CN112165474A - 一种网络监控方法及装置 - Google Patents
一种网络监控方法及装置 Download PDFInfo
- Publication number
- CN112165474A CN112165474A CN202011003269.7A CN202011003269A CN112165474A CN 112165474 A CN112165474 A CN 112165474A CN 202011003269 A CN202011003269 A CN 202011003269A CN 112165474 A CN112165474 A CN 112165474A
- Authority
- CN
- China
- Prior art keywords
- monitoring
- socket
- data
- domain name
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
- H04L69/162—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例提供了一种网络监控方法及装置,涉及通信技术领域。该方法包括:在Android系统的系统服务启动时,启动用于网络监控的socket监听对应的监听服务,所述socket监听预先添加于Netd服务的配置文件中;通过所述监听服务对所述socket监听的socket服务端进行监听,获取监听数据;根据所述监听数据判断网络访问是否安全。本发明实施例用于更加全面的对网络进行监控。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种网络监控方法及装置。
背景技术
随着信息时代的到来,网络通信尤其是移动通信网络的建设速度惊人,网络已成为人们工作、学习和生活的一个重要平台。网络在为用户提供便利的同时,也产生了很大的负面影响,不良和非法信息的传播、信息的泄漏、垃圾邮件等问题,对网络的安全和效率已经构成了严重的威胁,因此对网络进行监控,将非法的、不符合条件的内容过滤、对敏感信息进行提醒和审计,对于网络的进一步建设和发展至关重要。
目前普遍使用的网络监控方式为,基于Android系统的应用层对网络进行监控。具体为,在Android系统的应用层中安装网络监控应用,当通过Android系统访问网络时,网络监控应用获取Android系统访问网络产生的网络数据,并基于获取的网络数据进行网络监控。然而,目前应用市场中的应用良莠不齐,部分网络监控应用无法有效对每一个应用的访问内容进行监控,还部分应用本身即为恶意应用,具有屏蔽网络监控应用对其访问内容进行监控的功能,因此基于应用层对网络进行监控无法做到全面对网络进行监控。由于基于Android系统的应用层对网络进行监控,无法做到全面对网络进行监控,因此用户很可能会访问到不良信息或非法信息,进而造成信息泄露、设备性能下降等问题。
发明内容
有鉴于此,本发明提供了一种网络监控方法及装置,用于更加全面的对网络进行监控。
为了实现上述目的,本发明实施例提供技术方案如下:
第一方面,本发明的实施例提供一种网络监控方法,包括:
在Android系统的系统服务启动时,启动用于网络监控的socket监听对应的监听服务,所述socket监听预先添加于Netd服务的配置文件中;
通过所述监听服务对所述socket监听的socket服务端进行监听,获取监听数据;
根据所述监听数据判断网络访问是否安全。
作为本发明实施例一种可选的实施方式,所述根据所述监听数据判断网络访问是否安全,包括:
将所述监听数据发送至所述socket监听的socket客户端;
通过所述socket客户端对所述监听数据进行分析,以判断网络访问是否安全;
其中,所述socket客户端属于所述Android系统的应用层。
作为本发明实施例一种可选的实施方式,在将所述监听数据发送至所述socket监听的socket客户端之前,所述方法还包括:
启动监听获取服务;
所述socket客户端在所述监听获取服务中通过LocalSocketAddress获取所述socket监听,并通过connect函数与所述socket服务端建立连接。
作为本发明实施例一种可选的实施方式,所述监听数据包括进行网络访问的进程的识别码和访问的网站的域名;
所述根据所述监听数据判断网络访问是否安全,包括:
判断所述监听数据中的域名与恶意域名列表中的域名是否匹配;
若是,则确定网络访问不安全;
如否,则确定网络访问安全。
作为本发明实施例一种可选的实施方式,在确定网络访问不安全的情况下,所述方法还包括:
确定所述监听数据中的域名的恶意类别;
在所述监听数据中的域名属于第一恶意类别的情况下,将运行所述Android系统的终端设备的国际移动设备识别码、序列号、通信号码、访问时间、位置信息中的至少一个发送至预设服务器;
在所述监听数据中的域名属于第二恶意类别的情况下,提醒用户关闭所述监听数据中的域名对应的网站;
在所述监听数据中的域名属于第三恶意类别的情况下,提醒用户关闭访问所述监听数据中的域名对应的网站的进程。
作为本发明实施例一种可选的实施方式,所述根据所述监听数据判断网络访问是否安全,包括:
通过所述Android系统的内核层对所述监听数据进行分析,以判断网络访问是否安全。
作为本发明实施例一种可选的实施方式,所述方法还包括:
在确定网络访问不安全的情况下,对所述监听数据中的域名进行重定向。
作为本发明实施例一种可选的实施方式,所述基于所述监听数据进行安全判断,包括:
通过所述Android系统的系统运行库层中的函数挂钩调取所述监听数据,并对所述监听数据进行分析,以判断网络访问是否安全。
作为本发明实施例一种可选的实施方式,所述通过所述监听服务对所述socket监听的socket服务端进行监听,获取监听数据,包括:
通过所述监听服务在主函数中调用DnsProxyListener;
在所述DnsProxyListener中通过android_get_control_socket函数获取所述socket监听的socket服务端,并进行轮询监听;
当监听到所述socket服务端具有网络数据时,通过所述DnsProxyListener在GetAddrInfoCmd函数中获取所述监听数据。
第二方面,本发明实施例提供一种网络监控装置,包括:
启动单元,用于在Android系统的系统服务启动时,启动用于网络监控的socket监听对应的监听服务,所述socket监听预先添加于Netd服务的配置文件中;
监听单元,用于通过所述监听服务对所述socket监听的socket服务端进行监听,获取监听数据;
处理单元,用于根据所述监听数据判断网络访问是否安全。
作为本发明实施例一种可选的实施方式,所述处理单元,具体用于将所述监听数据发送至所述socket监听的socket客户端;通过所述socket客户端对所述监听数据进行分析,以判断网络访问是否安全;
其中,所述socket客户端属于所述Android系统的应用层。
作为本发明实施例一种可选的实施方式,所述监听单元,还用于在将所述监听数据发送至所述socket监听的socket客户端之前,启动监听获取服务,在所述监听获取服务中通过LocalSocketAddress获取所述socket监听,并通过connect函数建立所述socket客户端与所述socket服务端之间的连接。
作为本发明实施例一种可选的实施方式,所述监听数据包括进行网络访问的进程的识别码和访问的网站的域名;
所述处理单元,具体用于判断所述监听数据中的域名与恶意域名列表中的域名是否匹配;若是,则确定网络访问不安全;如否,则确定网络访问安全。
作为本发明实施例一种可选的实施方式,所述处理单元,还用于在确定网络访问不安全的情况下,确定所述监听数据中的域名的恶意类别;
在所述监听数据中的域名属于第一恶意类别的情况下,将运行所述Android系统的终端设备的国际移动设备识别码、序列号、通信号码、访问时间、位置信息中的至少一个发送至预设服务器;
在所述监听数据中的域名属于第二恶意类别的情况下,提醒用户关闭所述监听数据中的域名对应的网站;
在所述监听数据中的域名属于第三恶意类别的情况下,提醒用户关闭访问所述监听数据中的域名对应的网站的进程。
作为本发明实施例一种可选的实施方式,所述处理单元,具体用于通过所述Android系统的内核层对所述监听数据进行分析,以判断网络访问是否安全。
作为本发明实施例一种可选的实施方式,所述处理单元,还用于在确定网络访问不安全的情况下,对所述监听数据中的域名进行重定向。
作为本发明实施例一种可选的实施方式,所述处理单元,具体用于通过所述Android系统的系统运行库层中的函数挂钩调取所述监听数据,并对所述监听数据进行分析,以判断网络访问是否安全。
作为本发明实施例一种可选的实施方式,所述监听单元,具体用于通过所述监听服务在主函数中调用DnsProxyListener;在所述DnsProxyListener中通过android_get_control_socket函数获取所述socket监听的socket服务端,并进行轮询监听;当监听到所述socket服务端具有网络数据时,通过所述DnsProxyListener在GetAddrInfoCmd函数中获取所述监听数据。
第三方面,本发明实施例提供一种终端设备,包括:存储器和处理器,存储器用于存储计算机程序;处理器用于在调用计算机程序时执行第一方面或第一方面任一种可选的实施方式所述的网络监控方法。
第四方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现第一方面或第一方面任一种可选的实施方式所述的网络监控方法。
本发明实施例提供的网络监控方法,在Android系统的系统服务启动时,启动用于网络监控的socket监听对应的监听服务,然后通过所述监听服务对所述socket监听的socket服务端进行监听,获取监听数据,并根据所述监听数据判断网络访问是否安全。相比于现有技术中基于Android系统的应用层进行网络监控,本发明实施例中通过socket监听对应的监听服务获取监听数据,是一种基于Android系统的内核层进行监控数据的获取的方式,而基于Android系统的内核层进行监控数据的获取,可以获取Android系统访问网络产生的所有网络数据,因此本发明实施例可以更加全面的对网络进行监控。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的安卓系统的系统框架图;
图2为本发明实施例提供的网络监控方法的步骤流程图之一;
图3为本发明实施例提供的网络监控方法的步骤流程图之二;;
图4为本发明实施例提供的网络监控方法的步骤流程图之三;;
图5为本发明实施例提供的网络监控方法的步骤流程图之四;;
图6为本发明实施例提供的网络监控装置的结构示意图;
图7为本发明实施例提供的终端设备的硬件结构示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面将对本发明的方案进行进一步描述。需要说明的是,在不冲突的情况下,本发明的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但本发明还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本发明的一部分实施例,而不是全部的实施例。
本发明的说明书和权利要求书中的术语“第一”和“第二”等是用于区别同步的对象,而不是用于描述对象的特定顺序。例如,第一恶意类别和第二恶意类别等是用于区别不同的恶意类别,而不是用于恶意类别的特定顺序。
在本发明实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。此外,在本发明实施例的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
如图1所示,为本发明实施例提供的安卓(Android)系统的系统架构示意图。在图1中,安卓系统的系统架构包括3层,从上层至底层依次为:应用层、系统运行库层和内核层(也可以称为Linux内核层)。
其中,应用层包括:应用程序和应用程序框架。应用程序包括安卓系统中的各个应用程序(包括系统应用程序和第三方应用程序)。例如,可以包括安全管家、相机、图库、日历、通话、地图、导航、蓝牙、音乐和短信息等应用程序。应用程序框架是应用程序的框架,为应用程序提供应用编程接口(application programming interface,API)和编程框架,包括一些预先定义的函数,开发人员可以在遵守应用程序的框架的开发原则的情况下,基于应用程序框架进行应用程序的开发。示例性的,应用程序框架可以包括窗口管理器、内容提供器、视图系统、电话管理器、资源管理器和通知管理器等。应用层运行在虚拟机中,虚拟机将应用层的java文件执行为二进制文件,用于执行对象生命周期的管理,堆栈管理,线程管理,安全和异常的管理等功能。
系统运行库层包括库(也称为系统库)和安卓系统运行环境。库主要用于为安卓系统提供其所需的各类资源。安卓系统运行环境用于为安卓系统提供软件环境,负责安卓系统的调度和管理。库包含两部分:一部分是java语言需要调用的功能函数,另一部分是安卓的核心库。系统库可以包括多个功能模块。例如:表面管理器(surface manager),媒体库(media libraries),图形处理库、图形引擎等。
内核层是安卓系统的系统层,属于安卓系统软件层次的最底层,内核层基于Linux内核为安卓系统提供核心系统服务和与硬件相关的驱动程序。其中,内核层可以包含显示驱动,摄像头驱动,音频驱动,传感器驱动和扬声器驱动等。
在上述图1所示Android系统的基础上,本发明实施例提供了一种网络监控方法,参照图2所示,该网络监控方法包括如下步骤S21至S23:
S21、在Android系统的系统服务启动时,启动用于网络监控的socket监听对应的监听服务。
其中,所述socket监听预先添加于Netd服务的配置文件中。
具体的,Netd(英文全称:Netword Daemon,中文名称:网络监听),是一个专门负责网络管理和控制的后台守护进程,其配置文件所属init.rc(一个规定init进程行为和动作的配置文件),因此可以在init.rc中的Netd服务的配置文件中添加一个用于网络监控的socket监听,当Android系统启动系统服务时将Netd服务器启动,从而将该用于网络监控的socket监听对应的监听服务也启动。
需要说明的是,本发明实施例中对用于网络监控的socket监听的名称不作限定,可以基于需求将该用于网络监控的socket监听的名称设置为与已有socket监听名称不冲突的任意名称。示例性的,可以将该用于网络监控的socket监听的名称设置为“hipsd”。
S22、通过所述监听服务对所述socket监听的socket服务端进行监听,获取监听数据。
作为本发明实施例一种可选的实施方式,上述步骤S22(通过所述监听服务对所述socket监听的socket服务端进行监听,获取监听数据)的实现方式可以包括如下步骤a至步骤c。
步骤a、通过所述监听服务在主函数(main)中调用DnsProxyListener。
