針對(duì)利用域前置技術(shù)實(shí)現(xiàn)惡意攻擊的檢測(cè)方法及系統(tǒng)

基本信息

申請(qǐng)?zhí)?/td> CN201711419692.3 申請(qǐng)日 -
公開(公告)號(hào) CN109474568B 公開(公告)日 2021-09-28
申請(qǐng)公布號(hào) CN109474568B 申請(qǐng)公布日 2021-09-28
分類號(hào) H04L29/06(2006.01)I 分類 電通信技術(shù);
發(fā)明人 邢寶玉;李柏松;王小豐 申請(qǐng)(專利權(quán))人 北京安天網(wǎng)絡(luò)安全技術(shù)有限公司
代理機(jī)構(gòu) - 代理人 -
地址 100195北京市海淀區(qū)閔莊路3號(hào)清華科技園玉泉慧谷一期1號(hào)樓
法律狀態(tài) -

摘要

摘要 本發(fā)明提出一種針對(duì)利用域前置技術(shù)實(shí)現(xiàn)惡意攻擊的檢測(cè)方法及系統(tǒng),所述方法通過設(shè)置終端TLS協(xié)議數(shù)據(jù)報(bào)文過濾條件,對(duì)數(shù)據(jù)流進(jìn)行監(jiān)控,獲得進(jìn)程PID信息和SNI信息;利用鉤子程序?qū)μ囟ㄟM(jìn)程的流量進(jìn)行監(jiān)控,并提取構(gòu)造的HTTP報(bào)文數(shù)據(jù)的HOST消息,將HOST字段與SNI字段比較,如果返回值為真,則恢復(fù)所述進(jìn)程,否則阻斷該進(jìn)程并發(fā)出告警信息。本發(fā)明還給出對(duì)應(yīng)系統(tǒng)。通過本發(fā)明的技術(shù)方案可以提供在終端的檢測(cè),避免由于使用HTTPS加密數(shù)據(jù)而難以檢測(cè)惡意流量信息。