一种防止恶意安全检测活动的监控方法及装置制造方法及图纸

本发明专利技术涉及一种防止恶意安全检测活动的监控方法及装置，其中，方法包括：配置参数，确定监控对象；向所述监控对象发送监测网卡活动状态的指令，直至发现活动网卡；判断网卡处于活动状态的客户端是否配置了本地代理，如果网卡处于活动状态的客户端配置了本地代理，则将网卡处于活动状态且配置了本地代理的客户端的地址信息写入临时文件中，并产生请处理的通知指令；根据所述请处理的通知指令，读取所述临时文件，确定处理对象；向所述处理对象发送禁用客户端活动网卡的指令。

Monitoring method and device for preventing malicious safety detection activity

Including the present invention relates to a method and device, monitoring activities to prevent malicious security detection methods: among them, the configuration parameters, determine the monitoring object; the monitoring object to send monitoring network activity instruction, until the discovery activity card; card is in active state to determine whether the client configuration of the local agent, if the card is active the client configuration of the local agent, then the card is active and the configuration of the local proxy client address information is written to a temporary file, and processing instructions please notice; according to the processing instructions please notice, read the temporary file, determine the processing object; to the processing object to send disable client activity instruction card.

【技术实现步骤摘要】
一种防止恶意安全检测活动的监控方法及装置
本专利技术涉及计算网络安全
，特别涉及一种防止恶意安全检测活动的监控方法及装置。
技术介绍
甲方同意乙方开展针对甲方互联网站点的安全检测，并签订了协议，视为甲方向乙方授权，经过授权的安全检测活动是发现应用安全问题的主要手段，但非授权的安全检测活动就会演变成恶意攻击行为。在针对B/S应用进行安全检测时，有一类通过代理方式拦截、修改http/https请求的方法，是当前安全检测最常用的方法之一。在这一方法下，通过修改客户端web浏览器的代理配置，致使客户端产生的所有流量都被代理到指定的代理服务器。代理服务器在接收到客户端的请求之后，通过监听、修改等手段控制客户端请求，待达到目的之后，再发送给web服务器。web服务器根据提交过来的请求做出响应，响应数据发送给代理服务器，代理服务器在接收到真正服务器的响应之后，通过监听、修改等手段控制响应，待达到目的之后，再发送给客户端。以上被视为一次安全检测活动。从应用安全防护角度考虑，及时发现并阻断恶意的安全检测活动是一种有效手段。目前业界发现并阻断恶意安全检测活动的方法主要是从web服务器一侧考虑，这样给web服务器一侧造成很大的压力，并且不能尽快发现恶意攻击行为。
技术实现思路
为解决现有技术的问题，本专利技术提出一种防止恶意安全检测活动的监控方法及装置，本技术方案从客户端检测是否设置了本地代理，作为客户端是否正在进行安全检测活动的一个判断条件，并据此做出告警提示或断开网络的处理动作。为实现上述目的，本专利技术提供了一种防止恶意安全检测活动的监控方法，包括：配置参数，确定监控对象；向所述监控对象发送监测网卡活动状态的指令，直至发现活动网卡；判断网卡处于活动状态的客户端是否配置了本地代理，如果网卡处于活动状态的客户端配置了本地代理，则将网卡处于活动状态且配置了本地代理的客户端的地址信息写入临时文件中，并产生请处理的通知指令；根据所述请处理的通知指令，读取所述临时文件，确定处理对象；向所述处理对象发送禁用客户端活动网卡的指令。优选地，还包括：向所述处理对象发送禁用客户端活动网卡的指令的同时，向所述处理对象发送文字提示“客户端已设置本地代理，请取消后再启用网卡使用”。优选地，还包括：如果网卡处于活动状态的客户端没有配置本地代理，则继续向所述监控对象发送监测网卡活动状态的指令。优选地，所述参数为某个客户端的地址信息。为实现上述目的，本专利技术还提供了一种防止恶意安全检测活动的监控装置，包括：配置文件模块，用于配置参数，确定监控对象；指令发送模块，用于向所述监控对象发送监测网卡活动状态的指令，直至发现活动网卡；临时文件产生模块，用于判断网卡处于活动状态的客户端是否配置了本地代理，如果网卡处于活动状态的客户端配置了本地代理，则将网卡处于活动状态且配置了本地代理的客户端的地址信息写入临时文件中，并产生请处理的通知指令；临时文件读取模块，用于根据所述请处理的通知指令，读取所述临时文件，确定处理对象；第一监控指令发送模块，用于向所述处理对象发送禁用客户端活动网卡的指令。优选地，还包括：第二监控指令发送模块，用于向所述处理对象发送禁用客户端活动网卡的指令的同时，向所述处理对象发送文字提示“客户端已设置本地代理，请取消后再启用网卡使用”。优选地，所述指令发送模块还用于如果网卡处于活动状态的客户端没有配置本地代理，则继续向所述监控对象发送监测网卡活动状态的指令。优选地，所述配置文件模块配置的参数为某个客户端的地址信息。上述技术方案具有如下有益效果：1、能够从客户端这一源头上限制恶意安全检测活动，实现了同一局域网下安全检测活动的实时监控及阻断。2、能够有效限制了一类安全检测工具的使用，从而减少恶意攻击行为。3、缓解了web服务器的通信压力，并且能尽快发现恶意攻击行为。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为客户端未设置代理时的B/S架构图；图2为客户端设置代理时的B/S架构图；图3为本专利技术实施例提出一种防止恶意安全检测活动的监控方法流程图；图4为本专利技术实施例提出一种防止恶意安全检测活动的监控装置框图之一；图5为本专利技术实施例提出一种防止恶意安全检测活动的监控装置框图之二；图6为本实施例的监控装置结构示意图；图7为本实施例的监控装置中监测单元的内部结构示意图；图8为本实施例的监控装置中处理单元的内部结构示意图；图9为本实施例的监控装置的方案图；图10为本实施例的监控装置的工作流程图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。1、术语说明客户端：在B/S架构中，发送http/https请求、显示http/https响应的一方。web服务器：在B/S架构中，处理http/https请求、返回http/https响应的一方。代理服务器：在B/S架构中，处于客户端和web服务器之间，能够代理发送客户端请求、代理接收web服务器响应的一方。2、方案架构如图1所示，为客户端未设置代理时的B/S架构图。图1展示了未设置代理服务器的情况下，客户端与web服务器之间的请求/响应关系。图2展示了设置了代理服务器的情况下，客户端与代理服务器之间、代理服务器与web服务器之间的请求/响应关系。代理监控装置通过内置网卡，以有线接入或无线局域网接入的方式，与客户端置于同一局域网中，且网络可达。代理监控装置包括代理监测模块和处理模块，可通过配置文件参数自定义的方式，设定代理监控装置监控的客户端的地址信息，如指定某客户端的一个具体ip，或指定某一ip段。其基本工作原理是监控客户端本地代理设置情况，一旦发现，就进行阻断处理。在本技术方案中，本地代理是指客户端所设置代理的ip地址为客户端活动网卡的ip，或值为“127.0.0.1”的ip。非本地代理是指除本地代理之外的其他代理设置方式，如客户端所设置代理的ip地址为局域网下另一台客户端的ip。本技术方案适用于客户端无需设置代理或需要设置非本地代理，即能够满足互联网接入需求的局域网环境，不适用于客户端必须设置本地代理才能满足互联网接入需求的局域网环境。不适用的场景举例：客户端上安装了代理软件，这时候需要打开代理软件，并将客户端代理服务器地址设置为“127.0.0.1”才能满足互联网接入需求。基于上述描述，本专利技术实施例提出一种防止恶意安全检测活动的监控方法，如图3所示。包括：步骤301)：配置参数，确定监控对象；具体地，所述参数为某个客户端的地址信息。步骤302)：向所述监控对象发送监测网卡活动状态的指令，直至发现活动网卡；步骤303)：判断网卡处于活动状态的客户端是否配置了本地代理，如果网卡处于活动状态的客户端配置了本地代理，则将网卡处于活动状态且配置了本地代理的客户端的地址信息写入临时文件本文档来自技高网...

【技术保护点】
一种防止恶意安全检测活动的监控方法，其特征在于，包括：配置参数，确定监控对象；向所述监控对象发送监测网卡活动状态的指令，直至发现活动网卡；判断网卡处于活动状态的客户端是否配置了本地代理，如果网卡处于活动状态的客户端配置了本地代理，则将网卡处于活动状态且配置了本地代理的客户端的地址信息写入临时文件中，并产生请处理的通知指令；根据所述请处理的通知指令，读取所述临时文件，确定处理对象；向所述处理对象发送禁用客户端活动网卡的指令。

【技术特征摘要】
1.一种防止恶意安全检测活动的监控方法，其特征在于，包括：配置参数，确定监控对象；向所述监控对象发送监测网卡活动状态的指令，直至发现活动网卡；判断网卡处于活动状态的客户端是否配置了本地代理，如果网卡处于活动状态的客户端配置了本地代理，则将网卡处于活动状态且配置了本地代理的客户端的地址信息写入临时文件中，并产生请处理的通知指令；根据所述请处理的通知指令，读取所述临时文件，确定处理对象；向所述处理对象发送禁用客户端活动网卡的指令。2.如权利要求1所述的监控方法，其特征在于，还包括：向所述处理对象发送禁用客户端活动网卡的指令的同时，向所述处理对象发送文字提示“客户端已设置本地代理，请取消后再启用网卡使用”。3.如权利要求1或2所述的监控方法，其特征在于，还包括：如果网卡处于活动状态的客户端没有配置本地代理，则继续向所述监控对象发送监测网卡活动状态的指令。4.如权利要求1或2所述的监控方法，其特征在于，所述参数为某个客户端的地址信息。5.一种防止恶意安全检测活动的监控装置，其特征在于，包括：配置文件模块，用于配置参...

【专利技术属性】
技术研发人员：周芙蓉，史经伟，叶红，苏建明，戴雯，
申请(专利权)人：中国工商银行股份有限公司，
类型：发明
国别省市：北京,11