亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種web網(wǎng)頁攻擊檢測和響應(yīng)方法及裝置的制作方法

文檔序號(hào):7700384閱讀:146來源:國知局
專利名稱:一種web網(wǎng)頁攻擊檢測和響應(yīng)方法及裝置的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種TOB網(wǎng)頁攻擊檢測和響應(yīng)方法及裝置。
背景技術(shù)
隨著互聯(lián)網(wǎng)的不斷發(fā)展和應(yīng)用,人們的日常生活越來越離不開互聯(lián)網(wǎng)。同時(shí),依附 于TOB網(wǎng)頁傳播的木馬、病毒等惡意內(nèi)容廣泛地危害著互聯(lián)網(wǎng)用戶。當(dāng)前大部分的網(wǎng)關(guān)類產(chǎn)品,都有對TOB頁面進(jìn)行過濾的功能,以避免用戶受到惡 意內(nèi)容的侵害。但是大部分網(wǎng)關(guān)類產(chǎn)品的WEB過濾功能,只是簡單地將TOB網(wǎng)頁上的圖片、 FLASH動(dòng)畫等ActiveXObject (IE插件)進(jìn)行強(qiáng)制過濾,即修改其中的關(guān)鍵字使該數(shù)據(jù)不能 在客戶端顯示。對可能含有惡意攻擊的TOB內(nèi)容強(qiáng)制過濾的解決方案,并沒有對實(shí)際數(shù)據(jù)進(jìn)行病 毒檢測。簡單地強(qiáng)制過濾,實(shí)際上很有可能連正常網(wǎng)頁一并過濾掉了,容易對正常網(wǎng)頁進(jìn)行 誤操作,從而降低了網(wǎng)頁的用戶體驗(yàn)度。

發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題在于,需要提供一種WEB網(wǎng)頁攻擊檢測和響應(yīng)方法及 裝置,以對TOB頁面進(jìn)行過濾,保護(hù)客戶端免受惡意內(nèi)容的攻擊。為了解決上述技術(shù)問題,本發(fā)明首先提供了一種TOB網(wǎng)頁攻擊檢測和響應(yīng)方法, 包括截獲TOB服務(wù)器返回給客戶端的響應(yīng)報(bào)文,獲取所述響應(yīng)報(bào)文中的響應(yīng)頭及響應(yīng) 體;對所述響應(yīng)體進(jìn)行掃描檢測;檢測到所述響應(yīng)體含有惡意內(nèi)容,將所述響應(yīng)體替換為提示信息,并將所述提示 信息與所述響應(yīng)頭進(jìn)行合并,得到反饋報(bào)文;將所述反饋報(bào)文發(fā)送給所述客戶端。優(yōu)選地,獲得所述響應(yīng)頭之后,根據(jù)所述響應(yīng)頭獲得所述響應(yīng)體的體類型;根據(jù)所述體類型,將所述響應(yīng)體替換為所述提示信息。優(yōu)選地,根據(jù)所述響應(yīng)頭的內(nèi)容類型協(xié)議字段,獲得所述響應(yīng)體的體類型。優(yōu)選地,所述體類型,包括圖片類型、FLASH類型或HTML類型。優(yōu)選地,所述提示信息的文件類型,與所述體類型相同。為了解決上述技術(shù)問題,本發(fā)明還提供了一種TOB網(wǎng)頁攻擊檢測和響應(yīng)裝置,包 括截獲模塊,用于截獲TOB服務(wù)器返回給客戶端的響應(yīng)報(bào)文,并獲取所述響應(yīng)報(bào)文 中的響應(yīng)頭及響應(yīng)體;病毒檢測模塊,與所述截獲模塊相連,用于對所述響應(yīng)體進(jìn)行掃描檢測;
替換模塊,與所述病毒檢測模塊相連,用于將檢測到有惡意內(nèi)容的所述響應(yīng)體替 換為提示信息,并將所述響應(yīng)頭及提示信息進(jìn)行合并,得到反饋報(bào)文;轉(zhuǎn)發(fā)模塊,與所述替換模塊相連,用于將所述反饋報(bào)文轉(zhuǎn)發(fā)給所述客戶端。優(yōu)選地,該裝置進(jìn)一步包括分析模塊,與所述截獲模塊相連,用于根據(jù)所述響應(yīng)頭獲得所述響應(yīng)體的體類 型;所述替換模塊,根據(jù)所述體類型將所述響應(yīng)體替換為所述提示信息。優(yōu)選地,所述分析模塊,根據(jù)所述響應(yīng)頭的內(nèi)容類型協(xié)議字段,獲得所述響應(yīng)體的 體類型。優(yōu)選地,所述分析模塊,獲得的所述體類型包括圖片類型、FLASH類型或HTML類型。優(yōu)選地,所述替換模塊,將所述響應(yīng)體替換為文件類型與所述體類型相同的提示
fn息ο與現(xiàn)有技術(shù)相比,本發(fā)明提供的TOB網(wǎng)頁攻擊檢測和響應(yīng)方法,實(shí)現(xiàn)了對含有木 馬、病毒等的惡意內(nèi)容的WEB網(wǎng)頁進(jìn)行精確過濾,保護(hù)了客戶端免受惡意內(nèi)容的攻擊,避免 了對正常網(wǎng)頁內(nèi)容的誤殺,保證了正常網(wǎng)頁數(shù)據(jù)可以順利通過,另外還以提示信息像對過 濾后的網(wǎng)頁向用戶友好提示,提高了網(wǎng)頁的用戶體驗(yàn)度。


圖1為本發(fā)明TOB網(wǎng)頁攻擊檢測和響應(yīng)方法實(shí)施例的流程示意圖。圖2為圖1所示方法實(shí)施例中用于替換的圖片。圖3為本發(fā)明TOB網(wǎng)頁攻擊檢測和響應(yīng)裝置實(shí)施例的組成示意圖。
具體實(shí)施例方式以下將結(jié)合附圖及實(shí)施例來詳細(xì)說明本發(fā)明的實(shí)施方式,借此對本發(fā)明如何應(yīng)用 技術(shù)手段來解決技術(shù)問題,并達(dá)成技術(shù)效果的實(shí)現(xiàn)過程能充分理解并據(jù)以實(shí)施。圖1為本發(fā)明TOB網(wǎng)頁攻擊檢測和響應(yīng)方法實(shí)施例的流程示意圖。如圖1所示, 該方法實(shí)施例主要包括如下步驟步驟S110,接收客戶端訪問TOB服務(wù)器的請求報(bào)文,記錄該請求報(bào)文中包含的客 戶端訪問的URL(統(tǒng)一資源定位符);步驟S120,將接收的該請求報(bào)文轉(zhuǎn)發(fā)給TOB服務(wù)器;步驟S130,截獲TOB服務(wù)器根據(jù)該請求報(bào)文所返回給客戶端的響應(yīng)報(bào)文,獲取該 響應(yīng)報(bào)文所包含的http響應(yīng)頭和http響應(yīng)體;步驟S140,根據(jù)該http響應(yīng)頭的content-type (內(nèi)容類型)協(xié)議字段,獲得http 響應(yīng)體的體類型;步驟S150,對該http響應(yīng)體進(jìn)行掃描檢測,如果檢測到該http響應(yīng)體含有病毒, 則轉(zhuǎn)步驟S160,否則轉(zhuǎn)步驟S170 ;步驟S160,根據(jù)該http響應(yīng)體的體類型,將檢測到含有惡意內(nèi)容的該http響應(yīng)體 替換為文件類型與該http響應(yīng)體的體類型相同的提示信息,將該提示信息與http響應(yīng)頭合并,獲得反饋報(bào)文并發(fā)送給客戶端,以向用戶提示所訪問的數(shù)據(jù)含有惡意內(nèi)容,有可能對 客戶端造成危害,結(jié)束。步驟S170,將截獲的該響應(yīng)報(bào)文轉(zhuǎn)發(fā)給客戶端,結(jié)束。上述步驟Sl 10 S130的實(shí)現(xiàn),依賴于基本的應(yīng)用層以下協(xié)議解析,包含基本的ip 碎片重組、tcp流重組等功能。 上述步驟S130中,截獲該響應(yīng)報(bào)文的具體方法為按照RFC (RequestFor Comments,請求注解包含了關(guān)于Internet的幾乎所有重要的文字資料)對http協(xié)議規(guī) 范,對該響應(yīng)報(bào)文進(jìn)行解析和提取,獲得該http響應(yīng)頭和http響應(yīng)體。其中獲取http響 應(yīng)頭字段信息時(shí),按照RFC對http的定義標(biāo)準(zhǔn)解析出各個(gè)協(xié)議變量字段。通過http請求 或應(yīng)答的頭結(jié)束標(biāo)志” OdOaOdOa” | ” 0a0a” | ”O(jiān)dOd”來定位http請求和應(yīng)答方向的頭域各 字段。上述步驟S130中,所截獲的響應(yīng)報(bào)文有時(shí)候?yàn)槎鄠€(gè)數(shù)據(jù)包。對于這種響應(yīng)體分包 傳送的情況,則采用文件還原機(jī)制來進(jìn)行數(shù)據(jù)拼接,以獲取完整的http響應(yīng)體數(shù)據(jù),其具 體過程為設(shè)置N塊可以用來并發(fā)緩存數(shù)據(jù)的緩沖區(qū),每一塊緩沖區(qū)的大小為η ;在分包傳輸?shù)臄?shù)據(jù)報(bào)文中找到文件傳輸結(jié)束標(biāo)識(shí),或者還原的文件大小達(dá)到緩沖 區(qū)空間的大小η時(shí),結(jié)束文件還原。上述步驟S140中所獲得的http響應(yīng)體的體類型,包括圖片類型、FLASH類型或 HTML類型。上述步驟S160中,將檢測到含有惡意內(nèi)容的http響應(yīng)體,替換時(shí)為之前預(yù)設(shè) 的與該http響應(yīng)體同類型的可以顯示給用戶進(jìn)行告警的提示信息,比如該提示信息為“該 網(wǎng)頁數(shù)據(jù)存在惡意攻擊”等。然后將步驟S130中獲得的http響應(yīng)頭與該提示信息進(jìn)行數(shù) 據(jù)組合,并將數(shù)據(jù)組合后的數(shù)據(jù)發(fā)送給客戶端進(jìn)行顯示。在進(jìn)行數(shù)據(jù)組合時(shí),還可以將步驟 SllO中所記錄的URL組合進(jìn)來,提示用戶是否需要繼續(xù)點(diǎn)擊。進(jìn)行上述數(shù)據(jù)組合時(shí),需要按照網(wǎng)絡(luò)數(shù)據(jù)包規(guī)范,填充各層協(xié)議數(shù)據(jù),如修改ip 頭部的總長度位,修改ip、tcp校驗(yàn)以及修改http頭信息中的content-length字段,使重 新組裝的數(shù)據(jù)滿足各層協(xié)議規(guī)范。以下以具體的應(yīng)用實(shí)例,來說明本發(fā)明方法的上述實(shí)施例??蛻舳嗽L問TOB服務(wù)器的請求報(bào)文中,含有一 http://imR2. quotes, money. 123. com/chart/stimechart2/0000001.pnR的URL地址,該URL地址表示所請求的是一幅圖片。 對截獲到的WEB服務(wù)器返回的該幅圖片進(jìn)行病毒檢測時(shí),發(fā)現(xiàn)該圖片數(shù)據(jù)中攜帶有病毒, 于是按照http體攜帶的圖片數(shù)據(jù)格式,將該圖片替換為如圖2所示的圖片,并將該替換后 的圖片顯示給用戶??蛻舳嗽L問TOB服務(wù)器的請求報(bào)文中,含有一 http://pro. 123. com/html, hr/的 URL地址,該地址表示所請求的為html數(shù)據(jù)。對截獲到的TOB服務(wù)器返回的html體數(shù)據(jù) 進(jìn)行病毒檢測時(shí),發(fā)現(xiàn)該html體數(shù)據(jù)中攜帶有病毒,于是將訪問的html數(shù)據(jù)按照html格 式要求,換成以下數(shù)據(jù)信息“訪問的網(wǎng)頁數(shù)據(jù)存在惡意攻擊URL =http://pro.l23. com/ html.ng/”,并將替換后的信息顯示給用戶。對于檢測到FLASH動(dòng)畫之類ActiveXObject數(shù)據(jù)具有病毒,同樣也按照http體攜 帶ActiveXOb ject數(shù)據(jù)的格式要求,進(jìn)行信息替換,并將訪問的URL返回給用戶,提示用戶訪問的網(wǎng)頁數(shù)據(jù)有惡意攻擊。圖3為本發(fā)明TOB網(wǎng)頁攻擊檢測和響應(yīng)裝置實(shí)施例的組成示意圖。參閱圖1所示 的本發(fā)明WEB網(wǎng)頁攻擊檢測和響應(yīng)方法實(shí)施例,圖3所示的裝置實(shí)施例主要包括截獲模塊 310、記錄模塊320、轉(zhuǎn)發(fā)模塊330、分析模塊340、病毒檢測模塊350以及替換模塊360,其 中截獲模塊310,用于截獲客戶端訪問TOB服務(wù)器的請求報(bào)文,以及WEB服務(wù)器向客 戶端返回的響應(yīng)報(bào)文,并獲取該響應(yīng)報(bào)文所包含的http響應(yīng)頭和http響應(yīng)體;記錄模塊320,與該截獲模塊310相連,用于記錄該請求報(bào)文中的URL ;轉(zhuǎn)發(fā)模塊330,與該截獲模塊310相連,用于將該請求報(bào)文轉(zhuǎn)發(fā)給WEB服務(wù)器;分析模塊340,與該截獲模塊310相連,用于根據(jù)該http響應(yīng)頭的content-type 協(xié)議字段,獲得http響應(yīng)體的體類型;其中該http響應(yīng)體的體類型包括圖片類型、FLASH 類型及HTML類型;病毒檢測模塊350,與該截獲模塊310相連,用于對該http響應(yīng)體進(jìn)行掃描檢測, 獲得掃描結(jié)果;替換模塊360,與該病毒檢測模塊350相連,用于將檢測到有惡意內(nèi)容的該http響 應(yīng)體,替換為文件類型與該http響應(yīng)體的體類型相同的提示信息,將該提示信息與http響 應(yīng)頭合并,獲得反饋報(bào)文;該轉(zhuǎn)發(fā)模塊330,還與該病毒檢測模塊350及替換模塊360相連,在病毒檢測模塊 350沒有檢測到http響應(yīng)體中含有惡意內(nèi)容時(shí),根據(jù)病毒檢測模塊350所獲得的掃描結(jié)果, 將該響應(yīng)報(bào)文轉(zhuǎn)發(fā)給客戶端;在病毒檢測模塊350檢測到http響應(yīng)體中含有惡意內(nèi)容時(shí), 根據(jù)病毒檢測模塊350所獲得的掃描結(jié)果,將該反饋報(bào)文轉(zhuǎn)發(fā)給客戶端。本發(fā)明的技術(shù)方案,可以對含有木馬、病毒等的惡意網(wǎng)頁進(jìn)行精確過濾,避免了對 正常網(wǎng)頁的誤殺。本發(fā)明的技術(shù)方案,通過將被過濾掉的網(wǎng)頁以具有提示信息的網(wǎng)頁進(jìn)行 替換,將提示信息呈現(xiàn)給用戶,向用戶警示訪問的網(wǎng)頁具有危害。雖然本發(fā)明所揭露的實(shí)施方式如上,但所述的內(nèi)容只是為了便于理解本發(fā)明而采 用的實(shí)施方式,并非用以限定本發(fā)明。任何本發(fā)明所屬技術(shù)領(lǐng)域內(nèi)的技術(shù)人員,在不脫離本 發(fā)明所揭露的精神和范圍的前提下,可以在實(shí)施的形式上及細(xì)節(jié)上作任何的修改與變化, 但本發(fā)明的專利保護(hù)范圍,仍須以所附的權(quán)利要求書所界定的范圍為準(zhǔn)。
權(quán)利要求
一種WEB網(wǎng)頁攻擊檢測和響應(yīng)方法,其特征在于,包括截獲WEB服務(wù)器返回給客戶端的響應(yīng)報(bào)文,獲取所述響應(yīng)報(bào)文中的響應(yīng)頭及響應(yīng)體;對所述響應(yīng)體進(jìn)行掃描檢測;檢測到所述響應(yīng)體含有惡意內(nèi)容,將所述響應(yīng)體替換為提示信息,并將所述提示信息與所述響應(yīng)頭進(jìn)行合并,得到反饋報(bào)文;將所述反饋報(bào)文發(fā)送給所述客戶端。
2.如權(quán)利要求1所述的方法,其特征在于獲得所述響應(yīng)頭之后,根據(jù)所述響應(yīng)頭獲得所述響應(yīng)體的體類型; 根據(jù)所述體類型,將所述響應(yīng)體替換為所述提示信息。
3.如權(quán)利要求2所述的方法,其特征在于根據(jù)所述響應(yīng)頭的內(nèi)容類型協(xié)議字段,獲得所述響應(yīng)體的體類型。
4.如權(quán)利要求2所述的方法,其特征在于所述體類型,包括圖片類型、FLASH類型或HTML類型。
5.如權(quán)利要求2所述的方法,其特征在于 所述提示信息的文件類型,與所述體類型相同。
6.一種TOB網(wǎng)頁攻擊檢測和響應(yīng)裝置,其特征在于,包括截獲模塊,用于截獲WEB服務(wù)器返回給客戶端的響應(yīng)報(bào)文,并獲取所述響應(yīng)報(bào)文中的 響應(yīng)頭及響應(yīng)體;病毒檢測模塊,與所述截獲模塊相連,用于對所述響應(yīng)體進(jìn)行掃描檢測; 替換模塊,與所述病毒檢測模塊相連,用于將檢測到有惡意內(nèi)容的所述響應(yīng)體替換為 提示信息,并將所述響應(yīng)頭及提示信息進(jìn)行合并,得到反饋報(bào)文;轉(zhuǎn)發(fā)模塊,與所述替換模塊相連,用于將所述反饋報(bào)文轉(zhuǎn)發(fā)給所述客戶端。
7.如權(quán)利要求6所述的裝置,其特征在于,該裝置進(jìn)一步包括分析模塊,與所述截獲模塊相連,用于根據(jù)所述響應(yīng)頭獲得所述響應(yīng)體的體類型; 所述替換模塊,根據(jù)所述體類型將所述響應(yīng)體替換為所述提示信息。
8.如權(quán)利要求7所述的裝置,其特征在于所述分析模塊,根據(jù)所述響應(yīng)頭的內(nèi)容類型協(xié)議字段,獲得所述響應(yīng)體的體類型。
9.如權(quán)利要求7所述的裝置,其特征在于所述分析模塊,獲得的所述體類型包括圖片類型、FLASH類型或HTML類型。
10.如權(quán)利要求7所述的裝置,其特征在于所述替換模塊,將所述響應(yīng)體替換為文件類型與所述體類型相同的提示信息。
全文摘要
本發(fā)明公開了一種WEB網(wǎng)頁攻擊檢測和響應(yīng)方法及裝置,以對WEB頁面進(jìn)行過濾,保護(hù)客戶端免受惡意內(nèi)容的攻擊。其中該方法包括截獲WEB服務(wù)器返回給客戶端的響應(yīng)報(bào)文,獲取響應(yīng)報(bào)文中的響應(yīng)頭及響應(yīng)體;對響應(yīng)體進(jìn)行掃描檢測;檢測到響應(yīng)體含有惡意內(nèi)容,將響應(yīng)體替換為提示信息,并將提示信息與響應(yīng)頭進(jìn)行合并,送給客戶端。與現(xiàn)有技術(shù)相比,本發(fā)明實(shí)現(xiàn)了對含有木馬、病毒等的惡意內(nèi)容的WEB網(wǎng)頁進(jìn)行精確過濾,保護(hù)了客戶端免受惡意內(nèi)容的攻擊,避免了對正常網(wǎng)頁內(nèi)容的誤殺。
文檔編號(hào)H04L12/26GK101888312SQ20091008446
公開日2010年11月17日 申請日期2009年5月15日 優(yōu)先權(quán)日2009年5月15日
發(fā)明者王雷章 申請人:北京啟明星辰信息技術(shù)股份有限公司;北京啟明星辰信息安全技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1