国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      攔截客戶端對惡意網(wǎng)絡服務器的訪問的方法、設備和系統(tǒng)與流程

      文檔序號:11215789閱讀:825來源:國知局
      攔截客戶端對惡意網(wǎng)絡服務器的訪問的方法、設備和系統(tǒng)與流程

      本發(fā)明涉及網(wǎng)絡安全技術(shù)領(lǐng)域,尤其涉及一種攔截客戶端對惡意網(wǎng)絡服務器的訪問的方法、設備和系統(tǒng)。



      背景技術(shù):

      隨著網(wǎng)絡通信技術(shù)的迅速發(fā)展、所承載信息的日益豐富,互聯(lián)網(wǎng)已成為人類社會重要的基礎設施,越來越多的用戶習慣于通過客戶端去訪問網(wǎng)絡服務器來處理各種事務。因此,對網(wǎng)絡服務器的訪問的安全性尤其重要。

      現(xiàn)階段,惡意網(wǎng)絡服務器的惡意網(wǎng)絡地址被大肆傳播,諸如用戶通過惡意網(wǎng)絡地址訪問到惡意服務器而被欺騙之類的惡性事件層出不窮。為了避免用戶訪問惡意網(wǎng)絡服務器從而遭受詐騙或泄漏信息,部分運營商在網(wǎng)絡交換設備(例如網(wǎng)關(guān))處部署惡意攔截設備,以對用戶的客戶端對惡意網(wǎng)絡服務器的訪問進行攔截。

      然而該設備僅僅能夠在該惡意網(wǎng)絡服務器還未響應客戶端的訪問請求的前提下實現(xiàn)攔截功能。若惡意網(wǎng)絡服務器在惡意攔截設備攔截之前響應了客戶端發(fā)出的訪問請求,那么這種惡意攔截設備則無法再對訪問進行攔截。但考慮到網(wǎng)絡運行的復雜情況,需要處理的流量負荷經(jīng)常超過設備性能,因此設備處理速度緩慢,無法對訪問及時地攔截,最后導致在實際應用中,惡意攔截設備對大部分惡意網(wǎng)絡服務器的訪問無法攔截,攔截效果很差。

      因此,迫切需要一種更先進、效果更好的攔截客戶端對惡意網(wǎng)絡服務器的訪問的方案。



      技術(shù)實現(xiàn)要素:

      為此,本發(fā)明提供一種攔截客戶端對惡意網(wǎng)絡服務器的訪問的方案,以力圖解決或者至少緩解上面存在的至少一個問題。

      根據(jù)本發(fā)明的一個方面,提供了一種攔截客戶端對惡意網(wǎng)絡服務器的訪問的方法,適于在惡意攔截設備中執(zhí)行,惡意攔截設備對客戶端對網(wǎng)絡服務器的訪問請求進行鏡像,并存儲有流緩存表,該流緩存表記錄有客戶端發(fā)送至網(wǎng)絡服務器的數(shù)據(jù)流的流信息,該方法包括步驟:通過鏡像來接收客戶端發(fā)送的報文;對于其中特定類型的報文,提取該報文請求訪問的網(wǎng)絡服務器的網(wǎng)絡地址;根據(jù)已知的惡意網(wǎng)絡地址信息確定所請求的網(wǎng)絡地址是否為惡意網(wǎng)絡地址;如果確定該網(wǎng)絡地址為惡意網(wǎng)絡地址,則:獲取流緩存表中對應于所述報文的數(shù)據(jù)流的流信息;根據(jù)所獲取的數(shù)據(jù)流的流信息和所述報文的流信息,判斷客戶端與網(wǎng)絡服務器是否已進行數(shù)據(jù)傳輸;若確定客戶端與網(wǎng)絡服務器已進行數(shù)據(jù)傳輸,則生成包含有終止標記的響應報文,并發(fā)送至客戶端,以便客戶端響應于該響應報文,關(guān)閉與網(wǎng)絡服務器的數(shù)據(jù)傳輸;以及若確定客戶端與網(wǎng)絡服務器還未進行數(shù)據(jù)傳輸,則生成重定向報文,并發(fā)送至客戶端,以便客戶端響應于該重定向報文,訪問提醒網(wǎng)絡地址為惡意網(wǎng)絡地址的內(nèi)容;其中流信息包括序列號和確認號。

