一种基于SNI的网页访问安全监控方法与流程

本发明涉及互联网信息安全技术领域，尤其是一种基于sni的网页访问安全监控方法。

背景技术：

面对互联网飞速发展，各类网站也来越多，人们的生活已经和网站密不可分。在互联网中，除了大多数正规网站之外，还存在钓鱼网站、诈骗网站、色情网站等一系列违法违规网站。

为了打击这些违法违规网站，现有技术所采用的做法是抓取网站的http网页访问请求，由于http网页访问请求都是明文传输，因此很容易就获取到网站的域名。但是，在https网页访问请求中，信息是被加密的，因此不能够直接解析得到域名，由于目前https站点迅速增长，现有技术对违法违规网站的打击力度大打折扣。

技术实现要素：

本发明的发明目的在于：针对上述存在的问题，提供一种基于sni的网页访问安全监控方法，能够提高采用https站点的违法违规网站的打击力度。

为解决上述技术问题，本发明采用的一个技术方案是：提供一种基于sni的网页访问安全监控方法，包括以下步骤：s1：当客户端与服务端成功建立tcp连接后，从客户端发送的https网页访问请求的tls/ssl握手协议中捕获问候报文；s2：解析所述问候报文中的sni拓展信息得到所述https网页访问请求所指示的当前域名；s3：判断所述当前域名是否存在于预先建立的域名黑名单或未备案域名集合中，如果存在，则进行步骤s4，如果不存在，则进行步骤s5；s4：阻断所述https网页访问请求；s5：查询所述当前域名是否已经备案，如果没有备案，则进行步骤s6；s6：将所述当前域名添加到所述未备案域名集合中，同时进行步骤s4。

优选的，所述网页访问安全监控方法还包括：设置域名管理接口，并通过域名管理接口接收用户输入的删除或添加指令，以根据所述删除或添加指令对域名黑名单和未备案域名集合中的域名进行删除或添加。

优选的，所述步骤s1具体包括：s11：构建tcp连接信息集的数据结构，所述数据结构中的数据节点包含四元组信息和网络数据包，所述四元组信息包括tcp连接的源ip地址、源端口、目的ip地址和目的端口；s12：每当捕获到一个网络数据包时，如果该网络数据包是发起tcp连接请求的syn数据包，则在所述数据结构中新建一个数据节点；s13：当所述数据结构中的数据节点中的三次握手的网络数据包都成功捕获之后，捕获客户端发送给服务端的第一个网络数据包，该网络数据包为tls/ssl握手协议中的问候报文。

优选的，所述当前域名为sni拓展信息中servername字段的值。

优选的，所述步骤s4具体为：生成tcp连接中的网络重置包并将所述网络重置包分别发送给客户端和服务端，以使得客户端和服务端根据网络重置包关闭tcp连接。

优选的，所述步骤s5具体包括：s51：在已备案域名缓存中查询所述当前域名是否存在，如果不存在，则进行步骤s52，如果存在，则进行步骤s54；s52：通过域名备案查询接口查询所述当前域名是否存在，如果不存在，则进行步骤s53，如果存在，则进行步骤s54；s53：认定所述当前域名没有备案；s54：认定所述当前域名已经备案，并将所述当前域名添加到所述已备案域名缓存中，同时设置所述当前域名的缓存生存周期。

优选的，所述已备案域名缓存为redis缓存，所述缓存生存周期为24小时。

综上所述，由于采用了上述技术方案，本发明的有益效果是：通过捕获https网页访问请求的tls/ssl握手协议中的问候报文，解析问候报文中的sni拓展信息得到https网页访问请求所指示的当前域名，如果当前域名存在于域名黑名单或未备案域名集合中，则阻断https网页访问请求，如果当前域名不存在于域名黑名单或未备案域名集合，但是查询到当前域名没有备案，则将当前域名添加到未备案域名集合中，同时阻断https网页访问请求，由于在访问违法违规网站的过程中会自动判断域名是否备案，因而能够提高采用https站点的违法违规网站的打击力度，可以提高违法违规网站拦截的处理速度和效率。

附图说明

图1是本发明实施例的基于sni的网页访问安全监控方法的流程示意图。

图2是图1所示的网页访问安全监控方法的步骤s1的具体流程示意图。

图3是图1所示的网页访问安全监控方法的步骤s5的具体流程示意图。

具体实施方式

本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。

本说明书(包括任何附加权利要求、摘要)中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。

如图1所示，在本发明实施例中，基于sni的网页访问安全监控方法包括以下步骤：

s1：当客户端与服务端成功建立tcp连接后，从客户端发送的https网页访问请求的tls/ssl握手协议中捕获问候报文。

其中，问候报文一般为tls/ssl握手协议中的clienthello信息。clienthello信息中除了包含密钥交换算法、加密方式、加密版本等必要信息外，还包括拓展信息。在https请求中，拓展信息为sni(servernameindication服务器名称指示，是对ssl/tls协议的扩展，允许在单个ip地址上承载多个ssl证书)拓展信息，通过sni拓展信息，一个客户端能够指示哪个主机名是它试图去访问的主机名，该主机名即为我们需要获取的域名。

s2：解析问候报文中的sni拓展信息得到https网页访问请求所指示的当前域名。

其中，通过解析clienthello信息中的sni拓展信息，就能够获取https网页访问请的域名。在本实施例中，当前域名为sni拓展信息中servername字段的值。

s3：判断当前域名是否存在于预先建立的域名黑名单或未备案域名集合中，如果存在，则进行步骤s4，如果不存在，则进行步骤s5。

其中，域名黑名单或未备案域名集合为预先建立的数据库。在本实施例中，网页访问安全监控方法还包括：设置域名管理接口，并通过域名管理接口接收用户输入的删除或添加指令，以根据删除或添加指令对域名黑名单和未备案域名集合中的域名进行删除或添加。通过域名管理接口，可以允许管理者主动删除、添加域名黑名单或未备案域名集合中的域名。

s4：阻断https网页访问请求。

在本实施例中，步骤s4具体为：生成tcp连接中的网络重置包并将网络重置包分别发送给客户端和服务端，以使得客户端和服务端根据网络重置包关闭tcp连接。该网络重置包相对于客户端和服务端来说，属于伪造的数据包，客户端和服务端依据该网络重置包关闭tcp连接，从而实现违法违规网站的过滤和拦截。

s5：查询当前域名是否已经备案，如果没有备案，则进行步骤s6。

s6：将当前域名添加到未备案域名集合中，同时进行步骤s4。

请参阅图2，在本实施例中，步骤s1具体包括：

s11：构建tcp连接信息集的数据结构，数据结构中的数据节点包含四元组信息和网络数据包，四元组信息包括tcp连接的源ip地址、源端口、目的ip地址和目的端口。

其中，tcp连接的源ip地址、源端口、目的ip地址和目的端口可以做哈希运算得到四元组信息，然后将包含四元组信息、数据包的数据节点存放到tcp连接的数据结构中，该数据结构也可以是hash表。

s12：每当捕获到一个网络数据包时，如果该网络数据包是发起tcp连接请求的syn数据包，则在数据结构中新建一个数据节点。

其中，syn(synchronizesequencenumbers，同步序列编号)是tcp/ip建立连接时使用的握手信号。

s13：当数据结构中的数据节点中的三次握手的网络数据包都成功捕获之后，捕获客户端发送给服务端的第一个网络数据包，该网络数据包为tls/ssl握手协议中的问候报文。

其中，客户端与服务器在传送数据之前，需要先完成三次握手，完成三次握手之后，客户端与服务器开始传送数据，而客户端发送给服务端的第一个网络数据包，就是clienthello信息。

请参阅图3，在本实施例中，步骤s5具体包括：

s51：在已备案域名缓存中查询当前域名是否存在，如果不存在，则进行步骤s52，如果存在，则进行步骤s54。

其中，已备案域名缓存可以为redis缓存。redis是一个开源的使用ansic语言编写、支持网络、可基于内存亦可持久化的日志型、key-value数据库，并提供多种语言的api。

s52：通过域名备案查询接口查询当前域名是否存在，如果不存在，则进行步骤s53，如果存在，则进行步骤s54。

其中，域名备案查询接口可以访问权威域名管理机构的数据库，通过域名备案查询接口就查询当前域名是否存在。

s53：认定当前域名没有备案。

其中，通过域名备案查询接口查询到不存在，则当前域名没有备案。

s54：认定当前域名已经备案，并将当前域名添加到已备案域名缓存中，同时设置当前域名的缓存生存周期。

其中，缓存生存周期例如为24小时。

通过上述方式，本实施例的基于sni的网页访问安全监控方法通过捕获https网页访问请求的tls/ssl握手协议中的问候报文，解析问候报文中的sni拓展信息得到https网页访问请求所指示的当前域名，如果当前域名存在于域名黑名单或未备案域名集合中，则阻断https网页访问请求，如果当前域名不存在于域名黑名单或未备案域名集合，但是查询到当前域名没有备案，则将当前域名添加到未备案域名集合中，同时阻断https网页访问请求，由于在访问违法违规网站的过程中会自动判断域名是否备案，因而能够提高采用https站点的违法违规网站的打击力度，可以提高违法违规网站拦截的处理速度和效率。

本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何新的组合。