CN115037537A - 异常流量拦截、异常域名识别方法、装置、设备及介质 - Google Patents

Abstract

本发明公开了一种异常域名的识别、异常流量的拦截方法、装置、设备及介质。所述异常流量的拦截方法由与网络交换设备并联的拦截设备执行，包括：从网络交换设备上旁路采集复制数据流量，并识别用于建立TCP连接的连接建立过程信息；在所述过程信息中，识别终端向网站发送的第一次握手报文；在所述第一次握手报文的关键字段中，识别终端所需访问的网站的域名信息，并进行异常网站的检测；在确定目标终端所需访问的目标网站为异常网站时，生成与所述目标终端匹配的TCP连接终端阻断信息；将所述阻断信息发送至所述目标终端，以对所述目标终端访问所述目标网站的行为进行拦截。通过采用上述技术方案，实现对HTTPS异常网站的识别和连接阻断。

Description

异常流量拦截、异常域名识别方法、装置、设备及介质

技术领域

本发明涉及互联网技术领域，尤其涉及异常流量拦截、异常域名识别方法、装置、设备及介质。

背景技术

随着互联网技术的发展，利用网络获取信息已经成为目前较为普遍的一种信息获取方式。但是，在用户通过网络获取所需信息的同时，会误入一些异常网站，异常网站不仅会传播一些非法信息，还有可能导致用户产生经济损失。

然而，部分异常网站为了保证网站能够持续运行，常采用基于HTTPS(Hyper TextTransfer Protocol over Secure Socket Layer，超文本传输安全协议)搭建网站的方法，来避免网络安全管理人员对该异常网站的检测和封堵。

目前，现有的对异常网站的访问进行阻断的方法中，大部分是针对HTTP(HyperText Transfer Protocol，超文本传输协议)网站的阻断，对HTTPS网站进行解析并封堵的方法较为匮乏。

发明内容

本发明提供了一种异常流量拦截、异常域名识别方法、装置、设备及介质，以实现对HTTPS异常网站的识别和连接阻断。

根据本发明的一方面，提供了一种异常流量拦截方法，该方法由与网络交换设备并联的拦截设备执行，包括：

从网络交换设备上旁路采集复制数据流量，并在复制数据流量中，识别用于建立TCP连接(Transmission Control Protocol，传输控制协议)的连接建立过程信息，连接建立过程信息为加密信息；

在所述连接建立过程信息中，识别终端向网站发送的第一次握手报文；

在所述第一次握手报文的关键字段中，识别终端所需访问的网站的域名信息，并根据域名信息进行异常网站的检测；

在根据目标第一次握手报文确定目标终端所需访问的目标网站为异常网站时，生成与所述目标终端匹配的TCP连接终端阻断信息；

将所述TCP连接终端阻断信息发送至所述目标终端，以对所述目标终端访问所述目标网站的行为进行拦截。

根据本发明的另一方面，提供了一种异常域名的识别方法，该方法由与网络交换设备并联的采集设备执行，包括：

从网络交换设备上旁路采集复制数据流量，并在复制数据流量中，识别用于建立TCP连接的连接建立过程信息，连接建立过程信息为加密信息；

在各所述连接建立过程信息中，识别终端向网站发送的第一次握手报文，并在所述第一次握手报文的关键字段中，解析得到网站的域名信息；

检测已知域名库中是否存储所述域名信息，若否，则对网站的域名信息进行模拟访问，获取所述网站反馈的响应报文；

如果根据响应报文确定所述网站为异常网站，则将所述域名信息存储于异常域名库中。

根据本发明的另一方面，提供了一种异常流量的拦截装置，包括：

连接建立过程信息识别模块，用于从网络交换设备上旁路采集复制数据流量，并在复制数据流量中，识别用于建立TCP连接的连接建立过程信息，连接建立过程信息为加密信息；

第一次握手报文识别模块，用于在所述连接建立过程信息中，识别终端向网站发送的第一次握手报文；

异常网站检测模块，用于在所述第一次握手报文的关键字段中，识别终端所需访问的网站的域名信息，并根据域名信息进行异常网站的检测；

终端阻断信息生成模块，用于在根据目标第一次握手报文确定目标终端所需访问的目标网站为异常网站时，生成与所述目标终端匹配的TCP连接终端阻断信息；

终端阻断信息发送模块，用于将所述TCP连接终端阻断信息发送至所述目标终端，以对所述目标终端访问所述目标网站的行为进行拦截。

根据本发明的另一方面，提供了一种异常域名的识别装置，包括：

连接建立过程信息识别模块，用于从网络交换设备上旁路采集复制数据流量，并在复制数据流量中，识别用于建立TCP连接的连接建立过程信息，连接建立过程信息为加密信息；

域名信息解析模块，用于在各所述连接建立过程信息中，识别终端向网站发送的第一次握手报文，并在所述第一次握手报文的关键字段中，解析得到网站的域名信息；

响应报文获取模块，用于检测已知域名库中是否存储所述域名信息，若否，则对网站的域名信息进行模拟访问，获取所述网站反馈的响应报文；

异常域名存储模块，用于如果根据响应报文确定所述网站为异常网站，则将所述域名信息存储于异常域名库中。

根据本发明的另一方面，提供了一种计算机设备，所述计算机设备包括：

存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序。

所述处理器执行所述计算机程序时能够实现本发明实施例一和实施例三所述的由拦截设备执行的异常流量的拦截方法，或者，能够实现本发明实施例二和实施例四所述的由采集设备执行的异常域名的识别方法。

根据本发明的另一方面，提供了一种计算机可执行指令存储介质，所述计算机可执行指令存储介质存储有计算机程序，所述计算机程序被处理器执行时能够实现本发明任意实施例所述的由拦截设备执行的异常流量的拦截方法，或者，能够实现本发明任意实施例所述的由采集设备执行的异常域名的识别方法。

本发明实施例的技术方案，通过将拦截设备并接至网络交换设备的旁路，采集复制数据流量中终端与网站之间的连接建立过程信息，并在连接建立过程信息中识别终端向网站发送的第一次握手报文，在第一次握手报文中提取识别域名信息的方式，可以在终端与网站建立TCP三次握手的过程中，判断出终端是否访问异常网站，进而可以以阻断TCP握手正常建立流程的方式，在TCP连接建立之前，阻断终端对异常HTTPS网站的访问，提供了一种以并接的方式对异常HTTPS网站进行有效连接阻断的新方式，在保证有效阻断效果的同时，不会对网络交换设备的原本的业务流量造成影响。

本发明实施例的技术方案，还通过将拦截设备并接至网络交换设备的旁路，采集复制数据流量中终端与网站之间的连接建立过程信息，并在连接建立过程信息中识别终端向网站发送的第一次握手报文，在第一次握手报文中提取识别域名信息，检测所述域名信息是否为已知域名信息，并对未知的网站域名信息进行模拟访问，根据访问后获取的响应报文判断所述网站是否为异常网站，将异常网站的域名信息储存到异常域名库中的方式，对异常网站进行精准检测，并完成了对异常域名库的迭代更新。

应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例一提供的一种异常流量的拦截方法的流程图；

图2是根据本发明实施例二提供的一种异常域名的识别方法的流程图；

图3a是根据本发明实施例三提供的一种异常流量的拦截方法的流程图；

图3b是本发明实施例的技术方案所适用的一种具体应用场景的网络架构图；

图3c是本发明实施例的技术方案所适用的一种具体应用场景的交互结构图；

图4是本发明实施例四提供的一种异常域名的识别方法的流程图；

图5是根据本发明实施例五提供的一种异常网络流量的拦截装置的结构示意图；

图6是根据本发明实施例六提供的一种异常域名的识别装置的结构示意图；

图7是实现本发明实施例的异常网络流量的拦截方法的拦截设备的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例一

图1为本发明实施例一提供的一种异常流量拦截方法的流程图，本实施例可适用于在终端发起对HTTPS网站的访问时，识别访问网站是否为异常网站，并对确定为异常网站的访问进行拦截的情况，该方法可以由异常流量拦截装置来执行，该异常流量拦截装置可以采用硬件和/或软件的形式实现，并一般可配置于具备网络数据处理功能的拦截设备中。其中，在互联网中，该拦截设备与网络交换设备并联连接。如图1所示，该方法包括：

S110、从网络交换设备上旁路采集复制数据流量，并在复制数据流量中，识别用于建立TCP连接的连接建立过程信息，连接建立过程信息为加密信息。

在本实施例中，网络交换设备是互联网中的组网设备，用于将终端与网站之间的传输数据包，以存储转发的形式在互联网中进行传输。一般来说，该网络交换设备一般是与终端临近连接(直接或者间接连接)的交换机或者是路由器。拦截设备与网络交换设备并联连接，用于获取经由网络交换设备双向传输的数据流量的备份版，也即复制数据流量，并基于该复制数据流量对终端访问异常网站的行为进行分析。

其中，从网络交换设备上旁路采集复制数据流量的具体方法可包括：采用链路分光，或者交换机镜像的方式，从网络交换设备上旁路采集复制数据流量。采集复制数据流量采用流量并接处置方式，在获取复制流量的同时不会对网络通信造成影响。

所述链路分光可以通过分光器对接入的光纤传输信号进行复制和能量分配，保证在不影响原有链路传输的情况下合理地采集流量；所述交换机镜像能够在不影响设备对报文的正常处理的情况下，将经过指定端口的报文复制一份到另一个指定端口。具体的，当网络交换设备与交换机的指定端口直连时，可以从该指定端口中获取复制数据流量。

其中，所述复制数据流量可以为从网络交换设备上旁路采集的，基于HTTPS的复制数据流量，所述复制数据流量中包含用于建立TCP连接的连接建立过程信息。

所述HTTPS是以安全为目标的HTTP通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS在HTTP的基础下加入了SSL(Secure Socket Layer，安全套接层协议)加密层，HTTPS存在不同于HTTP的默认端口及一个在HTTP与TCP之间的加密/身份验证层。

其中，所述在复制数据流量中，识别用于建立TCP连接的连接建立过程信息具体包括：在所述复制数据流量中，获取终端和/或网站所发送的，与TCP三次握手过程匹配的连接建立过程信息。

通过对TCP连接建立过程信息进行解析，可以识别出与该连接建立过程信息对应的发送方和接收方，例如，由某一终端发送至某一网站的连接建立过程信息，或者，由某一网站发送至某一终端的连接建立过程信息。

其中，所述用于建立TCP连接的连接建立过程信息为在所述复制数据流量中，获取终端和网站中的至少一项所发送的，与TCP三次握手过程匹配的连接建立过程信息。

在一个具体的例子中，以客户端与服务器进行TCP协议三次握手为例。第一次握手：建立连接时，客户端发送SYN(Synchronize Sequence Numbers，同步序列编号)包(seq＝x)到服务器，并进入SYN_SENT状态，等待服务器确认；第二次握手：服务器收到SYN包，必须确认客户的SYN(seq＝y)，同时自己也发送一个ACK(Acknowledgement，确认字符)包(ack＝x+1)，即SYN+ACK包，此时服务器进入SYN_RECV状态；第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack＝y+1)，此包发送完毕，客户端和服务器进入ESTABLISHED(TCP连接成功)状态，完成三次握手。上述实施例中所述小写单词seq、ack表示序号；所述大写单词SYN、ACK表示标志位，其值仅为1或0。

其中，所述seq为序列号，占4个字节，用于标记数据段的顺序，TCP把连接中发送的所有数据字节都编上一个序号，第一个字节的编号由本地随机产生，给字节编上序号后，就给每一个报文段指派一个序号，序列号seq就是这个报文段中的第一个字节的数据编号；所述ack为确认号，占4个字节，具体是指期待收到对方下一个报文段的第一个数据字节的序号，当前报文段最后一个字节的编号加1即为确认号；所述确认字符ACK占1位，仅当ACK＝1时，确认号字段才有效，当ACK＝0时，确认号无效；所述同步序列编号SYN在连接建立时，用于同步序号，当SYN＝1、ACK＝0时表示这是一个连接请求报文段，若同意连接，则在响应报文段中使得SYN＝1、ACK＝1，因此，SYN＝1表示这是一个连接请求，或连接接受报文，SYN这个标志位只有在TCP建产连接时才会被置1，握手完成后SYN标志位被置0。

在本实施例中，通过旁路采集复制数据流量的方式，可以避免在异常网站的识别过程中，对网络交换设备中正常的转发业务造成影响，在提供异常网站检测功能的同时，保证了正常的网络传输质量。

同时，通过基于建立TCP连接的连接建立过程信息中的第一次握手报文进行异常网站的识别，可以在终端与异常网站建立TCP连接之前，超前识别出该异常网站进行阻断，也即，在终端接收到异常网站发送的网页内容之前，对终端对异常网站的访问进行阻断。

S120、在所述连接建立过程信息中，识别终端向网站发送的第一次握手报文。

其中，在所述连接建立过程信息中，识别终端向网站发送的第一次握手报文，具体包括：

在所述连接建立过程信息中，识别与安全传输层协议TLS(Transport LayerSecurity，传输层安全协议)的第一阶段握手匹配的Client Hello报文。

其中，由于连接建立过程信息为加密信息，因此收发两端的信息以秘钥加密传输的方式在网络中传输。虽然收发两端的信息以秘钥加密传输的方式在网络中传输，但是在所述Client Hello报文中，仍能解析出所述网站的域名信息，且所述网站的域名信息仅能通过解析所述Client Hello报文得到。

S130、在所述第一次握手报文的关键字段中，识别终端所需访问的网站的域名信息，并根据域名信息进行异常网站的检测。

其中，识别终端所需访问的网站的域名信息的具体方法可包括：在所述第一次握手报文的关键字段中，通过采取识别域名信息标识字段的方式，可以在所述第一次握手报文中提取出终端所需访问的网站的域名信息。

其中，根据域名信息进行异常网站的检测的具体方法可包括：将所述域名信息与预先建立的异常网站域名库进行比对，检测所述异常网站域名库中是否存储所述域名信息。

其中，异常网站域名库中存储有多个预先标注的异常网站域名，如果终端所需访问的网站的域名信息与异常网站域名库中的任一异常网站域名相匹配，则确定该网站为异常网站；如果确定终端所需访问的网站的域名信息与异常网站域名库中的全部异常网站域名均不匹配，则确定该网站为正常网站。

S140、在根据目标第一次握手报文确定目标终端所需访问的目标网站为异常网站时，生成与所述目标终端匹配的TCP连接终端阻断信息。

其中，TCP连接终端阻断信息为针对目标终端生成的，用于阻断目标终端与目标网站的TCP连接建立过程的信息。具体的，该TCP连接终端阻断信息可以为与TCP三次握手时所传输的连接建立过程信息相比具有明显区别的信息。

当目标终端接收到该TCP连接终端阻断信息时，由于该信息与目标终端期望接收到的目标网站所发送的连接建立过程信息明显不同，进而目标终端不再尝试与目标网站建立TCP连接，从使用者角度来说，会直接接收到一个提示网页无法打开的空白页面。

在本实施例的一个可选的实施方式中，生成与所述目标终端匹配的TCP连接终端阻断信息具体方法可包括：根据所述目标终端和所述目标网站的身份识别信息，构建由所述目标网站指向所述目标终端的拒绝服务信息，作为所述TCP连接终端阻断信息。

S150、将所述TCP连接终端阻断信息发送至所述目标终端，以对所述目标终端访问所述目标网站的行为进行拦截。

需要强调的是，为了保证TCP连接终端阻断信息能够顺利发送至目标终端，需保证目标终端的端口关闭URPF(Unicast Reverse Path Forwarding，单播反向路径转发)功能。

进一步的，在对目标终端访问目标网站的行为进行拦截后，可以根据网页不同的状态情况，进一步扩充使用所述方法能够模拟达成的效果，如在终端网页中显示网页返回状态码，主要的网页返回状态码可以包括：200、请求已成功，请求所希望的响应头或数据体将随此响应返回；201、请求已经被实现，而且有一个新的资源已经依据请求的需要而建立，且其URI(Uniform Resource Identifier，通用资源标志符)已经随Location头信息返回；202、服务器已接受请求，但尚未处理；301(永久移动)、请求的网页已永久移动到新位置，服务器返回此响应(对GET或HEAD请求的响应)时，会自动将请求者转到新位置；302(临时移动)、服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来进行以后的请求；303(查看其他位置)、请求者应当对不同的位置使用单独的GET请求来检索响应时，服务器返回此代码；304(未修改)、自从上次请求后，请求的网页未修改过，服务器返回此响应时，不会返回网页内容；305(使用代理)、请求者只能使用代理访问请求的网页，如果服务器返回此响应，还表示请求者应使用代理；307(临时重定向)、服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来进行以后的请求；401、当前请求需要用户验证，如果当前请求已经包含了Authorization证书，那么401响应代表着服务器验证已经拒绝了那些证书；403、服务器已经理解请求，但是拒绝执行它，与401响应不同的是，身份验证并不能提供任何帮助，而且这个请求也不应该被重复提交；404、请求失败，请求所希望得到的资源未被在服务器上发现；500、服务器遇到了一个未曾预料的状况，导致了它无法完成对请求的处理；501、服务器不支持当前请求所需要的某个功能，当服务器无法识别请求的方法，并且无法支持其对任何资源的请求；502、作为网关或者代理工作的服务器尝试执行请求时，从上游服务器接收到无效的响应；503、由于临时的服务器维护或者过载，服务器当前无法处理请求，这个状况是临时的，并且将在一段时间以后恢复。

进一步的，在将TCP连接终端阻断信息发送至目标终端，以对目标终端访问目标网站的行为进行拦截后，还包括：

生成与所述目标网站匹配的TCP连接网站阻断信息；将所述TCP连接网站阻断信息发送至所述目标网站，以对所述目标网站向目标终端反馈响应信息的行为进行拦截。

其中，TCP连接网站阻断信息为针对目标网站生成的，用于阻断目标网站继续向目标终端反馈响应信息的信息。具体的，该TCP连接网站阻断信息可以为指示目标终端与目标网站断开TCP连接的信息。当目标网站接收到该TCP连接网站阻断信息时，不会再对目标终端发送的任何请求信息反馈响应信息。

这样设置的原因在于，将TCP连接终端阻断信息发送至目标终端的方式，仅是从目标终端侧避免了目标终端继续访问目标网站的行为。但是，是无法阻止目标网站针对目标终端在接收到TCP连接终端阻断信息之前已经发送的请求信息做出反馈的，进而可以同步向所述目标网站发送TCP连接网站阻断信息，以保证阻断的成功率。

其中，生成与所述目标网站匹配的TCP连接网站阻断信息，可以包括：

根据所述目标终端和所述目标网站的身份识别信息，构建由所述目标终端指向所述目标网站的断开连接信息，作为所述TCP连接网站阻断信息。

基于上述实施例，本发明是将TCP传输的三次会话握手的协议标准作为核心，并对与TLS第一次会话握手相匹配的报文进行提取解析，通过对三次对话握手进行干扰，实现对访问链路拆链，通过对指向目标终端的返回包的信息进行修改，即可达到阻断目标终端访问异常HTTPS网站的目的。

本发明实施例创造性的提出了在TCP连接建立过程信息中，识别与TLS的第一阶段握手匹配的Client Hello报文，并在所述Client Hello报文中提取所述目标网站的域名信息，再对所述域名信息进行异常域名的识别。同时，还提出了通过根据所述目标终端和所述目标网站的身份识别信息，构建所述目标网站指向所述目标终端的拒绝服务信息与所述目标终端指向所述目标网站的断开连接信息，利用所述信息起到直接阻断目标终端与目标网站之间的TCP传输的方式，以此干预目标终端对异常HTTPS网站的访问。

本发明实施例的技术方案，通过将拦截设备并接至网络交换设备的旁路，采集复制数据流量中终端与网站之间的连接建立过程信息，并在连接建立过程信息中识别终端向网站发送的第一次握手报文，在第一次握手报文中提取识别域名信息的方式，可以在终端与网站建立TCP三次握手的过程中，判断出终端是否访问异常网站，进而可以以阻断TCP握手正常建立流程的方式，在TCP连接建立之前，阻断终端对异常HTTPS网站的访问，提供了一种以并接的方式对异常HTTPS网站进行有效连接阻断的新方式，在保证有效阻断效果的同时，不会对网络交换设备的原本的业务流量造成影响。

实施例二

图2为本发明实施例二提供的一种异常域名的识别方法的流程图，本实施例可适用于在终端发起对HTTPS网站的访问时，提取网站的域名信息，对所述网站进行模拟访问并获取响应报文，确定是否为异常网站的情况，该方法可以由异常域名的识别装置来执行，该异常域名的识别装置可以采用硬件和/或软件的形式实现，并一般可配置于具备网络数据采集功能的采集设备中。其中，在互联网中，该采集设备与网络交换设备并联连接。如图2所示，该方法包括：

S210、从网络交换设备上旁路采集复制数据流量，并在复制数据流量中，识别用于建立TCP连接的连接建立过程信息，连接建立过程信息为加密信息。

S220、在各所述连接建立过程信息中，识别终端向网站发送的第一次握手报文，并在所述第一次握手报文的关键字段中，解析得到网站的域名信息。

S230、检测已知域名库中是否存储所述域名信息，若否，则对网站的域名信息进行模拟访问，获取所述网站反馈的响应报文。

其中，所述已知域名库是指具有备案的、或人为添加的确认为正常网站的域名信息所组成的域名库，从相对意义上来说，所述已知域名库能够包含用户可以访问的大部分网站域名信息。

所述对网站的域名信息进行模拟访问，具体可以包括：向所述网站服务器发送访问请求；与所述网站建立正常的TCP连接，进行TCP三次握手；在TCP连接成功后，获取网站反馈的响应报文。

所述响应报文主要包括状态行、响应头部和响应数据。所述状态行主要包括协议版本、状态码和状态码描述，用于表示服务器当前状态，在一个具体的例子中，可以包括响应成功或服务端错误等状态。所述响应头部主要用于为响应报文添加一些附加信息。所述响应数据，主要用于存放需要返回到客户端的数据信息。

本实施例的技术方案，通过获取所述网站反馈的响应报文，根据响应报文内容来判断所述网站是否为异常网站，能够实现对异常网站的精准判断，同时能够获得所述异常网站中所包含的异常数据。

S240、如果根据响应报文确定所述网站为异常网站，则将所述域名信息存储于异常域名库中。

具体的，判断所述响应报文中的响应数据是否为异常数据，如果所述响应数据为异常数据，则所述网站为异常网站。

进一步的，在判断所述网站为异常网站后，将所述异常网站的域名信息存储于异常域名库中，完成了对异常域名库的迭代更新，在后续对异常流量进行拦截时，可根据所述异常域名库判断从复制数据流量中提取到的域名信息是否为异常域名信息。

本实施例的技术方案，通过将拦截设备并接至网络交换设备的旁路，采集复制数据流量中终端与网站之间的连接建立过程信息，并在连接建立过程信息中识别终端向网站发送的第一次握手报文，在第一次握手报文中提取识别域名信息，检测所述域名信息是否为已知域名信息，并对未知的网站域名信息进行模拟访问，根据访问后获取的响应报文判断所述网站是否为异常网站，将异常网站的域名信息储存到异常域名库中的方式，对异常网站进行精准检测，并完成了对异常域名库的迭代更新。

实施例三

图3为本发明实施例三提供的一种异常网络流量的拦截方法的流程图，本实施例在上述实施例的基础上，进一步具体化了网络流量的拦截过程。如图3所示，该方法包括：

S310、从网络交换设备上旁路采集基于HTTPS的复制数据流量。

S320、在复制数据流量中，识别用于建立TCP连接的连接建立过程信息。

S330、在连接建立过程信息中，识别与TLS的第一阶段握手匹配的Client Hello报文。

S340、在所述Client Hello报文的关键字段中，解析得到终端所需访问的网站的域名信息。

其中，所述解析得到终端所需访问的网站的域名信息具体包括：读取ClientHello报文的关键字段；在所述Client Hello报文的关键字段中，利用识别域名信息标识字段的方式来检测连接建立过程信息中所包含的域名信息。

S350、将提取出的域名信息与预先建立的异常网站域名库进行对比。

其中，所述异常网站域名库是指预先收集的，经确认所含域名均为异常网站域名的信息库。具体的，可以通过本发明实施例二中所述的异常域名的识别方法来识别异常域名并储存到异常网站域名库中，或者，可以收集不同用户针对访问的异常网址所加入的异常标签，识别得到上述异常域名信息。

S360、判断所述域名信息是否为异常网站的域名信息：若是，执行S370；若否，则返回执行S310进行后续复制数据流量的继续监控，而不会针对正常网址访问进行干扰。

S370、根据所述目标终端和所述目标网站的身份识别信息，构建由所述目标网站指向所述目标终端的拒绝服务信息，作为所述TCP连接终端阻断信息；构建由所述目标终端指向所述目标网站的断开连接信息，作为所述TCP连接网站阻断信息。

S380、将TCP连接终端阻断信息发送至目标终端，将TCP连接网站阻断信息发送至所述目标网站。

具体的，将TCP连接终端阻断信息发送至目标终端，将TCP连接网站阻断信息发送至所述目标网站可以同时进行，只要能在正常服务请求结束之前，所述目标终端和目标网站中的至少一项接收到其对应的阻断信息并响应，即可实现对异常网址的访问阻断。

S390、目标终端与目标网站任意一方读取相应的阻断信息并作出响应，视为拦截成功。

在一个具体的实施例中，目标终端收到TCP连接终端阻断信息后，读取到的信息可以为目标网站无法响应或无法提供请求服务等信息，此时目标终端则判断本次访问请求失败，暂停访问；相类似的，目标网站收到TCP连接网站阻断信息后，读取到的信息可以为目标终端终止访问请求或目标终端浏览器断开连接等信息，此时目标网站则判断本次访问请求失败，暂停响应请求；若在任意一方读取到相应的阻断信息之前，目标网站已经进行访问响应并进行数据传输，则在任意一方读取相应的阻断信息之后，终止响应，目标终端中的页面停止渲染。

S3100、在对目标终端访问的目标网站进行拦截后，根据网页不同的状态情况，在目标终端上显示匹配的访问失败描述信息。

其中，所述效果可以为在终端网页中显示网页返回状态码，通过显示所述网页返回状态码，能够及时向用户反馈访问失败的信息，提升用户体验，并实现无痕干扰。

本发明实施例的技术方案通过采用流量并接的方式，在不影响正常网络通信的情况下获取复制数据流量，通过将TCP连接终端阻断信息与TCP连接网站阻断信息分别发送给目标终端与目标网站，并在拦截成功后在目标终端上显示匹配的访问失败描述信息，实现了无痕干扰目标终端对异常网址的访问。

具体应用场景

1.异常流量拦截：

在图3b中示出了本发明实施例的技术方案所适用的一种具体应用场景的网络架构图。如图3b所示，终端发送访问请求至网站服务器，网络交换设备在请求访问的同时对流量进行分光至拦截设备，经拦截设备提取判断终端所访问的网站是否为异常网站。对于正常网站的访问请求，则拦截设备不进行干扰，网络服务器直接发送请求的响应包至终端；若为经判断为异常网站，拦截设备向终端发送终端返回包，并同时向网站服务器发送服务器返回包，通过上述方式使网络服务器不能将请求的响应包正常发送给终端，以实现异常网络流量拦截。

本具体应用场景为异常网络流量拦截的一个可选拦截方法，包含了从用户请求访问异常网址至完成对异常网址的访问干扰的全过程，该方法旨在通过对TCP传输的三次对话握手进行干扰，实现对访问链路拆链，通过对返回包的信息进行修改，可达到阻断目标终端访问异常网址的目的。

具体的，用户通过终端上的浏览器，在地址栏中输入URL(Uniform ResourceLocator，统一资源定位符)，解析URL并检测URL地址是否合法；浏览器查看浏览器缓存、***缓存、路由器缓存中是否存在记录，若缓存中有则直接显示页面内容，若缓存中没有，则进行域名解析并获取相应的IP地址；浏览器向目标网站的服务器发起TCP连接，建立三次会话握手；对流量进行并接分光，采集复制数据流量；在复制数据流量中，识别用于建立TCP连接的连接建立过程信息；在连接建立过程信息中，识别与TLS的第一阶段握手匹配的ClientHello报文；在Client Hello报文的关键字段中，解析得到终端所需访问的网站的域名信息；将提取出的域名信息与预先建立的异常网站域名库进行对比，若所述域名信息为正常网站的域名，则不干扰终端与服务器的正常交互，若所述域名信息为异常网站的域名，则根据所述目标终端和所述目标网站的身份识别信息，对返回包的信息进行修改，生成新的终端返回包和服务器返回包，并将修改后的终端返回包与服务器返回包分别发送给终端与异常网站服务器；终端读取终端返回包后，可认为服务器无法提供服务，则关闭访问请求，异常网站服务器读取服务器返回包后，可认为请求访问的设备停止访问请求，则停止响应访问请求；若在任意一方读取到相应的经过修改的返回包之前，异常网站已经进行访问响应并进行数据传输，则在任意一方读取相应的经过修改的返回包之后，终止响应，浏览器中的页面停止渲染，则视为拦截成功；在网页中显示网页返回状态码，提醒用户本次访问失败。

2.HTTPS数据传输：

在图3c中示出了用户与HTTPS网站进行数据传输的一种具体应用场景的交互结构图。如图3c所示，用户与HTTPS网站进行数据传输主要过程包括证书验证和数据传输两个阶段。

在证书验证阶段，由用户发起网站访问的请求，网站服务端收到请求后，返回一个包含公钥的返回证书，用户终端判断该返回证书是否合法，如果不合法则提示告警，如果合法则进入到数据传输阶段。

在数据传输阶段，当判断返回证书为合法证书之后，在本地生成随机数，通过公钥加密该随机数，并将该随机数传输到网站服务端，网站服务端通过私钥对随机数进行解密，并通过该随机数的对称加密对传输的数据进行加密，并将加密后的数据再次发送到用户终端，用户终端再利用本地存储的随机数将加密数据进行解密，以实现全部加密数据的传输。

实施例四

图4为本发明实施例三提供的一种异常域名的识别方法的流程图。本实施例在上述实施例的基础上，进一步具体化了异常域名的识别过程。如图4所示，该方法包括：

S410、从网络交换设备上旁路采集基于HTTPS的复制数据流量。

S420、在复制数据流量中，识别用于建立TCP连接的连接建立过程信息。

S430、在连接建立过程信息中，识别与TLS的第一阶段握手匹配的Client Hello报文。

S440、在所述第一次握手报文的关键字段中，解析得到终端所需访问的网站的域名信息。

其中，所述解析得到终端所需访问的网站的域名信息具体包括：读取第一次握手报文的关键字段；在所述第一次握手报文的关键字段中，利用识别域名信息标识字段的方式来检测连接建立过程信息中所包含的域名信息。

S450、检测已知域名库中是否存储所述域名信息，若否，则执行S460；若是，则返回执行S410。

可以理解的是，如果已知域名库中存储所述域名信息，则说明该域名信息是一个已知域名，进而，该域名是否为正常或者异常的检测结果，一定曾经被确认过，进而，无需进行后续对该域名信息进行模拟访问的操作，可以返回执行S410，继续获取新的复制数据流量进行新的域名信息的解析。

S460、对网站的域名信息进行模拟访问，获取所述网站反馈的响应报文，执行S470。

S470、判断所述响应报文中的响应数据是否为异常数据，若否，返回执行S410；若是，执行S480。

S480、确定所述网站为异常网站，将所述域名信息存储于异常域名库中。

本发明实施例的技术方案，通过将拦截设备并接至网络交换设备的旁路，采集复制数据流量中终端与网站之间的连接建立过程信息，并在连接建立过程信息中识别终端向网站发送的第一次握手报文，在第一次握手报文中提取识别域名信息，检测所述域名信息是否为已知域名信息，并对未知的网站域名信息进行模拟访问，根据访问后获取的响应报文中的响应数据，判断所述网站是否为异常网站，将异常网站的域名信息储存到异常域名库中的方式，对异常网站进行精准检测，并完成了对异常域名库的迭代更新。

实施例五

图5为本发明实施例三提供的一种异常流量拦截装置的结构示意图。如图5所示，该装置包括：连接建立过程信息识别模块510、第一次握手报文识别模块520、异常网站检测模块530、终端阻断信息生成模块540和终端阻断信息发送模块550。

连接建立过程信息识别模块510，用于从网络交换设备上旁路采集复制数据流量，并在复制数据流量中，识别用于建立TCP连接的连接建立过程信息，连接建立过程信息为加密信息；

第一次握手报文识别模块520，用于在所述连接建立过程信息中，识别终端向网站发送的第一次握手报文；

异常网站检测模块530，用于在所述第一次握手报文的关键字段中，识别终端所需访问的网站的域名信息，并根据域名信息进行异常网站的检测；

终端阻断信息生成模块540，用于在根据目标第一次握手报文确定目标终端所需访问的目标网站为异常网站时，生成与所述目标终端匹配的TCP连接终端阻断信息；

终端阻断信息发送模块550，用于将所述TCP连接终端阻断信息发送至所述目标终端，以对所述目标终端访问所述目标网站的行为进行拦截450。

本发明实施例的技术方案，通过将拦截设备并接至网络交换设备的旁路，采集复制数据流量中终端与网站之间的连接建立过程信息，并在连接建立过程信息中识别终端向网站发送的第一次握手报文，在第一次握手报文中提取识别域名信息的方式，可以在终端与网站建立TCP三次握手的过程中，判断出终端是否访问异常网站，进而可以以阻断TCP握手正常建立流程的方式，在TCP连接建立之前，阻断终端对异常HTTPS网站的访问，提供了一种以并接的方式对异常HTTPS网站进行有效连接阻断的新方式，在保证有效阻断效果的同时，不会对网络交换设备的原本的业务流量造成影响。

在上述各实施例的基础上，连接建立过程信息识别模块510，可以具体用于：

从网络交换设备上旁路采集基于超文本传输安全协议HTTPS的复制数据流量；

在所述复制数据流量中，获取终端和/或网站所发送的，与TCP三次握手过程匹配的连接建立过程信息。

在上述各实施例的基础上，第一次握手报文识别模块520，可以具体用于：

在所述连接建立过程信息中，识别终端向网站发送的第一次握手报文，包括：

在所述连接建立过程信息中，识别与安全传输层协议TLS的第一阶段握手匹配的Client Hello报文。

在上述各实施例的基础上，终端阻断信息生成模块540，可以具体用于：根据所述目标终端和所述目标网站的身份识别信息，构建由所述目标网站指向所述目标终端的拒绝服务信息，作为所述TCP连接终端阻断信息。

在上述各实施例的基础上，还可以包括：网站响应信息拦截模块，包括：

网站阻断信息生成单元，用于生成与所述目标网站匹配的TCP连接网站阻断信息；

网站阻断信息发送单元，用于将所述TCP连接网站阻断信息发送至所述目标网站，以对所述目标网站向目标终端反馈响应信息的行为进行拦截。

在上述各实施例的基础上，网站阻断信息生成单元，可以具体用于：根据所述目标终端和所述目标网站的身份识别信息，构建由所述目标终端指向所述目标网站的断开连接信息，作为所述TCP连接网站阻断信息。

本发明实施例所提供的异常流量的拦截装置可执行本发明任意实施例所提供的异常流量的拦截方法，具备执行方法相应的功能模块和有益效果。

实施例六

图6为本发明实施例三提供的一种异常域名的识别装置的结构示意图。如图6所示，该装置包括：连接建立过程信息识别模块610、域名信息解析模块620、响应报文获取模块630和异常域名存储模块640。

连接建立过程信息识别模块610，用于从网络交换设备上旁路采集复制数据流量，并在复制数据流量中，识别用于建立TCP连接的连接建立过程信息，连接建立过程信息为加密信息；

域名信息解析模块620，用于在各所述连接建立过程信息中，识别终端向网站发送的第一次握手报文，并在所述第一次握手报文的关键字段中，解析得到网站的域名信息；

响应报文获取模块630，用于检测已知域名库中是否存储所述域名信息，若否，则对网站的域名信息进行模拟访问，获取所述网站反馈的响应报文；

异常域名存储模块640，用于如果根据响应报文确定所述网站为异常网站，则将所述域名信息存储于异常域名库中。

本实施例的技术方案，通过将拦截设备并接至网络交换设备的旁路，采集复制数据流量中终端与网站之间的连接建立过程信息，并在连接建立过程信息中识别终端向网站发送的第一次握手报文，在第一次握手报文中提取识别域名信息，检测所述域名信息是否为已知域名信息，并对未知的网站域名信息进行模拟访问，根据访问后获取的响应报文判断所述网站是否为异常网站，将异常网站的域名信息储存到异常域名库中的方式，对异常网站进行精准检测，并完成了对异常域名库的迭代更新。

本发明实施例所提供的异常域名的识别装置可执行本发明任意实施例所提供的异常域名的识别方法，具备执行方法相应的功能模块和有益效果。

实施例七

图7示出了可以用来实施本发明的实施例的电子设备70的结构示意图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。

如图7所示，电子设备70包括至少一个处理器71，以及与至少一个处理器71通信连接的存储器，如只读存储器(ROM)72、随机访问存储器(RAM)73等，其中，存储器存储有可被至少一个处理器执行的计算机程序，处理器71可以根据存储在只读存储器(ROM)72中的计算机程序或者从存储单元78加载到随机访问存储器(RAM)73中的计算机程序，来执行各种适当的动作和处理。在RAM 73中，还可存储电子设备70操作所需的各种程序和数据。处理器71、ROM 72以及RAM 73通过总线74彼此相连。输入/输出(I/O)接口75也连接至总线74。

电子设备70中的多个部件连接至I/O接口75，包括：输入单元76，例如键盘、鼠标等；输出单元77，例如各种类型的显示器、扬声器等；存储单元78，例如磁盘、光盘等；以及通信单元79，例如网卡、调制解调器、无线通信收发机等。通信单元79允许电子设备70通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

处理器71可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器71的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器71执行上文所描述的各个方法和处理，例如如本发明实施例所述的异常域名的识别方法和异常流量的拦截方法。

在一些实施例中，异常域名的识别方法和异常流量的拦截方法可被实现为计算机程序，其被有形地包含于计算机可读存储介质，例如存储单元78。在一些实施例中，计算机程序的部分或者全部可以经由ROM 72和/或通信单元79而被载入和/或安装到电子设备70上。当计算机程序加载到RAM 73并由处理器71执行时，可以执行上文描述的异常域名的识别方法和异常流量的拦截方法的一个或多个步骤。备选地，在其他实施例中，处理器71可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行异常域名的识别方法和异常流量的拦截方法。

本文中以上描述的***和技术的各种实施方式可以在数字电子电路***、集成电路***、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上***的***(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程***上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储***、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储***、该至少一个输入装置、和该至少一个输出装置。

用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本发明的上下文中，计算机可读存储介质可以是有形的介质，其可以包含或存储以供指令执行***、装置或设备使用或与指令执行***、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体***、装置或设备，或者上述内容的任何合适组合。备选地，计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在电子设备上实施此处描述的***和技术，该电子设备具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的***和技术实施在包括后台部件的计算***(例如，作为数据服务器)、或者包括中间件部件的计算***(例如，应用服务器)、或者包括前端部件的计算***(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的***和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算***中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将***的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)、区块链网络和互联网。

计算***可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与VPS服务中，存在的管理难度大，业务扩展性弱的缺陷。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。

Claims (10)

1.一种异常流量的拦截方法，其特征在于，由与网络交换设备并联的拦截设备执行，所述方法包括：

从网络交换设备上旁路采集复制数据流量，并在复制数据流量中，识别用于建立传输控制协议TCP连接的连接建立过程信息，连接建立过程信息为加密信息；

在所述连接建立过程信息中，识别终端向网站发送的第一次握手报文；

在所述第一次握手报文的关键字段中，识别终端所需访问的网站的域名信息，并根据域名信息进行异常网站的检测；

在根据目标第一次握手报文确定目标终端所需访问的目标网站为异常网站时，生成与所述目标终端匹配的TCP连接终端阻断信息；

将所述TCP连接终端阻断信息发送至所述目标终端，以对所述目标终端访问所述目标网站的行为进行拦截。

2.根据权利要求1所述的方法，其特征在于，从网络交换设备上旁路采集复制数据流量，包括：

从网络交换设备上旁路采集基于超文本传输安全协议HTTPS的复制数据流量。

3.根据权利要求1所述的方法，其特征在于，在复制数据流量中，识别用于建立TCP连接的连接建立过程信息，包括：

在所述复制数据流量中，获取终端和/或网站所发送的，与TCP三次握手过程匹配的连接建立过程信息；

在所述连接建立过程信息中，识别终端向网站发送的第一次握手报文，包括：

在所述连接建立过程信息中，识别与安全传输层协议TLS的第一阶段握手匹配的Client Hello报文。

4.根据权利要求1-3任一项所述的方法，其特征在于，在生成与所述目标终端匹配的TCP连接终端阻断信息的同时，还包括：

生成与所述目标网站匹配的TCP连接网站阻断信息；

将所述TCP连接网站阻断信息发送至所述目标网站，以对所述目标网站向目标终端反馈响应信息的行为进行拦截。

5.根据权利要求1-3任一项所述的方法，其特征在于，生成与所述目标终端匹配的TCP连接终端阻断信息，包括：

根据所述目标终端和所述目标网站的身份识别信息，构建由所述目标网站指向所述目标终端的拒绝服务信息，作为所述TCP连接终端阻断信息；

生成与所述目标网站匹配的TCP连接网站阻断信息，包括：

根据所述目标终端和所述目标网站的身份识别信息，构建由所述目标终端指向所述目标网站的断开连接信息，作为所述TCP连接网站阻断信息。

6.一种异常域名的识别方法，其特征在于，由与网络交换设备并联的采集设备执行，所述方法包括：

从网络交换设备上旁路采集复制数据流量，并在复制数据流量中，识别用于建立传输控制协议TCP连接的连接建立过程信息，连接建立过程信息为加密信息；

在各所述连接建立过程信息中，识别终端向网站发送的第一次握手报文，并在所述第一次握手报文的关键字段中，解析得到网站的域名信息；

检测已知域名库中是否存储所述域名信息，若否，则对网站的域名信息进行模拟访问，获取所述网站反馈的响应报文；

如果根据响应报文确定所述网站为异常网站，则将所述域名信息存储于异常域名库中。

7.一种异常流量的拦截装置，其特征在于，由与网络交换设备并联的拦截设备执行，所述装置包括：

连接建立过程信息识别模块，用于从网络交换设备上旁路采集复制数据流量，并在复制数据流量中，识别用于建立传输控制协议TCP连接的连接建立过程信息，连接建立过程信息为加密信息；

第一次握手报文识别模块，用于在所述连接建立过程信息中，识别终端向网站发送的第一次握手报文；

异常网站检测模块，用于在所述第一次握手报文的关键字段中，识别终端所需访问的网站的域名信息，并根据域名信息进行异常网站的检测；

终端阻断信息生成模块，用于在根据目标第一次握手报文确定目标终端所需访问的目标网站为异常网站时，生成与所述目标终端匹配的TCP连接终端阻断信息；

终端阻断信息发送模块，用于将所述TCP连接终端阻断信息发送至所述目标终端，以对所述目标终端访问所述目标网站的行为进行拦截。

8.一种异常域名的识别装置，其特征在于，由与网络交换设备并联的采集设备执行，所述装置包括：

连接建立过程信息识别模块，用于从网络交换设备上旁路采集复制数据流量，并在复制数据流量中，识别用于建立传输控制协议TCP连接的连接建立过程信息，连接建立过程信息为加密信息；

域名信息解析模块，用于在各所述连接建立过程信息中，识别终端向网站发送的第一次握手报文，并在所述第一次握手报文的关键字段中，解析得到网站的域名信息；

响应报文获取模块，用于检测已知域名库中是否存储所述域名信息，若否，则对网站的域名信息进行模拟访问，获取所述网站反馈的响应报文；

异常域名存储模块，用于如果根据响应报文确定所述网站为异常网站，则将所述域名信息存储于异常域名库中。

9.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1-5中任一项所述的由拦截设备执行的异常流量的拦截方法，或者，实现如权利要求6所述的由采集设备执行的异常域名的识别方法。

10.一种计算机可执行指令的存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-5中任一项所述的由拦截设备执行的异常流量的拦截方法，或者，实现如权利要求6所述的由采集设备执行的异常域名的识别方法。

Images