      可選地,在根據(jù)本發(fā)明的方法中,還包括步驟:若流緩存表中不存在對應于該報文的數(shù)據(jù)流的流信息,則確定客戶端與網(wǎng)絡地址還未進行數(shù)據(jù)傳輸。

      可選地,在根據(jù)本發(fā)明的方法中,還包括步驟:在生成并發(fā)送重定向報文、或者包含有終止標記的響應報文之后,刪除流緩存表中對應于該報文的數(shù)據(jù)流的流信息。

      可選地,在根據(jù)本發(fā)明的方法中,還包括步驟:在接收客戶端發(fā)送的報文之后,判斷報文是否包含有終止標記;若確定報文包含有終止標記,則刪除流緩存表中對應于該報文的數(shù)據(jù)流的流信息,并丟棄該報文。

      可選地,在根據(jù)本發(fā)明的方法中,根據(jù)所獲取的數(shù)據(jù)流的流信息與報文的流信息,判斷客戶端與網(wǎng)絡服務器是否已進行數(shù)據(jù)傳輸?shù)牟襟E包括:根據(jù)數(shù)據(jù)流與報文的序列號和確認號的大小,確定客戶端與網(wǎng)絡服務器是否已進行數(shù)據(jù)傳輸。

      可選地,在根據(jù)本發(fā)明的方法中,流緩存表還記錄有指示數(shù)據(jù)流是否惡意的標記,該方法還包括步驟:對于非特定類型的報文,若流緩存表中對應于該報文的數(shù)據(jù)流的標記為惡意,則生成包含有終止標記的響應報文,并發(fā)送至客戶端。

      可選地,在根據(jù)本發(fā)明的方法中,該方法還包括步驟:在確定該網(wǎng)絡地址為惡意網(wǎng)絡地址之后,將流緩存表中對應于該報文的數(shù)據(jù)流的標記設置為惡意。

      可選地,在根據(jù)本發(fā)明的方法中,還包括步驟:響應于首次接收到某個數(shù)據(jù)流的報文,在流緩存表中記錄該數(shù)據(jù)流的流信息,其中該數(shù)據(jù)流的流信息為該報文的流信息;

      后續(xù)每接收到該數(shù)據(jù)流的報文,均將該數(shù)據(jù)流的流信息更新為該報文的流信息。

      可選地,在根據(jù)本發(fā)明的方法中,特定類型為超文本傳輸協(xié)議(http)的get類型。

      可選地,在根據(jù)本發(fā)明的方法中,客戶端與網(wǎng)絡服務器在以傳輸控制協(xié)議(tcp)建立的連接上進行數(shù)據(jù)傳輸。

      根據(jù)本發(fā)明的另一方面,提供了一種惡意攔截設備,包括:一個或多個處理器;存儲器;以及一個或多個程序,其中一個或多個程序存儲在存儲器中并被配置為由一個或多個處理器執(zhí)行,一個或多個程序包括用于執(zhí)行根據(jù)本發(fā)明攔截客戶端對惡意網(wǎng)絡服務器的訪問的方法中的任一方法的指令。

      根據(jù)本發(fā)明的另一方面,提供了一種存儲一個或多個程序的計算機可讀存儲介質(zhì),一個或多個程序包括指令,指令當由惡意攔截設備執(zhí)行時,使得惡意攔截設備執(zhí)行根據(jù)本發(fā)明攔截客戶端對惡意網(wǎng)絡服務器的訪問的方法中的任一方法。

      根據(jù)本發(fā)明的還有一個方面,提供了一種惡意攔截系統(tǒng),包括:客戶端、網(wǎng)絡交換設備、根據(jù)本發(fā)明的惡意攔截設備,其中客戶端適于通過網(wǎng)絡交換設備向網(wǎng)絡服務器發(fā)送訪問請求;網(wǎng)絡交換設備適于將客戶端對網(wǎng)絡服務器的訪問請求鏡像到網(wǎng)絡攔截設備;以及網(wǎng)絡攔截設備與網(wǎng)絡交換設備相耦接,適于通過鏡像來接收客戶端發(fā)送的報文,并根據(jù)該報文判斷客戶端所請求訪問的網(wǎng)絡地址是否為惡意網(wǎng)絡地址,若是,則攔截客戶端對網(wǎng)絡服務器的訪問。

      根據(jù)本發(fā)明的攔截客戶端對惡意網(wǎng)絡服務器的訪問的方案,在實時記錄客戶端發(fā)送至網(wǎng)絡服務器的數(shù)據(jù)流的流信息的同時,根據(jù)所記錄的流信息,對接收到的客戶端的報文進行網(wǎng)絡地址是否惡意、以及客戶端與網(wǎng)絡服務器的數(shù)據(jù)傳輸是否已開始的判斷。并對其中確定為惡意網(wǎng)絡地址、客戶端與網(wǎng)絡服務器已開始數(shù)據(jù)傳輸?shù)膱笪模祷睾薪K止標記的響應報文。對其中確定為惡意網(wǎng)絡地址、客戶端與網(wǎng)絡服務器未開始數(shù)據(jù)傳輸?shù)膱笪?,返回重定向報文。這樣,增加了攔截處理時間的寬容度,提高了攔截效率,在惡意網(wǎng)絡服務器已響應或未響應客戶端的訪問請求時均能夠?qū)崿F(xiàn)很好的攔截效果。

      附圖說明

      為了實現(xiàn)上述以及相關(guān)目的,本文結(jié)合下面的描述和附圖來描述某些說明性方面,這些方面指示了可以實踐本文所公開的原理的各種方式,并且所有方面及其等效方面旨在落入所要求保護的主題的范圍內(nèi)。通過結(jié)合附圖閱讀下面的詳細描述,本公開的上述以及其它目的、特征和優(yōu)勢將變得更加明顯。遍及本公開,相同的附圖標記通常指代相同的部件或元素。

      圖1示出了根據(jù)本發(fā)明的一個示例性實施方式的惡意攔截系統(tǒng)100的結(jié)構(gòu)框圖;

      圖2示出了根據(jù)本發(fā)明一個示例性實施方式的惡意攔截設備200的結(jié)構(gòu)框圖;

      圖3示出了根據(jù)本發(fā)明一個示例性實施方式的記錄數(shù)據(jù)流的流信息的方法300的流程圖;以及

      圖4示出了根據(jù)本發(fā)明一個示例性實施方式的攔截客戶端120對惡意網(wǎng)絡服務器的訪問的方法400的流程圖。

      具體實施方式

      下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例,然而應當理解,可以以各種形式實現(xiàn)本公開而不應被這里闡述的實施例所限制。相反,提供這些實施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整的傳達給本領(lǐng)域的技術(shù)人員。

      圖1示出了根據(jù)本發(fā)明一個示例性實施方式的惡意攔截系統(tǒng)100的結(jié)構(gòu)框圖。該惡意攔截系統(tǒng)100可以包括客戶端120、網(wǎng)絡交換設備140和惡意攔截設備200。其中,客戶端120可以實現(xiàn)為諸如ie、chrome和safari之類的瀏覽器,網(wǎng)絡交換設備140可以實現(xiàn)為諸如路由器、交換機之類的構(gòu)建網(wǎng)絡所采用的設備,客戶端120可以通過網(wǎng)絡交換設備140對互聯(lián)網(wǎng)中的各種網(wǎng)絡服務器160進行訪問,即客戶端120通過網(wǎng)絡交換設備140向網(wǎng)絡服務器160發(fā)送訪問請求,網(wǎng)絡服務器160同樣也通過網(wǎng)絡交換設備140響應客戶端120的訪問請求。

      網(wǎng)絡交換設備140還與惡意攔截設備200相耦接,并可以在接收到來自客戶端的訪問請求、將訪問請求轉(zhuǎn)發(fā)至網(wǎng)絡服務器160的同時,將該訪問請求鏡像到惡意攔截設備200。

      惡意攔截設備200通過鏡像來接收客戶端120發(fā)送的報文,并可以根據(jù)該報文判斷客戶端120所請求訪問的網(wǎng)絡地址是否為惡意網(wǎng)絡地址,若是,則攔截客戶端120對網(wǎng)絡服務器160的訪問。

      下面結(jié)合圖2~圖4來詳細闡述對惡意攔截設備200攔截客戶端120對網(wǎng)絡服務器160的訪問的原理。

      圖2示出了根據(jù)本發(fā)明一個示例性實施方式的惡意攔截設備200的結(jié)構(gòu)框圖。該惡意攔截設備200可以實現(xiàn)為服務器,例如文件服務器、數(shù)據(jù)庫服務器、應用程序服務器和網(wǎng)絡服務器等,也可以實現(xiàn)為包括桌面計算機和筆記本計算機配置的個人計算機。此外,惡意攔截設備200還可以實現(xiàn)為小尺寸便攜(或者移動)電子設備的一部分,這些電子設備可以是諸如蜂窩電話、個人數(shù)字助理(pda)、個人媒體播放器設備、無線網(wǎng)絡瀏覽設備、個人頭戴設備、應用專用設備、或者可以包括上面任何功能的混合設備。

      在基本的配置202中,惡意攔截設備200典型地包括系統(tǒng)存儲器206和一個或者多個處理器204。存儲器總線208可以用于在處理器204和系統(tǒng)存儲器206之間的通信。

      取決于期望的配置,處理器204可以是任何類型的處理,包括但不限于:微處理器((μp)、微控制器(μc)、數(shù)字信息處理器(dsp)或者它們的任何組合。處理器204可以包括諸如一級高速緩存210和二級高速緩存212之類的一個或者多個級別的高速緩存、處理器核心214和寄存器216。示例的處理器核心214可以包括運算邏輯單元(alu)、浮點數(shù)單元(fpu)、數(shù)字信號處理核心(dsp核心)或者它們的任何組合。示例的存儲器控制器218可以與處理器204一起使用,或者在一些實現(xiàn)中,存儲器控制器218可以是處理器204的一個內(nèi)部部分。

      取決于期望的配置,系統(tǒng)存儲器206可以是任意類型的存儲器,包括但不限于:易失性存儲器(諸如ram)、非易失性存儲器(諸如rom、閃存等)或者它們的任何組合。系統(tǒng)存儲器206可以包括操作系統(tǒng)220、一個或者多個程序222以及程序數(shù)據(jù)224。在一些實施方式中,程序222可以被配置為在操作系統(tǒng)上由一個或者多個處理器204利用程序數(shù)據(jù)224執(zhí)行指令。

      惡意攔截設備200還可以包括有助于從各種接口設備(例如,輸出設備242、外設接口244和通信設備246)到基本配置202經(jīng)由總線/接口控制器130的通信的接口總線240。示例的輸出設備242包括圖形處理單元248和音頻處理單元250。它們可以被配置為有助于經(jīng)由一個或者多個a/v端口252與諸如顯示器或者揚聲器之類的各種外部設備進行通信。示例外設接口244可以包括串行接口控制器254和并行接口控制器256,它們可以被配置為有助于經(jīng)由一個或者多個i/o端口258和諸如輸入設備(例如,鍵盤、鼠標、筆、語音輸入設備、觸摸輸入設備)或者其他外設(例如打印機、掃描儀等)之類的外部設備進行通信。示例的通信設備246可以包括網(wǎng)絡控制器260,其可以被布置為便于經(jīng)由一個或者多個通信端口264與一個或者多個其他類似的設備262通過網(wǎng)絡通信鏈路的通信。

      網(wǎng)絡通信鏈路可以是通信介質(zhì)的一個示例。通信介質(zhì)通??梢泽w現(xiàn)為在諸如載波或者其他傳輸機制之類的調(diào)制數(shù)據(jù)信號中的計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊,并且可以包括任何信息遞送介質(zhì)。“調(diào)制數(shù)據(jù)信號”可以這樣的信號,它的數(shù)據(jù)集中的一個或者多個或者它的改變可以在信號中編碼信息的方式進行。作為非限制性的示例,通信介質(zhì)可以包括諸如有線網(wǎng)絡或者專線網(wǎng)絡之類的有線介質(zhì),以及諸如聲音、射頻(rf)、微波、紅外(ir)或者其它無線介質(zhì)在內(nèi)的各種無線介質(zhì)。這里使用的術(shù)語計算機可讀介質(zhì)可以包括存儲介質(zhì)和通信介質(zhì)二者。

      其中,惡意攔截設備200可以存儲有流緩存表,該流緩存表記錄有客戶端120發(fā)送至網(wǎng)絡服務器160的數(shù)據(jù)流的流信息??梢岳斫獾兀瑪?shù)據(jù)流,表現(xiàn)在tcp/ip協(xié)議上,即為由四元組共同確定的、在客戶端120與網(wǎng)絡服務器160之間建立的tcp連接上的所有報文。同樣地,流信息,表現(xiàn)在tcp/ip協(xié)議上,即為報文的四元組(源ip地址、目的ip地址、源端口和目的端口)、序列號(sequencenumber)和確認號(acknowledgmentnumber)。

      惡意攔截設備200的一個或多個程序222可以包括用于執(zhí)行根據(jù)本發(fā)明的記錄數(shù)據(jù)流的流信息的方法中任一方法的指令。圖3示出了根據(jù)本發(fā)明一個示例性實施方式的記錄數(shù)據(jù)流的流信息的方法300的流程圖。

      如圖3所示,記錄數(shù)據(jù)流的流信息的方法300始于步驟s310,在步驟s310中,通過鏡像來接收客戶端120發(fā)送的報文。

      而后在步驟s320中,獲取該報文的四元組,在步驟s330中,以該四元組為索引,查找流緩存表中是否記錄有對應的數(shù)據(jù)流的流信息。

      若是,表明之前已接收到該數(shù)據(jù)流的報文,則在步驟s340中,將流緩存表中該數(shù)據(jù)流的流信息更新為所接收的報文的流信息。后續(xù)每接收到該數(shù)據(jù)流的報文,均進行此更新。

      若否,表明是首次接收到該數(shù)據(jù)流的報文,則在步驟s350中,在流緩存表中記錄該數(shù)據(jù)流的流信息,其中該數(shù)據(jù)流的流信息為所接收的報文的流信息。后續(xù)每接收到該數(shù)據(jù)流的報文,則對該數(shù)據(jù)流的流信息進行更新。

      同時,惡意攔截設備200的一個或多個程序222還包括用于執(zhí)行根據(jù)本發(fā)明的攔截客戶端120對惡意網(wǎng)絡服務器的訪問的方法中任一方法的指令。

      圖4示出了根據(jù)本發(fā)明一個示例性實施方式的攔截客戶端120對惡意網(wǎng)絡服務器的訪問的方法400的流程圖。如圖4所示,攔截客戶端120對惡意網(wǎng)絡服務器的訪問的方法400始于步驟s410。在步驟s410中,通過鏡像來接收客戶端120發(fā)送的報文。

      根據(jù)本發(fā)明的一個實施方式,在接收到報文之后,可以先判斷該報文是否包含有終止標記,終止標記可以表示將關(guān)閉當前建立的連接,表現(xiàn)在tcp/ip協(xié)議上,即為復位標記(rst)和結(jié)束標記(fin)。

      若確定報文包含有終止標記,則可以在存儲的流緩存表中查找對應于該報文的數(shù)據(jù)流的流信息,將其刪除,而后丟棄報文。若流緩存表中沒有對應的記錄,則可以直接丟棄報文。

      如果確定報文沒有包含終止標記,則可以獲取該報文的類型。典型地,在http/1.1協(xié)議中共定義了八種請求類型來以不同方式操作指定的資源,其中g(shù)et類型和post類型最為常見。

      對于get類型這種包含有報文請求訪問的網(wǎng)絡地址的特定類型的報文,在步驟s420中,提取該報文請求訪問的網(wǎng)絡服務器160的網(wǎng)絡地址。

      而后在步驟s430中,根據(jù)已知的惡意網(wǎng)絡地址信息來確定所請求的網(wǎng)絡地址是否為惡意網(wǎng)絡地址。根據(jù)本發(fā)明的一個實施方式,惡意攔截系統(tǒng)100,如圖1所示,還可以包括惡意網(wǎng)絡地址存儲設備180,該惡意網(wǎng)絡地址存儲設備180與惡意攔截設備200相耦接,并存儲有已知的惡意網(wǎng)絡地址信息。

      具體地,可以查詢所請求的網(wǎng)絡地址是否存在于惡意網(wǎng)絡地址存儲設備180中,如果存在,則確定該網(wǎng)絡地址為惡意網(wǎng)絡地址。如果不存在,則確定該網(wǎng)絡地址不為惡意網(wǎng)絡地址,則可以刪除流緩存表中對應的數(shù)據(jù)流的流信息,并丟棄該報文,不對此次訪問進行任何攔截。

      當然,已知的惡意網(wǎng)絡地址信息還可以存儲于惡意攔截設備200本身,同樣可以實現(xiàn)對網(wǎng)絡地址是否惡意的判斷。根據(jù)本發(fā)明的一個實施方式,惡意網(wǎng)絡地址分析設備還可以存儲有惡意網(wǎng)絡地址緩存表,該惡意網(wǎng)絡地址緩存表存儲有在惡意攔截設備200中被確定為惡意網(wǎng)絡地址的那些網(wǎng)絡地址。因此,在查找惡意網(wǎng)絡地址存儲設備180中是否存在該網(wǎng)絡地址之前,先可以查找惡意網(wǎng)絡地址緩存表中是否存在該網(wǎng)絡地址。若存在,則確定該網(wǎng)絡地址為惡意網(wǎng)絡地址。若不存在,則繼續(xù)去惡意網(wǎng)絡地址存儲設備180中查找。

      總之,如果確定該網(wǎng)絡地址為惡意網(wǎng)絡地址,接下來需要判斷客戶端120是否已經(jīng)與該惡意網(wǎng)絡地址對應的網(wǎng)絡服務器160進行了數(shù)據(jù)傳輸,并針對這兩種情況采取不同的攔截策略。

      首先,以報文的四元組為索引,查找流緩存表中是否記錄有對應的數(shù)據(jù)流的流信息。根據(jù)本發(fā)明的一個實施方式,若流緩存表中沒有對應的數(shù)據(jù)流的流信息,則確定客戶端120與網(wǎng)絡服務器160還未進行數(shù)據(jù)傳輸。

      若流緩存表中記錄有對應的數(shù)據(jù)流的流信息,則在步驟s440中,獲取流緩存表中對應于該報文的數(shù)據(jù)流的流信息。

      而后可以獲取該報文的流信息,并在步驟s450中,根據(jù)所獲取的數(shù)據(jù)流的流信息和該報文的流信息,判斷客戶端120與網(wǎng)絡服務器160是否已進行數(shù)據(jù)傳輸。根據(jù)本發(fā)明的一個實施方式,可以根據(jù)所記錄的數(shù)據(jù)流的序列號和確認號、與報文的序列號和確認號的大小,來確定客戶端120與網(wǎng)絡服務器160是否已進行數(shù)據(jù)傳輸。

      具體地,可以比較二者的序列號和確認號的大小,若數(shù)據(jù)流的序列號大于該報文的序列號、或者數(shù)據(jù)流的確認號大于該報文的確認號,則可以確定客戶端120與網(wǎng)絡服務器160已進行數(shù)據(jù)傳輸,否則可以確定客戶端120與網(wǎng)絡服務器160還未進行數(shù)據(jù)傳輸。

      例如,接收到的報文所包含的序列號為0x5d6c8ece、確認號為0xdf156c86,流緩存表中對應于該報文的數(shù)據(jù)流的序列號為0x5d6c8ece、確認號為0xdf156e86。將數(shù)據(jù)流的序列號和確認號與報文的序列號和確認號進行比較,顯然,數(shù)據(jù)流的序列號等于報文的序列號,數(shù)據(jù)流的確認號0xdf156e86大于報文的確認號0xdf156c86,因此可以確定目前客戶端與網(wǎng)絡服務器已經(jīng)進行數(shù)據(jù)傳輸,才導致確認號的數(shù)值隨傳輸?shù)臄?shù)據(jù)量而增加。

      可以理解地,惡意攔截設備200在更新流緩存表中數(shù)據(jù)流的流信息的同時,并行地對接收到的報文進行攔截分析。前者計算量較小,不需占用太多系統(tǒng)資源,可以實時完成,而后者計算量較大,經(jīng)常會因為復雜的運行情況而出現(xiàn)延遲。例如,可能流緩存表中該數(shù)據(jù)流的流信息已經(jīng)更新為最新的報文的流信息,但此時進行攔截分析的報文還是該數(shù)據(jù)流的上一條或上上一條報文。

      考慮到這種實際情況,本發(fā)明創(chuàng)造性地提出通過記錄的數(shù)據(jù)流和當前處理的報文的流信息,來判斷客戶端120與網(wǎng)絡服務器160是否已進行數(shù)據(jù)傳輸。不同于現(xiàn)有技術(shù),即使已進行數(shù)據(jù)傳輸,也可以攔截該訪問。從而實現(xiàn)了對進行攔截分析所需處理時間的寬容度的提高,即使設備超負荷、無法及時處理某一個或若干個報文,但總有能處理到的一部分,不會影響最后的攔截效果。

      下面詳細闡述客戶端120與網(wǎng)絡服務器160已進行數(shù)據(jù)傳輸和還未進行數(shù)據(jù)的攔截策略。

      在上述步驟中,若確定網(wǎng)絡地址為惡意網(wǎng)絡地址、且客戶端120與網(wǎng)絡服務器160還未進行數(shù)據(jù)傳輸,則接下來在步驟s460中,生成重定向報文,并經(jīng)由網(wǎng)絡交換設備140發(fā)送至客戶端120,以便客戶端120響應于該重定向報文,關(guān)閉與網(wǎng)絡服務器160的連接,去訪問提醒該網(wǎng)絡地址為惡意網(wǎng)絡地址的內(nèi)容。這樣,用戶可以停止對該網(wǎng)絡服務器160的訪問。其中,重定向報文通常實現(xiàn)為http協(xié)議下的重定向,并且報文包含的序列號和確認號與所接收的報文的序列號和確認號相匹配。

      若確定網(wǎng)絡地址為惡意網(wǎng)絡地址、且客戶端120與網(wǎng)絡服務器160已進行數(shù)據(jù)傳輸,則在步驟s470中,生成包含有終止標記的響應報文,并經(jīng)由網(wǎng)絡交換設備140發(fā)送至客戶端120,以便客戶端120響應于該響應報文,關(guān)閉與網(wǎng)絡服務器160的數(shù)據(jù)傳輸,從而停止對網(wǎng)絡服務器160的訪問。其中,該響應報文通常實現(xiàn)為tcp/ip協(xié)議下包含有復位標記(rst)的報文,并且報文包含的序列號和確認號與流緩存表中記錄的序列號和確認號相匹配。

      這樣,就成功實現(xiàn)了在客戶端與惡意網(wǎng)絡服務器已進行數(shù)據(jù)傳輸和未進行數(shù)據(jù)傳輸時對訪問的攔截,極大地提高了攔截效率,避免了因處理速度緩慢、網(wǎng)絡服務器先于惡意攔截設備響應客戶端,重定向報文失效從而無法攔截訪問的情況。

      在生成并發(fā)送重定向報文、或者包含有終止標記的響應報文之后,根據(jù)本發(fā)明的一個實施方式,還可以刪除流緩存表中對應的數(shù)據(jù)流的流信息。

      另外,若在步驟s410中所接收的報文為諸如http協(xié)議下post類型之類的非特定類型,可以認為客戶端120與網(wǎng)絡服務器160已進行數(shù)據(jù)傳輸。此時,考慮到諸如post類型之類的非特定類型的報文沒有包括所請求訪問的網(wǎng)絡地址,根據(jù)本發(fā)明的另一個實施方式,流緩存表可以記錄指示數(shù)據(jù)流是否惡意的標記。對于非特定類型的報文,可以根據(jù)該標記來確定是否要攔截該訪問。

      具體地,查找流緩存表中是否記錄有對應的數(shù)據(jù)流的流信息,若是,則獲取該數(shù)據(jù)流的標記。若流緩存表中對應于該報文的數(shù)據(jù)流的標記為惡意,則需要攔截該訪問??梢圆扇∨c上文描述的客戶端120與網(wǎng)絡服務器160已進行數(shù)據(jù)傳輸?shù)那闆r相同的攔截策略,生成包含有終止標記的響應報文,并發(fā)送至客戶端120。若對應于該報文的數(shù)據(jù)流的標記為惡意,則不攔截該訪問。

      其中,數(shù)據(jù)流的標記初始時可以默認為非惡意,而后在步驟s430中確定該網(wǎng)絡地址為惡意網(wǎng)絡地址之后,將流緩存表中對應于該報文的數(shù)據(jù)流的標記設置為惡意。

      應當理解,這里描述的各種技術(shù)可結(jié)合硬件或軟件,或者它們的組合一起實現(xiàn)。從而,本發(fā)明的方法和設備,或者本發(fā)明的方法和設備的某些方面或部分可采取嵌入有形媒介,例如軟盤、cd-rom、硬盤驅(qū)動器或者其它任意機器可讀的存儲介質(zhì)中的程序代碼(即指令)的形式,其中當程序被載入諸如計算機之類的機器,并被該機器執(zhí)行時,該機器變成實踐本發(fā)明的設備。

      在程序代碼在可編程計算機上執(zhí)行的情況下,計算設備一般包括處理器、處理器可讀的存儲介質(zhì)(包括易失性和非易失性存儲器和/或存儲元件),至少一個輸入裝置,和至少一個輸出裝置。其中,存儲器被配置用于存儲程序代碼;處理器被配置用于根據(jù)該存儲器中存儲的該程序代碼中的指令,執(zhí)行本發(fā)明的各種方法。

      本發(fā)明還可以包括:a8、如a1-7中任一個所述的方法,其中,還包括步驟:響應于首次接收到某個數(shù)據(jù)流的報文,在流緩存表中記錄該數(shù)據(jù)流的流信息,其中該數(shù)據(jù)流的流信息為該報文的流信息;后續(xù)每接收到該數(shù)據(jù)流的報文,均將該數(shù)據(jù)流的流信息更新為該報文的流信息。a9、如a1-8中任一個所述的方法,其中,所述特定類型為超文本傳輸協(xié)議(http)的get類型。a10、如a1-9中任一個所述的方法,其中,所述客戶端與網(wǎng)絡服務器在以傳輸控制協(xié)議(tcp)建立的連接上進行數(shù)據(jù)傳輸。

      以示例而非限制的方式,計算機可讀介質(zhì)包括計算機存儲介質(zhì)和通信介質(zhì)。計算機可讀介質(zhì)包括計算機存儲介質(zhì)和通信介質(zhì)。計算機存儲介質(zhì)存儲諸如計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其它數(shù)據(jù)等信息。通信介質(zhì)一般以諸如載波或其它傳輸機制等已調(diào)制數(shù)據(jù)信號來體現(xiàn)計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其它數(shù)據(jù),并且包括任何信息傳遞介質(zhì)。以上的任一種的組合也包括在計算機可讀介質(zhì)的范圍之內(nèi)。

      應當理解,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個,在上面對本發(fā)明的示例性實施例的描述中,本發(fā)明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而,并不應將該公開的方法解釋成反映如下意圖:即所要求保護的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多特征。更確切地說,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此,遵循具體實施方式的權(quán)利要求書由此明確地并入該具體實施方式,其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例。

      本領(lǐng)域那些技術(shù)人員應當理解在本文所公開的示例中的設備的模塊或單元或組件可以布置在如該實施例中所描述的設備中,或者可替換地可以定位在與該示例中的設備不同的一個或多個設備中。前述示例中的模塊可以組合為一個模塊或者此外可以分成多個子模塊。

      本領(lǐng)域那些技術(shù)人員可以理解,可以對實施例中的設備中的模塊進行自適應性地改變并且把它們設置在與該實施例不同的一個或多個設備中??梢园褜嵤├械哪K或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設備的所有過程或單元進行組合。除非另外明確陳述,本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。

      此外,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例。例如,在下面的權(quán)利要求書中,所要求保護的實施例的任意之一都可以以任意的組合方式來使用。

      此外,所述實施例中的一些在此被描述成可以由計算機系統(tǒng)的處理器或者由執(zhí)行所述功能的其它裝置實施的方法或方法元素的組合。因此,具有用于實施所述方法或方法元素的必要指令的處理器形成用于實施該方法或方法元素的裝置。此外,裝置實施例的在此所述的元素是如下裝置的例子:該裝置用于實施由為了實施該發(fā)明的目的的元素所執(zhí)行的功能。

      如在此所使用的那樣,除非另行規(guī)定,使用序數(shù)詞“第一”、“第二”、“第三”等等來描述普通對象僅僅表示涉及類似對象的不同實例,并且并不意圖暗示這樣被描述的對象必須具有時間上、空間上、排序方面或者以任意其它方式的給定順序。

      盡管根據(jù)有限數(shù)量的實施例描述了本發(fā)明,但是受益于上面的描述,本技術(shù)領(lǐng)域內(nèi)的技術(shù)人員明白,在由此描述的本發(fā)明的范圍內(nèi),可以設想其它實施例。此外,應當注意,本說明書中使用的語言主要是為了可讀性和教導的目的而選擇的,而不是為了解釋或者限定本發(fā)明的主題而選擇的。因此,在不偏離所附權(quán)利要求書的范圍和精神的情況下,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說許多修改和變更都是顯而易見的。對于本發(fā)明的范圍,對本發(fā)明所做的公開是說明性的,而非限制性的,本發(fā)明的范圍由所附權(quán)利要求書限定。

      當前第1頁1 2 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1