CN113965385A - 一种异常网站的监控处理方法、装置、设备和介质 - Google Patents
一种异常网站的监控处理方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN113965385A CN113965385A CN202111241243.0A CN202111241243A CN113965385A CN 113965385 A CN113965385 A CN 113965385A CN 202111241243 A CN202111241243 A CN 202111241243A CN 113965385 A CN113965385 A CN 113965385A
- Authority
- CN
- China
- Prior art keywords
- website
- target
- browser client
- abnormal
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 113
- 238000012544 monitoring process Methods 0.000 title claims abstract description 53
- 238000003672 processing method Methods 0.000 title claims description 9
- 230000004044 response Effects 0.000 claims abstract description 86
- 238000000034 method Methods 0.000 claims abstract description 29
- 238000012545 processing Methods 0.000 claims abstract description 29
- 238000004891 communication Methods 0.000 claims description 11
- 238000012790 confirmation Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 6
- 238000007405 data analysis Methods 0.000 claims description 3
- 230000002547 anomalous effect Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 239000000284 extract Substances 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
本发明实施例公开了一种异常网站的监控处理方法、装置、设备和介质。该方法包括实时监控浏览器客户端的网站访问流量数据,并根据网站访问流量数据,还原得到浏览器客户端当前访问的目标网站的网站页面内容;根据所述网站页面内容,对所述目标网站进行异常网站识别;在确定所述目标网站为异常网站时,拦截所述浏览器客户端发送至所述目标网站的全部网站访问请求;构建与所述目标网站匹配的第一仿制响应数据包,并将第一仿制响应数据包发送至浏览器客户端,以阻止浏览器客户端继续访问所述目标网站。本发明实施例的技术方案提供了一种对异常网站进行监控处理的新方式,高效、准确的实现对异常网站的反制。
Description
技术领域
本发明实施例涉及信息安全技术领域,尤其涉及一种异常网站的监控处理方法、装置、设备和介质。
背景技术
目前各类诈骗网址层出不穷,用户时常会受到网络诈骗的骚扰或者侵害,为了防止用户收到网络诈骗的侵害,现有技术通常是利用人工“打电话”劝阻用户不要登录诈骗网站,或者是利用运营商的DNS(Domain Name System,域名系统)系统对用户访问的诈骗网址进行停止域名解析方式,实现用户访问诈骗网址反制。
发明人在实现本发明的过程中,发现现有技术存在如下缺陷:人工“打电话”劝阻方式,需要投入大量的劝阻工作人员,每个工作人员工作强度高、时效性差、保护的用户面较小;DNS系统反制方式只能针对域名级、无法针对诈骗网站的URL(uniform resourcelocator,统一资源定位符)进行反制,会造成正常网站被误封。
发明内容
本发明实施例提供一种异常网站的监控处理方法、装置、设备和介质,以提供一种对异常网站进行监控处理的新方式,高效、准确的实现对异常网站的反制。
第一方面,本发明实施例提供了一种异常网站的监控处理方法,其中,该方法包括:
实时监控浏览器客户端的网站访问流量数据,并根据网站访问流量数据,还原得到浏览器客户端当前访问的目标网站的网站页面内容;
根据所述网站页面内容,对所述目标网站进行异常网站识别;
在确定所述目标网站为异常网站时,拦截所述浏览器客户端发送至所述目标网站的全部网站访问请求;
构建与所述目标网站匹配的第一仿制响应数据包,并将第一仿制响应数据包发送至浏览器客户端,以阻止浏览器客户端继续访问所述目标网站。
第二方面,本发明实施例还提供了一种异常网站的监控处理装置,其中,该装置包括:
页面还原模块,用于实时监控浏览器客户端的网站访问流量数据,并根据网站访问流量数据,还原得到浏览器客户端当前访问的目标网站的网站页面内容;
网站识别模块,用于根据所述网站页面内容,对所述目标网站进行异常网站识别;
请求拦截模块,用于在确定所述目标网站为异常网站时,拦截所述浏览器客户端发送至所述目标网站的全部网站访问请求;
第一数据包发送模块,用于构建与所述目标网站匹配的第一仿制响应数据包,并将第一仿制响应数据包发送至浏览器客户端,以阻止浏览器客户端继续访问所述目标网站。
第三方面,本发明实施例还提供了一种计算机设备,其中,该计算机设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明任意实施例所述的一种异常网站的监控处理方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,其中,该计算机程序被处理器执行时实现如本发明任意实施例所述的一种异常网站的监控处理方法。
本发明通过实时监控浏览器客户端的网站访问流量数据,并根据网站访问流量数据,还原得到浏览器客户端当前访问的目标网站的网站页面内容;根据所述网站页面内容,对所述目标网站进行异常网站识别;在确定所述目标网站为异常网站时,拦截所述浏览器客户端发送至所述目标网站的全部网站访问请求;构建与所述目标网站匹配的第一仿制响应数据包,并将第一仿制响应数据包发送至浏览器客户端,以阻止浏览器客户端继续访问所述目标网站的技术手段,解决了现有人工劝阻和DNS系统反制方式存在的人员压力成本大和无法进行网址URL反制的问题,提供了一种对异常网站进行监控处理的新方式,在极大的减轻异常网站监控过程中的人力成本的基础上,高效、准确的实现对异常网站的反制。
附图说明
图1为本发明实施例一提供了一种异常网站的监控处理方法的流程图;
图2为本发明实施例一的技术方案所适用的一种异常网站的监控处理方法的场景示意图;
图3为本发明实施例二提供了一种异常网站的监控处理装置的结构示意图;
图4是本发明实施例三中提供了一种计算机设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种异常网站的监控处理方法的流程图,本实施例可适用于对用户访问的网站进行异常识别与异常处理的情况,该方法可以由异常网站的监控处理装置来执行,该装置可以采用软件和/或硬件的方式来实现。该装置可配置于具有数据处理功能的终端设备或者服务器中,该方法具体包括:
S110、实时监控浏览器客户端的网站访问流量数据,并根据网站访问流量数据,还原得到浏览器客户端当前访问的目标网站的网站页面内容。
其中,浏览器客户端可以是用户访问某个网站(或者说,获取某一个网站服务器中设定资源)所使用的客户端软件。例如,IE浏览器,网站访问流量数据可以是浏览器客户端与所访问网站在请求与响应过程中交互的各种数据。目标网站可以是浏览器客户端当前访问的网站。网站页面内容可以是目标网站中的一个或者多个页面中包括的具体内容信息,例如,页面中包括的文本、图片或者视频等信息。
在本发明的实施例中,异常网站的监控处理装置实时监控浏览器客户端访问目标网站时的的交互数据,提取出目标网站针对浏览器客户端请求访问某一个网页的请求数据所反馈的响应数据,基于该响应数据还原得到当前访问的目标网站的网站页面内容。
在本发明的一个可选实施例中,根据网站访问流量数据,还原得到浏览器客户端当前访问的目标网站的网站页面内容,可以包括:
对所述网站访问流量数据进行数据解析,获取所述网站访问流量数据所使用的网络通信协议;在所述网站访问流量数据中,获取从浏览器客户端指向目标网站的各请求数据包,以及从目标网站指向浏览器客户端的各响应数据包;按照所述网络通信协议,在各所述请求数据包中提取URL信息,并在各响应数据包中提取与所述URL信息匹配的目标响应数据包;在所述目标响应数据包中,提取至少一项网站页面内容描述信息;将各网站页面内容描述信息重新组装,得到浏览器客户端当前访问的目标网站的网站页面内容。
其中,网络通信协议可以包括TCP/IP协议或者HTTP协议等。
各请求数据包可以是浏览器客户端为查看目标网站的页面内容而向目标网站发送的请求信息。各响应数据包可以是目标网站对浏览器客户端所发送的请求的回应信息,可以是与各请求数据包一一对应。目标响应数据包可以是各响应数据包中与目标网站的网站页面内容相关的数据包,可以用于还原网站页面内容。网站页面内容描述信息可以是用于介绍网站页面内容的信息,例如,页面中包括的文本、图片或者视频等信息。
相应的,通过对在监控中获取到的网站访问流量数据进行解析,分析网站访问流量数据的网络通信协议,从而获取浏览器客户端向目标网站发送的各请求数据包与目标网站向浏览器客户端回应的各响应数据包,并根据各请求数据包中提取的URL信息,从各响应数据包中提取与所述URL信息匹配的目标响应数据包,将从目标响应数据包中提取的至少一项网站页面内容描述信息拼凑为一个完整的页面,实现重新组装,从而还原出浏览器客户端当前访问的目标网站的网站页面内容,以对目标网站进行监控处理。
S120、根据所述网站页面内容,对所述目标网站进行异常网站识别。
其中,异常网站可以是网站页面内容中含有非正常信息的网站。非正常信息可以指违法违规类型的信息,例如诈骗信息。
在还原得到目标网站的网站页面内容之后,可以进一步根据网站页面内容,判断目标网站是否属于异常网站。
在本发明的一个可选实施例中,根据所述网站页面内容,对所述目标网站进行异常网站识别,可以包括:对所述网站页面内容进行解析处理,得到与所述网站页面内容对应的网站页面源码;在所述网站页面源码中,提取至少一项页面源码特征;根据各所述页面源码特征,对所述目标网站进行异常网站识别。
其中,网站页面源码可以是目标网站的源代码。页面源码特征可以是当前网站页面源码中的一组可以实现特定功能的字符,可以用于构建目标网站。
异常网站的监控处理装置对还原的目标网站的网站页面内容进行深入分析处理,取得对应的网站页面源码,并提取至少一项页面源码特征分析是否属于异常的页面源码特征,从而根据分析结果判断目标网站是否属于异常网站。
在本发明的一个可选实施例中,在根据各所述页面源码特征,对所述目标网站进行异常网站识别,可以包括:
将各所述页面源码特征,与异常网站源码特征库进行比对,获取各所述页面源码特征匹配的异常网站源码的第一数量值;根据第一数量值,和/或第一数量值与页面源码特征的第二数量值之间的比值,对所述目标网站进行异常网站识别。
其中,异常网站源码特征库可以是基于已有的各类异常网站源码特征预先构建的包含多种异常网站源码特征的集合,异常网站源码特征库可以实时更新。第一数量值可以是网站页面源码的页面源码特征中的属于异常页面源码特征的数量值,可以用于表示网站页面源码的异常页面源码特征的数量多少。第二数量值可以是从网站页面源码中提取的页面源码特征的总的数量值。
相应的,将异常网站的监控处理装置从网站页面源码中提取至少一项页面源码特征与预先构建的异常网站源码特征库进行逐一比对,根据比对结果统计目标网站的网站页面源码中的异常页面源码特征数量值。从而仅根据获取的异常页面源码特征数量值进行异常网站的判断,仅根据异常页面源码特征数量值的占比值(也即第一数量值与页面源码特征的第二数量值之间的比值)进行异常网站的判断,以及同时根据异常页面源码特征数量值和异常页面源码特征数量值的占比值进行异常网站的判断。
示例性的,若异常页面源码特征数量值超过5个,则将目标网站确定为异常网站。若异常页面源码特征数量值的占比值超过1/5,则将目标网站确定为异常网站。若异常页面源码特征数量值超过5个且异常页面源码特征数量值的占比值超过1/5,则将目标网站确定为异常网站。
S130、在确定所述目标网站为异常网站时,拦截所述浏览器客户端发送至所述目标网站的全部网站访问请求。
其中,全部网站访问请求可以是,在异常网站的监控处理装置识别出目标网站是异常网站之后,浏览器客户端向目标网站发送的所有请求数据包。
在识别确认出目标网站属于异常网站后,可以阻断浏览器客户端与目标网站之间的通信,拦截浏览器客户端向目标网站发送的所有请求数据包,达到阻断浏览器客户端访问目标网站的目的。
S140、构建与所述目标网站匹配的第一仿制响应数据包,并将第一仿制响应数据包发送至浏览器客户端,以阻止浏览器客户端继续访问所述目标网站。
其中,第一仿制数据包可以是对目标网站所发送的数据包的仿制,通过使用该第一仿制响应数据包与浏览器客户端进行数据交互,以阻断浏览器客户端继续向该目标网站发送数据请求。
在本发明的实施例中,为阻止浏览器客户端继续访问属于异常网站的目标网站,自行构建仿制的数据包,响应浏览器客户端向目标网站发送的请求。
可选的,构建与所述目标网站匹配的第一仿制响应数据包,可以包括:
根据所述浏览器客户端的IP信息及预先设置的警示页面IP信息,生成与所述目标网站匹配的第一仿制响应数据包。
其中,预先设置的警示页面可以是预先构建的警示页面,用于阻断浏览器客户端继续访问目标网站,并警示浏览器客户端当前访问的目标网站属于异常网站。预先设置的警示页面可以包括访问诈骗告警页面或者空白页面。
在本实施例中,可以将浏览器客户端的IP信息作为第一仿制响应数据包的目的IP地址,将预先设置的警示页面IP信息作为第一仿制响应数据包的源IP地址,生成与目标网站匹配的第一仿制响应数据包,并发送给浏览器客户端。
相应的,在浏览器客户端获取该第一仿制响应数据包后,通过解析该第一仿制响应数据包中包括的源IP地址后,可以重定向至该警示页面进行用户提示,具体的,该警示页面可以通过弹窗的方式在浏览器客户端中进行展示,通过上述设置,可以断开从浏览器客户端指向目标网站的通信连接。
在本发明的一个可选实施例中,在拦截所述浏览器客户端发送至所述目标网站的全部网站访问请求之后,还可以包括:
构建与浏览器客户端匹配的第二仿制响应数据包,并将第二仿制响应数据包发送至目标网站,以阻止目标网站向浏览器客户端继续反馈网站响应数据包。
其中,第二仿制响应数据包可以是对浏览器客户端发送的数据包的仿制,通过使用该第二仿制响应数据包与目标网站进行数据交互,以阻断目标网站继续向该浏览器客户端反馈响应数据包。
具体的,构建与浏览器客户端匹配的第二仿制响应数据包,可以包括:
根据所述目标网站的IP信息及预先设置的确认信息,生成与所述浏览器客户端匹配的第二仿制响应数据包。
其中,预先设置的确认信息可以是预先构建的,该目标网站能够识别的确认信息,该确认信息用于向目标网站表明该浏览器客户端已经收到目标网站对浏览器客户端发送的响应数据包。在目标网站接收到该第二仿制响应数据包后,就不会再向浏览器发送新的响应数据包了,进而可以断开从目标网站指向浏览器客户端的通信连接。
具体的,可以将目标网站的IP信息作为第二仿制响应数据包的目的IP地址,将预先设置的确认信息作为第二仿制响应数据包的净载数据,生成与浏览器客户端匹配的第二仿制响应数据包,并发送给目标网站。
图2为本发明实施例一所适用的一种异常网站的监控处理方法的场景示意图。如图2所示,部署Web(World Wide Web,全球广域网)服务器,安装Web服务程序并部署诈骗告警页面或者空白页面,当用户使用浏览器客户端访问一个诈骗网站的过程中,该浏览器客户端会实时向该诈骗网站发送一个或者多个网站访问请求,而该诈骗网站会针对每个网站访问请求向用户反馈匹配的网站响应数据(一般为用户请求查看的网页),并在该网站响应数据中携带有各种诈骗信息。
相应的,可以将本发明实施例的方法配置在互联网诈骗监控反制设备(典型的,网络中充当中继设备的各种交换机或者服务器等)中,通过该互联网诈骗监控反制设备实时采集用户访问网站流量(也即,上述网站访问请求以及网站响应数据)、解析相关协议、还原用户访问的网站页面信息、解析网站页面源码并分析网站页面源码特征,确认网站页面源码中是否含有诈骗特征等方式,可以最终对该诈骗网站进行准确识别。在完成对该诈骗网站的确认后,分别伪造指向浏览器客户端和诈骗网站的数据包分别响应浏览器客户端和诈骗网站,通过发送指向浏览器客户端的伪造数据包,可以将用户访问引导至诈骗告警页面或者空白页面,实现阻断用户访问诈骗网站的目的,并优先可以对用户进行诈骗告警页面的弹窗提醒,告知其访问的网站属于诈骗网站,不要再继续访问,以免被诈骗,造成经济损失。
同时,通过发送指向诈骗网站的伪造数据包,可以向诈骗网站的服务器反馈浏览器客户端已收到诈骗网站服务器的响应数据包的确认信息,进而可以阻断诈骗网站继续向浏览器客户端继续推送诈骗信息。
本实施例的技术方案,通过实时监控浏览器客户端的网站访问流量数据,并根据网站访问流量数据,还原得到浏览器客户端当前访问的目标网站的网站页面内容;根据所述网站页面内容,对所述目标网站进行异常网站识别;在确定所述目标网站为异常网站时,拦截所述浏览器客户端发送至所述目标网站的全部网站访问请求;构建与所述目标网站匹配的第一仿制响应数据包,并将第一仿制响应数据包发送至浏览器客户端,以阻止浏览器客户端继续访问所述目标网站的技术手段,解决了现有人工劝阻和DNS系统反制方式存在的人员压力成本大和无法进行网址URL反制与弹窗提醒的问题,提供了一种对异常网站进行监控处理的新方式,在极大的减轻异常网站监控过程中的人力成本的基础上,高效、准确的实现对异常网站的反制。
实施例二
图3为本发明实施例二提供的一种异常网站的监控处理装置的结构示意图,该装置可执行本发明任意实施例所提供的异常网站监控处理方法,具备执行方法相应的功能模块和有益效果。该装置可以包括:页面还原模块210、网站识别模块220、请求拦截模块230和第一数据包发送模块240。
页面还原模块210,用于实时监控浏览器客户端的网站访问流量数据,并根据网站访问流量数据,还原得到浏览器客户端当前访问的目标网站的网站页面内容;
网站识别模块220,用于根据所述网站页面内容,对所述目标网站进行异常网站识别;
请求拦截模块230,用于在确定所述目标网站为异常网站时,拦截所述浏览器客户端发送至所述目标网站的全部网站访问请求;
第一数据包发送模块240,用于构建与所述目标网站匹配的第一仿制响应数据包,并将第一仿制响应数据包发送至浏览器客户端,以阻止浏览器客户端继续访问所述目标网站。
本实施例的技术方案,通过实时监控浏览器客户端的网站访问流量数据,并根据网站访问流量数据,还原得到浏览器客户端当前访问的目标网站的网站页面内容;根据所述网站页面内容,对所述目标网站进行异常网站识别;在确定所述目标网站为异常网站时,拦截所述浏览器客户端发送至所述目标网站的全部网站访问请求;构建与所述目标网站匹配的第一仿制响应数据包,并将第一仿制响应数据包发送至浏览器客户端,以阻止浏览器客户端继续访问所述目标网站的技术手段,解决了现有人工劝阻和DNS系统反制方式存在的人员压力成本大和无法进行网址URL反制与弹窗提醒的问题,提供了一种对异常网站进行监控处理的新方式,在极大的减轻异常网站监控过程中的人力成本的基础上,高效、准确的实现对异常网站的反制。
上述装置中,可选的是,页面还原模块210,可以包括:
协议获取单元,用于对所述网站访问流量数据进行数据解析,获取所述网站访问流量数据所使用的网络通信协议;
数据包获取单元,用于在所述网站访问流量数据中,获取从浏览器客户端指向目标网站的各请求数据包,以及从目标网站指向浏览器客户端的各响应数据包;
数据包提取单元,用于按照所述网络通信协议,在各所述请求数据包中提取URL信息,并在各响应数据包中提取与所述URL信息匹配的目标响应数据包;
信息提取单元,用于在所述目标响应数据包中,提取至少一项网站页面内容描述信息;
页面获取单元,用于将各网站页面内容描述信息重新组装,得到浏览器客户端当前访问的目标网站的网站页面内容。
上述装置中,可选的是,网站识别模块220,可以包括:
页面源码获取单元,用于对所述网站页面内容进行解析处理,得到与所述网站页面内容对应的网站页面源码;
特征提取单元,用于在所述网站页面源码中,提取至少一项页面源码特征;
网站识别单元,用于根据各所述页面源码特征,对所述目标网站进行异常网站识别。
上述装置中,可选的是,网站识别单元,可以进一步包括:
第一数量值获取子单元,用于将各所述页面源码特征,与异常网站源码特征库进行比对,获取各所述页面源码特征匹配的异常网站源码的第一数量值;
异常网站识别子单元,用于根据第一数量值,和/或第一数量值与页面源码特征的第二数量值之间的比值,对所述目标网站进行异常网站识别。
上述装置中,可选的是,第一数据包发送模块240,可以具体用于:
根据所述浏览器客户端的IP信息及预先设置的警示页面IP信息,生成与所述目标网站匹配的第一仿制响应数据包。
上述装置中,可选的是,还包括,第二数据包发送模块,可以具体用于:
构建与浏览器客户端匹配的第二仿制响应数据包,并将第二仿制响应数据包发送至目标网站,以阻止目标网站向浏览器客户端继续反馈网站响应数据包。
上述装置中,可选的是,第二数据包发送模块,可以具体用于:
根据所述目标网站的IP信息及预先设置的确认信息,生成与所述浏览器客户端匹配的第二仿制响应数据包。
实施例三
图4为本发明实施例三提供的一种计算机设备的结构示意图,如图4所示,该计算机设备包括处理器30、存储装置31、输入装置32和输出装置33;计算机设备中处理器30的数量可以是一个或多个,图4中以一个处理器30为例;计算机设备中的处理器30、存储装置31、输入装置32和输出装置33可以通过总线或其他方式连接,图4中以通过总线连接为例。
存储装置31作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的异常网站的监控处理方法对应的程序指令/模块(例如,异常网站的监控处理装置中的页面还原模块210、网站识别模块220、请求拦截模块230和第一数据包发送模块240)。处理器30通过运行存储在存储装置31中的软件程序、指令以及模块,从而执行计算机设备的各种功能应用以及数据处理,即实现上述的异常网站的监控处理方法,该方法包括:
实时监控浏览器客户端的网站访问流量数据,并根据网站访问流量数据,还原得到浏览器客户端当前访问的目标网站的网站页面内容;
根据所述网站页面内容,对所述目标网站进行异常网站识别;
在确定所述目标网站为异常网站时,拦截所述浏览器客户端发送至所述目标网站的全部网站访问请求;
构建与所述目标网站匹配的第一仿制响应数据包,并将第一仿制响应数据包发送至浏览器客户端,以阻止浏览器客户端继续访问所述目标网站。
存储装置31可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储装置31可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储装置31可进一步包括相对于处理器30远程设置的存储器,这些远程存储器可以通过网络连接至计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置32可用于接收输入的数字或字符信息,以及产生与计算机设备的用户设置以及功能控制有关的键信号输入。输出装置33可包括显示屏等显示设备。
实施例四
本发明实施例四还提供一种包含计算机可读存储介质,其上存储有计算机程序,所述计算机程序在由计算机处理器执行时用于执行一种异常网站的监控处理方法,该方法包括:
实时监控浏览器客户端的网站访问流量数据,并根据网站访问流量数据,还原得到浏览器客户端当前访问的目标网站的网站页面内容;
根据所述网站页面内容,对所述目标网站进行异常网站识别;
在确定所述目标网站为异常网站时,拦截所述浏览器客户端发送至所述目标网站的全部网站访问请求;
构建与所述目标网站匹配的第一仿制响应数据包,并将第一仿制响应数据包发送至浏览器客户端,以阻止浏览器客户端继续访问所述目标网站。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的异常网站的监控处理方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述搜索装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种异常网站的监控处理方法,其特征在于,包括:
实时监控浏览器客户端的网站访问流量数据,并根据网站访问流量数据,还原得到浏览器客户端当前访问的目标网站的网站页面内容;
根据所述网站页面内容,对所述目标网站进行异常网站识别;
在确定所述目标网站为异常网站时,拦截所述浏览器客户端发送至所述目标网站的全部网站访问请求;
构建与所述目标网站匹配的第一仿制响应数据包,并将第一仿制响应数据包发送至浏览器客户端,以阻止浏览器客户端继续访问所述目标网站。
2.根据权利要求1所述的方法,其特征在于,根据网站访问流量数据,还原得到浏览器客户端当前访问的目标网站的网站页面内容,包括:
对所述网站访问流量数据进行数据解析,获取所述网站访问流量数据所使用的网络通信协议;
在所述网站访问流量数据中,获取从浏览器客户端指向目标网站的各请求数据包,以及从目标网站指向浏览器客户端的各响应数据包;
按照所述网络通信协议,在各所述请求数据包中提取统一资源定位符URL信息,并在各响应数据包中提取与所述URL信息匹配的目标响应数据包;
在所述目标响应数据包中,提取至少一项网站页面内容描述信息;
将各网站页面内容描述信息重新组装,得到浏览器客户端当前访问的目标网站的网站页面内容。
3.根据权利要求1所述的方法,其特征在于,根据所述网站页面内容,对所述目标网站进行异常网站识别,包括:
对所述网站页面内容进行解析处理,得到与所述网站页面内容对应的网站页面源码;
在所述网站页面源码中,提取至少一项页面源码特征;
根据各所述页面源码特征,对所述目标网站进行异常网站识别。
4.根据权利要求3所述的方法,其特征在于,在根据各所述页面源码特征,对所述目标网站进行异常网站识别,包括:
将各所述页面源码特征,与异常网站源码特征库进行比对,获取各所述页面源码特征匹配的异常网站源码的第一数量值;
根据第一数量值,和/或第一数量值与页面源码特征的第二数量值之间的比值,对所述目标网站进行异常网站识别。
5.根据权利要求1-4任一项所述的方法,其特征在于,构建与所述目标网站匹配的第一仿制响应数据包,包括:
根据所述浏览器客户端的IP信息及预先设置的警示页面IP信息,生成与所述目标网站匹配的第一仿制响应数据包。
6.根据权利要求1-4任一项所述的方法,其特征在于,拦截所述浏览器客户端发送至所述目标网站的全部网站访问请求之后,还包括:
构建与浏览器客户端匹配的第二仿制响应数据包,并将第二仿制响应数据包发送至目标网站,以阻止目标网站向浏览器客户端继续反馈网站响应数据包。
7.根据权利要求6所述的方法,其特征在于,构建与浏览器客户端匹配的第二仿制响应数据包,包括:
根据所述目标网站的IP信息及预先设置的确认信息,生成与所述浏览器客户端匹配的第二仿制响应数据包。
8.一种异常网站的监控处理装置,其特征在于,包括:
页面还原模块,用于实时监控浏览器客户端的网站访问流量数据,并根据网站访问流量数据,还原得到浏览器客户端当前访问的目标网站的网站页面内容;
网站识别模块,用于根据所述网站页面内容,对所述目标网站进行异常网站识别;
请求拦截模块,用于在确定所述目标网站为异常网站时,拦截所述浏览器客户端发送至所述目标网站的全部网站访问请求;
第一数据包发送模块,用于构建与所述目标网站匹配的第一仿制响应数据包,并将第一仿制响应数据包发送至浏览器客户端,以阻止浏览器客户端继续访问所述目标网站。
9.一种计算机设备,其特征在于,所述计算机设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的一种异常网站的监控处理方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一所述的一种异常网站的监控处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111241243.0A CN113965385A (zh) | 2021-10-25 | 2021-10-25 | 一种异常网站的监控处理方法、装置、设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111241243.0A CN113965385A (zh) | 2021-10-25 | 2021-10-25 | 一种异常网站的监控处理方法、装置、设备和介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113965385A true CN113965385A (zh) | 2022-01-21 |
Family
ID=79466817
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111241243.0A Pending CN113965385A (zh) | 2021-10-25 | 2021-10-25 | 一种异常网站的监控处理方法、装置、设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113965385A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114793180A (zh) * | 2022-05-26 | 2022-07-26 | 恒安嘉新(北京)科技股份公司 | 异常网络流量的拦截方法、装置、拦截设备及介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106453216A (zh) * | 2015-08-13 | 2017-02-22 | 阿里巴巴集团控股有限公司 | 恶意网站拦截方法、装置及客户端 |
CN106534145A (zh) * | 2016-11-28 | 2017-03-22 | 北京天行网安信息技术有限责任公司 | 一种应用识别方法及设备 |
CN106789948A (zh) * | 2016-11-30 | 2017-05-31 | 深圳市彬讯科技有限公司 | 一种网络web页面异常检测方法 |
CN110138794A (zh) * | 2019-05-22 | 2019-08-16 | 杭州安恒信息技术股份有限公司 | 一种仿冒网站识别方法、装置、设备及可读存储介质 |
CN111046310A (zh) * | 2019-12-12 | 2020-04-21 | 北京奇艺世纪科技有限公司 | 页面处理方法、装置、服务器及计算机可读存储介质 |
-
2021
- 2021-10-25 CN CN202111241243.0A patent/CN113965385A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106453216A (zh) * | 2015-08-13 | 2017-02-22 | 阿里巴巴集团控股有限公司 | 恶意网站拦截方法、装置及客户端 |
CN106534145A (zh) * | 2016-11-28 | 2017-03-22 | 北京天行网安信息技术有限责任公司 | 一种应用识别方法及设备 |
CN106789948A (zh) * | 2016-11-30 | 2017-05-31 | 深圳市彬讯科技有限公司 | 一种网络web页面异常检测方法 |
CN110138794A (zh) * | 2019-05-22 | 2019-08-16 | 杭州安恒信息技术股份有限公司 | 一种仿冒网站识别方法、装置、设备及可读存储介质 |
CN111046310A (zh) * | 2019-12-12 | 2020-04-21 | 北京奇艺世纪科技有限公司 | 页面处理方法、装置、服务器及计算机可读存储介质 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114793180A (zh) * | 2022-05-26 | 2022-07-26 | 恒安嘉新(北京)科技股份公司 | 异常网络流量的拦截方法、装置、拦截设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8726382B2 (en) | Methods and systems for automated detection and tracking of network attacks | |
CN103179132B (zh) | 一种检测和防御cc攻击的方法及装置 | |
CN110798472A (zh) | 数据泄露检测方法与装置 | |
US20160019388A1 (en) | Event correlation based on confidence factor | |
CN108304704A (zh) | 权限控制方法、装置、计算机设备和存储介质 | |
CN111641658A (zh) | 一种请求拦截方法、装置、设备及可读存储介质 | |
CN101834866A (zh) | 一种cc攻击防护方法及其系统 | |
DE112012002054T5 (de) | Spoofing-Angriff-Abwehrverfahren unter Verwendung eines Blockierungsservers | |
CN108063833B (zh) | Http dns解析报文处理方法及装置 | |
CN112769833B (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
CN111079138A (zh) | 异常访问检测方法、装置、电子设备及可读存储介质 | |
CN105635073A (zh) | 访问控制方法、装置和网络接入设备 | |
CN112668005A (zh) | webshell文件的检测方法及装置 | |
CN107360198B (zh) | 可疑域名检测方法及系统 | |
CN110618977B (zh) | 登录异常检测方法、装置、存储介质和计算机设备 | |
CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
CN113965385A (zh) | 一种异常网站的监控处理方法、装置、设备和介质 | |
CN104967632A (zh) | 网页异常数据处理方法、数据服务器及系统 | |
CN103685298A (zh) | 一种基于深度包检测的ssl中间人攻击发现方法 | |
CN113472798A (zh) | 一种网络数据包的回溯解析方法、装置、设备及介质 | |
CN113595981A (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
CN109495602B (zh) | 一种网络接入异常的处理方法及装置 | |
CN111614630A (zh) | 一种网络安全监控方法、装置及云端web应用防火墙 | |
CN111177281A (zh) | 一种访问管控方法、装置、设备及存储介质 | |
CN111049853A (zh) | 一种基于计算机网络的安全认证系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |