CN115022086B - 网络安全防御方法、装置、电子设备及存储介质 - Google Patents
网络安全防御方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115022086B CN115022086B CN202210848824.9A CN202210848824A CN115022086B CN 115022086 B CN115022086 B CN 115022086B CN 202210848824 A CN202210848824 A CN 202210848824A CN 115022086 B CN115022086 B CN 115022086B
- Authority
- CN
- China
- Prior art keywords
- html file
- behavior
- downloading
- decoding
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000007123 defense Effects 0.000 title claims abstract description 22
- 230000006399 behavior Effects 0.000 claims description 131
- 238000004590 computer program Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 8
- 238000012549 training Methods 0.000 claims description 7
- 238000003062 neural network model Methods 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 abstract description 22
- 230000000694 effects Effects 0.000 abstract description 16
- 238000013461 design Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 238000011161 development Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000013528 artificial neural network Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000005764 inhibitory process Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书实施例涉及网络安全技术领域,特别涉及一种网络安全防御方法、装置、电子设备及存储介质。其中,网络安全防御方法包括:响应于接收到HTML文件,获取所述HTML文件的编码格式和与所述HTML文件对应的网络流量行为;基于所述HTML文件的编码格式,利用训练好的解码模型对所述HTML文件进行解码;响应于所述HTML文件完成下载,基于所述网络流量行为和解码的结果,确定是否对所述HTML文件进行拦截。本说明书提供的技术方案能够对利用HTML Smuggling技术实现的攻击活动进行有效防御。
Description
技术领域
本说明书实施例涉及网络安全技术领域,特别涉及一种网络安全防御方法、装置、电子设备及存储介质。
背景技术
自互联网出现以来,网络攻击者经常利用网络钓鱼发动攻击。随着网络边界及端点侧防护能力的逐步提升,攻击者也在不断开发新型技术点来绕过外围安全性检查和在线检测,从而实现网络钓鱼攻击。
目前,越来越多的攻击组织利用HTML Smuggling(即HTML走私)技术实现网络钓鱼攻击,一般的边界防护、流量检测和终端防护设备难以实现对此类攻击活动的拦截防御;其中,HTML Smuggling是指浏览器根据HTML文件的内容在主机上创建恶意载荷,而不是直接转发/下载恶意软件的一种技术。
因此,及时发现利用HTML Smuggling技术实现的攻击活动并对其成功阻断拦截,遏制其攻击行动对于维护网络安全至关重要。
发明内容
为了能够对利用HTML Smuggling技术实现的攻击活动进行有效防御,本说明书实施例提供了一种网络安全防御方法、装置、电子设备及存储介质。
第一方面,本说明书实施例提供了一种网络安全防御方法,包括:
响应于接收到HTML文件,获取所述HTML文件的编码格式和与所述HTML文件对应的网络流量行为;
基于所述HTML文件的编码格式,利用训练好的解码模型对所述HTML文件进行解码;
响应于所述HTML文件完成下载,基于所述网络流量行为和解码的结果,确定是否对所述HTML文件进行拦截。
在一种可能的设计中,所述编码格式包括URL编码、Base64编码和HEX编码。
在一种可能的设计中,所述解码模型是通过如下方式进行训练的:
将已知的HTML文件的编码格式及其对应的解码规则作为样本输入到预设的神经网络模型中进行训练,得到解码模型。
在一种可能的设计中,所述基于所述网络流量行为和解码的结果,确定是否对所述HTML文件进行拦截,包括:
基于所述网络流量行为和解码的结果,确定所述HTML文件的下载行为;
基于所述HTML文件的下载行为,确定是否对所述HTML文件进行拦截。
在一种可能的设计中,所述网络流量行为包括无向外网络请求行为和有向外网络请求行为,所述解码的结果包括文件可读和文件不可读。
在一种可能的设计中,所述基于所述网络流量行为和解码的结果,确定所述HTML文件的下载行为,包括:
在所述网络流量行为为无向外网络请求行为且所述解码的结果为文件不可读时,确定所述HTML文件的下载行为为本地释放下载;
在所述网络流量行为为有向外网络请求行为且所述解码的结果为文件可读时,确定所述HTML文件的下载行为为网络请求下载。
在一种可能的设计中,所述基于所述HTML文件的下载行为,确定是否对所述HTML文件进行拦截,包括:
在所述HTML文件的下载行为为本地释放下载时,将所述HTML文件进行拦截;
在所述HTML文件的下载行为为网络请求下载时,不对所述HTML文件进行拦截。
第二方面,本说明书实施例还提供了一种网络安全防御装置,包括:
获取模块,用于响应于接收到HTML文件,获取所述HTML文件的编码格式和与所述HTML文件对应的网络流量行为;
解码模块,用于基于所述HTML文件的编码格式,利用训练好的解码模型对所述HTML文件进行解码;
确定模块,用于响应于所述HTML文件完成下载,基于所述网络流量行为和解码的结果,确定是否对所述HTML文件进行拦截。
第三方面,本说明书实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本说明书实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本说明书实施例提供了一种网络安全防御方法、装置、电子设备及存储介质,首先响应于接收到HTML文件,获取HTML文件的编码格式和与HTML文件对应的网络流量行为;然后基于HTML文件的编码格式,利用训练好的解码模型对HTML文件进行解码;最后响应于HTML文件完成下载,基于网络流量行为和解码的结果,确定是否对HTML文件进行拦截。由于利用HTML Smuggling技术实现的攻击活动是基于HTML5的下载属性,无需向服务器发送额外网络请求就可以“下载”数据,因此在HTML文件完成下载时,基于网络流量行为和解码的结果,确定是否对HTML文件进行拦截,从而可以对利用HTML Smuggling技术实现的攻击活动进行有效防御。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本说明书的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本说明书一实施例提供的一种网络安全防御方法流程图;
图2是本说明书一实施例提供的一种电子设备的硬件架构图;
图3是本说明书一实施例提供的一种网络安全防御装置结构图。
具体实施方式
为使本说明书实施例的目的、技术方案和优点更加清楚,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本说明书一部分实施例,而不是全部的实施例,基于本说明书中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本说明书保护的范围。
随着网络技术的发展,计算机病毒攻击方式和入侵手段日益增加,攻击者为避免安全软件检测和使用者轻松发现,大多采用隐匿化的技术来实现攻击,在终端侧很难发现异常情况,通过网络侧的流量特征进行检测可以发现一部分威胁,但是在没有特定规则时就难以防范。
常见的网络钓鱼攻击将攻击载荷直接放在附件文件中,通过邮件内容诱使受害者执行附件程序;随着网络安全的飞速发展,邮件安全越来越被重视,邮件网关对邮件整体内容都会进行检测,邮件网关会对电子邮件中附带的HTML进行检查。如果检查未通过,那么邮件网关会阻断电子邮件的后续转发或者选择删除附件。但是,现有的电子邮件安全解决方案难以通过静态分析或者动态分析来检测利用HTML Smuggling技术实现的网络钓鱼活动。
APT攻击组织利用网络钓鱼发起攻击,利用HTML5和JavaScript的高度隐匿攻击手法,攻击者制作挟带恶意JavaScript的HTML网页,并发送含有附件的钓鱼信件,诱使用户点击并打开附件。
附件文件落地会绕过端点防护检测,用户执行HTML文件后,浏览器解码JavaScript、加载网页,下载释放恶意程序,并在用户设备上组合成恶意文件,如银行木马、僵尸网络、远控木马和勒索软件等;在解码释放恶意程序时,又无法通过网络侧行为监控检测到。一般情况下可以通过禁止JavaScript执行、禁止邮件中HTML类型的附件来实现防护,但在企业中业务往来繁多,肯定会影响正常办公业务。而且,受害者此时就会以为该文件通过了网络安全检测,无威胁,继续执行后续行为。因此,及时发现利用HTML Smuggling技术的攻击活动并对其成功阻断拦截,遏制其攻击行动对于维护网络安全至关重要。
发明人在研发过程中发现:可以在HTML文件完成下载时,基于网络流量行为和解码的结果,确定是否对HTML文件进行拦截,从而可以对利用HTML Smuggling技术实现的攻击活动进行有效防御。
下面介绍本说明实施例的发明构思。
请参考图1,本说明书实施例提供了一种网络安全防御方法,该方法包括:
步骤100:响应于接收到HTML文件,获取HTML文件的编码格式和与HTML文件对应的网络流量行为;
步骤102:基于HTML文件的编码格式,利用训练好的解码模型对HTML文件进行解码;
步骤104:响应于HTML文件完成下载,基于网络流量行为和解码的结果,确定是否对HTML文件进行拦截。
本说明书实施例中,首先响应于接收到HTML文件,获取HTML文件的编码格式和与HTML文件对应的网络流量行为;然后基于HTML文件的编码格式,利用训练好的解码模型对HTML文件进行解码;最后响应于HTML文件完成下载,基于网络流量行为和解码的结果,确定是否对HTML文件进行拦截。由于利用HTML Smuggling技术实现的攻击活动是基于HTML5的下载属性,无需向服务器发送额外网络请求就可以“下载”数据,因此在HTML文件完成下载时,基于网络流量行为和解码的结果,确定是否对HTML文件进行拦截,从而可以对利用HTMLSmuggling技术实现的攻击活动进行有效防御。
其中,HTML5是Hyper Text Markup Language 5的缩写,HTML5是构建Web内容的一种语言描述方式。HTML5技术结合了HTML4.01的相关标准并革新,符合现代网络发展要求,在2008年正式发布。HTML5是Web中核心语言HTML的规范,用户使用任何手段进行网页浏览时看到的内容原本都是HTML格式的,在浏览器中通过一些技术处理将其转换成为了可识别的信息。
下面描述图1所示的各个步骤的执行方式。
针对步骤100:
在本说明书一个实施例中,编码格式包括URL编码、Base64编码和HEX编码。
在本实施例中,通过获取HTML文件的编码格式,可以利用解码模型对HTML文件进行解码,以得到解码的结果。其中,解码的结果为文件可读和文件不可读。正常的HTML文件通过解码后,其结果为文件可读;相反地,利用了HTML Smuggling技术的HTML文件通过解码后,其结果为文件不可读(或混淆)。这样,就可以基于该解码的结果来辅助判断后续是否对HTML文件进行拦截。在此,本说明书实施例对HTML的编码格式不进行具体限定。
在本说明书一个实施例中,网络流量行为包括无向外网络请求行为和有向外网络请求行为。
在本实施例中,由于正常的HTML是需要网络侧具有向外网络请求行为,这样HTML文件的下载行为才是正常的下载行为,即网络请求下载;而利用了HTML Smuggling技术的HTML文件是不需要网络侧具有向外网络请求行为(即无向外网络请求行为),这样HTML文件的下载行为不是正常的下载行为,即本地释放下载(即浏览器解码JavaScript、加载网页,下载释放恶意程序,并在用户设备上组合成恶意文件)。因此,通过监测网络侧的网络流量行为,可以辅助判断后续是否对HTML文件进行拦截。
需要说明的是,接收到HTML文件,可以通过邮件附件的方式或其它方式,在此对接收HTML文件的方式不进行具体限定。
针对步骤102:
在本说明书一个实施例中,解码模型是通过如下方式进行训练的:
将已知的HTML文件的编码格式及其对应的解码规则作为样本输入到预设的神经网络模型中进行训练,得到解码模型。
在本实施例中,通过利用神经网络模型进行训练得到解码模型的方式可以增加解码模型的适应度,即可以使得解码模型能够应对未知编码格式的HTML文件。
通常而言,解码模型对HTML文件通过一至两层的解码后即可得到解码结果,即文件可读和文件不可读。
当然,解码模型也可以利用已有传统的解码器实现,在此对解码模型的具体类型不进行限定。
针对步骤104:
在本说明书一个实施例中,步骤104具体可以包括:
步骤A、基于网络流量行为和解码的结果,确定HTML文件的下载行为;
步骤B、基于HTML文件的下载行为,确定是否对HTML文件进行拦截。
在本实施例中,在HTML文件完成下载时,其下载行为难以确定出是正常下载行为还是利用了HTML Smuggling技术实现的行为,因此需要借助网络流量行为和解码的结果来判断;而在判断出该HTML文件的下载行为后,就可以确定是否对HTML文件进行拦截,从而可以对利用HTML Smuggling技术实现的攻击活动进行有效防御。
在本说明书一个实施例中,步骤A具体可以包括:
在网络流量行为为无向外网络请求行为且解码的结果为文件不可读时,确定HTML文件的下载行为为本地释放下载;
在网络流量行为为有向外网络请求行为且解码的结果为文件可读时,确定HTML文件的下载行为为网络请求下载。
在本实施例中,由上文分析可知,本地释放下载即为利用了HTML Smuggling技术的下载,因此其网络流量行为为无向外网络请求行为,而且其解码的结果为文件不可读;相反地,网络请求下载即为正常下载,因此其网络流量行为为有向外网络请求行为,而且其解码的结果为文件可读。
在本说明书一个实施例中,步骤B具体可以包括:
在HTML文件的下载行为为本地释放下载时,将HTML文件进行拦截;
在HTML文件的下载行为为网络请求下载时,不对HTML文件进行拦截。
在本实施例中,在HTML文件的下载行为为本地释放下载时,将HTML文件进行拦截,如此可以对利用HTML Smuggling技术实现的攻击活动进行有效防御;而在HTML文件的下载行为为网络请求下载时,不对HTML文件进行拦截。当然,在HTML文件的下载行为为本地释放下载时,还可以向外发出告警信号,从而可以避免造成不可控的网络安全事件。
下面介绍上述网路安全防御方法的具体场景。
在计算机接收邮件附件或通过其他方式接收HTML文件时,第一时间就对该HTML文件进行监测,监测范围包括终端侧的HTML文件的编码格式和网络侧的网络流量行为;将目前行业中应用于HTML文件的编码格式进行整理,使用人工神经网络进行建模训练,得到训练好的解码模型,解码模型通过对该HTML文件进行一至两层的解码后得到解码的结果。在HTML文件完成下载时,如果网络侧的网络流量行为为无向外网络请求行为且解码的结果为文件不可读时,则可以确定该HTML文件的下载行为为本地释放下载,此时需要对该HTML文件进行拦截,并发出告警信号;如果网络侧的网络流量行为为有向外网络请求行为且解码的结果为文件可读时,则可以确定该HTML文件的下载行为为网络请求下载,则不对该HTML文件进行拦截,并将该HTML文件的相关数据重新纳入人工神经网络,继续学习并不断扩大解码模型。
因此,在计算机接收邮件或通过其他方式接收HTML文件时,通过监测其主机侧和网络侧的相关行为,并联动人工神经网络模型检测,判断是否利用HTML Smuggling技术来绕过外围安全性检查和在线检测,从而实现对非法HTML文件的阻断拦截,进而防御对利用HTML Smuggling技术实现的攻击活动进行有效防御。
如图2、图3所示,本说明书实施例提供了一种网络安全防御装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图2所示,为本说明书实施例提供的一种网络安全防御装置所在电子设备的一种硬件架构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图3所示,作为一个逻辑意义上的装置,是通过其所在电子设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。
如图3所示,本实施例提供的一种网络安全防御装置,包括:
获取模块300,用于响应于接收到HTML文件,获取HTML文件的编码格式和与HTML文件对应的网络流量行为;
解码模块302,用于基于HTML文件的编码格式,利用训练好的解码模型对HTML文件进行解码;
确定模块304,用于响应于HTML文件完成下载,基于网络流量行为和解码的结果,确定是否对HTML文件进行拦截。
在本说明书实施例中,获取模块300可用于执行上述方法实施例中的步骤100,解码模块302可用于执行上述方法实施例中的步骤102,确定模块304可用于执行上述方法实施例中的步骤104。
在本说明书的一个实施例中,编码格式包括URL编码、Base64编码和HEX编码。
在本说明书的一个实施例中,解码模型是通过如下方式进行训练的:
将已知的HTML文件的编码格式及其对应的解码规则作为样本输入到预设的神经网络模型中进行训练,得到解码模型。
在本说明书的一个实施例中,确定模块304,用于执行如下操作:
基于网络流量行为和解码的结果,确定HTML文件的下载行为;
基于HTML文件的下载行为,确定是否对HTML文件进行拦截。
在本说明书的一个实施例中,网络流量行为包括无向外网络请求行为和有向外网络请求行为,解码的结果包括文件可读和文件不可读。
在本说明书的一个实施例中,确定模块304在执行基于网络流量行为和解码的结果,确定HTML文件的下载行为时,用于执行如下操作:
在网络流量行为为无向外网络请求行为且解码的结果为文件不可读时,确定HTML文件的下载行为为本地释放下载;
在网络流量行为为有向外网络请求行为且解码的结果为文件可读时,确定HTML文件的下载行为为网络请求下载。
在本说明书的一个实施例中,确定模块304在执行基于HTML文件的下载行为,确定是否对HTML文件进行拦截时,用于执行如下操作:
在HTML文件的下载行为为本地释放下载时,将HTML文件进行拦截;
在HTML文件的下载行为为网络请求下载时,不对HTML文件进行拦截。
可以理解的是,本说明书实施例示意的结构并不构成对一种网络安全防御装置的具体限定。在本说明书的另一些实施例中,一种网络安全防御装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本说明书方法实施例基于同一构思,具体内容可参见本说明书方法实施例中的叙述,此处不再赘述。
本说明书实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例中的一种网络安全防御方法。
本说明书实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本说明书任一实施例中的一种网络安全防御方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本说明书的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本说明书的技术方案,而非对其限制;尽管参照前述实施例对本说明书进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本说明书各实施例技术方案的精神和范围。
Claims (5)
1.一种网络安全防御方法,其特征在于,包括:
响应于接收到HTML文件,获取所述HTML文件的编码格式和与所述HTML文件对应的网络流量行为;其中,所述网络流量行为包括无向外网络请求行为和有向外网络请求行为;
基于所述HTML文件的编码格式,利用训练好的解码模型对所述HTML文件进行解码;
响应于所述HTML文件完成下载,基于所述网络流量行为和解码的结果,确定是否对所述HTML文件进行拦截;其中,所述解码的结果包括文件可读和文件不可读;
所述解码模型是通过如下方式进行训练的:
将已知的HTML文件的编码格式及其对应的解码规则作为样本输入到预设的神经网络模型中进行训练,得到解码模型;其中,所述解码模型通过对该HTML文件进行一至两层的解码得到解码的结果;
所述基于所述网络流量行为和解码的结果,确定是否对所述HTML文件进行拦截,包括:
基于所述网络流量行为和解码的结果,确定所述HTML文件的下载行为;
基于所述HTML文件的下载行为,确定是否对所述HTML文件进行拦截;
所述基于所述网络流量行为和解码的结果,确定所述HTML文件的下载行为,包括:
在所述网络流量行为为无向外网络请求行为且所述解码的结果为文件不可读时,确定所述HTML文件的下载行为为本地释放下载;
在所述网络流量行为为有向外网络请求行为且所述解码的结果为文件可读时,确定所述HTML文件的下载行为为网络请求下载;
所述基于所述HTML文件的下载行为,确定是否对所述HTML文件进行拦截,包括:
在所述HTML文件的下载行为为本地释放下载时,将所述HTML文件进行拦截;
在所述HTML文件的下载行为为网络请求下载时,不对所述HTML文件进行拦截。
2.根据权利要求1所述的方法,其特征在于,所述编码格式包括URL编码、Base64编码和HEX编码。
3.一种网络安全防御装置,其特征在于,包括:
获取模块,用于响应于接收到HTML文件,获取所述HTML文件的编码格式和与所述HTML文件对应的网络流量行为;其中,所述网络流量行为包括无向外网络请求行为和有向外网络请求行为;
解码模块,用于基于所述HTML文件的编码格式,利用训练好的解码模型对所述HTML文件进行解码;
确定模块,用于响应于所述HTML文件完成下载,基于所述网络流量行为和解码的结果,确定是否对所述HTML文件进行拦截;其中,所述解码的结果包括文件可读和文件不可读;
所述解码模型是通过如下方式进行训练的:
将已知的HTML文件的编码格式及其对应的解码规则作为样本输入到预设的神经网络模型中进行训练,得到解码模型;其中,所述解码模型通过对该HTML文件进行一至两层的解码得到解码的结果;
所述确定模块,用于执行如下操作:
基于网络流量行为和解码的结果,确定HTML文件的下载行为;
基于HTML文件的下载行为,确定是否对HTML文件进行拦截;
所述确定模块在执行基于网络流量行为和解码的结果,确定HTML文件的下载行为时,用于执行如下操作:
在网络流量行为为无向外网络请求行为且解码的结果为文件不可读时,确定HTML文件的下载行为为本地释放下载;
在网络流量行为为有向外网络请求行为且解码的结果为文件可读时,确定HTML文件的下载行为为网络请求下载;
所述确定模块在执行所述基于HTML文件的下载行为,确定是否对HTML文件进行拦截时,用于执行如下操作:
在HTML文件的下载行为为本地释放下载时,将HTML文件进行拦截;
在HTML文件的下载行为为网络请求下载时,不对HTML文件进行拦截。
4.一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-2中任一项所述的方法。
5.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-2中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210848824.9A CN115022086B (zh) | 2022-07-19 | 2022-07-19 | 网络安全防御方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210848824.9A CN115022086B (zh) | 2022-07-19 | 2022-07-19 | 网络安全防御方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115022086A CN115022086A (zh) | 2022-09-06 |
| CN115022086B true CN115022086B (zh) | 2023-11-21 |
Family
ID=83082645
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210848824.9A Active CN115022086B (zh) | 2022-07-19 | 2022-07-19 | 网络安全防御方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115022086B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7308648B1 (en) * | 2002-11-27 | 2007-12-11 | Microsoft Corporation | Method, system, and computer-readable medium for filtering harmful HTML in an electronic document |
| CN101901221A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种跨站脚本攻击的检测方法和装置 |
| CN105516113A (zh) * | 2015-03-05 | 2016-04-20 | 卡巴斯基实验室股份公司 | 用于自动网络钓鱼检测规则演进的系统和方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0420548D0 (en) * | 2004-09-15 | 2004-10-20 | Streamshield Networks Ltd | Network-based security platform |
-
2022
- 2022-07-19 CN CN202210848824.9A patent/CN115022086B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7308648B1 (en) * | 2002-11-27 | 2007-12-11 | Microsoft Corporation | Method, system, and computer-readable medium for filtering harmful HTML in an electronic document |
| CN101901221A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种跨站脚本攻击的检测方法和装置 |
| CN105516113A (zh) * | 2015-03-05 | 2016-04-20 | 卡巴斯基实验室股份公司 | 用于自动网络钓鱼检测规则演进的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115022086A (zh) | 2022-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kirda et al. | Noxes: a client-side solution for mitigating cross-site scripting attacks | |
| Gupta et al. | Cross-site scripting (XSS) abuse and defense: exploitation on several testing bed environments and its defense | |
| Kirda et al. | Client-side cross-site scripting protection | |
| US7516488B1 (en) | Preventing data from being submitted to a remote system in response to a malicious e-mail | |
| KR100935776B1 (ko) | 네트워크 어드레스 평가 방법, 컴퓨터 판독 가능한 기록 매체, 컴퓨터 시스템, 네트워크 어드레스 액세스 방법, 컴퓨터 인프라를 활용하는 방법 및 기업의 네트워크 통신 트래픽의 분석을 수행하는 방법 | |
| US8112799B1 (en) | Method, system, and computer program product for avoiding cross-site scripting attacks | |
| US9049222B1 (en) | Preventing cross-site scripting in web-based e-mail | |
| US10009370B1 (en) | Detection and remediation of potentially malicious files | |
| US20110197281A1 (en) | Systems and methods for malware detection | |
| WO2009032379A1 (en) | Methods and systems for providing trap-based defenses | |
| Gupta et al. | Exploitation of cross-site scripting (XSS) vulnerability on real world web applications and its defense | |
| US11503072B2 (en) | Identifying, reporting and mitigating unauthorized use of web code | |
| Gupta et al. | XSS‐immune: a Google chrome extension‐based XSS defensive framework for contemporary platforms of web applications | |
| US11509691B2 (en) | Protecting from directory enumeration using honeypot pages within a network directory | |
| Wang et al. | A combined static and dynamic analysis approach to detect malicious browser extensions | |
| CN113452717A (zh) | 通信软件安全防护的方法、装置、电子设备及存储介质 | |
| GB2550657A (en) | A method of protecting a user from messages with links to malicious websites | |
| US9069964B2 (en) | Identification of malicious activities through non-logged-in host usage | |
| Nagendran et al. | Web application firewall evasion techniques | |
| CN115022086B (zh) | 网络安全防御方法、装置、电子设备及存储介质 | |
| US20180316697A1 (en) | Method of aiding the detection of infection of a terminal by malware | |
| Nadar et al. | A defensive approach for CSRF and broken authentication and session management attack | |
| US8266704B1 (en) | Method and apparatus for securing sensitive data from misappropriation by malicious software | |
| Bower et al. | Identifying javascript skimmers on high-value websites | |
| Varshney et al. | Detecting spying and fraud browser extensions: Short paper |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |