專利名稱:基于網(wǎng)絡(luò)丟包的url檢測與攔截方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種的對URL (Uniform / Universal Resource Locator的縮寫,統(tǒng)一資源定位符)的檢測與攔截方法和系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)的大面積普及,利用網(wǎng)絡(luò)傳播惡意代碼逐漸成為主要的傳播惡意代碼的方式。現(xiàn)今主流的URL檢測通常在內(nèi)核態(tài)完成,即捕獲URL和利用匹配引擎進(jìn)行檢測同時(shí)在內(nèi)核態(tài)完成。其中,用戶態(tài)是指Ring3運(yùn)行于用戶態(tài)的代碼則要受到處理器的諸多檢查,它們只能訪問映射其地址空間的頁表項(xiàng)中規(guī)定的在用戶態(tài)下可訪問頁面的虛擬地址,且只能對任務(wù)狀態(tài)段(TSS)中I/O許可位圖(I/O Permission Bitmap)中規(guī)定的可訪問端口進(jìn)行直接訪問。核心態(tài)是指RingO在處理器的存儲(chǔ)保護(hù)中,核心態(tài),或者特權(quán)態(tài)(與之相對應(yīng)的是用戶態(tài)),是操作系統(tǒng)內(nèi)核所運(yùn)行的模式。運(yùn)行在該模式的代碼,可以無限制地對系統(tǒng)存儲(chǔ)、 外部設(shè)備進(jìn)行訪問。主流的URL檢測通常在內(nèi)核態(tài)完成。眾所周知,內(nèi)核是操作系統(tǒng)最核心的地方,如果內(nèi)核的程序出現(xiàn)問題,會(huì)導(dǎo)致很嚴(yán)重的錯(cuò)誤,甚至使操作系統(tǒng)崩潰。URL的檢測機(jī)制是復(fù)雜的,將其放到內(nèi)核模式,對于操作系統(tǒng)來說是有很大的風(fēng)險(xiǎn)的。另外,由于內(nèi)核態(tài)的內(nèi)存是所有程序共用的,因此它的容量是極為有限的,若將URL的檢測放在內(nèi)核態(tài),勢必需要將 URL的特征庫等信息加載到內(nèi)核態(tài)內(nèi)存,這會(huì)占用較多的內(nèi)核態(tài)內(nèi)存,從而導(dǎo)致系統(tǒng)運(yùn)行效率急劇下降。
發(fā)明內(nèi)容
為了解決上述問題,本發(fā)明提供了一種基于網(wǎng)絡(luò)丟包的URL檢測與攔截方法和系統(tǒng),通過測試本方法和系統(tǒng)達(dá)到了 URL在用戶態(tài)檢測的要求,能夠攔截危險(xiǎn)的URL訪問網(wǎng)一種基于網(wǎng)絡(luò)丟包的URL檢測與攔截方法,包括
監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包,判斷所述網(wǎng)絡(luò)數(shù)據(jù)包是發(fā)送數(shù)據(jù)包還是返回?cái)?shù)據(jù)包; 其中,監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包采用直路監(jiān)控的方式。若所述網(wǎng)絡(luò)數(shù)據(jù)包是發(fā)送數(shù)據(jù)包,則判斷所述發(fā)送數(shù)據(jù)包中是否包含URL ; 如果所述發(fā)送數(shù)據(jù)包中包含URL,則獲取和記錄所述發(fā)送數(shù)據(jù)包中的URL和URL相關(guān)信
息,并將所述的URL和URL相關(guān)信息傳送到用戶態(tài)進(jìn)行檢測,根據(jù)用戶態(tài)的檢測結(jié)果設(shè)置所述的URL和URL相關(guān)信息中的安全狀態(tài);所述安全狀態(tài)包括危險(xiǎn)、可信和未判定; 如果所述發(fā)送數(shù)據(jù)包中不包含URL,允許所述發(fā)送數(shù)據(jù)包通過; 其中,可以區(qū)分?jǐn)?shù)據(jù)包否是HTTP數(shù)據(jù)包。如果是HTTP數(shù)據(jù)包,則解析HTTP數(shù)據(jù)包獲取URL和能標(biāo)識(shí)這個(gè)URL的屬性信息,將URL傳送到用戶態(tài),立即返回,不必等待檢測結(jié)果。用戶態(tài)URL檢測引擎對URL進(jìn)行檢測,并將檢測結(jié)果傳到內(nèi)核態(tài)。根據(jù)用戶態(tài)判定的結(jié)果是危險(xiǎn)或者安全,設(shè)置內(nèi)部結(jié)構(gòu)對應(yīng)的記錄,即URL的安全狀態(tài)。如果用戶態(tài)URL 檢測弓I擎還未進(jìn)行判斷,則安全狀態(tài)為未判斷。若所述網(wǎng)絡(luò)數(shù)據(jù)包是返回?cái)?shù)據(jù)包,則判斷所述返回?cái)?shù)據(jù)包的信息是否記錄在所述的URL和URL相關(guān)信息中;
如果所述返回?cái)?shù)據(jù)包的信息記錄在所述的URL和URL相關(guān)信息中,那么根據(jù)所述的URL 和URL相關(guān)信息中的安全狀態(tài)進(jìn)行處理,如果所述安全狀態(tài)是未判定,則丟棄所述返回?cái)?shù)據(jù)包;如果所述安全狀態(tài)是危險(xiǎn),則刪除記錄的所述URL和URL相關(guān)信息,斷開所述URL的連接;如果所述安全狀態(tài)是安全,則允許所述返回?cái)?shù)據(jù)包通過;
如果所述返回?cái)?shù)據(jù)包的信息沒有記錄在所述的URL和URL相關(guān)信息中,則允許所述返回?cái)?shù)據(jù)包通過。所述URL相關(guān)信息是能標(biāo)識(shí)所述URL的屬性信息,包括源IP、源端口、目的IP、目的端口。 所述返回?cái)?shù)據(jù)包的信息包括源IP、源端口、目的IP、目的端口。一種基于網(wǎng)絡(luò)丟包的URL檢測與攔截系統(tǒng),包括
監(jiān)控模塊,用于監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包,判斷所述網(wǎng)絡(luò)數(shù)據(jù)包是發(fā)送數(shù)據(jù)包還是返回?cái)?shù)據(jù)
包;
上行模塊,用于對監(jiān)控模塊所述發(fā)送數(shù)據(jù)包進(jìn)行處理,包括,判斷所述發(fā)送數(shù)據(jù)包中是否包含URL ;
如果所述發(fā)送數(shù)據(jù)包中包含URL,則獲取和記錄所述發(fā)送數(shù)據(jù)包中的URL和URL相關(guān)信息,并將所述的URL和URL相關(guān)信息傳送到用戶態(tài)進(jìn)行檢測,根據(jù)用戶態(tài)的檢測結(jié)果設(shè)置所述的URL和URL相關(guān)信息中的安全狀態(tài);所述安全狀態(tài)包括危險(xiǎn)、可信和未判定; 如果所述發(fā)送數(shù)據(jù)包中不包含URL,允許所述發(fā)送數(shù)據(jù)包通過; 下行模塊,用于對監(jiān)控模塊所述返回?cái)?shù)據(jù)包進(jìn)行處理,包括,判斷所述返回?cái)?shù)據(jù)包的信息是否記錄在所述的URL和URL相關(guān)信息中;
如果所述返回?cái)?shù)據(jù)包的信息記錄在所述的URL和URL相關(guān)信息中,那么根據(jù)所述的URL 和URL相關(guān)信息中的安全狀態(tài)進(jìn)行處理,如果所述安全狀態(tài)是未判定,則丟棄所述返回?cái)?shù)據(jù)包;如果所述安全狀態(tài)是危險(xiǎn),則刪除記錄的所述URL和URL相關(guān)信息,斷開所述URL的連接;如果所述安全狀態(tài)是安全,則允許所述返回?cái)?shù)據(jù)包通過;
如果所述返回?cái)?shù)據(jù)包的信息沒有記錄在所述的URL和URL相關(guān)信息中,則允許所述返回?cái)?shù)據(jù)包通過。所述URL相關(guān)信息是能標(biāo)識(shí)所述URL的屬性信息,包括源IP、源端口、目的IP、目的端口。所述返回?cái)?shù)據(jù)包的信息包括源IP、源端口、目的IP、目的端口。本發(fā)明是一個(gè)URL過濾引擎,可以阻止用戶訪問危險(xiǎn)的URL。本發(fā)明的URL的檢測是在用戶態(tài)下完成的,是一種異步的檢測方式。本發(fā)明利用TCP協(xié)議的數(shù)據(jù)校驗(yàn)機(jī)制(如果數(shù)據(jù)包丟失,該數(shù)據(jù)包將被重發(fā)),為 URL在用戶態(tài)檢測創(chuàng)造了條件。如果返回?cái)?shù)據(jù)包已經(jīng)判定為危險(xiǎn)的,直接丟棄掉直到斷開連接。如果返回?cái)?shù)據(jù)包未被用戶態(tài)判定,也會(huì)丟棄掉該返回?cái)?shù)據(jù)包,等待判定結(jié)果為安全的, 才允許通過。至于之前丟棄的數(shù)據(jù)包,由于TCP的重發(fā)機(jī)制,會(huì)在之后重發(fā)的。通過以上方法達(dá)到了 URL的異步檢測。通過測試本發(fā)明的技術(shù)方案達(dá)到了 URL在用戶態(tài)檢測的要求, 能夠攔截危險(xiǎn)的URL訪問網(wǎng)絡(luò)。
為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明基于網(wǎng)絡(luò)丟包的URL檢測與攔截方法流程圖; 圖2為本發(fā)明基于網(wǎng)絡(luò)丟包的URL檢測與攔截方法實(shí)施例流程圖; 圖3為本發(fā)明基于網(wǎng)絡(luò)丟包的URL檢測與攔截系統(tǒng)示意圖。
具體實(shí)施例方式為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案,并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明。本發(fā)明提供了一種基于網(wǎng)絡(luò)丟包的URL檢測與攔截方法及系統(tǒng),利用TCP協(xié)議的數(shù)據(jù)校驗(yàn)機(jī)制為URL在用戶態(tài)檢測創(chuàng)造了條件,對URL進(jìn)行異步檢測,達(dá)到了 URL在用戶態(tài)檢測的要求,能夠攔截危險(xiǎn)的URL訪問網(wǎng)絡(luò)。本發(fā)明提供了一種基于網(wǎng)絡(luò)丟包的URL檢測與攔截方法,如圖1所示,包括步驟 S101、監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包,判斷所述網(wǎng)絡(luò)數(shù)據(jù)包是發(fā)送數(shù)據(jù)包還是返回?cái)?shù)據(jù)包;
其中,監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包采用直路監(jiān)控的方式。S102、若所述網(wǎng)絡(luò)數(shù)據(jù)包是發(fā)送數(shù)據(jù)包,則判斷所述發(fā)送數(shù)據(jù)包中是否包含URL ;
5103、如果所述發(fā)送數(shù)據(jù)包中包含URL,則獲取和記錄所述發(fā)送數(shù)據(jù)包中的URL和URL 相關(guān)信息,并將所述的URL和URL相關(guān)信息傳送到用戶態(tài)進(jìn)行檢測,根據(jù)用戶態(tài)的檢測結(jié)果設(shè)置所述的URL和URL相關(guān)信息中的安全狀態(tài);
所述安全狀態(tài)包括危險(xiǎn)、可信和未判定;
5104、如果所述發(fā)送數(shù)據(jù)包中不包含URL,允許所述發(fā)送數(shù)據(jù)包通過;
其中,對于步驟S102至S104,可以區(qū)分?jǐn)?shù)據(jù)包否是HTTP數(shù)據(jù)包。如果是HTTP數(shù)據(jù)包, 則解析HTTP數(shù)據(jù)包獲取URL和能標(biāo)識(shí)這個(gè)URL的屬性信息,將URL傳送到用戶態(tài),立即返回,不必等待檢測結(jié)果。如果不是HTTP數(shù)據(jù)包則允許通過。用戶態(tài)URL檢測引擎對URL進(jìn)行檢測,并將檢測結(jié)果傳到內(nèi)核態(tài)。根據(jù)用戶態(tài)判定的結(jié)果是危險(xiǎn)或者安全,設(shè)置內(nèi)部結(jié)構(gòu)對應(yīng)的記錄,即URL的安全狀態(tài)。如果用戶態(tài)URL 檢測弓I擎還未進(jìn)行判斷,則安全狀態(tài)為未判斷。S105、若所述網(wǎng)絡(luò)數(shù)據(jù)包是返回?cái)?shù)據(jù)包,則判斷所述返回?cái)?shù)據(jù)包的信息是否記錄在所述的URL和URL相關(guān)信息中;
S106、如果所述返回?cái)?shù)據(jù)包的信息記錄在所述的URL和URL相關(guān)信息中,那么根據(jù)所述的URL和URL相關(guān)信息中的安全狀態(tài)進(jìn)行處理,如果所述安全狀態(tài)是未判定,則丟棄所述返回?cái)?shù)據(jù)包;如果所述安全狀態(tài)是危險(xiǎn),則刪除記錄的所述URL和URL相關(guān)信息,斷開所述URL的連接;如果所述安全狀態(tài)是安全,則允許所述返回?cái)?shù)據(jù)包通過;
S107、如果所述返回?cái)?shù)據(jù)包的信息沒有記錄在所述的URL和URL相關(guān)信息中,則允許所述返回?cái)?shù)據(jù)包通過。下面結(jié)合一個(gè)具體實(shí)施例對上述方法進(jìn)行詳細(xì)說明,如圖2所示,包括 S201、在網(wǎng)絡(luò)直路上監(jiān)控進(jìn)出的TCP數(shù)據(jù)包。S202、判斷網(wǎng)絡(luò)數(shù)據(jù)包是發(fā)送數(shù)據(jù)包還是返回?cái)?shù)據(jù)包。如果是發(fā)送數(shù)據(jù)包,進(jìn)入步驟S203過程,如果是返回?cái)?shù)據(jù)包則進(jìn)入步驟S211。S203、判斷數(shù)據(jù)包是否是HTTP數(shù)據(jù)包。這個(gè)可以包括HTTP中的GET包和POST包, 因?yàn)檫@兩種包包含URL。如果發(fā)送數(shù)據(jù)包是HTTP數(shù)據(jù)包,進(jìn)入到步驟S204,否則進(jìn)入步驟 S208使該數(shù)據(jù)包通過。S204、通過對數(shù)據(jù)包的解析獲取URL。S205、獲取能標(biāo)識(shí)這個(gè)URL的屬性。包括源IP、源端口、目的IP、目的端口等。S206、將URL和屬性記錄下來。S207、將URL傳送到用戶態(tài),立即返回,不等待檢測結(jié)果。S208、允許數(shù)據(jù)包通過網(wǎng)絡(luò)。S209、用戶態(tài)URL檢測引擎對URL進(jìn)行檢測,并將檢測結(jié)果傳到內(nèi)核態(tài)。S210、根據(jù)用戶態(tài)判定的結(jié)果,設(shè)置內(nèi)部結(jié)構(gòu)對應(yīng)的記錄。根據(jù)用戶態(tài)判定的結(jié)果是危險(xiǎn)或者安全,設(shè)置內(nèi)部結(jié)構(gòu)對應(yīng)的記錄,即URL的安全狀態(tài)。如果用戶態(tài)URL檢測引擎還未進(jìn)行判斷,則安全狀態(tài)為未判斷。S211、對于返回的數(shù)據(jù)包,首先查詢狀態(tài)是否存在,如果不存在直接到S219允許通過。否則進(jìn)入到S212。查詢狀態(tài)是否存在,是指判斷所述返回?cái)?shù)據(jù)包的信息是否記錄在所述的URL和 URL相關(guān)信息中,方法是根據(jù)返回?cái)?shù)據(jù)包信息包括源IP、源端口、目的IP、目的端口與URL的屬性信息包括源IP、源端口、目的IP、目的端口進(jìn)行比對看是否相同。S212、查詢連接狀態(tài),也就是查詢URL和URL相關(guān)信息中的安全狀態(tài),包括的狀態(tài)有危險(xiǎn)、安全、未判斷。S213、如果SlO的結(jié)果是未判定的,那么需要延遲處理,則轉(zhuǎn)至步驟S214,否則進(jìn)行步驟S215。S214、丟棄網(wǎng)絡(luò)數(shù)據(jù)包。基于這種丟包的技術(shù),是本發(fā)明的關(guān)鍵點(diǎn)。S215、對URL的連接進(jìn)行處理,如果安全狀態(tài)是危險(xiǎn)的URL,進(jìn)入S216,否則進(jìn)入 S218。S216、刪除該URL的信息。即刪除步驟S206中記錄的該URL和標(biāo)志屬性。S217、斷開該URL的網(wǎng)絡(luò)連接。例如向服務(wù)器發(fā)送reset包等。S218、刪除該URL的信息。即刪除步驟S206中記錄的該URL和標(biāo)志屬性。S219、允許網(wǎng)絡(luò)數(shù)據(jù)包通過。本發(fā)明還提供了一種基于網(wǎng)絡(luò)丟包的URL檢測與攔截系統(tǒng),如圖3所示,包括 監(jiān)控模塊301,用于監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包,判斷所述網(wǎng)絡(luò)數(shù)據(jù)包是發(fā)送數(shù)據(jù)包還是返回?cái)?shù)據(jù)
包;
上行模塊302,用于對監(jiān)控模塊301所述發(fā)送數(shù)據(jù)包進(jìn)行處理,包括判斷所述發(fā)送數(shù)據(jù)包中是否包含URL,
如果所述發(fā)送數(shù)據(jù)包中包含URL,則獲取和記錄所述發(fā)送數(shù)據(jù)包中的URL和URL相關(guān)信息,并將所述的URL和URL相關(guān)信息傳送到用戶態(tài)進(jìn)行檢測,根據(jù)用戶態(tài)的檢測結(jié)果設(shè)置所述的URL和URL相關(guān)信息中的安全狀態(tài);所述安全狀態(tài)包括危險(xiǎn)、可信和未判定; 如果所述發(fā)送數(shù)據(jù)包中不包含URL,允許所述發(fā)送數(shù)據(jù)包通過; 下行模塊303,用于對監(jiān)控模塊301所述返回?cái)?shù)據(jù)包進(jìn)行處理,包括判斷所述返回?cái)?shù)據(jù)包的信息是否記錄在所述的URL和URL相關(guān)信息中,
如果所述返回?cái)?shù)據(jù)包的信息記錄在所述的URL和URL相關(guān)信息中,那么根據(jù)所述的URL 和URL相關(guān)信息中的安全狀態(tài)進(jìn)行處理,如果所述安全狀態(tài)是未判定,則丟棄所述返回?cái)?shù)據(jù)包;如果所述安全狀態(tài)是危險(xiǎn),則刪除記錄的所述URL和URL相關(guān)信息,斷開所述URL的連接;如果所述安全狀態(tài)是安全,則允許所述返回?cái)?shù)據(jù)包通過;
如果所述返回?cái)?shù)據(jù)包的信息沒有記錄在所述的URL和URL相關(guān)信息中,則允許所述返回?cái)?shù)據(jù)包通過。所述URL相關(guān)信息是能標(biāo)識(shí)所述URL的屬性信息,包括源IP、源端口、目的IP、目的端口。所述返回?cái)?shù)據(jù)包的信息包括源IP、源端口、目的IP、目的端口。本說明書中方法的實(shí)施例采用遞進(jìn)的方式描述,對于系統(tǒng)實(shí)施例而言,由于其基本相似于方法實(shí)施例,所以描述的比較簡單,相關(guān)之處參見方法實(shí)施例的部分說明即可。雖然通過實(shí)施例描繪了本發(fā)明,本領(lǐng)域普通技術(shù)人員知道,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神。
權(quán)利要求
1.一種基于網(wǎng)絡(luò)丟包的URL檢測與攔截方法,其特征在于,包括監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包,判斷所述網(wǎng)絡(luò)數(shù)據(jù)包是發(fā)送數(shù)據(jù)包還是返回?cái)?shù)據(jù)包; 若所述網(wǎng)絡(luò)數(shù)據(jù)包是發(fā)送數(shù)據(jù)包,則判斷所述發(fā)送數(shù)據(jù)包中是否包含URL; 如果所述發(fā)送數(shù)據(jù)包中包含URL,則獲取和記錄所述發(fā)送數(shù)據(jù)包中的URL和URL相關(guān)信息,并將所述的URL和URL相關(guān)信息傳送到用戶態(tài)進(jìn)行檢測,根據(jù)用戶態(tài)的檢測結(jié)果設(shè)置所述的URL和URL相關(guān)信息中的安全狀態(tài);所述安全狀態(tài)包括危險(xiǎn)、可信和未判定; 如果所述發(fā)送數(shù)據(jù)包中不包含URL,允許所述發(fā)送數(shù)據(jù)包通過; 若所述網(wǎng)絡(luò)數(shù)據(jù)包是返回?cái)?shù)據(jù)包,則判斷所述返回?cái)?shù)據(jù)包的信息是否記錄在所述的 URL和URL相關(guān)信息中;如果所述返回?cái)?shù)據(jù)包的信息記錄在所述的URL和URL相關(guān)信息中,那么根據(jù)所述的URL 和URL相關(guān)信息中的安全狀態(tài)進(jìn)行處理,如果所述安全狀態(tài)是未判定,則丟棄所述返回?cái)?shù)據(jù)包;如果所述安全狀態(tài)是危險(xiǎn),則刪除記錄的所述URL和URL相關(guān)信息,斷開所述URL的連接;如果所述安全狀態(tài)是安全,則允許所述返回?cái)?shù)據(jù)包通過;如果所述返回?cái)?shù)據(jù)包的信息沒有記錄在所述的URL和URL相關(guān)信息中,則允許所述返回?cái)?shù)據(jù)包通過。
2.如權(quán)利要求1所述的基于網(wǎng)絡(luò)丟包的URL檢測與攔截方法,其特征在于,所述URL相關(guān)信息是能標(biāo)識(shí)所述URL的屬性信息,包括源IP、源端口、目的IP、目的端口。
3.如權(quán)利要求1所述的基于網(wǎng)絡(luò)丟包的URL檢測與攔截方法,其特征在于,所述返回?cái)?shù)據(jù)包的信息包括源IP、源端口、目的IP、目的端口。
4.一種基于網(wǎng)絡(luò)丟包的URL檢測與攔截系統(tǒng),其特征在于,包括監(jiān)控模塊,用于監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包,判斷所述網(wǎng)絡(luò)數(shù)據(jù)包是發(fā)送數(shù)據(jù)包還是返回?cái)?shù)據(jù)包;上行模塊,用于對監(jiān)控模塊所述發(fā)送數(shù)據(jù)包進(jìn)行處理,包括,判斷所述發(fā)送數(shù)據(jù)包中是否包含URL ;如果所述發(fā)送數(shù)據(jù)包中包含URL,則獲取和記錄所述發(fā)送數(shù)據(jù)包中的URL和URL相關(guān)信息,并將所述的URL和URL相關(guān)信息傳送到用戶態(tài)進(jìn)行檢測,根據(jù)用戶態(tài)的檢測結(jié)果設(shè)置所述的URL和URL相關(guān)信息中的安全狀態(tài);所述安全狀態(tài)包括危險(xiǎn)、可信和未判定; 如果所述發(fā)送數(shù)據(jù)包中不包含URL,允許所述發(fā)送數(shù)據(jù)包通過; 下行模塊,用于對監(jiān)控模塊所述返回?cái)?shù)據(jù)包進(jìn)行處理,包括,判斷所述返回?cái)?shù)據(jù)包的信息是否記錄在所述的URL和URL相關(guān)信息中;如果所述返回?cái)?shù)據(jù)包的信息記錄在所述的URL和URL相關(guān)信息中,那么根據(jù)所述的URL 和URL相關(guān)信息中的安全狀態(tài)進(jìn)行處理,如果所述安全狀態(tài)是未判定,則丟棄所述返回?cái)?shù)據(jù)包;如果所述安全狀態(tài)是危險(xiǎn),則刪除記錄的所述URL和URL相關(guān)信息,斷開所述URL的連接;如果所述安全狀態(tài)是安全,則允許所述返回?cái)?shù)據(jù)包通過;如果所述返回?cái)?shù)據(jù)包的信息沒有記錄在所述的URL和URL相關(guān)信息中,則允許所述返回?cái)?shù)據(jù)包通過。
5.如權(quán)利要求4所述的基于網(wǎng)絡(luò)丟包的URL檢測與攔截系統(tǒng),其特征在于,所述URL相關(guān)信息是能標(biāo)識(shí)所述URL的屬性信息,包括源IP、源端口、目的IP、目的端口。
6.如權(quán)利要求4所述的基于網(wǎng)絡(luò)丟包的URL檢測與攔截系統(tǒng),其特征在于,所述返回?cái)?shù)據(jù)包的信息包括源IP、源端口、目的IP、目的端口。
全文摘要
本發(fā)明提供了一種基于網(wǎng)絡(luò)丟包的URL檢測與攔截方法,包括監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包,判斷所述網(wǎng)絡(luò)數(shù)據(jù)包是發(fā)送數(shù)據(jù)包還是返回?cái)?shù)據(jù)包;若所述網(wǎng)絡(luò)數(shù)據(jù)包是發(fā)送數(shù)據(jù)包,判斷所述發(fā)送數(shù)據(jù)包中是否包含URL并進(jìn)行相應(yīng)的處理;若所述網(wǎng)絡(luò)數(shù)據(jù)包是返回?cái)?shù)據(jù)包,判斷所述返回?cái)?shù)據(jù)包的信息是否記錄在所述的URL和URL相關(guān)信息中,并進(jìn)行相應(yīng)的處理。本發(fā)明還提供了一種基于網(wǎng)絡(luò)丟包的URL檢測與攔截系統(tǒng)。本發(fā)明利用TCP協(xié)議的數(shù)據(jù)校驗(yàn)機(jī)制對URL進(jìn)行異步檢測。通過測試本方面的技術(shù)方案達(dá)到了URL在用戶態(tài)檢測的要求,能夠攔截危險(xiǎn)的URL訪問網(wǎng)絡(luò)。
文檔編號H04L29/06GK102340428SQ20111029897
公開日2012年2月1日 申請日期2011年9月29日 優(yōu)先權(quán)日2011年9月29日
發(fā)明者張栗偉, 李石磊, 沈長偉, 童志明 申請人:哈爾濱安天科技股份有限公司