一用户身份的装置和方法
CN104980419A (zh) * 2014-09-11 2015-10-14 腾讯科技(深圳)有限公司 一种代理通信方法及装置
CN107077432A (zh) * 2014-09-29 2017-08-18 阿卡麦科技公司 Https请求充实

Also Published As

Publication number Publication date
CN109474568A (zh) 2019-03-15

Similar Documents

Publication Publication Date Title
CN109474568B (zh) 针对利用域前置技术实现恶意攻击的检测方法及系统
CN105939326B (zh) 处理报文的方法及装置
US9185093B2 (en) System and method for correlating network information with subscriber information in a mobile network environment
US10326730B2 (en) Verification of server name in a proxy device for connection requests made using domain names
CN112995151B (zh) 访问行为处理方法和装置、存储介质及电子设备
US10218733B1 (en) System and method for detecting a malicious activity in a computing environment
CN111010409B (zh) 加密攻击网络流量检测方法
US20170134957A1 (en) System and method for correlating network information with subscriber information in a mobile network environment
US11496440B2 (en) Systems, methods, and media for intelligent split-tunneling
Patel et al. Rule-based network intrusion detection system for port scanning with efficient port scan detection rules using snort
CN107211016A (zh) 会话安全划分和应用程序剖析器
CN107347057B (zh) 入侵检测方法、检测规则生成方法、装置及系统
Metongnon et al. Beyond telnet: Prevalence of iot protocols in telescope and honeypot measurements
US9338657B2 (en) System and method for correlating security events with subscriber information in a mobile network environment
CN111565203B (zh) 业务请求的防护方法、装置、系统和计算机设备
Arukonda et al. The innocent perpetrators: reflectors and reflection attacks
US9245118B2 (en) Methods for identifying key logging activities with a portable device and devices thereof
Affinito et al. The evolution of Mirai botnet scans over a six-year period
JP6524789B2 (ja) ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置
US20150026806A1 (en) Mitigating a Cyber-Security Attack By Changing a Network Address of a System Under Attack
CN111182537A (zh) 移动应用的网络接入方法、装置及系统
Al Sukkar et al. Address resolution protocol (ARP): Spoofing attack and proposed defense
US20190357052A1 (en) System and method for analyzing properties within a real time or recorded transmissions
Tekeoglu et al. An experimental framework for investigating security and privacy of IoT devices
Salim et al. Preventing ARP spoofing attacks through gratuitous decision packet

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant