CN111881384B - 违规外联的取证方法、系统和存储介质 - Google Patents

违规外联的取证方法、系统和存储介质 Download PDF

Info

Publication number
CN111881384B
CN111881384B CN202010611348.XA CN202010611348A CN111881384B CN 111881384 B CN111881384 B CN 111881384B CN 202010611348 A CN202010611348 A CN 202010611348A CN 111881384 B CN111881384 B CN 111881384B
Authority
CN
China
Prior art keywords
external
cookie
url
event
browser
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010611348.XA
Other languages
English (en)
Other versions
CN111881384A (zh
Inventor
蔡忠杰
胡光俊
邓如林
陈燕斌
陆立业
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Huasai Online Technology Co ltd
Original Assignee
Beijing Huasai Online Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Huasai Online Technology Co ltd filed Critical Beijing Huasai Online Technology Co ltd
Priority to CN202010611348.XA priority Critical patent/CN111881384B/zh
Publication of CN111881384A publication Critical patent/CN111881384A/zh
Application granted granted Critical
Publication of CN111881384B publication Critical patent/CN111881384B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/957Browsing optimisation, e.g. caching or content distillation
    • G06F16/9574Browsing optimisation, e.g. caching or content distillation of access to content, e.g. by caching

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种违规外联的取证方法、系统和存储介质,违规外联的取证方法包括:终端监测到发生违规外联的外联事件,获取外联事件的cookie和外联URL,将外联事件、cookie和外联URL发送给取证中心,取证中心收到后建立它们的对应关系,当收到对该外联事件的取证请求时,在对应关系中查找到该外联事件对应的cookie和外联URL并返回给发送所述取证请求的配置有浏览器扩展的浏览器,以使浏览器扩展将该cookie注入到外联URL对应的域下,控制浏览器打开外联URL,加载cookie,可视化还原出外联事件的场景。本发明真实有效地还原违规外联的场景,利用较少的资源就实现了违规外联的终端及用户的定位取证。

Description

违规外联的取证方法、系统和存储介质
技术领域
本发明涉及信息安全领域,尤其涉及一种违规外联的取证方法、系统和存储介质。
背景技术
随着计算机网络技术的发展,计算机及网络泄密案件正逐年增加,信息安全现状非常严峻。在政府上网工程不断开展的过程中,对计算机及网络安全的重视度也随之增加。通常,为了减小来自互联网的安全威胁,内网或专用网都禁止与互联网连接,或禁止与其他网络连接,并对违规外联的行为进行监测,从而提高安全性。
现有技术中提供了一种基于HTTP(Hyper Text Transfer Protocol,超文本传输协议)流量分析的违规外联监测方法,通过端口镜像交换机上的网络流量获取内网中终端的相关信息,并通过伪造服务器的响应报文发送给内网中的终端,以达到违规外联监测的目的。
但是,上述方法在检测到有终端违规外联后,却缺乏有效取证的相关技术,比如当流量包经三层设备转发时,根据流量包无法获取终端的真实MAC地址(Media AccessControl Address,介质访问控制地址),因此无法进一步定位出外联的终端,也无法还原外联的场景,导致难以对违规外联的终端进行惩戒处理。
发明内容
本发明提供一种违规外联的取证方法、系统和存储介质,用以克服上述现有技术中存在的技术问题,以实现违规外联监测后的定位取证。
本发明提供了一种违规外联的取证方法,包括:
终端监测到发生违规外联的外联事件,获取所述外联事件的cookie和外联URL(Uniform Resource Locator,统一资源定位符);
所述终端将所述外联事件、cookie和外联URL发送给取证中心;
所述取证中心接收到所述外联事件、cookie和外联URL后,建立所述外联事件与所述cookie、外联URL的对应关系;
当所述取证中心接收到对所述外联事件的取证请求时,在所述对应关系中查找到所述外联事件对应的cookie和外联URL并返回给发送所述取证请求的配置有浏览器扩展的浏览器,以使浏览器扩展将所述cookie注入到所述外联URL对应的域下,控制浏览器打开所述外联URL,加载所述cookie,还原出所述外联事件的场景。
本发明还提供了一种违规外联的取证系统,包括:终端和取证中心;
所述终端包括:
信息采集模块,用于监测到发生违规外联的外联事件,获取所述外联事件的cookie和外联URL;
上报模块,用于将所述信息采集模块获取的所述外联事件、cookie和外联URL发送给所述取证中心;
所述取证中心包括:
接收存储模块,用于接收到所述终端发送的所述外联事件、cookie和外联URL,建立所述外联事件与所述cookie、外联URL的对应关系;
信息提取模块,用于当接收到对所述外联事件的取证请求时,在所述对应关系中查找到所述外联事件对应的cookie和外联URL并返回给发送所述取证请求的配置有浏览器扩展的浏览器,以使浏览器扩展将所述cookie注入到所述外联URL对应的域下,控制浏览器打开所述外联URL,加载所述cookie,还原出所述外联事件的场景。
本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序可被执行上述的违规外联的取证方法。
本发明提供的上述技术方案,通过终端监测到发生违规外联的外联事件,获取该外联事件的cookie和外联URL并上报给取证中心,取证中心收到后建立这些信息的对应关系,当收到对该外联事件的取证请求时,在对应关系中查找到该外联事件对应的cookie和外联URL并返回给浏览器,浏览器扩展将该cookie注入到外联URL对应的域下,控制浏览器打开外联URL,自动加载该cookie,可视化还原出该外联事件的场景,提供了一种可行的取证方式,真实有效地还原终端外联的场景,准确地定位出违规外联的终端,甚至违规外联的具体用户,而且基于cookie和浏览器扩展来实现,提取内容小,轻量化,相比于流量回放和大数据分析,简单方便,无需占用大量的存储资源,极大地避免了资源浪费,从而实现利用较少的资源就能够完成违规外联的终端及用户的定位取证。另外,即使cookie信息被加密,但是由于被注入到浏览器中完整的执行,在cookie自动加载的过程中解密也自动完成,因此仍然能得到cookie解密后对应的可视化信息,绕过了加密信息的干扰,保证了还原数据的有效性,应用范围更广泛灵活。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的违规外联的取证方法流程图;
图2为本发明另一实施例提供的违规外联的取证方法流程图;
图3为图2所示的违规外联的取证方法应用场景示意图;
图4为本发明又一实施例提供的违规外联的取证方法流程图;
图5为图4所示的违规外联的取证方法应用场景示意图;
图6为本发明实施例提供的还原外联事件的示意图;
图7为本发明实施例提供的违规外联的取证系统结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明的技术方案更加清楚,以下结合附图对本发明的实施例进行详细说明。
本发明实施例涉及违规外联的取证方法、系统和存储介质,用于对违规外联的行为进行取证。该违规外联的行为通常发生在内网或专用网络中,如企业内部的生产网或办公网等等。上述内网或专用网络中通常部署有多个终端,可以为PC终端、笔记本电脑或者手机终端等,具体不限定。本发明对上述内网或专用网络的网络环境没有要求,如DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)环境或固定IP环境都可以使用,具体不限定。其中,每个终端在被允许的范围内可以访问相应的服务器,如内网中的web服务器等。但是,为了保证信息安全,通常采取限制外联的措施,禁止内网或专用网络内的终端与外部互联网连接,或与外部的其他网络连接。当一旦发生有终端进行违规外联时,对该违规外联行为进行取证,从而定位出违规外联的终端,以方便后续禁止及惩戒等处理,提高了网络的安全性。
图1为本发明一实施例提供的违规外联的取证方法流程图,参见图1,本发明一实施例提供了一种违规外联的取证方法,包括:
步骤101:终端监测到发生违规外联的外联事件,获取该外联事件的cookie和外联URL;
其中,上述外联事件是指终端接入到自身所在网络以外的其他网络,包括但不限于互联网或其他局域网等等。终端违规外联的方式也有多种,如通过手机WIFI等渠道使PC终端连接到互联网或其他被限制连接的网络等,具体不限定。
步骤102:终端将该外联事件、cookie和外联URL发送给取证中心;
通常,cookie是终端的浏览器在访问服务器时由服务器生成的,服务器会将生成的cookie发送给终端的浏览器,浏览器收到后会自动将cookie以键/值(key/value)的形式保存到某个目录下的文本文件内。当终端下次请求同一服务器时,浏览器会自动以添加在请求头部的方式发送该cookie给该服务器,从而使得服务器可以根据该cookie动态生成与该终端相对应的内容。其中,cookie中可以记录用户的标记性信息,如用户名、密码、邮箱、手机号等信息,针对同一终端设备有多用户使用时,基于cookie中记录的用户的标记性信息,还可以定位到曾进行违规外联的具体用户,因此可有效提供准确的取证信息。
步骤103:取证中心接收到该外联事件、cookie和外联URL后,建立该外联事件与cookie、外联URL的对应关系;
其中,取证中心也部署在终端所在的网络中,可以对该网络内的任一发生违规外联的终端进行取证,每当取证中心收到一个终端发来的外联事件、cookie和外联URL后,都会为当前收到的外联事件、cookie和外联URL建立对应关系,并存储该对应关系,如可以存储在一个数据库中,从而方便在后续取证过程中随时查找提取相应的cookie和外联URL。以文本文件存储的cookie和URL信息存储占据的资源容量相比存储的流量回放和大数据等占据的资源容量都非常小,因此能大量节省存证取证信息的存储资源,同时cookie和外联URL又记录了取证的关键信息,通过记录存证的外联URL可以很容易对外联场景进行重现,通过cookie可以具体确定违规外联的终端甚至具体用户,因此通过对违规外联的用户进行cookie和外联URL的提取和存储可以为后续进行取证重现提供可靠依据。
步骤104:当取证中心接收到对该外联事件的取证请求时,在对应关系中查找到该外联事件对应的cookie和外联URL并返回给发送所述取证请求的配置有浏览器扩展的浏览器,以使浏览器扩展将该cookie注入到外联URL对应的域下,控制浏览器打开外联URL,加载该cookie,还原出外联事件的场景。
其中,取证中心为一台或一组服务器,其存储上述的外联事件、cookie和外联URL建立的对应关系以供查询,其通常会提供一组管理界面以供管理员触发及执行取证流程,该组管理界面可以以网页的形式存储在取证中心,管理员可以在某台单独的取证管理终端上使用浏览器来访问该组管理界面,也可以直接在取证中心上使用浏览器来访问该组管理界面,还可以在同一网络系统内的上述的任一终端上使用浏览器来访问该组管理界面,具体不限定。
其中,浏览器扩展又称为浏览器插件,是运行在浏览器中的一种程序,预先安装在取证管理终端或取证中心或任一上述终端的浏览器中,作为浏览器功能的扩展,可以通过调用浏览器提供的接口,操作浏览器以及在浏览器中加载网页。为实现取证重现的功能,通过开发了与浏览器匹配的浏览器扩展程序预先安装在取证管理终端上,通过终端运行浏览器访问取证中心管理界面即可运行相应的浏览器扩展功能,可对曾经的违规外联的网页进行重新加载,从而实现违规外联行为的取证重现。
上述取证请求可以在管理界面上通过多种形式来触发,如在管理界面上设置取证按钮,当检测到该取证按钮被按下时,启动取证流程,执行后续的取证操作。本实施例对取证请求的触发方式不做具体限定。无论是取证管理终端上使用的浏览器,还是取证中心上使用的浏览器,还是上述任一终端上使用的浏览器,只要配置了相应的浏览器扩展,当管理员通过浏览器访问管理界面时,触发相应的外联事件,取证中心就会将查找到的外联事件对应的cookie和外联URL返回给浏览器,浏览器扩展可以控制浏览器进行还原外联事件的场景。
本实施例中,可选的,上述将该cookie注入到外联URL对应的域下,包括:浏览器扩展使用cookie操作接口将该cookie注入到外联URL对应的域下。
本实施例中,可选的,上述控制浏览器打开外联URL,包括:浏览器扩展使用窗口打开接口或JS(JavaScript)函数控制浏览器打开外联URL。
本实施例中,可选的,上述终端监测到发生违规外联的外联事件,获取外联事件的cookie和外联URL,包括:
终端内置的监测程序监测到发生违规外联的外联事件,在本地检索cookie的存储位置,读取外联事件的cookie和外联URL。
本实施例中,可选的,上述终端监测到发生违规外联的外联事件,获取外联事件的cookie和外联URL,包括:
流量分析探针发送监测脚本给终端,终端收到后运行监测脚本,监测脚本监测到发生违规外联的外联事件,通过JS函数获取外联事件的cookie和外联URL。
本实施例提供的上述方法,给出了一种可行的取证方式,真实有效地还原终端甚至原具体用户外联的场景,准确地定位出外联的终端,而且基于cookie和浏览器扩展来实现,提取内容小,轻量化,相比于流量回放和大数据分析,简单方便,无需占用大量的存储资源,极大地避免了资源浪费。另外,即使cookie信息被加密,但是由于被注入到浏览器中完整的执行,在cookie自动加载的过程中解密也自动完成,因此仍然能得到cookie解密后对应的可视化信息,绕过了加密信息的干扰,保证了还原数据的有效性,应用范围更广泛灵活。
图2为本发明另一实施例提供的违规外联的取证方法流程图,参见图2,本发明另一实施例提供了一种违规外联的取证方法,应用于终端使用内置的监测程序进行违规外联监测的场景,该方法包括:
步骤201:终端内置的监测程序监测到发生违规外联的外联事件,在本地检索cookie的存储位置,读取该外联事件的cookie和外联URL;
本实施例中,终端内置有监测程序,内置的监测程序为一种安装在终端上的客户端程序,该监测程序用于对违规外联进行监测,可以实时监测到终端是否发生违规外联的行为。对于终端所在的内网或专用网络来说,其中,任一个内置有监测程序的终端均可以按照本实施例中的方法来执行取证的流程,当某一终端未内置有监测程序时,可以采用本发明的其它实施例中的方法来实现违规外联的取证,因此,本发明并不限定某一终端是否一定要内置有监测程序,也就是说,本发明中的终端可以内置监测程序,也可以不内置监测程序,具体不限定,从而极大地提高了本发明应用的灵活性,具有通用性。
步骤202:终端将该外联事件、cookie和外联URL发送给取证中心;
步骤203:取证中心接收到该外联事件、cookie和外联URL后,建立该外联事件与cookie、外联URL的对应关系;
其中,取证中心建立的对应关系中,每一个外联事件都会对应一个cookie和一个外联URL,外联事件可以作为检索的关键词,只要通过某一个外联事件,就可以在该对应关系中查找到该外联事件对应的cookie和外联URL。
步骤204:当取证中心接收到对该外联事件的取证请求时,在上述对应关系中查找到该外联事件对应的cookie和外联URL并返回给发送请求的配置有浏览器扩展的浏览器;
通常,取证中心可以在管理界面上设置取证请求的入口,具体方式不限定,如设置取证按钮等。当该取证请求的入口被触发时,取证中心即执行后续的取证流程。
步骤205:浏览器收到该外联事件对应的cookie和外联URL后,浏览器扩展使用chrome.cookies.set接口将该cookie注入到外联URL对应的域下;
其中,chrome.cookies.set接口为实现将cookie注入到外联URL对应的域下的功能的接口之一,可以应用于谷歌浏览器中,当然在其他类型的浏览器中本发明也可以采用相应的接口来完成同样的功能,此处不赘述。
本发明实施例中,即使终端采用其他浏览器进行违规外联,只要取证设备上安装有谷歌浏览器及上述相应的浏览器扩展接口依然可以对违规外联进行外联事件还原,因此,本发明的违规外联取证方法配置简单方便,适用性更强。
步骤206:浏览器扩展使用chrome.tabs.create接口控制浏览器打开外联URL,自动加载该cookie,可视化还原出该外联事件的场景。
除了上述chrome.tabs.create接口,本发明还可以使用窗口打开接口或JS函数控制浏览器打开外联URL,具体采用哪种方式实现,可以根据需要设定。
其中,还原取证时自动加载cookie,可以准确获取用户的基本信息,如OA账号、邮箱账号等个人属性的信息,结合IP和MAC等信息更能直接定位出违规人员,从而提高了网络的安全性。
图3为图2所示的违规外联的取证方法应用场景示意图。参见图3,终端和取证中心位于同一个内部网络中,终端通过交换机与取证中心相连,外部网络被内部网络视为非安全的网络,当终端访问该外部网络时被视为违规外联。其中,终端内置有监测程序,当监测到终端有违规外联的外联事件时,在本地获取到该外联事件的cookie和外联URL,通过交换机上报给取证中心。取证中心收到后,建立该外联事件与cookie、外联URL的对应关系。当接收到对该外联事件的取证请求时,取证中心在对应关系中查找到该外联事件对应的cookie和外联URL并返回给浏览器,浏览器扩展将该cookie注入到外联URL对应的域下并控制浏览器打开外联URL,自动加载该cookie,可视化还原出该外联事件的场景。
本实施例提供的方法,适用于终端内置监测程序的的违规外联定位取证方式,由于终端内置违规外联监测程序,因此无需在内网中单独设置一个装置以发送违规外联监测脚本给终端,从而能够节约传输成本以及内网设备的部署成本,是一种行之有效的实现方式。
图4为本发明又一实施例提供的违规外联的取证方法流程图,参见图4,本发明又一实施例提供了一种违规外联的取证方法,应用于终端使用流量分析探针发送的监测脚本进行违规外联监测的场景,该方法包括:
步骤401:流量分析探针发送监测脚本给终端;
其中,流量分析探针为一个独立的装置,与终端位于同一个网络中,发送的监测脚本用于对违规外联的行为进行监测,这种方式的好处是无需在每一个终端上内置监测程序,终端由临时接收到的监测脚本执行监测,在一定的生命周期后会释放该监测脚本,从而避免了由于安装监测程序而占用终端的存储空间。优选地,流量分析探针会定期发送监测脚本给终端,以使终端能够保持实时对违规外联进行监测。发送监测脚本的周期可以根据需要设置,本实施例对此不做具体限定。
步骤402:终端收到后运行监测脚本,监测到发生违规外联的外联事件,通过JS函数读取该外联事件的cookie和外联URL;
其中,cookie中可以记录用户的标记性信息,可以凭此识别出用户,不仅可以用来定位出违规外联的终端,针对内网的公用终端还可以定位出违规外联的具体使用用户。
步骤403:终端将该外联事件、cookie和外联URL发送给取证中心;
具体的,由终端的监测脚本将该外联事件、cookie和外联URL发送给取证中心。
步骤404:取证中心接收到该外联事件、cookie和外联URL后,建立该外联事件与cookie、外联URL的对应关系;
步骤405:当取证中心接收到对该外联事件的取证请求时,在对应关系中查找到该外联事件对应的cookie和外联URL并返回给发送请求的配置有浏览器扩展的浏览器;
步骤406:浏览器扩展使用chrome.cookies.set接口将该cookie注入到外联URL对应的域下;
步骤407:浏览器扩展使用chrome.tabs.create接口控制浏览器打开外联URL,自动加载该cookie,可视化还原出上述外联事件的场景。
图5为图4所示的违规外联的取证方法应用场景示意图。参见图5,流量分析探针、终端和取证中心位于同一个内部网络中,流量分析探针通过交换机与终端相连接,终端通过交换机与取证中心相连接,外部网络被内部网络视为非安全的网络,当终端访问该外部网络时被视为违规外联。其中,流量分析探针通过交换机发送监测脚本给终端,终端收到后运行监测脚本,当监测到终端有违规外联的外联事件时,通过JS函数获取该外联事件的cookie和外联URL,通过交换机上报给取证中心。取证中心收到后,建立该外联事件与cookie、外联URL的对应关系。当接收到对该外联事件的取证请求时,取证中心在对应关系中查找到该外联事件对应的cookie和外联URL并返回给发送取证请求的配置有浏览器扩展的浏览器,浏览器扩展将该cookie注入到外联URL对应的域下并控制浏览器打开外联URL,自动加载该cookie,可视化还原出该外联事件的场景。
本实施例提供的方法采用流量分析探针发送监测脚本的方式,无需在终端上安装监测程序,尤其是相比于在内网中的每一个终端上都安装监测程序,能够极大地降低对终端存储空间的占用,提高了存储效率,避免了资源浪费,同时还避免了终端用户自行卸载内置监测程序而逃避监管的问题。
图2和图4所示的方法为本发明提供的两种不同的实现方式,在具体应用中,一个网络可以单独使用其中一种方法,或者也可以同时使用这两种方法。例如,可以部署网络中的一部分终端使用图2所示的方法,另一部分终端使用图4所示的方法;也可以部署网络中的每一个终端都同时使用这两种方法,总之可以根据需要灵活配置,本发明不做具体限定。无论采用上述哪种方法,在监测到违规外联且上报给取证中心后,后续无论是取证管理终端还是取证中心进行外联重现的处理流程是相同的。图6为本发明实施例提供的还原外联事件的示意图。参见图6,取证中心提供管理界面以供操作,当管理界面上检测到有取证请求被触发时,取证中心获取到被请求取证的外联事件对应的cookie和外联URL并返回给浏览器,浏览器扩展将cookie注入到URL对应的域下,控制浏览器打开URL,自动加载cookie,从而真实可视化还原出外联事件的场景。
基于上述两种实现方式,本发明既可以应用于终端使用内置的监测程序进行违规外联监测的场景,也可以应用于终端使用流量分析探针发送的监测脚本进行违规外联监测的场景,当然也能够同时应用于这两种场景,因此,本发明对终端的要求不做具体限定,具有较强的通用性和灵活性。
图7为本发明实施例提供的违规外联的取证系统结构示意图,参见图7,该违规外联的取证系统包括:终端71和取证中心72;
其中,终端71包括:信息采集模块711和上报模块712,信息采集模块711,用于监测到发生违规外联的外联事件,获取外联事件的cookie和外联URL;上报模块712,用于将监测模块得到的外联事件、cookie和外联URL发送给取证中心;
其中,取证中心72包括:接收存储模块721和信息提取模块722,接收存储模块721,用于接收到终端发送的外联事件、cookie和外联URL,建立该外联事件与该cookie、外联URL的对应关系;信息提取模块722,用于当接收到对外联事件的取证请求时,在对应关系中查找到外联事件对应的cookie和外联URL并返回给发送所述取证请求的配置有浏览器扩展的浏览器,以使浏览器扩展将该cookie注入到URL对应的域下,控制浏览器打开外联URL,加载该cookie,可视化还原出外联事件的场景。
本实施例中,可选的,违规外联取证系统还可以包括取证管理终端73,该取证管理终端73包括:配置有浏览器扩展的浏览器731,浏览器731,用于向取证中心72发送外联事件的取证请求,并接收取证中心返回的所述外联事件对应的cookie和外联URL;浏览器扩展,用于将浏览器接收的cookie注入到外联URL对应的域下,控制浏览器731打开所述外联URL,自动加载所述cookie,还原出外联事件的场景。
具体来说,上述取证管理终端73为单独的一台取证管理设备,如一台PC,其上安装有取证使用的浏览器及相应的浏览器扩展,如上述的谷歌浏览器及相应的浏览器扩展;当然,也可以不用单独设置取证管理终端,直接在同一网络系统内的任一上述终端上配置有取证使用的浏览器和浏览器扩展即可,或者直接在取证中心的一台服务器上配置有取证使用的浏览器及相应的浏览器扩展即可,同样能实现对违规外联的还原重现。
具体应用中,浏览器扩展,使用cookie操作接口将cookie注入到URL对应的域下,使用窗口打开接口或JS函数控制浏览器打开URL。
本实施例中,可选的,信息采集模块711用于使用内置的监测程序监测到发生违规外联的外联事件,在本地检索cookie的存储位置,读取外联事件的cookie和外联URL。
本实施例中,可选的,上述系统还包括:流量分析探针(未示出),用于发送监测脚本给终端;相应地,终端71的信息采集模块711用于:收到流量分析探针发送的监测脚本后运行监测脚本,当监测到发生违规外联的外联事件时,通过JS函数读取外联事件的cookie和外联URL。
本实施例提供的上述系统,可以执行上述任一方法实施例提供的方法,具体过程详见上述方法实施例中的描述,可以达到上述方法实施例的技术效果,其详细内容此处不再赘述。
本发明实施例还提供了一种计算机可读存储介质,该可读存储介质如:ROM/RAM、磁碟、光盘等,计算机可读存储介质存储有计算机程序,所述计算机程序可被终端设备、计算机或服务器等硬件设备执行上述的违规外联的取证方法的步骤。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (11)

1.一种违规外联的取证方法,其特征在于,包括:
终端监测到发生违规外联的外联事件,获取所述外联事件的cookie和外联URL;
所述终端将所述外联事件、cookie和外联URL发送给取证中心;
所述取证中心接收到所述外联事件、cookie和外联URL后,建立所述外联事件与所述cookie、外联URL的对应关系;
当所述取证中心接收到对所述外联事件的取证请求时,在所述对应关系中查找到所述外联事件对应的cookie和外联URL并返回给发送所述取证请求的配置有浏览器扩展的浏览器,以使浏览器扩展将所述cookie注入到所述外联URL对应的域下,控制浏览器打开所述外联URL,加载所述cookie,还原出所述外联事件的场景。
2.根据权利要求1所述的方法,其特征在于,将所述cookie注入到所述外联URL对应的域下,包括:
所述浏览器扩展使用cookie操作接口将所述cookie注入到所述外联URL对应的域下。
3.根据权利要求1所述的方法,其特征在于,控制浏览器打开所述外联URL,包括:
所述浏览器扩展使用窗口打开接口或JS函数控制浏览器打开所述外联URL。
4.根据权利要求1~3中任一项所述的方法,其特征在于,终端监测到发生违规外联的外联事件,获取所述外联事件的cookie和外联URL,包括:
终端内置的监测程序监测到发生违规外联的外联事件,在本地检索cookie的存储位置,获取所述外联事件的cookie和外联URL。
5.根据权利要求1~3中任一项所述的方法,其特征在于,终端监测到发生违规外联的外联事件,获取所述外联事件的cookie和外联URL,包括:
流量分析探针发送监测脚本给终端,所述终端收到后运行所述监测脚本,当监测到发生违规外联的外联事件时,通过JS函数获取所述外联事件的cookie和外联URL。
6.一种违规外联的取证系统,其特征在于,包括:终端和取证中心;
所述终端包括:
信息采集模块,用于监测到发生违规外联的外联事件,获取所述外联事件的cookie和外联URL;
上报模块,用于将所述信息采集模块获取的所述外联事件、cookie和外联URL发送给所述取证中心;
所述取证中心包括:
接收存储模块,用于接收到所述终端发送的所述外联事件、cookie和外联URL,并建立所述外联事件与所述cookie、外联URL的对应关系;
信息提取模块,用于当接收到对所述外联事件的取证请求时,在所述对应关系中查找到所述外联事件对应的cookie和外联URL并返回给发送所述取证请求的配置有浏览器扩展的浏览器,以使浏览器扩展将所述cookie注入到所述外联URL对应的域下,控制浏览器打开所述外联URL,加载所述cookie,还原出所述外联事件的场景。
7.根据权利要求6所述的系统,其特征在于,还包括:取证管理终端,
所述取证管理终端包括:配置有浏览器扩展的浏览器,
所述浏览器,用于向所述取证中心发送外联事件的取证请求,并接收所述取证中心返回的所述外联事件对应的cookie和外联URL;
所述浏览器扩展,用于将所述cookie注入到所述外联URL对应的域下,控制所述浏览器打开所述外联URL,加载所述cookie,还原出所述外联事件的场景。
8.根据权利要求7所述的系统,其特征在于,所述浏览器扩展,具体用于使用cookie操作接口将所述cookie注入到所述外联URL对应的域下,使用窗口打开接口或JS函数控制浏览器打开所述外联URL。
9.根据权利要求6~8中任一项所述的系统,其特征在于,所述信息采集模块用于:
使用内置的监测程序监测到发生违规外联的外联事件,在本地检索cookie的存储位置,获取所述外联事件的cookie和外联URL。
10.根据权利要求6~8中任一项所述的系统,其特征在于,所述系统还包括:
流量分析探针,用于发送监测脚本给所述终端;
所述终端的信息采集模块具体用于:
收到所述流量分析探针发送的所述监测脚本后运行所述监测脚本,当监测到发生违规外联的外联事件时,通过JS函数获取所述外联事件的cookie和外联URL。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序可被执行如权利要求1至5中任一项权利要求所述的违规外联的取证方法。
CN202010611348.XA 2020-07-02 2020-07-02 违规外联的取证方法、系统和存储介质 Active CN111881384B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010611348.XA CN111881384B (zh) 2020-07-02 2020-07-02 违规外联的取证方法、系统和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010611348.XA CN111881384B (zh) 2020-07-02 2020-07-02 违规外联的取证方法、系统和存储介质

Publications (2)

Publication Number Publication Date
CN111881384A CN111881384A (zh) 2020-11-03
CN111881384B true CN111881384B (zh) 2023-05-26

Family

ID=73157593

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010611348.XA Active CN111881384B (zh) 2020-07-02 2020-07-02 违规外联的取证方法、系统和存储介质

Country Status (1)

Country Link
CN (1) CN111881384B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116155549B (zh) * 2022-12-23 2023-12-29 武汉雨滴科技有限公司 终端外联检测方法、装置、电子设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106789208A (zh) * 2016-12-10 2017-05-31 武汉白虹软件科技有限公司 一种基于udt反向穿透技术的网络取证设备网管模型
CN107733706A (zh) * 2017-09-30 2018-02-23 北京北信源软件股份有限公司 一种无代理的违规外联监测方法和系统
CN107819862A (zh) * 2017-11-15 2018-03-20 杭州安恒信息技术有限公司 基于树莓派的快速电子取证方法、装置及电子设备
CN110555179A (zh) * 2019-09-05 2019-12-10 厦门市美亚柏科信息股份有限公司 一种动态网站脚本取证方法、终端设备及存储介质
CN110691083A (zh) * 2019-09-26 2020-01-14 杭州安恒信息技术股份有限公司 一种基于进程的外联阻断方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11301560B2 (en) * 2018-02-09 2022-04-12 Bolster, Inc Real-time detection and blocking of counterfeit websites

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106789208A (zh) * 2016-12-10 2017-05-31 武汉白虹软件科技有限公司 一种基于udt反向穿透技术的网络取证设备网管模型
CN107733706A (zh) * 2017-09-30 2018-02-23 北京北信源软件股份有限公司 一种无代理的违规外联监测方法和系统
CN107819862A (zh) * 2017-11-15 2018-03-20 杭州安恒信息技术有限公司 基于树莓派的快速电子取证方法、装置及电子设备
CN110555179A (zh) * 2019-09-05 2019-12-10 厦门市美亚柏科信息股份有限公司 一种动态网站脚本取证方法、终端设备及存储介质
CN110691083A (zh) * 2019-09-26 2020-01-14 杭州安恒信息技术股份有限公司 一种基于进程的外联阻断方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
医院内网终端安全管理;赵丽丽;辛海燕;曲强;;中华医学图书情报杂志(第10期);全文 *
新型违规外联监控系统的设计与实现;潘峰;李宝强;张电;姚前进;;信息安全与技术(第06期);全文 *

Also Published As

Publication number Publication date
CN111881384A (zh) 2020-11-03

Similar Documents

Publication Publication Date Title
CN108881211B (zh) 一种违规外联检测方法及装置
CN111651757B (zh) 攻击行为的监测方法、装置、设备及存储介质
CN107211016B (zh) 会话安全划分和应用程序剖析器
CN106302337A (zh) 漏洞检测方法和装置
US20080263626A1 (en) Method and system for logging a network communication event
CN105939326A (zh) 处理报文的方法及装置
CN107332811A (zh) 入侵检测的方法、装置和系统
WO2013043404A1 (en) Two-stage anonymization of mobile network subscriber personal information
CN114145004A (zh) 用于使用dns消息以选择性地收集计算机取证数据的系统及方法
CN101540734A (zh) 一种跨域名Cookie访问方法、系统及设备
CN105550593A (zh) 一种基于局域网的云盘文件监控方法和装置
CN109361574B (zh) 基于JavaScript脚本的NAT检测方法、系统、介质和设备
CN111818073B (zh) 一种失陷主机检测方法、装置、设备及介质
CN112738095A (zh) 一种检测非法外联的方法、装置、系统、存储介质及设备
CN113518077A (zh) 一种恶意网络爬虫检测方法、装置、设备及存储介质
CN111314301A (zh) 一种基于dns解析的网站访问控制方法及装置
US10931688B2 (en) Malicious website discovery using web analytics identifiers
US20030172155A1 (en) Cracker tracing system and method, and authentification system and method of using the same
CN112685270A (zh) 一种系统监控日志的采集方法、装置、电子设备及介质
CN107147662B (zh) 域名劫持发现的方法
CN111881384B (zh) 违规外联的取证方法、系统和存储介质
US11582226B2 (en) Malicious website discovery using legitimate third party identifiers
CN114466054A (zh) 数据处理方法、装置、设备,及计算机可读存储介质
CN111786990B (zh) 一种针对web主动推送跳转页面的防御方法和系统
CN115051867B (zh) 一种非法外联行为的检测方法、装置、电子设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant