CN113923008B - 一种恶意网站拦截方法、装置、设备及存储介质 - Google Patents
一种恶意网站拦截方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113923008B CN113923008B CN202111162041.7A CN202111162041A CN113923008B CN 113923008 B CN113923008 B CN 113923008B CN 202111162041 A CN202111162041 A CN 202111162041A CN 113923008 B CN113923008 B CN 113923008B
- Authority
- CN
- China
- Prior art keywords
- target
- website
- interception
- application program
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 230000002159 abnormal effect Effects 0.000 claims abstract description 70
- 230000004044 response Effects 0.000 claims description 65
- 238000012545 processing Methods 0.000 claims description 27
- 238000001914 filtration Methods 0.000 claims description 8
- 230000008859 change Effects 0.000 claims description 3
- 238000004590 computer program Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 abstract description 18
- 230000006870 function Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000009877 rendering Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种恶意网站拦截方法、装置、设备及存储介质,应用于安装有零信任应用程序的用户终端,所述方法包括:响应于用户在目标应用程序中对目标网址的访问操作,生成目标DNS查询请求;通过拦截应用程序捕获所述目标DNS查询请求,并根据所述目标DNS查询请求识别所述目标网址是否为异常网址;根据识别结果,控制在所述目标应用程序中展示所述目标网址对应的网页内容;通过上述技术方案,优化了恶意网站拦截过程,提升了用户体验。
Description
技术领域
本申请实施例涉及网络技术领域,尤其涉及一种恶意网站拦截方法、装置、设备及存储介质。
背景技术
随着网络资源的爆炸式增长,网络资源的海量性与复杂性使得对网络资源的管理变得越来越困难。如今,大量含有非法广告、病毒程序或木马程序等的恶意网站已经充斥着互联网。
现有技术中,iOS系统(iPhone Operation System,苹果系统)一般通过“客户端+域名服务器”的模式,实现设备级恶意网站拦截。具体实现过程包括:在客户端应用中使用NetworkExtension框架(iOS系统提供的用于配置虚拟专用网络和定制、扩展核心网络功能的框架)进行网络扩展插件注册,通过NetworkExtension框架中的NEDnsSettings类,配置设备全局请求域名服务器,所有设备DNS(Domain Name Server,域名服务器)查询请求均引流至远端域名服务器处理,远端域名服务器根据预置的拦截规则进行DNS查询请求拦截和放行。
然而,iOS系统通过“客户端+域名服务器”的模式,实现恶意网站拦截的过程中,存在如下问题:首先,远端必须部署并维护具有独立拦截处理能力的域名服务器,实际使用较为复杂;其次,在大量设备使用场景下,高并发请求可能存在并发性问题,导致延时响应,影响用户体验。因此,针对现有技术中存在的问题,亟待进行改善。
发明内容
本申请提供一种恶意网站拦截方法、装置、设备及存储介质,以优化恶意网站拦截过程,提升用户体验。
第一方面,本申请实施例提供了一种恶意网站拦截方法,应用于安装有拦截应用程序的用户终端,该方法包括:
响应于用户在目标应用程序中对目标网址的访问操作,生成目标DNS查询请求;
通过拦截应用程序捕获所述目标DNS查询请求,并根据所述目标DNS查询请求识别所述目标网址是否为异常网址;
根据识别结果,控制在所述目标应用程序中展示所述目标网址对应的网页内容。
第二方面,本申请实施例提供了一种恶意网站拦截装置,配置于安装有拦截应用程序的用户终端中,该装置包括:
访问请求生成模块,用于响应于用户在目标应用程序中对目标网址的访问操作,生成目标DNS查询请求;
恶意网站识别模块,用于通过拦截应用程序捕获所述目标DNS查询请求,并根据所述目标DNS查询请求识别所述目标网址是否为异常网址;
控制展示模块,用于根据识别结果,控制在所述目标应用程序中展示所述目标网址对应的网页内容。
第三方面,本申请实施例还提供了一种电子设备,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面实施例所提供的任意一种恶意网站拦截方法。
第四方面,本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面实施例所提供的任意一种恶意网站拦截方法。
本申请实施例应用于安装有拦截应用程序的用户终端,通过用户终端响应于用户在目标应用程序中对目标网址的访问操作,生成目标DNS查询请求;通过拦截应用程序捕获所述目标DNS查询请求,并根据所述目标DNS查询请求识别所述目标网址是否为异常网址;根据识别结果,控制在所述目标应用程序中展示所述目标网址对应的网页内容。通过上述技术方案,基于用户终端中预先安装的拦截应用程序,根据目标DNS查询请求,识别出了目标网址是否为异常网址,实现了在用户终端设备中对异常网址的识别,使得远端无需部署并维护具有独立拦截处理能力的域名服务器;同时,由于用户终端设备自身就可以实现对异常网址的识别,也就不存在多个用户终端设备同时向远端域名服务器发起拦截处理请求,导致出现并发性问题带来延时响应,优化了恶意网站拦截过程,提升了用户体验。
附图说明
图1是本申请实施例一提供的一种恶意网站拦截方法的流程图;
图2是本申请实施例二提供的一种恶意网站拦截方法的流程图;
图3是本申请实施例三提供的一种恶意网站拦截方法的流程图;
图4是本申请实施例三提供的一种拦截应用程序的结构示意图;
图5是本申请实施例四提供的一种恶意网站拦截装置的示意图;
图6是本申请实施例五提供的一种电子设备的示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本申请,而非对本申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本申请相关的部分而非全部结构。
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各步骤描述成顺序的处理,但是其中的许多步骤可以被并行地、并发地或者同时实施。此外,各步骤的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
实施例一
图1为本申请实施例一提供的一种恶意网站拦截方法的流程图。本申请实施例可适用于对用户终端中的恶意网站进行拦截的情况。该方法可以由一种恶意网站拦截装置来执行,该装置配置于安装有拦截应用程序的用户终端中,可以由软件和/或硬件的方式实现,并具体配置于电子设备中,该电子设备可以是移动终端或固定终端。
参见图1,本申请实施例提供的恶意网站拦截方法,应用于安装有拦截应用程序的用户终端,包括:
S110、响应于用户在目标应用程序中对目标网址的访问操作,生成目标DNS查询请求。
其中,目标应用程序可以是用户终端中的浏览器应用程序或者是其他可以用于进行网页加载的应用程序。根据用户的浏览需求,用户可以在目标应用程序中输入目标网址,以实现对目标网址对应的目标网站的加载。
本实施例中,当用户在目标应用程序中触发对目标网址的访问操作(如点击操作)时,会生成目标DNS查询请求,而目标DNS查询请求用于确定网页资源所在的网页服务器的IP(Internet Protocol,网络之间互连的协议)地址,通过网页服务器的IP地址,用户终端可以找到对应的网页服务器,从网页服务器中获取网页资源。
目标DNS查询请求包括目标物理地址、源物理地址和请求域名等信息。
S120、通过拦截应用程序捕获目标DNS查询请求,并根据目标DNS查询请求识别目标网址是否为异常网址。
其中,拦截应用程序基于苹果系统NetworkExtension框架进行开发得到。
本实施例中,用户终端需要预先安装拦截应用程序,而拦截应用程序是指具有特定功能的应用程序,拦截应用程序可以根据目标DNS查询请求,实现对目标网址是否为异常网址的识别判断功能。
需要说明的是,在拦截应用程序工作时,拦截应用程序并不会对用户终端操作系统中的其他网络请求造成影响,兼顾了安全性和效率。
S130、根据识别结果,控制在目标应用程序中展示目标网址对应的网页内容。
其中,识别结果包括目标网址为异常网址和目标网址为正常网址。
本实施例中,在确定目标网址为异常网址时,可以在目标应用程序中不展示目标网址对应的网页内容,而是展示其他预先设定的网页内容;在确定目标网址为正常网址时,可以在目标应用程序中展示目标网址对应的网页内容。
可以理解的是,根据识别结果,对网页内容进行控制展示,实现了对恶意网站的拦截,阻止和屏蔽了非法网址(含有病毒程序或木马程序等)和运营商劫持广告等。
本申请实施例应用于安装有拦截应用程序的用户终端,通过用户终端响应于用户在目标应用程序中对目标网址的访问操作,生成目标DNS查询请求;通过拦截应用程序捕获所述目标DNS查询请求,并根据所述目标DNS查询请求识别所述目标网址是否为异常网址;根据识别结果,控制在所述目标应用程序中展示所述目标网址对应的网页内容。通过上述技术方案,基于用户终端中预先安装的拦截应用程序,根据目标DNS查询请求,识别出了目标网址是否为异常网址,实现了在用户终端设备中对异常网址的识别,使得远端无需部署并维护具有独立拦截处理能力的域名服务器;同时,由于用户终端设备自身就可以实现对异常网址的识别,也就不存在多个用户终端设备同时向远端域名服务器发起拦截处理请求,导致出现并发性问题带来延时响应,优化了恶意网站拦截过程,提升了用户体验。
实施例二
图2为本申请实施例二提供的一种恶意网站拦截方法的流程图,本实施例是在上述实施例的基础上,对上述方案的优化。
进一步地,将操作“通过拦截应用程序捕获所述目标DNS查询请求,并根据所述目标DNS查询请求识别所述目标网址是否为异常网址”细化为“通过所述拦截应用程序捕获所述目标DNS查询请求,并解析所述目标DNS查询请求中的请求IP包,得到所述目标网址的目标域名;通过所述拦截应用程序根据所述目标域名,识别所述目标网址是否为异常网址”,以完善异常网址的识别过程。
其中与上述实施例相同或相应的术语的解释在此不再赘述。
参见图2,本实施例提供的恶意网站拦截方法,包括:
S210、响应于用户在目标应用程序中对目标网址的访问操作,生成目标DNS查询请求。
S220、通过拦截应用程序捕获目标DNS查询请求,并解析目标DNS查询请求中的请求IP包,得到目标网址的目标域名。
其中,请求IP包是指包括域名信息的数据包。
通常,一个目标DNS查询请求中包括多个字节信息,通过对DNS查询请求中固定位置处的字节信息进行解析,就可以解析出目标网址的目标域名。其中,固定位置处也即请求IP包所在的位置处。
例如,假设某一目标DNS查询请求中包括如下字节信息“21FE0100000100000000000003777777036368640365647502636E0000010001”,其中,根据ASCII码对照表可知,字节信息“03777777036368640365647502636E00”就表示目标域名为“www.chd.edu.cn”。
可选地,通过所述拦截应用程序中的插件控制模块,响应于用户的插件控制操作,生成控制指令;若所述控制指令为开启指令,则触发执行目标DNS查询请求的捕获操作。
本实施例中,插件控制操作可以基于拦截应用程序用户界面中的控制按钮进行实现,当控制按钮处于开启状态时,就可以生成开启指令;当控制按钮处于关闭状态时,就可以生成关闭指令。若所述控制指令为关闭指令,则不会触发执行目标DNS查询请求的捕获操作。
可以理解的是,基于拦截应用程序中的插件控制模块,可以实现对目标DNS查询请求的控制捕获操作,更加智能,方便用户管理。
可选地,所述通过所述拦截应用程序捕获所述目标DNS查询请求,并解析所述目标DNS查询请求中的请求IP包,得到所述目标网址的目标域名,包括:通过所述拦截应用程序中的插件设置模块将所述目标DNS查询请求引流至预设虚拟网卡;通过所述预设虚拟网卡将所述目标DNS查询请求中的请求IP包转发至所述拦截应用程序的IP包处理模块;通过所述解析所述请求IP包,得到所述目标域名。
具体地,所述通过所述拦截应用程序中的插件设置模块将所述目标DNS查询请求引流至预设虚拟网卡,包括:通过NEDNSSettings类中的servers字段配置域名服务器为指定虚拟IP(如:10.0.0.0)地址、通过NEDNSSettings类中的matchDomains字段设置DNS查询请求全部引流、以及通过NEIPv4Settings类将虚拟IP地址设置到引流地址列表中。
本实施例中,基于iOS系统提供的NetworkExtension框架,可以将终端系统的DNS查询请求引流至指定虚拟IP地址,并将该IP网络流量引至IP包处理模块中,在IP包处理模块中对目标DNS查询请求中的请求IP包进行解析,得到目标网址的目标域名。
可以理解的是,通过拦截应用程序的IP包处理模块,对DNS查询请求中的IP包进行智能定向解析,有效识别出了目标网址的目标域名,可以为后续确定目标域名是否是异常网址提供数据基础。
S230、通过拦截应用程序根据目标域名,识别目标网址是否为异常网址。
本实施例中,可以由拦截应用程序本身根据目标域名,来识别目标网址是否为异常网址。
当然,也可以由拦截应用程序中具有特定识别功能的模块,根据目标域名,来识别目标网址是否为异常网址。
可选地,所述通过所述拦截应用程序根据所述目标域名,识别所述目标网址是否为异常网址,包括:通过所述拦截应用程序中的规则过滤模块,基于所述目标域名和预设异常网址域名列表,识别所述目标网址是否为异常网址。
其中,规则过滤模块中存储有预设异常网址域名列表,预设异常网址域名列表包括预先确定的恶意网站对应的恶意域名。
可以理解的是,通过按照不同的功能模块来开发拦截应用程序,可以便于对拦截应用程序中的各功能模块进行管理和维护。
可选地,通过所述拦截应用程序中的规则获取模块,响应于用户的规则设置操作,生成所述预设异常网址域名列表。
具体地,用户可以在拦截应用程序中进行规则设置操作,也可以通过远程服务器操作,将规则设置操作发送给拦截应用程序,实现对预设异常网址域名列表的生成。
可以理解的是,通过响应于用户的规则设置操作,可以实现根据实际需求对预设异常网址域名列表的更新和完善,确保了预设异常网址域名列表的准确性和全面性。
可选地,所述通过所述拦截应用程序中的规则过滤模块,基于所述目标域名和预设异常网址域名列表,识别所述目标网址是否为异常网址,包括:基于所述拦截网络插件中的规则过滤模块,采用预设域名匹配算法,将所述目标域名与所述预设异常网址域名列表中每一个恶意域名进行匹配;若所述预设异常网址域名列表中存在恶意域名与所述目标域名匹配成功,则确定所述目标网址为异常网址。
其中,预设域名匹配算法可以是精确域名匹配算法和/或通配符域名匹配算法。匹配成功可以是恶意域名与目标域名的匹配度达到预设匹配度阈值,如99%。
本实施例中,可以根据实际需求,选取合适的域名匹配算法,当然,也可以基于两种不同类型的域名匹配算法确定匹配结果。
例如,精确域名匹配可以基于目标域名进行全匹配,如采用“www.baidu.com”进行匹配;通配符域名匹配可以基于目标域名的部分内容进行匹配,如可以采用“*.baidu.com”进行匹配。
本实施例中,在规则过滤模块中进行恶意网站规则匹配,根据匹配结果进行恶意网站拦截及正常请求放行。
可以理解的是,在确定目标网址为异常网址的情况下,可以对目标网址进行拦截,以免在用户终端的目标应用程序中加载含有非法广告、病毒程序或木马程序的恶意网站,对用户终端造成威胁。
S240、根据识别结果,控制在目标应用程序中展示目标网址对应的网页内容。
本申请实施例在上述实施例的基础上,对异常网址的识别过程进行了完善,通过所述拦截应用程序捕获所述目标DNS查询请求,并解析所述目标DNS查询请求中的请求IP包,得到所述目标网址的目标域名;通过所述拦截应用程序根据所述目标域名,识别所述目标网址是否为异常网址。通过上述技术方案,基于用户终端中预先安装的拦截应用程序,根据确定的目标网址的目标域名,对目标网址是否为异常网址进行了准确识别,实现了在用户终端设备中对异常网址的识别,使得远端无需部署并维护具有独立拦截处理能力的域名服务器;同时,由于用户终端设备自身就可以实现对异常网址的识别,也就不存在多个用户终端设备同时向远端域名服务器发起拦截处理请求,导致出现并发性问题带来延时响应,优化了恶意网站拦截过程,提升了用户体验。
实施例三
图3为本申请实施例三提供的一种恶意网站拦截方法的流程图,本实施例是在上述实施例的基础上,对上述方案的优化。
进一步地,将操作“根据识别结果,控制在所述目标应用程序中展示所述目标网址对应的网页内容”细化为“根据识别结果,确定待展示内容的回应IP包;将所述回应IP包发送至操作系统,并通过操作系统向所述目标应用程序反馈所述回应IP包,用于展示所述待展示内容”,以完善对目标网址对应网页内容的控制展示过程。
其中与上述实施例相同或相应的术语的解释在此不再赘述。
参见图3,本实施例提供的恶意网站拦截方法,包括:
S310、响应于用户在目标应用程序中对目标网址的访问操作,生成目标DNS查询请求。
S320、通过拦截应用程序捕获目标DNS查询请求,并根据目标DNS查询请求识别目标网址是否为异常网址。
S330、根据识别结果,确定待展示内容的回应IP包。
其中,待展示内容的回应IP包包括网页服务器的IP地址,在确定出网页服务器的IP地址之后,可以从网页服务器中获取页面资源,用于渲染展示页面。
本实施例中,基于对目标网址的不同识别结果(包括异常网址和正常网址),可以对应获取到不同的回应IP包。
可选地,所述根据识别结果,确定待展示内容的回应IP包,包括:若识别所述目标网址为异常网址,则根据预设告警页的IP地址,确定所述回应IP包;若识别所述目标网址为正常网址,则根据所述目标DNS查询请求和当前域名服务器,确定所述回应IP包。
具体地,在确认目标网址为异常网址的情况下,可以根据预设告警页的IP地址,构建所述回应IP包,通过回应包中的预设告警页的IP地址,可以从预先指定的网页服务器中获取网页资源,实现对警告页面的展示,如告警页面的内容可以是“你访问的目标网址存在危险!”+“目标网址”;在确认目标网址为正常网址的情况下,可以基于当前域名服务器,通过域名解析方式,确定目标DNS查询请求对应的IP地址,并构建回应IP包。
其中,当前域名服务器中包括域名和IP地址相互映射的一个分布式数据库。当前域名服务器可以接收目标DNS查询请求,并反馈目标DNS查询请求对应的IP地址。
可以理解的是,为了实现对页面内容的智能可视化管理,可以根据对目标网址的不同识别结果,构建不同的回应IP包。
可选地,在监测到所述用户终端的当前网络发生变化时,基于所述拦截应用程序,确定与所述用户终端对应的最新的域名服务器,并基于所述最新的域名服务器,更新所述当前域名服务器。
其中,最新的域名服务器也即最新的域名服务器地址,当前域名服务器也即当前域名服务器地址。
具体地,拦截应用程序注册设备网络状态监听,当监听到用户终端设备的网络发送变化时,如用户终端的网络从运营商网络转到Wi-Fi(Wireless Fidelity,无线保真)网络,拦截应用程序可以调用res_ninit()函数和res_getservers()函数获取终端设备最新的域名服务器(也即域名服务器地址),并基于所述最新的域名服务器,更新所述当前域名服务器。
可以理解的是,在用户终端的当前网络发生变化时,终端设备的域名服务器地址就会发生变化,通过对域名服务器地址进行动态监听,可以确保域名的成功解析,避免域名解析出错。
可选地,所述根据预设告警页的IP地址,确定所述回应IP包,包括:通过所述拦截应用程序中的IP包处理模块,将所述请求IP包中的目标域名,替换为所述预设告警页的IP地址对应域名,确定所述回应IP包。
具体地,在将请求IP包中的目标域名进行替换后,可以基于该请求包构建DNS查询请求,确定该DNS查询请求对应的IP地址,并根据该IP地址构建回应IP包。
可选地,所述根据所述目标DNS查询请求和当前域名服务器,确定所述回应IP包,包括:通过所述拦截应用程序中的DNS代理模块根据所述目标DNS查询请求,向所述当前域名服务器查询所述目标网址对应的IP地址,并根据所述目标网址对应的IP地址,确定所述回应IP包。
具体地,拦截应用程序中的DNS代理模块可以向获取的终端设备的当前域名服务器发送DNS查询请求,在DNS查询成功时,可以将DNS查询结果返回给拦截应用程序。
在一些实施例中,DNS代理模块进行域名查询的工作过程如下:根据目标DNS查询请求,使用UDP协议(User Datagram Protocol,用户数据报协议)向系统当前域名服务器发送域名查询请求;监听当前域名服务器回应,若收到域名查询结果,则根据请求IP包及回应数据包,组装回应IP包;将组装好的回应IP包写入虚拟网卡文件句柄中;虚拟网卡回传数据至终端系统目标DNS查询请求响应;终端系统接收到目标DNS查询请求响应,并把查询结果返回至目标应用程序(如浏览器);目标应用程序根据获取的IP地址,获取需要查看的网页资源。
本实施例中,通过把拦截应用程序分成各个独立的功能模块(包括DNS代理模块和IP包处理模块等),每个功能模块单独实现特定功能,可以便于管理,方便每个单独模块功能调试和升级。
参见图4示例性给出的一种拦截应用程序的结构示意图,拦截应用程序由应用层和插件层组成,应用层包括规则获取模块和插件控制模块,插件层包括插件设置模块、IP包处理模块、规则过滤模块和DNS代理模块。其中,应用层和插件层可以根据实际需求进行数据交互。
S340、将回应IP包发送至操作系统,并通过操作系统向目标应用程序反馈回应IP包,用于展示待展示内容。
具体地,在用户终端的操作系统获取到回应包之后,可以通过操作系统向目标应用程序反馈回应IP包;目标应用程序在接收到回应包之后,可以根据回应IP包中的IP地址,从对应的网页服务器中获取页面资源,并根据页面资源进行待展示内容的渲染展示。
本申请实施例在上述实施例的基础上,对目标网址对应网页内容的控制展示过程进行了完善,通过根据识别结果,确定待展示内容的回应IP包;将所述回应IP包发送至操作系统,并通过操作系统向所述目标应用程序反馈所述回应IP包,用于展示所述待展示内容。通过上述技术方案,实现了根据对目标网址的不同识别结果,构建不同的回应IP包,根据对应的回应IP包,进行待展示内容的渲染展示,若为恶意网站,则展现告警页面,若为正常网站,则可正常访问,实现了对页面内容的智能可视化管理,优化了恶意网站拦截过程,提升了用户体验。
实施例四
图5是本申请实施例四提供的一种恶意网站拦截装置的结构示意图。参见图5,本申请实施例提供的一种恶意网站拦截装置,配置于安装有拦截应用程序的用户终端中,该装置包括:访问请求生成模块410、恶意网站识别模块420和控制展示模块430。
访问请求生成模块410,用于响应于用户在目标应用程序中对目标网址的访问操作,生成目标DNS查询请求;
恶意网站识别模块420,用于通过拦截应用程序捕获所述目标DNS查询请求,并根据所述目标DNS查询请求识别所述目标网址是否为异常网址;
控制展示模块430,用于根据识别结果,控制在所述目标应用程序中展示所述目标网址对应的网页内容。
本申请实施例应用于安装有拦截应用程序的用户终端,通过用户终端响应于用户在目标应用程序中对目标网址的访问操作,生成目标DNS查询请求;通过拦截应用程序捕获所述目标DNS查询请求,并根据所述目标DNS查询请求识别所述目标网址是否为异常网址;根据识别结果,控制在所述目标应用程序中展示所述目标网址对应的网页内容。通过上述技术方案,基于用户终端中预先安装的拦截应用程序,根据目标DNS查询请求,识别出了目标网址是否为异常网址,实现了在用户终端设备中对异常网址的识别,使得远端无需部署并维护具有独立拦截处理能力的域名服务器;同时,由于用户终端设备自身就可以实现对异常网址的识别,也就不存在多个用户终端设备同时向远端域名服务器发起拦截处理请求,导致出现并发性问题带来延时响应,优化了恶意网站拦截过程,提升了用户体验。
进一步地,所述恶意网站识别模块420,包括:
域名解析子模块,用于通过所述拦截应用程序捕获所述目标DNS查询请求,并解析所述目标DNS查询请求中的请求IP包,得到所述目标网址的目标域名;
异常网址识别子模块,用于通过所述拦截应用程序根据所述目标域名,识别所述目标网址是否为异常网址。
进一步地,所述域名解析子模块,包括:
请求引流单元,用于通过所述拦截应用程序中的插件设置模块将所述目标DNS查询请求引流至预设虚拟网卡;
请求转发单元,用于通过所述预设虚拟网卡将所述目标DNS查询请求中的请求IP包转发至所述拦截应用程序的IP包处理模块;
域名解析单元,用于通过所述IP包处理模块解析所述请求IP包,得到所述目标域名。
进一步地,所述异常网址识别子模块,包括:
异常网址识别单元,用于通过所述拦截应用程序中的规则过滤模块,基于所述目标域名和预设异常网址域名列表,识别所述目标网址是否为异常网址。
进一步地,所述装置还包括:
异常网址列表生成单元,用于通过所述拦截应用程序中的规则获取模块,响应于用户的规则设置操作,生成所述预设异常网址域名列表。
进一步地,所述装置还包括:
控制指令生成子模块,用于通过所述拦截应用程序中的插件控制模块,响应于用户的插件控制操作,生成控制指令;
捕获操作触发子模块,用于若所述控制指令为开启指令,则触发执行目标DNS查询请求的捕获操作。
进一步地,所述控制展示模块430,包括:
回应包确定子模块,用于根据识别结果,确定待展示内容的回应IP包;
控制展示子模块,用于将所述回应IP包发送至操作系统,并通过操作系统向所述目标应用程序反馈所述回应IP包,用于展示所述待展示内容。
进一步地,所述回应包确定子模块,包括:
告警回应包确定单元,用于若识别所述目标网址为异常网址,则根据预设告警页的IP地址,确定所述回应IP包;
正常回应包确定单元,用于若识别所述目标网址为正常网址,则根据所述目标DNS查询请求和当前域名服务器,确定所述回应IP包。
进一步地,所述装置还包括:
域名服务器更新单元,用于在监测到所述用户终端的当前网络发生变化时,基于所述拦截应用程序,确定与所述用户终端对应的最新的域名服务器,并基于所述最新的域名服务器,更新所述当前域名服务器。
进一步地,所述告警回应包确定单元,包括:
告警回应包确定子单元,用于通过所述拦截应用程序中的IP包处理模块,将所述请求IP包中的目标域名,替换为所述预设告警页的IP地址对应域名,确定所述回应IP包。
进一步地,所述正常回应包确定单元,包括:
正常回应包确定子单元,用于通过所述拦截应用程序中的DNS代理模块根据所述目标DNS查询请求,向所述当前域名服务器查询所述目标网址对应的IP地址,并根据所述目标网址对应的IP地址,确定所述回应IP包。
本申请实施例所提供的恶意网站拦截装置可执行本申请任意实施例所提供的恶意网站拦截方法,具备执行方法相应的功能模块和有益效果。
实施例五
图6是本申请实施例五提供的一种电子设备的结构图。图6示出了适于用来实现本申请实施方式的示例性电子设备512的框图。图6显示的电子设备512仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图6所示,电子设备512以通用计算设备的形式表现。电子设备512的组件可以包括但不限于:一个或者多个处理器或者处理单元516,系统存储器528,连接不同系统组件(包括系统存储器528和处理单元516)的总线518。
总线518表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MCA)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
电子设备512典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备512访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器528可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)530和/或高速缓存存储器532。电子设备512可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统534可以用于读写不可移动的、非易失性磁介质(图6未显示,通常称为“硬盘驱动器”)。尽管图6中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线518相连。系统存储器528可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本申请各实施例的功能。
具有一组(至少一个)程序模块542的程序/实用工具540,可以存储在例如系统存储器528中,这样的程序模块542包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块542通常执行本申请所描述的实施例中的功能和/或方法。
电子设备512也可以与一个或多个外部设备514(例如键盘、指向设备、显示器524等)通信,还可与一个或者多个使得用户能与该电子设备512交互的设备通信,和/或与使得该电子设备512能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口522进行。并且,电子设备512还可以通过网络适配器520与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器520通过总线518与电子设备512的其它模块通信。应当明白,尽管图6中未示出,可以结合电子设备512使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元516通过运行存储在系统存储器528中的多个程序中其他程序的至少一个,从而执行各种功能应用以及数据处理,例如实现本申请实施例所提供的任意一种恶意网站拦截方法。
实施例六
本申请实施例六还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本申请任一实施例所提供的一种恶意网站拦截方法,应用于安装有拦截应用程序的用户终端,该方法包括:响应于用户在目标应用程序中对目标网址的访问操作,生成目标DNS查询请求;通过拦截应用程序捕获所述目标DNS查询请求,并根据所述目标DNS查询请求识别所述目标网址是否为异常网址;根据识别结果,控制在所述目标应用程序中展示所述目标网址对应的网页内容。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本申请可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
值得注意的是,上述恶意网站拦截装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。
注意,上述仅为本申请的较佳实施例及所运用技术原理。本领域技术人员会理解,本申请不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本申请的保护范围。因此,虽然通过以上实施例对本申请进行了较为详细的说明,但是本申请不仅仅限于以上实施例,在不脱离本申请构思的情况下,还可以包括更多其他等效实施例,而本申请的范围由所附的权利要求范围决定。
Claims (11)
1.一种恶意网站拦截方法,其特征在于,应用于安装有拦截应用程序的用户终端,包括:
响应于用户在目标应用程序中对目标网址的访问操作,生成目标DNS查询请求;
通过拦截应用程序捕获所述目标DNS查询请求,并根据所述目标DNS查询请求识别所述目标网址是否为异常网址;
根据识别结果,控制在所述目标应用程序中展示所述目标网址对应的网页内容;
所述方法还包括:
通过所述拦截应用程序中的插件控制模块,响应于用户的插件控制操作,生成控制指令;
若所述控制指令为开启指令,则触发执行目标DNS查询请求的捕获操作。
2.根据权利要求1所述的方法,其特征在于,所述通过拦截应用程序捕获所述目标DNS查询请求,并根据所述目标DNS查询请求识别所述目标网址是否为异常网址,包括:
通过所述拦截应用程序捕获所述目标DNS查询请求,并解析所述目标DNS查询请求中的请求IP包,得到所述目标网址的目标域名;
通过所述拦截应用程序根据所述目标域名,识别所述目标网址是否为异常网址。
3.根据权利要求2所述的方法,其特征在于,所述通过所述拦截应用程序捕获所述目标DNS查询请求,并解析所述目标DNS查询请求中的请求IP包,得到所述目标网址的目标域名,包括:
通过所述拦截应用程序中的插件设置模块将所述目标DNS查询请求引流至预设虚拟网卡;
通过所述预设虚拟网卡将所述目标DNS查询请求中的请求IP包转发至所述拦截应用程序的IP包处理模块;
通过所述IP包处理模块解析所述请求IP包,得到所述目标域名。
4.根据权利要求2所述的方法,其特征在于,所述通过所述拦截应用程序根据所述目标域名,识别所述目标网址是否为异常网址,包括:
通过所述拦截应用程序中的规则过滤模块,基于所述目标域名和预设异常网址域名列表,识别所述目标网址是否为异常网址。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
通过所述拦截应用程序中的规则获取模块,响应于用户的规则设置操作,生成所述预设异常网址域名列表。
6.根据权利要求1-4任一项所述的方法,其特征在于,所述根据识别结果,控制在所述目标应用程序中展示所述目标网址对应的网页内容,包括:
根据识别结果,确定待展示内容的回应IP包;
将所述回应IP包发送至操作系统,并通过操作系统向所述目标应用程序反馈所述回应IP包,用于展示所述待展示内容。
7.根据权利要求6所述的方法,其特征在于,所述根据识别结果,确定待展示内容的回应IP包,包括:
若识别所述目标网址为异常网址,则根据预设告警页的IP地址,确定所述回应IP包;
若识别所述目标网址为正常网址,则根据所述目标DNS查询请求和当前域名服务器,确定所述回应IP包。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
在监测到所述用户终端的当前网络发生变化时,基于所述拦截应用程序,确定与所述用户终端对应的最新的域名服务器,并基于所述最新的域名服务器,更新所述当前域名服务器。
9.一种恶意网站拦截装置,其特征在于,配置于安装有拦截应用程序的用户终端中,包括:
访问请求生成模块,用于响应于用户在目标应用程序中对目标网址的访问操作,生成目标DNS查询请求;
恶意网站识别模块,用于通过拦截应用程序捕获所述目标DNS查询请求,并根据所述目标DNS查询请求识别所述目标网址是否为异常网址;
控制展示模块,用于根据识别结果,控制在所述目标应用程序中展示所述目标网址对应的网页内容;
所述装置还包括:
控制指令生成子模块,用于通过所述拦截应用程序中的插件控制模块,响应于用户的插件控制操作,生成控制指令;
捕获操作触发子模块,用于若所述控制指令为开启指令,则触发执行目标DNS查询请求的捕获操作。
10.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-8中任一项所述的一种恶意网站拦截方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-8中任一项所述的一种恶意网站拦截方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111162041.7A CN113923008B (zh) | 2021-09-30 | 2021-09-30 | 一种恶意网站拦截方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111162041.7A CN113923008B (zh) | 2021-09-30 | 2021-09-30 | 一种恶意网站拦截方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113923008A CN113923008A (zh) | 2022-01-11 |
CN113923008B true CN113923008B (zh) | 2024-04-26 |
Family
ID=79237549
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111162041.7A Active CN113923008B (zh) | 2021-09-30 | 2021-09-30 | 一种恶意网站拦截方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113923008B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114520766B (zh) * | 2022-04-21 | 2022-08-30 | 博为科技有限公司 | 一种路由器的联网控制方法及相关设备 |
CN115883220A (zh) * | 2022-12-05 | 2023-03-31 | 深圳安巽科技有限公司 | 一种基于路由器的网站安全访问方法、系统及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102932356A (zh) * | 2012-11-07 | 2013-02-13 | 北京奇虎科技有限公司 | 多核浏览器中恶意网址拦截方法和装置 |
CN102930211A (zh) * | 2012-11-07 | 2013-02-13 | 北京奇虎科技有限公司 | 一种多核浏览器中拦截恶意网址的方法和多核浏览器 |
CN105574146A (zh) * | 2015-12-15 | 2016-05-11 | 北京奇虎科技有限公司 | 网址拦截方法及装置 |
CN106936791A (zh) * | 2015-12-31 | 2017-07-07 | 阿里巴巴集团控股有限公司 | 拦截恶意网址访问的方法和装置 |
CN108282441A (zh) * | 2017-01-05 | 2018-07-13 | 中国移动通信集团辽宁有限公司 | 广告拦截方法及装置 |
CN108737327A (zh) * | 2017-04-14 | 2018-11-02 | 阿里巴巴集团控股有限公司 | 拦截恶意网站的方法、装置、系统、处理器和存储器 |
CN109471992A (zh) * | 2018-11-19 | 2019-03-15 | 万兴科技股份有限公司 | 网页拦截方法、装置、计算机设备及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104125209B (zh) * | 2014-01-03 | 2015-09-09 | 腾讯科技(深圳)有限公司 | 恶意网址提示方法和路由器 |
-
2021
- 2021-09-30 CN CN202111162041.7A patent/CN113923008B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102932356A (zh) * | 2012-11-07 | 2013-02-13 | 北京奇虎科技有限公司 | 多核浏览器中恶意网址拦截方法和装置 |
CN102930211A (zh) * | 2012-11-07 | 2013-02-13 | 北京奇虎科技有限公司 | 一种多核浏览器中拦截恶意网址的方法和多核浏览器 |
CN105574146A (zh) * | 2015-12-15 | 2016-05-11 | 北京奇虎科技有限公司 | 网址拦截方法及装置 |
CN106936791A (zh) * | 2015-12-31 | 2017-07-07 | 阿里巴巴集团控股有限公司 | 拦截恶意网址访问的方法和装置 |
CN108282441A (zh) * | 2017-01-05 | 2018-07-13 | 中国移动通信集团辽宁有限公司 | 广告拦截方法及装置 |
CN108737327A (zh) * | 2017-04-14 | 2018-11-02 | 阿里巴巴集团控股有限公司 | 拦截恶意网站的方法、装置、系统、处理器和存储器 |
CN109471992A (zh) * | 2018-11-19 | 2019-03-15 | 万兴科技股份有限公司 | 网页拦截方法、装置、计算机设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113923008A (zh) | 2022-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108965203B (zh) | 一种资源访问方法及服务器 | |
CN110062043B (zh) | 服务治理方法、服务治理装置、存储介质及电子设备 | |
CN109543121B (zh) | 一种外链url资源调用方法及装置 | |
CN110636115B (zh) | 跨云服务调用的处理方法、网关服务器及请求者服务器 | |
CN106936791B (zh) | 拦截恶意网址访问的方法和装置 | |
CN107635027B (zh) | 一种域名解析方法、介质、装置和计算设备 | |
CN113923008B (zh) | 一种恶意网站拦截方法、装置、设备及存储介质 | |
US20150271202A1 (en) | Method, device, and system for detecting link layer hijacking, user equipment, and analyzing server | |
CN108809890B (zh) | 漏洞检测方法、测试服务器及客户端 | |
CN102137059A (zh) | 一种恶意访问的拦截方法和系统 | |
CN109802919B (zh) | 一种web网页访问拦截方法及装置 | |
CN113014571B (zh) | 一种访问请求处理的方法、装置及存储介质 | |
CN110602270A (zh) | 域名解析方法、装置、计算机设备及存储介质 | |
CN113141405B (zh) | 服务访问方法、中间件系统、电子设备和存储介质 | |
CN112653618A (zh) | 微服务应用api端点的网关注册方法及装置 | |
CN113992382B (zh) | 业务数据处理方法、装置、电子设备及存储介质 | |
CN113873057A (zh) | 数据处理方法和装置 | |
CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
CN110177096B (zh) | 客户端认证方法、装置、介质和计算设备 | |
CN114301872B (zh) | 基于域名的访问方法及装置、电子设备、存储介质 | |
US11604877B1 (en) | Nested courses of action to support incident response in an information technology environment | |
CN115174367B (zh) | 一种业务系统边界确定方法、装置、电子设备及存储介质 | |
CN111385293A (zh) | 一种网络风险检测方法和装置 | |
CN110099096B (zh) | 应用程序配置方法、装置、计算机设备及存储介质 | |
KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |