CN111865990A - 内网恶意反向连接行为的管控方法、装置、设备和系统 - Google Patents
内网恶意反向连接行为的管控方法、装置、设备和系统 Download PDFInfo
- Publication number
- CN111865990A CN111865990A CN202010715039.7A CN202010715039A CN111865990A CN 111865990 A CN111865990 A CN 111865990A CN 202010715039 A CN202010715039 A CN 202010715039A CN 111865990 A CN111865990 A CN 111865990A
- Authority
- CN
- China
- Prior art keywords
- domain name
- access request
- destination domain
- reverse connection
- intranet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种内网恶意反向连接行为的管控方法、装置、设备和系统,基于策略路由,获取从核心交换机处转发的外网访问请求,若外网访问请求为http访问请求,解析http访问请求中http数据包头部的host字段,作为目的域名,若外网访问请求为https访问请求,解析SSL协商数据包头部Server Name Indication extension的Server Name字段,作为目的域名,若检测到目的域名在预设的白名单中,则允许终端设备访问目的域名对应的IP。通过目的域名来进行安全管控,不会出现由于IP解析错误而造成的错误拦截情况,而且,不需要通过添加证书解密https数据包来获取目的域名,能够覆盖所有的应用系统,实现了对内网恶意反向连接行为的管控。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种内网恶意反向连接行为的管控方法、装置、设备和系统。
背景技术
随着互联网技术的发展,越来越多的行业开始以互联网为平台开展业务,与此同时网络安全的形式也是越来越严峻。各种形式的网络攻击越来越频繁地发生在人们的生活中,应运而生的则是各类网络安全技术的出现。随着网络安全的发展,企业的安全建设的关注点从早期的边界安全逐步扩展到了内网安全,内网恶意反向连接的管控成为了企业关注的安全技术。目前常用的内网防护恶意反向连接的管控技术为基于网络层、传输层技术的防火墙技术,使用白名单的方式进行放行或阻断。
使用防火墙的方式来进行管控时,只能基于网络层、传输层进行管控,运维人员需要对域名进行解析后再放行合法的目标IP,而域名可能由于内容分发网络技术被随机解析成不同的IP,从而导致错误拦截。使用反向代理方式进行管控,在代理Https流量时,由于Https流量为加密流量,不能通过头部的host字段获取域名信息。若要获取明文信息,需要在被代理的应用系统安装SSL证书,工作量大,并且难以覆盖所有的应用系统,在安装SSL证书时可能需要重启应用,造成业务的短暂中断。
因此,目前内网防护恶意反向连接的管控技术易出现错误拦截,难以覆盖所有的应用系统等问题,使得内网安全防护效率较低。
发明内容
有鉴于此,本发明的目的在于提供一种内网恶意反向连接行为的管控方法、装置、设备和系统,以克服目前内网防护的安全防护效率较低的问题。
为实现以上目的,本发明采用如下技术方案:
一种内网恶意反向连接行为的管控方法,应用于旁挂在核心交换机的内网恶意反向连接行为的管控设备,所述方法包括:
基于策略路由模式,获取从所述核心交换机处转发的外网访问请求;其中,所述外网访问请求是终端设备发送给所述核心交换机的;
若所述外网访问请求为http访问请求,解析所述http访问请求中http数据包头部的host字段,作为目的域名;
若所述外网访问请求为https访问请求,获取所述终端设备发送的与所述外网访问请求对应的第一个SSL协商数据包;
解析所述SSL协商数据包头部Server Name Indication extension的ServerName字段,作为所述目的域名;
若检测到所述目的域名在预设的白名单中,则允许所述终端设备访问所述目的域名对应的IP。
进一步地,以上所述的内网恶意反向连接行为的管控方法,所述若检测到所述目的域名在预设的白名单中,则允许所述终端设备访问所述目的域名对应的IP之前,还包括:
解析所述目的域名对应的所述IP;
所述若检测到所述目的域名在预设的白名单中,则允许所述终端设备访问所述目的域名对应的IP,包括:
若检测到所述目的域名在所述白名单中,判断所述IP是否在预设的域名-IP映射表中;其中,所述域名-IP映射表是根据所述预设的白名单生成的;
若所述IP在所述域名-IP映射表中,允许所述终端设备访问所述目的域名对应的所述IP。
进一步地,以上所述的内网恶意反向连接行为的管控方法,所述若检测到所述目的域名在预设的白名单中,则允许所述终端设备访问所述目的域名对应的IP,还包括:
若所述域名-IP映射表中不存在所述IP,将所述IP存入所述预设的域名-IP映射表中,并允许所述终端设备访问所述目的域名对应的所述IP。
进一步地,以上所述的内网恶意反向连接行为的管控方法,所述方法还包括:
若检测到故障信号,切换所述策略路由模式为普通路由模式,以使所述核心交换机直接将所述外网访问请求经由网关发送至所述外网。
进一步地,以上所述的内网恶意反向连接行为的管控方法,所述终端设备包括个人主机和服务器。
本发明还提供了一种内网恶意反向连接行为的管控装置,集成于旁挂在核心交换机的内网恶意反向连接行为的管控设备,所述装置包括获取模块、解析模块和输出模块;
所述获取模块,用于基于策略路由模式,获取从所述核心交换机处转发的外网访问请求;其中,所述外网访问请求是终端设备发送给所述核心交换机的;
所述解析模块,用于若所述外网访问请求为http访问请求,解析所述http访问请求中http数据包头部的host字段,作为目的域名;
所述获取模块,还用于若所述外网访问请求为https访问请求,获取所述终端设备发送的与所述外网访问请求对应的第一个SSL协商数据包;
所述解析模块,还用于解析所述SSL协商数据包头部Server Name Indicationextension的Server Name字段,作为所述目的域名;
所述输出模块,用于若检测到所述目的域名在预设的白名单中,则允许所述终端设备访问所述目的域名对应的IP。
进一步地,以上所述的内网恶意反向连接行为的管控装置,所述解析模块,还用于解析所述目的域名对应的所述IP;
所述输出模块,具体用于若检测到所述目的域名在所述白名单中,判断所述IP是否在预设的域名-IP映射表中;其中,所述域名-IP映射表是根据所述预设的白名单生成的,若所述IP在所述域名-IP映射表中,允许所述终端设备访问所述目的域名对应的所述IP。
进一步地,以上所述的内网恶意反向连接行为的管控装置,所述输出模块,具体还用于若所述域名-IP映射表中不存在所述IP,将所述IP存入所述预设的域名-IP映射表中,并允许所述终端设备访问所述目的域名对应的所述IP。
本发明还提供了一种内网恶意反向连接行为的管控设备,包括处理器和存储器,所述处理器与所述存储器相连:
其中,所述处理器,用于调用并执行所述存储器中存储的程序;
所述存储器,用于存储所述程序,所述程序至少用于执行以上任一项所述的内网恶意反向连接行为的管控方法。
本发明还提供了一种内网恶意反向连接行为的管控系统,包括网关、核心交换机、终端设备和以上所述的内网恶意反向连接行为的管控设备;
所述终端设备包括个人主机和服务器;
所述个人主机和所述服务器均通过所述核心交换机与所述网关相连;
所述网关用于连接外网;
所述内网恶意反向连接行为的管控设备旁挂于所述核心交换机。
本发明的内网恶意反向连接行为的管控方法、装置、设备和系统,应用于旁挂在核心交换机处的内网恶意反向连接行为的管控设备,基于策略路由,获取从核心交换机处转发的外网访问请求,其中,外网访问请求是终端设备发送给核心交换机的,若外网访问请求为http访问请求,解析http访问请求中http数据包头部的host字段,作为目的域名,若外网访问请求为https访问请求,获取终端设备发送的与外网访问请求对应的第一个SSL协商数据包,解析SSL协商数据包头部Server Name Indication extension的Server Name字段,作为目的域名,若检测到目的域名在预设的白名单中,则允许终端设备访问目的域名对应的IP。采用本发明的技术方案,通过目的域名来进行管控,不会出现由于IP解析错误而造成的错误拦截情况,而且,不需要通过添加证书解密https数据包来获取目的域名,处理方式简单,能够覆盖所有的应用系统,有效提高了内网的安全防护效率,实现了对内网恶意反向连接行为的管控。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明内网恶意反向连接行为的管控方法一种实施例提供的流程图;
图2是本发明内网恶意反向连接行为的管控装置一种实施例提供的结构示意图;
图3是本发明内网恶意反向连接行为的管控设备一种实施例提供的结构示意图;
图4是本发明内网恶意反向连接行为的管控系统一种实施例提供的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案进行详细的描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本发明所保护的范围。
图1是本发明内网恶意反向连接行为的管控方法一种实施例提供的流程图。内网系统中,一般包括个人主机、服务器、交换机和网关等设备,本实施例的内网恶意反向连接行为的管控方法应用于旁挂在核心交换机处的内网恶意反向连接行为的管控设备。请参阅图1,本实施例可以包括以下步骤:
S101、基于策略路由模式,获取从核心交换机处转发的外网访问请求;
个人主机或者服务器访问外网时,需要发起访问外网中某个域名的访问请求,产生对应的网络流量。一般情况下,网络流量以及网络流量中携带的外网访问请求会通过核心交换机发送到网关,然后通过网关处理后,进入外网。本实施例中,在核心交换机将外网访问请求通过交换机输出至外网之前,通过策略路由模式,在应用层中获取该外网访问请求。
在一种具体地实施方式中,通过开源应用程序ntopng,获取从核心交换机处转发的外网访问请求。
S102、判断外网访问请求是否为http访问请求,若是,执行S103,若否,执行S104;
本实施例中,外网访问请求包括http访问请求和https访问请求。判断外网访问请求是否为http访问请求,如果外网访问请求为http访问请求,可以执行S103,如果外网访问请求不为http访问请求,而是https访问请求,可以执行S104。
S103、解析http访问请求中http数据包头部的host字段,作为目的域名;
http是明文传输,若外网访问请求为http访问请求,可以通过开源应用程序ntopng,在应用层获取http访问请求中http数据包头部的host字段,作为目的域名。
S104、获取终端设备发送的与外网访问请求对应的第一个SSL协商数据包;
具体地,终端设备发送外网访问请求时,作为终端设备的一端,可以根据用户发送的外网访问请求确定对应的域名和IP,然后向该IP发送数据,其中包括SSL协商数据包。但需要说明的是,https是秘文传输,作为中间设备的内网恶意反向连接行为的管控设备无法直接获取到域名和IP,可以在应用层获取终端设备发送的与外网访问请求对应的第一个SSL协商数据包。
S105、解析SSL协商数据包头部Server Name Indication extension的ServerName字段,作为目的域名;
获取到终端设备发送的与外网访问请求对应的第一SSL协商数据包后,解析SSL协商数据包头部Server Name Indication extension的Server Name字段,作为目的域名。
S106、若检测到目的域名在预设的白名单中,则允许终端设备访问目的域名对应的IP。
可以预先根据业务方的申请,运维人员设置域名的白名单,如果检测到目的域名在预设的白名单中,则允许终端设备访问目的域名对应的IP。
在一种具体地实施方式中,通过iptables调用Linux的子系统Netfilter来设置网络层和传输层访问控制规则,进而检测到目的域名在预设的白名单中,则允许终端设备访问目的域名对应的IP,这种方式更加稳定,在应对恶意连接行为的场景下,这种方式轻量且高效。
本实施例的内网恶意反向连接行为的管控方法,应用于旁挂在核心交换机处的内网恶意反向连接行为的管控设备,基于策略路由,获取从核心交换机处转发的外网访问请求,其中,外网访问请求是终端设备发送给核心交换机的,若外网访问请求为http访问请求,解析http访问请求中http数据包头部的host字段,作为目的域名,若外网访问请求为https访问请求,获取终端设备发送的与外网访问请求对应的第一个SSL协商数据包,解析SSL协商数据包头部Server Name Indication extension的Server Name字段,作为目的域名,若检测到目的域名在预设的白名单中,则允许终端设备访问目的域名对应的IP。采用本发明的技术方案,通过目的域名来进行管控,不会出现由于IP解析错误而造成的错误拦截情况,而且,不需要通过添加证书解密https数据包来获取目的域名,处理方式简单,能够覆盖所有的应用系统,有效提高了内网的安全防护效率,实现了对内网恶意反向连接行为的管控。
进一步地,本实施例在若检测到目的域名在预设的白名单中,则允许终端设备访问目的域名对应的IP之前,还包括如下步骤:解析目的域名对应的IP。
具体地,本实施例在获取到目的域名后,可以对目的域名进行DNS解析,得到目的域名对应的IP。
进一步地,由于CDN技术,同一个域名可能存在多个与之对应的IP地址,因此需要尽可能获取同一个域名的所有与之对应的IP才能保证域名白名单有效性,并且便于对IP的管理与追踪。本实施例使用被动刷新的机制来实现上述功能。被动刷新机制如下:
由运维人员预设域名白名单,本实施例从终端设备的发起的请求中被动获取域名与IP的映射关系,生成域名-IP映射表。在对业务流量检测时,若IP在域名-IP映射表中,允许终端设备访问目的域名对应的IP,若域名-IP映射表中不存在IP,将IP存入预设的域名-IP映射表中,并允许终端设备访问目的域名对应的IP。
此外,还需要对源IP、源端口、目的端口、协议类型等字段进行校验。需要说明的是,由于本实施例主要针对的是Http及Https流量,因此需要校验的协议类型为TCP,目的端口为443和80。
进一步地,本实施例还包括以下步骤:
若检测到故障信号,切换策略路由模式为普通路由模式,以使核心交换机直接将外网访问请求经由网关发送至外网。
具体地,如果检测到故障信号,使得内网恶意反向连接行为的管控设备无法正常工作,例如接口出现故障无法连通等,此时切换策略路由模式为普通路由模式,可以不再从核心交换机处转发外网访问请求,以使核心交换机能够切换回正常的路由,网络流量以及网络流量中携带的外网访问请求会通过核心交换机发送到网关,然后通过网关处理后,进入外网。避免由于内网恶意反向连接行为的管控设备出现故障,而造成整个内网系统瘫痪,影响企业业务的正常运转。
当检测到故障信号消除后,重新基于策略路由,在应用层中获取从核心交换机处转发的外网访问请求,同时核心交换机从普通路由模式切换为策略路由模式。
本发明还提供了一种内网恶意反向连接行为的管控装置,用于实现上述方法实施例。图2是本发明内网恶意反向连接行为的管控装置一种实施例提供的结构示意图,如图2所示,本实施例的装置包括:获取模块11、解析模块12和输出模块13;
获取模块11,用于基于策略路由模式,获取从核心交换机处转发的外网访问请求;其中,外网访问请求是终端设备发送给核心交换机的;
解析模块12,用于若外网访问请求为http访问请求,解析http访问请求中http数据包头部的host字段,作为目的域名;
获取模块11,还用于若外网访问请求为https访问请求,获取终端设备发送的与外网访问请求对应的第一个SSL协商数据包;
解析模块12,还用于解析SSL协商数据包头部Server Name Indicationextension的Server Name字段,作为目的域名;
输出模块13,用于若检测到目的域名在预设的白名单中,则允许终端设备访问目的域名对应的IP。
进一步地,解析模块12,还用于解析目的域名对应的IP;
输出模块13,具体用于若检测到目的域名在白名单中,判断IP是否在预设的域名-IP映射表中;其中,域名-IP映射表是根据预设的白名单生成的,若IP在域名-IP映射表中,允许终端设备访问目的域名对应的IP;若域名-IP映射表中不存在IP,将IP存入预设的域名-IP映射表中,并允许终端设备访问目的域名对应的IP。
进一步地,本实施例的内网恶意反向连接行为的管控装置,还包括切换模块;
切换模块,用于若检测到故障信号,切换策略路由模式为普通路由模式,以使核心交换机直接将外网访问请求经由网关发送至外网。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本发明还提供了一种内网恶意反向连接行为的管控设备,用于实现上述方法实施例。图3是本发明内网恶意反向连接行为的管控设备一种实施例提供的结构示意图,如图3所示,本实施例的内网恶意反向连接行为的管控设备包括处理器21和存储器22,处理器21与存储器22相连,其中,处理器21,用于调用并执行存储器22中存储的程序,存储器22,用于存储所述程序,所述程序至少用于执行以上实施例所述的内网恶意反向连接行为的管控方法。
本发明还提供了一种内网恶意反向连接行为的管控系统,图4是本发明内网恶意反向连接行为的管控系统一种实施例提供的结构示意图。如图4所示,本实施例的内网恶意反向连接行为的管控系统包括网关31、核心交换机32、终端设备33和上述实施例所述的网恶意反向连接行为的管控设备34。
终端设备33包括个人主机331和服务器332,个人主机331和服务器332均通过核心交换机32与网关31相连,网关31用于连接外网,内网恶意反向连接行为的管控设备34旁挂于核心交换机32。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,在本发明的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是指至少两个。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种内网恶意反向连接行为的管控方法,其特征在于,应用于旁挂在核心交换机的内网恶意反向连接行为的管控设备,所述方法包括:
基于策略路由模式,获取从所述核心交换机处转发的外网访问请求;其中,所述外网访问请求是终端设备发送给所述核心交换机的;
若所述外网访问请求为http访问请求,解析所述http访问请求中http数据包头部的host字段,作为目的域名;
若所述外网访问请求为https访问请求,获取所述终端设备发送的与所述外网访问请求对应的第一个SSL协商数据包;
解析所述SSL协商数据包头部Server Name Indication extension的Server Name字段,作为所述目的域名;
若检测到所述目的域名在预设的白名单中,则允许所述终端设备访问所述目的域名对应的IP。
2.根据权利要求1所述的内网恶意反向连接行为的管控方法,其特征在于,所述若检测到所述目的域名在预设的白名单中,则允许所述终端设备访问所述目的域名对应的IP之前,还包括:
解析所述目的域名对应的所述IP;
所述若检测到所述目的域名在预设的白名单中,则允许所述终端设备访问所述目的域名对应的IP,包括:
若检测到所述目的域名在所述白名单中,判断所述IP是否在预设的域名-IP映射表中;其中,所述域名-IP映射表是根据所述预设的白名单生成的;
若所述IP在所述域名-IP映射表中,允许所述终端设备访问所述目的域名对应的所述IP。
3.根据权利要求2所述的内网恶意反向连接行为的管控方法,其特征在于,所述若检测到所述目的域名在预设的白名单中,则允许所述终端设备访问所述目的域名对应的IP,还包括:
若所述域名-IP映射表中不存在所述IP,将所述IP存入所述预设的域名-IP映射表中,并允许所述终端设备访问所述目的域名对应的所述IP。
4.根据权利要求1所述的内网恶意反向连接行为的管控方法,其特征在于,所述方法还包括:
若检测到故障信号,切换所述策略路由模式为普通路由模式,以使所述核心交换机直接将所述外网访问请求经由网关发送至所述外网。
5.根据权利要求1所述的内网恶意反向连接行为的管控方法,其特征在于,所述终端设备包括个人主机和服务器。
6.一种内网恶意反向连接行为的管控装置,其特征在于,集成于旁挂在核心交换机的内网恶意反向连接行为的管控设备,所述装置包括获取模块、解析模块和输出模块;
所述获取模块,用于基于策略路由模式,获取从所述核心交换机处转发的外网访问请求;其中,所述外网访问请求是终端设备发送给所述核心交换机的;
所述解析模块,用于若所述外网访问请求为http访问请求,解析所述http访问请求中http数据包头部的host字段,作为目的域名;
所述获取模块,还用于若所述外网访问请求为https访问请求,获取所述终端设备发送的与所述外网访问请求对应的第一个SSL协商数据包;
所述解析模块,还用于解析所述SSL协商数据包头部Server Name Indicationextension的Server Name字段,作为所述目的域名;
所述输出模块,用于若检测到所述目的域名在预设的白名单中,则允许所述终端设备访问所述目的域名对应的IP。
7.根据权利要求6所述的内网恶意反向连接行为的管控装置,其特征在于,所述解析模块,还用于解析所述目的域名对应的所述IP;
所述输出模块,具体用于若检测到所述目的域名在所述白名单中,判断所述IP是否在预设的域名-IP映射表中;其中,所述域名-IP映射表是根据所述预设的白名单生成的,若所述IP在所述域名-IP映射表中,允许所述终端设备访问所述目的域名对应的所述IP。
8.根据权利要求7所述的内网恶意反向连接行为的管控装置,其特征在于,所述输出模块,具体还用于若所述域名-IP映射表中不存在所述IP,将所述IP存入所述预设的域名-IP映射表中,并允许所述终端设备访问所述目的域名对应的所述IP。
9.一种内网恶意反向连接行为的管控设备,其特征在于,包括处理器和存储器,所述处理器与所述存储器相连:
其中,所述处理器,用于调用并执行所述存储器中存储的程序;
所述存储器,用于存储所述程序,所述程序至少用于执行权利要求1-5任一项所述的内网恶意反向连接行为的管控方法。
10.一种内网恶意反向连接行为的管控系统,其特征在于,包括网关、核心交换机、终端设备和权利要求9所述的内网恶意反向连接行为的管控设备;
所述终端设备包括个人主机和服务器;
所述个人主机和所述服务器均通过所述核心交换机与所述网关相连;
所述网关用于连接外网;
所述内网恶意反向连接行为的管控设备旁挂于所述核心交换机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010715039.7A CN111865990B (zh) | 2020-07-23 | 2020-07-23 | 内网恶意反向连接行为的管控方法、装置、设备和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010715039.7A CN111865990B (zh) | 2020-07-23 | 2020-07-23 | 内网恶意反向连接行为的管控方法、装置、设备和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111865990A true CN111865990A (zh) | 2020-10-30 |
| CN111865990B CN111865990B (zh) | 2023-02-21 |
Family
ID=72950424
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010715039.7A Active CN111865990B (zh) | 2020-07-23 | 2020-07-23 | 内网恶意反向连接行为的管控方法、装置、设备和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111865990B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112949768A (zh) * | 2021-04-07 | 2021-06-11 | 苏州瑞立思科技有限公司 | 一种基于lstm的流量分类方法 |
| CN113179306A (zh) * | 2021-04-23 | 2021-07-27 | 上海中通吉网络技术有限公司 | 基于http请求内容的流量分发方法 |
| CN114244846A (zh) * | 2021-12-15 | 2022-03-25 | 山石网科通信技术股份有限公司 | 一种流量报文转发方法、装置,中间设备及存储介质 |
| CN114584338A (zh) * | 2021-12-31 | 2022-06-03 | 网络通信与安全紫金山实验室 | 基于Nftables的白盒交换机安全防护方法、装置及存储介质 |
| CN114629828A (zh) * | 2022-05-12 | 2022-06-14 | 杭州玖玖盾信息科技有限公司 | 一种网络访问检测方法及电子设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1630268A (zh) * | 2003-12-19 | 2005-06-22 | 华为技术有限公司 | 一种多isp局域网的出口路由方法 |
| WO2009062406A1 (fr) * | 2007-11-16 | 2009-05-22 | Chengdu Huawei Symantec Technologies Co., Ltd. | Procédé, système et dispositif de chiffrement et d'accès https |
| CN105187390A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 主动式移动终端恶意软件网络流量数据集获取方法及系统 |
| US20160212102A1 (en) * | 2013-08-20 | 2016-07-21 | Samsung Electronics Co., Ltd. | Method and device for distributing traffic by using plurality of network interfaces in wireless communication system |
| CN107294986A (zh) * | 2017-06-30 | 2017-10-24 | 北京海泰方圆科技股份有限公司 | 一种访问https网站的方法、装置及系统 |
| CN108600191A (zh) * | 2018-03-30 | 2018-09-28 | 深圳市伟文无线通讯技术有限公司 | 基于移动路由器轻量级的广告认证及url过滤方法 |
| CN108737471A (zh) * | 2017-04-20 | 2018-11-02 | 苏宁云商集团股份有限公司 | 一种网络访问方法及装置 |
| CN109672651A (zh) * | 2017-10-17 | 2019-04-23 | 阿里巴巴集团控股有限公司 | 网站访问的拦截处理方法、系统和数据处理方法 |
| CN110290147A (zh) * | 2019-07-05 | 2019-09-27 | 上海中通吉网络技术有限公司 | 安全渗透防御方法、装置和设备 |
-
2020
- 2020-07-23 CN CN202010715039.7A patent/CN111865990B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1630268A (zh) * | 2003-12-19 | 2005-06-22 | 华为技术有限公司 | 一种多isp局域网的出口路由方法 |
| WO2009062406A1 (fr) * | 2007-11-16 | 2009-05-22 | Chengdu Huawei Symantec Technologies Co., Ltd. | Procédé, système et dispositif de chiffrement et d'accès https |
| US20160212102A1 (en) * | 2013-08-20 | 2016-07-21 | Samsung Electronics Co., Ltd. | Method and device for distributing traffic by using plurality of network interfaces in wireless communication system |
| CN105187390A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 主动式移动终端恶意软件网络流量数据集获取方法及系统 |
| CN108737471A (zh) * | 2017-04-20 | 2018-11-02 | 苏宁云商集团股份有限公司 | 一种网络访问方法及装置 |
| CN107294986A (zh) * | 2017-06-30 | 2017-10-24 | 北京海泰方圆科技股份有限公司 | 一种访问https网站的方法、装置及系统 |
| CN109672651A (zh) * | 2017-10-17 | 2019-04-23 | 阿里巴巴集团控股有限公司 | 网站访问的拦截处理方法、系统和数据处理方法 |
| CN108600191A (zh) * | 2018-03-30 | 2018-09-28 | 深圳市伟文无线通讯技术有限公司 | 基于移动路由器轻量级的广告认证及url过滤方法 |
| CN110290147A (zh) * | 2019-07-05 | 2019-09-27 | 上海中通吉网络技术有限公司 | 安全渗透防御方法、装置和设备 |
Non-Patent Citations (1)
| Title |
|---|
| 胡悦等: "针对HTTPS的HEIST攻击及检测技术研究", 《网络安全技术与应用》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112949768A (zh) * | 2021-04-07 | 2021-06-11 | 苏州瑞立思科技有限公司 | 一种基于lstm的流量分类方法 |
| CN113179306A (zh) * | 2021-04-23 | 2021-07-27 | 上海中通吉网络技术有限公司 | 基于http请求内容的流量分发方法 |
| CN113179306B (zh) * | 2021-04-23 | 2022-12-06 | 上海中通吉网络技术有限公司 | 基于http请求内容的流量分发方法 |
| CN114244846A (zh) * | 2021-12-15 | 2022-03-25 | 山石网科通信技术股份有限公司 | 一种流量报文转发方法、装置,中间设备及存储介质 |
| CN114244846B (zh) * | 2021-12-15 | 2024-02-09 | 山石网科通信技术股份有限公司 | 一种流量报文转发方法、装置,中间设备及存储介质 |
| CN114584338A (zh) * | 2021-12-31 | 2022-06-03 | 网络通信与安全紫金山实验室 | 基于Nftables的白盒交换机安全防护方法、装置及存储介质 |
| CN114584338B (zh) * | 2021-12-31 | 2024-03-26 | 网络通信与安全紫金山实验室 | 基于Nftables的白盒交换机安全防护方法、装置及存储介质 |
| CN114629828A (zh) * | 2022-05-12 | 2022-06-14 | 杭州玖玖盾信息科技有限公司 | 一种网络访问检测方法及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111865990B (zh) | 2023-02-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111865990B (zh) | 内网恶意反向连接行为的管控方法、装置、设备和系统 | |
| EP2036305B1 (en) | Communication network application activity monitoring and control | |
| US9369434B2 (en) | Whitelist-based network switch | |
| US9407602B2 (en) | Methods and apparatus for redirecting attacks on a network | |
| CN103327025B (zh) | 网络访问控制方法及装置 | |
| US11516257B2 (en) | Device discovery for cloud-based network security gateways | |
| JP7189236B2 (ja) | 自動パケットレスネットワーク到達可能性分析 | |
| KR101002421B1 (ko) | 공인 아이피를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 아이피 공유 상태 검출 및 차단 시스템 | |
| US11212260B2 (en) | Dynamic firewall configuration and control for accessing services hosted in virtual networks | |
| US20120023230A1 (en) | Network topology | |
| CN103095778A (zh) | Web应用防火墙和web应用安全防护方法 | |
| KR101863236B1 (ko) | 네트워크 가상화 환경에서 보안 관리를 위한 장치 및 방법 | |
| EP3545451B1 (en) | Automatic forwarding of access requests and responses thereto | |
| CN112738095A (zh) | 一种检测非法外联的方法、装置、系统、存储介质及设备 | |
| TWI590616B (zh) | 用於自共用公開ip位址之網際網路請求訊務偵測用戶端數量之方法及系統 | |
| CN113242255B (zh) | 一种基于企业安全的智能流量分析方法及系统 | |
| CN112565203B (zh) | 一种集中管理平台 | |
| CN114257604A (zh) | 一种数据处理方法及系统 | |
| CN115913583A (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
| KR101070522B1 (ko) | 스푸핑 공격 탐지 및 차단 시스템 및 방법 | |
| KR20100055146A (ko) | 메신저 정보유출 제어방법 및 그를 이용한 네트워크 콘텐츠보안시스템 | |
| CN110896403A (zh) | 一种应用防火墙架构 | |
| JP2008535304A (ja) | ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) | |
| CN117082147B (zh) | 应用程序网络访问控制方法、系统、设备和介质 | |
| CN112486649B (zh) | 一种顾及空间约束的gis服务网关平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |