KR20210054580A - 네트워크 공격 방어 방법, 장치, 기기, 시스템과 저장매체 - Google Patents

네트워크 공격 방어 방법, 장치, 기기, 시스템과 저장매체 Download PDF

Info

Publication number
KR20210054580A
KR20210054580A KR1020217012030A KR20217012030A KR20210054580A KR 20210054580 A KR20210054580 A KR 20210054580A KR 1020217012030 A KR1020217012030 A KR 1020217012030A KR 20217012030 A KR20217012030 A KR 20217012030A KR 20210054580 A KR20210054580 A KR 20210054580A
Authority
KR
South Korea
Prior art keywords
platform
attack
domain name
access request
accessed
Prior art date
Application number
KR1020217012030A
Other languages
English (en)
Inventor
쫑슈 짜오
이쯔 시예
리천 쉬
Original Assignee
바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드 filed Critical 바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드
Priority claimed from PCT/CN2020/117457 external-priority patent/WO2021212739A1/zh
Publication of KR20210054580A publication Critical patent/KR20210054580A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 출원은 네트워크 공격 방어 방법, 장치, 기기, 시스템과 저장매체를 개시하며, 네트워크 보안 분야에 관한 것이다. 구체적인 구현 방안은, 브라우저가 액세스 요청을 개시한 것이 확정될 때, 브라우저가 개시한 도메인 네임 해석 요청을 검출하되, 여기서, 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이고, 도메인 네임 해석 요청에는 액세스될 플랫폼의 도메인 네임이 포함되고; 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭되는 것이 확정될 때, 액세스 요청을 차단하며, 여기서, 공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시하기 위한 것이다. 정확하게 공격 플랫폼과 XSS 공격에 대해 정확하고, 액세스 요청을 직접 차단하며, 악성 코드가 단말기를 트리거하여 액세스 요청을 공격 플랫폼에 발송하는 것을 저지하고, 공격 플랫폼에서 리턴한 공격 로직을 획득하는 것을 방지하고, XSS 공격을 효과적으로 처리하고 억제할 수 있다.

Description

네트워크 공격 방어 방법, 장치, 기기, 시스템과 저장매체
본 출원은 컴퓨터 기술분야 중의 네트워크 보안 분야에 관한 것으로, 특히 네트워크 공격 방어 방법, 장치, 기기, 시스템과 저장매체에 관한 것이다.
본 출원은 2020년4월22일에 중국 특허국에 제출한 출원번호가 202010323534.3이고, 발명의 명칭이 "네트워크 공격 방어 방법, 장치, 기기, 시스템과 저장매체"인 중국 특허 출원의 우선권을 주장하며, 이의 전체 내용은 인용을 통해 본 출원에 결합된다.
네트워크 보안은 컴퓨터 응용 과정에서 매우 중요한 부분으로서, 크로즈 사이트 스크립트 취약성(Cross Site Scripting, XSS로 약칭) 공격이 자주 발생한다.
종래 기술에서 공격자는 XSS 공격을 통해 웹 페이지에 악성 코드를 주입하고; 웹 페이지의 브라우징이 트리거되면 악성 코드가 트리거되어 단말기를 공격함으로써 사용자 정보를 도용하고, 웹 사이트에 대한 트로이 목마 침입 등 공격을 수행한다.
따라서 어떻게 정확하게 XSS 공격을 정확하고 효과적으로 처리하고 XSS 공격을 억제하는 것은 시급히 해결해야 할 문제이다.
정확한 XSS 공격을 정확하고 효과적으로 처리하고 XSS 공격을 억제하는 네트워크 공격 방어 방법, 장치, 기기, 시스템과 저장매체를 제공한다.
제1 측면에 따르면, 네트워크 공격 방어 방법을 제공하며, 상기 방법은,
브라우저가 액세스 요청을 개시한 것이 확정될 때, 브라우저가 개시한 도메인 네임 해석 요청을 검출하되, 여기서, 상기 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이고, 상기 도메인 네임 해석 요청에는 상기 액세스될 플랫폼의 도메인 네임이 포함되는 단계;
상기 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭될 때, 상기 액세스 요청을 차단하되, 여기서, 상기 공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시하기 위한 것인 단계를 포함한다.
제2 측면에 따르면, 네트워크 공격 방어 장치를 제공하며, 상기 장치는,
브라우저가 액세스 요청을 개시한 것이 확정될 때, 브라우저가 개시한 도메인 네임 해석 요청을 검출하되, 여기서, 상기 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이고, 상기 도메인 네임 해석 요청에는 상기 액세스될 플랫폼의 도메인 네임이 포함되는 검출유닛;
상기 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭될 때, 상기 액세스 요청을 차단하되, 여기서, 상기 공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시하기 위한 것인 차단유닛을 포함한다.
제3 측면에 따르면, 네트워크 공격 방어 방법을 제공하며, 상기 방법은,
브라우저가 액세스 요청을 개시한 것이 확정될 때, 브라우저가 개시한 도메인 네임 해석 요청을 검출하되, 여기서, 상기 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이고, 상기 도메인 네임 해석 요청에는 상기 액세스될 플랫폼의 도메인 네임이 포함되는 단계;
상기 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭될 때, 공격 방어 처리를 수행하되, 여기서, 상기 공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시하기 위한 것인 단계를 포함한다.
제4 측면에 따르면, 전자기기를 제공하는 바, 프로세서와 메모리를 포함하고; 메모리에는 상기 프로세서에 의해 실행 가능한 명령이 저장되고, 여기서, 상기 프로세서는 상기 실행 가능한 명령을 실행하여 제1 측면 중 어느 한 항에 네트워크 공격 방어 방법을 수행하거나, 또는 제3측면에 따른 네트워크 공격 방어 방법을 수행하도록 구성된다.
제5 측면에 따르면, 컴퓨터 명령이 저장된 비일시적 컴퓨터 판독 가능 저장매체를 제공하되, 해당 컴퓨터 명령이 프로세서에 의해 실행될 때 제1 측면 중 어느 한 항에 네트워크 공격 방어 방법을 구현하거나, 또는 제3측면에 따른 네트워크 공격 방어 방법을 수행한다.
제6 측면에 따르면, 프로그램 제품을 제공하는 바, 상기 프로그램 제품은 컴퓨터 프로그램을 포함하고, 상기 컴퓨터 프로그램은 판독 가능 저장매체에 저장되고, 서버의 적어도 하나의 프로세서는 상기 판독 가능 저장매체로부터 상기 컴퓨터 프로그램을 판독할 수 있고, 상기 적어도 하나의 프로세서는 상기 컴퓨터 프로그램을 실행하여 서버가 제1 측면 중 어느 한 항에 따른 네트워크 공격 방어 방법을 수행하거나, 또는 제3측면에 따른 네트워크 공격 방어 방법을 수행하도록 한다.
제7 측면에 따르면, 네트워크 공격 방어 시스템을 제공하는 바, 상기 시스템은 제4 측면에 따른 전자기기, 도메인 네임 시스템 서버를 포함하고;
상기 전자기기는, 브라우저가 액세스 요청을 개시한 것이 확정될 때, 브라우저가 개시한 도메인 네임 해석 요청을 검출하되, 여기서, 상기 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이고, 상기 도메인 네임 해석 요청에는 상기 액세스될 플랫폼의 도메인 네임이 포함되고, 도메인 네임 시스템 서버에 상기 도메인 네임 해석 요청을 발송하고;
상기 도메인 네임 시스템 서버는, 상기 도메인 네임 해석 요청에 따라, 처리 결과를 생성하되, 여기서, 상기 처리 결과는 상기 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리의 매칭을 표시하고, 상기 도메인 네임 시스템 서버에는 상기 공격 플랫폼 특징 라이브러리가 구비되고;
상기 전자기기는 또한, 상기 도메인 네임 시스템 서버에서 발송한 상기 처리 결과를 수신하고, 상기 처리 결과를 기초로, 상기 액세스 요청을 차단한다.
제8 측면에 따르면, 컴퓨터 프로그램을 제공하는 바, 상기 컴퓨터 프로그램은 컴퓨터 코드를 포함하고, 컴퓨터가 상기 컴퓨터 프로그램을 실행 시, 상기 프로그램 코드는 제1 측면 중 어느 한 항에 네트워크 공격 방어 방법을 수행하거나, 또는 제3측면에 따른 네트워크 공격 방어 방법을 수행한다.
본 출원의 기술방안에 따르면, 액세스 요청이 검출될 때, 액세스 요청을 직접 발송하지 않고, 단말기의 웹페이지에 이미 악성 코드가 주입되었으면, 악성 코드는 액세스 요청을 공격 플랫폼에 발송할 것이며, 이로부터 단말기는 공격 플랫폼의 공격 로직을 받을 것이다. 액세스 요청이 검출될 때, 우선 도메인 네임 해석 요청 중의 액세스될 플랫폼의 도메인 네임을 검출하고; 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리가 매칭될 때, 도메인 네임 해석 요청에 휴대된 도메인 네임은 공격 플랫폼의 도메인 네임인 것으로 확정하고, 액세스될 플랫폼이 공격 플랫폼인 것으로 확정하고, 정확하게 공격 플랫폼과 XSS 공격에 대해 정확하고; 이때, 액세스될 플랫폼은 공격 플랫폼이고, 액세스 요청을 공격 플랫폼에 발송하여, 공격 플랫폼이 단말기에 대해 공격하도록 하므로; 이런 상황을 방지하기 위하여, 단말기는 직접 액세스 요청을 차단하여, 악성 코드가 단말기를 트리거하여 액세스 요청을 공격 플랫폼에 발송하는 것을 저지하고, 공격 플랫폼에서 리턴한 공격 로직을 획득하는 것을 방지하고, XSS 공격을 효과적으로 처리하고 억제한다.
본 부분에서 설명된 내용은 본 출원의 실시예의 핵심 또는 중요한 특징을 특정하기 위한 것이 아니며, 본 출원의 범위를 한정하려는 의도도 아님을 이해해야 할 것이다. 본 출원의 다른 특징은 아래 명세서에 의해 쉽게 이해될 것이다.
첨부 도면은 본 해결수단을 더 잘 이해하기 위한 것으로, 본 출원에 대한 한정을 이루지 않는다. 여기서,
도 1은 본 출원의 실시예의 응용 시나리오를 나타내는 도면이다.
도 2는 본 출원의 실시예의 다른 응용 시나리오를 나타내는 도면이다.
도 3은 본 출원의 제1 실시예에 따른 도면이다.
도 4는 본 출원의 실시예의 또 다른 응용 시나리오를 나타내는 도면이다.
도 5는 본 출원의 실시예의 또 다른 응용 시나리오를 나타내는 도면이다.
도 6은 본 출원의 제2 실시예에 따른 도면이다.
도 7은 본 출원의 제3 실시예에 따른 도면이다.
도 8은 본 출원의 실시예에 따른 팝업창 인터페이스를 나타내는 도면이다.
도 9는 본 출원의 제4 실시예에 따른 도면이다.
도 10은 본 출원의 제5 실시예에 따른 도면이다.
도 11은 본 출원의 제6실시예에 따른 도면이다.
도 12는 본 출원의 제7 실시예에 따른 도면이다.
도 13은 본 출원의 제8 실시예에 따른 도면이다.
도 14는 본 출원의 제9 실시예에 따른 도면이다.
아래에서는 첨부 도면과 결합하여 본 출원의 예시적인 실시예에 대하여 설명하며, 이해를 돕기 위하여 이중에는 본 출원의 실시예의 다양한 세부 사항을 포함하며, 이들을 예시적인 것으로만 간주되어야 한다. 따라서, 본 분야의 통상적인 지식을 가진자라면, 여기에 설명된 실시예에 대하여 다양한 변경과 수정을 가할 수 있으며, 이는 본 출원의 실시예의 범위와 정신을 벗어나지 않는다는 점에 유의하여야 한다. 마찬가지로, 명확성과 간결성을 위하여, 아래 설명에서는 공지 기능과 구조에 대한 설명을 생략한다.
네트워크 보안은 컴퓨터 응용 과정에서 매우 중요한 부분으로서, XSS 공격이 자주 발생한다. 공격자는 XSS 공격을 통해 웹 페이지에 악성 코드를 주입하고; 웹 페이지의 브라우징이 트리거되면 악성 코드가 트리거되어 단말기를 공격함으로써 사용자 정보를 도용하고, 웹 사이트에 대한 트로이 목마 침입 등 공격을 수행한다.
예시적으로, 도 1은 본 출원의 실시예의 응용 시나리오를 나타내는 도면이며, 도 1에 도시된 바와 같이, 공격 플랫폼은 웹페이지 서버를 공격하고, 공격 플랫폼은 웹페이지 서버 중의 단말기에 발송될 웹페이지에 악성코드를 라이팅한다. 단말기는 웹페이지 서버에 브라우징 요청을 발송하고, 단말기는 웹페이지 서버에서 리턴한 웹페이지를 획득하고 디스플레이한다. 이때, 웹페이지 중의 악성 코드를 트리거하고, 악성 코드는 단말기의 정보 획득, 웹사이트에 대한 트로이 목마 침입 등 공격을 수행한다. 악성 코드가 단말기에 대해 공격하는 과정에서, 악성 코드는 공격 플랫폼에 대한 단말기의 액세스를 트리거하고, 이로부터 공격 플랫폼이 직접 단말기에 대해 공격하도록 한다.
예시적으로, 도 2는 본 출원의 실시예의 다른 응용 시나리오를 나타내는 도면이며, 도 2에 도시된 바와 같이, 오피스 네트워크 시나리오에서, 복수의 단말기가 설치되어 있고, 각각의 단말기와 도메인 네임 시스템(Domain Name System, DNS로 약칭) 서버는 서로 통신하고, 도메인 네임 시스템 서버와 외부 기타 서버는 통신을 진행한다. 이로부터 각 단말기는 서로 연결되며, 또한 대량의 극비 월드 와이드 웹(World Wide Web, WEB으로 약칭) 시스템이 존재한다. 일단 공격 플랫폼이 웹페이지 서버를 공격하면, 공격 플랫폼은 웹페이지 서버 중의 단말기에 발송될 웹페이지에 악성 코드를 라이팅한다. 어느 단말기가 도메인 네임 시스템 서버를 통해 웹페이지 서버에 브라우징 요청을 발송하면, 도메인 네임 시스템 서버는 우선 웹페이지 서버에서 리턴하는 웹페이지를 수신하고; 이로부터 각 단말기는 모두 해당 웹페이지를 수신할 수 있으며, 나아가 각 단말기에 웹페이지 중의 악성 코드를 가지고 있기에, 각 단말기는 모두 공격받아, 심각한 결과를 일으킬 수 있다. 악성 코드가 단말기에 대해 공격하는 과정에서, 악성 코드는 도메인 네임 시스템 서버가 공격 플랫폼을 액세스하도록 트리거하여, 공격 플랫폼이 직접 도메인 네임 시스템 서버에 대해 공격하도록 하며, 나아가 공격 플랫폼은 도메인 네임 시스템 서버를 통해 단말기에 대해 공격한다.
여기서, 상술한 공격 플랫폼은, 공격 기기라고 불리울 수도 있다.
일 예시에서, 단말기가 웹페이지 서버에서 리턴한 웹페이지를 수신한 후, 웹페이지 중의 악성 코드는 단말기가 공격 플랫폼에 하이퍼 텍스트 전송 프로토콜(Hyper Text Transfer Protocol, http로 약칭) 요청을 발송하도록 트리거하고, 이로부터 공격 플랫폼의 공격 로직을 요청하며; 공격 플랫폼은 단말기에 공격 플랫폼의 공격 로직을 리턴하고; 단말기는 획득된 공격 로직에 따라, 단말기 중의 정보에 대하여 공격하며, 예컨대, 사용자 정보 도용, 명의 도용 등이 있다. 이로부터 공격 플랫폼이 단말기에 대한 XSS 공격을 수행한다. 여기서, 악성 코드 중에서 해로운 또는 악성 기능을 수행하는 부분을 페이로드(payload)라고 부른다.
상술한 소개로부터 알 수 있듯이, XSS 공격이 발생할 때, 단말기 및 단말기가 위치한 랜에 대해 심각한 위험을 야기시키기에, XSS 공격을 효과적으로 처리하고, 공격에 대해 정확하게 검출하는 것이 시급하다.
일 예시에서, XSS 공격에 대해 검출하고 억제하기 위하여, 단말기가 웹페이지 서버에서 발송한 웹페이지를 수신한 후, 웹페이지 중의 악성 코드는 단말기가 공격 플랫폼에 http 요청을 발송할 것을 트리거하며; 단말기는 http 요청 중의 키워드를 검출할 수 있으며, 해당 요청에는 사용자가 입력한 키워드를 휴대할 수 있고; 단말기는 http 요청 중의 키워드를 기초로, 단말기에 XSS 공격이 발생했는지를 확정하고, 그 후 XSS 공격에 대해 처리한다.
하지만 이러한 방식에서, 단말기에 이미 악성 코드가 존재하기에; http 요청이 서버에 도달하기 전에, 악성 코드는 http 요청 중의 키워드에 대하여 교체 처리를 수행할 수 있으며, 이로부터 단말기는 XSS 공격이 발생했는지 여부를 검출할 수 없다. 그러므로 악성 코드는 여전히 단말기가 http 요청을 공격 플랫폼에 발송하도록 트리거하며; 공격 플랫폼은 단말기에 공격 플랫폼의 공격 로직을 리턴하고; 단말기는 획득된 공격 로직에 따라, 단말기 중의 정보에 대해 공격한다. 이로부터 상술한 키워드 검출 방식은 여전히 XSS 공격에 대해 정확하게 정확할 수 없으며, XSS 공격을 효과적으로 처리하고 억제하지 못한다는 것을 알 수 있다. 또한 상술한 키워드 검출 방식에서, 이러한 키워드는 사용자에 의해 입력된 것이고, 악성 코드는 http 요청 중의 키워드에 대해 교체 처리를 수행할 수 있기에 사용자의 입력을 오염시킨다.
본 출원의 발명자는 창조적 노력 끝에, 본 출원의 발명 사상을 얻게 되었으며, 즉 정확하게 XSS 공격에 대해 정확하고, XSS 공격을 효과적으로 처리하고 억제한다.
아래에는 구체적인 실시예로 본 출원의 기술방안 및 본 출원의 기술방안으로 어떻게 상술한 기술문제를 해결하는지에 대해 상세하게 설명한다. 아래의 몇개 구체적인 실시예는 서로 결합될 수 있으며, 동일하거나 유사한 개념 또는 과정은 일부 실시예에서 중복 설명하지 않는다. 아래에서는 도면을 결합하여 본 출원의 실시예에 대하여 설명한다.
도 3은 본 출원의 제1 실시예에 따른 도면이며, 도 3에 도시된 바와 같이, 본 실시예에 따른 네트워크 공격 방어 방법은 아래의 단계를 포함한다.
S101, 브라우저가 액세스 요청을 개시한 것이 확정될 때, 브라우저가 개시한 도메인 네임 해석 요청을 검출하되, 여기서, 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이고, 도메인 네임 해석 요청에는 액세스될 플랫폼의 도메인 네임이 포함된다.
예시적으로, 본 실시예에서 실행 주체는 단말기일 수 있으며, 또는 본 실시예의 방법을 실행할 수 있는 기타 장치 또는 기기일 수 있다. 본 실시예는 실행 주체가 단말기인 것으로 설명한다.
단말기에는 브라우저가 설치되어 있고, 사용자는 단말기의 브라우저를 트리거하고, 이로부터 단말기가 액세스 요청을 개시하고, 이때, 또한 단말기의 브라우저가 액세스 요청을 개시하는 것이며; 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이다. 일 예시에서, 사용자는 음성, 제스쳐, 사용자 인터페이스 등 방식으로 단말기의 브라우저를 트리거할 수 있다. 일 예시에서, 액세스될 플랫폼은 액세스될 서버 또는 액세스될 기타 단말기일 수 있다.
예를 들어 설명하면, 사용자는 브라우저에 액세스될 플랫폼의 도메인 네임을 입력한 후, 브라우저가 액세스하도록 트리거함으로써 단말기가 액세스 요청을 생성한다.
또 예를 들어 설명하면, 공격 플랫폼은 이미 웹페이지 서버를 공격하고, 공격 플랫폼은 웹페이지에 악성 코드를 입력하였다. 그 후, 웹페이지 서버가 악성 코드가 있는 웹페이지를 단말기에 발송하고; 나아가 단말기는 웹페이지 중의 악성 코드를 통해 공격 플랫폼에 액세스 요청을 개시하며, 이때, 액세스 요청은 단말기에 의해 자동으로 생성된 것이다. 즉, 악성 코드는 단말기가 공격 플랫폼에 액세스하도록 트리거한다.
만약 단말기가 직접 액세스 요청을 발송하면, 단말기가 이미 악성 코드로부터 공격되었기에, 단말기는 액세스 요청을 공격 플랫폼에 발송하고, 공격 플랫폼은 공격 플랫폼의 공격 로직을 단말기에 발송하며; 단말기는 획득된 공격 로직에 따라, 단말기 중의 정보에 대해 공격한다. 이로부터 단말기가 악성 공격 당하는 것을 방지하기 위하여, 본 실시예는 단말기가 액세스 요청을 발송하기 전에, 먼저 검출과 전처리를 완성해야 한다.
본 실시예에서, 단말기는 액세스 요청을 발송하기 전에, 우선 도메인 네임 해석 요청을 생성하고 개시하며; 단말기의 내부에서 구현하는 과정에, 브라우저가 액세스 요청을 개시해야 하기에, 또한 브라우저가 도메인 네임 해석 요청을 개시하는 것이다. 도메인 네임 해석 요청에 액세스될 플랫폼의 도메인 네임이 라이팅되어 있고; 도메인 네임 해석 요청은 액세스될 플랫폼의 도메인 네임에 대해 해석하도록 요청하는 것을 지시하기 위한 것이다.
일 예시에서, 도메인 네임 해석 요청은 복수의 필드로 구성되고, 복수의 필드 중 어느 한 필드에는 스트링을 구비하며, 해당 스트링은 액세스될 플랫폼의 도메인 네임을 표시한다.
S102, 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭되는 것이 확정될 때, 액세스 요청을 차단하며, 여기서, 공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시하기 위한 것이다.
예시적으로, 단말기가 브라우저에 의해 개시된 도메인 네임 해석 요청에 대해 검출하고, 도메인 네임 해석 요청에 휴대된 도메인 네임이 공격 플랫폼의 도메인 네임인지 여부를 판단한다.
공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시할 수 있으며; 단말기는 하나의 공격 플랫폼 특징 라이브러리를 기초로, 도메인 네임 해석 요청에 휴대된 도메인 네임이 공격 플랫폼의 도메인 네임인지 여부를 판단하고; 나아가 액세스될 플랫폼이 공격 플랫폼인지 여부를 판단할 수 있다. 단말기는 도메인 네임 해석 요청에 휴대된 도메인 네임이 공격 플랫폼의 도메인 네임인 것으로 확정되면, 액세스될 플랫폼이 공격 플랫폼인 것으로 확정하고; 단말기는 도메인 네임 해석 요청에 휴대된 도메인 네임이 공격 플랫폼의 도메인 네임이 아닌 것으로 확정되면, 액세스될 플랫폼이 공격 플랫폼이 아닌 것으로 확정한다.
일 예시에서, 단말기에는 하나의 공격 플랫폼 특징 라이브러리가 미리 저장되어 있고, 공격 플랫폼 특징 라이브러리에는 각 공격 플랫폼의 도메인 네임이 포함되고, 즉 공격 플랫폼 특징 라이브러리는 하나의 블랙리스트를 포함하며, 블랙리스트는 각 공격 플랫폼의 도메인 네임이고; 단말기는 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리를 비교하며; 단말기는 액세스될 플랫폼의 도메인 네임이 공격 플랫폼 특징 라이브러리에 존재하는 것으로 확정될 때, 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리는 매칭되는 것으로 확정하고, 액세스될 플랫폼이 공격 플랫폼인 것으로 확정하며; 단말기는 액세스될 플랫폼의 도메인 네임이 공격 플랫폼 특징 라이브러리에 존재하지 않는 것으로 확정될 때, 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리는 매칭되지 않는 것으로 확정하고, 액세스될 플랫폼이 공격 플랫폼이 아닌 것으로 확정한다.
다른 일 예시에서, 단말기에 하나의 공격 플랫폼 특징 라이브러리가 미리 저장되어 있고, 공격 플랫폼에는 각 비 공격 플랫폼의 도메인 네임이 포함될 수 있으며, 즉 공격 플랫폼 특징 라이브러리는 하나의 화이트리스트를 포함하고, 화이트리스트는 각 비 공격 플랫폼의 도메인 네임이고; 단말기는 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리를 비교한다. 단말기는 액세스될 플랫폼의 도메인 네임이 공격 플랫폼 특징 라이브러리에 존재하지 않는 것으로 확정되면, 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리는 매칭되는 것으로 확정하고, 액세스될 플랫폼이 공격 플랫폼인 것으로 확정하며; 단말기는 액세스될 플랫폼의 도메인 네임이 공격 플랫폼 특징 라이브러리에 존재하는 것으로 확정되면, 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리는 서로 매칭되지 않는 것으로 확정하고, 액세스될 플랫폼이 공격 플랫폼이 아닌 것으로 확정한다.
단말기가 도메인 네임 해석 요청에 휴대된 도메인 네임이 공격 플랫폼의 도메인 네임인 것으로 확정될 때, 액세스될 플랫폼이 공격 플랫폼인 것으로 확정하고, 단계(S101) 중의 액세스 요청을 차단하여, 액세스 요청을 발송하지 않는다. 이때, 액세스될 플랫폼은 공격 플랫폼이고, 액세스 요청을 공격 플랫폼에 발송하여, 공격 플랫폼이 단말기에 대해 공격하도록 하므로; 이런 상황을 방지하기 위하여, 단말기는 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리가 매칭될 때, 직접 액세스 요청이 공격 플랫폼을 액세스하는 것으로 확정하여, 액세스 요청을 차단함으로써, 악성 코드가 단말기를 트리거하여 액세스 요청을 공격 플랫폼에 발송하는 것을 저지할 수 있다.
도 4는 본 출원의 실시예의 또 다른 응용 시나리오를 나타내는 도면이며, 도 4에 도시된 바와 같이, 오피스 응용이 아닌 시나로오에서 단말기는 액세스 요청을 직접 공격 플랫폼에 발송하지 않음으로써, 단말기와 공격 플랫폼의 직접적인 통신을 차단하고, 공격 플랫폼이 공격 로직을 단말기에 리턴한 후 단말기가 공격 로직을 수행하는 것을 방지하고, 나아가 공격 플랫폼이 공격 로직을 통해 단말기에 대해 공격하는 것을 방지한다.
도 5는 본 출원의 실시예의 또 다른 응용 시나리오를 나타내는 도면이며, 도 5에 도시된 바와 같이, 오피스 응용 시나리오에서, 단말기는 액세스 요청을 도메인 네임 시스템 서버를 통해 공격 플랫폼에 발송하지 않음으로써, 도메인 네임 시스템 서버와 공격 플랫폼의 직접적인 통신을 방지하고, 공격 플랫폼이 공격 로직을 도메인 네임 시스템 서버에 리턴한 후 도메인 네임 시스템 서버가 공격 로직을 수행하는 것을 방지하고, 나아가 공격 플랫폼이 공격 로직을 통해 도메인 네임 시스템 서버, 및 각 단말기에 대해 공격하는 것을 방지한다.
본 실시예에서, 브라우저가 액세스 요청을 개시한 것이 확정될 때, 액세스 요청을 직접 발송하지 않고, 먼저 브라우저가 개시한 도메인 네임 해석 요청을 검출하되, 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이고, 도메인 네임 해석 요청에는 액세스될 플랫폼의 도메인 네임이 포함되고; 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭되는 것이 확정될 때, 액세스 요청을 차단하며, 공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시하기 위한 것이다. 액세스 요청이 검출될 때, 액세스 요청을 직접 발송하지 않고, 단말기의 웹페이지에 이미 악성 코드가 주입되었으면, 악성 코드는 액세스 요청을 공격 플랫폼에 발송할 것이며, 이로부터 단말기는 공격 플랫폼의 공격 로직을 받을 것이다. 액세스 요청이 검출될 때, 우선 도메인 네임 해석 요청 중의 액세스될 플랫폼의 도메인 네임을 검출하고; 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리가 매칭될 때, 도메인 네임 해석 요청에 휴대된 도메인 네임은 공격 플랫폼의 도메인 네임인 것으로 확정하고, 액세스될 플랫폼이 공격 플랫폼인 것으로 확정하고, 정확하게 공격 플랫폼과 XSS 공격에 대해 정확하고; 이때, 액세스될 플랫폼은 공격 플랫폼이고, 액세스 요청을 공격 플랫폼에 발송하여, 공격 플랫폼이 단말기에 대해 공격하도록 하므로; 이런 상황을 방지하기 위하여, 단말기는 직접 액세스 요청을 차단하여, 악성 코드가 단말기를 트리거하여 액세스 요청을 공격 플랫폼에 발송하는 것을 저지하고, 공격 플랫폼에서 리턴한 공격 로직을 획득하는 것을 방지하고, XSS 공격을 효과적으로 처리하고 억제한다.
도 6은 본 출원의 제2 실시예의 도면이고, 도 6에 도시된 바와 같이, 본 실시예에 따른 네트워크 공격 방어 방법은 아래의 단계를 포함한다.
S201, 브라우저가 액세스 요청을 개시한 것이 확정될 때, 브라우저가 개시한 도메인 네임 해석 요청을 검출하되, 여기서, 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이고, 도메인 네임 해석 요청에는 액세스될 플랫폼의 도메인 네임이 포함된다.
예시적으로, 본 실시예에서 실행 주체는 단말기일 수 있으며, 또는 본 실시예의 방법을 실행할 수 있는 기타 장치 또는 기기일 수 있다. 본 실시예는 실행 주체가 단말기인 것으로 설명한다.
본 단계는 도 3에 도시된 단계(S101)을 참조할 수 있으며, 더 이상 중복 설명하지 않는다.
S202, 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭되는 것이 확정될 때, 액세스 요청을 차단하며, 여기서, 공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시하기 위한 것이다.
일 예시에서, 단계(S202)는 구체적으로 아래의 몇가지 구현방식을 포함한다.
단계(S202)의 제1 구현방식은, 도메인 네임 시스템 서버에 도메인 네임 해석 요청을 발송하되, 여기서, 도메인 네임 시스템 서버에는 공격 플랫폼 특징 라이브러리가 배치되어 있고; 도메인 네임 시스템 서버에서 발송한 처리 결과를 수신하되, 여기서, 처리 결과는 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리의 매칭을 표시하고; 처리 결과에 따라, 액세스 요청을 차단한다.
단계(S202)의 제2 구현방식은, 로컬에 미리 저장된 공격 플랫폼 특징 라이브러리에 액세스될 플랫폼의 도메인 네임이 있는 것이 확정될 때, 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리가 매칭되는 것으로 확정하고, 액세스 요청을 차단한다.
예시적으로, 액세스될 플랫폼이 공격 플랫폼인지 여부를 정확하게 식별하기 위하여, 도메인 네임 해석 요청 중의 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리를 비교해야 한다.
일 예시에서, 단말기에 공격 플랫폼 특징 라이브러리가 저장되어 있고, 공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시할 수 있다. 단말기 중의 공격 플랫폼 특징 라이브러리는 기타 서버가 단말기에 발송한 것일 수 있다. 단말기에 공격 플랫폼 특징 라이브러리를 저장하면, 단말기가 직접 도메인 네임 해석 요청 중의 도메인 네임과 공격 플랫폼 특징 라이브러리를 비교할 수 있다. 단말기가 도메인 네임 해석 요청을 검출한 후에, 도메인 네임 해석 요청 중의 도메인 네임과 공격 플랫폼 특징 라이브러리 간에 매칭을 수행하고; 도메인 네임 해석 요청에 휴대된 도메인 네임이 공격 플랫폼 특징 라이브러리와 매칭되지 않으면, 액세스될 플랫폼이 공격 플랫폼이 아닌 것으로 확정하고; 도메인 네임 해석 요청에 휴대된 도메인 네임이 공격 플랫폼 특징 라이브러리와 매칭되면, 액세스될 플랫폼이 공격 플랫폼인 것으로 확정한 후, 단말기는 직접 액세스 요청을 차단한다.
예를 들어 설명하면, 단말기에는 DNS 하이재킹 모듈이 배치되고, DNS 하이재킹 모듈은 공격 플랫폼 특징 라이브러리를 저장하기 위한 것이며; 공격 플랫폼 특징 라이브러리는 하나의 블랙리스트를 포함하고, 블랙리스트는 각 공격 플랫폼의 도메인 네임이며; 단말기는 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리를 비교하고; 단말기는 액세스될 플랫폼의 도메인 네임이 공격 플랫폼 특징 라이브러리에 존재하는 것으로 확정될 때, 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭되는 것으로 확정하고, 액세스될 플랫폼이 공격 플랫폼인 것으로 확정한다.
다른 일 예시에서, 단말기는 브라우저가 액세스 요청을 개시한 것이 검출될 때, 단말기는 먼저 액세스 요청을 발송하지 않고, 브라우저가 개시한 도메인 네임 해석 요청을 검출한 후; 단말기는 도메인 네임 해석 요청을 도메인 네임 시스템 서버에 발송한다.
도메인 네임 시스템 서버에는 공격 플랫폼 특징 라이브러리가 배치되어 있고, 공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시한다. 이때, 복수의 단말기가 하나의 도메인 네임 시스템 서버를 통해 기타 기기와 통신할 때, 공격 플랫폼 특징 라이브러리를 도메인 네임 시스템 서버에 설치하였기에 도메인 네임 시스템 서버는 복수의 단말기에 대해 제어하고, 도메인 네임 시스템 서버가 도메인 네임 해석 요청 중의 도메인 네임과 공격 플랫폼 특징 라이브러리를 비교하여, 각 단말기의 동작을 줄일 수 있다. 예를 들면, 공격 플랫폼 특징 라이브러리는 적어도 하나의 블랙리스트를 포함하고, 블랙리스트는 각 공격 플랫폼의 도메인 네임이며, 나아가 공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시하고; 또는, 공격 플랫폼 특징 라이브러리는 하나의 화이트리스트를 포함하고, 화이트리스트는 각 비 공격 플랫폼의 도메인 네임을 포함하며, 나아가 공격 플랫폼 특징 라이브러리는 적어도 하나의 비 공격 플랫폼의 도메인 네임을 지시함으로써, 공격 플랫폼 특징 라이브러리는 간접적으로 적어도 하나의 공격 플랫폼의 도메인 네임을 지시한다.
도메인 네임 시스템 서버는 도메인 네임 해석 요청을 수신한 후, 도메인 네임 해석 요청 중의 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리를 분석하고; 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리가 매칭되는 것으로 확정되면, 액세스될 플랫폼이 공격 플랫폼임을 확정할 수 있고, 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리가 매칭되지 않는 것으로 확정되면, 액세스될 플랫폼이 공격 플랫폼이 아님을 확정할 수 있다.
예를 들어 설명하면, 공격 플랫폼 특징 라이브러리는 하나의 블랙리스트를 포함하고, 블랙리스트는 각 공격 플랫폼의 도메인 네임이며; 도메인 네임 시스템 서버는 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리를 비교하고; 도메인 네임 시스템 서버는 액세스될 플랫폼의 도메인 네임이 공격 플랫폼 특징 라이브러리에 존재하는 것으로 확정되면, 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭되는 것으로 확정하고, 액세스될 플랫폼이 공격 플랫폼인 것으로 확정하며; 도메인 네임 시스템 서버는 액세스될 플랫폼의 도메인 네임이 공격 플랫폼 특징 라이브러리에 존재하지 않는 것으로 확정되면, 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭되지 않는 것으로 확정하고, 액세스될 플랫폼이 공격 플랫폼이 아닌 것으로 확정한다.
또 예를 들어 설명하면, 공격 플랫폼 특징 라이브러리는 하나의 화이트리스트를 포함하고, 화이트리스트는 각 비공격 플랫폼의 도메인 네임이고; 도메인 네임 시스템 서버는 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리를 비교한다. 도메인 네임 시스템 서버는 액세스될 플랫폼의 도메인 네임이 공격 플랫폼 특징 라이브러리에 존재하지 않는 것으로 확정되면, 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리 간에 매칭되는 것으로 확정하고, 액세스될 플랫폼이 공격 플랫폼인 것으로 확정하고; 종도메인 네임 시스템 서버는 액세스될 플랫폼의 도메인 네임이 공격 플랫폼 특징 라이브러리에 존재하는 것으로 확정되면, 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭되지 않는 것으로 확정하고, 액세스될 플랫폼이 공격 플랫폼이 아닌 것으로 확정한다.
일 예시에서, 도메인 네임 시스템 서버를 위해 DNS 하이재킹 모듈을 배치하였고, DNS 하이재킹 모듈은 공격 플랫폼 특징 라이브러리를 저장하기 위한 것이다.
도메인 네임 시스템 서버는 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리를 비교한 후에, 처리 결과를 생성할 수 있으며; 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리가 매칭되는 것으로 확정될 때, 처리 결과는 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리 간에 매칭되는 것을 표시하고, 동시에 처리 결과는 액세스될 플랫폼이 공격 플랫폼임을 표시한다. 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리 간에 매칭되지 않는 것으로 확정될 때, 처리 결과는 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭되지 않는 것을 표시하고, 동시에 처리 결과는 액세스될 플랫폼이 공격 플랫폼이 아닌 것을 표시한다.
도메인 네임 시스템 서버는 처리 결과를 단말기에 발송하고, 이때, 처리 결과는 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리가 매칭되는 것을 표시하고; 이때, 액세스될 플랫폼은 공격 플랫폼이고, 액세스 요청을 공격 플랫폼에 발송하여, 공격 플랫폼이 단말기에 대해 공격하도록 하므로; 이런 상황을 방지하기 위하여, 단말기는 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리가 매칭될 때, 직접 액세스 요청은 공격 플랫폼을 액세스하는 것으로 확정하고, 직접 액세스 요청을 차단하여, 악성 코드가 단말기를 트리거하여 액세스 요청을 공격 플랫폼에 발송하는 것을 저지한다.
일 예시에서, 상술한 공격 플랫폼 특징 라이브러리는, 공격 플랫폼 특징 라이브러리를 업데이트하고 풍부하도록 지속적으로 업데이트될 수 있다. 예를 들면, 기업 오피스 네트워크 또는 기타 WEB시스템의 운영 과정에서, 백그라운드 기기가 이상을 모니터링해내고, 후자가 공격 플랫폼이 이미 단말기를 공격한 것을 검출했을 때, 백그라운드 기기는 공격 플랫폼의 도메인 네임을 공격 플랫폼 특징 라이브러리에 추가하여 공격 플랫폼 특징 라이브러리의 지속적인 업데이트와 풍부성을 구현할 수 있고, 다양한 유형의 공격 플랫폼에 대한 효과적인 방어를 구현하는데 유리하다.
S203, 보안 서버의 액세스 주소를 획득하되, 여기서, 액세스 주소는 도메인 네임 시스템 서버로부터 획득된 것이거나, 또는 액세스 주소는 로컬에 저장된 것이며; 액세스 주소에 따라 보안 서버와 연결을 구축한다.
예시적으로, 단계(S202) 후에, 단말기는 초보적으로 액세스될 플랫폼이 공격 플랫폼임을 확정하였지만, 추가적으로 더 확인해야 하며, 향후에 가능한 공격에 대해 방어해야 한다. 그러므로, 단말기는 보안(SinkHole) 서버를 방문해야 하며, 이로부터 안전 서버와 연합하여 액세스될 플랫폼에 대해 추가적으로 확인하여, 향후에 가능한 공격에 대해 방어해야 한다.
보안 서버를 방문하기 위하여, 보안 서버의 액세스 주소를 알아야 한다.
단계(S202)에서, 만약 공격 플랫폼 특징 라이브러리가 단말기에 설치되어 있으면, 단말기는 공격 플랫폼 특징 라이브러리를 기초로 액세스될 플랫폼이 공격 플랫폼인 것을 확정할 수 있으며, 그 후 로컬에 미리 저장된 주소 라이브러리에 따라, 보안 서버의 액세스 주소를 확정하고, 여기서, 주소 라이브러리에는 보안 서버의 액세스 주소가 저장되어 있다. 다음, 단말기는 액세스 주소를 기초로 보안 서버와 연결을 구축하여, 향후에 보안 서버를 액세스할 수 있도록 한다.
또는 만약 공격 플랫폼 특징 라이브러리가 도메인 네임 시스템 서버에 설치되어 있으면, 도메인 네임 시스템 서버는 공격 플랫폼 특징 라이브러리를 기초로 액세스될 플랫폼이 공격 플랫폼인 것을 직접 확정할 수 있으며, 이때 도메인 네임 시스템 서버는 도메인 네임 시스템 서버에 저장된 주소 라이브러리에 따라 보안 서버의 액세스 주소를 확정할 수 있다. 그 후, 도메인 네임 시스템 서버는 보안 서버의 액세스 주소를 단말기에 발송한다. 그 후, 단말기는 액세스 주소에 따라, 보안 서버와 연결을 구축하여 향후에 보안 서버를 액세스할 수 있도록 한다.
S204, 액세스 요청을 보안 서버에 발송하되, 여기서, 액세스 요청은 액세스될 플랫폼의 도메인 네임을 포함한다.
예시적으로, 단말기는 액세스될 플랫폼에 대해 추가적으로 검증하고 확인하여 액세스될 플랫폼이 진정한 공격 플랫폼인지를 확인하기 위하여, 단말기는 보안 서버에 액세스 요청을 발송할 수 있으며, 여기서, 액세스 요청은 액세스될 플랫폼의 도메인 네임을 휴대한다.
S205, 보안 서버에서 발송한 검출 정보를 수신하되, 여기서, 검출 정보는 액세스될 플랫폼의 도메인 네임과 보안 서버 중의 공격 플랫폼 특징 라이브러리의 매칭을 지시하기 위한 것이다.
일 예시에서, 액세스 요청은 지시 정보를 더 포함하고, 지시 정보는 액세스 요청의 소스를하기 위한 것이며; 검출 정보는 또한 액세스 요청 도메인 네임이 사용자가 입력한 것이 아니라는 것을 지시하기 위한 것이다.
일 예시에서, 검출 정보는 또한 공격 주입점 위치의 검출을 수행하는 스크립트 코드를 지시하기 위한 것이다.
예시적으로, 단계(S204) 이후에, 보안 서버는 액세스 요청을 수신한 후, 보안 서버에 상술한 공격 플랫폼 특징 라이브러리가 배치되어 있으므로, 보안 서버는 다시 액세스 요청 중의 도메인 네임에 대해 분석할 수 있으며; 액세스 요청에 휴대된 도메인 네임이 공격 플랫폼 특징 라이브러리와 매칭되지 않으면, 액세스될 플랫폼이 공격 플랫폼이 아닌 것으로 확정하고, 보안 서버는 검출 정보를 생성할 수 있으며, 이때, 검출 정보는 액세스될 플랫폼의 도메인 네임과 보안 서버 중의 공격 플랫폼 특징 라이브러리가 매칭되지 않음을 표시하고, 또한 검출 정보는 간접적으로 액세스될 플랫폼은 공격 플랫폼이 아님을 표시하고; 액세스 요청에 휴대된 도메인 네임과 공격 플랫폼 특징 라이브러리가 매칭되면, 액세스될 플랫폼이 공격 플랫폼인 것으로 확정하고, 보안 서버는 검출 정보를 생성할 수 있으며, 이때, 검출 정보는 액세스될 플랫폼의 도메인 네임과 보안 서버 중의 공격 플랫폼 특징 라이브러리가 매칭됨을 표시하고, 또한 검출 정보는 간접적으로 액세스될 플랫폼이 공격 플랫폼임을 표시한다.
보안 서버와 단말기, 도메인 네임 시스템 서버는 서로 다른 기기이므로, 단말기 또는 도메인 네임 시스템 서버가 액세스될 플랫폼의 도메인 네임에 대해 검출한 후, 다시 보안 서버가 액세스될 플랫폼의 도메인 네임에 대해 검출하고, 전후 2차의 검출은 도메인 네임의 정확한 검출을 확보할 수 있으며, 액세스될 플랫폼이 공격 플랫폼 여부인지를 정확하게 검출하도록 확보하고; 또한 보안 서버가 공격을 받지 않는 서버이므로, 추가적으로 액세스될 플랫폼이 공격 플랫폼인지 여부를 정확하게 검출하도록 확보한다.
일 예시에서, 액세스 요청에 액세스될 플랫폼의 도메인 네임 외에, 지시 정보도 휴대될 수 있으며, 해당 지시 정보는 액세스 요청의 소스를 지시할 수 있다. 액세스 요청의 소스는, 예컨대, 사용자가 트리거한 것이거나, 또는 악성 코드에 의해 자동으로 트리거된 것이다. 예를 들어 설명하면, 액세스 요청에 도메인 네임의 필드, 지시 정보의 필드가 포함되고; 도메인 네임은 액세스 요청 중의 한 필드 host일 수 있다. 지시 정보는 액세스 요청의 한 필드 referer이며; 필드 referer가 엠프티일 때, 액세스 요청의 도메인 네임은 사용자가 입력한 것임을 표시하고, 즉 액세스 요청은 사용자가 트리거한 것임을 표시하며; 필드referer가 엠프티가 아닐 때, 액세스 요청의 도메인 네임은 사용자가 입력한 것이 아님을 표시하고, 즉 액세스 요청은 사용자가 트리거한 것이 아님을 표시하며, 이때, 액세스 요청은 기타 코드, 심지어 악성 코드에 의해 자동으로 트리거된 것이다.
액세스 요청 중의 액세스될 플랫폼의 도메인 네임에 대하여 더욱 정확한 검출을 확보하기 위하여, 단말기는 액세스될 플랫폼의 도메인 네임, 및 지시 정보를 휴대한 액세스 요청을 보안 서버에 발송한다. 보안 서버는 액세스 요청 중의 지시 정보와 도메인 네임을 분석하고; 만약 지시 정보가 액세스 요청의 도메인 네임이 사용자가 입력한 것이 아님을 표시하는 것이 확정되면, 액세스 요청은 사용자가 트리거한 것이 아님을 확정할 수 있으며, 즉 액세스 요청은 악성 코드에 의해 트리거된 것이고; 또한, 액세스 요청 중의 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리가 매칭되는 것으로 확정하고; 이때, 액세스될 플랫폼의 도메인 네임은 공격 플랫폼의 도메인 네임이고, 액세스 요청은 악성 코드에 의해 트리거된 것이며, 이때 보안 서버는 단말기에 악성 코드가 있다는 것를 정확하게 확정할 수 있으며, 이로부터 액세스될 플랫폼이 공격 플랫폼임을 확정한다.
다음, 보안 서버는 단말기에 검출 정보를 발송하며, 검출 정보는 액세스될 플랫폼의 도메인 네임과 보안 서버 중의 공격 플랫폼 특징 라이브러리의 매칭을 표시하고; 또한, 단말기에 액세스 요청이 사용자가 트리거한것이 아님을 알리기 위하여, 검출 정보는 또한 액세스 요청의 도메인 네임이 사용자가 입력한 것이 아님을 지시해야 하며, 즉 액세스 요청은 악성 코드에 의해 자동으로 트리거된 것임을 지시해야 한다.
일 예시에서, 단말기가 공격 주입점의 위치를 쉽게 검출하도록 하기 위하여, 보안 서버는 또한 단말기에 스크립트 코드를 리턴할 수 있으며, 해당 스크립트 코드는 공격 주입점 위치를 검출검출하기 위한 것이며; 시그널링 오버헤드를 절약하기 위하여, 보안 서버가 단말기에 검출 정보를 발송할 때, 검출 정보를 사용하여 공격 주입점 위치를 검출하는 스크립트 코드를 지시한다. 한편, 스크립트 코드는 또한 단말기의 브라우저가 XSS 공격에 처해 있음을 지시할 수 있다. 스크립트 코드는 JS(JavaScript) 스크립트 코드라고도 불리울 수 있다.
일 예시에서, 액세스 요청은 https 프로토콜인 액세스 요청일 수 있고, 또는 http프로토콜인 액세스 요청일 수도 있으며; https프로토콜인 액세스 요청은 https 요청으로 약칭하고; https 프로토콜인 액세스 요청을 http 요청으로 약칭한다.
단말기가 보안 서버에 http 요청을 발송하면, 보안 서버는 직접 http 요청을 해석할 수 있다.
단말기가 보안 서버에 https 요청을 발송하면, 보안 서버는 단말기와 핸드쉐이크해야 하며, 그 후, 보안 서버는 핸드쉐이크 패키지(tls handshake) 중의 서버 도메인 네임(ServerName)을 추출하고; 또한 보안 서버는 CA루트 증서에 기반하여, 서버 도메인 네임을 위해 페이크 서브 증서를 생성하고, 이로부터 페이크 증서 정보를 획득하며; 보안 서버는 페이크 증서 정보를 단말기에 리턴하고; 이때, 단말기는 보안 서버와 https프로토콜 핸드쉐이크를 완성할 수 있다. 다음 보안 서버는 https 요청을 해석한다.
S206, 검출 정보를 기초로, 공격 주입점 위치를 검출하되, 여기서, 공격 주입점 위치는 공격 플랫폼의 링크 정보의 위치를 지시하기 위한 것이다.
일 예시에서, 단계(S207)는 구체적으로, 링크 정보 집합을 기초로, 웹페이지의 문서 객체 모델 트리에서 공격 플랫폼의 링크 정보가 검색될 때, 공격 주입점 위치를 생성하는 것을 포함하고; 여기서, 링크 정보 집합은 적어도 하나의 공격 플랫폼의 링크 정보를 포함하고, 문서 객체 모델 트리에는 적어도 하나의 플랫폼의 링크 정보가 포함된다.
일 예시에서, 링크 정보는 플랫폼의 유니폼 리소스 로케이터를 포함한다. 공격 주입점 위치는 구체적으로 웹페이지의 문서 객체 모델 트리 중에서의 공격 플랫폼의 유니폼 리소스 로케이터의 위치를 지시하기 위한 것이다.
예시적으로, 검출 정보는 액세스될 플랫폼의 도메인 네임과 보안 서버 중의 공격 플랫폼 특징 라이브러리의 매칭을 지시할 수 있기에, 단말기는 단말기의 브라우저가 공격 플랫폼으로부터 공격당한 것을 확정할 수 있고; 그리고, 검출 정보는 또한 액세스 요청의 도메인 네임이 사용자가 입력한 것이 아님을 지시하기에, 단말기는 브라우저가 공격 플랫폼으로부터 공격당한 것을 더욱 확정할 수 있다. 그 다음, 단말기는 직접 공격 주입점 위치의 검출을 수행할 수 있다.
또는 검출 정보가 공격 주입점 위치를 검출하는 스크립트 코드를 지적하였기에, 단말기는 공격 주입점 위치를 검출하는 코드 로직을 알 수 있고, 다음 공격 주입점 위치의 검출을 수행한다.
일 예시에서, 단말기가 쉽게 주입점 위치의 검출을 수행할 수 있도록 하기 위하여, 단말기에는 하나의 링크 정보 집합이 저장되어 있으며, 해당 링크 정보 집합은 각 공격 플랫폼의 링크 정보를 포함하고; 또한 웹페이지는 하나의 문서 객체 모델 트리(Document Object Model, DOM으로 약칭)를 구비하고, 해당 문서 객체 모델 트리는 각 플랫폼의 링크 정보를 구비하며, 이런 플랫폼은 정상적인 비공격 플랫폼, 및 공격 플랫폼일 수 있다. 이로부터 단말기는 웹페이지의 문서 객체 모델 트리 중에서 검색을 수행하여, 문서 객체 모델 트리 중에 링크 정보 집합 중의 공격 플랫폼의 링크 정보가 있는지 여부를 검색하며; 문서 객체 모델 트리 중에서 링크 정보 집합 중의 공격 플랫폼의 링크 정보가 검색될 때, 단말기는 공격 주입점 위치를 검색하였음을 확정할 수 있고, 이로부터 공격 주입점 위치는 문서 객체 모델 트리 중에서의 공격 플랫폼의 링크 정보의 위치를 지시함을 알 수 있다. 유의해야 할 바로는, 문서 객체 모델 트리 중의 공격 플랫폼의 링크 정보는, 액세스 요청 중의 액세스될 플랫폼의 링크 정보가 아닐 수 있다.
예를 들어 설명하면, 링크 정보 집합 중에 공격 플랫폼A의 링크 정보, 공격 플랫폼B의 링크 정보, 공격 플랫폼C의 링크 정보를 포함한다. 문서 객체 모델 트리 중에 플랫폼D의 링크 정보, 플랫폼E의 링크 정보, 플랫폼F의 링크 정보, 플랫폼A의 링크 정보, 플랫폼B의 링크 정보를 구비한다. 단말기는 문서 객체 모델 트리에 대해 검색을 수행하여, 문서 객체 모델 트리 중에 공격 플랫폼A의 링크 정보와 공격 플랫폼B의 링크 정보가 있는 것을 확정하여, 공격 플랫폼A의 공격 주입점 위치, 공격 플랫폼B의 공격 주입점 위치를 검출할 수 있다. 유의해야 할 바로는, 액세스 요청이 지시하는 액세스될 플랫폼은 공격 플랫폼A, 또는 공격 플랫폼B, 또는 기타 공격 플랫폼, 또는 기타 정상적인 플랫폼일 수 있다.
일 예시에서, 상술한 링크 정보는 유니폼 리소스 로케이터 시스템(uniform resource locator, URL)을 포함하고; 나아가 공격 주입점 위치는 문서 객체 모델 트리에서의 공격 플랫폼의 URL의 위치를 가리킨다.
예를 들어 설명하면, 링크 정보 집합에는 각 공격 플랫폼의 URL이 포함되고, 문서 객체 모델 트리에는 적어도 하나의 플랫폼의 URL이 포함되며; 단말기는 웹페이지의 문서 객체 모델 트리에서 검색을 수행하여, 문서 객체 모델 트리에 링크 정보 집합 중의 공격 플랫폼의 URL이 있는지 여부를 검색하고; 문서 객체 모델 트리에서 링크 정보 집합 중의 공격 플랫폼의 URL이 검색될 때, 단말기는 공격 주입점 위치를 찾은 것으로 확정할 수 있으며, 이로부터 공격 주입점 위치는 문서 객체 모델 트리에서의 공격 플랫폼의 URL의 위치를 지시함을 알 수 있다.
각 플랫폼에 있어서, URL은 플랫폼의 고유 식별자이고; 또한 문서 객체 모델 트리에는 액세스되는 플랫폼의 URL을 기록할 것이므로; URL을 사용하여 단말기를 공격하고 있는 공격 플랫폼의 위치에 대해 검출하면, 공격 주입점 위치를 매우 정확하게 검출할 수 있다.
S207, 공격 주입점 위치를 보안 서버에 발송하여 처리한다.
예시적으로, 단말기는 공격 주입점 위치를 검출한 다음, 공격 주입점 위치를 보안 서버에 발송하여 처리한다. 보안 서버는 공격 주입점 위치를 관리 사용자에게 알리고, 이로부터 관리 사용자가 공격 주입점에 대해 체크하여 공격 문제를 해소한다.
본 실시예에서, 상술한 실시예의 기초 상에서, 초보적으로 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리가 매칭되는 것을 확정하고, 액세스 요청을 차단한 후, 액세스 요청을 보안 서버에 발송하고; 이로부터 보안 서버가 추가적으로 액세스될 플랫폼이 진정한 공격 플랫폼인지 여부를 확인하도록 하며; 보안 서버는 액세스 요청 중의 지시 정보와 도메인 네임에 대해 분석하고; 지시 정보가 액세스 요청의 도메인 네임이 사용자에 의해 입력된 것이 아니라고 표시하는 것이 확정되면, 액세스 요청이 사용자가 트리거한 것이 아님을 확정할 수 있으며, 즉 액세스 요청은 악성 코드에 의해 트리거된 것이고; 또한 액세스 요청 중의 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리가 매칭됨을 확정하고; 보안 서버는 단말기에 검출 정보를 발송하고; 단말기는 신속하게 공격 주입점의 위치에 대해 검출한 후, 공격 주입점 위치를 보안 서버에 발송하여 처리한다. 이로부터 액세스될 플랫폼이 공격 플랫폼이라는 것을 정확하게 확정할 수 있으며; 또한 공격 주입점의 위치를 정확하게 검출하고, 나아가 공격 주입점에 대해 처리할 수 있다.
도 7은 본 출원의 제3 실시예의 도면이며, 도 7에 도시된 바와 같이, 본 실시예에 따른 네트워크 공격 방어 방법은 아래의 단계를 포함한다.
S301, 브라우저가 액세스 요청을 개시한 것이 확정될 때, 브라우저가 개시한 도메인 네임 해석 요청을 검출하되, 여기서, 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이고, 도메인 네임 해석 요청에는 액세스될 플랫폼의 도메인 네임이 포함된다.
예시적으로, 본 실시예에서 실행 주체는 단말기일 수 있으며, 또는 본 실시예의 방법을 실행할 수 있는 기타 장치 또는 기기일 수 있다. 본 실시예는 실행 주체가 단말기인 것으로 설명한다.
본 단계는 도 6에 도시된 단계(S201)를 참조할 수 있으며, 더 이상 중복 설명하지 않는다.
S302, 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭되는 것이 확정될 때, 액세스 요청을 차단하며, 여기서, 공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시하기 위한 것이다.
예시적으로, 단계(301) 후에, 본 단계를 수행한다. 본 단계는 도 6에 도시된 단계(S202)를 참조할 수 있으며, 더 이상 중복 설명하지 않는다.
S303, 액세스 요청을 보안 서버에 발송하되, 여기서, 액세스 요청은 액세스될 플랫폼의 도메인 네임을 포함한다.
예시적으로, 본 단계는 도 6에 도시된 단계(S204)를 참조할 수 있으며, 더 이상 중복 설명하지 않는다.
S304, 보안 서버에서 발송된 검출 정보를 수신하되, 여기서, 검출 정보는 액세스될 플랫폼의 도메인 네임과 보안 서버 중의 공격 플랫폼 특징 라이브러리의 매칭을 지시하기 위한 것이다.
예시적으로, 본 단계는 도 6에 도시된 단계(S205)를 참조할 수 있으며, 더 이상 중복 설명하지 않는다.
S305, 팝업창 인터페이스를 디스플레이하되, 여기서, 팝업창 인터페이스에 알림 정보가 있고, 알림 정보는 공격 플랫폼의 공격을 받았다는 것을 표시하기 위한 것이다.
예시적으로, 보안 서버가 리턴한 검출 정보는 단말기가 지시할 것을 지시할 수도 있으며, 이로부터 단말기는 검출 정보를 수신한 후에, 만약 검출 정보가 액세스될 플랫폼의 도메인 네임과 보안 서버 중의 공격 플랫폼 특징 라이브러리가 매칭됨을 표시하고, 또한 검출 정보가 액세스 요청의 도메인 네임이 사용자에 의해 입력된 것이 아님을 지시하면, 단말기는 단말기의 브라우저가 공격 플랫폼의 공격을 받았음을 단정지을 수 있다; 그 다음, 도 8은 본 출원의 실시예에 따른 팝업창 인터페이스를 나타내는 도면이며, 도 8에 도시된 바와 같이, 단말기는 하나의 팝업창 인터페이스를 디스플레이하고, 팝업창 인터페이스에는 하나의 알림 정보가 있기에, 나아가 사용자에게 단말기의 브라우저가 공격 플랫폼의 공격을 받았음을 알린다.
S306, 검출 정보에 따라, 공격 주입점 위치를 검출하되, 여기서, 공격 주입점 위치는 공격 플랫폼의 링크 정보의 위치를 지시하기 위한 것이다.
예시적으로, 본 단계는 도 6에 도시된 단계(S206)를 참조할 수 있으며, 더 이상 중복 설명하지 않는다.
S307, 공격 주입점 위치를 보안 서버에 발송하여 처리한다.
예시적으로, 본 단계는 도 6에 도시된 단계(S207)를 참조할 수 있으며, 더 이상 중복 설명하지 않는다.
S308, 공격 주입점 위치에 대응되는 링크 정보를 삭제하거나; 또는 보안 서버에서 발송한 삭제 명령을 수신하고, 삭제 명령에 따라 공격 주입점 위치에 대응되는 링크 정보를 삭제한다.
예시적으로, 단계(306) 또는 단계(307) 후에, 단말기가 이미 공격 주입점 위치를 검출해 내고, 향후의 공격을 방지하기 위하여, 공격 주입점 위치에 있는 링크 정보를 삭제할 수 있으며, 이로부터 공격 플랫폼의 추가적인 공격을 방지한다.
또는, 단계(307) 후에, 단말기는 공격 주입점 위치를 보안 서버에 발송한 후에, 보안 서버는 단말기가 공격 주입점 위치에 있는 링크 정보를 삭제하도록 지시할 수 있으며; 나아가 보안 서버는 단말기에 삭제 명령을 발송하고; 단말기는 공격 주입점 위치에 있는 링크 정보를 삭제하여, 공격 플랫폼의 추가적인 공격을 방지한다.
일 예시에서, 단계(S301) 후에,액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭되지 않을 때, 액세스 요청을 액세스될 플랫폼에 발송하는 단계를 더 수행할 수 있다.
예시적으로, 단계(301) 후에, 단말기 또는 도메인 네임 시스템 서버가 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭되지 않은 것으로 확정되면, 단말기는 액세스될 플랫폼이 공격 플랫폼이 아닌 것으로 확정하고, 액세스될 플랫폼을 직접 액세스할 수 있으며; 단말기는 액세스 요청을 직접 액세스될 플랫폼에 발송하여, 액세스될 플랫폼을 방문할 수 있다.
본 실시예에서, 상술한 실시예를 기초로 하여, 단말기는 검출 정보를 수신한 후에, 검출 정보가 액세스될 플랫폼의 도메인 네임과 보안 서버 중의 공격 플랫폼 특징 라이브러리가 매칭됨을 표시하고, 또한 검출 정보가 액세스 요청의 도메인 네임이 사용자가 입력한 것이 아님을 지시하면, 단말기는 하나의 팝업창 인터페이스를 표시하고, 팝업창 인터페이스에 알림 정보가 있으며, 이로부터 사용자에게 단말기의 브라우저가 공격 플랫폼의 공격을 받았음을 알린다. 그리고, 단말기가 이미 공격 주입점 위치를 검출하면, 직접 또는 보안 서버의 지시에 따라 공격 주입점 위치에 있는 링크 정보를 삭제하여, 공격 플랫폼의 추가적인 공격을 방지할 수 있다.
도 9는 본 출원의 제4 실시예의 도면이며, 도 9에 도시된 바와 같이, 본 실시예에 따른 네트워크 공격 방어 방법은 아래의 단계를 포함한다.
S401, 브라우저가 액세스 요청을 개시한 것이 확정될 때, 브라우저가 개시한 도메인 네임 해석 요청을 검출하되, 여기서, 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이고, 도메인 네임 해석 요청에는 액세스될 플랫폼의 도메인 네임이 포함된다.
예시적으로, 본 실시예에서 실행 주체는 단말기일 수 있으며, 또는 본 실시예의 방법을 실행할 수 있는 기타 장치 또는 기기일 수 있다. 본 실시예는 실행 주체가 단말기인 것으로 설명한다.
본 단계는 도 3에 도시된 단계(S101)를 참조할 수 있으며, 더 이상 중복 설명하지 않는다.
S402, 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭되는 것이 확정될 때, 공격 방어 처리를 수행하되, 여기서, 공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시하기 위한 것이다.
예시적으로, 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭되는지 여부에 대해서는, 상술한 실시예의 설명을 참조할 수 있으며, 더 이상 중복 설명하지 않는다.
단말기는 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭되는 것이 확정될 때, 방어 처리를 수행할 수 있으며, 방어 처리는 액세스 요청을 차단, 단말기의 브라우저를 닫기, 액세스 요청을 삭제하는 것을 포함하지만 이에 한정되지 않는다.
본 실시예에서, 액세스 요청이 검출될 때, 액세스 요청을 직접 발송하지 않고, 단말기의 웹페이지에 이미 악성 코드가 주입되었으면, 악성 코드는 액세스 요청을 공격 플랫폼에 발송할 것이며, 이로부터 단말기는 공격 플랫폼의 공격 로직을 받을 것이다. 액세스 요청이 검출될 때, 우선 도메인 네임 해석 요청 중의 액세스될 플랫폼의 도메인 네임을 검출하고; 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리가 매칭될 때, 도메인 네임 해석 요청에 휴대된 도메인 네임은 공격 플랫폼의 도메인 네임인 것으로 확정하고, 액세스될 플랫폼이 공격 플랫폼인 것으로 확정하고, 정확하게 공격 플랫폼과 XSS 공격에 대해 정확하고; 이때, 액세스될 플랫폼은 공격 플랫폼이고, 액세스 요청을 공격 플랫폼에 발송하여, 공격 플랫폼이 단말기에 대해 공격하도록 하므로; 이런 상황을 방지하기 위하여, 단말기는 방어 처리하여, 악성 코드가 단말기를 트리거하여 액세스 요청을 공격 플랫폼에 발송하는 것을 저지하고, 공격 플랫폼에서 리턴한 공격 로직을 획득하는 것을 방지하고, XSS 공격을 효과적으로 처리하고 억제한다.
도 10은 본 출원의 제5실시예의 도면이며, 도 10에 도시된 바와 같이, 본 실시예에 따른 네트워크 공격 방어 장치는,
브라우저가 액세스 요청을 개시한 것이 확정될 때, 브라우저가 개시한 도메인 네임 해석 요청을 검출하되, 여기서, 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이고, 도메인 네임 해석 요청에는 액세스될 플랫폼의 도메인 네임이 포함되는 검출유닛(51);
액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭되는 것이 확정될 때, 액세스 요청을 차단하되, 여기서, 공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시하기 위한 차단유닛(52)을 포함한다.
본 실시예의 네트워크 공격 방어 장치는 상술한 방법 중의 기술방안을 수행할 수 있으며, 그 구체적인 구현과정과 기술 원리는 동일하기에 여기서는 더 이상 중복 설명하지 않는다.
도 11은 본 출원의 제6 실시예의 도면이며, 도 11에 도시된 바와 같이, 도 10에 도시된 실시예를 기초로 하여, 본 실시예에 따른 네트워크 공격 방어 장치는,
차단유닛(51)이 액세스 요청을 차단한 후에, 액세스 요청을 보안 서버에 발송하되, 여기서, 액세스 요청은 액세스될 플랫폼의 도메인 네임을 포함하는 제1 송신유닛(61);
보안 서버에서 발송된 검출 정보를 수신하되, 여기서, 검출 정보는 액세스될 플랫폼의 도메인 네임과 보안 서버 중의 공격 플랫폼 특징 라이브러리의 매칭을 지시하기 위한 수신유닛(62);
검출 정보에 따라, 공격 주입점 위치를 검출하되, 여기서, 공격 주입점 위치는 공격 플랫폼의 링크 정보의 위치를 지시하기 위한 확정유닛(63);
공격 주입점 위치를 보안 서버에 발송하여 처리하기 위한 제2 송신유닛(64)을 더 포함한다.
일 예시에서, 액세스 요청은 지시 정보를 더 포함하고, 지시 정보는 액세스 요청의 소스를 하기 위한 것이며; 검출 정보는 또한 액세스 요청 도메인 네임이 사용자가 입력한 것이 아니라는 것을 지시하기 위한 것이다.
일 예시에서, 확정유닛(63)은 구체적으로,
링크 정보 집합을 기초로, 웹페이지의 문서 객체 모델 트리 중에서 공격 플랫폼의 링크 정보가 검색될 때, 공격 주입점 위치를 생성하되; 여기서, 링크 정보 집합에는 적어도 하나의 공격 플랫폼의 링크 정보가 포함되고, 문서 객체 모델 트리에는 적어도 하나의 플랫폼의 링크 정보가 포함된다.
일 예시에서, 링크 정보에는 플랫폼의 유니폼 리소스 로케이터가 포함된다.
일 예시에서, 공격 주입점 위치는 구체적으로 웹페이지의 문서 객체 모델 트리에서의 공격 플랫폼의 유니폼 리소스 로케이터의 위치를 지시하기 위한 것이다.
일 예시에서, 검출 정보는 또한 공격 주입점 위치의 검출을 수행하는 스크립트 코드를 지시하기 위한 것이다.
일 예시에서, 본 실시예에 따른 장치는,
수신유닛(62)이 보안 서버에서 발송된 검출 정보를 수신한 후, 팝업창 인터페이스를 디스플레이하되, 여기서, 팝업창 인터페이스에 알림 정보가 있고, 알림 정보는 공격 플랫폼의 공격을 받았다는 것을 표시하기 위한 디스플레이 유닛(65)을 더 포함한다.
일 예시에서, 본 실시예에 따른 장치는,
제1 송신유닛(61)이 액세스 요청을 보안 서버에 발송하기 전에, 보안 서버의 액세스 주소를 획득하되, 여기서, 액세스 주소는 도메인 네임 시스템 서버로부터 획득된 것이거나, 또는 액세스 주소는 로컬에 저장된 것인 획득유닛(66);
액세스 주소를 기초로 보안 서버와 연결을 구축하는 연결유닛(67)을 더 포함한다.
일 예시에서, 본 실시예에 따른 장치는,
제2 송신유닛(64)이 공격 주입점 위치를 보안 서버에 발송하여 처리한 후에, 공격 주입점 위치에 대응되는 링크 정보를 삭제하는 제1 삭제유닛(68);
또는, 제2 송신유닛(64)이 공격 주입점 위치를 보안 서버에 발송하여 처리한 후에, 보안 서버에서 발송한 삭제 명령을 수신하고, 삭제 명령에 따라 공격 주입점 위치에 대응되는 링크 정보를 삭제하는 제2 삭제유닛(69)을 더 포함한다.
일 예시에서, 차단유닛(52)은,
도메인 네임 시스템 서버에 도메인 네임 해석 요청을 발송하되, 여기서, 도메인 네임 시스템 서버에는 공격 플랫폼 특징 라이브러리가 배치되어 있는 송신모듈;
도메인 네임 시스템 서버에서 발송한 처리 결과를 수신하되, 여기서, 처리 결과는 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리의 매칭을 표시하는 수신모듈;
처리 결과에 따라, 액세스 요청을 차단하는 차단모듈을 포함한다.
일 예시에서, 차단유닛(52)은 구체적으로,
로컬에 미리 저장된 공격 플랫폼 특징 라이브러리에 액세스될 플랫폼의 도메인 네임이 있는 것으로 확정될 때, 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리가 매칭됨을 확정하고, 액세스 요청을 차단한다.
본 실시예의 네트워크 공격 방어 장치는 상술한 방법 중의 기술방안을 수행할 수 있으며, 구체적인 구현 과정과 기술 원리는 동일하기에 여기서는 더 이상 중복 설명하지 않는다.
도 12는 본 출원의 제7 실시예의 도면이며, 도 12에 도시된 바와 같이, 본 실시예의 전자기기(70)는 프로세서(71)와 메모리(72)를 포함할 수 있다.
메모리(72)는 프로그램을 저장하기 위한 것으로; 메모리(72)는, 예를 들면, 랜덤 액세스 메모리(영문: random-access memory, RAM으로 약칭), 예컨대 정적 랜덤 액세스 메모리(영문: static random-access memory, SRAM으로 약칭), 2배속 데이터 레이트 동기식 동적 랜덤 액세스 메모리(영문: Double Data Rate Synchronous Dynamic Random Access Memory, DDR SDRAM으로 약칭) 등과 같은 휘발성 메모리(영문: volatile memory)를 포함할 수 있고; 메모리는, 예를 들면, 플레시 메모리(영문: flash memory)와 같은 비휘발성 메모리(영문: non-volatile memory)를 포함할 수도 있다. 메모리(72)는 컴퓨터 프로그램(예컨대 상술한 방법의 응용 프로그램, 기능 모듈 등), 컴퓨터 명령 등을 저장하기 위한 것이고, 상술한 컴퓨터 프로그램, 컴퓨터 명령 등은 하나 또는 복수의 메모리(72)에 영역을 나누어 저장될 수 있다. 그리고 상술한 컴퓨터 프로그램, 컴퓨터 명령, 데이터 등은 프로세서(71)에 의해 호출될 수 있다.
상술한 컴퓨터 프로그램, 컴퓨터 명령 등은 하나 또는 복수의 메모리(72)에 영역으로 나누어 저장될 수 있다. 그리고 상술한 컴퓨터 프로그램, 컴퓨터 명령, 데이터 등은 프로세서(71)에 의해 호출될 수 있다.
프로세서(71)는 메모리(72)에 저장된 컴퓨터 프로그램을 실행하여, 상술한 실시예에 관련된 방법 중의 각 단계를 구현한다.
구체적으로 상술한 방법 실시예 중의 관련 설명을 참조할 수 있다.
프로세서(71)와 메모리(72)는 독립적인 구조일 수 있으며, 일체로 집적된 집적 구조일 수도 있다. 프로세서(71)와 메모리(72)가 독립적인 구조일 때, 메모리(72), 프로세서(71)는 버스(73)를 통해 커플링 연결될 수 있다.
본 실시예의 전자기기는 상술한 방법 중의 기술 방안을 수행할 수 있으며, 구체적인 구현 과정과 기술 원리는 동일하기에 여기서는 더 이상 중복 설명하지 않는다.
본 출원의 실시예에 따르면, 본 출원은 전자기기와 판독 가능 저장매체를 더 제공한다.
도 13은 본 출원의 제8 실시예의 도면이며, 도 13에 도시된 바와 같이 도 13은 본 출원의 실시예의 네트워크 공격 방어 방법을 구현하기 위한 전자기기의 블록도이다. 전자기기는 다양한 형태의 디지털 컴퓨터, 예컨대, 랩톱 컴퓨터, 데스크톱 컴퓨터, 워크스테이션, 개인 정보 단말기, 서버, 블레이드 서버, 대형 컴퓨터, 및 기타 적합한 컴퓨터를 나타내기 위한 것이다. 전자기기는 다양한 형태의 이동장치, 예컨대, 개인 디지털 처리, 셀폰, 스마트 폰, 웨어러블 기기 및 기타 유사한 컴퓨팅 장치를 더 나타낼 수 있다. 본문에 개시된 부재, 이들의 연결 및 관계, 및 이들의 기능은 단지 예시적인 것이며, 본문에 개시된 것 및/또는 요구하는 본 출원의 구현을 한정하려는 의도가 아니다.
도 13에 도시된 바와 같이, 해당 전자기기는 하나 또는 복수의 프로세서(801), 메모리(802), 및 각 부재를 연결시키기 위한 고속 인터페이스와 저속 인터페이스를 포함하는 인터페이스를 포함한다. 각각의 부재는 서로 다른 버스를 통해 서로 연결되며, 공통 메인보드에 장착되거나 수요에 따라 기타 방식으로 장착될 수 있다. 프로세서는 전자기기 내에서 실행되는 명령을 처리할 수 있으며, 메모리 내 또는 메모리 상에 저장되어 외부 입력/출력 장치(예컨대, 인터페이스에 커플링된 디스플레이 기기) 상에 그래픽 유저 인터페이스(GUI)의 그래픽 정보를 표시하는 명령을 포함할 수 있다. 기타 실시형태에서, 수요에 따라, 복수의 프로세서 및/또는 복수의 버스와 복수의 메모리와 복수의 메모리를 함께 사용할 수 있다. 마찬가지로, 복수의 전자기기를 연결할 수 있으며, 각각의 기기는 부분 필요한 조작을 제공한다(예를 들어, 서버 어레이, 한 세트의 블레이드 서버, 또는 멀티 프로세서 시스템으로서). 도 13은 하나의 프로세서(801)를 예로 든다.
메모리(802)는 바로 본 출원에 따른 비일시적 컴퓨터 판독 가능 저장매체이다. 여기서, 메모리는 적어도 하나의 프로세서에 의해 실행될 수 있는 명령이 저장되어, 상기 적어도 하나의 프로세서가 본 출원에 따른 네트워크 공격 방어 방법을 수행하도록 한다. 본 출원의 비일시적 컴퓨터 판독 가능 저장매체는 컴퓨터 명령을 저장하고, 해당 컴퓨터 명령은 컴퓨터가 본 출원에 따른 네트워크 공격 방어 방법을 수행하도록 한다.
메모리(802)는 비일시적 컴퓨터 판독 가능 저장매체로서, 비일시적 소프트웨어 프로그램, 비일시적 컴퓨터 실행 가능 프로그램 및 모듈, 예컨대 본 출원의 실시예 중의 네트워크 공격 방어 방법에 대응되는 프로그램 명령/모듈(예를 들면, 도 10에 도시된 검출유닛(51), 차단유닛(52))을 저장할 수 있다. 프로세서(801)는 메모리(802)에 저장된 비일시적 소프트웨어 프로그램, 명령 및 모듈을 실행하여, 서버의 다양한 기능 응용 및 데이터 처리를 수행한다. 즉, 상술한 방법 실시예 중의 네트워크 공격 방어 방법을 구현한다.
메모리(802)는 프로그램 저장 영역과 데이터 저장 영역을 포함할 수 있다. 여기서, 프로그램 저장 영역은 운영체제, 적어도 하나의 기능에 필요한 응용 프로그램을 저장할 수 있다. 데이터 저장 영역은 네트워크 공격 방어 방법을 구현하기 위한 전자기기의 사용에 따라 작성되는 데이터 등을 저장할 수 있다. 한편, 메모리(802)는 고속 랜덤 액세스 메모리를 포함할 수 있고, 예를 들어 적어도 하나의 자기 저장장치, 플래시 메모리, 또는 기타 비일시적 솔리드 스테이트 저장장치와 같은 비일시적 메모리를 포함할 수도 있다. 일부 실시예에서, 메모리(802)는 선택적으로 프로세서(801)에 대해 원격으로 설치된 메모리를 포함할 수 있다. 이러한 원격 메모리는 네트워크를 통해 네트워크 공격 방어 방법을 구현하기 위한 전자기기에 연결될 수 있다. 상술한 네트워크의 실예로서 인터넷, 인트라넷, 근거리 통신망, 이동 통신망 및 그 조합을 포함하지만 이에 한정되지 않는다.
네트워크 공격 방어 방법을 위한 전자기기는, 입력장치(803)와 출력장치(804)를 더 포함할 수 있다. 프로세서(801), 메모리(802), 입력장치(803) 및 출력장치(804)는 버스 또는 기타 방식으로 연결될 수 있으며, 도 13에서는 버스를 통해 연결되는 것을 예시하고 있다.
입력장치(803)는 입력되는 숫자 또는 문자 부호 정보를 수신할 수 있고, 네트워크 공격 방어 방법을 구현하기 위한 전자기기의 사용자 설정 및 기능 제어에 대한 키 신호 입력을 생성할 수 있으며, 예를 들어 터치 스크린, 키패드, 마우스, 트랙패드, 터치패널, 지시레버, 하나 또는 복수의 마우스 버튼, 트랙볼, 조종레버 등 입력장치가 있다. 출력장치(804)는 디스플레이 기기, 보조 조명 장치(예를 들어, LED) 및 촉각 피드백 장치(예를 들어, 진동모터) 등을 포함할 수 있다. 해당 디스플레이 기기는, 액정 디스플레이(LCD), 발광 다이오드(LED) 디스플레이와 플라즈마 디스플레이 등을 포함할 수 있지만 이에 한정되지 않는다. 일부 실시형태에서, 디스플레이 기기는 터치 스크린일 수 있다.
여기에 기재되는 시스템 및 기술의 다양한 실시형태는 디지털 전자 회로 시스템, 집적 회로 시스템, 전용 ASIC(전용 집적 회로), 컴퓨터 하드웨어, 펌웨어, 소프트웨어, 및/또는 이들의 조합에서 구현될 수 있다. 이러한 다양한 실시형태는 하나 또는 복수의 컴퓨터 프로그램에서 실시되는 것을 포함할 수 있고, 해당 하나 또는 복수의 컴퓨터 프로그램은 적어도 하나의 프로그래머블 프로세서를 포함하는 프로그래머블 시스템 상에서 실행 및/또는 해석될 수 있으며, 해당 프로그래머블 프로세서는 전용 또는 범용 프로그래머블 프로세서일 수 있고, 저장 시스템, 적어도 하나의 입력장치, 및 적어도 하나의 출력장치로부터 데이터와 명령을 수신할 수 있으며, 데이터와 명령을 해당 저장 시스템, 해당 적어도 하나의 입력장치, 및 해당 적어도 하나의 출력장치로 전송한다.
이러한 컴퓨팅 프로그램(프로그램, 소프트웨어, 소프트웨어 응용, 또는 코드라고도 불리운다)은 프로그래머블 프로세서의 기계적 명령을 포함하고, 고급 프로세스 및/또는 객체 지향 프로그래밍 언어, 및/또는 어셈블리/기계적 언어를 이용하여 이러한 컴퓨팅 프로그램을 실행할 수 있다. 예컨대 본문에서 사용되는 용어 "기계 판독 가능 매체”와 "컴퓨터 판독 가능 매체”는 기계적 명령 및/또는 데이터를 프로그래머블 프로세서로 제공하기 위한 임의의 컴퓨터 프로그램 제품, 기기 및/또는 장치(예를 들어, 자기 디스크, 광 디스크, 메모리, 프로그래머블 논리 디바이스(PLD))를 가리키고, 기계 판독 가능 신호인 기계적 명령을 수신하는 기계 판독 가능 매체를 포함한다. 용어 "기계 판독 가능 신호”는 기계적 명령 및/또는 데이터를 프로그래머블 프로세서로 제공하기 위한 임의의 신호를 가리킨다.
사용자와의 인터랙션을 제공하기 위하여, 컴퓨터 상에서 여기에 기재되는 시스템 및 기술을 실시할 수 있으며, 해당 컴퓨터는 사용자에게 정보를 표시하기 위한 표시장치(예를 들어, CRT(캐소드레이 튜브) 또는 LCD(액정 디스플레이) 모니터); 및 키보드 지향 장치(예를 들어, 마우스 또는 트랙볼)를 구비하고, 사용자는 해당 키보드와 해당 지향장치를 통해 입력을 컴퓨터로 제공할 수 있다. 기타 종류의 장치는 또한 사용자와의 인터랙션을 제공할 수도 있다. 예를 들어, 사용자에게 제공되는 피드백은 임의의 형태의 센싱 피드백(예를 들어, 시각적 피드백, 청각적 피드백, 또는 촉각적 피드백)일 수 있고; 임의의 형태(사운드 입력, 음성 입력 또는 촉각 입력)을 통해 사용자로부터의 입력을 수신할 수 있다.
여기에 기재되는 시스템과 기술은 백그라운드 부재를 포함하는 컴퓨팅 시스템(예를 들어, 데이터 서버로서), 또는 중간부재를 포함하는 컴퓨팅 시스템(예를 들어, 응용 서버), 또는 프론트 엔드 부재를 포함하는 컴퓨팅 시스템(예를 들어, 그래픽 유저 인터페이스 또는 인터넷 브라우저를 구비하는 사용자 컴퓨터, 사용자는 해당 그래픽 유저 인터페이스 또는 해당 인터넷 브라우저를 통해 여기에 기재되는 시스템 및 기술의 실시방식과 인터랙션할 수 있다), 또는 이러한 백그라운드 부재, 중간 부재, 또는 프론트 엔드 부재를 포함하는 임의의 컴퓨팅 시스템에서 실시될 수 있다. 임의의 형태 또는 매체의 디지털 데이터 통신(예를 들어, 통신망)을 통해 시스템의 부재를 서로 연결시킬 수 있다. 통신망의 예시로서, 근거리 통신망(LAN), 광역 통신망(WAN) 및 인터넷을 포함한다.
컴퓨터 시스템은 클라이언트와 서버를 포함할 수 있다. 클라이언트와 서버는 일반적으로 서로 멀리 떨어져 있으며 통상적으로 통신망을 통해 인터랙션한다. 상응한 컴퓨터 상에서 실행되며 서로 클라이언트-서버 관계를 가지는 컴퓨터 프로그램을 통해 클라이언트와 서버의 관계를 생성한다.
본 출원의 실시예에 따른 기술 방안은, 액세스 요청이 검출될 때, 액세스 요청을 직접 발송하지 않고, 단말기의 웹페이지에 이미 악성 코드가 주입되었으면, 악성 코드는 액세스 요청을 공격 플랫폼에 발송할 것이며, 이로부터 단말기는 공격 플랫폼의 공격 로직을 받을 것이다. 액세스 요청이 검출될 때, 우선 도메인 네임 해석 요청 중의 액세스될 플랫폼의 도메인 네임을 검출하고; 액세스될 플랫폼의 도메인 네임과 공격 플랫폼 특징 라이브러리가 매칭될 때, 도메인 네임 해석 요청에 휴대된 도메인 네임은 공격 플랫폼의 도메인 네임인 것으로 확정하고, 액세스될 플랫폼이 공격 플랫폼인 것으로 확정하고, 정확하게 공격 플랫폼과 XSS 공격에 대해 정확하고; 이때, 액세스될 플랫폼은 공격 플랫폼이고, 액세스 요청을 공격 플랫폼에 발송하여, 공격 플랫폼이 단말기에 대해 공격하도록 하므로; 이런 상황을 방지하기 위하여, 단말기는 직접 액세스 요청을 차단하여, 악성 코드가 단말기를 트리거하여 액세스 요청을 공격 플랫폼에 발송하는 것을 저지하고, 공격 플랫폼에서 리턴한 공격 로직을 획득하는 것을 방지하고, XSS 공격을 효과적으로 처리하고 억제한다.
도 14는 본 출원의 제9 실시예의 도면이며, 도 14에 도시된 바와 같이, 본 출원의 실시예에는 네트워크 공격 방어 시스템을 제공하며, 네트워크 공격 방어 시스템은 도 12 또는 도 13에 도시된 바와 같은 전자기기(141), 및 도메인 네임 시스템 서버(142)를 포함한다.
전자기기(141)는, 브라우저가 액세스 요청을 개시한 것이 확정될 때, 브라우저가 개시한 도메인 네임 해석 요청을 검출하되, 여기서, 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이고, 도메인 네임 해석 요청에는 액세스될 플랫폼의 도메인 네임이 포함되고, 도메인 네임 시스템 서버(142)에 도메인 네임 해석 요청을 발송한다.
도메인 네임 시스템 서버(142)는, 도메인 네임 해석 요청에 따라, 처리 결과를 생성하되, 여기서, 처리 결과는 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리의 매칭을 표시하고, 도메인 네임 시스템 서버(142)에 공격 플랫폼 특징 라이브러리가 배치되어 있다.
전자기기(141)는 또한, 도메인 네임 시스템 서버에서 발송한 처리 결과를 수신하고, 처리 결과에 따라, 액세스 요청을 차단한다.
일 예시에서, 네트워크 공격 방어 시스템은 보안 서버(143)를 더 포함하며;
보안 서버(143)는 전자기기(141)에서 발송한 액세스 요청을 수신하되, 여기서, 액세스 요청에는 액세스될 플랫폼의 도메인 네임이 포함되고; 액세스 요청에 따라, 검출 정보를 생성하되, 여기서, 검출 정보는 액세스될 플랫폼의 도메인 네임과 보안 서버 중의 공격 플랫폼 특징 라이브러리의 매칭을 지시하기 위한 것이고, 검출 정보는 공격 주입점 위치를 확정하되, 여기서, 공격 주입점 위치는 공격 플랫폼의 링크 정보의 위치를 지시하기 위한 것이고; 검출 정보를 전자기기(141)에 발송하고; 전자기기(141)에서 발송한 공격 주입점 위치를 수신하고, 공격 주입점 위치에 대해 처리한다.
본 실시예의 네트워크 공격 방어 시스템은, 상술한 방법 중의 기술 방안을 실행할 수 있으며, 구체적인 구현 과정과 기술 원리는 동일하기에 여기서는 더 이상 중복 설명하지 않는다.
상술한 다양한 형태의 프로세스를 사용하여 단계를 재배열, 추가 또는 삭제할 수 있다는 것을 이해하여야 한다. 예를 들어, 본발 출원에 기재된 각 단계는 병열로 수행될 수 있고 순차적으로 수행될 수도 있고 서로 다른 순서로 수행될 수도 있으며, 본 출원에 개시된 기술적 해결수단이 원하는 결과를 얻을 수만 있다면, 본문에서는 여기서 한정하지 않는다.
상술한 구체적인 실시형태는, 본 출원의 보호범위에 대한 한정이 아니다. 본 분야의 통상의 지식을 가진 자라면, 설계 수요와 기타 요소를 기초로, 다양한 수정, 조합, 서브 조합 및 대체를 가할 수 있음을 이해하여야 한다. 본 출원의 정신과 원칙 내에서 이루어진 모든 수정, 동등한 치환 등은 모두 본 출원의 보호 범위 내에 포함되어야 한다.

Claims (30)

  1. 네트워크 공격 방어 방법에 있어서, 상기 방법은,
    브라우저가 액세스 요청을 개시한 것이 확정될 때, 브라우저가 개시한 도메인 네임 해석 요청을 검출하되, 여기서, 상기 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이고, 상기 도메인 네임 해석 요청에는 상기 액세스될 플랫폼의 도메인 네임이 포함되는 단계;
    상기 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭될 때, 상기 액세스 요청을 차단하되, 여기서, 상기 공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시하기 위한 것인 단계를 포함하는 방법.
  2. 제1항에 있어서, 상기 액세스 요청을 차단하는 단계 후에,
    상기 액세스 요청을 보안 서버에 발송하되, 여기서, 상기 액세스 요청에는 상기 액세스될 플랫폼의 도메인 네임을 포함하는 단계;
    상기 보안 서버에서 발송한 검출 정보를 수신하되, 여기서, 상기 검출 정보는 상기 액세스될 플랫폼의 도메인 네임과 상기 보안 서버의 상기 공격 플랫폼 특징 라이브러리의 매칭을 지시하기 위한 것인 단계;
    상기 검출 정보를 기초로, 공격 주입점 위치를 검출하되, 여기서, 상기 공격 주입점 위치는 공격 플랫폼의 링크 정보의 위치를 지시하기 위한 것인 단계;
    상기 공격 주입점 위치를 상기 보안 서버에 발송하여 처리하는 단계를 포함하는 방법.
  3. 제2항에 있어서, 상기 액세스 요청은 지시 정보를 더 포함하고, 상기 지시 정보는 상기 액세스 요청의 소스를 위한 것이고; 상기 검출 정보는 또한 상기 액세스 요청의 도메인 네임이 사용자가 입력한 것이 아님을 지시하기 위한 것인 방법.
  4. 제2항 또는 제3항에 있어서, 공격 주입점 위치를 검출하는 상기 단계는,
    링크 정보 집합에 따라, 웹페이지의 문서 객체 모델 트리에서 공격 플랫폼의 링크 정보가 검색되면, 공격 주입점 위치를 생성하는 단계를 포함하고;
    여기서, 상기 링크 정보 집합에는 적어도 하나의 공격 플랫폼의 링크 정보가 포함되고, 상기 문서 객체 모델 트리에는 적어도 하나의 플랫폼의 링크 정보가 포함되는 방법.
  5. 제4항에 있어서, 상기 링크 정보는 플랫폼의 유니폼 리소스 로케이터를 포함하는 방법.
  6. 제5항에 있어서, 상기 공격 주입점 위치는 구체적으로 상기 웹페이지의 문서 객체 모델 트리에서의 공격 플랫폼의 유니폼 리소스 로케이터의 위치를 지시하기 위한 것인 방법.
  7. 제2항 내지 제6항 중 임의의 한 항에 있어서, 상기 검출 정보는 또한 공격 주입점 위치의 검출을 수행하는 스크립트 코드를 지시하기 위한 것인 방법.
  8. 제2항 내지 제7항 중 임의의 한 항에 있어서, 상기 보안 서버에서 발송한 검출 정보를 수신하는 단계 후에,
    팝업창 인터페이스를 디스플레이하되, 여기서, 상기 팝업창 인터페이스에 알림 정보가 있고, 상기 알림 정보는 공격 플랫폼의 공격을 받았다는 것을 표시하기 위한 것인 단계를 더 포함하는 방법.
  9. 제2항 내지 제8항 중 임의의 한 항에 있어서, 상기 액세스 요청을 보안 서버에 발송하는 단계 전에,
    상기 보안 서버의 액세스 주소를 획득하되, 여기서, 상기 액세스 주소는 도메인 네임 시스템 서버로부터 획득된 것이거나, 또는 상기 액세스 주소는 로컬에 저장된 것인 단계;
    상기 액세스 주소에 따라 상기 보안 서버와 연결을 구축하는 단계를 더 포함하는 방법.
  10. 제2항 내지 제9항 중 임의의 한 항에 있어서, 상기 공격 주입점 위치를 상기 보안 서버에 발송하여 처리하는 단계 후에,
    상기 공격 주입점 위치에 대응되는 링크 정보를 삭제하는 단계;
    또는 상기 보안 서버에서 발송한 삭제 명령을 수신하고, 상기 삭제 명령에 따라 상기 공격 주입점 위치에 대응되는 링크 정보를 삭제하는 단계를 더 포함하는 방법.
  11. 제1항 내지 제10항 중 임의의 한 항에 있어서, 상기 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭될 때, 상기 액세스 요청을 차단하는 단계는,
    도메인 네임 시스템 서버에 상기 도메인 네임 해석 요청을 발송하되, 여기서, 상기 도메인 네임 시스템 서버에는 상기 공격 플랫폼 특징 라이브러리가 배치되어 있는 단계;
    상기 도메인 네임 시스템 서버에서 발송한 처리 결과를 수신하되, 여기서, 상기 처리 결과는 상기 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리의 매칭을 표시하는 단계;
    상기 처리 결과에 따라, 상기 액세스 요청을 차단하는 단계를 포함하는 방법.
  12. 제1항 내지 제10항 중 임의의 한 항에 있어서, 상기 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭될 때, 상기 액세스 요청을 차단하는 단계는,
    로컬에 미리 저장된 공격 플랫폼 특징 라이브러리에 상기 액세스될 플랫폼의 도메인 네임이 있는 것으로 확정될 때, 상기 액세스될 플랫폼의 도메인 네임과 상기 공격 플랫폼 특징 라이브러리가 매칭되는 것으로 확정하고, 상기 액세스 요청을 차단하는 단계를 포함하는 방법.
  13. 네트워크 공격 방어 장치에 있어서,
    브라우저가 액세스 요청을 개시한 것이 확정될 때, 브라우저가 개시한 도메인 네임 해석 요청을 검출하되, 여기서, 상기 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이고, 상기 도메인 네임 해석 요청에는 상기 액세스될 플랫폼의 도메인 네임이 포함되는 검출유닛;
    상기 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭될 때, 상기 액세스 요청을 차단하되, 여기서, 상기 공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시하기 위한 것인 차단유닛을 포함하는 장치.
  14. 제13항에 있어서, 상기 장치는,
    상기 차단유닛이 상기 액세스 요청을 차단한 후, 상기 액세스 요청을 보안 서버에 발송하되, 여기서, 상기 액세스 요청에는 상기 액세스될 플랫폼의 도메인 네임을 포함하는 제1 송신유닛;
    상기 보안 서버에서 발송한 검출 정보를 수신하되, 여기서, 상기 검출 정보는 상기 액세스될 플랫폼의 도메인 네임과 상기 보안 서버 중의 상기 공격 플랫폼 특징 라이브러리의 매칭을 지시하기 위한 것인 수신유닛;
    상기 검출 정보를 기초로, 공격 주입점 위치를 검출하되, 여기서, 상기 공격 주입점 위치는 공격 플랫폼의 링크 정보의 위치를 지시하기 위한 것인 확정유닛;
    상기 공격 주입점 위치를 상기 보안 서버에 발송하여 처리하는 제2 송신유닛을 더 포함하는 장치.
  15. 제14항에 있어서, 상기 액세스 요청은 지시 정보를 더 포함하고, 상기 지시 정보는 상기 액세스 요청의 소스를 위한 것이고; 상기 검출 정보는 또한 상기 액세스 요청의 도메인 네임이 사용자가 입력한 것이 아님을 지시하기 위한 것인 장치.
  16. 제14항 또는 제15항에 있어서, 상기 확정유닛은 구체적으로,
    링크 정보 집합에 따라, 웹페이지의 문서 객체 모델 트리에서 공격 플랫폼의 링크 정보가 검색되면, 공격 주입점 위치를 생성하고;
    여기서, 상기 링크 정보 집합에는 적어도 하나의 공격 플랫폼의 링크 정보가 포함되고, 상기 문서 객체 모델 트리에는 적어도 하나의 플랫폼의 링크 정보가 포함되는 장치.
  17. 제16항에 있어서, 상기 링크 정보는 플랫폼의 유니폼 리소스 로케이터를 포함하는 장치.
  18. 제17항에 있어서, 상기 공격 주입점 위치는 구체적으로 상기 웹페이지의 문서 객체 모델 트리에서의 공격 플랫폼의 유니폼 리소스 로케이터의 위치를 지시하기 위한 것인 장치.
  19. 제14항 내지 제18항 중 임의의 한 항에 있어서, 상기 검출 정보는 또한 공격 주입점 위치의 검출을 수행하는 스크립트 코드를 지시하기 위한 것인 장치.
  20. 제14항 내지 제19항 중 임의의 한 항에 있어서, 상기 장치는,
    상기 수신유닛이 상기 보안 서버에서 발송한 검출 정보를 수신한 후, 팝업창 인터페이스를 디스플레이하되, 여기서, 상기 팝업창 인터페이스에 알림 정보가 있고, 상기 알림 정보는 공격 플랫폼의 공격을 받았다는 것을 표시하기 위한 것인 디스플레이 유닛을 더 포함하는 장치.
  21. 제14항 내지 제20항 중 임의의 한 항에 있어서, 상기 장치는,
    상기 제1 송신유닛이 상기 액세스 요청을 보안 서버에 발송한 후, 상기 보안 서버의 액세스 주소를 획득하되, 여기서, 상기 액세스 주소는 도메인 네임 시스템 서버로부터 획득된 것이거나, 또는 상기 액세스 주소는 로컬에 저장된 것인 획득유닛;
    상기 액세스 주소에 따라 상기 보안 서버와 연결을 구축하는 연결유닛을 더 포함하는 장치.
  22. 제14항 내지 제21항 중 임의의 한 항에 있어서, 상기 장치는,
    상기 제2 송신유닛이 상기 공격 주입점 위치를 상기 보안 서버에 발송하여 처리한 후에, 상기 공격 주입점 위치에 대응되는 링크 정보를 삭제하는 제1 삭제유닛;
    또는, 상기 제2 송신유닛이 상기 공격 주입점 위치를 상기 보안 서버에 발송하여 처리한 후, 상기 보안 서버에서 발송한 삭제 명령을 수신하고, 상기 삭제 명령에 따라 상기 공격 주입점 위치에 대응되는 링크 정보를 삭제하는 제2 삭제유닛을 더 포함하는 장치.
  23. 제13항 내지 제22항 중 임의의 한 항에 있어서, 상기 차단유닛은,
    도메인 네임 시스템 서버에 상기 도메인 네임 해석 요청을 발송하되, 여기서, 상기 도메인 네임 시스템 서버에는 상기 공격 플랫폼 특징 라이브러리가 배치되어 있는 송신모듈;
    상기 도메인 네임 시스템 서버에서 발송한 처리 결과를 수신하되, 여기서, 상기 처리 결과는 상기 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리의 매칭을 표시하는 수신모듈;
    상기 처리 결과에 따라, 상기 액세스 요청을 차단하는 차단모듈을 포함하는 장치.
  24. 제13항 내지 제22항 중 임의의 한 항에 있어서, 상기 차단유닛은 구체적으로,
    로컬에 미리 저장된 공격 플랫폼 특징 라이브러리에 상기 액세스될 플랫폼의 도메인 네임이 있는 것으로 확정될 때, 상기 액세스될 플랫폼의 도메인 네임과 상기 공격 플랫폼 특징 라이브러리가 매칭되는 것으로 확정하고, 상기 액세스 요청을 차단하는 장치.
  25. 적어도 하나의 프로세서; 및
    상기 적어도 하나의 프로세서와 통신 연결되는 메모리;를 포함하고, 여기서,
    상기 메모리에는 상기 적어도 하나의 프로세서에 의해 실행될 수 있는 명령이 저장되고, 상기 명령이 상기 적어도 하나의 프로세서에 의해 실행되어, 상기 적어도 하나의 프로세서가 제1항 내지 제12항 중 임의의 한 항에 따른 방법을 수행할 수 있도록 하는 전가 기기.
  26. 컴퓨터 명령이 저장된 비일시적 컴퓨터 판독 가능 저장매체에 있어서,
    상기 컴퓨터 명령은 상기 컴퓨터가 제1항 내지 제12항 중 임의의 한 항에 따른 방법을 수행하도록 하는 비일시적 컴퓨터 판독 가능 저장매체.
  27. 네트워크 공격 방어 시스템에 있어서, 상기 시스템은 제 25항에 따른 전자기기와 도메인 네임 시스템 서버를 포함하고;
    상기 전자기기는, 브라우저가 액세스 요청을 개시한 것이 확정될 때, 브라우저가 개시한 도메인 네임 해석 요청을 검출하되, 여기서, 상기 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이고, 상기 도메인 네임 해석 요청에는 상기 액세스될 플랫폼의 도메인 네임이 포함되고, 도메인 네임 시스템 서버에 상기 도메인 네임 해석 요청을 발송하며;
    상기 도메인 네임 시스템 서버는, 상기 도메인 네임 해석 요청에 따라, 처리 결과를 생성하되, 여기서, 상기 처리 결과는 상기 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리의 매칭을 표시하고, 상기 도메인 네임 시스템 서버에는 상기 공격 플랫폼 특징 라이브러리가 배치되어 있고;
    상기 전자기기는 또한, 상기 도메인 네임 시스템 서버에서 발송한 상기 처리 결과를 수신하고, 상기 처리 결과에 따라, 상기 액세스 요청을 차단하는 네트워크 공격 방어 시스템.
  28. 제27항에 있어서, 상기 네트워크 공격 방어 시스템은 보안 서버를 더 포함하며;
    상기 보안 서버는, 상기 전자기기에서 발송한 상기 액세스 요청을 수신하되, 여기서, 상기 액세스 요청에는 상기 액세스될 플랫폼의 도메인 네임을 포함하고; 상기 액세스 요청에 따라, 검출 정보를 생성하고, 여기서, 상기 검출 정보는 상기 액세스될 플랫폼의 도메인 네임과 상기 보안 서버 중의 상기 공격 플랫폼 특징 라이브러리의 매칭을 지시하기 위한 것이고, 상기 검출 정보는 공격 주입점 위치를 확정하기 위한 것이고, 여기서, 상기 공격 주입점 위치는 공격 플랫폼의 링크 정보의 위치를 지시하기 위한 것이고; 상기 검출 정보를 상기 전자기기에 발송하고; 상기 전자기기에서 발송한 공격 주입점 위치를 수신하고, 상기 공격 주입점 위치에 대해 처리하는 네트워크 공격 방어 시스템.
  29. 브라우저가 액세스 요청을 개시한 것이 확정될 때, 브라우저가 개시한 도메인 네임 해석 요청을 검출하되, 여기서, 상기 액세스 요청은 액세스될 플랫폼을 액세스할 것을 지시하기 위한 것이고, 상기 도메인 네임 해석 요청에는 상기 액세스될 플랫폼의 도메인 네임이 포함되는 단계;
    상기 액세스될 플랫폼의 도메인 네임과 기설정된 공격 플랫폼 특징 라이브러리가 매칭될 때, 공격 방어 처리를 수행하되, 여기서, 상기 공격 플랫폼 특징 라이브러리는 적어도 하나의 공격 플랫폼의 도메인 네임을 지시하기 위한 것인 단계를 포함하는 네트워크 공격 방어 방법.
  30. 컴퓨터 프로그램에 있어서, 프로그램 코드를 포함하고, 컴퓨터가 상기 컴퓨터 프로그램을 실행할 때, 상기 프로그램 코드는 제1항 내지 제12항 또는 제29항 중 임의의 한 항에 따른 방법을 실행하는 컴퓨터 프로그램.
KR1020217012030A 2020-04-22 2020-09-24 네트워크 공격 방어 방법, 장치, 기기, 시스템과 저장매체 KR20210054580A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN202010323534 2020-04-22
CN202010323534.3 2020-04-22
PCT/CN2020/117457 WO2021212739A1 (zh) 2020-04-22 2020-09-24 网络攻击的防御方法、装置、设备、***和存储介质

Publications (1)

Publication Number Publication Date
KR20210054580A true KR20210054580A (ko) 2021-05-13

Family

ID=75919649

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020217012030A KR20210054580A (ko) 2020-04-22 2020-09-24 네트워크 공격 방어 방법, 장치, 기기, 시스템과 저장매체

Country Status (4)

Country Link
US (1) US20210250375A1 (ko)
EP (1) EP3926918A4 (ko)
JP (1) JP2022532964A (ko)
KR (1) KR20210054580A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113965366A (zh) * 2021-10-15 2022-01-21 杭州安恒信息技术股份有限公司 反向代理钓鱼攻击的防御方法、***和计算机设备
CN114697397A (zh) * 2022-02-24 2022-07-01 阿里巴巴(中国)有限公司 一种域名访问方法、装置、电子设备及计算机存储介质

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113676479A (zh) * 2021-08-20 2021-11-19 云盾智慧安全科技有限公司 数据防御方法、防御设备、终端设备及可读存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2179532B1 (en) * 2007-08-06 2019-07-10 Bernard De Monseignat System and method for authentication, data transfer, and protection against phishing
US20110185428A1 (en) * 2010-01-27 2011-07-28 Mcafee, Inc. Method and system for protection against unknown malicious activities observed by applications downloaded from pre-classified domains
US11095682B1 (en) * 2016-08-26 2021-08-17 Palo Alto Networks, Inc. Mitigating phishing attempts
US11368486B2 (en) * 2019-03-12 2022-06-21 Fortinet, Inc. Determining a risk probability of a URL using machine learning of URL segments

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113965366A (zh) * 2021-10-15 2022-01-21 杭州安恒信息技术股份有限公司 反向代理钓鱼攻击的防御方法、***和计算机设备
CN113965366B (zh) * 2021-10-15 2024-04-09 杭州安恒信息技术股份有限公司 反向代理钓鱼攻击的防御方法、***和计算机设备
CN114697397A (zh) * 2022-02-24 2022-07-01 阿里巴巴(中国)有限公司 一种域名访问方法、装置、电子设备及计算机存储介质
CN114697397B (zh) * 2022-02-24 2024-06-07 阿里巴巴(中国)有限公司 一种域名访问方法、装置、电子设备及计算机存储介质

Also Published As

Publication number Publication date
EP3926918A1 (en) 2021-12-22
JP2022532964A (ja) 2022-07-21
US20210250375A1 (en) 2021-08-12
EP3926918A4 (en) 2022-06-22

Similar Documents

Publication Publication Date Title
US10341380B2 (en) Detecting man-in-the-browser attacks
EP3295647B1 (en) Malware warning
US9860270B2 (en) System and method for determining web pages modified with malicious code
KR20210054580A (ko) 네트워크 공격 방어 방법, 장치, 기기, 시스템과 저장매체
US9349007B2 (en) Web malware blocking through parallel resource rendering
US11824878B2 (en) Malware detection at endpoint devices
US20140283078A1 (en) Scanning and filtering of hosted content
US10778687B2 (en) Tracking and whitelisting third-party domains
JP2014203464A (ja) クライアントベースローカルマルウェア検出方法
US10574721B2 (en) Systems and methods for an automatic fresh browser instance for accessing internet content
US10198575B2 (en) Auto-sandboxing website or parts of website in browser to protect user privacy and security
Bao et al. Cross-site scripting attacks on android hybrid applications
EP3518135B1 (en) Protection against third party javascript vulnerabilities
US20160226888A1 (en) Web malware blocking through parallel resource rendering
US9443076B2 (en) Protection of user application setting from third party changes
WO2021212739A1 (zh) 网络攻击的防御方法、装置、设备、***和存储介质
US11128639B2 (en) Dynamic injection or modification of headers to provide intelligence
Satish et al. Web browser security: different attacks detection and prevention techniques
CN102932353A (zh) 一种防止恶意攻击的方法和设备
US20230216885A1 (en) Techniques for protecting web-browsers against cross-site scripting exploitation attacks
Rongzhou et al. Web protection scheme based on a cloud computing platform
US20210084055A1 (en) Restricted web browser mode for suspicious websites
Hidhaya et al. Supplementary event-listener injection attack in smart phones
CN114598546B (zh) 应用防御方法、装置、设备、介质和程序产品
US11997135B2 (en) Systems and methods for protection against theft of user credentials

Legal Events

Date Code Title Description
WITB Written withdrawal of application