具体的,DnsProxyListener为Android系统中一个与域名系统(Domain NameSystem,DNS)相关的函数,主要用于负责监听客户端的请求,并经过FrameworkListener的机制,转给对应的Command对象处理。
步骤b、在所述DnsProxyListener中通过android_get_control_socket函数获取所述socket监听的socket服务端,并进行轮询监听。
轮询(Polling)是一种处理器决策如何提供服务的方式,又称“程控输入输出”(Programmed I/O)。轮询法的概念是:由处理器定时发出询问,依序询问每一个进程是否需要其服务,有即给予服务,服务结束后再问下一个进程,依次往复周而复始。
步骤c、当监听到所述socket服务端具有网络数据时,通过所述DnsProxyListener在GetAddrInfoCmd函数中获取所述监听数据。
可选的,监听数据包括进行网络访问的进程的识别码(Process Identification,PID)和访问的网站的域名(hostname)。
S23、根据所述监听数据判断网络访问是否安全。
本发明实施例提供的网络监控方法,在Android系统的系统服务启动时,启动用于网络监控的socket监听对应的监听服务,然后通过所述监听服务对所述socket监听的socket服务端进行监听,获取监听数据,并根据所述监听数据判断网络访问是否安全。相比于现有技术中基于Android系统的应用层进行网络监控,本发明实施例中通过socket监听对应的监听服务获取监听数据,是一种基于Android系统的内核层进行监控数据的获取的方式,而基于Android系统的内核层进行监控数据的获取,可以获取Android系统访问网络产生的所有网络数据,因此本发明实施例可以更加全面的对网络进行监控。
进一步的,以下对上述步骤S23(根据所述监听数据判断网络访问是否安全)的实现方式进行详细说明,上述步骤S23可以包括如下实现方式:
参照图3所示,步骤S23的一种实现方式包括如下步骤:
S31、启动监听获取服务。
具体的,监听获取服务可以由用于网络监控的socket监听的socket客户端启动。
本发明实施例中对监听获取服务的名称不作限定,可以基于需求将该监听获取服务的名称设置为与已有服务的名称不冲突的任意名称。示例性的,可以将该监听获取服务的名称设置为“FlymeHipsService”。
S32、在所述监听获取服务中通过LocalSocketAddress获取所述socket监听。
即,通过在所述监听获取服务中通过LocalSocketAddress获取本发明实施例中用于网络监控的socket监听。
S33、通过connect函数建立所述socket客户端与所述socket服务端之间的连接。
其中,所述socket客户端属于所述Android系统的应用层。
具体的,socket客户端可以为Android系统中安装的杀毒软件、防火墙等应用程序。示例性的,socket客户端可以为手机管家等应用程序。
此外,在socket客户端与socket服务端建立连接之后,socket客户端会启动监听进程,监听并接收socket服务端传递过来的监听数据。
S34、将所述监听数据发送至所述socket监听的socket客户端。
即,socket服务端通过与socket客户端之间建立的连接将监听数据发送至socket客户端,或者说socket客户端通过与socket服务端之间建立的连接获取监听数据。
S35、通过所述socket客户端对所述监听数据进行分析,以判断网络访问是否安全。
进一步的,当所述监听数据包括进行网络访问的进程的识别码和访问的网站的域名时,上述步骤S35(通过所述socket客户端对所述监听数据进行分析,以判断网络访问是否安全)可以包括:
判断所述监听数据中的域名与恶意域名列表中的域名是否匹配;
若是,则确定网络访问不安全;
如否,则确定网络访问安全。
具体的,恶意域名列表可以由socket客户端从云端服务器获取,并存储于本地存储器中,当进行网络访问是否安全的判断时,socket客户端从本存储器中调取恶意域名列表并判断监听数据中的域名与恶意域名列表中的域名是否匹配。
进一步可选的,本发明实施例提供的网络监控方法还包括:
确定所述监听数据中的域名的恶意类别;
在所述监听数据中的域名属于第一恶意类别的情况下,将运行所述Android系统的终端设备的国际移动设备识别码(Mobile Equipment Identifier,MEID)、序列号(Serial Number,SN)、通信号码(Personal Telecommunication Number,PTN)、访问时间、位置信息中的至少一个发送至预设服务器。
具体的,第一恶意类别的域名可以为危害极高域名,例如:针对国家级别间谍监控的域名等。由于上述实施例会在监听数据中的域名属于第一恶意类别的情况下,将运行所述Android系统的终端设备的MEID、SN、PTN、访问时间、位置信息等信息发至预设服务器,因此上述实施例可以辅助安全人员尽快查找访问该域名的人员。
在所述监听数据中的域名属于第二恶意类别的情况下,提醒用户关闭所述监听数据中的域名对应的网站。
具体的,第二恶意类别的域名可以为高风险的域名,例如:非法网站、欺诈网站等。当第二恶意类别的域名为高风险的域名时,由当前用户访问风险较高,因此通过弹框、声音、震动、灯光中的一种或多种提醒用户关闭所述监听数据中的域名对应的网站。
在所述监听数据中的域名属于第三恶意类别的情况下,提醒用户关闭访问所述监听数据中的域名对应的网站的进程。
第三恶意类别的域名可以为一般风险的域名,具体可以通过通知、短消息等方式提醒用户关闭访问所述监听数据中的域名对应的网站的进程。
可选的,socket客户端从云端服务器获取的恶意域名列表包括:第一恶意类别的恶意域名列表、第二恶意类别的恶意域名列表、以及第三恶意类别的恶意域名列表,若监听数据中的域名与第一恶意类别的恶意域名列表中的域名匹配,则确定监听数据中的域名的恶意类别为第一恶意类别;若监听数据中的域名与第二恶意类别的恶意域名列表中的域名匹配,则确定监听数据中的域名的恶意类别为第二恶意类别;若监听数据中的域名与第三恶意类别的恶意域名列表中的域名匹配,则确定监听数据中的域名的恶意类别为第三恶意类别。
可选的,socket客户端从云端服务器获取的恶意域名列表中还包括每一个恶意域名对应的恶意类别,若监听数据中的域名与恶意域名列表中的某一域名匹配,则将该恶意域名对应的恶意类别确定为所述监听数据中的域名的恶意类别。
参照图4所示,步骤S23的一种实现方式包括如下步骤:
S41、通过所述Android系统的内核层对所述监听数据进行分析,以判断网络访问是否安全。
即,在本发明实施例提供的网络监控方法中,也可以不在Android系统的应用层进行网络访问是否安全的判断,而是在所述Android系统的内核层进行网络访问是否安全的判断。
进一步的,本发明实施例提供的网络监控方法还包括:
在确定网络访问不安全的情况下,对所述监听数据中的域名进行重定向。
即,在上述步骤S41中,若确定网络访问不安全,则对所述监听数据中的域名进行重定向。
示例性的,对所述监听数据中的域名进行重定向可以为将访问域名重定向至本地空白页,从而使本次访问无效。
参照图5所示,步骤S23的一种实现方式包括如下步骤:
S51、通过所述Android系统的系统运行库层中的函数挂钩调取所述监听数据,并对所述监听数据进行分析,以判断网络访问是否安全。
具体的,Android系统的系统运行库层包括库安卓系统运行环境。其中,库包含两部分:一部分是java语言需要调用的功能函数,另一部分是安卓的核心库。上述实施例即调用java语言需要调用的功能函数中挂钩判断网络访问是否安全。
示例性的,上述进行网络访问安全判断的函数可以为Socket、Inet6AddressImpl等的connect,lookupHostByName等函数。
基于同一发明构思,作为对上述方法的实现,本发明实施例还提供了一种终端设备,该终端设备实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的终端设备能够对应实现前述方法实施例中的全部内容。
图6为本发明实施例提供的网络监控装置的结构示意图,如图6所示,本实施例提供的网络监控装置600包括:
启动单元61,用于在Android系统的系统服务启动时,启动用于网络监控的socket监听对应的监听服务,所述socket监听预先添加于Netd服务的配置文件中;
监听单元62,用于通过所述监听服务对所述socket监听的socket服务端进行监听,获取监听数据;
处理单元63,用于根据所述监听数据判断网络访问是否安全。
作为本发明实施例一种可选的实施方式,所述处理单元63,具体用于将所述监听数据发送至所述socket监听的socket客户端;通过所述socket客户端对所述监听数据进行分析,以判断网络访问是否安全;
其中,所述socket客户端属于所述Android系统的应用层。
作为本发明实施例一种可选的实施方式,所述监听单元62,还用于在将所述监听数据发送至所述socket监听的socket客户端之前,启动监听获取服务,在所述监听获取服务中通过LocalSocketAddress获取所述socket监听,并通过connect函数建立所述socket客户端与所述socket服务端之间的连接。
作为本发明实施例一种可选的实施方式,所述监听数据包括进行网络访问的进程的识别码和访问的网站的域名;
所述处理单元63,具体用于判断所述监听数据中的域名与恶意域名列表中的域名是否匹配;若是,则确定网络访问不安全;如否,则确定网络访问安全。
作为本发明实施例一种可选的实施方式,所述处理单元63,还用于在确定网络访问不安全的情况下,确定所述监听数据中的域名的恶意类别;
在所述监听数据中的域名属于第一恶意类别的情况下,将运行所述Android系统的终端设备的国际移动设备识别码、序列号、通信号码、访问时间、位置信息中的至少一个发送至预设服务器;
在所述监听数据中的域名属于第二恶意类别的情况下,提醒用户关闭所述监听数据中的域名对应的网站;
在所述监听数据中的域名属于第三恶意类别的情况下,提醒用户关闭访问所述监听数据中的域名对应的网站的进程。
作为本发明实施例一种可选的实施方式,所述处理单元63,具体用于通过所述Android系统的内核层对所述监听数据进行分析,以判断网络访问是否安全。
作为本发明实施例一种可选的实施方式,所述处理单元63,还用于在确定网络访问不安全的情况下,对所述监听数据中的域名进行重定向。
作为本发明实施例一种可选的实施方式,所述处理单元63,具体用于通过所述Android系统的系统运行库层中的函数挂钩调取所述监听数据,并对所述监听数据进行分析,以判断网络访问是否安全。
作为本发明实施例一种可选的实施方式,所述监听单元62,具体用于通过所述监听服务在主函数中调用DnsProxyListener;在所述DnsProxyListener中通过android_get_control_socket函数获取所述socket监听的socket服务端,并进行轮询监听;当监听到所述socket服务端具有网络数据时,通过所述DnsProxyListener在GetAddrInfoCmd函数中获取所述监听数据。
本发明实施例提供的网络监控装置可以执行上述实施例提供的基于网络监控方法中的全部内容,因此可达到相同的技术效果,在此不再对网络监控方法设备所能达到的技术效果进行赘述。
基于同一发明构思,本发明实施例还提供了一种终端设备。图7为本发明实施例提供的终端设备的结构示意图,如图7所示,本实施例提供的终端设备包括:存储器71和处理器72,存储器71用于存储计算机程序;处理器72用于在调用计算机程序时执行上述网络监控方法的步骤。
示例性的,本发明实施例中的终端设备可以为手机、平板电脑、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本、个人数字助理(personal digital assistant,PDA)、智能手表、智能手环等终端设备,或者该终端设备还可以为其他类型的终端设备,本发明实施例不作限定。
本发明实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例所述的网络监控方法的步骤。
处理器可以是中央处理单元(CentralProcessingUnit,CPU),还可以是其他通用处理器、数字信号处理器(DigitalSignalProcessor,DSP)、专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、现成可编程门阵列(Field-ProgrammableGateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动存储介质。存储介质可以由任何方法或技术来实现信息存储,信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。根据本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitorymedia),如调制的数据信号和载波。
以上所述仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (12)
1.一种网络监控方法,其特征在于,包括:
在Android系统的系统服务启动时,启动用于网络监控的socket监听对应的监听服务,所述socket监听预先添加于Netd服务的配置文件中;
通过所述监听服务对所述socket监听的socket服务端进行监听,获取监听数据;
根据所述监听数据判断网络访问是否安全。
2.根据权利要求1所述的方法,其特征在于,所述根据所述监听数据判断网络访问是否安全,包括:
将所述监听数据发送至所述socket监听的socket客户端;
通过所述socket客户端对所述监听数据进行分析,以判断网络访问是否安全;
其中,所述socket客户端属于所述Android系统的应用层。
3.根据权利要求2所述的方法,其特征在于,在将所述监听数据发送至所述socket监听的socket客户端之前,所述方法还包括:
启动监听获取服务;
在所述监听获取服务中通过LocalSocketAddress获取所述socket监听;
通过connect函数建立所述socket客户端与所述socket服务端之间的连接。
4.根据权利要求1所述的方法,其特征在于,所述监听数据包括进行网络访问的进程的识别码和访问的网站的域名;
所述根据所述监听数据判断网络访问是否安全,包括:
判断所述监听数据中的域名与恶意域名列表中的域名是否匹配;
若是,则确定网络访问不安全;
如否,则确定网络访问安全。
5.根据权利要求4所述的方法,其特征在于,在确定网络访问不安全的情况下,所述方法还包括:
确定所述监听数据中的域名的恶意类别;
在所述监听数据中的域名属于第一恶意类别的情况下,将运行所述Android系统的终端设备的国际移动设备识别码、序列号、通信号码、访问时间、位置信息中的至少一个发送至预设服务器;
在所述监听数据中的域名属于第二恶意类别的情况下,提醒用户关闭所述监听数据中的域名对应的网站;
在所述监听数据中的域名属于第三恶意类别的情况下,提醒用户关闭访问所述监听数据中的域名对应的网站的进程。
6.根据权利要求1所述的方法,其特征在于,所述根据所述监听数据判断网络访问是否安全,包括:
通过所述Android系统的内核层对所述监听数据进行分析,以判断网络访问是否安全。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
在确定网络访问不安全的情况下,对所述监听数据中的域名进行重定向。
8.根据权利要求1所述的方法,其特征在于,所述基于所述监听数据进行安全判断,包括:
通过所述Android系统的系统运行库层中的函数挂钩调取所述监听数据,并对所述监听数据进行分析,以判断网络访问是否安全。
9.根据权利要求1-8任一项所述的方法,其特征在于,所述通过所述监听服务对所述socket监听的socket服务端进行监听,获取监听数据,包括:
通过所述监听服务在主函数中调用DnsProxyListener;
在所述DnsProxyListener中通过android_get_control_socket函数获取所述socket监听的socket服务端,并进行轮询监听;
当监听到所述socket服务端具有网络数据时,通过所述DnsProxyListener在GetAddrInfoCmd函数中获取所述监听数据。
10.一种网络监控装置,其特征在于,包括:
启动单元,用于在Android系统的系统服务启动时,启动用于网络监控的socket监听对应的监听服务,所述socket监听预先添加于Netd服务的配置文件中;
监听单元,用于通过所述监听服务对所述socket监听的socket服务端进行监听,获取监听数据;
处理单元,用于根据所述监听数据判断网络访问是否安全。
11.一种终端设备,其特征在于,包括:存储器和处理器,存储器用于存储计算机程序;处理器用于在调用计算机程序时执行权利要求1-9任一项所述的网络监控方法。
12.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,计算机程序被处理器执行时实现权利要求1-9任一项所述的网络监控方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011003269.7A CN112165474A (zh) | 2020-09-22 | 2020-09-22 | 一种网络监控方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011003269.7A CN112165474A (zh) | 2020-09-22 | 2020-09-22 | 一种网络监控方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112165474A true CN112165474A (zh) | 2021-01-01 |
Family
ID=73864319
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011003269.7A Pending CN112165474A (zh) | 2020-09-22 | 2020-09-22 | 一种网络监控方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112165474A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101051962A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种可扩展动态网络监控系统及其监控方法 |
CN105635178A (zh) * | 2016-02-26 | 2016-06-01 | 北京奇虎科技有限公司 | 保证安全的阻塞式网络访问方法及装置 |
CN105704226A (zh) * | 2016-03-11 | 2016-06-22 | 北京奇虎科技有限公司 | 智能终端及其网络配置方法 |
CN105721220A (zh) * | 2016-03-11 | 2016-06-29 | 北京奇虎科技有限公司 | 智能终端及其网络底层配置方法 |
CN105847321A (zh) * | 2016-03-11 | 2016-08-10 | 北京奇虎科技有限公司 | 智能终端及其免系统权限网络配置方法 |
CN106060970A (zh) * | 2016-03-11 | 2016-10-26 | 北京奇虎科技有限公司 | 智能终端及其网络配置方法 |
CN108063833A (zh) * | 2016-11-07 | 2018-05-22 | 中国移动通信有限公司研究院 | Http dns解析报文处理方法及装置 |
-
2020
- 2020-09-22 CN CN202011003269.7A patent/CN112165474A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101051962A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种可扩展动态网络监控系统及其监控方法 |
CN105635178A (zh) * | 2016-02-26 | 2016-06-01 | 北京奇虎科技有限公司 | 保证安全的阻塞式网络访问方法及装置 |
CN105704226A (zh) * | 2016-03-11 | 2016-06-22 | 北京奇虎科技有限公司 | 智能终端及其网络配置方法 |
CN105721220A (zh) * | 2016-03-11 | 2016-06-29 | 北京奇虎科技有限公司 | 智能终端及其网络底层配置方法 |
CN105847321A (zh) * | 2016-03-11 | 2016-08-10 | 北京奇虎科技有限公司 | 智能终端及其免系统权限网络配置方法 |
CN106060970A (zh) * | 2016-03-11 | 2016-10-26 | 北京奇虎科技有限公司 | 智能终端及其网络配置方法 |
CN108063833A (zh) * | 2016-11-07 | 2018-05-22 | 中国移动通信有限公司研究院 | Http dns解析报文处理方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210240848A1 (en) | Detecting an attempted access of personal information on client computing devices | |
US10454942B2 (en) | Managed clone applications | |
US10097561B2 (en) | Data loss prevention for mobile computing devices | |
US7890627B1 (en) | Hierarchical statistical model of internet reputation | |
CN106878368B (zh) | 信息推送的实现方法和装置 | |
WO2015096695A1 (zh) | 一种应用程序的安装控制方法、系统及装置 | |
TWI718232B (zh) | 業務執行方法及裝置 | |
US20130086242A1 (en) | Advertisement of conditional policy attachments | |
US8950005B1 (en) | Method and system for protecting content of sensitive web applications | |
KR20160090905A (ko) | 보안 규칙 평가를 포함하는 보호 시스템 | |
US9442783B2 (en) | Methods and systems for providing security for page framing | |
US20200092332A1 (en) | Enabling webapp security through containerization | |
KR20190069574A (ko) | 무선 네트워크 유형 검출 방법과 장치, 및 전자 디바이스 | |
US8645535B1 (en) | Detecting profile changes based on device behavior | |
US20190286678A1 (en) | Resource distribution based upon search signals | |
CN115242433B (zh) | 数据处理方法、系统、电子设备及计算机可读存储介质 | |
CN112165474A (zh) | 一种网络监控方法及装置 | |
US20190342448A1 (en) | Methods and devices for verifying a communication number | |
US11863704B2 (en) | Call limiting using burst detection | |
US11025593B2 (en) | Template-based session control in proxy solutions | |
CN114039873B (zh) | 针对客户端类型的审计方法及运维安全审计系统 | |
CN114697397A (zh) | 一种域名访问方法、装置、电子设备及计算机存储介质 | |
CN117112016A (zh) | 代码操作行为检测方法、装置、介质及电子设备 | |
WO2023009726A1 (en) | Systems and methods for analysis of user behavior to improve security awareness | |
CN115525875A (zh) | 一种安卓隐私保护方法、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |