CN114598503A - 违规外联检测方法、装置、系统及电子设备 - Google Patents
违规外联检测方法、装置、系统及电子设备 Download PDFInfo
- Publication number
- CN114598503A CN114598503A CN202210157140.4A CN202210157140A CN114598503A CN 114598503 A CN114598503 A CN 114598503A CN 202210157140 A CN202210157140 A CN 202210157140A CN 114598503 A CN114598503 A CN 114598503A
- Authority
- CN
- China
- Prior art keywords
- external connection
- terminal
- response data
- detection
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 212
- 230000004044 response Effects 0.000 claims abstract description 114
- 238000000034 method Methods 0.000 claims abstract description 25
- 230000000977 initiatory effect Effects 0.000 claims abstract description 24
- 238000004590 computer program Methods 0.000 claims description 12
- 238000012360 testing method Methods 0.000 claims description 9
- 230000006399 behavior Effects 0.000 claims description 8
- 230000006870 function Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 230000003139 buffering effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种违规外联检测方法、装置、系统及电子设备,方法包括:获取待检测网络中的目标URL请求;将目标URL请求的发起终端作为被测终端,向被测终端发送第一回包响应数据;接收被测终端发起的资源遍历请求,向被测终端发送第二回包响应数据;被测终端用于根据第一回包响应数据执行违规外联检测任务。通过向被测终端发送第一回包响应数据,并根据被测终端发起的资源遍历请求,将第二回包响应数据发送至被测终端,在被测终端缓存第一回包响应数据并执行第二回包响应数据后,在访问目标URL时可直接利用缓存数据进行违规外联检测,降低了检测设备的检测压力,保证了违规外联检测的全面性和实时性。
Description
技术领域
本发明涉及网络信息安全技术领域,尤其涉及一种违规外联检测方法、装置、系统及电子设备。
背景技术
针对存在较为严格的信息及数据安全保密要求的网络环境,为避免终端同时连接内、外部网络导致不安全通信路径的存在,保障所在区域的网络信息安全,一般要求内部特定网络与外部网络隔离,不允许互通。
为检测此类违规外联行为是否存在,现有技术中常通过旁路方式进行实时流量镜像,对被监测范围内的终端流量中的HTTP请求进行中间人实时劫持,使被测终端访问外部特定的检测地址服务,以发现并上报检测信息,确认违规外联行为。
上述违规外联检测方法的有效性,依赖于实时、全面的流量镜像,而在真实场景实践中,当设备的流量镜像不全时,终端对内部网络的HTTP访问行为无法进行中间人劫持,故无法被检测是否存在违规外联;当检测设备自身性能或处理速度不及远端真实服务器时,由于不能快速完成中间人响应,则真实服务器响应数据包会先于检测设备的响应数据包,由此会导致当次的中间人劫持检测失败,无法成功进行被动式违规外联检测;并且,当旁路镜像的瞬时流量过大时,也将导致设备处理能力不足,致使部分流量无法实时检测。
因此,现有的违规外联检测方法无法保证终端违规外联检测的全面性和实时性。
发明内容
本发明提供一种违规外联检测方法、装置、系统及电子设备,用以解决现有技术中违规外联检测方法无法保证终端违规外联检测的全面性和实时性的缺陷,实现更加全面、实时性更强的终端违规外联检测。
第一方面,本发明提供一种违规外联检测方法,应用于检测设备,包括:
获取待检测网络中的目标URL请求;
将所述目标URL请求的发起终端作为被测终端,并向所述被测终端发送第一回包响应数据;
接收被测终端发起的资源遍历请求,并向所述被测终端发起第二回包响应数据,其中,所述第二回包响应数据为包含URL地址集合列表中各目标URL的脚本链接数据;
所述被测终端用于根据所述第一回包响应数据执行违规外联检测任务。
根据本发明提供的一种违规外联检测方法,所述目标URL请求为属于所述URL地址集合列表的URL请求。
根据本发明提供的一种违规外联检测方法,所述第一回包响应数据包括:对所述目标URL请求的原始URL发起的请求信息、请求标记信息、违规外联检测指令信息、资源遍历指令信息以及时间缓存信息。
根据本发明提供的一种违规外联检测方法,所述URL地址集合列表包括:所述待检测网络中常用网站所包含的Javascript脚本链接的URL。
第二方面,本发明还提供一种违规外联检测方法,应用于被测终端,包括:
接收并缓存检测设备发送的第一回包响应数据;
根据所述第一回包响应数据,执行违规外联检测任务;
根据所述第一回包响应数据,向所述检测设备发起资源遍历请求;
接收并执行所述检测设备发送的第二回包响应数据。
根据本发明提供的一种违规外联检测方法,根据所述第一回包响应数据,执行违规外联检测任务,包括:
根据所述第一回包响应数据,向外部告警服务器发送检测上报数据;
其中,所述外部告警服务器用于在接收到所述检测上报数据后,判定所述被测终端存在违规外联行为。
第三方面,本发明还提供一种违规外联检测装置,该装置包括:
获取模块,用于获取待检测网络中的目标URL请求;
回包响应模块,用于将所述目标URL请求的发起终端作为被测终端,并向所述被测终端发送第一回包响应数据;
资源反馈模块,用于接收被测终端发起的资源遍历请求,并向所述被测终端发送第二回包响应数据;其中,所述第二回包响应数据为包含URL地址集合列表中各目标URL的脚本链接数据;所述被测终端用于根据所述第一回包响应数据执行违规外联检测任务。
第四方面,本发明还提供一种违规外联检测装置,该装置包括:
接收模块,用于接收并缓存检测设备发送的第一回包响应数据;
第一执行模块,用于根据所述第一回包响应数据,执行违规外联检测任务;
资源遍历模块,用于根据所述第一回包响应数据,向所述检测设备发起资源遍历请求;
第二执行模块,用于接收并执行所述检测设备发送的第二回包响应数据。
第五方面,本发明提供一种违规外联检测系统,该系统包括:检测设备和被测终端,所述检测设备和所述被测终端均部署于待检测网络内;
所述检测设备用于获取待检测网络中的目标URL请求;将所述目标URL请求的发起终端作为被测终端,并向所述被测终端发送第一回包响应数据;接收被测终端发起的资源遍历请求,并向所述被测终端发送第二回包响应数据;其中,所述第二回包响应数据为包含URL地址集合列表中各目标URL的脚本链接数据;
所述被测终端用于接收并缓存检测设备发送的第一回包响应数据;根据所述第一回包响应数据,执行违规外联检测任务;根据所述第一回包响应数据,向所述检测设备发起资源遍历请求;接收并执行所述检测设备发送的第二回包响应数据。
第六方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述违规外联检测方法的步骤。
本发明提供的违规外联检测方法、装置、系统及电子设备,通过向发起目标URL请求的被测终端发送第一回包响应数据,并根据被测终端发起的资源遍历请求,将第二回包响应数据发送至被测终端,在被测终端缓存第一回包响应数据并执行第二回包响应数据后,在访问目标URL时可以直接利用缓存数据进行违规外联检测,可以有效降低被测终端与检测设备的交互次数,进而降低了检测设备的检测压力,保证了违规外联检测的全面性和实时性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的违规外联检测方法的流程示意图之一;
图2是本发明提供的违规外联检测方法的流程示意图之二;
图3是本发明提供的违规外联检测装置的结构示意图之一;
图4是本发明提供的违规外联检测装置的结构示意图之二;
图5是本发明提供的违规外联检测系统的结构示意图;
图6是本发明提供的违规外联检测系统的工作流程示意图;
图7是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图7描述本发明提供的违规外联检测方法、装置、系统及电子设备。
图1示出了本发明实施例提供的违规外联检测方法,应用于检测设备,包括:
步骤101:获取待检测网络中的目标URL请求。
本实施例中目标URL(Uniform Resource Locator,统一资源定位符)请求指的是属于预先建立的URL地址集合列表的URL请求。
步骤102:将目标URL请求的发起终端作为被测终端,并向被测终端发送第一回包响应数据。
本实施例中第一回包响应数据主要包括:对目标URL请求的原始URL发起的请求信息及请求标记信息、违规外联检测指令信息、资源遍历指令信息以及时间缓存信息。
在构建第一回包响应数据时,需要考虑以下内容:
首先,需要保证原始URL请求的正常访问,即重新发送原始URL请求,并在原始URL请求的末尾增加检测标记,即请求标记信息,表明其是已经被检测设备检测标记的请求,避免检测设备重复检测。
后续如果检测设备在捕获到目标URL请求后,若发现该目标URL请求存在检测标记,则忽略该数据包,不检测,从而可以避免重复检测浪费资源的问题。
其次,第一回包响应数据中还包含了必需的违规外联检测用的检测功能代码,即违规外联检测指令信息,以使得收包终端(即被测终端)能够在收包后自主执行违规外联检测任务,实现违规外联检测。
此部分检测功能代码可由不同场景功能自定义实现。一般地,检测过程中,将会提取被测终端的终端IP、操作系统、浏览器、版本等特征信息,并将提取到的上述信息上报至部署于外部网络中的外部告警服务器,通过外部告警服务器接收到上报信息与否,可以实现违规外联检测。
再次,第一回包响应数据中,还存在引导被测终端向检测设备发送资源遍历请求的信息,即资源遍历指令信息,保证在被测终端访问某一目标URL且被检测设备检测到时,能够主动使被测终端请求其他的归属于URL地址集合列表的目标URL。
这样可以使被测终端完整的将常用网站的脚本链接数据均请求访问一次,后续将上述数据缓存后,在需要访问同一网站,即发起同样的URL请求时,可以利用自身浏览器缓存数据完成访问,无需再次与检测设备交互,减轻了检测设备的检测压力并能够实时进行违规外联检测。
更重要的是,第一回包响应数据中,响应内容的HTTP响应header(头)部分,即缓存头部分,依据检测设备的配置参数,还增加了参数对应时间的缓存字段,即时间缓存信息,包括但不限于可用于控制被测终端是否缓存该请求的响应内容,以及可控制被测终端缓存该请求响应内容的时间长度的HTTP机制,如HTTP标准协议中指定的:Expires、Cache-Control、Last-Modified等缓存相关字段。
步骤103:接收被测终端发起的资源遍历请求,并向被测终端发送第二回包响应数据;其中,第二回包响应数据为包含URL地址集合列表中各目标URL的脚本链接数据;
上述被测终端用于根据第一回包响应数据执行违规外联检测任务。
需要说明的是,本实施例中URL地址集合列表主要包括:待检测网络中常用网站所包含的Javascript脚本链接的URL,即待检测的目标URL。
本实施例中常用网站可以是被测终端访问频率较高的网站,实际应用过程中可以通过设定一定的访问频率阈值自动筛选出常用网站,也可以通过人为收集的方式确定常用网站。
具体地,本实施例通过人为或自动化的方式收集待检测网络环境中,应用广泛的站点地址,并将其配置于检测设备的检测网站列表中。
检测设备请求所配置的检测网站列表中各站点地址,提取所有站点地址所包含网站(即常用网站)的Javascript脚本链接的URL,生成URL地址集合列表。
图2示出了本发明实施例提供的应用于被测终端的违规外联检测方法,该方法包括:
步骤201:接收并缓存检测设备发送的第一回包响应数据。
可以理解的是,本实施例中被测终端接收到的第一回包响应数据将被缓存于被测终端的浏览器中。
步骤202:根据第一回包响应数据,执行违规外联检测任务。
步骤203:根据第一回包响应数据,向检测设备发起资源遍历请求。
步骤204:接收并执行检测设备发送的第二回包响应数据。
在本实施例中,根据第一回包响应数据,执行违规外联检测任务的过程,具体可以包括:
根据第一回包响应数据,向外部告警服务器发送检测上报数据;
其中,外部告警服务器用于在接收到检测上报数据后,判定被测终端存在违规外联行为。
可以理解的是,此处提到的检测上报数据,主要包括被测终端的终端IP、操作系统、浏览器、版本等特征信息。
由此可见,本发明实施例提供的违规外联检测方法,与现有的基于旁路镜像的违规外联检测方案相比,改进后的违规外联检测方式,由于被测终端在浏览器发起访问时,即可实现违规外联检测,而不要求流量一定镜像到检测设备后才检测,使得检测实时性得到提升;同实时访问原始网站一样,可在每次访问时,实时地从浏览器缓存中加载执行,并进行违规外联检测。
由于缓存引入,使得真正从用户终端发出的请求减少,检测设备的检测压力降低,相对提升了检测设备的检测能力,从而检测结果可以更加全面。
在实际应用过程中,还可以根据检测设备的参数配置,进行人为可控的违规外联检测,检测过程更加灵活。
可以理解的是,上述提到的参数配置包括但不限于检测功能是否开启的参数配置、缓存时间的参数配置、缓存目标的网站列表参数配置以及缓存目标的链接列表参数配置。
由于经过一次旁路镜像处理后,在指定参数配置的检测时间内,违规外联检测可以直接通过浏览器缓存进行,不依赖于实时镜像流量,则降低了进行违规外联检测时,对流量镜像全面性的要求,降低了检测设备的性能要求及检测压力。也使得基于流量镜像方式的违规外联检测,能适应更多的网络部署环境,适用范围更广。
下面对本发明提供的违规外联检测装置进行描述,下文描述的违规外联检测装置与上文描述的违规外联检测方法可相互对应参照。
图3示出了本发明实施例提供的违规外联检测装置,该装置包括:
获取模块301,用于获取待检测网络中的目标URL请求;
回包响应模块302,用于将目标URL请求的发起终端作为被测终端,并向被测终端发送第一回包响应数据;
资源反馈模块303,用于接收被测终端发起的资源遍历请求,并向被测终端发送第二回包响应数据;其中,第二回包响应数据为包含URL地址集合列表中各目标URL的脚本链接数据;被测终端用于根据第一回包响应数据执行违规外联检测任务。
图4示出了本发明实施例提供的另一种违规外联检测装置,该装置包括:
接收模块401,用于接收并缓存检测设备发送的第一回包响应数据;
第一执行模块402,用于根据第一回包响应数据,执行违规外联检测任务;
资源遍历模块403,用于根据第一回包响应数据,向检测设备发起资源遍历请求;
第二执行模块404,用于接收并执行检测设备发送的第二回包响应数据。
图5示出了本发明实施例提供的违规外联检测系统,该系统包括:检测设备501和被测终端502,检测设备501和被测终端502均部署于待检测网络内;
检测设备501用于获取待检测网络中的目标URL请求;将目标URL请求的发起终端作为被测终端502,并向被测终端502发送第一回包响应数据;接收被测终端502发起的资源遍历请求,并向被测终端502发送第二回包响应数据,其中,第二回包响应数据为包含URL地址集合列表中各目标URL的脚本链接数据;
被测终端502用于接收并缓存检测设备501发送的第一回包响应数据;根据第一回包响应数据,执行违规外联检测任务;根据第一回包响应数据,向检测设备501发起资源遍历请求;接收并执行检测设备501发送的第二回包响应数据。
参见附图5,本实施例在内网(即待检测网络)中部署检测设备501,将检测设备501与内网中部署的镜像交换机503连接,该镜像交换机503还与内网中部署的被测终端502以及其他终端连接,比如图5示出的内网中还部署有终端A1、终端A2、终端A3、终端A4以及终端A5,镜像交换机503还与内网中的内部服务器505连接,在外部网络中预先部署外部告警服务器504,外部告警服务器504通过转发设备506与内网中的被测终端502通信,被测终端502通过外联路径与转发设备506通信。
本实施例中检测设备501具有流量镜像功能和基于流量镜像的旁路中间人劫持方式的违规外联检测功能,在进行违规外联检测前,需要先开启检测设备501的流量镜像功能,再开启基于流量镜像的旁路中间人劫持方式的违规外联检测功能,以实现旁路镜像捕获、分析及基于中间人劫持方式的违规外联检测。
参见附图6,该系统实现违规外联检测的工作流程如下:
步骤601:内网中的终端发起请求。
步骤602:检测设备501旁路镜像抓包,获取请求信息。
步骤603:判断抓取的请求是否属于URL地址集合列表的URL请求,若属于,则说明该请求为目标URL请求,将发起请求的终端作为被测终端502,将带缓存头的第一回包响应数据发送至被测终端502,进行回包检测。
该步骤中,当检测设备501通过流量镜像功能发现目标URL请求后,需要及时进行中间人数据包伪造,生成第一回包响应数据并发送给被测终端502。
步骤604:被测终端502执行第一回包响应数据中的回包内容,进行违规外联检测。
该步骤中,被测终端502根据第一回包响应数据中的违规外联检测指令信息,通过转发设备506向外部告警服务器504发送上报数据,如果外部告警服务器504接收到了被测终端502发送的上报数据,则说明被测终端502可以通过外联路径连接至外部网络,从而说明该被测终端502存在违规外联行为。
步骤605:被测终端502向检测设备501发送资源遍历请求,请求URL地址集合列表中的JS文件(即Javascript脚本链接),接收并执行检测设备501回复的数据。
步骤606:被测终端502遍历请求URL地址集合列表中未遍历的脚本链接数据。
步骤607:判断是否遍历完成,若未遍历完成,则由步骤605返回至步骤601继续执行。
步骤608:若遍历完成,则结束本次检测。
被测终端502接收到由检测设备501回复的第一回包响应数据后,执行第一回包响应数据中资源遍历指令信息,该过程中,被测终端502将向检测设备501发送新的URL请求,获取URL地址集合列表,并逐个向目标URL所指向的服务器发起请求,该请求被检测设备501进行中间人劫持,并由检测设备501向被测终端502反馈回复响应数据,以获取该列表中所有URL的脚本链接数据。
也就是说,由被测终端502发送的这些请求,同样可以被检测设备501以旁路流量镜像的方式捕获到。重复资源遍历过程,直至URL地址集合列表中所有URL的脚本链接数据均在被测终端502接收并执行。
在执行上述步骤过程中,被测终端502收到检测设备501响应的检测报文后,解析检测设备501回复的响应报文,并按照添加的HTTP响应header中的缓存控制字段,即时间缓存信息,对响应包进行缓存。
当被测终端502后续需要再访问已被缓存的上述URL地址集合列表中的URL链接时,由于对应检测设备501回复的响应内容,已被被测终端502缓存。根据浏览器普遍实现的HTTP响应的缓存控制机制,则被测终端502将不会再实际发出HTTP请求,而是直接使用已缓存在被测终端502中的响应数据内容进行请求访问。
因此,被测终端502发起资源遍历请求的行为,不会无限循环执行,仅会针对URL地址集合列表中存在但未缓存的URL执行。
同时,由于第一回包响应数据中的时间缓存信息内设置了缓存时间,上述数据将在所指定的时间内,被缓存于被测终端502的浏览器内。
当终端浏览器再次访问上述URL地址集合列表中任意URL链接所属的网站时,该URL将直接从浏览器缓存中被加载执行。同时,被测终端502将同步进行违规外联检测。
由此可见,本发明实施例提供的违规外联检测系统,可以有效解决现有的基于旁路镜像的违规外联检测方案,当镜像配置变化、设备接入方式变化,导致流量镜像不全时,无法实时、全面完成检测的问题;解决检测成功率高度依赖于设备所部署网络环境,要求每一次检测时检测设备响应必须快于真实服务器响应,才能检测成功的问题;解决检测设备在检测时刻的处理能力上一旦不足,将导致后续检测延迟而无法保证上述中间人响应快于真实服务器,进而检测失败的问题。能够对内网中的终端进行实时、全面的违规外联检测。
图7示例了一种电子设备的实体结构示意图,如图7所示,该电子设备可以包括:处理器(processor)710、通信接口(Communications Interface)720、存储器(memory)730和通信总线740,其中,处理器710,通信接口720,存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的逻辑指令,以执行违规外联检测方法,应用于检测设备,包括:获取待检测网络中的目标URL请求;将目标URL请求的发起终端作为被测终端,并向被测终端发送第一回包响应数据;接收被测终端发起的资源遍历请求,并向被测终端发送第二回包响应数据;其中,第二回包响应数据为包含URL地址集合列表中各目标URL的脚本链接数据;被测终端用于根据第一回包响应数据执行违规外联检测任务。
此外,上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的违规外联检测方法,应用于检测设备,包括:获取待检测网络中的目标URL请求;将目标URL请求的发起终端作为被测终端,并向被测终端发送第一回包响应数据;接收被测终端发起的资源遍历请求,并向被测终端发送第二回包响应数据;其中,第二回包响应数据为包含URL地址集合列表中各URL请求的脚本链接数据;被测终端用于根据第一回包响应数据执行违规外联检测任务。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的违规外联检测方法,应用于检测设备,包括:获取待检测网络中的目标URL请求;将目标URL请求的发起终端作为被测终端,并向被测终端发送第一回包响应数据;接收被测终端发起的资源遍历请求,并向被测终端发送第二回包响应数据;其中,第二回包响应数据为包含URL地址集合列表中各URL请求的脚本链接数据;被测终端用于根据第一回包响应数据执行违规外联检测任务。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种违规外联检测方法,其特征在于,应用于检测设备,包括:
获取待检测网络中的目标URL请求;
将所述目标URL请求的发起终端作为被测终端,并向所述被测终端发送第一回包响应数据;
接收被测终端发起的资源遍历请求,并向所述被测终端发送第二回包响应数据;其中,所述第二回包响应数据为包含URL地址集合列表中各目标URL的脚本链接数据;
所述被测终端用于根据所述第一回包响应数据执行违规外联检测任务。
2.根据权利要求1所述的一种违规外联检测方法,其特征在于,所述目标URL请求为属于所述URL地址集合列表的URL请求。
3.根据权利要求1所述的一种违规外联检测方法,其特征在于,所述第一回包响应数据包括:对所述目标URL请求的原始URL发起的请求信息、请求标记信息、违规外联检测指令信息、资源遍历指令信息以及时间缓存信息。
4.根据权利要求1所述的一种违规外联检测方法,其特征在于,所述URL地址集合列表包括:所述待检测网络中常用网站包含的Javascript脚本链接的URL。
5.一种违规外联检测方法,其特征在于,应用于被测终端,包括:
接收并缓存检测设备发送的第一回包响应数据;
根据所述第一回包响应数据,执行违规外联检测任务;
根据所述第一回包响应数据,向所述检测设备发起资源遍历请求;
接收并执行所述检测设备发送的第二回包响应数据。
6.根据权利要求5所述的一种违规外联检测方法,其特征在于,根据所述第一回包响应数据,执行违规外联检测任务,包括:
根据所述第一回包响应数据,向外部告警服务器发送检测上报数据;
其中,所述外部告警服务器用于在接收到所述检测上报数据后,判定所述被测终端存在违规外联行为。
7.一种违规外联检测装置,其特征在于,包括:
获取模块,用于获取待检测网络中的目标URL请求;
回包响应模块,用于将所述目标URL请求的发起终端作为被测终端,并向所述被测终端发送第一回包响应数据;
资源反馈模块,用于接收被测终端发起的资源遍历请求,并向所述被测终端发送第二回包响应数据;其中,所述第二回包响应数据为包含URL地址集合列表中各目标URL的脚本链接数据;所述被测终端用于根据所述第一回包响应数据执行违规外联检测任务。
8.一种违规外联检测装置,其特征在于,包括:
接收模块,用于接收并缓存检测设备发送的第一回包响应数据;
第一执行模块,用于根据所述第一回包响应数据,执行违规外联检测任务;
资源遍历模块,用于根据所述第一回包响应数据,向所述检测设备发起资源遍历请求;
第二执行模块,用于接收并执行所述检测设备发送的第二回包响应数据。
9.一种违规外联检测系统,其特征在于,包括:检测设备和被测终端,所述检测设备和所述被测终端均部署于待检测网络内;
所述检测设备用于获取待检测网络中的目标URL请求;将所述目标URL请求的发起终端作为被测终端,并向所述被测终端发送第一回包响应数据;接收被测终端发起的资源遍历请求,并向所述被测终端发送第二回包响应数据,其中,所述第二回包响应数据为包含URL地址集合列表中各目标URL的脚本链接数据;
所述被测终端用于接收并缓存检测设备发送的第一回包响应数据;根据所述第一回包响应数据,执行违规外联检测任务;根据所述第一回包响应数据,向所述检测设备发起资源遍历请求;接收并执行所述检测设备发送的第二回包响应数据。
10.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项或5至6任一项所述违规外联检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210157140.4A CN114598503B (zh) | 2022-02-21 | 2022-02-21 | 违规外联检测方法、装置、系统及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210157140.4A CN114598503B (zh) | 2022-02-21 | 2022-02-21 | 违规外联检测方法、装置、系统及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114598503A true CN114598503A (zh) | 2022-06-07 |
| CN114598503B CN114598503B (zh) | 2023-12-12 |
Family
ID=81805593
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210157140.4A Active CN114598503B (zh) | 2022-02-21 | 2022-02-21 | 违规外联检测方法、装置、系统及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114598503B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115987675A (zh) * | 2022-12-30 | 2023-04-18 | 北京明朝万达科技股份有限公司 | 违规外联检测方法、装置、移动终端及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017054705A1 (zh) * | 2015-09-28 | 2017-04-06 | 北京奇虎科技有限公司 | 一种局域网内基于物理位置的终端监控方法及系统 |
| US20180287960A1 (en) * | 2015-12-21 | 2018-10-04 | Peking University | A method for optimizing resource loading at mobile browsers based on cloud-client cooperation |
| CN110365793A (zh) * | 2019-07-30 | 2019-10-22 | 北京华赛在线科技有限公司 | 违规外联监测方法、装置、系统及存储介质 |
| CN110417821A (zh) * | 2019-09-09 | 2019-11-05 | 北京华赛在线科技有限公司 | 一种联网检测方法和系统 |
| CN111131203A (zh) * | 2019-12-12 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种外联监控方法及装置 |
| WO2020233022A1 (zh) * | 2019-05-21 | 2020-11-26 | 平安科技(深圳)有限公司 | 漏洞检测方法、装置、计算机设备和存储介质 |
-
2022
- 2022-02-21 CN CN202210157140.4A patent/CN114598503B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017054705A1 (zh) * | 2015-09-28 | 2017-04-06 | 北京奇虎科技有限公司 | 一种局域网内基于物理位置的终端监控方法及系统 |
| US20180287960A1 (en) * | 2015-12-21 | 2018-10-04 | Peking University | A method for optimizing resource loading at mobile browsers based on cloud-client cooperation |
| WO2020233022A1 (zh) * | 2019-05-21 | 2020-11-26 | 平安科技(深圳)有限公司 | 漏洞检测方法、装置、计算机设备和存储介质 |
| CN110365793A (zh) * | 2019-07-30 | 2019-10-22 | 北京华赛在线科技有限公司 | 违规外联监测方法、装置、系统及存储介质 |
| CN110417821A (zh) * | 2019-09-09 | 2019-11-05 | 北京华赛在线科技有限公司 | 一种联网检测方法和系统 |
| CN111131203A (zh) * | 2019-12-12 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种外联监控方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115987675A (zh) * | 2022-12-30 | 2023-04-18 | 北京明朝万达科技股份有限公司 | 违规外联检测方法、装置、移动终端及存储介质 |
| CN115987675B (zh) * | 2022-12-30 | 2024-03-19 | 北京明朝万达科技股份有限公司 | 违规外联检测方法、装置、移动终端及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114598503B (zh) | 2023-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110365793B (zh) | 违规外联监测方法、装置、系统及存储介质 | |
| CN109981653B (zh) | 一种web漏洞扫描方法 | |
| CN105635073B (zh) | 访问控制方法、装置和网络接入设备 | |
| EP2728831B1 (en) | Determination of information relating to messages | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN102783119A (zh) | 访问控制方法、系统及接入终端 | |
| US10432577B2 (en) | Method and device for redirection to web page | |
| CN107135249B (zh) | 数据下载方法及装置 | |
| CN103516785A (zh) | 网页代理系统及其通信方法 | |
| CN108418780A (zh) | Ip地址的过滤方法及装置、系统、dns服务器 | |
| CN112738095A (zh) | 一种检测非法外联的方法、装置、系统、存储介质及设备 | |
| CN106550056A (zh) | 一种域名解析方法及装置 | |
| CN104253785A (zh) | 危险网址识别方法、装置及系统 | |
| CN108924159B (zh) | 一种报文特征识别库的验证方法与装置 | |
| CN114598503B (zh) | 违规外联检测方法、装置、系统及电子设备 | |
| CN107294910B (zh) | 一种登录方法和服务器 | |
| CN111131232A (zh) | 一种网络访问的管理方法及装置 | |
| CN102754488A (zh) | 用户访问的控制方法、装置及系统 | |
| CN106603501A (zh) | 一种域名劫持的防护方法、系统及防火墙设备 | |
| CN113645242A (zh) | 一种蜜罐溯源方法、装置及相关设备 | |
| CN113765912A (zh) | 一种分布式防火墙装置及其检测方法 | |
| CN112751917A (zh) | 资源文件加载方法、网络设备、电子设备及存储介质 | |
| CN103780589A (zh) | 病毒提示方法、客户端设备和服务器 | |
| KR101650829B1 (ko) | 대상을 획득하는 방법, 장치, 및 시스템 | |
| CN107948303B (zh) | 一种Android上http请求失败的处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |