CN111786966A - 浏览网页的方法和装置 - Google Patents
浏览网页的方法和装置 Download PDFInfo
- Publication number
- CN111786966A CN111786966A CN202010544095.9A CN202010544095A CN111786966A CN 111786966 A CN111786966 A CN 111786966A CN 202010544095 A CN202010544095 A CN 202010544095A CN 111786966 A CN111786966 A CN 111786966A
- Authority
- CN
- China
- Prior art keywords
- fingerprint
- visitor
- attacker
- determining
- comparison result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了浏览网页的方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:根据浏览器采集到的访客信息,确定所述访客对应的客户端主机信息;根据所述客户端主机信息,生成与所述访客对应的目标指纹;根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页。该实施方式可以将攻击流量从大量的合法流量中识别出来,不存在误报情况的发生;即使攻击者使用大量的代理服务器,依然可感知追踪和阻止攻击行为,减低了漏报情况的发生。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种浏览网页的方法和装置。
背景技术
随着网络的发展,网站面临多样的网络攻击行为。现有技术在针对网站的安全防御技术也在不断发展之中,如IPS(入侵防御系统Intrusion Prevention System)、IDS(入侵检测系统intrusion detection system)、WAF(网站应用级入侵防御系统WebApplication Firewall)。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
1.在攻击网站时,攻击流量被隐藏在大量的合法流量中,难以被发现和识别。尽管现有技术中IDS、WAF功能强大,但依然存在漏报或误报的情况,并存在因其自身漏洞而被绕过的可能。
2.现有技术在发现攻击行为后可基于IP黑名单机制阻断攻击来源。但如果攻击者切换了代理服务器,如何在新的攻击发起之前立即识别攻击行为,也是目前IDS、WAF所不具备的功能。
发明内容
有鉴于此,本发明实施例提供一种浏览网页的方法和装置,能够基于网络欺骗技术,可将攻击流量从大量的合法流量中识别出来,不存在误报情况的发生;基于浏览器指纹技术,即使攻击者使用大量的代理服务器,依然可感知追踪和阻止攻击行为,减低了漏报情况的发生。
为实现上述目的,根据本发明实施例的一个方面,提供了一种浏览网页的方法,包括:
根据浏览器采集到的访客信息,确定所述访客对应的客户端主机信息;
根据所述客户端主机信息,生成与所述访客对应的目标指纹;
根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页。
可选地,根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页,包括:
确定指纹库中存储的指纹与所述目标指纹的比对结果;
若所述比对结果为所述指纹库中存在所述目标指纹,则确定所述访客为网络攻击者,阻断所述访客对所述浏览器的浏览;
若所述比对结果为所述指纹库中不存在所述目标指纹,则确定所述访客不是网络攻击者,放行所述访客对所述浏览器的浏览。
可选地,确定指纹库中存储的指纹与所述目标指纹的比对结果,包括:
计算指纹库中存储的指纹与所述目标指纹之间的相关度;
若所述相关度大于预设阈值,则确定所述比对结果为所述指纹库中存在所述目标指纹;
若所述相关度小于预设阈值,则确定所述比对结果为所述指纹库中不存在所述目标指纹。
可选地,根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页之前,包括:
获取攻击者的指纹;
根据所述攻击者的指纹,建立所述指纹库。
可选地,获取攻击者的指纹,包括:
当伪造页面被访问时,将访问所述伪造页面的访客认定为攻击者;
采集所述攻击者对应的脚本;
利用浏览器解析所述脚本,确定所述攻击者的客户端主机信息;
对所述访客的客户端主机信息进行哈希转换,获取攻击者的指纹。
可选地,当伪造页面被访问之前,包括:
通过伪造网站子域名,生成伪造页面;和/或,
通过伪造网站敏感目录,生成伪造页面。
可选地,根据浏览器采集到的访客信息,确定所述访客对应的客户端主机信息,包括:
采集所述访客对应的脚本;
利用浏览器解析所述脚本,确定所述访客的客户端主机信息。
根据本发明实施例的再一个方面,提供了一个浏览网页的装置,包括:
主机信息确定模块,用于根据浏览器采集到的访客信息,确定所述访客对应的客户端主机信息;
指纹生成模块,用于根据所述客户端主机信息,生成与所述访客对应的目标指纹;
网页确定,用于根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页。
根据本发明实施例的另一个方面,提供了一个浏览网页电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明提供的一个浏览网页的方法。
根据本发明实施例的还一个方面,提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现本发明提供的浏览网页方法。
上述发明中的一个实施例具有如下优点或有益效果:
相对于现有技术IDS、WAF等安全防护产品,本申请可选实施例基于网络欺骗技术,可将攻击流量从大量的合法流量中识别出来,不存在误报情况的发生。
相对现有技术基于IP黑名单的防御机制,本申请可选实施例基于浏览器指纹技术,即使攻击者使用大量的代理服务器,依然可感知追踪和阻止攻击行为,减低了漏报情况的发生。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的一种浏览网页的方法的主要流程的示意图;
图2为在指纹库查询指纹的示意图;
图3为指纹比对的流程示意图;
图4是根据本发明实施例的一种浏览网页的方法的具体流程的示意图;
图5是根据本发明实施例的浏览网页的装置的主要模块的示意图;
图6是本发明实施例可以应用于其中的示例性系统架构图;
图7是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
随着网络的发展,网站面临多样的网络攻击行为。现有技术在针对网站的安全防御技术也在不断发展之中,如IPS(入侵防御系统Intrusion Prevention System)、IDS(入侵检测系统intrusion detection system)、WAF(网站应用级入侵防御系统WebApplication Firewall)。但这些技术往往处于被动防御的状态,难以应对复杂多变的攻击手段,使得网站防护依然面临诸多方面的挑战。
具体地,在攻击网站时,攻击流量被隐藏在大量的合法流量中,难以被发现和识别。尽管现有技术中IDS、WAF功能强大,但依然存在漏报或误报的情况,并存在因其自身漏洞而被绕过的可能。
现有技术在发现攻击行为后可基于IP黑名单机制阻断攻击来源。但如果攻击者切换了代理服务器,如何在新的攻击发起之前立即识别攻击行为,也是目前IDS、WAF所不具备的功能。
在本申请可选实施例中为弥补传统安全防御技术的不足,打破网络攻防不对称的局面,为网络犯罪取证提供依据,提出了一种浏览网页的方法和装置。
本申请可选实施例针对网站的攻击,基于主动防御的思想,结合网络欺骗和浏览器指纹技术,识别和溯源网络攻击行为、定位攻击者的身份或位置,并可通过不同网站之间的协作和信息共享机制感知潜在的试探性攻击行为,进而达到在访客浏览网站时规避网络攻击的技术效果。
其中,网络欺骗是一种针对网络攻击的防御手段或策略。网络欺骗的本质是基于主动防御的思想,采用欺骗手段来迷惑攻击者,造成攻击者对目标环境感知的混乱和不确定性,以此影响和误导攻击者的决策过程,从而达到检测攻击、阻碍攻击、记录攻击行为的目的。
浏览器指纹能够通过唯一标识确定当前浏览器(或主机设备)的字符串。在浏览器与网站服务器交互时,浏览器会向网站暴露许多的不同消息,比如User-Agent包含的浏览器型号、版本、操作系统等信息。正如人的指纹可以用来识别不同的人一样,当浏览器暴露的信息的熵足够高时,网站就能利用这一信息来识别、追踪和定位访客。其中,网站基于获取到的客户端主机信息,并通过指纹生成算法得到的标识字符串即被称为浏览器指纹(或设备指纹)。
追踪溯源是一种用于定位网络攻击者身份或位置的手段。当防御人员发现所保护的目标系统或资产遭受到恶意攻击时,为了有效的打击攻击者、为网络犯罪取证提供依据,通常会采集一系列的措施,如:日志分析,IP定位等,以确定网络攻击者身份、位置或攻击路径等信息。在该过程中,防御人员所采取的相关措施或手段,即被称为追踪溯源。
本申请可选实施例的目的在于确认攻击者的身份或位置,为网络犯罪取证提供依据。进而在攻击者再次浏览网页时,对其进行拦截,避免网站被攻击的情况发生。
现有技术中,对网络攻击溯源方法包括:基于网络流量的追踪技术、基于IP报文的追踪技术,并不能有效定位使用跳板网络、VPN甚至Tor匿名网络实施网络犯罪的攻击者。跳板网络、VPN、Tor网络等中间环节成了攻击者所在终端设备与目标网站服务器之间的屏障,隐藏了攻击者的真实IP地址。
对网站实施WEB攻击、尤其是定向攻击的黑客,在试图攻击网站之前,往往会访问网站查看可能存在的漏洞,或在探测扫描到网站漏洞时,通常会登录网站进行验证。因此,基于网络欺骗的思想,防御人员可伪造存在漏洞或脆弱点的页面,如存在弱口令的后台登录页面,诱使攻击者访问,并在其上部署可采集攻击者指纹信息的JavaScript脚本。同时,该伪造页面对正常访客并不提供服务,一旦被访问,即可判定为恶意访客所为,随即可向防御人员发出警报。即使攻击者使用跳板网络、VPN、甚至Tor匿名网络等手段,指纹采集脚本也可随网络链路反向到达攻击者的终端设备,在攻击者的客户端被浏览器解析执行。
相对基于网络流量和基于IP报文的追踪技术,本申请可选实施例所采集的信息与攻击者的关联性更强,可以更好的追踪定位攻击者的来源。此外,由于部署指纹采集脚本的页面对正常访客并不可见,因此不会存在误报情况的发生。同时,在多个站点部署指纹采集脚本,通过网站之间的协作,当攻击者使用同一设备对多个网站实施攻击时,通过对比采集的指纹信息,可将攻击事件进行关联,为网站防护或犯罪取证提供更好的支撑。
图1是根据本发明实施例的一种浏览网页的方法的主要流程的示意图,如图1所示,包括:
步骤S101、根据浏览器采集到的访客信息,确定所述访客对应的客户端主机信息;
步骤S102、根据所述客户端主机信息,生成与所述访客对应的目标指纹;
步骤S103、根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页。
在所述指纹库中存储攻击者或潜在攻击者的指纹,当指纹库中的指纹与浏览网页的访客的指纹匹配时,则说明该访客有攻击该网站的可能,进而不能允许该访客继续浏览网页,避免对网页存在攻击。
本申请可选实施例通过根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页的技术手段,弥补传统安全防护技术的不足,打破网络攻防不对称的局面,为网络犯罪取证提供依据。
在本实施例中,基于主动防御的思想,结合网络欺骗和浏览器指纹技术,可以识别和溯源网络攻击行为、定位攻击者的身份或位置,并可通过不同网站之间的协作和信息共享机制感知潜在的试探性攻击行为。
可选地,根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页,包括:
确定指纹库中存储的指纹与所述目标指纹的比对结果;
若所述比对结果为所述指纹库中存在所述目标指纹,则确定所述访客为网络攻击者,阻断所述访客对所述浏览器的浏览;
若所述比对结果为所述指纹库中不存在所述目标指纹,则确定所述访客不是网络攻击者,放行所述访客对所述浏览器的浏览。
图2为在指纹库查询指纹的示意图。如图2所示,通过客户端主机信息生成访客的指纹编码,再利用所述指纹编码在指纹库服务器查询该访客的指纹编码是否存在于指纹库中。
在图2中指纹库服务器中即可生成指纹库中存储的指纹与所述目标指纹的比对结果。
可选地,确定指纹库中存储的指纹与所述目标指纹的比对结果,包括:
计算指纹库中存储的指纹与所述目标指纹之间的相关度;
若所述相关度大于预设阈值,则确定所述比对结果为所述指纹库中存在所述目标指纹;
若所述相关度小于预设阈值,则确定所述比对结果为所述指纹库中不存在所述目标指纹。
下面以一具体实施例详细说明指纹比对的过程。
图3为指纹比对的流程示意图;
假设网站B与网站A具有合作关系并共享相同的指纹库,那么当匿名访客访问网站B的时候,便可基于客户端指纹判定其是否是潜在的攻击者。
如图3所示,访客访问伪造的网站页面时,指纹采集脚本会收集访客的客户端属性并生成指纹,然后计算该指纹与指纹库中已有记录的相关性。如果该指纹信息与指纹库中的某记录相匹配(或者相似性超过某个阈值),则表明匿名访问者是潜在的攻击者。相反,如果不匹配(或者相似性低于某个阈值),则表示匿名访客只是普通访客。
相对现有技术基于IP黑名单机制的防御方法,本申请可选实施例基于客户端指纹信息的防御方法具有更好的可鉴别性。原因在于,对于指纹信息已被入库存储的攻击者,如果其客户端设备没有更新或其它变化,即使切换了代理服务器,防御人员也依然可将其识别出来。其中,在基于客户端属性信息计算设备指纹时,需首先为每个客户端属性分配不同的信息熵,然后使用HASH算法生成设备指纹。
可选地,根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页之前,包括:
获取攻击者的指纹;
根据所述攻击者的指纹,建立所述指纹库。
在实际应用中,建立指纹库的主要流程为:
当攻击者已被成功欺骗,且访问了插入指纹采集脚本的伪造页面,浏览器解析服务器返回的响应内容,并加载指纹采集脚本文件;
在浏览器解析并执行指纹采集脚本后,收集客户端属性,并使用指纹生成算法生成所述攻击者唯一标识符;
将收集的客户端属性信息以及对应的唯一性标识符发送到后台服务器,并存储在指纹库中。
可选地,获取攻击者的指纹,包括:
当伪造页面被访问时,将访问所述伪造页面的访客认定为攻击者;
采集所述攻击者对应的脚本;
利用浏览器解析所述脚本,确定所述攻击者的客户端主机信息;
对所述访客的客户端主机信息进行哈希转换,获取攻击者的指纹。
网络欺骗的核心是基于主动防御的思想,采用欺骗手段迷惑攻击者,以用于检测攻击、阻碍攻击、记录黑客的攻击行为。相对于已有安全防御体系,本申请可选实施例基于网络欺骗技术的防御方案,在识别和检测网络攻击方面,不会存在误报情况。其原因在于,所有的“欺骗性信息”均不对外发布,只有采取一定的技术手段才可访问到这些信息,而正常访客通常不会进行该操作。
可选地,当伪造页面被访问之前,包括:
通过伪造网站子域名,生成伪造页面;和/或,
通过伪造网站敏感目录,生成伪造页面。
在Web攻击的前期侦查阶段时,当攻击者渗透网站的时候,子域名爆破是信息收集的重要手段,其目的是发现更多的评估范围相关的域名/子域名,增加漏洞发现机率。针对这种情况,可以通过注册若干子域名,并在对应服务器上故意部署虚假的WEB业务系统。当访问者通过域名破解工具或其它手段发现这些子域名,并访问对应业务系统时,可将其被视为潜在的攻击者。进而指纹采集脚本获取的客户端信息便可被存储到指纹库中,作为恶意访客的身份标识。
在Web攻击的漏洞扫描阶段时,攻击者通常会使用Web目录扫描工具探测网站的敏感路径。其中,敏感路径可能是网站的后台登录地址,也可能是存在漏洞的URL地址。针对这种情况,可以在网站服务器上部署一些虚假网页,并可将路径信息放在robots.txt文件中。一旦访客发现并访问了虚假网页,那么该访客便可被视为潜在的攻击者,其设备的指纹信息便会被采集和存储。
可选地,根据浏览器采集到的访客信息,确定所述访客对应的客户端主机信息,包括:
采集所述访客对应的脚本;
利用浏览器解析所述脚本,确定所述访客的客户端主机信息。
图4是根据本发明实施例的一种浏览网页的方法的具体流程的示意图;如图4所示,
网站服务器上的网页分为两类,一类是伪造页面如网站A,另一类是普通页面网站B。其中,所有网页都将插入指纹采集脚本(指纹采集脚本为一段可获取客户端主机信息的JavaScript代码),在实际运行中只有采集自伪造页面的指纹信息才会被存储在指纹库中,从而保证指纹库中的信息归属于非正常访客,避免误报情况的发生。
在本实施例中,将系统运行过程分为两个阶段,一个称为指纹采集阶段,另一个称为指纹比对阶段。其中,为了更好地解释其运行过程,假设这两个阶段分别发生在网站A和网站B上。指纹采集阶段是指通过JavaScript脚本、收集访问伪造页面的客户端主机信息,并基于指纹生成算法生成唯一性标识,然后将该标识存储到指纹库中。指纹比对阶段是指将采集自正常页面的指纹信息(来自匿名访客)与已知的指纹信息(存储在指纹库中)进行比对,并基于相似性算法计算它们的关联性,从而确定匿名访客是否为潜在的攻击者。如果二者的关联性超过指定阈值,则认为是该访客存在潜在的攻击行为,进而可阻止该访客访问请求,并将新的指纹存储到指纹库中,反之则放行访客访问请求。
相对于现有技术IDS、WAF等安全防护产品,本申请可选实施例基于网络欺骗技术,可将攻击流量从大量的合法流量中识别出来,不存在误报情况的发生。
相对现有技术基于IP黑名单的防御机制,本申请可选实施例基于浏览器指纹技术,即使攻击者使用大量的代理服务器,依然可感知追踪和阻止攻击行为,减低了漏报情况的发生。
图5是根据本发明实施例的浏览网页的装置的主要模块的示意图;如图5所示,提供了一个浏览网页的装置500,包括:
主机信息确定模块501,用于根据浏览器采集到的访客信息,确定所述访客对应的客户端主机信息;
指纹生成模块502,用于根据所述客户端主机信息,生成与所述访客对应的目标指纹;
网页确定503,用于根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页。
可选地,根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页,包括:
确定指纹库中存储的指纹与所述目标指纹的比对结果;
若所述比对结果为所述指纹库中存在所述目标指纹,则确定所述访客为网络攻击者,阻断所述访客对所述浏览器的浏览;
若所述比对结果为所述指纹库中不存在所述目标指纹,则确定所述访客不是网络攻击者,放行所述访客对所述浏览器的浏览。
可选地,确定指纹库中存储的指纹与所述目标指纹的比对结果,包括:
计算指纹库中存储的指纹与所述目标指纹之间的相关度;
若所述相关度大于预设阈值,则确定所述比对结果为所述指纹库中存在所述目标指纹;
若所述相关度小于预设阈值,则确定所述比对结果为所述指纹库中不存在所述目标指纹。
可选地,根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页之前,包括:
获取攻击者的指纹;
根据所述攻击者的指纹,建立所述指纹库。
可选地,获取攻击者的指纹,包括:
当伪造页面被访问时,将访问所述伪造页面的访客认定为攻击者;
采集所述攻击者对应的脚本;
利用浏览器解析所述脚本,确定所述攻击者的客户端主机信息;
对所述访客的客户端主机信息进行哈希转换,获取攻击者的指纹。
可选地,当伪造页面被访问之前,包括:
通过伪造网站子域名,生成伪造页面;和/或,
通过伪造网站敏感目录,生成伪造页面。
可选地,根据浏览器采集到的访客信息,确定所述访客对应的客户端主机信息,包括:
采集所述访客对应的脚本;
利用浏览器解析所述脚本,确定所述访客的客户端主机信息。
图6示出了可以应用本发明实施例的浏览网页方法或浏览网页装置的示例性系统架构600。
如图6所示,系统架构600可以包括终端设备601、602、603,网络604和服务器605。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
访客可以使用终端设备601、602、603通过网络604与服务器605交互,以接收或发送消息等。终端设备601、602、603上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器605可以是提供各种服务的服务器,例如对访客利用终端设备601、602、603所浏览的购物类网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果(例如目标推送信息、产品信息--仅为示例)反馈给终端设备。
需要说明的是,本发明实施例所提供的浏览网页方法一般由服务器605执行,相应地,浏览网页装置一般设置于服务器605中。
应该理解,图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图7,其示出了适于用来实现本发明实施例的终端设备的计算机系统700的结构示意图。图7示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有系统700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括发送模块、获取模块、确定模块和第一处理模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,发送模块还可以被描述为“向所连接的服务端发送图片获取请求的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:
根据浏览器采集到的访客信息,确定所述访客对应的客户端主机信息;
根据所述客户端主机信息,生成与所述访客对应的目标指纹;
根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页。
根据本发明实施例的技术方案,可以达到如下有益效果:
相对于现有技术IDS、WAF等安全防护产品,本申请可选实施例基于网络欺骗技术,可将攻击流量从大量的合法流量中识别出来,不存在误报情况的发生。
相对现有技术基于IP黑名单的防御机制,本申请可选实施例基于浏览器指纹技术,即使攻击者使用大量的代理服务器,依然可感知追踪和阻止攻击行为,减低了漏报情况的发生。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种浏览网页的方法,其特征在于,包括:
根据浏览器采集到的访客信息,确定所述访客对应的客户端主机信息;
根据所述客户端主机信息,生成与所述访客对应的目标指纹;
根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页。
2.根据权利要求1所述的方法,其特征在于,根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页,包括:
确定指纹库中存储的指纹与所述目标指纹的比对结果;
若所述比对结果为所述指纹库中存在所述目标指纹,则确定所述访客为网络攻击者,阻断所述访客对所述浏览器的浏览;
若所述比对结果为所述指纹库中不存在所述目标指纹,则确定所述访客不是网络攻击者,放行所述访客对所述浏览器的浏览。
3.根据权利要求2所述的方法,其特征在于,确定指纹库中存储的指纹与所述目标指纹的比对结果,包括:
计算指纹库中存储的指纹与所述目标指纹之间的相关度;
若所述相关度大于预设阈值,则确定所述比对结果为所述指纹库中存在所述目标指纹;
若所述相关度小于预设阈值,则确定所述比对结果为所述指纹库中不存在所述目标指纹。
4.根据权利要求1所述的方法,其特征在于,根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页之前,包括:
获取攻击者的指纹;
根据所述攻击者的指纹,建立所述指纹库。
5.根据权利要求4所述的方法,其特征在于,获取攻击者的指纹,包括:
当伪造页面被访问时,将访问所述伪造页面的访客认定为攻击者;
采集所述攻击者对应的脚本;
利用浏览器解析所述脚本,确定所述攻击者的客户端主机信息;
对所述访客的客户端主机信息进行哈希转换,获取攻击者的指纹。
6.根据权利要求5所述的方法,其特征在于,当伪造页面被访问之前,包括:
通过伪造网站子域名,生成伪造页面;和/或,
通过伪造网站敏感目录,生成伪造页面。
7.根据权利要求1所述的方法,其特征在于,根据浏览器采集到的访客信息,确定所述访客对应的客户端主机信息,包括:
采集所述访客对应的脚本;
利用浏览器解析所述脚本,确定所述访客的客户端主机信息。
8.一种浏览网页的装置,其特征在于,包括:
主机信息确定模块,用于根据浏览器采集到的访客信息,确定所述访客对应的客户端主机信息;
指纹生成模块,用于根据所述客户端主机信息,生成与所述访客对应的目标指纹;
网页确定,用于根据指纹库中存储的指纹与所述目标指纹的比对结果,确定是否允许所述访客浏览网页。
9.一种浏览网页的电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-7中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010544095.9A CN111786966A (zh) | 2020-06-15 | 2020-06-15 | 浏览网页的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010544095.9A CN111786966A (zh) | 2020-06-15 | 2020-06-15 | 浏览网页的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111786966A true CN111786966A (zh) | 2020-10-16 |
Family
ID=72756602
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010544095.9A Pending CN111786966A (zh) | 2020-06-15 | 2020-06-15 | 浏览网页的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111786966A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112532605A (zh) * | 2020-11-23 | 2021-03-19 | 中信银行股份有限公司 | 一种网络攻击溯源方法及系统、存储介质、电子设备 |
| CN112565226A (zh) * | 2020-11-27 | 2021-03-26 | 深信服科技股份有限公司 | 请求处理方法、装置、设备及系统和用户画像生成方法 |
| CN112685682A (zh) * | 2021-03-16 | 2021-04-20 | 连连(杭州)信息技术有限公司 | 一种攻击事件的封禁对象识别方法、装置、设备及介质 |
| CN113556343A (zh) * | 2021-07-21 | 2021-10-26 | 江南信安(北京)科技有限公司 | 基于浏览器指纹识别的DDoS攻击防御方法及设备 |
| CN113612777A (zh) * | 2021-08-04 | 2021-11-05 | 百度在线网络技术(北京)有限公司 | 训练方法、流量分级方法、装置、电子设备以及存储介质 |
| CN113992628A (zh) * | 2021-12-30 | 2022-01-28 | 北京华云安信息技术有限公司 | 域名爆破测试方法、装置、设备以及计算机可读存储介质 |
| CN114124559A (zh) * | 2021-11-23 | 2022-03-01 | 杭州默安科技有限公司 | 一种基于公钥指纹的主机识别方法 |
| CN114157647A (zh) * | 2021-11-11 | 2022-03-08 | 众安信息技术服务有限公司 | 用户浏览网页的追踪方法、装置、电子设备及存储介质 |
| CN114363053A (zh) * | 2021-12-31 | 2022-04-15 | 深信服科技股份有限公司 | 一种攻击识别方法、装置及相关设备 |
| CN114363059A (zh) * | 2021-12-31 | 2022-04-15 | 深信服科技股份有限公司 | 一种攻击识别方法、装置及相关设备 |
| CN114726608A (zh) * | 2022-03-31 | 2022-07-08 | 杭州安恒信息技术股份有限公司 | 一种蜜罐引流方法、装置及其介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8244799B1 (en) * | 2008-07-21 | 2012-08-14 | Aol Inc. | Client application fingerprinting based on analysis of client requests |
| CN103065095A (zh) * | 2013-01-29 | 2013-04-24 | 四川大学 | 一种基于指纹识别技术的web漏洞扫描方法和漏洞扫描器 |
| CN105430011A (zh) * | 2015-12-25 | 2016-03-23 | 杭州朗和科技有限公司 | 一种检测分布式拒绝服务攻击的方法和装置 |
| CN106952096A (zh) * | 2017-03-03 | 2017-07-14 | 中国工商银行股份有限公司 | 客户端设备的安全认证系统、方法及客户端可信识别装置 |
| CN109446807A (zh) * | 2018-10-17 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 用于识别拦截恶意机器人的方法、装置以及电子设备 |
| CN109635225A (zh) * | 2018-12-14 | 2019-04-16 | 平安城市建设科技(深圳)有限公司 | 追踪浏览器信息的方法、装置、服务器及存储介质 |
| CN110740142A (zh) * | 2019-11-21 | 2020-01-31 | 国家电网有限公司信息通信分公司 | 一种基于web攻击工器具特征的指纹库建立方法 |
-
2020
- 2020-06-15 CN CN202010544095.9A patent/CN111786966A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8244799B1 (en) * | 2008-07-21 | 2012-08-14 | Aol Inc. | Client application fingerprinting based on analysis of client requests |
| CN103065095A (zh) * | 2013-01-29 | 2013-04-24 | 四川大学 | 一种基于指纹识别技术的web漏洞扫描方法和漏洞扫描器 |
| CN105430011A (zh) * | 2015-12-25 | 2016-03-23 | 杭州朗和科技有限公司 | 一种检测分布式拒绝服务攻击的方法和装置 |
| CN106952096A (zh) * | 2017-03-03 | 2017-07-14 | 中国工商银行股份有限公司 | 客户端设备的安全认证系统、方法及客户端可信识别装置 |
| CN109446807A (zh) * | 2018-10-17 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 用于识别拦截恶意机器人的方法、装置以及电子设备 |
| CN109635225A (zh) * | 2018-12-14 | 2019-04-16 | 平安城市建设科技(深圳)有限公司 | 追踪浏览器信息的方法、装置、服务器及存储介质 |
| CN110740142A (zh) * | 2019-11-21 | 2020-01-31 | 国家电网有限公司信息通信分公司 | 一种基于web攻击工器具特征的指纹库建立方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李晓云: ""基于浏览器脚本注入的追踪溯源技术研究"", 《中国优秀硕士学位论文信息科技辑》 * |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112532605B (zh) * | 2020-11-23 | 2022-11-22 | 中信银行股份有限公司 | 一种网络攻击溯源方法及系统、存储介质、电子设备 |
| CN112532605A (zh) * | 2020-11-23 | 2021-03-19 | 中信银行股份有限公司 | 一种网络攻击溯源方法及系统、存储介质、电子设备 |
| CN112565226A (zh) * | 2020-11-27 | 2021-03-26 | 深信服科技股份有限公司 | 请求处理方法、装置、设备及系统和用户画像生成方法 |
| CN112685682A (zh) * | 2021-03-16 | 2021-04-20 | 连连(杭州)信息技术有限公司 | 一种攻击事件的封禁对象识别方法、装置、设备及介质 |
| CN113556343A (zh) * | 2021-07-21 | 2021-10-26 | 江南信安(北京)科技有限公司 | 基于浏览器指纹识别的DDoS攻击防御方法及设备 |
| CN113612777A (zh) * | 2021-08-04 | 2021-11-05 | 百度在线网络技术(北京)有限公司 | 训练方法、流量分级方法、装置、电子设备以及存储介质 |
| CN114157647A (zh) * | 2021-11-11 | 2022-03-08 | 众安信息技术服务有限公司 | 用户浏览网页的追踪方法、装置、电子设备及存储介质 |
| CN114124559A (zh) * | 2021-11-23 | 2022-03-01 | 杭州默安科技有限公司 | 一种基于公钥指纹的主机识别方法 |
| CN114124559B (zh) * | 2021-11-23 | 2024-04-02 | 杭州默安科技有限公司 | 一种基于公钥指纹的主机识别方法 |
| CN113992628A (zh) * | 2021-12-30 | 2022-01-28 | 北京华云安信息技术有限公司 | 域名爆破测试方法、装置、设备以及计算机可读存储介质 |
| CN114363053A (zh) * | 2021-12-31 | 2022-04-15 | 深信服科技股份有限公司 | 一种攻击识别方法、装置及相关设备 |
| CN114363059A (zh) * | 2021-12-31 | 2022-04-15 | 深信服科技股份有限公司 | 一种攻击识别方法、装置及相关设备 |
| CN114726608A (zh) * | 2022-03-31 | 2022-07-08 | 杭州安恒信息技术股份有限公司 | 一种蜜罐引流方法、装置及其介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| KR101689299B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| US11212305B2 (en) | Web application security methods and systems | |
| Ahmed et al. | Real time detection of phishing websites | |
| Song et al. | Advanced evasion attacks and mitigations on practical ML‐based phishing website classifiers | |
| CN107465648B (zh) | 异常设备的识别方法及装置 | |
| KR101388090B1 (ko) | 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법 | |
| US8533821B2 (en) | Detecting and defending against man-in-the-middle attacks | |
| US20190215330A1 (en) | Detecting attacks on web applications using server logs | |
| CN105939326B (zh) | 处理报文的方法及装置 | |
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| US20200014697A1 (en) | Whitelisting of trusted accessors to restricted web pages | |
| US20170111391A1 (en) | Enhanced intrusion prevention system | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| US11509691B2 (en) | Protecting from directory enumeration using honeypot pages within a network directory | |
| Vidalis et al. | Assessing identity theft in the Internet of Things | |
| EP3579523A1 (en) | System and method for detection of malicious interactions in a computer network | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| EP3172692A1 (en) | Remedial action for release of threat data | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| Paturi et al. | Detection of phishing attacks using visual similarity model | |
| CN113794731B (zh) | 识别基于cdn流量伪装攻击的方法、装置、设备和介质 | |
| Roopak et al. | On effectiveness of source code and SSL based features for phishing website detection | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| Chiba et al. | Botprofiler: Profiling variability of substrings in http requests to detect malware-infected hosts |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220928 Address after: 25 Financial Street, Xicheng District, Beijing 100033 Applicant after: CHINA CONSTRUCTION BANK Corp. Address before: 25 Financial Street, Xicheng District, Beijing 100033 Applicant before: CHINA CONSTRUCTION BANK Corp. Applicant before: Jianxin Financial Science and Technology Co.,Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201016 |