CN112395020B - 内网的安全防护方法、客户端、目标服务器及存储介质 - Google Patents
内网的安全防护方法、客户端、目标服务器及存储介质 Download PDFInfo
- Publication number
- CN112395020B CN112395020B CN201910755440.0A CN201910755440A CN112395020B CN 112395020 B CN112395020 B CN 112395020B CN 201910755440 A CN201910755440 A CN 201910755440A CN 112395020 B CN112395020 B CN 112395020B
- Authority
- CN
- China
- Prior art keywords
- network access
- information
- access request
- dotting
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44521—Dynamic linking or loading; Link editing at or after load time, e.g. Java class loading
- G06F9/44526—Plug-ins; Add-ons
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种内网的安全防护方法、客户端、目标服务器及存储介质,该方法包括:当浏览器向目标服务器发起网络访问请求时,利用预先安装的浏览器插件获取网络访问请求;通过浏览器插件向中控服务器发送打点信息,以使目标服务器在接收到网络访问请求后,向中控服务器发送打点信息查询请求,并在中控服务器向目标服务器反馈相应的打点信息时,依据打点信息向客户端反馈网络访问数据,其中,打点信息包括网络访问请求;客户端根据接收到的网络访问数据后,在浏览器输出网络访问数据。本申请可以精确识别浏览器人为主动操作,预防目标服务器响应黑客攻陷客户端后以端口转发形式发起的网络访问请求,避免内网敏感数据被盗取。
Description
技术领域
本申请涉及信息安全技术领域,尤其是涉及到一种内网的安全防护方法、客户端、目标服务器及存储介质。
背景技术
当今公司企业内部网络服务已经越来越多,如OA管理系统,工单系统,内部咨询平台等。由于这些服务处于公司内网环境中,这些服务经常涉及到公司的隐私,但公司往往忽视了这部分的安全防护,攻击者通过公司职工电脑来盗取公司内网敏感数据的情况时有发生。
发明内容
有鉴于此,本申请提供了一种内网的安全防护方法、客户端、目标服务器及存储介质,能够精确识别浏览器人为主动操作,预防目标服务器响应黑客攻陷客户端后以端口转发形式发起的网络访问请求,避免内网敏感数据被盗取。
根据本申请的第一个方面,提供了一种内网的安全防护方法,用于客户端,包括:
当浏览器向目标服务器发起网络访问请求时,利用预先安装的浏览器插件获取所述网络访问请求;
通过所述浏览器插件向中控服务器发送打点信息,以使所述目标服务器在接收到所述网络访问请求后,向所述中控服务器发送打点信息查询请求,并在所述中控服务器向所述目标服务器反馈相应的所述打点信息时,依据所述打点信息向所述客户端反馈网络访问数据,其中,所述打点信息包括所述网络访问请求;
所述客户端根据接收到的所述网络访问数据后,在所述浏览器输出所述网络访问数据。
具体地,所述网络访问请求包括URL信息、浏览器窗口属性信息以及IP端口信息;
所述通过所述浏览器插件向所述中控服务器发送打点信息之前,所述方法还包括:
查询预设URL白名单中是否包含所述URL信息;
若所述预设URL白名单中包含所述URL信息,则执行所述通过所述浏览器插件向所述中控服务器发送所述打点信息。
具体地,所述方法还包括:
若所述预设URL白名单中不包含所述URL信息,则拦截所述网络访问请求。
根据本申请的第二个方面,提供了一种内网的安全防护方法,用于目标服务器,所述方法包括:
接收来自客户端的网络访问请求;
根据所述网络访问请求,向中控服务器发送打点信息查询请求;
若接收到来自所述中控服务器的打点信息,则依据所述打点信息以及所述网络访问请求向所述客户端发送与所述网络访问请求对应的网络访问数据,以使所述客户端在浏览器上输出所述网络访问数据。
具体地,所述网络访问请求包括URL信息、浏览器窗口属性信息以及IP端口信息;
所述根据所述网络访问请求,向中控服务器发送打点信息查询请求之前,所述方法还包括:
查询预设IP端口黑名单中是否包含所述IP端口信息;
若所述预设IP端口黑名单中不包括所述IP端口信息,则执行所述根据所述网络访问请求,向中控服务器发送打点信息查询请求;
若所述预设IP端口黑名单中包括所述IP端口信息,则拦截所述网络访问请求。
具体地,所述依据所述打点信息以及所述网络访问请求向所述客户端发送与所述网络访问请求对应的网络访问数据,具体包括:
依次判断所述网络访问请求中包含的所述URL信息、所述浏览器窗口属性信息以及所述IP端口信息与所述打点信息是否一致;
若所述URL信息、所述浏览器窗口属性信息以及所述IP端口信息与所述打点信息全部一致,则向所述客户端发送与所述网络访问请求对应的网络访问数据。
具体地,所述方法还包括:
若所述URL信息、所述浏览器窗口属性信息以及所述IP端口信息中的任意一项或多项与所述打点信息不一致,则拦截所述网络访问请求。
根据本申请的第三个方面,提供了一种客户端,包括:
访问请求获取模块,用于当浏览器向目标服务器发起网络访问请求时,利用预先安装的浏览器插件获取所述网络访问请求;
打点信息发送模块,用于通过所述浏览器插件向中控服务器发送打点信息,以使所述目标服务器在接收到所述网络访问请求后,向所述中控服务器发送打点信息查询请求,并在所述中控服务器向所述目标服务器反馈相应的所述打点信息时,依据所述打点信息向所述客户端反馈网络访问数据,其中,所述打点信息包括所述网络访问请求;
访问数据接收模块,用于所述客户端根据接收到的所述网络访问数据后,在所述浏览器输出所述网络访问数据。
具体地,所述网络访问请求包括URL信息、浏览器窗口属性信息以及IP端口信息,所述客户端还包括:
URL信息查询模块,用于通过所述浏览器插件向所述中控服务器发送打点信息之前,查询预设URL白名单中是否包含所述URL信息;
所述打点信息发送模块,还用于若所述预设URL白名单中包含所述URL信息,则执行所述通过所述浏览器插件向所述中控服务器发送所述打点信息。
具体地,所述客户端还包括:
访问请求拦截模块,用于若所述预设URL白名单中不包含所述URL信息,则拦截所述网络访问请求。
根据本申请的第四个方面,提供了一种目标服务器,包括:
访问请求接收模块,用于接收来自客户端的网络访问请求;
查询信息发送模块,用于根据所述网络访问请求,向中控服务器发送打点信息查询请求;
访问数据发送模块,用于若接收到来自所述中控服务器的打点信息,则依据所述打点信息以及所述网络访问请求向所述客户端发送与所述网络访问请求对应的网络访问数据,以使所述客户端在浏览器上输出所述网络访问数据。
具体地,所述网络访问请求包括URL信息、浏览器窗口属性信息以及IP端口信息,所述目标服务器还包括:
IP端口信息查询模块,用于根据所述网络访问请求,向中控服务器发送打点信息查询请求之前,查询预设IP端口黑名单中是否包含所述IP端口信息;
所述查询信息发送模块,还用于若所述预设IP端口黑名单中不包括所述IP端口信息,则执行所述根据所述网络访问请求,向中控服务器发送打点信息查询请求;
访问请求拦截模块,用于若所述预设IP端口黑名单中包括所述IP端口信息,则拦截所述网络访问请求。
具体地,所述访问数据发送模块,具体包括:
打点信息比对单元,用于依次判断所述网络访问请求中包含的所述URL信息、所述浏览器窗口属性信息以及所述IP端口信息与所述打点信息是否一致;
访问数据发送单元,用于若所述URL信息、所述浏览器窗口属性信息以及所述IP端口信息与所述打点信息全部一致,则向所述客户端发送与所述网络访问请求对应的网络访问数据。
具体地,所述访问数据发送模块,具体包括:
访问请求拦截单元,用于若所述URL信息、所述浏览器窗口属性信息以及所述IP端口信息中的任意一项或多项与所述打点信息不一致,则拦截所述网络访问请求。
根据本申请的第五个方面,提供了一种内网的安全防护系统,包括:上述的客户端以及上述的目标服务器。
根据本申请的第六个方面,提供了一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现上述的内网的安全防护方法以及上述的内网的安全防护方法。
根据本申请的第七个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现上述的内网的安全防护方法以及上述的内网的安全防护方法。
借由上述技术方案,本申请提供的一种内网的安全防护方法、客户端、目标服务器及存储介质,利用浏览器插件获取浏览器向目标服务器发起的网络访问请求,并在获取到上述网络访问请求时向中控服务器发送打点信息,以供目标服务器在接收到网络访问请求时,查询中控服务器中是否保存有相应的打点信息,并在查询到相应的打点信息时,向客户端反馈网络访问数据,在浏览器上输出该网络访问数据。本申请利用浏览器插件向中控服务器发送网络访问请求的打点信息,使得目标服务器可以根据中控服务器中的打点信息精确识别浏览器人为主动操作,预防了目标服务器响应黑客攻陷客户端后以端口转发形式发起的网络访问请求,避免内网敏感数据被盗取。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种用于客户端的内网的安全防护方法的流程示意图;
图2示出了本申请实施例提供的另一种用于客户端的内网的安全防护方法的流程示意图;
图3示出了本申请实施例提供的一种用于目标服务器的内网的安全防护方法的流程示意图;
图4示出了本申请实施例提供的另一种用户目标服务器的内网的安全防护方法的流程示意图;
图5示出了本申请实施例提供的一种客户端的结构示意图;
图6示出了本申请实施例提供的另一种客户端的结构示意图;
图7示出了本申请实施例提供的一种服务器的结构示意图;
图8示出了本申请实施例提供的另一种服务器的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本实施例的第一个方面,提供了一种内网的安全防护方法,用于客户端,如图1所示,该方法包括:
步骤101,当浏览器向目标服务器发起网络访问请求时,利用预先安装的浏览器插件获取网络访问请求。
在本申请实施例中,在客户端的浏览器中预先安装定制化的浏览器插件,该插件可以通过调用系统API函数来获取浏览器向目标服务器发起的网络访问请求。另外,本申请实施例中的目标服务器主要是指内网web服务器。
步骤102,通过浏览器插件向中控服务器发送打点信息,以使目标服务器在接收到网络访问请求后,向中控服务器发送打点信息查询请求,并在中控服务器向目标服务器反馈相应的打点信息时,依据打点信息向客户端反馈网络访问数据,其中,打点信息包括网络访问请求。
获取网络访问请求后,通过浏览器插件向中控服务器发送打点信息,从而可以将浏览器插件获取的网络访问请求信息记录在中控服务器中。
另外,客户端向目标服务器发起网络访问请求后,目标服务器可以根据接收到的网络访问请求向中控服务器发起查询,以查询中控服务器中是否已经记录了该网络访问请求的相关打点信息,若存在,则说明该网络访问请求是由客户端中的浏览器发起的网络访问行为,而并非是攻击者攻陷内网客户端后,通过端口转发形式访问目标服务器,可以认为该网络访问行为属于人为操作行为,那么目标服务器就可以向客户端中反馈与该网络访问请求对应的网络访问数据。
而对于攻击者攻陷客户端后以端口转发形式访问目标服务器的情况来说,由于浏览器插件没有将网络访问请求的打点信息发送到中控服务器中,即使以端口转发形式向目标服务器发起了网络访问请求,目标服务器也无法在中控服务器中查询到打点信息,因此目标服务器也不会向客户端反馈相应的网络访问数据,也就是说,客户端只有通过浏览器插件向目标服务器发起的网络访问请求才会被目标服务器响应,以起到精确识别浏览器人为主动操作访问行为,有效阻止黑客通过攻陷办公电脑盗取公司内网敏感数据的行为发生。
步骤103,客户端根据接收到的网络访问数据后,在浏览器输出网络访问数据。
客户端接收到来自目标服务器的网络访问数据后,在浏览器中输出该数据,以实现通过浏览器对目标服务器的网络访问。
通过应用本实施例的技术方案,利用浏览器插件获取浏览器向目标服务器发起的网络访问请求,并在获取到上述网络访问请求时向中控服务器发送打点信息,以供目标服务器在接收到网络访问请求时,查询中控服务器中是否保存有相应的打点信息,并在查询到相应的打点信息时,向客户端反馈网络访问数据,在浏览器上输出该网络访问数据。本申请实施例利用浏览器插件向中控服务器发送网络访问请求的打点信息,使得目标服务器可以根据中控服务器中的打点信息精确识别浏览器人为主动操作,预防了目标服务器响应黑客攻陷客户端后以端口转发形式发起的网络访问请求,避免内网敏感数据被盗取。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种内网的安全防护方法,如图2所示,该方法包括:
步骤201,当浏览器向目标服务器发起网络访问请求时,利用预先安装的浏览器插件获取网络访问请求;
步骤202,查询预设URL白名单中是否包含URL信息;
步骤203,若预设URL白名单中包含URL信息,则执行通过浏览器插件向中控服务器发送打点信息。
步骤204,若预设URL白名单中不包含URL信息,则拦截网络访问请求。
步骤205,客户端根据接收到的网络访问数据后,在浏览器输出网络访问数据。
具体地,网络访问请求包括URL信息、浏览器窗口属性信息以及IP端口信息。
在上述实施例中,浏览器插件向中控服务器发送打点信息之前,还应判断浏览器向目标服务器发起的网络访问请求中具体访问的URL信息是否为预先约定的浏览器具备访问权限的内容。
具体来说,可以利用全部浏览器具备访问权限的URL信息预先构建一个白名单,即上述的预设URL白名单,浏览器插件获取到网络访问请求后,在预设URL白名单中查询请求中的URL信息是否在该白名单之内,若预设URL白名单包括该网络访问请求中的URL信息,说明网络访问请求符合预先设置的权限,则可以通过浏览器插件向中控服务器发送打点信息,而若预设URL白名单不包括网络访问请求中的URL信息,说明网络访问请求不符合预先设置的权限,则直接在客户端侧对网络访问请求进行拦截,阻止该请求发送到目标服务器。通过设置URL白名单,可以避免超权限的网络访问请求向目标服务器发送,节省系统资源的同时,也有助于进一步提升目标服务器的安全性。
本实施例的第二个方面,提供了一种内网的安全防护方法,用于目标服务器,如图3所示,该方法包括:
步骤301,接收来自客户端的网络访问请求。
步骤302,根据网络访问请求,向中控服务器发送打点信息查询请求。
步骤303,若接收到来自中控服务器的打点信息,则依据打点信息以及网络访问请求向客户端发送与网络访问请求对应的网络访问数据,以使客户端在浏览器上输出网络访问数据。
在上述实施例中,目标服务器接收到来自客户端的网络访问请求后,向中控服务器发送打点信息查询请求,具体的查询请求中应包含网络访问请求信息,若查询到中控服务器存在与该网络访问请求匹配的打点信息,可以具体查看打点信息中包含的具体内容与网络访问请求中的内容是否完全一致,从而在二者一致时,向客户端中反馈相应的网络访问数据,使得客户端浏览器输出网络访问数据,最终实现浏览器对目标服务器的网络访问。
需要说明的是,目标服务器接收到的网络访问请求既可以是通过客户端上的浏览器发起的,也可以是以客户端端口转发形式向目标服务器发起的,但是,在客户端侧,当且仅当网络访问请求是由浏览器发起时,才会通过浏览器插件向中控服务器发送打点信息,对于端口转发形式发起的网络访问请求,客户端是不会向中控服务器发送打点信息的。基于此,当目标服务器接收到网络访问请求时,只需要在中控服务器中查询是否存在与接收到的网络访问请求一致的打点信息,就可以分辨出该网络访问请求究竟是由浏览器发起的还是由端口转发的,最终实现目标服务器仅对浏览器发起的网络访问请求进行响应,而不对其他形式的网络访问请求进行响应。使得目标服务器可以根据中控服务器中的打点信息精确识别浏览器人为主动操作,预防了目标服务器响应黑客攻陷客户端后以端口转发形式发起的网络访问请求,避免内网敏感数据被盗取。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种内网的安全防护方法,如图4所示,该方法包括:
步骤401,接收来自客户端的网络访问请求。
步骤402,查询预设IP端口黑名单中是否包含IP端口信息。
步骤403,若预设IP端口黑名单中不包括IP端口信息,则执行根据网络访问请求,向中控服务器发送打点信息查询请求。
步骤404,若预设IP端口黑名单中包括IP端口信息,则拦截网络访问请求。
具体地,网络访问请求包括URL信息、浏览器窗口属性信息以及IP端口信息。
在上述步骤402至步骤404中,目向中控服务器发送打点信息查询请求之前,还应判断接收到的网络访问请求的请求主体IP端口是否是预先规定的禁止进行网络访问的IP端口。
具体来说,可以利用全部的预先约定禁止访问目标服务器的IP端口信息构建一个黑名单,即上述的预设IP端口黑名单,目标服务器接收到网络访问请求后,在预设IP端口黑名单中查询网络访问请求中包含的IP端口信息是否在该黑名单之内,若在黑名单之内,说明该网络访问请求的请求主体没有网络访问权限,则应直接将该网络访问请求拦截,阻止目标服务器对其进行响应,避免超越权限的网络访问请求被目标服务器响应,导致攻击者通过客户端盗取数据成功,而若不在黑名单之内,说明该网络访问请求的请求主体具备网络访问权限,则可以执行上述的向中控服务器发送打点信息查询请求的步骤。
需要说明的是,可以利用网络访问请求中的IP端口信息建立打点信息查询请求,以向中控服务器中请求与包含该IP端口信息的打点信息。
步骤405,若接收到来自中控服务器的打点信息,则依次判断网络访问请求中包含的URL信息、浏览器窗口属性信息以及IP端口信息与打点信息是否一致。
步骤406,若URL信息、浏览器窗口属性信息以及IP端口信息与打点信息全部一致,则向客户端发送与网络访问请求对应的网络访问数据。
步骤407,若URL信息、浏览器窗口属性信息以及IP端口信息中的任意一项或多项与打点信息不一致,则拦截网络访问请求。
在上述步骤405至步骤407中,接收到来自中控服务器的打点信息后,应对打点信息中包含的内容与网络访问请求中包含的内容进行一致性校对,具体来说,当二者内容完全一致时,即网络访问请求中记录的内容与打点信息中记录的内容相同,可以说明该网络访问请求是由浏览器向目标服务器发起的安全访问请求,则可以对该网络访问请求进行响应,向客户端中反馈相应的网络访问数据,而当二者内容不完全一致时,即网络访问请求中记录的内容与打点信息中记录的内容不同,说明该网络访问请求可能存在风险,则不能对网络访问请求进行响应,防止服务器数据被盗取。
作为图1方法的具体实现,本申请实施例的第三方面,提供了一种客户端,如图5所示,包括:访问请求获取模块51、打点信息发送模块52、访问数据接收模块53。
访问请求获取模块51,用于当浏览器向目标服务器发起网络访问请求时,利用预先安装的浏览器插件获取网络访问请求;
打点信息发送模块52,用于通过浏览器插件向中控服务器发送打点信息,以使目标服务器在接收到网络访问请求后,向中控服务器发送打点信息查询请求,并在中控服务器向目标服务器反馈相应的打点信息时,依据打点信息向客户端反馈网络访问数据,其中,打点信息包括网络访问请求;
访问数据接收模块53,用于客户端根据接收到的网络访问数据后,在浏览器输出网络访问数据。
具体地,网络访问请求包括URL信息、浏览器窗口属性信息以及IP端口信息。
在具体的应用场景中,如图6所示,客户端还包括:URL信息查询模块54、访问请求拦截模块55。
URL信息查询模块54,用于通过浏览器插件向中控服务器发送打点信息之前,查询预设URL白名单中是否包含URL信息。
打点信息发送模块52,还用于若预设URL白名单中包含URL信息,则执行通过浏览器插件向中控服务器发送打点信息。
访问请求拦截模块55,用于若预设URL白名单中不包含URL信息,则拦截网络访问请求。
作为图3方法的具体实现,本申请实施例的第四方面,提供了一种目标服务器,如图7所示,包括:访问请求接收模块61、查询信息发送模块62、访问数据发送模块63。
访问请求接收模块61,用于接收来自客户端的网络访问请求;
查询信息发送模块62,用于根据网络访问请求,向中控服务器发送打点信息查询请求;
访问数据发送模块63,用于若接收到来自中控服务器的打点信息,则依据打点信息以及网络访问请求向客户端发送与网络访问请求对应的网络访问数据,以使客户端在浏览器上输出网络访问数据。
在具体的应用场景中,如图8所示,目标服务器还包括:IP端口信息查询模块64、访问请求拦截模块65。
IP端口信息查询模块64,用于根据网络访问请求,向中控服务器发送打点信息查询请求之前,查询预设IP端口黑名单中是否包含IP端口信息;
查询信息发送模块62,还用于若预设IP端口黑名单中不包括IP端口信息,则执行根据网络访问请求,向中控服务器发送打点信息查询请求;
访问请求拦截模块65,用于若预设IP端口黑名单中包括IP端口信息,则拦截网络访问请求。
在具体的应用场景中,如图8所示,访问数据发送模块63,具体包括:打点信息比对单元631、访问数据发送单元632、访问请求拦截单元633。
打点信息比对单元631,用于依次判断网络访问请求中包含的URL信息、浏览器窗口属性信息以及IP端口信息与打点信息是否一致;
访问数据发送单元632,用于若URL信息、浏览器窗口属性信息以及IP端口信息与打点信息全部一致,则向客户端发送与网络访问请求对应的网络访问数据。
访问请求拦截单元633,用于若URL信息、浏览器窗口属性信息以及IP端口信息中的任意一项或多项与打点信息不一致,则拦截网络访问请求。
本申请实施例的第五方面,提供了一种内网的安全防护系统,包括:如图5和图6的客户端以及如图7和图8的目标服务器。
需要说明的是,本申请实施例提供的一种内网的安全防护装置所涉及各功能单元的其他相应描述,可以参考图1至图4中的对应描述,在此不再赘述。
基于上述如图1至图4所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1至图4所示的内网的安全防护方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1至图4所示的方法,以及图5至图8所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1至图4所示的内网的安全防护方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现利用浏览器插件获取浏览器向目标服务器发起的网络访问请求,并在获取到上述网络访问请求时向中控服务器发送打点信息,以供目标服务器在接收到网络访问请求时,查询中控服务器中是否保存有相应的打点信息,并在查询到相应的打点信息时,向客户端反馈网络访问数据,在浏览器上输出该网络访问数据。本申请实施例利用浏览器插件向中控服务器发送网络访问请求的打点信息,使得目标服务器可以根据中控服务器中的打点信息精确识别浏览器人为主动操作,预防了目标服务器响应黑客攻陷客户端后以端口转发形式发起的网络访问请求,避免内网敏感数据被盗取。。
本发明实施例提供了以下技术方案:
1、一种内网的安全防护方法,用于客户端,包括:
当浏览器向目标服务器发起网络访问请求时,利用预先安装的浏览器插件获取所述网络访问请求;
通过所述浏览器插件向中控服务器发送打点信息,以使所述目标服务器在接收到所述网络访问请求后,向所述中控服务器发送打点信息查询请求,并在所述中控服务器向所述目标服务器反馈相应的所述打点信息时,依据所述打点信息向所述客户端反馈网络访问数据,其中,所述打点信息包括所述网络访问请求;
所述客户端根据接收到的所述网络访问数据后,在所述浏览器输出所述网络访问数据。
2、根据1所述的方法,所述网络访问请求包括URL信息、浏览器窗口属性信息以及IP端口信息;
所述通过所述浏览器插件向所述中控服务器发送打点信息之前,所述方法还包括:
查询预设URL白名单中是否包含所述URL信息;
若所述预设URL白名单中包含所述URL信息,则执行所述通过所述浏览器插件向所述中控服务器发送所述打点信息。
3、根据2所述的方法,所述方法还包括:
若所述预设URL白名单中不包含所述URL信息,则拦截所述网络访问请求。
4、一种内网的安全防护方法,用于目标服务器,所述方法包括:
接收来自客户端的网络访问请求;
根据所述网络访问请求,向中控服务器发送打点信息查询请求;
若接收到来自所述中控服务器的打点信息,则依据所述打点信息以及所述网络访问请求向所述客户端发送与所述网络访问请求对应的网络访问数据,以使所述客户端在浏览器上输出所述网络访问数据。
5、根据4所述的方法,所述网络访问请求包括URL信息、浏览器窗口属性信息以及IP端口信息;
所述根据所述网络访问请求,向中控服务器发送打点信息查询请求之前,所述方法还包括:
查询预设IP端口黑名单中是否包含所述IP端口信息;
若所述预设IP端口黑名单中不包括所述IP端口信息,则执行所述根据所述网络访问请求,向中控服务器发送打点信息查询请求;
若所述预设IP端口黑名单中包括所述IP端口信息,则拦截所述网络访问请求。
6、根据5所述的方法,所述依据所述打点信息以及所述网络访问请求向所述客户端发送与所述网络访问请求对应的网络访问数据,具体包括:
依次判断所述网络访问请求中包含的所述URL信息、所述浏览器窗口属性信息以及所述IP端口信息与所述打点信息是否一致;
若所述URL信息、所述浏览器窗口属性信息以及所述IP端口信息与所述打点信息全部一致,则向所述客户端发送与所述网络访问请求对应的网络访问数据。
7、根据6所述的方法,所述方法还包括:
若所述URL信息、所述浏览器窗口属性信息以及所述IP端口信息中的任意一项或多项与所述打点信息不一致,则拦截所述网络访问请求。
8、一种客户端,包括:
访问请求获取模块,用于当浏览器向目标服务器发起网络访问请求时,利用预先安装的浏览器插件获取所述网络访问请求;
打点信息发送模块,用于通过所述浏览器插件向中控服务器发送打点信息,以使所述目标服务器在接收到所述网络访问请求后,向所述中控服务器发送打点信息查询请求,并在所述中控服务器向所述目标服务器反馈相应的所述打点信息时,依据所述打点信息向所述客户端反馈网络访问数据,其中,所述打点信息包括所述网络访问请求;
访问数据接收模块,用于所述客户端根据接收到的所述网络访问数据后,在所述浏览器输出所述网络访问数据。
9、根据8所述的客户端,所述网络访问请求包括URL信息、浏览器窗口属性信息以及IP端口信息,所述客户端还包括:
URL信息查询模块,用于通过所述浏览器插件向所述中控服务器发送打点信息之前,查询预设URL白名单中是否包含所述URL信息;
所述打点信息发送模块,还用于若所述预设URL白名单中包含所述URL信息,则执行所述通过所述浏览器插件向所述中控服务器发送所述打点信息。
10、根据9所述的客户端,所述客户端还包括:
访问请求拦截模块,用于若所述预设URL白名单中不包含所述URL信息,则拦截所述网络访问请求。
11、一种目标服务器,包括:
访问请求接收模块,用于接收来自客户端的网络访问请求;
查询信息发送模块,用于根据所述网络访问请求,向中控服务器发送打点信息查询请求;
访问数据发送模块,用于若接收到来自所述中控服务器的打点信息,则依据所述打点信息以及所述网络访问请求向所述客户端发送与所述网络访问请求对应的网络访问数据,以使所述客户端在浏览器上输出所述网络访问数据。
12、根据11所述的目标服务器,所述网络访问请求包括URL信息、浏览器窗口属性信息以及IP端口信息,所述目标服务器还包括:
IP端口信息查询模块,用于根据所述网络访问请求,向中控服务器发送打点信息查询请求之前,查询预设IP端口黑名单中是否包含所述IP端口信息;
所述查询信息发送模块,还用于若所述预设IP端口黑名单中不包括所述IP端口信息,则执行所述根据所述网络访问请求,向中控服务器发送打点信息查询请求;
访问请求拦截模块,用于若所述预设IP端口黑名单中包括所述IP端口信息,则拦截所述网络访问请求。
13、根据12所述的目标服务器,所述访问数据发送模块,具体包括:
打点信息比对单元,用于依次判断所述网络访问请求中包含的所述URL信息、所述浏览器窗口属性信息以及所述IP端口信息与所述打点信息是否一致;
访问数据发送单元,用于若所述URL信息、所述浏览器窗口属性信息以及所述IP端口信息与所述打点信息全部一致,则向所述客户端发送与所述网络访问请求对应的网络访问数据。
14、根据13所述的目标服务器,所述访问数据发送模块,具体包括:
访问请求拦截单元,用于若所述URL信息、所述浏览器窗口属性信息以及所述IP端口信息中的任意一项或多项与所述打点信息不一致,则拦截所述网络访问请求。
15、一种内网的安全防护系统,包括:如8至10中任一项所述的客户端以及如11至14中任一项所述的目标服务器。
16、一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现1至3中任一项所述的内网的安全防护方法以及4至7中任一项所述的内网的安全防护方法。
17、一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现1至3中任一项所述的内网的安全防护方法以及4至7中任一项所述的内网的安全防护方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (10)
1.一种内网的安全防护方法,用于客户端,其特征在于,包括:
当浏览器向目标服务器发起网络访问请求时,利用预先安装的浏览器插件获取所述网络访问请求;
通过所述浏览器插件向中控服务器发送打点信息,以使所述目标服务器在接收到所述网络访问请求后,向所述中控服务器发送打点信息查询请求,并在所述中控服务器向所述目标服务器反馈相应的所述打点信息时,依据所述打点信息向所述客户端反馈网络访问数据,其中,所述打点信息包括所述网络访问请求;
所述客户端根据接收到的所述网络访问数据后,在所述浏览器输出所述网络访问数据。
2.根据权利要求1所述的方法,其特征在于,所述网络访问请求包括URL信息、浏览器窗口属性信息以及IP端口信息;
所述通过所述浏览器插件向所述中控服务器发送打点信息之前,所述方法还包括:
查询预设URL白名单中是否包含所述URL信息;
若所述预设URL白名单中包含所述URL信息,则执行所述通过所述浏览器插件向所述中控服务器发送所述打点信息。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若所述预设URL白名单中不包含所述URL信息,则拦截所述网络访问请求。
4.一种内网的安全防护方法,用于目标服务器,其特征在于,所述方法包括:
接收来自客户端的网络访问请求;
根据所述网络访问请求,向中控服务器发送打点信息查询请求;
若接收到来自所述中控服务器的打点信息,则依据所述打点信息以及所述网络访问请求向所述客户端发送与所述网络访问请求对应的网络访问数据,以使所述客户端在浏览器上输出所述网络访问数据。
5.根据权利要求4所述的方法,其特征在于,所述网络访问请求包括URL信息、浏览器窗口属性信息以及IP端口信息;
所述根据所述网络访问请求,向中控服务器发送打点信息查询请求之前,所述方法还包括:
查询预设IP端口黑名单中是否包含所述IP端口信息;
若所述预设IP端口黑名单中不包括所述IP端口信息,则执行所述根据所述网络访问请求,向中控服务器发送打点信息查询请求;
若所述预设IP端口黑名单中包括所述IP端口信息,则拦截所述网络访问请求。
6.根据权利要求5所述的方法,其特征在于,所述依据所述打点信息以及所述网络访问请求向所述客户端发送与所述网络访问请求对应的网络访问数据,具体包括:
依次判断所述网络访问请求中包含的所述URL信息、所述浏览器窗口属性信息以及所述IP端口信息与所述打点信息是否一致;
若所述URL信息、所述浏览器窗口属性信息以及所述IP端口信息与所述打点信息全部一致,则向所述客户端发送与所述网络访问请求对应的网络访问数据。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
若所述URL信息、所述浏览器窗口属性信息以及所述IP端口信息中的任意一项或多项与所述打点信息不一致,则拦截所述网络访问请求。
8.一种客户端,其特征在于,包括:
访问请求获取模块,用于当浏览器向目标服务器发起网络访问请求时,利用预先安装的浏览器插件获取所述网络访问请求;
打点信息发送模块,用于通过所述浏览器插件向中控服务器发送打点信息,以使所述目标服务器在接收到所述网络访问请求后,向所述中控服务器发送打点信息查询请求,并在所述中控服务器向所述目标服务器反馈相应的所述打点信息时,依据所述打点信息向所述客户端反馈网络访问数据,其中,所述打点信息包括所述网络访问请求;
访问数据接收模块,用于所述客户端根据接收到的所述网络访问数据后,在所述浏览器输出所述网络访问数据。
9.一种目标服务器,其特征在于,包括:
访问请求接收模块,用于接收来自客户端的网络访问请求;
查询信息发送模块,用于根据所述网络访问请求,向中控服务器发送打点信息查询请求;
访问数据发送模块,用于若接收到来自所述中控服务器的打点信息,则依据所述打点信息以及所述网络访问请求向所述客户端发送与所述网络访问请求对应的网络访问数据,以使所述客户端在浏览器上输出所述网络访问数据。
10.一种内网的安全防护系统,其特征在于,包括:如权利要求8所述的客户端以及如权利要求9所述的目标服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910755440.0A CN112395020B (zh) | 2019-08-15 | 2019-08-15 | 内网的安全防护方法、客户端、目标服务器及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910755440.0A CN112395020B (zh) | 2019-08-15 | 2019-08-15 | 内网的安全防护方法、客户端、目标服务器及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112395020A CN112395020A (zh) | 2021-02-23 |
| CN112395020B true CN112395020B (zh) | 2023-01-06 |
Family
ID=74601736
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910755440.0A Active CN112395020B (zh) | 2019-08-15 | 2019-08-15 | 内网的安全防护方法、客户端、目标服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112395020B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112600863A (zh) * | 2021-03-04 | 2021-04-02 | 南京敏宇数行信息技术有限公司 | 一种安全远程访问系统及方法 |
| CN114465812B (zh) * | 2022-03-08 | 2023-12-29 | 中国工商银行股份有限公司 | 一种压测流量控制方法及装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140208385A1 (en) * | 2013-01-24 | 2014-07-24 | Tencent Technology (Shenzhen) Company Limited | Method, apparatus and system for webpage access control |
| CN104023024A (zh) * | 2014-06-13 | 2014-09-03 | 中国民航信息网络股份有限公司 | 网络防御方法及装置 |
| CN107888546B (zh) * | 2016-09-29 | 2021-10-01 | 腾讯科技(深圳)有限公司 | 网络攻击防御方法、装置以及系统 |
| CN106657014B (zh) * | 2016-11-16 | 2020-06-19 | 东软集团股份有限公司 | 访问数据的方法、装置及系统 |
| CN107786551B (zh) * | 2017-10-18 | 2020-04-28 | 广东神马搜索科技有限公司 | 访问内网服务器的方法及控制访问内网服务器的装置 |
| CN109379389A (zh) * | 2018-12-21 | 2019-02-22 | 中国人民解放军战略支援部队信息工程大学 | 网络攻击防御方法及相关设备 |
-
2019
- 2019-08-15 CN CN201910755440.0A patent/CN112395020B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112395020A (zh) | 2021-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10623954B2 (en) | AP connection method, terminal, and server | |
| US10104066B2 (en) | User login methods, devices, and systems | |
| US10574698B1 (en) | Configuration and deployment of decoy content over a network | |
| EP3319293B1 (en) | Cross-terminal login-free method and device | |
| US11070580B1 (en) | Vulnerability scanning method, server and system | |
| CN109168156B (zh) | 一种虚拟sim卡的实现方法、系统、介质、计算机程序产品及服务器 | |
| US20160127381A1 (en) | Network connection method, hotspot terminal and management terminal | |
| US11134035B2 (en) | Method and device for securely sending message | |
| US9137245B2 (en) | Login method, apparatus, and system | |
| JP2017509936A (ja) | リソースへの繰返しアクセスについてリソースオーナーから認可を要求する要求のバッチ処理の、サードパーティによる実行の容易化 | |
| CN111357256A (zh) | 管理计算设备中各进程之间的访问控制的系统和方法 | |
| US8677508B2 (en) | Confidential information leakage prevention system, confidential information leakage prevention method and confidential information leakage prevention program | |
| CN108200053B (zh) | 记录apt攻击操作的方法及装置 | |
| CN106254319B (zh) | 一种轻应用登录控制方法和装置 | |
| CN112395020B (zh) | 内网的安全防护方法、客户端、目标服务器及存储介质 | |
| EP3125162A1 (en) | Method and device for marking unknown number | |
| US9692783B2 (en) | Method and apparatus for reporting a virus | |
| US9027106B2 (en) | Organizational attribution of user devices | |
| US11531716B2 (en) | Resource distribution based upon search signals | |
| CN103259785B (zh) | 虚拟令牌的认证方法及系统 | |
| US9141287B2 (en) | Remote enabling of storage | |
| CN101729569B (zh) | 分布式拒绝服务ddos攻击的防护方法、设备及系统 | |
| CN113342845A (zh) | 数据同步方法、计算机设备及可读存储介质 | |
| CN110704498A (zh) | 数据提取方法、装置、设备及计算机可读存储介质 | |
| CN112152967A (zh) | 一种数据存储管理的方法以及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |