CN116886449B - 一种智能识别并拦截域名的方法 - Google Patents
一种智能识别并拦截域名的方法 Download PDFInfo
- Publication number
- CN116886449B CN116886449B CN202311148820.0A CN202311148820A CN116886449B CN 116886449 B CN116886449 B CN 116886449B CN 202311148820 A CN202311148820 A CN 202311148820A CN 116886449 B CN116886449 B CN 116886449B
- Authority
- CN
- China
- Prior art keywords
- port
- domain name
- whitelist
- white
- management mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000010586 diagram Methods 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 62
- 238000012544 monitoring process Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 101150012579 ADSL gene Proteins 0.000 description 1
- 102100020775 Adenylosuccinate lyase Human genes 0.000 description 1
- 108700040193 Adenylosuccinate lyases Proteins 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种智能识别并拦截域名的方法,包括启动端口白名单加载本地过白信息文件至内存的过白表中,过白信息文件包括过白的域名、端口和域名管理模式;端口白名单基于网络镜像获取网络报文并解析网络报文从而获得目的端口和待识别域名;将待识别域名与目的端口基于域名管理模式与过白表中的域名数据进行匹配,从而对网络报文放行或拦截,请求访问过白表中每个域名对应的每个端口以及扫描请求访问的页面,并基于返回的状态码和非法关键词管理端口,通过端口白名单系统的管理,管理域名下的所有提供业务的端口,拦截违规业务端口,放行正常业务端口,并对正常业务端口进行自动扫描,识别违规信息。
Description
技术领域
本发明涉及计算机安全领域,具体涉及一种智能识别并拦截域名的方法。
背景技术
针对域名的拦截,当下各大公司都有不同的实现方法,大多实现的域名拦截系统被称为域名白名单系统,首先对备案域名进行审核,审核后添加到域名白名单就将所有端口(0~65535)都放行,使得不管访问备案域名的哪一个端口时,都能直接访问,基本都是采用的旁路镜像流量到白名单中,将报文解析,获取出WEB请求的域名,然后和库里的域名相互匹配,如果相同则放行,如果不相同则拦截。
并且针对IP不进行管理,直接就能通过IP访问。这个时候一些用户利用这种漏洞进行违规业务,一般来说web业务通过端口为80和443,有时候会用到8080。由于端口有65536个,所以通常不管是管局还是idc服务商检查域名是否提供违规业务,很难将每一个端口都检查,一般会去访问常用端口80和443,最多再访问8080。而用户则就想到使用其他端口来进行违规业务。导致网络环境被破坏。这时候就需要针对这种情况进行网络环境优化。
采用以上域名拦截方式存下以下几种问题:
1、针对备案域名监控不够严格,只要有备案域名过白,则所有端口全部放行,容易在一些端口出现非法信息;
2、对于IP访问未进行管理,容易IP访问出现非法信息;
3、在域名过白后,由于端口过多很难对域名业务端口内容进行检查;
4、当业务端口出现非法信息,无法快速获悉。
发明内容
本发明为了克服以上技术的不足,提供了一种智能识别并拦截域名的方法,通过端口白名单,管理域名下的所有提供业务的网络端口,拦截违规业务端口,放行正常业务端口,并对正常业务端口进行自动扫描,识别违规信息。
本发明克服其技术问题所采用的技术方案是:本发明提出的一种智能识别并拦截域名的方法,包括启动端口白名单加载本地过白信息文件至内存的过白表中,所述过白信息文件至少包括过白的域名、端口和域名管理模式;端口白名单基于网络镜像获取网络报文并解析网络报文从而获得目的端口和待识别域名;将待识别域名与目的端口基于域名管理模式与过白表中的域名数据进行匹配,从而对网络报文放行或拦截;请求访问过白表中每个域名对应的每个端口以及扫描请求访问的页面,并基于返回的状态码和非法关键词管理端口。
进一步的,所述端口白名单基于网络镜像获取网络报文并解析网络报文从而获得目的端口和待识别域名,具体包括:端口白名单基于网络镜像获取网络报文;端口白名单依次解析获取的网络报文的IP层、TCP层和HTTP层,分别对应获得目的IP,目的端口和待识别域名;保存目的IP、目的端口和待识别域名至内存中。
