CN112769731A - 一种进程控制方法、装置、服务器及存储介质 - Google Patents
一种进程控制方法、装置、服务器及存储介质 Download PDFInfo
- Publication number
- CN112769731A CN112769731A CN201911001592.8A CN201911001592A CN112769731A CN 112769731 A CN112769731 A CN 112769731A CN 201911001592 A CN201911001592 A CN 201911001592A CN 112769731 A CN112769731 A CN 112769731A
- Authority
- CN
- China
- Prior art keywords
- access
- access request
- webpage
- parameter
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Abstract
本发明提供了一种进程控制方法,包括:接收终端发送的访问请求;获取与所述访问请求相对应的第一访问参数;根据所述第一访问参数对所述访问请求进行第一筛选处理,以实现判断相应的进程是否在阻断名单中;获取与所述访问请求相对应的第二访问参数;根据所述第二访问参数对所述访问请求进行第二筛选处理,以实现对相应进程的实时阻断。发明还提供了一种进程控制装置、服务器及存储介质。本发明能够实现了针对不同的用户需求对相应的网页类型进行灵活性和针对性更强的监控,同时短了网页页面类型的识别周期,节省了检测时间实现了对进程的有效监控。
Description
技术领域
本发明涉及进程控制技术,尤其涉及一种进程控制方法、装置、服务器及存储介质。
背景技术
网页访问进程中,内部网络常需要与外部网络连通,数据由内部网络直接向外部网络传输的风险是较大的,有数据泄露的可能性,为了保证网络使用的安全性,需要对所要访问的目标网页进行筛选,避免恶意网页对访问进程进行攻击,传统的网络访问控制一般是基于用户或者设备,粒度较粗,如发现异常则只能针对用户或者设备进行阻断处理,恢复过程缓慢复杂,降低了正常办公效率,同时影响用户的使用体验。
发明内容
有鉴于此,本发明实施例提供一种进程控制方法、装置、服务器及存储介质,能够缩短了网页页面类型的识别周期,节省了检测时间,同时针对不同的用户需求对相应的网页类型进行识别,灵活性更强,实现对相应进程的实时阻断,减少恶意网页对进程或终端的攻击机会。
本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种进程控制方法,所述方法包括:
接收终端发送的访问请求;
获取与所述访问请求相对应的第一访问参数;
根据所述第一访问参数对所述访问请求进行第一筛选处理,以实现判断相应的进程是否在阻断名单中;
获取与所述访问请求相对应的第二访问参数;
根据所述第二访问参数对所述访问请求进行第二筛选处理,以实现对相应进程的实时阻断。
本发明实施例还提供了一种进程控制装置,所述装置包括:
信息传输模块,用于接收终端发送的访问请求;
信息处理模块,用于获取与所述访问请求相对应的第一访问参数;
所述信息处理模块,用于根据所述第一访问参数对所述访问请求进行第一筛选处理,以实现判断相应的进程是否在阻断名单中;
所述信息处理模块,用于获取与所述访问请求相对应的第二访问参数;
所述信息处理模块,用于根据所述第二访问参数对所述访问请求进行第二筛选处理,以实现对相应进程的实时阻断。
上述方案中,
所述信息处理模块,用于解析所述第一访问参数,确定所述与所述访问请求相匹配的实时进程路径参数和访问更新时间参数;
所述信息处理模块,用于根据所述阻断名单对所述实时进程路径参数和访问更新时间参数进行匹配处理,确定相应的匹配结果;
所述信息处理模块,用于根据所述实时进程路径参数和访问更新时间参数的匹配结果,获取与所述访问请求相匹配的目标网页;
所述信息处理模块,用于对所述访问请求进行拦截。
上述方案中,
所述信息处理模块,用于当根据所述实时进程路径参数,确定所述访问请求的目标网页为资源转移网页时,其中,所述资源转移网页用于进行在线资源转移;
所述信息处理模块,用于获取所述终端相对应的恶意网页访问记录,其中,所述恶意网页访问记录用于记录所述终端对恶意网页的访问历史信息;
所述信息处理模块,用于根据所述更新时间参数,确定所述资源转移网页与所述恶意网页访问记录的关联关系;
所述信息处理模块,用于根据所述资源转移网页与所述恶意网页访问记录的关联关系对所述访问请求进行拦截。
上述方案中,
所述信息处理模块,用于遍历所述恶意网页访问记录,确定所述恶意网页访问记录中的恶意网页的跳转时间集合;
所述信息处理模块,用于根据所述恶意网页的跳转时间集合对所述更新时间参数进行匹配处理;
所述信息处理模块,用于当所述更新时间参数与所述恶意网页的跳转时间集合能够匹配时,确定所述资源转移网页为恶意资源转移网页;
所述信息处理模块,用于当确定的所述资源转移网页为恶意资源转移网页时,对所述访问请求进行拦截。
上述方案中,
所述信息处理模块,用于解析所述第二访问参数,确定所述与所述访问请求相匹配的消息摘要算法的散列值;
所述信息处理模块,用于根据相应的消息摘要算法阻断名单,对与所述访问请求相匹配的消息摘要算法的散列值进行匹配处理;
所述信息处理模块,用于根据所述访问请求相匹配的消息摘要算法的散列值的匹配结果,获取与所述访问请求相匹配的目标网页;
所述信息处理模块,用于对所述访问请求进行拦截。
上述方案中,
所述信息处理模块,用于响应于所述与所述访问请求相匹配的消息摘要算法的散列值,触发相应的第三方验进程;
所述信息处理模块,用于根据所述第三方验进程的验证结果,更新所述消息摘要算法阻断名单;
所述信息处理模块,用于响应于所述第三方验进程的验证结果,获取与所述访问请求相匹配的目标网页;或者,
所述信息处理模块,用于对所述访问请求进行拦截,并将所述拦截结果向所述终端发送。
上述方案中,
所述信息处理模块,用于当根据所述第二筛选处理确定所述访问请求的目标网页未出现在消息摘要算法阻断名单中时,触发对所述终端的当前用户信息进行验证;
所述信息处理模块,用于当所述终端的当前用户信息通过验证时,获取与所述访问请求相匹配的目标网页;
所述信息处理模块,用于将所述目标网页的信息保存在与当前用户相匹配的验证信息数据库中。
本发明实施例还提供了一种服务器,所述服务器包括:
存储器,用于存储可执行指令;
处理器,用于运行所述存储器存储的可执行指令时,实现前序的进程控制方法。
本发明实施例还提供了一种计算机可读存储介质,存储有可执行指令,所述可执行指令被处理器执行时实现前序的进程控制方法。
本发明实施例具有以下有益效果:
通过接收终端发送的访问请求;获取与所述访问请求相对应的第一访问参数;根据所述第一访问参数对所述访问请求进行第一筛选处理,以实现判断相应的进程是否在阻断名单中;获取与所述访问请求相对应的第二访问参数;根据所述第二访问参数对所述访问请求进行第二筛选处理,以实现对相应进程的实时阻断,由此,针对不同的用户需求对相应的网页类型进行灵活性和针对性更强的识别,同时短了网页页面类型的识别周期,节省了检测时间实现了对目标网页的有效监测,同时实现了保证终端设备正常工作的情况下,实现对相应进程的实时阻断,灵活性更强,减少恶意网页对进程或终端的攻击机会。
附图说明
图1为本发明实施例提供的进程控制方法的使用场景示意图;
图2为本发明实施例提供的服务器的组成结构示意图;
图3为本发明实施例提供的进程控制方法一个可选的流程示意图;
图4为本发明实施例提供的进程控制方法一个可选的流程示意图;
图5为本发明实施例提供的进程控制方法一个可选的流程示意图;
图6为本发明实施例提供的进程控制方法一个可选的前端显示界面示意图;
图7为本发明实施例提供的进程控制方法一个可选的流程示意图;
图8为本发明实施例提供的进程控制方法一个可选的前端显示界面示意图;
图9是本发明实施例提供的进程控制方法的一个可选的处理过程示意图;
图10是本发明实施例提供的进程控制方法的一个可选的处理过程示意图;
图11是本发明实施例提供的进程控制方法的一个可选的处理过程示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,所描述的实施例不应视为对本发明的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
对本发明实施例进行进一步详细说明之前,对本发明实施例中涉及的名词和术语进行说明,本发明实施例中涉及的名词和术语适用于如下的解释。
1)签名:数字签名,是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。
2)MD5:消息摘要算法,一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。
3)SHA256:消息摘要算法,一种被广泛使用的密码散列函数,可以产生出一个256位(32字节)的散列值(hash value),用于确保信息传输完整一致。
4)VPN:虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。
5)NAC:Network Access Control,网络准入控制。
6)响应于,用于表示所执行的操作所依赖的条件或者状态,当满足所依赖的条件或状态时,所执行的一个或多个操作可以是实时的,也可以具有设定的延迟;在没有特别说明的情况下,所执行的多个操作不存在执行先后顺序的限制。
图1为本发明实施例提供的进程控制方法的使用场景示意图,参见图1,终端(包括终端10-1和终端10-2)上设置有能够执行不同功能相应客户端其中,所属客户端为终端(包括终端10-1和终端10-2)通过网络300从相应的服务器200中获取不同的网页进行浏览,终端通过网络300连接服务器200,网络300可以是广域网或者局域网,又或者是二者的组合,使用无线链路实现数据传输,其中,终端(包括终端10-1和终端10-2)通过网络300从相应的服务器200中所获取的网页类型并不相同,例如:终端(包括终端10-1和终端10-2)既可以通过网络300从相应的服务器200中获取视频网页(即网页中携带视频信息或相应的视频链接),也可以通过网络300从相应的服务器200中获取仅包括文字或图像的相应网页进行浏览。服务器200中可以保存有不同类型的网页。在本发明的一些实施例中,服务器200中所保存的不同类型的网页可以是在不同编程语言的软件代码中所编写的,代码对象可以是不同类型的代码实体。例如,在C语言的软件代码中,一个代码对象可以是一个函数。在JAVA语言的软件代码中,一个代码对象可以是一个类,IOS端OC语言中可以是一段目标代码。在C++语言的软件代码中,一个代码对象可以是一个类或一个函数。其中本申请中不再对不同类型的网页的1编译环境进行区分。
服务器200通过网络300向终端(终端10-1和/或终端10-2)发送不同类型的网页的过程中服务器400需要对不同访问请求所要访问的目标网页进行监控,因此。作为一个事例,服务器400用于接收终端发送的访问请求;获取与所述访问请求相对应的第一访问参数;根据所述第一访问参数对所述访问请求进行第一筛选处理,以实现判断相应的进程是否在阻断名单中;获取与所述访问请求相对应的第二访问参数;根据所述第二访问参数对所述访问请求进行第二筛选处理,以实现对相应进程的实时阻断。
下面对本发明实施例的服务器的结构做详细说明,服务器可以各种形式来实施,如带有进程控制功能的专用终端例如网关,也可以为带有进程控制功能的服务器,例如前述图1中的服务器400。图2为本发明实施例提供的服务器的组成结构示意图,可以理解,图2仅仅示出了服务器的示例性结构而非全部结构,根据需要可以实施图2示出的部分结构或全部结构。
本发明实施例提供的服务器包括:至少一个处理器201、存储器202、用户接口203和至少一个网络接口204。服务器20中的各个组件通过总线系统205耦合在一起。可以理解,总线系统205用于实现这些组件之间的连接通信。总线系统205除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图2中将各种总线都标为总线系统205。
其中,用户接口203可以包括显示器、键盘、鼠标、轨迹球、点击轮、按键、按钮、触感板或者触摸屏等。
可以理解,存储器202可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。本发明实施例中的存储器202能够存储数据以支持终端(如10-1)的操作。这些数据的示例包括:用于在终端(如10-1)上操作的任何计算机程序,如操作系统和应用程序。其中,操作系统包含各种系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务。应用程序可以包含各种应用程序。
在一些实施例中,本发明实施例提供的进程控制装置可以采用软硬件结合的方式实现,作为示例,本发明实施例提供的进程控制装置可以是采用硬件译码处理器形式的处理器,其被编程以执行本发明实施例提供的进程控制方法。例如,硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC,Application Specific IntegratedCircuit)、DSP、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)或其他电子元件。
作为本发明实施例提供的进程控制装置采用软硬件结合实施的示例,本发明实施例所提供的进程控制装置可以直接体现为由处理器201执行的软件模块组合,软件模块可以位于存储介质中,存储介质位于存储器202,处理器201读取存储器202中软件模块包括的可执行指令,结合必要的硬件(例如,包括处理器201以及连接到总线205的其他组件)完成本发明实施例提供的进程控制方法。
作为示例,处理器201可以是一种集成电路芯片,具有信号的处理能力,例如通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其中,通用处理器可以是微处理器或者任何常规的处理器等。
作为本发明实施例提供的进程控制装置采用硬件实施的示例,本发明实施例所提供的装置可以直接采用硬件译码处理器形式的处理器201来执行完成,例如,被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,ComplexProgrammable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable GateArray)或其他电子元件执行实现本发明实施例提供的进程控制方法。
本发明实施例中的存储器202用于存储各种类型的数据以支持服务器20的操作。这些数据的示例包括:用于在服务器20上操作的任何可执行指令,如可执行指令,实现本发明实施例的从进程控制方法的程序可以包含在可执行指令中。
在另一些实施例中,本发明实施例提供的进程控制装置可以采用软件方式实现,图2示出了存储在存储器202中的进程控制装置2020,其可以是程序和插件等形式的软件,并包括一系列的模块,作为存储器202中存储的程序的示例,可以包括进程控制装置2020,进程控制装置2020中包括以下的软件模块:信息处理模块2081,识别模块2082。当进程控制装置2020中的软件模块被处理器201读取到RAM中并执行时,将实现本发明实施例提供的进程控制方法,下面对进程控制装置2020中各个软件模块的功能进行介绍:
信息传输模块2081,用于接收终端发送的访问请求;
信息处理模块2082,用于获取与所述访问请求相对应的第一访问参数;
所述信息处理模块2082,用于根据所述第一访问参数对所述访问请求进行第一筛选处理,以实现判断相应的进程是否在阻断名单中;
所述信息处理模块2082,用于获取与所述访问请求相对应的第二访问参数;
所述信息处理模块2082,用于根据所述第二访问参数对所述访问请求进行第二筛选处理,以实现对相应进程的实时阻断。
结合图2示出的服务器20说明本发明实施例提供的进程控制方法,参见图3,图3为本发明实施例提供的进程控制方法一个可选的流程示意图,可以理解地,图3所示的步骤可以由运行进程控制装置的各种服务器执行,例如可以是如带有进程控制功能的专用终端、服务器或者服务器集群。下面针对图3示出的步骤进行说明。
步骤301:服务器接收终端发送的访问请求。
其中,在本发明的一些实施例中,当用户通过终端触发相应的进程,以访问目标网页时,可以通过局域网的代理服务器向相应的网络服务器发送访问请求。
在本发明的一些实施例中,根据目标归属区域对所述目标网页的统一资源定位符进行第一匹配处理,可以通过以下方式实现:
获取与所述目标网页的统一资源定位符对应的所述目标网页域名参数;获取与所述目标网页域名参数相对应的所述目标网页持有者的归属区域信息;根据所述目标网页持有者的归属区域信息和目标归属区域,对所述目标网页的统一资源定位符进行第一匹配处理,以实现获取与所述目标归属区域相匹配的统一资源定位符。其中,由于直接获取url的属地信息较为繁琐,因此可以提取每个url的域名,然后通过连接域名和持有者的对应表,间接得知url和持有者的对应关系。因此可以过滤出相应归属地的持有者,查找出这些持有者对应的域名及其域名对应的url链接,由此得到全量的目标url。
步骤302:服务器获取与所述访问请求相对应的第一访问参数。
步骤303:服务器根据所述第一访问参数对所述访问请求进行第一筛选处理,以实现判断相应的进程是否在阻断名单中。
在本发明的一些实施例中,根据所述第一访问参数对所述访问请求进行第一筛选处理,以实现判断相应的进程是否在阻断名单中,可以通过以下方式实现:
解析所述第一访问参数,确定所述与所述访问请求相匹配的实时进程路径参数和访问更新时间参数;根据所述阻断名单对所述实时进程路径参数和访问更新时间参数进行匹配处理,确定相应的匹配结果;根据所述实时进程路径参数和访问更新时间参数的匹配结果,获取与所述访问请求相匹配的目标网页;或者,对所述访问请求进行拦截。其中,服务器可以根据预设规则或者历史拦截信息设置相应的阻断名单,当根据所述阻断名单对所述实时进程路径参数和访问更新时间参数进行匹配处理,确定实时进程路径参数和/或访问更新时间参数与阻断名单中的信息匹配一致时,可以确定访问请求所要对对应的目标网页是恶意网页,应该予以拦截。
继续结合图2示出的服务器20说明本发明实施例提供的进程控制方法,参见图4,图4为本发明实施例提供的进程控制方法一个可选的流程示意图,可以理解地,图4所示的步骤可以由运行进程控制装置的各种服务器执行,例如可以是如带有进程控制功能的专用终端、服务器或者服务器集群。下面针对图4示出的步骤进行说明。
步骤401:服务器当根据所述实时进程路径参数,确定所述访问请求的目标网页为资源转移网页。
其中,所述资源转移网页用于进行在线资源转移。
在本发明的一些实施例中,终端在显示包含资源转移图形码的资源转移网页时,该资源转移网页对应的URL中包含资源转移图形码对应的资源转移链接(即上述预交易支付链接),且不同资源转移平台所采用的资源转移链接的格式不同。因此,在一种可能的实施方式中,服务器在识别终端当前访问的网页是否为资源转移网页时,即检测网页的URL中是否包含资源转移链接,并在包含资源转移链接时,可以确定该网页为资源转移网页。由于资源转移网页所要跳转的网页可能是恶意网页,因此需要对资源转移网页的安全性进行验证。
步骤402:服务器获取所述终端相对应的恶意网页访问记录。
其中,所述恶意网页访问记录用于记录所述终端对恶意网页的访问历史信息。
在本发明的一些实施例中,恶意网页访问记录一个可选的表现形式如表1所示,包含终端标识、恶意网址、恶意类型和访问时间。
| 终端标识 | 恶意网页的网址 | 类型 | 访问时间 |
| UIDA | http://www.toutiao-example1.com | 博彩 | 2019-09-29 16:50:01 |
| UIDA | http://www.toutiao-a.com | 色情 | 2019-09-29 17:50:01 |
| UIDA | http://www.toutiao.com | 暴力 | 2019-09-29 18:50:01 |
| UIDA | http://www.toutiao-d.com | 博彩 | 2019-09-29 19:50:01 |
表1
在本发明的一些实施例中,为了保证用户隐私,服务器对终端的网络环境参数例如如互联网协议地址(IP InternetProtocol)、媒体访问控制地址MAC(Media AccessControl),或登陆应用程序时使用的用户帐号进行不可逆哈希计算,比如通过MD5或SHA-256(Secure Hash Algorithm,安全哈希算法)等算法对用户帐号进行哈希计算,并将计算得到的哈希值作为终端标识。
步骤403:服务器根据所述更新时间参数,确定所述资源转移网页与所述恶意网页访问记录的关联关系。
在本发明的一些实施例中,根据所述更新时间参数,确定资源转移网页与恶意网页访问记录的关联关系,并根据所述资源转移网页与所述恶意网页访问记录的关联关系对所述访问请求进行拦截,可以通过以下方式实现:
遍历所述恶意网页访问记录,确定所述恶意网页访问记录中的恶意网页的跳转时间集合;根据所述恶意网页的跳转时间集合对所述更新时间参数进行匹配处理;当所述更新时间参数与所述恶意网页的跳转时间集合能够匹配时,确定所述资源转移网页为恶意资源转移网页;当确定的所述资源转移网页为恶意资源转移网页时,对所述访问请求进行拦截。其中,由于恶意资源转移网页通常会在短时内(或者固定时间内)跳转至恶意网页,因此,通过根据所述恶意网页的跳转时间集合对所述更新时间参数进行匹配处理;当所述更新时间参数与所述恶意网页的跳转时间集合能够匹配时,确定所述资源转移网页为恶意资源转移网页能够实现对恶意网页的快速识别,减少用户的等待时间,提升用户的使用体验。
在本发明的一些实施例中,当服务器确认恶意资源转移网页与恶意网页之间的关联关系后,服务器将恶意资源转移网页与恶意网页关联存储到恶意资源转移数据库中,该恶意资源转移数据库中的每条数据包括表1所示的访问记录,以及下述表2所示的访问记录。
| 终端标识 | 恶意资源转移网页的网址 | 类型 | 访问时间 |
| UIDA | http://www.toutiao-b.com | 博彩 | 2019-09-29 16:50:01 |
| UIDA | http://www.toutiao-c.com | 色情 | 2019-09-29 17:50:01 |
| UIDA | http://www.toutiao-a.com | 暴力 | 2019-09-29 18:50:01 |
| UIDA | http://www.toutiao-d.com | 博彩 | 2019-09-29 19:50:01 |
表2
步骤404:服务器根据所述资源转移网页与所述恶意网页访问记录的关联关系对所述访问请求进行拦截。
由此,当确定的所述资源转移网页为恶意资源转移网页时,对所述访问请求进行拦截,可以有效避免恶意网页对进程和终端的攻击,减少恶意网页对用户所造成的损失。
步骤304:服务器获取与所述访问请求相对应的第二访问参数;
步骤305:服务器根据所述第二访问参数对所述访问请求进行第二筛选处理,以实现对相应进程的实时阻断。
继续结合图2示出的服务器20说明本发明实施例提供的进程控制方法,参见图5,图5为本发明实施例提供的进程控制方法一个可选的流程示意图,可以理解地,图5所示的步骤可以由运行进程控制装置的各种服务器执行,例如可以是如带有进程控制功能的专用终端、服务器或者服务器集群。下面针对图5示出的步骤进行说明。
步骤3051:服务器解析所述第二访问参数,确定所述与所述访问请求相匹配的消息摘要算法的散列值。
步骤3052:服务器根据相应的消息摘要算法阻断名单,对与所述访问请求相匹配的消息摘要算法的散列值进行匹配处理。
步骤3053:服务器判断所述访问请求相匹配的消息摘要算法的散列值的匹配结果与的消息摘要算法阻断名单是否相匹配,如果是执行步骤3054,否则,执行步骤3055。
步骤3054:服务器获取与所述访问请求相匹配的目标网页。
步骤3055:服务器对所述访问请求进行拦截,将拦截记录保存在相应的代理服务器中。
其中,参考图6,图6为本发明实施例提供的进程控制方法一个可选的前端显示界面示意图,通过图6所示的显示界面,终端在保持正常工作状态的情况下,可以获知哪些访问请求被拦截。
继续结合图2示出的服务器20说明本发明实施例提供的进程控制方法,判断所述访问请求相匹配的消息摘要算法的散列值的匹配结果与的消息摘要算法阻断名单不匹配之后,参见图7,图7为本发明实施例提供的进程控制方法一个可选的流程示意图,可以理解地,7所示的步骤可以由运行进程控制装置的各种服务器执行,例如可以是如带有进程控制功能的专用终端、服务器或者服务器集群。下面针对图7示出的步骤进行说明。
步骤701:服务器响应于所述与所述访问请求相匹配的消息摘要算法的散列值,触发相应的第三方验进程;
步骤702:服务器根据所述第三方验进程的验证结果,更新所述消息摘要算法阻断名单。
其中,由于恶意网页的类型变化较多,单一的服务器中所保存的消息摘要算法阻断名单由于更新不及时容易遗漏需要拦截的进程,造成用户的损失,因此,根据所述第三方验进程的验证结果,更新所述消息摘要算法阻断名单能够有效提升拦截的准确性与全面性。
步骤703:服务器响应于所述第三方验进程的验证结果,获取与所述访问请求相匹配的目标网页。
步骤704:服务器对所述访问请求进行拦截,并将所述拦截结果向所述终端发送。
在本发明的一些实施例中,所述方法还包括:
当根据所述第二筛选处理确定所述访问请求的目标网页未出现在消息摘要算法阻断名单中时,触发对所述终端的当前用户信息进行验证;当所述终端的当前用户信息通过验证时,获取与所述访问请求相匹配的目标网页,并将所述目标网页的信息保存在与当前用户相匹配的验证信息数据库中。由此,用户可以自主对未出现在消息摘要算法阻断名单中目标网页进行验证,提升了验证的灵活性。
在本发明的一些实施例中,在所述接入所述目标网页后,所述终端设备还可在专用客户端上将接入所述目标网页的认证方式设置为终端设备域身份认证,所述终端设备域身份认证是指通过域服务器对所述终端设备的设备信息进行认证。通过改变认证方式,可使得该终端设备通过专用客户端入域成功后,若退域后再次入域时,直接触发当前用户相匹配的验证信息数据库,节省了用户的等待时间,其中,的终端设备域身份认证的方式可以通过以下方式实现:对该终端设备的媒体访问控制(英文全称:Medium Access Control,英文简称:MAC)地址进行认证。因为该终端设备在上次入域成功后,作为网络管理后台的域服务器已经注册了该终端设备的硬件信息,当该终端设备再次接入上述目标网页时,域服务器可直接获取该终端设备的硬件信息和MAC地址等,再判断该终端设备是否注册过即可,若已经在先注册过,则该终端设备可接入上述目标网页,从而使用该目标网页所提供的各种业务。
进一步地,为防止非法用户通过客户端非法接入上述目标网络,在向网络认证服务器发送接入认证请求之前,所述终端设备还可获取输入的当前终端的用户身份信息,然后对输入的所述用户身份信息进行动态口令认证,若认证通过,则向所述相对应的服务器发送所述接入认证请求。通过本实施例所示的技术方案可以进一步加强通信系统的安全性,进而减少专用客户端泄漏所带来的安全隐患。
其中,参考图8,图8为本发明实施例提供的进程控制方法一个可选的前端显示界面示意图,通过图8所示的显示界面,终端在保持正常工作状态的情况下,对终端的当前用户信息进行验证,并在当所述终端的当前用户信息通过验证时,获取与所述访问请求相匹配的目标网页。
下面以消息摘要算法为MD5消息摘要算法和SHA256消息摘要算法为例对本发明所提供的一种进程控制方法进行说明,其中,现有的技术方案中,在网络访问中通常所使用的访问控制技术包括:各种网络准入控制(NAC)技术,如802.1x、MAB、Portol等,或者虚拟专用网络(VPN)技术和防火墙技术。进程安全检测技术,例如:使用系统根证书本地校验进程签名。
但是前序的现有技术的使用中,其缺陷主要包括:NAC技术:控制粒度粗,发现异常后针对设备断网,影响正常办公;VPN技术:控制粒度粗,发现异常后针对设备断网,影响正常办公过程的网络访问;防火墙技术:只能针对访问源、目的ip端口进行控制,进程控制粒度更细,设置过程复杂;进程安全检测技术的缺陷则在于无法联动网络访问进行更细力度阻断,依赖系统信任跟证书,样本库更新不及时,容易遗漏需要拦截的访问进程。
图9是本发明实施例提供的进程控制方法的一个可选的处理过程示意图,具体包括以下步骤:
步骤901:访问进程通过本地代理服务器访问资源,代理服务器实时采集进程路径、更新时间送至网关设备。
其中,用户设备安装控制客户端,安装后网络访问请求的处理过程与未安装相应客户端时完全一样,正常情况(访问进程未被拦截)下用户完全无感知,若设备存在异常进程访问网络时客户端弹窗提醒用户,如黑名单访问进程已被阻断、灰名单访问进程需要确认、进程权限不够已被阻断或申请等。
步骤902:代理服务器异步采集进程签名、MD5、SHA256送至网关设备检测。
其中,参考图10,图10是本发明实施例提供的进程控制方法的一个可选的处理过程示意图,其中,签名校验方式为后台建设可信CA库,可从可信厂商同步并由安全人员维护,安全人员可根据需要配置信任规则,对不可信CA签名进程、签名后文件被篡改进程、无签名进程进行阻断;访问进程的MD5、SHA256检测可送检至商业检测引擎进行检测,对检测结果进行缓存,下次命中缓存直接禁用;授权目的访问流程可根据需要灵活配置,如仅限Chrome浏览器访问公司内网等,具体配置过程本申请不做限制。
步骤903:网关设备实时判断访问进程是否在阻断黑名单中,若在则拒绝访问请求,若不在阻断黑名单则允许访问进程执行。
其中,白名单为记录安全进程的名单,黑名单为记录危险进程的名单。位于白名单中进程的类型为白名单访问进程,位于黑名单中进程的类型为黑名单访问进程,在白名单和黑名单之外的所有未知进程属于灰名单访问进程。当应用的进程为白名单访问进程(如腾讯安全中心所认证的网页)时,确认该访问进程相关的所要访问的网页是安全的网页,允许该访问进程的运行。
步骤904:网关设备收到签名、MD5、SHA256后进行检测,检测异常则推送告警至代理断网处理并加入缓存,下次该进程请求则实现实时阻断。
其中,继续参考图11,图11是本发明实施例提供的进程控制方法的一个可选的处理过程示意图,某些进程可能无法立判是否是黑进程,(如用户自己调试程序未打签名),此时直接中断则用户的使用体验较差,所以可以增加确认机制,若用户通过身份认证确认该进程确实为用户自身发起的后台可做加白处理。
由此,本发明基于进程安全进行访问控制,同时结合了进程安全判断及访问控制技术的思路,同时又对两者加以柔和、改善,对比其他类似访问控制方案具有安全级别更高、控制粒度更细的特点,对比传统进程风险判断采用的云查杀方式时样本更新更快、响应更及时,灰名单调整逻辑增加用户参与,通过用户参与完善样本库达到良性循环,提升用户的使用体验。
本发明具有以下有益技术效果:
通过接收终端发送的访问请求;获取与所述访问请求相对应的第一访问参数;根据所述第一访问参数对所述访问请求进行第一筛选处理,以实现判断相应的进程是否在阻断名单中;获取与所述访问请求相对应的第二访问参数;根据所述第二访问参数对所述访问请求进行第二筛选处理,以实现对相应进程的实时阻断,由此,针对不同的用户需求对相应的网页类型进行灵活性和针对性更强的识别,同时短了网页页面类型的识别周期,节省了检测时间实现了对目标网页的有效监测,同时实现了保证终端设备正常工作的情况下,实现对相应进程的实时阻断,灵活性更强,减少恶意网页对进程或终端的攻击机会。
以上所述,仅为本发明的实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种进程控制方法,其特征在于,所述方法包括:
接收终端发送的访问请求;
获取与所述访问请求相对应的第一访问参数;
根据所述第一访问参数对所述访问请求进行第一筛选处理,以实现判断相应的进程是否在阻断名单中;
获取与所述访问请求相对应的第二访问参数;
根据所述第二访问参数对所述访问请求进行第二筛选处理,以实现对相应进程的实时阻断。
2.根据权利要求1所述的方法,其特征在于,所述根据所述第一访问参数对所述访问请求进行第一筛选处理,以实现判断相应的进程是否在阻断名单中,包括:
解析所述第一访问参数,确定所述与所述访问请求相匹配的实时进程路径参数和访问更新时间参数;
根据所述阻断名单对所述实时进程路径参数和访问更新时间参数进行匹配处理,确定相应的匹配结果;
根据所述实时进程路径参数和访问更新时间参数的匹配结果,获取与所述访问请求相匹配的目标网页;或者,
对所述访问请求进行拦截。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当根据所述实时进程路径参数,确定所述访问请求的目标网页为资源转移网页,其中,所述资源转移网页用于进行在线资源转移;
获取所述终端相对应的恶意网页访问记录,其中,所述恶意网页访问记录用于记录所述终端对恶意网页的访问历史信息;
根据所述更新时间参数,确定所述资源转移网页与所述恶意网页访问记录的关联关系,并根据所述资源转移网页与所述恶意网页访问记录的关联关系对所述访问请求进行拦截。
4.根据权利要求3所述的方法,其特征在于,所述根据所述更新时间参数,确定资源转移网页与恶意网页访问记录的关联关系,并根据所述资源转移网页与所述恶意网页访问记录的关联关系对所述访问请求进行拦截,包括:
遍历所述恶意网页访问记录,确定所述恶意网页访问记录中的恶意网页的跳转时间集合;
根据所述恶意网页的跳转时间集合对所述更新时间参数进行匹配处理;
当所述更新时间参数与所述恶意网页的跳转时间集合能够匹配时,确定所述资源转移网页为恶意资源转移网页;
当确定的所述资源转移网页为恶意资源转移网页时,对所述访问请求进行拦截。
5.根据权利要求1所述的方法,其特征在于,所述根据所述第二访问参数对所述访问请求进行第二筛选处理,以实现对相应进程的实时阻断,包括:
解析所述第二访问参数,确定所述与所述访问请求相匹配的消息摘要算法的散列值;
根据相应的消息摘要算法阻断名单,对与所述访问请求相匹配的消息摘要算法的散列值进行匹配处理;
根据所述访问请求相匹配的消息摘要算法的散列值的匹配结果,获取与所述访问请求相匹配的目标网页;或者,
对所述访问请求进行拦截。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
响应于所述与所述访问请求相匹配的消息摘要算法的散列值,触发相应的第三方验进程;
根据所述第三方验进程的验证结果,更新所述消息摘要算法阻断名单;
响应于所述第三方验进程的验证结果,获取与所述访问请求相匹配的目标网页;或者,
对所述访问请求进行拦截,并将所述拦截结果向所述终端发送。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当根据所述第二筛选处理确定所述访问请求的目标网页未出现在消息摘要算法阻断名单中时,触发对所述终端的当前用户信息进行验证;
当所述终端的当前用户信息通过验证时,获取与所述访问请求相匹配的目标网页,并将所述目标网页的信息保存在与当前用户相匹配的验证信息数据库中。
8.一种进程控制装置,其特征在于,所述装置包括:
信息传输模块,用于接收终端发送的访问请求;
信息处理模块,用于获取与所述访问请求相对应的第一访问参数;
所述信息处理模块,用于根据所述第一访问参数对所述访问请求进行第一筛选处理,以实现判断相应的进程是否在阻断名单中;
所述信息处理模块,用于获取与所述访问请求相对应的第二访问参数;
所述信息处理模块,用于根据所述第二访问参数对所述访问请求进行第二筛选处理,以实现对相应进程的实时阻断。
9.一种服务器,其特征在于,所述服务器包括:
存储器,用于存储可执行指令;
处理器,用于运行所述存储器存储的可执行指令时,实现权利要求1至7任一项所述的进程控制方法。
10.一种计算机可读存储介质,存储有可执行指令,其特征在于,所述可执行指令被处理器执行时实现权利要求1至7任一项所述的进程控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911001592.8A CN112769731B (zh) | 2019-10-21 | 2019-10-21 | 一种进程控制方法、装置、服务器及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911001592.8A CN112769731B (zh) | 2019-10-21 | 2019-10-21 | 一种进程控制方法、装置、服务器及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112769731A true CN112769731A (zh) | 2021-05-07 |
| CN112769731B CN112769731B (zh) | 2022-11-04 |
Family
ID=75691739
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911001592.8A Active CN112769731B (zh) | 2019-10-21 | 2019-10-21 | 一种进程控制方法、装置、服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112769731B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113486060A (zh) * | 2021-06-25 | 2021-10-08 | 青岛海尔科技有限公司 | 数据访问处理方法和装置、存储介质及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685312A (zh) * | 2013-12-26 | 2014-03-26 | 北京奇虎科技有限公司 | 一种检测钓鱼页面的方法及系统、客户端、服务器 |
| US20150281262A1 (en) * | 2012-11-07 | 2015-10-01 | Beijing Qihoo Technology Company Limited | Multi-core browser and method for intercepting malicious network address in multi-core browser |
| US20190158501A1 (en) * | 2017-11-21 | 2019-05-23 | T-Mobile Usa, Inc. | Adaptive greylist processing |
| CN110020239A (zh) * | 2017-09-20 | 2019-07-16 | 腾讯科技(深圳)有限公司 | 恶意资源转移网页识别方法及装置 |
| CN110232276A (zh) * | 2019-06-03 | 2019-09-13 | 浙江大华技术股份有限公司 | 一种程序运行的拦截方法、终端设备以及计算机存储介质 |
-
2019
- 2019-10-21 CN CN201911001592.8A patent/CN112769731B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150281262A1 (en) * | 2012-11-07 | 2015-10-01 | Beijing Qihoo Technology Company Limited | Multi-core browser and method for intercepting malicious network address in multi-core browser |
| CN103685312A (zh) * | 2013-12-26 | 2014-03-26 | 北京奇虎科技有限公司 | 一种检测钓鱼页面的方法及系统、客户端、服务器 |
| CN110020239A (zh) * | 2017-09-20 | 2019-07-16 | 腾讯科技(深圳)有限公司 | 恶意资源转移网页识别方法及装置 |
| US20190158501A1 (en) * | 2017-11-21 | 2019-05-23 | T-Mobile Usa, Inc. | Adaptive greylist processing |
| CN110232276A (zh) * | 2019-06-03 | 2019-09-13 | 浙江大华技术股份有限公司 | 一种程序运行的拦截方法、终端设备以及计算机存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113486060A (zh) * | 2021-06-25 | 2021-10-08 | 青岛海尔科技有限公司 | 数据访问处理方法和装置、存储介质及电子设备 |
| CN113486060B (zh) * | 2021-06-25 | 2023-06-16 | 青岛海尔科技有限公司 | 数据访问处理方法和装置、存储介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112769731B (zh) | 2022-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10298610B2 (en) | Efficient and secure user credential store for credentials enforcement using a firewall | |
| US10425387B2 (en) | Credentials enforcement using a firewall | |
| US11368490B2 (en) | Distributed cloud-based security systems and methods | |
| US11949656B2 (en) | Network traffic inspection | |
| US10958662B1 (en) | Access proxy platform | |
| US8850219B2 (en) | Secure communications | |
| US11457040B1 (en) | Reverse TCP/IP stack | |
| US8769128B2 (en) | Method for extranet security | |
| US9003186B2 (en) | HTTP authentication and authorization management | |
| US8656462B2 (en) | HTTP authentication and authorization management | |
| US8806201B2 (en) | HTTP authentication and authorization management | |
| Waked et al. | The sorry state of TLS security in enterprise interception appliances | |
| US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
| US20210136038A1 (en) | Method and system for web filtering implementation consisting of integrated web extension and connected hardware device | |
| CN112769731B (zh) | 一种进程控制方法、装置、服务器及存储介质 | |
| US20210400083A1 (en) | Method and system for privacy and security policy delivery | |
| KR20210068832A (ko) | 웹 기반 sql 툴을 이용한 접근 제어 시스템 및 방법 | |
| CN117155716B (zh) | 访问校验方法和装置、存储介质及电子设备 | |
| CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 | |
| CN115130116A (zh) | 业务资源访问方法、装置、设备、可读存储介质及系统 | |
| CN116938589A (zh) | 一种Hadoop分布式文件系统的服务访问白名单的方法及装置 | |
| CN114157503A (zh) | 访问请求的认证方法及装置、api网关设备、存储介质 | |
| CN116961967A (zh) | 数据处理方法、装置、计算机可读介质及电子设备 | |
| CN116032500A (zh) | 业务访问流量管控方法、装置、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40044547 Country of ref document: HK |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |