一种防止恶意安全检测活动的监控方法及装置与流程

本发明涉及计算网络安全技术领域，特别涉及一种防止恶意安全检测活动的监控方法及装置。

背景技术：

甲方同意乙方开展针对甲方互联网站点的安全检测，并签订了协议，视为甲方向乙方授权，经过授权的安全检测活动是发现应用安全问题的主要手段，但非授权的安全检测活动就会演变成恶意攻击行为。在针对B/S应用进行安全检测时，有一类通过代理方式拦截、修改http/https请求的方法，是当前安全检测最常用的方法之一。在这一方法下，通过修改客户端web浏览器的代理配置，致使客户端产生的所有流量都被代理到指定的代理服务器。代理服务器在接收到客户端的请求之后，通过监听、修改等手段控制客户端请求，待达到目的之后，再发送给web服务器。web服务器根据提交过来的请求做出响应，响应数据发送给代理服务器，代理服务器在接收到真正服务器的响应之后，通过监听、修改等手段控制响应，待达到目的之后，再发送给客户端。以上被视为一次安全检测活动。从应用安全防护角度考虑，及时发现并阻断恶意的安全检测活动是一种有效手段。

目前业界发现并阻断恶意安全检测活动的方法主要是从web服务器一侧考虑，这样给web服务器一侧造成很大的压力，并且不能尽快发现恶意攻击行为。

技术实现要素：

为解决现有技术的问题，本发明提出一种防止恶意安全检测活动的监控方法及装置，本技术方案从客户端检测是否设置了本地代理，作为客户端是否正在进行安全检测活动的一个判断条件，并据此做出告警提示或断开网络的处理动作。

为实现上述目的，本发明提供了一种防止恶意安全检测活动的监控方法，包括：

配置参数，确定监控对象；

向所述监控对象发送监测网卡活动状态的指令，直至发现活动网卡；

判断网卡处于活动状态的客户端是否配置了本地代理，如果网卡处于活动状态的客户端配置了本地代理，则将网卡处于活动状态且配置了本地代理的客户端的地址信息写入临时文件中，并产生请处理的通知指令；

根据所述请处理的通知指令，读取所述临时文件，确定处理对象；

向所述处理对象发送禁用客户端活动网卡的指令。

优选地，还包括：

向所述处理对象发送禁用客户端活动网卡的指令的同时，向所述处理对象发送文字提示“客户端已设置本地代理，请取消后再启用网卡使用”。

优选地，还包括：

如果网卡处于活动状态的客户端没有配置本地代理，则继续向所述监控对象发送监测网卡活动状态的指令。

优选地，所述参数为某个客户端的地址信息。

为实现上述目的，本发明还提供了一种防止恶意安全检测活动的监控装置，包括：

配置文件模块，用于配置参数，确定监控对象；

指令发送模块，用于向所述监控对象发送监测网卡活动状态的指令，直至发现活动网卡；

临时文件产生模块，用于判断网卡处于活动状态的客户端是否配置了本地代理，如果网卡处于活动状态的客户端配置了本地代理，则将网卡处于活动状态且配置了本地代理的客户端的地址信息写入临时文件中，并产生请处理的通知指令；

临时文件读取模块，用于根据所述请处理的通知指令，读取所述临时文件，确定处理对象；

第一监控指令发送模块，用于向所述处理对象发送禁用客户端活动网卡的指令。

优选地，还包括：

第二监控指令发送模块，用于向所述处理对象发送禁用客户端活动网卡的指令的同时，向所述处理对象发送文字提示“客户端已设置本地代理，请取消后再启用网卡使用”。

优选地，所述指令发送模块还用于如果网卡处于活动状态的客户端没有配置本地代理，则继续向所述监控对象发送监测网卡活动状态的指令。

优选地，所述配置文件模块配置的参数为某个客户端的地址信息。

上述技术方案具有如下有益效果：

1、能够从客户端这一源头上限制恶意安全检测活动，实现了同一局域网下安全检测活动的实时监控及阻断。

2、能够有效限制了一类安全检测工具的使用，从而减少恶意攻击行为。

3、缓解了web服务器的通信压力，并且能尽快发现恶意攻击行为。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为客户端未设置代理时的B/S架构图；

图2为客户端设置代理时的B/S架构图；

图3为本发明实施例提出一种防止恶意安全检测活动的监控方法流程图；

图4为本发明实施例提出一种防止恶意安全检测活动的监控装置框图之一；

图5为本发明实施例提出一种防止恶意安全检测活动的监控装置框图之二；

图6为本实施例的监控装置结构示意图；

图7为本实施例的监控装置中监测单元的内部结构示意图；

图8为本实施例的监控装置中处理单元的内部结构示意图；

图9为本实施例的监控装置的方案图；

图10为本实施例的监控装置的工作流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

1、术语说明

客户端：在B/S架构中，发送http/https请求、显示http/https响应的一方。

web服务器：在B/S架构中，处理http/https请求、返回http/https响应的一方。

代理服务器：在B/S架构中，处于客户端和web服务器之间，能够代理发送客户端请求、代理接收web服务器响应的一方。

2、方案架构

如图1所示，为客户端未设置代理时的B/S架构图。图1展示了未设置代理服务器的情况下，客户端与web服务器之间的请求/响应关系。图2展示了设置了代理服务器的情况下，客户端与代理服务器之间、代理服务器与web服务器之间的请求/响应关系。

代理监控装置通过内置网卡，以有线接入或无线局域网接入的方式，与客户端置于同一局域网中，且网络可达。代理监控装置包括代理监测模块和处理模块，可通过配置文件参数自定义的方式，设定代理监控装置监控的客户端的地址信息，如指定某客户端的一个具体ip，或指定某一ip段。其基本工作原理是监控客户端本地代理设置情况，一旦发现，就进行阻断处理。

在本技术方案中，本地代理是指客户端所设置代理的ip地址为客户端活动网卡的ip，或值为“127.0.0.1”的ip。非本地代理是指除本地代理之外的其他代理设置方式，如客户端所设置代理的ip地址为局域网下另一台客户端的ip。

本技术方案适用于客户端无需设置代理或需要设置非本地代理，即能够满足互联网接入需求的局域网环境，不适用于客户端必须设置本地代理才能满足互联网接入需求的局域网环境。不适用的场景举例：客户端上安装了代理软件，这时候需要打开代理软件，并将客户端代理服务器地址设置为“127.0.0.1”才能满足互联网接入需求。

基于上述描述，本发明实施例提出一种防止恶意安全检测活动的监控方法，如图3所示。包括：

步骤301)：配置参数，确定监控对象；

具体地，所述参数为某个客户端的地址信息。

步骤302)：向所述监控对象发送监测网卡活动状态的指令，直至发现活动网卡；

步骤303)：判断网卡处于活动状态的客户端是否配置了本地代理，如果网卡处于活动状态的客户端配置了本地代理，则将网卡处于活动状态且配置了本地代理的客户端的地址信息写入临时文件中，并产生请处理的通知指令；

具体地，还有一种情况为：如果网卡处于活动状态的客户端没有配置本地代理，则继续向所述监控对象发送监测网卡活动状态的指令。

步骤304)：根据所述请处理的通知指令，读取所述临时文件，确定处理对象；

步骤305)：向所述处理对象发送禁用客户端活动网卡的指令。

在步骤305中，向所述处理对象发送禁用客户端活动网卡的指令的同时，还可以向所述处理对象发送文字提示“客户端已设置本地代理，请取消后再启用网卡使用”。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一般计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

基于上述描述，本发明实施例还提出一种防止恶意安全检测活动的监控装置，如图4所示。包括：

配置文件模块401，用于配置参数，确定监控对象；

具体地，所述配置文件模块配置的参数为某个客户端的地址信息。

指令发送模块402，用于向所述监控对象发送监测网卡活动状态的指令，直至发现活动网卡；

具体地，指令发送模块402还用于如果网卡处于活动状态的客户端没有配置本地代理，则继续向所述监控对象发送监测网卡活动状态的指令。

临时文件产生模块403，用于判断网卡处于活动状态的客户端是否配置了本地代理，如果网卡处于活动状态的客户端配置了本地代理，则将网卡处于活动状态且配置了本地代理的客户端的地址信息写入临时文件中，并产生请处理的通知指令；

临时文件读取模块404，用于根据所述请处理的通知指令，读取所述临时文件，确定处理对象；

第一监控指令发送模块405，用于向所述处理对象发送禁用客户端活动网卡的指令。

在图4的基础上，本发明实施还提出另一种防止恶意安全检测活动的监控装置，如图5所示。还包括：

第二监控指令发送模块406，用于向所述处理对象发送禁用客户端活动网卡的指令的同时，向所述处理对象发送文字提示“客户端已设置本地代理，请取消后再启用网卡使用”。

本领域技术人员还可以了解到本发明实施例列出的各种功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本发明实施例保护的范围。

此外，尽管在上文详细描述中提及了装置的若干单元，但是这种划分仅仅并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。同样，上文描述的一个单元的特征和功能也可以进一步划分为由多个单元来具体化。

实施例1：

如图6所示，为本实施例的监控装置结构示意图。在本实施例中，监控装置包括监测单元和处理单元两部分。如图7所示，为本实施例的监控装置中监测单元的内部结构示意图。在同一局域网下，监测单元由程序循环检测，循环检测时间间隔可调节，考虑到硬件I/O开销，推荐为1分钟。

(1)配置文件模块，用于读取配置文件，确定监测对象；

(2)指令发送模块，用于向每一个客户端发送监测网卡活动状态的指令；

(3)临时文件产生模块，用于判定网卡处于活动状态的客户端是否配置了本地代理；将网卡处于活动状态且配置了本地代理的客户端的ip写入一个临时文件中。

如图8所示，为本实施例的监控装置中处理单元的内部结构示意图。处理单元中的临时文件读取模块在接收到监测单元的通知指令之后，读取临时文件，确定处理对象，处理单元中的第一监控指令发送模块向客户端发送禁用客户端活动网卡的指令，同时，第二监控指令发送模块向客户端发送文字提示：“客户端已设置本地代理，请取消后再启用网卡使用”。之后向监测单元发送处理完毕的通知指令，监测单元接收到该指令之后，从第一步“循环检测客户端网卡状态”继续执行。

实施例2：

如图9所示，为本实施例的监控装置的方案图。如图10所示，为本实施例的监控装置的工作流程图。其工作步骤为：

(1)在监控模块上进行参数配置，确定监控对象，如某个客户端ip，或某个客户端的ip段，写入配置文件。

(2)监测模块读取配置文件，确定监测对象。

(3)向检测对象发送监测网卡活动状态的指令，发现活动网卡则跳转到下一步，否则本步骤1分钟一个循环。

(4)判定网卡处于活动状态的客户端是否配置了本地代理，发现本地代理则跳转到下一步，否则跳转到步骤(3)。

(5)将网卡处于活动状态且配置了本地代理的客户端的ip写入一个临时文件中。

(6)向处理模块发送请处理的通知指令。

(7)处理模块在接收到监测模块的通知指令之后，读取临时文件，确定处理对象。

(8)向对象客户端发送禁用客户端活动网卡的指令。

(9)向对象客户端发送文字提示：“客户端已设置本地代理，请取消后再启用网卡使用”。

(10)向监测模块发送处理完毕的通知指令。

(11)监测模块接收到该指令之后，跳转到第(2)步执行。

由上述两个实施例可知，本技术方案从客户端一侧考虑，检测是否设置了本地代理，作为客户端是否正在进行安全检测活动的一个判断条件，并据此做出告警提示或断开网络的处理动作。这样大大减轻web服务器一侧造成很大的压力，并且能尽快发现恶意攻击行为。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。