CN112202785A - 一种上传文件处理方法、装置、设备及计算机存储介质 - Google Patents
一种上传文件处理方法、装置、设备及计算机存储介质 Download PDFInfo
- Publication number
- CN112202785A CN112202785A CN202011063481.2A CN202011063481A CN112202785A CN 112202785 A CN112202785 A CN 112202785A CN 202011063481 A CN202011063481 A CN 202011063481A CN 112202785 A CN112202785 A CN 112202785A
- Authority
- CN
- China
- Prior art keywords
- sni
- response packet
- resource information
- length
- template
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请实施例公开了一种上传文件处理方法、装置、设备及存储介质,其中,所述方法包括:响应于对非法上传文件行为的拦截操作,获取特征模板,所述特征模板中包括非法上传文件行为的特征参数;所述非法上传文件行为是指将文件上传到目标网站的行为;所述特征参数包括SNI和响应包的长度;从HTTPS流量中获取SNI和响应包的长度,在所述SNI和所述响应包的长度与所述特征模板中的特征参数匹配的情况下,确定所述HTTPS流量中存在非法上传文件行为,并呈现所述非法上传文件行为的拦截画面。
Description
技术领域
本申请实施例涉及互联网技术领域,涉及但不限于一种上传文件处理方法、装置、设备及计算机存储介质。
背景技术
现有的加密流量上传行为识别方案需要对加密流量进行解密,解密后对流量进行深度检测技术(Deep Packet Inspection,DPI)识别,然后识别其访问是否为上传行为。由于在加密流量上传行为识别过程中需要对以安全为目标的超文本传输协议通道(HyperText Transfer Protocol over Secure Socket Layer, HTTPS)进行解密,而对HTTPS流量进行解密,涉及到证书推送、中间人代理等过程,证书推送导致方案实施困难并且实施周期长,而中间人代理则对代理设备自身性能要求极高。
发明内容
有鉴于此,本申请实施例提供一种上传文件处理方法、装置、设备及计算机存储介质。
本申请实施例的技术方案是这样实现的:
第一方面,本申请实施例提供一种上传文件处理方法包括:响应于对非法上传文件行为的拦截操作,获取特征模板,所述特征模板中包括非法上传文件行为的特征参数;所述非法上传文件行为是指将文件上传到目标网站的行为;所述特征参数包括SNI和响应包的长度;从HTTPS流量中获取SNI和响应包的长度,在所述SNI和所述响应包的长度与所述特征模板中的特征参数匹配的情况下,确定所述HTTPS流量中存在访问非法上传文件行为,并呈现所述非法上传文件行为的拦截画面。
第二方面,本申请实施例提供一种上传文件处理装置所述装置包括:第一获取模块,用于响应于对非法上传文件行为的拦截操作,获取特征模板,所述特征模板中包括非法上传文件行为的特征参数;所述非法上传文件行为是指将文件上传到目标网站的行为;所述特征参数包括SNI和响应包的长度;第一确定模块,用于从HTTPS流量中获取SNI和响应包的长度,在所述SNI和所述响应包的长度与所述特征模板中的特征参数匹配的情况下,确定所述HTTPS 流量中存在访问非法上传文件行为,并呈现所述非法上传文件行为的拦截画面。
第三方面,本申请实施例提供一种上传文件处理设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法的上传文件处理方法。
第四方面,本申请实施例提供一种计算机存储介质,存储有可执行指令,用于引起处理器执行时,实现上述方法的上传文件处理方法。
本申请实施例中,首先响应于对非法上传文件行为的拦截操作,获取特征模板,由于特征模板中需要获取的参数SNI和响应包的长度都是在无需解密 HTTPS流量的情况下,可以直接从HTTSP流量中获取到的,且在HTTPS流量中获取到的SNI和响应包的长度与模板中的参数匹配时,可以实现识别特定网站的上传行为,并呈现所述非法上传文件行为的拦截画面,相比HTTPS解密方案进行上传行为识别,本申请不需要客户端安装证书,对用户无感知,增加了实施的便利性。可以直接响应于对非法上传文件行为的拦截操作,并直观呈现出非法上传文件行为的拦截画面,给用户提供了可视化界面便于监控非法上传文件行为。由于直接对加密流量进行分析,其对设备的性能要求更低。
附图说明
图1A是相关技术中HTTPS传输的硬件架构示意图;
图1B是相关技术中HTTP/1.X资源传输的过程示意图;
图1C是相关技术中采用SSL记录层记录的资源内容的一种结果示意图;
图1D是相关技术中采用SSL记录层记录的资源内容的另一结果示意图;
图1E为本申请实施例提供的一种上传文件处理方法的实现流程示意图;
图2为本申请实施例提供的一种上传文件处理方法的实现流程示意图;
图3为本申请实施例提供的一种获取特征模板方法的实现流程示意图;
图4A为本申请实施例提供的一种上传文件处理方法的功能配置示意图;
图4B为本申请实施例提供的拦截loader.js资源传输的示意图;
图4C为本申请实施例提供的拦截后文件展示的示意图;
图4D为本申请实施例提供的一种上传文件处理方法的实现流程示意图;
图5为本申请实施例提供的上传文件处理装置的组成结构示意图;
图6为本申请实施例提供的上传文件处理设备的一种硬件实体示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
应当理解,此处所描述的一些实施例仅仅用以解释本申请的技术方案,并不用于限定本申请的技术范围。
图1A是相关技术中HTTPS传输的硬件架构示意图,如图1A所述,包括:客户端101、网关102和服务端103,其中,用户使用客户端101通过网关102 可以向服务端103请求浏览网页、登录网页、下载文件和上传文件等不同类型的行为,其中,根据不同用户的不同需求,存在禁止特定用户或客户端向目标网址上传文件的需求,将这类需求对应的上传网页行为称为非法上传文件行为。
图1B是相关技术中HTTP/1.X资源传输的过程示意图,如图1B所示,在一个传输控制协议(Transmission Control Protocol,TCP)连接中资源传输的过程是:客户端101向服务端103发送第一个请求(请求2),服务端103收到后向客户端101发送该请求(请求2)的响应;客户端101收到请求2的响应后再向服务端103发送第二个请求(请求3),服务端103收到第二个请求后再向客户端101发第二个请求的响应,依此进行请求4。
在实现的过程中,服务器使用一个安全套接层(Secure Socket Layer,SSL) 记录层(Record Layer)即可传输完成所有的资源内容。图1C是相关技术中采用SSL记录层记录的资源内容的一种结果示意图。图1C中响应包的长度(包的大小)小于16KB(即16*1024字节(byte))=16384字节),图1C的上半部分中列出了不同的资源内容的相关信息,例如序号(No.)、传输用时(Time)、源端(Source)和目的端(Destination)、协议、包长和信息内容等。本例中关注序号28至32、34、35,参见104标号处,需要说明的是,序号28至32、34、 35的源端和目的端是相同的,属于同一个响应包;从序号28至32、34、35的内容也可以看出,都属于响应包的片段(segment)。序号24和26的源端和目的端与序号28也相同,但是从序号24和26的内容可以看出,序号24和26 属于空响应(ACK确认),从长度上也可以看出,66字节(Byte),从而不统计在响应包的长度内。图1C的下半部分分别列出了序号28至32、34、35的长度,分别为1428、1428、1428、1428、1428、1428、669字节,参见标号105 处。需要说明的是,以序号28为例,图1C的上半部分标记的序号28的长度为1494字节,其中包括66字节的空响应,因此序号28的实际长度为1428字节。将序号28至32、34、35的长度进行累加,可以得到响应包的长度为9232 字节,参见标号106处。因此从图1C所示,当前这个SSL记录层中记录的响应包的长度为9232字节。
对于资源大小大于16KB的场景,服务器会对整个资源的大小分割为多个 16KB的SSL记录层再加上剩余部分,即只有最后一个SSL记录层的响应包的长度小于16KB。图1D是相关技术中采用SSL记录层记录的资源内容的另一结果示意图。图D中响应包的长度(包的大小)大于16KB(即16*1024字节(byte)) =16384字节)。图1D所示为一个大于16KB资源的响应数据包序列,其中序号 2797、2808、2818分别为SSL记录层所在的数据包,从输出SSL记录层中响应包长度的列可以看出,序号2797和2808在SSL记录层中封装的负载大小为16408字节,大于16KB,比16KB多出的字节为用于防篡改的消息认证散列值。而序号2818在SSL记录层的响应包长度为14757字节,小于16KB,即为服务器对整个资源返回的最后一个SSL记录层封装。
本申请实施例提供的一种上传文件处理方法,如图1E所示,该方法包括:
步骤S101、响应于对非法上传文件行为的拦截操作,获取特征模板,所述特征模板中包括非法上传文件行为的特征参数;所述非法上传文件行为是指将文件上传到目标网站的行为;所述特征参数包括SNI和响应包的长度;
如图1A所示,用户使用客户端101通过网关102可以向服务端103请求浏览网页、登录网页、下载文件和上传文件等不同类型的行为,其中,根据不同用户的不同需求,存在禁止特定用户或客户端向目标网址上传文件的需求,将这类需求对应的上传网页行为称为非法上传文件行为。这里,网关102作为客户端101和服务端103之间的通信媒介,可以获取HTTPS流量中的信息,并在确认存在访问非法上传网页行为的情况下,通过拦截服务端103发送给客户端101的响应包以实现有效阻止上传网页行为,本申请可以将网关102作为实现方法的硬件装置,也可以将用于实现本申请方法的软件实施于网关102上。
响应于对非法上传文件行为的拦截操作,获取特征模板,特征模板中的特征参数包括SNI和响应包长度,都是不需要解密HTTPS流量可以直接从加密的HTTPS流量中获取的。获取SNI和响应包的长度需要执行以下步骤:与服务器建立连接的步骤和接收所述服务器返回响应的步骤,所述特征模板中包括与所述两个步骤顺序匹配的特征参数,即,SNI和响应包的长度(可以理解为资源的大小)。如下表1所示,特征模板包括两类资源,分别是文档资源和对象资源,每类资源的参数包括大小、名称、SNI和传输协议。例如:表1中上传文件的所有资源全部采用H1协议传输,这种情况下可以选取一个H1的文档资源和一个H1的对象资源作为文件模板的特征资源。表1中“—”的位置可以填上实际的数值。
表1特征模板
| 响应包的长度 | 名称 | SNI | 传输协议 |
| — | 文档资源 | — | H1 |
| — | 对象资源 | — | H1 |
步骤S102、从HTTPS流量中获取SNI和响应包的长度,在所述SNI和所述响应包的长度与所述特征模板中的特征参数匹配的情况下,确定所述HTTPS 流量中存在访问非法上传文件行为,并呈现所述非法上传文件行为的拦截画面。
以安全为目标的HTTPS通道(Hyper Text Transfer Protocol over SSL,HTTPS),即HTTP下加入SSL层,从而保证客户端和服务器之间传输数据的安全性。服务器名称指示(Server Name Indication,SNI),即定义在RFC 4366,是一项用于改善SSL/TLS的技术。在SSLv3/TLSv1中被启用。它允许客户端在发起SSL握手请求时(例如可以是客户端发起SSL请求中的ClientHello阶段),就提交请求的Host信息(比如码云的域名gitee.com),使得服务器能够切换到正确的域并返回相应的证书。SSL可以用于保障在Internet上数据传输的安全,利用数据加密(Encryption)技术,可确保数据在网络上的传输过程中不会被截取及窃听。已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:SSL记录协议(SSL Record Protocol):建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol):建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
这里,由于HTTPS会话开始时先要SSL握手,握手过程的协议是明文的,是有具体的协议格式的,可以根据数据包来解析获取SNI。在HTTPS流量中,客户端请求的某个资源大小,就是该请求与下一次请求之间的服务端响应包大小之和。也可以使用SSL记录层中的响应包长度字段来统计资源的响应大小,根据RFC6106的规定,服务器对一个资源的响应是由SSL记录层进行封装,那么统计一个资源大小的过程就变为统计SSL记录层中响应包长度的过程。
HTTPS资源的传输过程,如图1B所示,在一个TCP连接中,客户端101 向服务端103发送第一个请求(请求2),服务端103收到后向客户端101发送该请求(请求2)的响应,客户端101收到请求2的响应后再向服务端103发送发第二个请求(请求3),服务端103收到第二个请求后再向客户端101发第二个请求的响应,依此进行请求4。
在HTTPS流量中,客户端请求的某个资源大小,就是该请求与下一次请求之间的服务端响应包大小之和。也可以使用SSL记录层中响应包长度字段来统计资源的响应大小,即响应包长度。根据RFC6106的规定,服务器对一个资源的响应是由SSL记录层进行封装,而每个SSL记录层中响应包的长度最大不超过16KB,那么统计一个资源大小的过程就变为统计SSL记录层中响应包的长度的过程。如图1C所示,是服务端响应包长度为9232字节的示意图,即,响应包长度小于16KB时的统计方式。如图1D所示,是服务端响应包长度为16408 加16408加14757等于47573字节的示意图,即,响应包长度大于16KB时的统计方式。
这里,因为HTTP/1.X:包括HTTP1.0和HTTP1.1,这两种协议都属于请求响应式的协议,即必须要等待之前请求的资源完整返回之后才能继续后面的资源请求或者关闭连接。SNI和响应包的长度存在与其他资源碰撞的可能,因此如果不能仅用一个响应包的长度判定流量中加载了上传文件,那就需要结合多个响应包的长度进行判定。常规的HTTP文件加载过程首先加载文档资源(简称doc资源),如格式为.html、格式为.php等。在此之后,会去加载文档资源中引用的各种对象资源(简称obj资源),如格式为.css、格式为.js等等,与模板匹配时是基于以上的加载顺序进行识别。
在确定所述HTTPS流量中存在访问非法上传文件行为的情况下,如图4B 所示呈现非法上传文件行为的拦截画面。
本申请实施例中,首先响应于对非法上传文件行为的拦截操作,获取到包括非法上传文件行为的特征参数的特征模板,然后在从HTTPS流量中获取SNI 和响应包的长度与特征模板匹配的情况下,确定HTTPS流量中存在非法上传文件行为,并呈现所述非法上传文件行为的拦截画面。这样,由于模板中需要获取的参数SNI和响应包的长度都是在无需解密HTTPS流量的情况下,可以直接从HTTSP流量中获取到的,且在HTTPS流量中获取到的SNI和响应包的长度与模板中的参数匹配时,可以实现识别特定网站的上传行为,相比HTTPS 解密方案进行上传行为识别,本申请不需要客户端安装证书,对用户无感知,增加了实施的便利性。可以直接响应于对非法上传文件行为的拦截操作,并直观呈现出非法上传文件行为的拦截画面,给用户提供了可视化界面便于监控非法上传文件行为。由于直接对加密流量进行分析,其对设备的性能要求更低。
本申请实施例提供的一种上传文件处理方法,该方法包括:
步骤S111、呈现客户端中的选择应用设置界面;
这里可以根据实际需要设计提供给用户选择需要拦截上传文件行为的应用。
如图4A所示,包括码云上传401,可以在上网策略中勾选拒绝码云上传 401,针对特定用户的码云上传行为管理即开启。当用户通过浏览器打开码云上传文件时,上网策略会拒绝上传文件当中独有资源的数据包,导致上传文件加载不能完成。同时,对上传文件独有资源的拒绝并不影响码云其他文件的浏览、登录以及下载行为。
步骤S112、响应于在所述选择应用设置界面的选择操作,确定待监控的应用;
设置界面可以以应用列表的形式体现,也可以以分类列表的形式体现,实现分级呈现提供用户选择需要拦截上传文件行为的应用。可以根据实际情况选择多个需要拦截上传文件行为的应用。同时也可以查询已选择的应用。
步骤S113、响应于对非法上传文件行为的拦截操作,根据所述应用的属性信息获取对应的特征模板,所述特征模板中包括非法上传文件行为的特征参数;所述非法上传文件行为是指将文件上传到目标网站的行为;所述特征参数包括文档资源信息和对象资源信息,所述文档资源信息和所述对象资源信息均包括 SNI和响应包的长度;
这里,应用的属性信息包括文档资源和对象资源。
这里,特征模板是针对非法上传文件行为的模板。因为用户访问网站的 HTTP文件由各种不同类型的HTTP资源组成,包括文档资源(格式为.html) 和对象资源(格式为.js、.css等),而上传文件行为一般具有其他普通文件所没有的HTTP资源(如实现上传功能的格式为.js、格式为.css等)。所以特征模板由文档资源信息和对象资源信息的特征构成。特征模板并不需要包含上传文件的所有独有资源,但至少需要包含上传功能的关键独有资源(简称上传功能资源),因为需要拦截此资源阻断上传行为。这些资源称为上传文件的独有资源,可以作为上传文件的标志。文档资源信息和所述对象资源信息均包括SNI和响应包的长度。
步骤S114、从HTTPS流量中获取文档资源信息的SNI和响应包的长度,确定所述文档资源信息的SNI和所述文档资源信息的响应包的长度与所述特征模板中的特征参数是否匹配;
这里,在与目标网站通信的TCP连接中识别是否加载模板内的文档资源,如果加载了文档资源,则在接下来的一个时间间隔t内,检测其他模板内对象资源是否被加载,如果对象资源被加载,则表明识别到了上传文件正在加载。所以是按照时间的先后顺序获取到SNI和响应包的,模板里面的参数设置同样也是按照获取到时间先后顺序设置的,当获取到SNI与模板中文档资源对应的 SNI相同的情况下,比对顺序获取到的响应包长度是否与文档资源对应的响应包长度匹配。
步骤S115、在所述文档资源信息的SNI和所述文档资源信息的响应包的长度与所述特征模板中的特征参数匹配的情况下,从HTTPS流量中获取对象资源信息的SNI和响应包的长度,确定所述对象资源信息的SNI和所述对象资源信息的响应包的长度与所述特征模板中的特征参数是否匹配;
在文档资源信息的SNI和文档资源信息的响应包的长度与特征模板中的特征参数匹配的情况下,从HTTPS流量中获取对象资源信息的SNI和响应包的长度,然后比对模板中的对象资源信息。
步骤S116、在所述对象资源信息的SNI和所述对象资源信息的响应包的长度与所述特征模板中的特征参数匹配的情况下,确定所述HTTPS流量中存在非法上传文件行为;
当获取到的对象资源信息的SNI和所述对象资源信息的响应包的长度满足模板里面设置的匹配要求,可以确定HTTPS流量中存在访问非法上传文件行为。
步骤S117、拦截所述目标网站对所述对象资源信息进行响应的响应包,以使得所述上传文件加载失败。
文档资源由于在访问文件时都会加载,不用考虑缓存问题,因此不用对其进行拦截。文档资源和对象资源会依次在HTTPS流量中传输,当在文档资源传输的t时间内识别到对象资源,则将对象资源的响应包进行拦截,使上传功能无效。
本申请实施例中,在文档资源信息中的SNI和响应包长度与特征模板匹配的情况下,顺序获取对象资源信息的SNI和响应包长度并与特征模板进行匹配,最后拦截所述目标网站对所述对象资源信息进行响应的响应包,以使得所述上传文件加载失败。这样,按照文档资源信息和对象资源信息在HTTPS流量中出现的先后顺序和时间间隔进行匹配,匹配的准确度更高,误判的概率更小。拦截经过匹配,确定是对象资源信息对应的响应包可以达到阻止用户进行上传文件行为的效果。
本申请实施例提供的一种上传文件处理方法,如图2所示,该方法包括:
步骤S201、获取特征模板,所述特征模板中包括非法上传文件行为的特征参数;所述非法上传文件行为是指将文件上传到目标网站的行为;所述特征参数包括文档资源信息和对象资源信息,所述文档资源信息和所述对象资源信息均包括SNI和响应包的长度;所述特征模板中每一SNI对应的响应包的长度范围包括N组不同的长度范围;
其中,N为大于等于1的整数;
这里,需要说明的是,文档资源信息对应的N组不同的长度范围与对象资源信息对应的N组不同的长度范围,从数量上来说可以是相同的,也可以是不同的,例如文档资源信息与对象资源信息都对应的2组不同的长度范围,再如文档资源信息对应的3组不同的长度范围,而对象资源信息对应的4组不同的长度范围。
资源在传输中的大小受语言,比如中英文,压缩,或者不压缩导致的,会有小的波动,特征模板中每一SNI对应的响应包的长度范围包括N组不同的长度范围,用这样的区间来表示资源大小。模板中文档资源或对象资源的大小可能有多个不同的值,例如对文档资源,中文文件和英文文件的大小一般是不同的,再比如某些对象资源在网络中传输可能会有压缩或者不压缩的情况导致这类资源大小有一小一大两种取值。这些情况下,一个资源的大小特征将是多个区间的集合。
步骤S202、在所述HTTPS流量中获取第一SNI;
这里,由于HTTPS会话开始时先要SSL握手,握手过程的协议是明文的,是有具体的协议格式的,可以根据数据包来解析获取SNI。
步骤S203、在所述第一SNI与所述特征模板中的文档资源信息对应的SNI 匹配的情况下,确定所述第一SNI为文档资源信息中的SNI;
如上表1所示,获取到的第一SNI与特征模板中的文档资源信息对应的SNI 相同的情况下,说明HTTPS流量中有在执行访问上传文件行为时,向服务端请求的了与模板中文档资源对应的SNI相同的SNI。
步骤S204、根据所述第一SNI,在所述HTTPS流量中获取第一响应包的长度;
这里,HTTPS在新建会话时先要SSL握手,握手过程的协议是明文的,是有具体的协议格式的,可以根据数据包来解析获取SNI,一个SNI可以对应多个会话,每个会话中客户端会向服务端发送请求消息,服务端根据请求消息回复响应消息。这里获取的第一响应包的长度是基于第一响应包是在SNI对应的会话中的。
步骤S205、在所述第一响应包的长度与所述特征模板中的文档资源信息对应的N组响应包的长度范围之一匹配的情况下,确定所述第一响应包为文档资源信息中的响应包;
这里,顺序获取到的SNI和第一响应包的长度都与模板中的文档信息资源匹配的情况下,可以完成文档资源信息的匹配。
这里,上述的步骤S202至步骤S205提供了一种实现“从HTTPS流量中获取文档资源信息的SNI和响应包的长度,确定所述文档资源信息的SNI和所述文档资源信息的响应包的长度与所述特征模板中的特征参数是否匹配”的方法。
步骤S206、在所述文档资源信息中的SNI与所述对象资源信息中的SNI 相同的情况下,在预设时间内,在所述HTTPS流量中获取第二响应包的长度;
文档资源信息中的SNI与对象资源信息中的SNI相同,指的是特征模板中的文档资源信息中的SNI与对象资源信息中的SNI相同。由于访问目标网站时,存在HTTPS流量中的文档资源信息对应的SNI与对应资源信息对应的SNI相同或不同两种情况,所以在文档资源信息中的SNI与对象资源信息中的SNI相同的情况下,完成文档资源信息匹配后,是不需要再获取对象资源信息对应的 SNI,只需要获取SNI对应的响应包。这里,与目标网站通信的TCP连接中识别是否加载模板内的doc资源,如果加载了doc资源,则在预设时间内,即等待t时间后,t值代表用户正常连续访问两个文件之间的时间间隔,据相关Web 文件研究参考,一般间隔时间小于3s,即t值可选取3s,检测特征模板内对象资源是否被加载,如果对象资源被加载,则表明识别到了上传文件正在加载。
步骤S207、在所述第二响应包的长度与所述特征模板中的对象资源信息对应的N组响应包的长度范围之一匹配的情况下,确定所述第二响应包为所述对象资源信息中的响应包;
如上表1所示,获取到的第二响应包的长度与特征模板中对象资源对应的响应包的长度范围匹配时,可以确定第二响应包为所述对象资源信息中的响应包。
步骤S208、在确定所述第二响应包为所述对象资源信息中的响应包的情况下,确定所述HTTPS流量中存在访问非法上传文件行为。
这里,完成了HTTPS流量中获取到的SNI和响应包的长度与模板中对应参数的匹配,可以确定HTTPS流量中存在访问非法上传文件行为。
这里,上述的步骤S206至步骤S208提供了一种实现“从HTTPS流量中获取对象资源信息的SNI和响应包的长度,确定所述对象资源信息的SNI和所述对象资源信息的响应包的长度与所述特征模板中的特征参数是否匹配”的方法。
本申请实施例中,响应包的长度范围可以根据实际需要设置N组不同的长度范围,可以在不同环境中更准确的匹配到需要匹配的响应包。在文档资源信息中的SNI与所述对象资源信息中的SNI相同的情况下,文档资源信息比对中先获取SNI再获取对应的响应包,对象资源信息只需要获取响应包进行比对即可,在完成文档资源信息比对后等待预设时间再进行对象资源信息的比对,这样,按照文档资源信息和对象资源信息在HTTPS流量中出现的先后顺序和时间间隔进行匹配,匹配的准确度更高,误判的概率更小。
本申请实施例提供的一种上传文件处理方法,该方法包括:
步骤S211、获取特征模板,所述特征模板中包括非法上传文件行为的特征参数;所述非法上传文件行为是指将文件上传到目标网站的行为;所述特征参数包括文档资源信息和对象资源信息,所述文档资源信息和所述对象资源信息均包括SNI和响应包的长度;
步骤S212、在所述HTTPS流量中获取第一SNI;
步骤S213、在所述第一SNI与所述特征模板中的文档资源信息对应的SNI 匹配的情况下,确定所述第一SNI为文档资源信息中的SNI;
步骤S214、根据所述第一SNI,在所述HTTPS流量中获取第一响应包的长度;
步骤S215、在所述第一响应包的长度与所述特征模板中的文档资源信息对应的响应包的长度范围匹配的情况下,确定所述第一响应包为文档资源信息中的响应包;
这里,上述的步骤S212至步骤S215提供了一种实现“从HTTPS流量中获取文档资源信息的SNI和响应包的长度,确定所述文档资源信息的SNI和所述文档资源信息的响应包的长度与所述特征模板中的特征参数是否匹配”的方法。
步骤S216、在所述文档资源信息中的SNI与所述对象资源信息中的SNI 不同的情况下,在预设时间内,在所述HTTPS流量中获取第二SNI;
由于访问目标网站时,存在HTTPS流量中的文档资源信息对应的SNI与对象资源信息对应的SNI相同或不同两种情况,特征模板中设置的文档资源信息对应的SNI与对象资源信息中的SNI是不同的。在文档资源信息中的SNI与对象资源信息中的SNI不同的情况下,完成文档资源信息匹配后,是需要再获取对象资源信息对应的SNI。
步骤S217、在所述第二SNI与所述特征模板中的对象资源信息对应的SNI 匹配的情况下,确定所述第二SNI为对象资源信息中的SNI;
步骤S218、根据所述第二SNI,在所述HTTPS流量中获取第三响应包的长度;
根据对象资源信息对应的SNI,在HTTPS流量中获取对应的第三响应包。
步骤S219、在所述第三响应包的长度与所述特征模板中的对象资源信息对应的响应包的长度范围匹配的情况下,确定所述第三响应包为对象资源信息中的响应包;
步骤S220、在确定所述第三响应包为所述对象资源信息中的响应包的情况下,确定所述HTTPS流量中存在访问非法上传文件行为。
这里,上述的步骤S216至步骤S220提供了一种实现“从HTTPS流量中获取对象资源信息的SNI和响应包的长度,确定所述对象资源信息的SNI和所述对象资源信息的响应包的长度与所述特征模板中的特征参数是否匹配”的方法。
这里,顺序完成了模板中文档信息资源和对象信息资源的匹配,确定HTTPS流量中存在访问非法上传文件行为。
本申请实施例中,由于在访问不同的目标网站时存在需要申请的文档资源和对象资源对应的SNI不同的情况,所以本申请实施例描述在特征模板中的文档资源信息中的SNI与对象资源信息中的SNI不同的情况下,如何进行模板匹配,这样根据不同的目标网站设置不同的特征模板,对应获取特征模板中的参数,可以达到匹配更符合实际使用要求,匹配精度更高的要求。
本申请实施例提供的一种获取特征模板的方法,如图3所示,该方法包括:
步骤S301、在向所述目标网站请求执行所述非法上传文件行为的情况下,顺序获取所述文档资源信息和所述对象资源信息,其中,所述文档资源信息和所述对象资源信息均包括与服务器建立连接步骤对应的SNI,和与接收所述服务器返回响应的步骤对应的响应包的长度;
这里,需要预先学习特定网站上传文件独有资源的SNI和资源大小,形成一系列网站上传文件的独有资源的特征模板。在训练模板的过程中,可以将 HTTPS流量解密,顺序获取文档资源信息和对象资源信息。
步骤S302、根据所述SNI和所述响应包的长度,确定所述目标网站对应的特征模板。
这里,每个目标网站对应的特征模板都是按照目标网站的特点制作的,获取的参数也是对应目标网站的,将获取到的文档资源信息和对象资源信息进行筛选,选择有需要禁止网页上传行为对应的独有资源,写入对应的模板。
本申请实施例中,描述了如何获取特征模板的方法。这样,针对目标网站制作的特征模板,可以准确的限制访问目标网站时的网页上传行为。
HTTP1.X:包括HTTP1.0和HTTP1.1,这两种协议都属于请求响应式的协议,即必须要等待之前请求的资源完整返回之后才能继续后面的资源请求或者关闭连接。而HTTP2的消息响应方式不同,由于HTTP2具有多路复用能力,即多个请求同时发送,多个资源的数据服务器同时返回,这样,在没有解密的情况下根据其响应数据包无法得知它对应请求的是哪个资源请求。所以本申请的方法是对应HTTP1.X执行的,即,针对请求响应式的协议执行。
图4A为本申请实施例提供的一种上传文件处理方法的功能配置示意图,如图4A所示,包括码云上传401,其中,可以在上网策略中勾选拒绝码云上传 401,针对特定用户的码云上传行为管理即开启。当用户通过浏览器打开码云上传文件时,上网策略会拒绝上传文件当中独有资源的数据包,导致上传文件加载不能完成。同时,对上传文件独有资源的拒绝并不影响码云其他文件的浏览、登录以及下载行为。
图4B为本申请实施例提供的拦截loader.js资源传输的示意图,如图4B所示,包括loader.js 402,其中,loader.js 402展示了被拦截的loader.js的信息,通过判定doc资源的加载,在后续加载的资源中判定是否有loader.js资源。
图4C为本申请实施例提供的拦截后文件展示的示意图,如图4C所示,包括正在加载编辑器403,其中,加载编辑器403展示的是阻断被拦截资源的传输过程,即拦截结果。
以码云新建文件拦截为例,图4D为本申请实施例提供的一种上传文件处理方法流程示意图,如图4D所示,包括:
步骤S401、网关设备分析新建HTTPS流量,如果HTTPS流量中的SNI 满足码云新建文件文件的doc资源gitee.com则进入步骤S402,否则退出当前 HTTPS流量分析;
如图4A所示,在上网策略中勾选拒绝码云上传401,可以针对特定用户的码云上传行为管理即开启。因为独有资源的大小和SNI存在与其他资源碰撞的可能,因此如果不能仅用一个独有资源判定流量中加载了上传文件,那就需要结合多个独有资源进行判定。
常规的HTTP文件加载过程首先加载document资源(简称doc资源),如格式为.html、格式为.php等。在此之后,会去加载doc资源中引用的各种其他资源(简称obj资源),如格式为.css、格式为.js等等,基于以上的加载顺序进行识别。
如下表2所示,特征模板包括两类资源,分别是master(document中英文) 和loader*.js(压缩和不压缩),每类资源的参数包括大小、名称、SNI和传输协议。例如:表2中因为新建文件存在中文和英文两个版本,针对两种情况设置 master的大小取值范围为{[14800,15000],[15400,15600]},其中,[14800,15000] 表示一个取值范围,[15400,15600]表示另一个取值范围,master对应的SNI为 gitee.com,loader*.js对应的SNI为assets.gitee.com。如图4B所示,loader.js 402 展示了被拦截的loader.js的信息,通过判定doc资源的加载,在后续加载的资源中判定是否有loader.js资源。
表2特征模板
步骤S402、分析gitee.com服务器返回的SSL记录层中响应包的长度,假如为L,如果L在{[14800,15000],[15400,15600]}范围之一,则说明初步满足码云新建文件模板的doc资源master,进入步骤S403,否则退出HTTPS流量当前分析;
如上表2为特征模板,gitee.com服务器返回的SSL记录层中响应包的长度,假如为L,如果L在{[14800,15000],[15400,15600]}范围之一,则说明初步满足码云新建文件模板的doc资源master,进入步骤S403。
步骤S403、在步骤S402结论之后的3秒内,如果有SNI为assets.gitee.com 的HTTPS流量,则开始分析assets.gitee.com服务器返回的加密数据总长度,否则退出当前HTTPS流量分析;
如上表2为特征模板,如果有SNI为assets.gitee.com的HTTPS流量,即,与模板中loader*.js对应的SNI相同。可以开始获取加密数据总长度。
步骤S404、对于assets.gitee.com返回的第一个SSL记录层进行分析,如果响应包的长度大于16KB,则将当前响应包的长度累加到S,继续分析后续SSL 记录层的响应包长度;
假如用于累加assets.gitee.com返回加密数据总长度的变量为S,S初始化为0。循环执行以上SSL记录层的响应包的长度分析和累加过程,直到SSL记录层中响应包的长度小于16KB,表示这是assets.gitee.com服务器对当前HTTPS 流量返回的最后一个SSL记录层封装,将其响应包的长度累加到S,如果S在上表2所示的{[27000,27400]}范围内,则表明当前传输的资源为码云新建文件文件的独有obj资源loader.js。
步骤S405、将当前SSL记录层包丢弃,达到拒绝上传的效果,否则退出当前HTTPS流量分析。
如图4C所示,加载编辑器403展示的是阻断被拦截资源的传输过程,即拦截结果。
本申请实施例,以码云新建文件拦截为例,描述了在拦截过程中,如何实现顺序匹配特征模板,以实现拦截目标网址的对象资源阻止上传网页行为。在无需解密https流量的情况下,识别特定网站的上传行为,相比传统https解密方案进行上传行为识别,其不需要客户端安装证书,对用户无感知,增加了实施的便利性。由于直接对加密流量进行分析,其对设备的性能要求更低。
基于前述的实施例,本申请实施例提供一种上传文件处理装置,该装置包括所包括的各模块,可以通过上传文件处理设备中的处理器来实现;当然也可通过具体的逻辑电路实现;在实施的过程中,处理器可以为中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)或现场可编程门阵列(FPGA)等。
图5为本申请实施例提供的上传文件处理装置的组成结构示意图,如图5 所示,所述装置500包括第一获取模块501和第一确定模块502,其中:
第一获取模块501,用于响应于对非法上传文件行为的拦截操作,获取特征模板,所述特征模板中包括非法上传文件行为的特征参数;所述非法上传文件行为是指将文件上传到目标网站的行为;所述特征参数包括SNI和响应包的长度;
第一确定模块502,用于从HTTPS流量中获取SNI和响应包的长度,在所述SNI和所述响应包的长度与所述特征模板中的特征参数匹配的情况下,确定所述HTTPS流量中存在访问非法上传文件行为,并呈现所述非法上传文件行为的拦截画面。
在一些实施例中,所述装置还包括呈现模块、第二确定模块,其中,呈现模块,用于呈现客户端中的选择应用设置界面;第二确定模块,用于响应于在所述选择应用设置界面的选择操作,确定待监控的应用;
获取模块,还用于响应于对非法上传文件行为的拦截操作,根据所述应用的属性信息获取对应的特征模板。
在一些实施例中,所述特征参数包括文档资源信息和对象资源信息,所述文档资源信息和所述对象资源信息均包括SNI和响应包的长度;所述第一确定模块包括第一确定子模块、第二确定子模块、第三确定子模块,其中,
第一确定子模块,用于从HTTPS流量中获取文档资源信息的SNI和响应包的长度,确定所述文档资源信息的SNI和所述文档资源信息的响应包的长度与所述特征模板中的特征参数是否匹配;
第二确定子模块,用于在所述文档资源信息的SNI和所述文档资源信息的响应包的长度与所述特征模板中的特征参数匹配的情况下,从HTTPS流量中获取对象资源信息的SNI和响应包的长度,确定所述对象资源信息的SNI和所述对象资源信息的响应包的长度与所述特征模板中的特征参数是否匹配;
第三确定子模块,用于在所述对象资源信息的SNI和所述对象资源信息的响应包的长度与所述特征模板中的特征参数匹配的情况下,确定所述HTTPS 流量中存在访问非法上传文件行为。
在一些实施例中,所述装置还包括拦截模块,所述拦截模块用于拦截所述目标网站对所述对象资源信息进行响应的响应包,以使得所述访问非法上传文件加载失败。
在一些实施例中,所述特征模板中每一SNI对应的响应包的长度范围包括 N组不同的长度范围,其中,N为大于等于1的整数。所述第一确定子模块包括第一获取单元、第一确定单元、第二获取单元和第二确定单元,其中,
第一获取单元用于在所述HTTPS流量中获取第一SNI;第一确定单元用于在所述第一SNI与所述特征模板中的文档资源信息对应的SNI匹配的情况下,确定所述第一SNI为文档资源信息中的SNI;第二获取单元用于根据所述第一 SNI,在所述HTTPS流量中获取第一响应包的长度;第二确定单元用于在所述第一响应包的长度与所述特征模板中的文档资源信息对应的响应包的长度范围匹配的情况下,确定所述第一响应包为文档资源信息中的响应包;
对应地,所述第二确定子模块包括第三获取单元、第三确定单元和第四确单元,其中,
第三获取单元用于在所述文档资源信息中的SNI与所述对象资源信息中的 SNI相同的情况下,在预设时间内,在所述HTTPS流量中获取第二响应包的长度;第三确定单元用于在所述第二响应包的长度与所述特征模板中的对象资源信息对应的响应包的长度范围匹配的情况下,确定所述第二响应包为所述对象资源信息中的响应包;第四确定单元用于在确定所述第二响应包为所述对象资源信息中的响应包的情况下,确定所述HTTPS流量中存在访问非法上传文件行为。
在一些实施例中,所述特征模板中每一SNI对应的响应包的长度范围包括 N组不同的长度范围,其中,N为大于等于1的整数。所述第二确定子模块还包括第四获取单元、第五确定单元、第五获取单元、第六确定单元和第七确定单元,其中,
第四获取单元用于在所述文档资源信息中的SNI与所述对象资源信息中的 SNI不同的情况下,在预设时间内,在所述HTTPS流量中获取第二SNI;第五确定单元用于在所述第二SNI与所述特征模板中的对象资源信息对应的SNI匹配的情况下,确定所述第二SNI为对象资源信息中的SNI;第五获取单元用于根据所述第二SNI,在所述HTTPS流量中获取第三响应包的长度;第六确定单元用于在所述第三响应包的长度与所述特征模板中的对象资源信息对应的响应包的长度范围匹配的情况下,确定所述第三响应包为对象资源信息中的响应包;第七确定单元用于在确定所述第三响应包为所述对象资源信息中的响应包的情况下,确定所述HTTPS流量中存在访问非法上传文件行为。
在一些实施例中,所述装置还包括第二获取模块和第三确定模块,其中,第二获取模块用于在向所述目标网站请求执行所述非法上传文件行为的情况下,顺序获取所述文档资源信息和所述对象资源信息,其中,所述文档资源信息和所述对象资源信息均包括与服务器建立连接步骤对应的SNI,和与接收所述服务器返回响应的步骤对应的响应包的长度;第三确定模块用于根据所述 SNI和所述响应包的长度,确定所述目标网站对应的特征模板。
以上装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
需要说明的是,本申请实施例中,如果以软件功能模块的形式实现上述的上传文件处理方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得电子设备(可以是手机、平板电脑、笔记本电脑、台式计算机等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ReadOnly Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本申请实施例不限制于任何特定的硬件和软件结合。
对应地,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中提供的上传文件处理方法中的步骤。
对应地,本申请实施例提供一种上传文件处理设备(例如可以是网关),图 6为本申请实施例上传文件处理设备的一种硬件实体示意图,如图6所示,该设备600的硬件实体包括:包括存储器601和处理器602,所述存储器601存储有可在处理器602上运行的计算机程序,所述处理器602执行所述程序时实现上述实施例中提供的上传文件处理方法中的步骤。
存储器601配置为存储由处理器602可执行的指令和应用,还可以缓存待处理器602以及上传文件处理设备600中各模块待处理或已经处理的数据(例如,图像数据、音频数据、语音通信数据和视频通信数据),可以通过闪存 (FLASH)或随机访问存储器(RandomAccess Memory,RAM)实现。
这里需要指出的是:以上存储介质和设备实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请存储介质和设备实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得上传文件处理设备(可以是手机、平板电脑、笔记本电脑、台式计算机等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (11)
1.一种对上传文件行为进行处理的方法,所述方法包括:
响应于对非法上传文件行为的拦截操作,获取特征模板,所述特征模板中包括非法上传文件行为的特征参数;所述非法上传文件行为是指将文件上传到目标网站的行为;所述特征参数包括SNI和响应包的长度;
从HTTPS流量中获取SNI和响应包的长度,在所述SNI和所述响应包的长度与所述特征模板中的特征参数匹配的情况下,确定所述HTTPS流量中存在访问非法上传文件行为,并呈现所述非法上传文件行为的拦截画面。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
呈现客户端中的选择应用设置界面;
响应于在所述选择应用设置界面的选择操作,确定待监控的应用;
对应地,所述响应于对非法上传文件行为的拦截操作,获取特征模板,包括:响应于对非法上传文件行为的拦截操作,根据所述应用的属性信息获取对应的特征模板。
3.如权利要求1所述的方法,其特征在于,所述特征参数包括文档资源信息和对象资源信息,所述文档资源信息和所述对象资源信息均包括SNI和响应包的长度;
所述从HTTPS流量中获取SNI和响应包的长度,在所述SNI和所述响应包的长度与所述特征模板中的特征参数匹配的情况下,确定所述HTTPS流量中存在访问非法上传文件行为,包括:
从HTTPS流量中获取文档资源信息的SNI和响应包的长度,确定所述文档资源信息的SNI和所述文档资源信息的响应包的长度与所述特征模板中的特征参数是否匹配;
在所述文档资源信息的SNI和所述文档资源信息的响应包的长度与所述特征模板中的特征参数匹配的情况下,从HTTPS流量中获取对象资源信息的SNI和响应包的长度,确定所述对象资源信息的SNI和所述对象资源信息的响应包的长度与所述特征模板中的特征参数是否匹配;
在所述对象资源信息的SNI和所述对象资源信息的响应包的长度与所述特征模板中的特征参数匹配的情况下,确定所述HTTPS流量中存在访问非法上传文件行为。
4.如权利要求3所述的方法,其特征在于,所述方法还包括:
拦截所述目标网站对所述对象资源信息进行响应的响应包,以使得所述上传文件加载失败。
5.如权利要求3所述的方法,其特征在于,所述从HTTPS流量中获取文档资源信息的SNI和响应包的长度,确定所述文档资源信息的SNI和所述文档资源信息的响应包的长度与所述特征模板中的特征参数是否匹配,包括:
在所述HTTPS流量中获取第一SNI;
在所述第一SNI与所述特征模板中的文档资源信息对应的SNI匹配的情况下,确定所述第一SNI为文档资源信息中的SNI;
根据所述第一SNI,在所述HTTPS流量中获取第一响应包的长度;
在所述第一响应包的长度与所述特征模板中的文档资源信息对应的响应包的长度范围匹配的情况下,确定所述第一响应包为文档资源信息中的响应包;
对应地,所述从HTTPS流量中获取对象资源信息的SNI和响应包的长度,确定所述对象资源信息的SNI和所述对象资源信息的响应包的长度与所述特征模板中的特征参数是否匹配,包括:
在所述文档资源信息中的SNI与所述对象资源信息中的SNI相同的情况下,在预设时间内,在所述HTTPS流量中获取第二响应包的长度;
在所述第二响应包的长度与所述特征模板中的对象资源信息对应的响应包的长度范围匹配的情况下,确定所述第二响应包为所述对象资源信息中的响应包;
在确定所述第二响应包为所述对象资源信息中的响应包的情况下,确定所述HTTPS流量中存在访问非法上传文件行为。
6.如权利要求5所述的方法,其特征在于,所述从HTTPS流量中获取对象资源信息的SNI和响应包的长度,确定所述对象资源信息的SNI和所述对象资源信息的响应包的长度与所述特征模板中的特征参数是否匹配,还包括:
在所述文档资源信息中的SNI与所述对象资源信息中的SNI不同的情况下,在预设时间内,在所述HTTPS流量中获取第二SNI;
在所述第二SNI与所述特征模板中的对象资源信息对应的SNI匹配的情况下,确定所述第二SNI为对象资源信息中的SNI;
根据所述第二SNI,在所述HTTPS流量中获取第三响应包的长度;
在所述第三响应包的长度与所述特征模板中的对象资源信息对应的响应包的长度范围匹配的情况下,确定所述第三响应包为对象资源信息中的响应包;
在确定所述第三响应包为所述对象资源信息中的响应包的情况下,确定所述HTTPS流量中存在访问非法上传文件行为。
7.如权利要求1至6任一项所述的方法,其特征在于,所述特征模板中每一SNI对应的响应包的长度范围包括N组不同的长度范围,其中,N为大于等于1的整数。
8.如权利要求1至6任一项所述的方法,其特征在于,所述方法还包括:
在向所述目标网站请求执行所述非法上传文件行为的情况下,顺序获取所述文档资源信息和所述对象资源信息,其中,所述文档资源信息和所述对象资源信息均包括与服务器建立连接步骤对应的SNI,和与接收所述服务器返回响应的步骤对应的响应包的长度;
根据所述SNI和所述响应包的长度,确定所述目标网站对应的特征模板。
9.一种上传文件处理装置,所述装置包括:
第一获取模块,用于响应于对非法上传文件行为的拦截操作,获取特征模板,所述特征模板中包括非法上传文件行为的特征参数;所述非法上传文件行为是指将文件上传到目标网站的行为;所述特征参数包括SNI和响应包的长度;
第一确定模块,用于从HTTPS流量中获取SNI和响应包的长度,在所述SNI和所述响应包的长度与所述特征模板中的特征参数匹配的情况下,确定所述HTTPS流量中存在访问非法上传文件行为,并呈现所述非法上传文件行为的拦截画面。
10.一种上传文件处理设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至8任一项所述方法中的步骤。
11.一种计算机存储介质,其特征在于,存储有可执行指令,用于引起处理器执行时,实现权利要求1至8任一项所述的方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011063481.2A CN112202785B (zh) | 2020-09-30 | 2020-09-30 | 一种上传文件处理方法、装置、设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011063481.2A CN112202785B (zh) | 2020-09-30 | 2020-09-30 | 一种上传文件处理方法、装置、设备及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112202785A true CN112202785A (zh) | 2021-01-08 |
| CN112202785B CN112202785B (zh) | 2023-03-21 |
Family
ID=74012966
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011063481.2A Active CN112202785B (zh) | 2020-09-30 | 2020-09-30 | 一种上传文件处理方法、装置、设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112202785B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113872976A (zh) * | 2021-09-29 | 2021-12-31 | 绿盟科技集团股份有限公司 | 一种基于http2攻击的防护方法、装置及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825887A (zh) * | 2014-02-14 | 2014-05-28 | 深信服网络科技(深圳)有限公司 | 基于https加密的网站过滤方法和系统 |
| US20180309723A1 (en) * | 2017-04-21 | 2018-10-25 | Netskope, Inc. | Reducing latency in security enforcement by a network security system (nss) |
| CN109672651A (zh) * | 2017-10-17 | 2019-04-23 | 阿里巴巴集团控股有限公司 | 网站访问的拦截处理方法、系统和数据处理方法 |
| CN111049789A (zh) * | 2018-10-15 | 2020-04-21 | 北京京东尚科信息技术有限公司 | 域名访问的方法和装置 |
| CN111163114A (zh) * | 2020-04-02 | 2020-05-15 | 腾讯科技(深圳)有限公司 | 用于检测网络攻击的方法和设备 |
-
2020
- 2020-09-30 CN CN202011063481.2A patent/CN112202785B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825887A (zh) * | 2014-02-14 | 2014-05-28 | 深信服网络科技(深圳)有限公司 | 基于https加密的网站过滤方法和系统 |
| US20180309723A1 (en) * | 2017-04-21 | 2018-10-25 | Netskope, Inc. | Reducing latency in security enforcement by a network security system (nss) |
| CN109672651A (zh) * | 2017-10-17 | 2019-04-23 | 阿里巴巴集团控股有限公司 | 网站访问的拦截处理方法、系统和数据处理方法 |
| CN111049789A (zh) * | 2018-10-15 | 2020-04-21 | 北京京东尚科信息技术有限公司 | 域名访问的方法和装置 |
| CN111163114A (zh) * | 2020-04-02 | 2020-05-15 | 腾讯科技(深圳)有限公司 | 用于检测网络攻击的方法和设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113872976A (zh) * | 2021-09-29 | 2021-12-31 | 绿盟科技集团股份有限公司 | 一种基于http2攻击的防护方法、装置及电子设备 |
| CN113872976B (zh) * | 2021-09-29 | 2023-06-02 | 绿盟科技集团股份有限公司 | 一种基于http2攻击的防护方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112202785B (zh) | 2023-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8515918B2 (en) | Method, system and computer program product for comparing or measuring information content in at least one data stream | |
| US8763101B2 (en) | Multi-factor authentication using a unique identification header (UIDH) | |
| CN109474603B (zh) | 数据抓包处理方法及终端设备 | |
| US10949564B2 (en) | Contact discovery service with privacy aspect | |
| US9906552B1 (en) | Managing system load | |
| CN108667770B (zh) | 一种网站的漏洞测试方法、服务器及系统 | |
| US11770385B2 (en) | Systems and methods for malicious client detection through property analysis | |
| CN110888838A (zh) | 基于对象存储的请求处理方法、装置、设备及存储介质 | |
| CN104283903A (zh) | 文件的下载方法及装置 | |
| CN107528812B (zh) | 一种攻击检测方法及装置 | |
| CN111371774A (zh) | 一种信息处理方法及装置、设备、存储介质 | |
| CN112703496A (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
| CN112202785B (zh) | 一种上传文件处理方法、装置、设备及计算机存储介质 | |
| CN109495362B (zh) | 一种接入认证方法及装置 | |
| US20220198055A1 (en) | Data owner controls in DLP | |
| GB2543042A (en) | Method for privacy protection | |
| CN111222075A (zh) | 基于多Webview的数据传输方法、服务器及存储介质 | |
| US10412076B2 (en) | Identifying users based on federated user identifiers | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| JP6059610B2 (ja) | 通信装置、アクセス制御方法およびプログラム | |
| CN113709136B (zh) | 一种访问请求验证方法和装置 | |
| JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
| CN106470237B (zh) | 一种异步下载方法及系统 | |
| US20210400083A1 (en) | Method and system for privacy and security policy delivery | |
| CN115917541A (zh) | web服务器风险认识的用户界面 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |