針對利用域前置技術(shù)實現(xiàn)惡意攻擊的檢測方法及系統(tǒng)

基本信息

申請?zhí)?/td> CN201711419692.3 申請日 -
公開(公告)號 CN109474568B 公開(公告)日 2021-09-28
申請公布號 CN109474568B 申請公布日 2021-09-28
分類號 H04L29/06(2006.01)I 分類 電通信技術(shù);
發(fā)明人 邢寶玉;李柏松;王小豐 申請(專利權(quán))人 北京安天網(wǎng)絡(luò)安全技術(shù)有限公司
代理機構(gòu) - 代理人 -
地址 100195北京市海淀區(qū)閔莊路3號清華科技園玉泉慧谷一期1號樓
法律狀態(tài) -

摘要

摘要 本發(fā)明提出一種針對利用域前置技術(shù)實現(xiàn)惡意攻擊的檢測方法及系統(tǒng),所述方法通過設(shè)置終端TLS協(xié)議數(shù)據(jù)報文過濾條件,對數(shù)據(jù)流進行監(jiān)控,獲得進程PID信息和SNI信息;利用鉤子程序?qū)μ囟ㄟM程的流量進行監(jiān)控,并提取構(gòu)造的HTTP報文數(shù)據(jù)的HOST消息,將HOST字段與SNI字段比較,如果返回值為真,則恢復(fù)所述進程,否則阻斷該進程并發(fā)出告警信息。本發(fā)明還給出對應(yīng)系統(tǒng)。通過本發(fā)明的技術(shù)方案可以提供在終端的檢測,避免由于使用HTTPS加密數(shù)據(jù)而難以檢測惡意流量信息。