进一步的,所述将待识别域名与目的端口与过白表中的域名数据进行匹配,从而对网络报文放行或拦截,具体包括:比较待识别域名和过白表中的域名数据,若待识别域名不在过白表中,则进行访问拦截,若待识别域名在过白表中,则判断域名管理模式,若域名管理模式为严格管理模式,则匹配目的端口和过白表中域名对应的端口,若目的端口不在过白表中,则进行访问拦截,否则对网络报文放行;若域名管理模式为宽松管理模式,则对网络报文放行。
进一步的,还包括添加域名和端口至端口白名单,具体包括:下发端口白名单添加域名和端口的命令;端口白名单检查域名备案,若域名已备案,则提供对应域名的业务端口,并将域名和业务端口基于域名管理模式加入端口白名单的内存过白表和本地过白信息文件中;若域名未备案,则拒绝未备案域名添加。
进一步的,所述将域名和业务端口基于域名管理模式加入端口白名单的内存过白表和本地过白信息文件中,具体包括:若管理模式为严格管理模式,则对应域名的每一个业务端口均审核后添加至内存过白表和本地过白信息文件中;若管理模式为宽松管理模式,则将对应域名的主要业务端口审核后添加至内存过白表和本地过白信息文件中。
进一步的,还包括添加IP和端口至端口白名单,具体包括:下发端口白名单添加IP和端口的命令;审核添加的IP和端口是否正常为正常业务,若为正常业务,则判断域名管理模式,若为非正常业务,拒绝添加IP和端口;若域名管理模式为严格管理模式,则IP对应的每一个业务端口均需要审核后添加至内存过白表和本地过白信息文件中,若域名管理模式为宽松管理模式,则直接添加IP的对应的业务端口至内存过白表和本地过白信息文件中。
通过端口白名单解决域名管理不严格,有效的监控域名/IP下的每一个业务端口,严格拦截,减少网络中违规信息,并且采用不同域名模式,可以实现域名白名单和端口白名单管理模式的灵活切换。
进一步的,业务端口基于位图形式添加至内存的过白表中,具体包括,若要保存的业务端口个数小于等于2,则在过白表中保存域名、域名对应的端口和端口个数;若要保存的业务端口个数大于2,则在过白表中保存域名,并对应域名建立位图表,并将每一个端口转换为位图表中对应字节的对应位,并在对应位进行标记。
进一步的,所述匹配目的端口和过白表中域名对应的端口,具体包括:判断过白表中域名对应的端口数,若端口数目大于2,则将端口转换为位图表中对应字节的位,判断位图表中对应字节的对应位是否有标记,若有标记,则对网络报文放行,否则访问拦截;若端口数目小于等于2,则将目的端口与过白表中域名对应的端口进行匹配,若匹配成功,则对网络报文放行,否则进行访问拦截。
根据添加端口数量采用不同存储方式,有效节约内存并提高匹配效率,采用灵活的端口存储和匹配模式。有效提升内存利用率与匹配效率,通过bitmap形式实现大量端口的快速匹配,在保证匹配性能的同时降低了内存消耗。
进一步的,所述请求访问过白表中每个域名对应的每个端口以及扫描请求访问的页面,并基于返回的状态码和非法关键词管理端口,具体包括:对过白表中的每个域名对应的每一个端口发起http请求,从而获取请求返回的状态码与页面信息,若返回的状态码大于等于400,则忽略对应的端口;若返回的状态码小于400,则扫描返回的页面信息与预存的非法关键词进行匹配,若匹配到非法关键词,则将对应的端口进行告警。
定时巡检,快速发现域名与端口提供的违规信息,及时对其进行管控。
进一步的,端口白名单启动后还加载本地保存IP和对应的过白端口至内存的过白表中,若端口白名单基于网络镜像解析网络报文获取的待识别域名为IP地址,则判断IP地址对应的目的端口是否为80或443或8080中的任意一个,若等于这三个端口中的任意一个,则访问拦截,否则在过白表中匹配IP地址;若IP地址不在过白表中,则访问拦截,否则查看域名管理模式;若为宽松管理模式,则对网络报文放行,若为严格管理模式,则判断IP地址对应的端口是否匹配过白表中的端口,若匹配,则对网络报文放行,若不匹配,则访问拦截。
有效管理IP访问,减少使用IP提供违规信息的情况。
本发明的有益效果是:
1、有效提升内存利用率与匹配效率,通过bitmap形式实现大量端口的快速匹配,在保证匹配性能的同时降低了内存消耗;
2、通过端口白名单解决域名管理不严格,有效的监控域名/IP下的每一个业务端口,严格拦截,减少网络中违规信息;
3、定时巡检,快速发现域名与端口提供的违规信息,及时对其进行管控;
4、有效管理IP访问,减少使用IP提供违规信息的情况;
5、采用不同域名模式,让使用者根据不同场景进行灵活切换;
6、兼容域名白名单模式,通过管理模式实现域名拦截的切换;
7、根据添加端口数量采用不同存储方式,有效节约内存并提高匹配效率,采用灵活的端口存储和匹配模式。
附图说明
图1为本发明实施例的一种智能识别并拦截域名的方法的流程示意图;
图2为本发明实施例进行网络报文解析流程示意图;
图3为待识别域名与内存中的过白表中的域名进行匹配流程示意图;
图4为本发明实施例的巡检任务流程示意图。
具体实施方式
为了进一步理解本发明,首先对本发明提到的部分术语进行解释。
域名
域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。
由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。
备案
备案是指向主管机关报告事由存案以备查考,提供非经营性互联网信息服务,应当办理备案。未经备案,不得从事非经营性互联网信息服务,而对于没有备案的网站将予以罚款和关闭。
网络端口
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSLModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等;二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等,本发明中所说的端口均指代逻辑意义上的端口。
过白
在此发明中,过白表示域名与端口已经进行过业务内容审核,并已经添加进白名单。
域名白名单
域名白名单是一种管理制度,通过提交、审核步骤,添加到“白名单”中,对域名进行管理。
为了便于本领域人员更好的理解本发明,下面结合附图和具体实施例对本发明做进一步详细说明,下述仅是示例性的不限定本发明的保护范围。
如图1所示,为本实施例所述的一种智能识别并拦截域名的方法的流程示意图,包括启动端口白名单加载本地过白信息文件至内存的过白表中,所述过白信息文件至少包括过白的域名与端口;端口白名单基于网络镜像获取网络报文并解析网络报文从而获得目的端口和待识别域名;将待识别域名与目的端口与过白表中的域名数据进行匹配,从而对网络报文放行或拦截。
原有采用的域名白名单并不需要考虑管理制度,因为都是域名过白就能访问,IP不进行管理,而本申请的端口白名单管理制度,能够灵活兼容原有的域名白名单的模式且能够灵活切换。
以下通过具体实施例对每个步骤进行详细说明如下。
S1,启动端口白名单加载本地过白信息文件至内存的过白表中,过白信息文件至少包括过白的域名、端口和域名管理模式。
在一些实施方式中,本地过白信息文件以如下方式建立。例如建立了一个目录里面的文件以域名命名,文件内容包含监听端口与域名管理模式。启动初始化的时候端口白名单遍历目录里所有文件获取到所有过白的信息,保存至内存中。
端口白名单启动时,加载本地保存的域名与端口过白信息文件至内存的过白表中。而后开启监听获取WEB下发命令。在本发明的一个实施例中,过白信息文件还包括了以IP命名的用于保存IP信息的文件,以IP命名的文件包括端口和管理模式。端口白名单启动时,还要加载以IP命名的文件,将本地保存的IP和过白的端口加载至内存过白表中。
端口白名单启动同时开启监听端口获取web下发命令。例如用于用户下发命添加域名和端口。
在本发明的一个实施例中,当需要对端口白名单添加域名与端口时,用户通过WEB平台,对端口白名单下发添加域名与端口的命令。端口白名单首先对域名检查备案,未备案域名不允许添加。如果域名是已备案的,则提供对应已备案域名的业务端口允许添加,允许后域名与端口加入端口白名单内存过白表中,并且端口白名单将域名与对应的端口固化到本地过白信息文件。
需要说明的是,对于域名和端口的添加,还需判断对用户采用的是哪种域名管理模式,如果是采用严格管理模式,则域名的每一个端口都需要审核添加后才能使用。如果是采用宽松管理模式,域名主要端口80/443/8080审核添加后所有端口都可使用。并且对于宽松管理模式,无需创建位图bitmap。
如果采用常规方法添加大量端口时,会造成内存占用过大的问题并且匹配效率较低,因此当添加大量端口时势必要解决端口快速匹配与节约内存的问题。用户注册端口较多时,为了提高匹配效率采用位图bitmap形式记录注册的端口,在本发明的一个实施例中,创建的为1个8KB大小的bitmap,注册的端口号对应的bit位置为1,在匹配时仅需检测端口对应的bit是否为1,即可快速匹配得到是否有注册的端口。大部分提供web业务主要是采用80/443两个端口,因为如果某个用户指注册这两个端口时候,在内存的过白表中仅需记录域名,域名对应的两个端口的值和端口的个数,只需要4Byte的空间,在进行匹配时候,也仅需依次对两个端口匹配。以及将域名、端口值和端口个数固化到本地过白信息文件中。
在本发明的一个实施例中,当用户添加域名与端口时,当用户添加域名与端口时,也需考虑域名管理模式,如果域名管理模式为严格管理模式,端口白名单发现端口大于2时,在内存的过白表中保存要添加的域名并建立一张bitmap表,将每一个端口转换为bitmap表中对应字节的对应位,在bitmap表中进行标记,标记为1,例如,端口9000对应bitmap表的1125字节的第0位。但是如果域名管理模式为宽松管理模式,则无需创建bitmap。可通过标志位确认域名管理模式。
在本发明的一个实施例中,还包括将IP和对应端口的添加至白名单中,将IP当做特殊域名进行添加。需判断对用户采用的是哪种域名管理模式,如果是严格管理模式,则IP对应的每一个端口都需要审核添加后才能使用,并创建位图bitmap,同域名对应的端口添加方式相同,但是除了端口80/443/8080外,这三个端口不能添加。如果采用宽松管理模式,直接添加,但是端口80/443/8080默认进行拦截,无法放行,并且对于宽松管理模式,无需创建位图bitmap。
S2,端口白名单基于网络镜像获取网络报文并解析网络报文从而获得目的端口和待识别域名。
基于网络镜像获取的网络报文进入端口白名单进行解析,流程示意图如图2所示,首先解析IP层,获取IP层中的源IP与目的IP,保存在内存中,之后解析TCP层,获取TCP层的源端口与目的端口,保存在内存中,最后解析HTTP层,获取待识别域名,保存在内存中。在本发明的一个实施例中,对网络报文解析得到的源端口为24846,目的端口为80,待识别域名为192.168.4.9。
S3,将待识别域名与目的端口基于域名管理模式与过白表中的域名数据进行匹配,从而对网络报文放行或拦截。
网络报文的解析全部完成之后,将获取到的待识别域名与内存中的过白表中的域名数据进行匹配,流程图如图3所示,如果过白表中没有待识别域名,此次访问拦截,如果过白表中有待识别域名,则查看域名的管理模式是严格管理模式还是宽松管理模式。
如果域名的管理模式为宽松管理模式,那么此次访问放行。
如果域名的管理模式为严格管控模式,将目的端口与过白表中域名对应的端口进行匹配,如果端口在白名单中,那么此次访问是放行的,如果端口不在白名单中则此次访问拦截。
在本发明的一个实施例中,对于待识别域名对应的端口与过白表中的端口匹配的流程如图3所示,当获取到待识别域名与端口后,在过白表中匹配域名,如果域名不匹配,直接拦截。如果域名匹配,判断管理模式,宽松管理放行,严格管理判断域名对应端口数,如果端口数小于等于2,端口与域名下的两个端口进行匹配,匹配成功放行,匹配失败拦截。如果端口数大于2,将端口转换为bitmap对应字节的对应位,判断bitmap表中对应字节的对应位是否等于1,如果等于1则将对应的访问放行,如果不等于1则对访问进行拦截。如果待识别域名仅仅有两个端口,则依次将待识别域名对应的端口与过白表中的端口依次就进行比较。
在本发明的一个实施例中,还包括针对解析得到的域名如果是IP地址,判断目的端口是否等于80/443/8080中的任意一个,如果等于这三个端口,拦截,如果不等于这三个端口,在过白表中匹配IP地址,如果IP地址不匹配,直接拦截。如果IP地址匹配,判断域名管理模式,宽松管理模式则放行,严格管理模式则判断IP地址对应的端口数,如果端口数小于等于2,端口与IP地址对应的两个端口进行匹配,匹配成功放行,匹配失败拦截。如果端口数大于2,将端口转换为bitmap对应字节的对应位,判断bitmap表中对应字节的对应位是否等于1,如果等于1则将对应的访问放行,如果不等于1则对访问进行拦截。如果待识别仅仅有两个端口,则依次将待识别域名对应的端口与过白表中的端口依次就进行比较。
S4,请求访问过白表中每个域名对应的每个端口以及扫描请求访问的页面,并基于返回的状态码和非法关键词管理端口。
由于向端口白名单添加备案域名与端口需要进行违规审核才能添加,所以一些提供web业务的用户,在添加时提供的都是正常业务,但是当端口白名单审核通过添加后,将业务修改,在业务中提供违规信息。
因此在本发明的一个实施例中启动巡检任务,巡检任务的流程图如图4所示,每天定时加载本地过白信息文件。如果用户管理模式为域名宽松管理模式,则信任域名所以不进行加载本地过白信息文件。如果加载其中严格管理模式的用户的域名与端口,获取每一个过白域名与过白端口保存至内存过白表中。巡检任务遍历内存过白表中域名的每一个端口,针对域名的每一个端口发起http请求,获取返回的状态码与页面信息,若返回的状态码大于等于400,则忽略此端口。
若返回的状态码小于400,采用非法关键词匹配方式,对页面进行扫描,如果没有匹配到非法关键词,忽略此域名下的此端口,如果匹配到非法关键词,那么将此域名下的此端口向指定负责人发送告警。
在本发明的一个实施例中,如果页面报错返回403等错误码,由于用户没有返回信息,则忽略此域名下的此端口。如果页面返回200等正常码。采用非法关键词匹配方式,对页面进行扫描,其中,非法关键词库由人工定时向网上查询更新。
需要说明的是:在其他实施例中并不一定按照本说明书示出和描述的顺序来执行相应方法的步骤。在一些其他实施例中,其方法所包括的步骤可以比本说明书所描述的更多或更少。此外,本说明书中所描述的单个步骤,在其他实施例中可能被分解为多个步骤进行描述;而本说明书中所描述的多个步骤,在其他实施例中也可能被合并为单个步骤进行描述。
专业人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
Claims (9)
1.一种智能识别并拦截域名的方法,其特征在于,包括:
启动端口白名单加载本地过白信息文件至内存的过白表中,所述过白信息文件至少包括过白的域名、端口和域名管理模式;
端口白名单基于网络镜像获取网络报文并解析网络报文从而获得目的端口和待识别域名;
将待识别域名与目的端口基于域名管理模式与过白表中的域名数据进行匹配,从而对网络报文放行或拦截,包括:比较待识别域名和过白表中的域名数据,若待识别域名不在过白表中,则进行访问拦截,若待识别域名在过白表中,则判断域名管理模式,若域名管理模式为严格管理模式,则匹配目的端口和过白表中域名对应的端口,若目的端口不在过白表中,则进行访问拦截,否则对网络报文放行;若域名管理模式为宽松管理模式,则对网络报文放行;
请求访问过白表中每个域名对应的每个端口以及扫描请求访问的页面,并基于返回的状态码和非法关键词管理端口。
2.根据权利要求1所述的智能识别并拦截域名的方法,其特征在于,其特征在于,所述端口白名单基于网络镜像获取网络报文并解析网络报文从而获得目的端口和待识别域名,具体包括:
端口白名单基于网络镜像获取网络报文;
端口白名单依次解析获取的网络报文的IP层、TCP层和HTTP层,分别对应获得目的IP,目的端口和待识别域名;
保存目的IP、目的端口和待识别域名至内存中。
3.根据权利要求1所述的智能识别并拦截域名的方法,其特征在于,还包括添加域名和端口至端口白名单,具体包括:
下发端口白名单添加域名和端口的命令;
端口白名单检查域名备案,若域名已备案,则提供对应域名的业务端口,并将域名和业务端口基于域名管理模式加入端口白名单的内存过白表和本地过白信息文件中;
若域名未备案,则拒绝未备案域名添加。
4.根据权利要求3所述的智能识别并拦截域名的方法,其特征在于,所述将域名和业务端口基于域名管理模式加入端口白名单的内存过白表和本地过白信息文件中,具体包括:
若管理模式为严格管理模式,则对应域名的每一个业务端口均审核后添加至内存过白表和本地过白信息文件中;
若管理模式为宽松管理模式,则将对应域名的主要业务端口审核后添加至内存过白表和本地过白信息文件中。
5.根据权利要求1所述的智能识别并拦截域名的方法,其特征在于,还包括添加IP和端口至端口白名单,具体包括:
下发端口白名单添加IP和端口的命令;
审核添加的IP和端口是否正常为正常业务,若为正常业务,则判断域名管理模式,若为非正常业务,拒绝添加IP和端口;
若域名管理模式为严格管理模式,则IP对应的每一个业务端口均需要审核后添加至内存过白表和本地过白信息文件中,若域名管理模式为宽松管理模式,则直接添加IP的对应的业务端口至内存过白表和本地过白信息文件中。
6.根据权利要求4或5所述的智能识别并拦截域名的方法,其特征在于,业务端口基于位图形式添加至内存的过白表中,具体包括:
若要保存的业务端口个数小于等于2,则在过白表中保存域名、域名对应的端口和端口个数;
若要保存的业务端口个数大于2,则在过白表中保存域名,并对应域名建立位图表,并将每一个端口转换为位图表中对应字节的对应位,并在对应位进行标记。
7.根据权利要求6所述的智能识别并拦截域名的方法,其特征在于,所述匹配目的端口和过白表中域名对应的端口,具体包括:
判断过白表中域名对应的端口数,
若端口数目大于2,则将端口转换为位图表中对应字节的位,判断位图表中对应字节的对应位是否有标记,若有标记,则对网络报文放行,否则访问拦截;
若端口数目小于等于2,则将目的端口与过白表中域名对应的端口进行匹配,若匹配成功,则对网络报文放行,否则进行访问拦截。
8.根据权利要求1所述的智能识别并拦截域名的方法,其特征在于,所述请求访问过白表中每个域名对应的每个端口以及扫描请求访问的页面,并基于返回的状态码和非法关键词管理端口,具体包括:
对过白表中的每个域名对应的每一个端口发起http请求,从而获取请求返回的状态码与页面信息,
若返回的状态码大于等于400,则忽略对应的端口;
若返回的状态码小于400,则扫描返回的页面信息与预存的非法关键词进行匹配,若匹配到非法关键词,则将对应的端口进行告警。
9.根据权利要求1所述的智能识别并拦截域名的方法,其特征在于,端口白名单启动后还加载本地保存IP和对应的过白端口至内存的过白表中,若端口白名单基于网络镜像解析网络报文获取的待识别域名为IP地址,则判断IP地址对应的目的端口是否为80或443或8080中的任意一个,若等于这三个端口中的任意一个,则访问拦截,否则在过白表中匹配IP地址;
若IP地址不在过白表中,则访问拦截,否则查看域名管理模式;
若为宽松管理模式,则对网络报文放行,若为严格管理模式,则判断IP地址对应的端口是否匹配过白表中的端口,若匹配,则对网络报文放行,若不匹配,则访问拦截。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311148820.0A CN116886449B (zh) | 2023-09-07 | 2023-09-07 | 一种智能识别并拦截域名的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311148820.0A CN116886449B (zh) | 2023-09-07 | 2023-09-07 | 一种智能识别并拦截域名的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116886449A CN116886449A (zh) | 2023-10-13 |
CN116886449B true CN116886449B (zh) | 2023-12-05 |
Family
ID=88272142
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311148820.0A Active CN116886449B (zh) | 2023-09-07 | 2023-09-07 | 一种智能识别并拦截域名的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116886449B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104394122A (zh) * | 2014-10-31 | 2015-03-04 | 杭州安恒信息技术有限公司 | 一种基于自适应代理机制的http业务防火墙 |
CN112543238A (zh) * | 2020-12-08 | 2021-03-23 | 光通天下网络科技股份有限公司 | 域名过白名单优化方法、装置、设备及介质 |
CN115225315A (zh) * | 2022-06-02 | 2022-10-21 | 深圳市江元科技(集团)有限公司 | 一种基于Android系统网络白名单管控方案 |
CN115225394A (zh) * | 2022-07-21 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种基于域名的报文拦截方法及系统 |
WO2023033586A1 (ko) * | 2021-09-03 | 2023-03-09 | 프라이빗테크놀로지 주식회사 | Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
CN115941224A (zh) * | 2021-09-30 | 2023-04-07 | 腾讯科技(深圳)有限公司 | 一种网络访问信息管理方法、装置和计算机可读存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8136149B2 (en) * | 2004-06-07 | 2012-03-13 | Check Point Software Technologies, Inc. | Security system with methodology providing verified secured individual end points |
-
2023
- 2023-09-07 CN CN202311148820.0A patent/CN116886449B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104394122A (zh) * | 2014-10-31 | 2015-03-04 | 杭州安恒信息技术有限公司 | 一种基于自适应代理机制的http业务防火墙 |
CN112543238A (zh) * | 2020-12-08 | 2021-03-23 | 光通天下网络科技股份有限公司 | 域名过白名单优化方法、装置、设备及介质 |
WO2023033586A1 (ko) * | 2021-09-03 | 2023-03-09 | 프라이빗테크놀로지 주식회사 | Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
CN115941224A (zh) * | 2021-09-30 | 2023-04-07 | 腾讯科技(深圳)有限公司 | 一种网络访问信息管理方法、装置和计算机可读存储介质 |
CN115225315A (zh) * | 2022-06-02 | 2022-10-21 | 深圳市江元科技(集团)有限公司 | 一种基于Android系统网络白名单管控方案 |
CN115225394A (zh) * | 2022-07-21 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种基于域名的报文拦截方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN116886449A (zh) | 2023-10-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2417417C2 (ru) | Идентификация в реальном времени модели ресурса и категоризация ресурса для содействия в защите компьютерной сети | |
US6292900B1 (en) | Multilevel security attribute passing methods, apparatuses, and computer program products in a stream | |
US8490163B1 (en) | Enforcing security policies across heterogeneous systems | |
US7200862B2 (en) | Securing uniform resource identifier namespaces | |
US8903836B2 (en) | System and method for parsing, summarizing and reporting log data | |
US7690033B2 (en) | Electronic computer system secured from unauthorized access to and manipulation of data | |
US7954151B1 (en) | Partial document content matching using sectional analysis | |
CN105808399B (zh) | 一种远程调试的方法和装置 | |
KR102033169B1 (ko) | 지능형 보안로그 분석방법 | |
US20090055929A1 (en) | Local Domain Name Service System and Method for Providing Service Using Domain Name Service System | |
US7877411B1 (en) | System and method for duplication of virtual private server files | |
US20060248525A1 (en) | System and method for detecting peer-to-peer network software | |
US20070220061A1 (en) | Method and system for tracking an operation performed on an information asset with metadata associated therewith | |
US20070234331A1 (en) | Targeted automatic patch retrieval | |
JP2000076161A (ja) | イベント・ログ方法 | |
CN1773417A (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
US20010020245A1 (en) | Method and system for deterministic ordering of software modules | |
CN107786551B (zh) | 访问内网服务器的方法及控制访问内网服务器的装置 | |
US10313377B2 (en) | Universal link to extract and classify log data | |
CN112019330B (zh) | 一种基于联盟链的内网安全审计数据的存储方法及系统 | |
US20030172155A1 (en) | Cracker tracing system and method, and authentification system and method of using the same | |
CN113810366A (zh) | 一种网站上传文件安全识别系统及方法 | |
CN116886449B (zh) | 一种智能识别并拦截域名的方法 | |
US20040167961A1 (en) | Fragment response cache | |
US7290130B2 (en) | Information distributing system and method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310000 room 611-612, Zhuoxin building, No. 3820, South Ring Road, Puyan street, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: Hangzhou Youyun Technology Co.,Ltd. Country or region after: China Address before: 310000 room 611-612, Zhuoxin building, No. 3820, South Ring Road, Puyan street, Binjiang District, Hangzhou City, Zhejiang Province Patentee before: Hangzhou Youyun Technology Co.,Ltd. Country or region before: China |
|
CP03 | Change of name, title or address |