本發(fā)明涉及計算網(wǎng)絡安全技術領域，特別涉及一種防止惡意安全檢測活動的監(jiān)控方法及裝置。

背景技術：

甲方同意乙方開展針對甲方互聯(lián)網(wǎng)站點的安全檢測，并簽訂了協(xié)議，視為甲方向乙方授權，經(jīng)過授權的安全檢測活動是發(fā)現(xiàn)應用安全問題的主要手段，但非授權的安全檢測活動就會演變成惡意攻擊行為。在針對B/S應用進行安全檢測時，有一類通過代理方式攔截、修改http/https請求的方法，是當前安全檢測最常用的方法之一。在這一方法下，通過修改客戶端web瀏覽器的代理配置，致使客戶端產(chǎn)生的所有流量都被代理到指定的代理服務器。代理服務器在接收到客戶端的請求之后，通過監(jiān)聽、修改等手段控制客戶端請求，待達到目的之后，再發(fā)送給web服務器。web服務器根據(jù)提交過來的請求做出響應，響應數(shù)據(jù)發(fā)送給代理服務器，代理服務器在接收到真正服務器的響應之后，通過監(jiān)聽、修改等手段控制響應，待達到目的之后，再發(fā)送給客戶端。以上被視為一次安全檢測活動。從應用安全防護角度考慮，及時發(fā)現(xiàn)并阻斷惡意的安全檢測活動是一種有效手段。

目前業(yè)界發(fā)現(xiàn)并阻斷惡意安全檢測活動的方法主要是從web服務器一側考慮，這樣給web服務器一側造成很大的壓力，并且不能盡快發(fā)現(xiàn)惡意攻擊行為。

技術實現(xiàn)要素：

為解決現(xiàn)有技術的問題，本發(fā)明提出一種防止惡意安全檢測活動的監(jiān)控方法及裝置，本技術方案從客戶端檢測是否設置了本地代理，作為客戶端是否正在進行安全檢測活動的一個判斷條件，并據(jù)此做出告警提示或斷開網(wǎng)絡的處理動作。

為實現(xiàn)上述目的，本發(fā)明提供了一種防止惡意安全檢測活動的監(jiān)控方法，包括：

配置參數(shù)，確定監(jiān)控對象；

向所述監(jiān)控對象發(fā)送監(jiān)測網(wǎng)卡活動狀態(tài)的指令，直至發(fā)現(xiàn)活動網(wǎng)卡；

判斷網(wǎng)卡處于活動狀態(tài)的客戶端是否配置了本地代理，如果網(wǎng)卡處于活動狀態(tài)的客戶端配置了本地代理，則將網(wǎng)卡處于活動狀態(tài)且配置了本地代理的客戶端的地址信息寫入臨時文件中，并產(chǎn)生請?zhí)幚淼耐ㄖ噶睿?/p>

根據(jù)所述請?zhí)幚淼耐ㄖ噶?，讀取所述臨時文件，確定處理對象；

向所述處理對象發(fā)送禁用客戶端活動網(wǎng)卡的指令。

優(yōu)選地，還包括：

向所述處理對象發(fā)送禁用客戶端活動網(wǎng)卡的指令的同時，向所述處理對象發(fā)送文字提示“客戶端已設置本地代理，請取消后再啟用網(wǎng)卡使用”。

優(yōu)選地，還包括：

如果網(wǎng)卡處于活動狀態(tài)的客戶端沒有配置本地代理，則繼續(xù)向所述監(jiān)控對象發(fā)送監(jiān)測網(wǎng)卡活動狀態(tài)的指令。

優(yōu)選地，所述參數(shù)為某個客戶端的地址信息。

為實現(xiàn)上述目的，本發(fā)明還提供了一種防止惡意安全檢測活動的監(jiān)控裝置，包括：

配置文件模塊，用于配置參數(shù)，確定監(jiān)控對象；

指令發(fā)送模塊，用于向所述監(jiān)控對象發(fā)送監(jiān)測網(wǎng)卡活動狀態(tài)的指令，直至發(fā)現(xiàn)活動網(wǎng)卡；

臨時文件產(chǎn)生模塊，用于判斷網(wǎng)卡處于活動狀態(tài)的客戶端是否配置了本地代理，如果網(wǎng)卡處于活動狀態(tài)的客戶端配置了本地代理，則將網(wǎng)卡處于活動狀態(tài)且配置了本地代理的客戶端的地址信息寫入臨時文件中，并產(chǎn)生請?zhí)幚淼耐ㄖ噶睿?/p>

臨時文件讀取模塊，用于根據(jù)所述請?zhí)幚淼耐ㄖ噶?，讀取所述臨時文件，確定處理對象；

第一監(jiān)控指令發(fā)送模塊，用于向所述處理對象發(fā)送禁用客戶端活動網(wǎng)卡的指令。

優(yōu)選地，還包括：

第二監(jiān)控指令發(fā)送模塊，用于向所述處理對象發(fā)送禁用客戶端活動網(wǎng)卡的指令的同時，向所述處理對象發(fā)送文字提示“客戶端已設置本地代理，請取消后再啟用網(wǎng)卡使用”。

優(yōu)選地，所述指令發(fā)送模塊還用于如果網(wǎng)卡處于活動狀態(tài)的客戶端沒有配置本地代理，則繼續(xù)向所述監(jiān)控對象發(fā)送監(jiān)測網(wǎng)卡活動狀態(tài)的指令。

優(yōu)選地，所述配置文件模塊配置的參數(shù)為某個客戶端的地址信息。

上述技術方案具有如下有益效果：

1、能夠從客戶端這一源頭上限制惡意安全檢測活動，實現(xiàn)了同一局域網(wǎng)下安全檢測活動的實時監(jiān)控及阻斷。

2、能夠有效限制了一類安全檢測工具的使用，從而減少惡意攻擊行為。

3、緩解了web服務器的通信壓力，并且能盡快發(fā)現(xiàn)惡意攻擊行為。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案，下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為客戶端未設置代理時的B/S架構圖；

圖2為客戶端設置代理時的B/S架構圖；

圖3為本發(fā)明實施例提出一種防止惡意安全檢測活動的監(jiān)控方法流程圖；

圖4為本發(fā)明實施例提出一種防止惡意安全檢測活動的監(jiān)控裝置框圖之一；

圖5為本發(fā)明實施例提出一種防止惡意安全檢測活動的監(jiān)控裝置框圖之二；

圖6為本實施例的監(jiān)控裝置結構示意圖；

圖7為本實施例的監(jiān)控裝置中監(jiān)測單元的內(nèi)部結構示意圖；

圖8為本實施例的監(jiān)控裝置中處理單元的內(nèi)部結構示意圖；

圖9為本實施例的監(jiān)控裝置的方案圖；

圖10為本實施例的監(jiān)控裝置的工作流程圖。

具體實施方式

下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

1、術語說明

客戶端：在B/S架構中，發(fā)送http/https請求、顯示http/https響應的一方。

web服務器：在B/S架構中，處理http/https請求、返回http/https響應的一方。

代理服務器：在B/S架構中，處于客戶端和web服務器之間，能夠代理發(fā)送客戶端請求、代理接收web服務器響應的一方。

2、方案架構

如圖1所示，為客戶端未設置代理時的B/S架構圖。圖1展示了未設置代理服務器的情況下，客戶端與web服務器之間的請求/響應關系。圖2展示了設置了代理服務器的情況下，客戶端與代理服務器之間、代理服務器與web服務器之間的請求/響應關系。

代理監(jiān)控裝置通過內(nèi)置網(wǎng)卡，以有線接入或無線局域網(wǎng)接入的方式，與客戶端置于同一局域網(wǎng)中，且網(wǎng)絡可達。代理監(jiān)控裝置包括代理監(jiān)測模塊和處理模塊，可通過配置文件參數(shù)自定義的方式，設定代理監(jiān)控裝置監(jiān)控的客戶端的地址信息，如指定某客戶端的一個具體ip，或指定某一ip段。其基本工作原理是監(jiān)控客戶端本地代理設置情況，一旦發(fā)現(xiàn)，就進行阻斷處理。

在本技術方案中，本地代理是指客戶端所設置代理的ip地址為客戶端活動網(wǎng)卡的ip，或值為“127.0.0.1”的ip。非本地代理是指除本地代理之外的其他代理設置方式，如客戶端所設置代理的ip地址為局域網(wǎng)下另一臺客戶端的ip。

本技術方案適用于客戶端無需設置代理或需要設置非本地代理，即能夠滿足互聯(lián)網(wǎng)接入需求的局域網(wǎng)環(huán)境，不適用于客戶端必須設置本地代理才能滿足互聯(lián)網(wǎng)接入需求的局域網(wǎng)環(huán)境。不適用的場景舉例：客戶端上安裝了代理軟件，這時候需要打開代理軟件，并將客戶端代理服務器地址設置為“127.0.0.1”才能滿足互聯(lián)網(wǎng)接入需求。

基于上述描述，本發(fā)明實施例提出一種防止惡意安全檢測活動的監(jiān)控方法，如圖3所示。包括：

步驟301)：配置參數(shù)，確定監(jiān)控對象；

具體地，所述參數(shù)為某個客戶端的地址信息。

步驟302)：向所述監(jiān)控對象發(fā)送監(jiān)測網(wǎng)卡活動狀態(tài)的指令，直至發(fā)現(xiàn)活動網(wǎng)卡；

步驟303)：判斷網(wǎng)卡處于活動狀態(tài)的客戶端是否配置了本地代理，如果網(wǎng)卡處于活動狀態(tài)的客戶端配置了本地代理，則將網(wǎng)卡處于活動狀態(tài)且配置了本地代理的客戶端的地址信息寫入臨時文件中，并產(chǎn)生請?zhí)幚淼耐ㄖ噶睿?/p>

具體地，還有一種情況為：如果網(wǎng)卡處于活動狀態(tài)的客戶端沒有配置本地代理，則繼續(xù)向所述監(jiān)控對象發(fā)送監(jiān)測網(wǎng)卡活動狀態(tài)的指令。

步驟304)：根據(jù)所述請?zhí)幚淼耐ㄖ噶?，讀取所述臨時文件，確定處理對象；

步驟305)：向所述處理對象發(fā)送禁用客戶端活動網(wǎng)卡的指令。

在步驟305中，向所述處理對象發(fā)送禁用客戶端活動網(wǎng)卡的指令的同時，還可以向所述處理對象發(fā)送文字提示“客戶端已設置本地代理，請取消后再啟用網(wǎng)卡使用”。

本領域普通技術人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程，可以通過計算機程序來指令相關的硬件來完成，所述的程序可存儲于一般計算機可讀取存儲介質中，該程序在執(zhí)行時，可包括如上述各方法的實施例的流程。其中，所述的存儲介質可為磁碟、光盤、只讀存儲記憶體(Read-Only Memory，ROM)或隨機存儲記憶體(Random Access Memory，RAM)等。

基于上述描述，本發(fā)明實施例還提出一種防止惡意安全檢測活動的監(jiān)控裝置，如圖4所示。包括：

配置文件模塊401，用于配置參數(shù)，確定監(jiān)控對象；

具體地，所述配置文件模塊配置的參數(shù)為某個客戶端的地址信息。

指令發(fā)送模塊402，用于向所述監(jiān)控對象發(fā)送監(jiān)測網(wǎng)卡活動狀態(tài)的指令，直至發(fā)現(xiàn)活動網(wǎng)卡；

具體地，指令發(fā)送模塊402還用于如果網(wǎng)卡處于活動狀態(tài)的客戶端沒有配置本地代理，則繼續(xù)向所述監(jiān)控對象發(fā)送監(jiān)測網(wǎng)卡活動狀態(tài)的指令。

臨時文件產(chǎn)生模塊403，用于判斷網(wǎng)卡處于活動狀態(tài)的客戶端是否配置了本地代理，如果網(wǎng)卡處于活動狀態(tài)的客戶端配置了本地代理，則將網(wǎng)卡處于活動狀態(tài)且配置了本地代理的客戶端的地址信息寫入臨時文件中，并產(chǎn)生請?zhí)幚淼耐ㄖ噶睿?/p>

臨時文件讀取模塊404，用于根據(jù)所述請?zhí)幚淼耐ㄖ噶?，讀取所述臨時文件，確定處理對象；

第一監(jiān)控指令發(fā)送模塊405，用于向所述處理對象發(fā)送禁用客戶端活動網(wǎng)卡的指令。

在圖4的基礎上，本發(fā)明實施還提出另一種防止惡意安全檢測活動的監(jiān)控裝置，如圖5所示。還包括：

第二監(jiān)控指令發(fā)送模塊406，用于向所述處理對象發(fā)送禁用客戶端活動網(wǎng)卡的指令的同時，向所述處理對象發(fā)送文字提示“客戶端已設置本地代理，請取消后再啟用網(wǎng)卡使用”。

本領域技術人員還可以了解到本發(fā)明實施例列出的各種功能是通過硬件還是軟件來實現(xiàn)取決于特定的應用和整個系統(tǒng)的設計要求。本領域技術人員可以對于每種特定的應用，可以使用各種方法實現(xiàn)所述的功能，但這種實現(xiàn)不應被理解為超出本發(fā)明實施例保護的范圍。

此外，盡管在上文詳細描述中提及了裝置的若干單元，但是這種劃分僅僅并非強制性的。實際上，根據(jù)本發(fā)明的實施方式，上文描述的兩個或更多單元的特征和功能可以在一個單元中具體化。同樣，上文描述的一個單元的特征和功能也可以進一步劃分為由多個單元來具體化。

實施例1：

如圖6所示，為本實施例的監(jiān)控裝置結構示意圖。在本實施例中，監(jiān)控裝置包括監(jiān)測單元和處理單元兩部分。如圖7所示，為本實施例的監(jiān)控裝置中監(jiān)測單元的內(nèi)部結構示意圖。在同一局域網(wǎng)下，監(jiān)測單元由程序循環(huán)檢測，循環(huán)檢測時間間隔可調節(jié)，考慮到硬件I/O開銷，推薦為1分鐘。

(1)配置文件模塊，用于讀取配置文件，確定監(jiān)測對象；

(2)指令發(fā)送模塊，用于向每一個客戶端發(fā)送監(jiān)測網(wǎng)卡活動狀態(tài)的指令；

(3)臨時文件產(chǎn)生模塊，用于判定網(wǎng)卡處于活動狀態(tài)的客戶端是否配置了本地代理；將網(wǎng)卡處于活動狀態(tài)且配置了本地代理的客戶端的ip寫入一個臨時文件中。

如圖8所示，為本實施例的監(jiān)控裝置中處理單元的內(nèi)部結構示意圖。處理單元中的臨時文件讀取模塊在接收到監(jiān)測單元的通知指令之后，讀取臨時文件，確定處理對象，處理單元中的第一監(jiān)控指令發(fā)送模塊向客戶端發(fā)送禁用客戶端活動網(wǎng)卡的指令，同時，第二監(jiān)控指令發(fā)送模塊向客戶端發(fā)送文字提示：“客戶端已設置本地代理，請取消后再啟用網(wǎng)卡使用”。之后向監(jiān)測單元發(fā)送處理完畢的通知指令，監(jiān)測單元接收到該指令之后，從第一步“循環(huán)檢測客戶端網(wǎng)卡狀態(tài)”繼續(xù)執(zhí)行。

實施例2：

如圖9所示，為本實施例的監(jiān)控裝置的方案圖。如圖10所示，為本實施例的監(jiān)控裝置的工作流程圖。其工作步驟為：

(1)在監(jiān)控模塊上進行參數(shù)配置，確定監(jiān)控對象，如某個客戶端ip，或某個客戶端的ip段，寫入配置文件。

(2)監(jiān)測模塊讀取配置文件，確定監(jiān)測對象。

(3)向檢測對象發(fā)送監(jiān)測網(wǎng)卡活動狀態(tài)的指令，發(fā)現(xiàn)活動網(wǎng)卡則跳轉到下一步，否則本步驟1分鐘一個循環(huán)。

(4)判定網(wǎng)卡處于活動狀態(tài)的客戶端是否配置了本地代理，發(fā)現(xiàn)本地代理則跳轉到下一步，否則跳轉到步驟(3)。

(5)將網(wǎng)卡處于活動狀態(tài)且配置了本地代理的客戶端的ip寫入一個臨時文件中。

(6)向處理模塊發(fā)送請?zhí)幚淼耐ㄖ噶睢?/p>

(7)處理模塊在接收到監(jiān)測模塊的通知指令之后，讀取臨時文件，確定處理對象。

(8)向對象客戶端發(fā)送禁用客戶端活動網(wǎng)卡的指令。

(9)向對象客戶端發(fā)送文字提示：“客戶端已設置本地代理，請取消后再啟用網(wǎng)卡使用”。

(10)向監(jiān)測模塊發(fā)送處理完畢的通知指令。

(11)監(jiān)測模塊接收到該指令之后，跳轉到第(2)步執(zhí)行。

由上述兩個實施例可知，本技術方案從客戶端一側考慮，檢測是否設置了本地代理，作為客戶端是否正在進行安全檢測活動的一個判斷條件，并據(jù)此做出告警提示或斷開網(wǎng)絡的處理動作。這樣大大減輕web服務器一側造成很大的壓力，并且能盡快發(fā)現(xiàn)惡意攻擊行為。

以上所述的具體實施方式，對本發(fā)明的目的、技術方案和有益效果進行了進一步詳細說明，所應理解的是，以上所述僅為本發(fā)明的具體實施方式而已，并不用于限定本發(fā)明的保護范圍，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應包含在本發(fā)明的保護范圍之內(nèi)。