CN108173825B - 一种网络流量审计方法及装置 - Google Patents
一种网络流量审计方法及装置 Download PDFInfo
- Publication number
- CN108173825B CN108173825B CN201711395324.XA CN201711395324A CN108173825B CN 108173825 B CN108173825 B CN 108173825B CN 201711395324 A CN201711395324 A CN 201711395324A CN 108173825 B CN108173825 B CN 108173825B
- Authority
- CN
- China
- Prior art keywords
- proxy
- network
- flow
- destination
- auditing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000012550 audit Methods 0.000 claims abstract description 56
- 230000000903 blocking effect Effects 0.000 claims abstract description 21
- 230000005856 abnormality Effects 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 10
- 230000002159 abnormal effect Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000004590 computer program Methods 0.000 description 3
- 238000005336 cracking Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种网络流量审计方法及装置。所述方法包括:实时获取终端访问网络时产生的网络流量,网络流量包括目的IP和目的端口;若根据目的端口判断获知网络流量为疑似代理流量,则将目的端口和目的IP存入代理IP列表中,并对代理IP列表中的疑似代理流量进行封堵;若判断获知终端访问正常,则获取网络流量对应的审计网络流量,并对审计网络流量进行审计。所述装置用于执行所述方法。本发明实施例通过根据目的端口判断获知为疑似代理流量,并将疑似代理流量进行封堵,封堵后如果终端访问正常,则获取网络流量对应的审计网络流量并进行审计,从而实现了对私有协议产生的网络流量进行快速便捷的审计。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种网络流量审计方法及装置。
背景技术
随着智能手机等移动设备的普及,WIFI作为移动互联网终端独有的连接点在使用上越发普遍,很多高校、公司、商家等基本都会有WIFI覆盖,通过WIFI上网进行信息浏览等非常便利。然而网络信息林林总总,有些用户可能会访问到一些有害网站(如携带病毒、内容非法等)或是自行搜索一些敏感有害信息,或通过论坛发表一些不正当的言论等,很可能造成相当大的危害。
在对移动端流量分析的过程中,发现有一些HTTP流量是私有协议的,无法进行审计。比如通过UC浏览器产生的流量,由于这些浏览器默认开启了代理功能,导致产生的流量是私有协议的,无法对这种流量进行审计,而且也不能通过强制关闭浏览器代理功能来解决。因此要找到一个可以审计这些流量的方法就显得非常重要。
由于当前移动端浏览器种类繁多,很多浏览器(比如UC、华为自带浏览器)都默认开启代理功能。而代理流量通常使用的是私有协议,各种浏览器的私有协议格式不一,虽然破解私有协议看起来是一个一劳永逸的方法。但是破解起来不仅需要花费大量的时间,而且难度非常大,并且破解效果很不理想。因此,如何对私有协议产生的网络流量进行快速便捷的审计是现如今亟待解决的课题。
发明内容
针对现有技术存在的问题,本发明实施例提供一种网络流量审计方法及装置。
第一方面,本发明实施例提供一种网络流量审计方法,包括:
S1、实时获取终端访问网络时产生的网络流量,所述网络流量包括目的IP和目的端口;
S2、若根据所述目的端口判断获知所述网络流量为疑似代理流量,则将所述目的端口和所述目的IP存入代理IP列表中,并对所述代理IP列表中的疑似代理流量进行封堵;
S3、若判断获知所述终端访问正常,则获取所述网络流量对应的审计网络流量,并对所述审计网络流量进行审计。
第二方面,本发明实施例提供一种网络流量审计装置,包括:
获取模块,用于实时获取终端访问网络时产生的网络流量,所述网络流量包括目的IP和目的端口;
封堵模块,用于若根据所述目的端口判断获知所述网络流量为疑似代理流量,则将所述目的端口和所述目的IP存入代理IP列表中,并对所述代理IP列表中的疑似代理流量进行封堵;
第一审计模块,用于若判断获知所述终端访问正常,则获取所述网络流量对应的审计网络流量,并对所述审计网络流量进行审计。
第三方面,本发明实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面的方法步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面的方法步骤。
本发明实施例提供的一种网络流量审计方法及装置,通过根据目的端口判断获知为疑似代理流量,并将疑似代理流量进行封堵,封堵后如果终端访问正常,则获取网络流量对应的审计网络流量并进行审计,从而实现了对私有协议产生的网络流量进行快速便捷的审计。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网络流量审计方法流程示意图;
图2为本发明另一实施例提供的一种网络流量审计方法流程示意图;
图3为本发明实施例提供的网络流量示意图;
图4为本发明实施例提供的封堵规则示意图;
图5为本发明实施例提供的审计网络流量示意图;
图6为本发明实施例提供的一种网络流量审计装置结构示意图;
图7为本发明实施例提供的电子设备实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种网络流量审计方法流程示意图,如图1所示,所述方法,包括:
S1、实时获取终端访问网络时产生的网络流量,所述网络流量包括目的IP和目的端口;
具体的,当移动终端正在访问浏览器时会产生网络流量,审计装置实时获取该网络流量,其中网络流量中包括目的IP和目的端口,应当说明的是,网络流量中还可以包括源IP和源端口等信息,本发明实施例对此不做具体限定。
S2、若根据所述目的端口判断获知所述网络流量为疑似代理流量,则将所述目的端口和所述目的IP存入代理IP列表中,并对所述代理IP列表中的疑似代理流量进行封堵;
具体的,如果浏览器开启了代理功能,则会产生的网络流量为代理流量,而代理流量通常使用的是私有协议,因此无法直接对代理流量进行审计,通过调查和反复测试,发现封堵了代理流量后,浏览器会转而使用标准的HTTP协议进行通讯,此时产生了可用于审计的审计网络流量,审计装置可以对审计网络流量进行审计。因此,审计装置在获取到网络流量后,根据目的端口判断该网络流量是否为疑似代理流量,如果是疑似代理流量,则将该目的端口和对应的目的IP存入到代理IP列表中,并对代理IP列表中目的端口对应的疑似代理流量进行封堵,其中封堵规则是预先配置好的。如果代理IP列表中有多个目的端口,则对所有的目的端口对应的疑似代理流量进行封堵。应当说明的是,所谓封堵,意为阻止流量通过对应的目的端口,其封堵的过程可以为审计装置向移动终端发送reset包,以通知移动终端该目的IP的目的端口不可用,以使移动终端尝试通过其他目的端口或目的IP进行访问网络。
S3、若判断获知所述终端访问正常,则获取所述网络流量对应的审计网络流量,并对所述审计网络流量进行审计。
具体的,在封堵了疑似代理流量后,如果终端能够正常访问浏览器,则说明浏览器转用了标准的HTTP协议,此时产生了网络流量对应的可以被审计的审计网络流量,因此,审计装置可以获取到网络流量对应的审计网络流量,并对审计网络流量进行审计。应当说明的是,上述步骤S1-S3之间的执行顺序可以根据实际情况进行调整,本发明实施例对此不做具体限定。
本发明实施例通过根据目的端口判断获知为疑似代理流量,并将疑似代理流量进行封堵,封堵后如果终端访问正常,则获取网络流量对应的审计网络流量并进行审计,从而实现了对私有协议产生的网络流量进行快速便捷的审计。
在上述实施例的基础上,所述方法,还包括:
S4、若判断获知所述终端访问异常,则将所述目的IP和所述目的端口从所述代理IP列表中删除,对所述疑似代理流量解除封堵,返回执行S1直至获取到所述网络流量对应的所述审计网络流量,并对所述审计网络流量进行审计为止。
具体的,审计装置将代理IP列表中目的端口对应的疑似代理流量进行封堵后,判断得知该目的端口对应的源IP对应的终端访问异常,则说明被封堵的目的IP不是代理流量对应的目的IP,审计装置可以接收到终端访问异常的信息从而判断得知访问异常,然后将代理IP列表中的该目的IP和目的端口移除,并对该目的端口对应的网络流量进行解除封堵,并重新执行S1,直至能够获取到该网络流量对应的审计网络流量为止,获取到审计网络流量后,对其进行审计。
本发明实施例通过对疑似代理流量进行封堵,如果终端访问异常,则对该疑似代理流量解除封堵,并重新获取网络流量,直至获取到审计网络流量以使审计装置能够审计为止,实现了对代理流量的审计。
在上述实施例的基础上,所述若根据所述目的端口判断获知所述网络流量为疑似代理流量,则将所述目的端口和所述目的IP存入代理IP列表中,包括:
若判断获知所述目的端口为8080端口,且在预设时间段内统计所述8080端口对应的目的IP个数大于预设阈值,则所述网络流量为疑似代理流量,将所述疑似代理流量对应的目的IP和目的端口存入代理IP列表中。
具体的,代理流量的目的端口一般为8080端口,因此,审计装置在接收到网络流量后,判断该网络流量的目的端口是否为8080端口,如果是8080端口,并且终端在访问浏览器时会产生多条网络流量,如果在预设时间段内,统计得到8080端口对应的目的IP个数大于预设阈值,则将该8080端口对应的网络流量确定为疑似代理流量,并且,将疑似代理流量对应的目的端口和目的IP存入到代理IP列表中。
本发明实施例通过判断目的端口为8080端口,且在预设时间段内该8080端口对应的目的IP个数大于预设阈值,则将该8080端口对应的网络流量确定为疑似代理流量,以便审计装置能够对该疑似代理流量进行封堵从而获得审计网络流量,实现了方便快速的对网络流量进行审计。
在上述实施例的基础上,所述方法,还包括:
所述网络流量对应的目的端口为80端口,则直接对所述网络流量进行审计。
具体的,审计装置在接收到终端访问网络产生的网络流量后,判断得知该网络流量的目的端口为80端口,则说明该网络流量可以审计,此时,审计装置直接对该网络流量进行审计。
本发明实施例通过根据目的端口判断获知为疑似代理流量,并将疑似代理流量进行封堵,封堵后如果终端访问正常,则获取网络流量对应的审计网络流量并进行审计,从而实现了对私有协议产生的网络流量进行快速便捷的审计。
图2为本发明另一实施例提供的一种网络流量审计方法流程示意图,如图2所示,包括:
步骤201:移动端浏览器大量访问某一HTTP网址;将WIFI连接到审计装置上,在安卓手机上关闭其他应用程序,打开UC浏览器,并打开一个HTTP网站,打开新闻频道,大量浏览新闻和发帖;
步骤202:获取网络流量;审计装置获取到安卓手机通过浏览器访问HTTP网站时产生的了大量的网络流量,图3为本发明实施例提供的网络流量示意图,如图1所示;
步骤203:是否可以审计;判断网络流量是否可审计,如果可审计,则直接进行审计并结束,否则,执行步骤203;
步骤204:是否为8080端口;判断网络流量是否为8080端口,如果是则执行步骤205,否则执行步骤202;
步骤205:统计目的IP的个数超过预设阈值;图3中目的IP为123.150.180.56和123.150.180.57的目的端口均为8080,此时统计上两个目的IP的个数,获取个数超过预设阈值的目的IP;
步骤206:存入代理IP列表,并封堵;如果123.150.180.57的个数大于预设阈值,则将目的IP为123.150.180.57,目的端口为8080端口存入到代理IP列表中,并对代理IP列表中的该目的端口对应的疑似网络流量进行封堵,图4为本发明实施例提供的封堵规则示意图;
步骤207:网页访问是否发生异常;封堵之后,如果判断得知终端页面访问发生异常,则说明被封堵的疑似代理流量并不是代理流量,执行步骤208,如果封堵后,没有发生异常,则可以获取到审计网络流量,此时执行步骤203,图5为本发明实施例提供的审计网络流量示意图;
步骤208:从代理IP列表删除目的IP和端口号;目的IP和目的端口从代理IP列表中删除,对该目的端口对应的网络流量解除封堵,并重新返回步骤202。
本发明实施例通过根据目的端口判断获知为疑似代理流量,并将疑似代理流量进行封堵,封堵后如果终端访问正常,则获取网络流量对应的审计网络流量并进行审计,从而实现了对私有协议产生的网络流量进行快速便捷的审计。
图6为本发明实施例提供的一种网络流量审计装置结构示意图,如图6所示,所述装置,包括:获取模块601、封堵模块602和第一审计模块603,其中:
获取模块601用于实时获取终端访问网络时产生的网络流量,所述网络流量包括目的IP和目的端口;封堵模块602用于若根据所述目的端口判断获知所述网络流量为疑似代理流量,则将所述目的端口和所述目的IP存入代理IP列表中,并对所述代理IP列表中的疑似代理流量进行封堵;第一审计模块603用于若判断获知所述终端访问正常,则获取所述网络流量对应的审计网络流量,并对所述审计网络流量进行审计。
具体的,当移动终端正在访问浏览器时会产生网络流量,获取模块601实时获取该网络流量,其中网络流量中包括目的IP和目的端口,应当说明的是,网络流量中还可以包括源IP和源端口等信息,本发明实施例对此不做具体限定。封堵模块602在获取到网络流量后,根据目的端口判断该网络流量是否为疑似代理流量,如果是疑似代理流量,则将该目的端口和对应的目的IP存入到代理IP列表中,并对代理IP列表中目的端口对应的疑似代理流量进行封堵,其中封堵规则是预先配置好的。如果代理IP列表中有多个目的端口,则对所有的目的端口对应的疑似代理流量进行封堵。在封堵了疑似代理流量后,如果终端能够正常访问浏览器,则说明浏览器转用了标准的HTTP协议,此时产生了网络流量对应的可以被审计的审计网络流量,因此,第一审计模块603可以获取到网络流量对应的审计网络流量,并对审计网络流量进行审计。
本发明提供的装置的实施例具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
本发明实施例通过根据目的端口判断获知为疑似代理流量,并将疑似代理流量进行封堵,封堵后如果终端访问正常,则获取网络流量对应的审计网络流量并进行审计,从而实现了对私有协议产生的网络流量进行快速便捷的审计。
在上述实施例的基础上,所述装置,还包括:
解除封堵模块,用于若判断获知所述终端访问异常,则将所述目的IP和所述目的端口从所述代理IP列表中删除,并对所述疑似代理流量解除封堵,返回执行所述获取模块直至获取到所述网络流量对应的所述审计网络流量,并对所述审计网络流量进行审计为止。
具体的,将代理IP列表中目的端口对应的疑似代理流量进行封堵后,判断得知该目的端口对应的源IP对应的终端访问异常,则说明被封堵的目的IP不是代理流量对应的目的IP,解除封堵模块可以接收到终端访问异常的信息从而判断得知访问异常,然后将代理IP列表中的该目的IP和目的端口移除,并对该目的端口对应的网络流量进行解除封堵,并重新执行获取模型的功能,直至能够获取到该网络流量对应的审计网络流量为止,获取到审计网络流量后,对其进行审计。
本发明实施例通过对疑似代理流量进行封堵,如果终端访问异常,则对该疑似代理流量解除封堵,并重新获取网络流量,直至获取到审计网络流量以使审计装置能够审计为止,实现了对代理流量的审计。
在上述实施例的基础上,所述封堵模块,具体用于:
若判断获知所述目的端口为8080端口,且在预设时间段内统计所述8080端口对应的目的IP个数大于预设阈值,则所述网络流量为疑似代理流量,将所述疑似代理流量对应的目的IP和目的端口存入代理IP列表中。
具体的,代理流量的目的端口一般为8080端口,因此,封堵模块在接收到网络流量后,判断该网络流量的目的端口是否为8080端口,如果是8080端口,并且终端在访问浏览器时会产生多条网络流量,如果在预设时间段内,统计得到8080端口对应的目的IP个数大于预设阈值,则将该8080端口对应的网络流量确定为疑似代理流量,并且,将疑似代理流量对应的目的端口和目的IP存入到代理IP列表中。
本发明实施例通过判断目的端口为8080端口,且在预设时间段内该8080端口对应的目的IP个数大于预设阈值,则将该8080端口对应的网络流量确定为疑似代理流量,以便审计装置能够对该疑似代理流量进行封堵从而获得审计网络流量,实现了方便快速的对网络流量进行审计。
在上述实施例的基础上,所述装置,还包括:
第二审计模块,用于所述网络流量对应的目的端口为80端口,则直接对所述网络流量进行审计。
具体的,第二审计模块在接收到终端访问网络产生的网络流量后,判断得知该网络流量的目的端口为80端口,则说明该网络流量可以审计,此时,审计装置直接对该网络流量进行审计。
本发明实施例通过根据目的端口判断获知为疑似代理流量,并将疑似代理流量进行封堵,封堵后如果终端访问正常,则获取网络流量对应的审计网络流量并进行审计,从而实现了对私有协议产生的网络流量进行快速便捷的审计。
图7为本发明实施例提供的电子设备实体结构示意图,如图,7所示,所述电子设备,包括:处理器(processor)701、存储器(memory)702和总线703;其中,
所述处理器701和存储器702通过所述总线703完成相互间的通信;
所述处理器701用于调用所述存储器702中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:S1、实时获取终端访问网络时产生的网络流量,所述网络流量包括目的IP和目的端口;S2、若根据所述目的端口判断获知所述网络流量为疑似代理流量,则将所述目的端口和所述目的IP存入代理IP列表中,并对所述代理IP列表中的疑似代理流量进行封堵;S3、若判断获知所述终端访问正常,则获取所述网络流量对应的审计网络流量,并对所述审计网络流量进行审计。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:S1、实时获取终端访问网络时产生的网络流量,所述网络流量包括目的IP和目的端口;S2、若根据所述目的端口判断获知所述网络流量为疑似代理流量,则将所述目的端口和所述目的IP存入代理IP列表中,并对所述代理IP列表中的疑似代理流量进行封堵;S3、若判断获知所述终端访问正常,则获取所述网络流量对应的审计网络流量,并对所述审计网络流量进行审计。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:S1、实时获取终端访问网络时产生的网络流量,所述网络流量包括目的IP和目的端口;S2、若根据所述目的端口判断获知所述网络流量为疑似代理流量,则将所述目的端口和所述目的IP存入代理IP列表中,并对所述代理IP列表中的疑似代理流量进行封堵;S3、若判断获知所述终端访问正常,则获取所述网络流量对应的审计网络流量,并对所述审计网络流量进行审计。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种网络流量审计方法,其特征在于,包括:
S1、实时获取终端访问网络时产生的网络流量,所述网络流量包括目的IP和目的端口;
S2、若根据所述目的端口判断获知所述网络流量为疑似代理流量,则将所述目的端口和所述目的IP存入代理IP列表中,并对所述代理IP列表中的疑似代理流量进行封堵,以使浏览器会转而使用标准的HTTP协议进行通讯,产生用于审计的审计网络流量;
S3、若判断获知所述终端访问正常,则获取所述网络流量对应的审计网络流量,并对所述审计网络流量进行审计。
2.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
S4、若判断获知所述终端访问异常,则将所述目的IP和所述目的端口从所述代理IP列表中删除,对所述疑似代理流量解除封堵,返回执行S1直至获取到所述网络流量对应的所述审计网络流量,并对所述审计网络流量进行审计为止。
3.根据权利要求1所述的方法,其特征在于,所述若根据所述目的端口判断获知所述网络流量为疑似代理流量,则将所述目的端口和所述目的IP存入代理IP列表中,包括:
若判断获知所述目的端口为8080端口,且在预设时间段内统计所述8080端口对应的目的IP个数大于预设阈值,则所述网络流量为疑似代理流量,将所述疑似代理流量对应的目的IP和目的端口存入代理IP列表中。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述方法,还包括:
所述网络流量对应的目的端口为80端口,则直接对所述网络流量进行审计。
5.一种网络流量审计装置,其特征在于,包括:
获取模块,用于实时获取终端访问网络时产生的网络流量,所述网络流量包括目的IP和目的端口;
封堵模块,用于若根据所述目的端口判断获知所述网络流量为疑似代理流量,则将所述目的端口和所述目的IP存入代理IP列表中,并对所述代理IP列表中的疑似代理流量进行封堵,以使浏览器会转而使用标准的HTTP协议进行通讯,产生用于审计的审计网络流量;
第一审计模块,用于若判断获知所述终端访问正常,则获取所述网络流量对应的审计网络流量,并对所述审计网络流量进行审计。
6.根据权利要求5所述的装置,其特征在于,所述装置,还包括:
解除封堵模块,用于若判断获知所述终端访问异常,则将所述目的IP和所述目的端口从所述代理IP列表中删除,并对所述疑似代理流量解除封堵,返回执行所述获取模块直至获取到所述网络流量对应的所述审计网络流量,并对所述审计网络流量进行审计为止。
7.根据权利要求5所述的装置,其特征在于,所述封堵模块,具体用于:
若判断获知所述目的端口为8080端口,且在预设时间段内统计所述8080端口对应的目的IP个数大于预设阈值,则所述网络流量为疑似代理流量,将所述疑似代理流量对应的目的IP和目的端口存入代理IP列表中。
8.根据权利要求5-7任一项所述的装置,其特征在于,所述装置,还包括:
第二审计模块,用于所述网络流量对应的目的端口为80端口,则直接对所述网络流量进行审计。
9.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-4任一项所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1-4任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711395324.XA CN108173825B (zh) | 2017-12-21 | 2017-12-21 | 一种网络流量审计方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711395324.XA CN108173825B (zh) | 2017-12-21 | 2017-12-21 | 一种网络流量审计方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108173825A CN108173825A (zh) | 2018-06-15 |
CN108173825B true CN108173825B (zh) | 2021-01-01 |
Family
ID=62523072
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711395324.XA Active CN108173825B (zh) | 2017-12-21 | 2017-12-21 | 一种网络流量审计方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108173825B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110035068B (zh) * | 2019-03-14 | 2021-10-01 | 微梦创科网络科技(中国)有限公司 | 一种反抓站***的禁封方法及装置 |
CN112995152B (zh) * | 2021-02-07 | 2022-11-22 | 深信服科技股份有限公司 | 一种风险端口检测方法、装置、设备和介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101291343A (zh) * | 2008-05-20 | 2008-10-22 | 北京锐安科技有限公司 | 一种基于透明代理设备的远程控制方法及其*** |
CN101605132A (zh) * | 2009-07-13 | 2009-12-16 | 深圳市深信服电子科技有限公司 | 一种网络数据流识别方法 |
CN101895521A (zh) * | 2009-05-22 | 2010-11-24 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其*** |
CN102497385A (zh) * | 2011-12-31 | 2012-06-13 | 曙光信息产业股份有限公司 | 一种网络流量审计方法及审计*** |
CN104394122A (zh) * | 2014-10-31 | 2015-03-04 | 杭州安恒信息技术有限公司 | 一种基于自适应代理机制的http业务防火墙 |
CN106453266A (zh) * | 2016-09-20 | 2017-02-22 | 微梦创科网络科技(中国)有限公司 | 一种异常网络请求检测方法与装置 |
CN106686157A (zh) * | 2017-01-25 | 2017-05-17 | 同盾科技有限公司 | 一种识别代理ip的方法及*** |
CN106921670A (zh) * | 2017-03-22 | 2017-07-04 | 北京安博通科技股份有限公司 | 一种代理检测的方法及装置 |
CN106982206A (zh) * | 2017-03-10 | 2017-07-25 | 中国科学院信息工程研究所 | 一种基于ip地址自适应转换的恶意扫描防御方法及*** |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8028329B2 (en) * | 2005-06-13 | 2011-09-27 | Iamsecureonline, Inc. | Proxy authentication network |
EP2807560B1 (en) * | 2012-01-24 | 2019-12-04 | SSH Communications Security Oyj | Privileged access auditing |
-
2017
- 2017-12-21 CN CN201711395324.XA patent/CN108173825B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101291343A (zh) * | 2008-05-20 | 2008-10-22 | 北京锐安科技有限公司 | 一种基于透明代理设备的远程控制方法及其*** |
CN101895521A (zh) * | 2009-05-22 | 2010-11-24 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其*** |
CN101605132A (zh) * | 2009-07-13 | 2009-12-16 | 深圳市深信服电子科技有限公司 | 一种网络数据流识别方法 |
CN102497385A (zh) * | 2011-12-31 | 2012-06-13 | 曙光信息产业股份有限公司 | 一种网络流量审计方法及审计*** |
CN104394122A (zh) * | 2014-10-31 | 2015-03-04 | 杭州安恒信息技术有限公司 | 一种基于自适应代理机制的http业务防火墙 |
CN106453266A (zh) * | 2016-09-20 | 2017-02-22 | 微梦创科网络科技(中国)有限公司 | 一种异常网络请求检测方法与装置 |
CN106686157A (zh) * | 2017-01-25 | 2017-05-17 | 同盾科技有限公司 | 一种识别代理ip的方法及*** |
CN106982206A (zh) * | 2017-03-10 | 2017-07-25 | 中国科学院信息工程研究所 | 一种基于ip地址自适应转换的恶意扫描防御方法及*** |
CN106921670A (zh) * | 2017-03-22 | 2017-07-04 | 北京安博通科技股份有限公司 | 一种代理检测的方法及装置 |
Non-Patent Citations (1)
Title |
---|
基于代理的远程访问审计***的设计与实现;李灏;《中国优秀硕士学位论文全文数据库 工程科技Ⅱ辑》;20140115;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN108173825A (zh) | 2018-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10079854B1 (en) | Client-side protective script to mitigate server loading | |
US10121000B1 (en) | System and method to detect premium attacks on electronic networks and electronic devices | |
EP3324325B1 (en) | Method, client, and system for testing application | |
US9231972B2 (en) | Malicious website identifying method and system | |
ES2882125T3 (es) | Sistema y procedimiento para identificar ataques en Internet | |
Riadi | Forensic investigation technique on android's blackberry messenger using nist framework | |
CN106899549B (zh) | 一种网络安全检测方法及装置 | |
US8407789B1 (en) | Method and system for dynamically optimizing multiple filter/stage security systems | |
KR20150132312A (ko) | 네이티브 애플리케이션에 대한 웹 자산 액세스를 가능하게 하는 시스템 및 방법 | |
CN111711617A (zh) | 网络爬虫的检测方法、装置、电子设备及存储介质 | |
WO2015049513A1 (en) | Anti-malware mobile content data management apparatus and method | |
US8789177B1 (en) | Method and system for automatically obtaining web page content in the presence of redirects | |
WO2013049841A1 (en) | Apparatus, method and computer-readable storage medium for securing javascript | |
CN113949560B (zh) | 网络安全的识别方法、装置、服务器及存储介质 | |
WO2014075537A1 (en) | Malicious website identifying method and system | |
CN108173825B (zh) | 一种网络流量审计方法及装置 | |
CN109150790B (zh) | Web页面爬虫识别方法和装置 | |
Aase et al. | Whiskey, Weed, and Wukan on the World Wide Web: On Measuring Censors' Resources and Motivations. | |
CN105471821B (zh) | 一种基于浏览器的信息处理方法及装置 | |
KR101490442B1 (ko) | 이동통신 단말기, 이동통신 단말기에서의 악성 문자메시지 차단 방법 및 시스템 | |
CN103561076B (zh) | 一种基于云的网页挂马实时防护方法及*** | |
US9584537B2 (en) | System and method for detecting mobile cyber incident | |
CN106803830B (zh) | 识别上网终端的方法、装置和***、及uim卡 | |
CN113114611B (zh) | 黑名单管理的方法和装置 | |
KR20210076455A (ko) | Xss 공격 검증 자동화 방법 및 그 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: QAX Technology Group Inc. Address before: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |