System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本专利技术涉及网络安全,尤其是指基于网关策略的防网络劫持方法。
技术介绍
1、互联网是计算机技术与通信技术相互融合的产物,自20世纪90年代中期以来,随着网络规模的快速增长和基于互联网的商业应用日益增多,互联网正逐步演变成为人类社会重要的信息基础设施。
2、网关又称网间连接器、协议转换器。网关在网络层以上实现网络互连,是复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。网关是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间,网关是一个翻译器。与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求。
3、目前的网关的防网络劫持方法中,往往只有简单的验证手段,防劫持的手段单一,抵抗劫持的能力较弱,不能较好的识别不断更新的劫持手段,导致网络的安全性降低,影响用户的使用体验。
技术实现思路
1、本专利技术的目的是克服现有技术中的防网络劫持方法往往只有简单的验证手段,防劫持的手段单一,抵抗劫持的能力较弱,不能较好的识别不断更新的劫持手段,导致网络的安全性降低,影响用户的使用体验的缺点,提供一种基于网关策略的防网络劫持方法。
2、本专利技术的目的是通过下述技术方案予以实现:
3、一种基于网关策略的防网络劫持方法,包括以下步骤:
4、步骤1,接收请求信息,提取请求信息的唯一性特征,对唯一性特征进行特征检
5、步骤2,判断请求信息是否带有token信息,若带有token信息,则对token信息进行验证,若验证成功,则跳转至步骤3,若验证不成功,则跳转至步骤5;若没有token信息,则跳转至步骤3;
6、步骤3,将请求信息的唯一性特征记录日志,并与历史日志进行匹配,判断唯一性特征是否有异常,若无异常,则跳转至步骤4,若有异常则跳转至步骤5;
7、步骤4,请求信息确认安全,网关放行;
8、步骤5,请求信息确认有安全问题,网关拒绝请求信息连接。
9、作为优选,所述的步骤1中,唯一性特征为请求路径、请求头或/和请求方法,所述的对唯一性特征进行特征检查为将请求路径、请求头或/和请求方法通过md5信息摘要算法进行转换成md5值,记录一段时间内的所有md5值,如果请求信息发生重放就会找到相同的md5值。
10、作为优选,所述的对token信息进行验证具体包括以下子步骤:
11、子步骤1,检测是否有https请求,若没有则跳转至子步骤2,若有则跳转至子步骤3;
12、子步骤2,检查token是否与绑定ip一致,若token与绑定ip一致则根据token获取认证信息,根据认证信息和请求路径判断是否有权限,若有权限则跳转至步骤3,若没有权限则跳转至步骤5;若token与绑定ip不一致则跳转至步骤5;
13、子步骤3,检查定义的tls指纹是否与绑定的token一致,若一致则跳转至子步骤2,若不一致则跳转至步骤5。
14、作为优选,所述的子步骤3中,tls指纹是clienthello后根据tlsversion,ciphers,extensions,ellipticcurves,ellipticcurvepointformats生成md5的用来标识的tls客户端的特征信息。tls指纹是用于识别和区分不同的tls连接的一种方式。它是根据tls握手过程中的参数和特征生成的独特标识符。基于tls指纹特性,同时可以用于标识tls客户端和区分可能的客户端类型。本方案中生成tls指纹是从tls建立连接时clienthello中的协议版本(tlsversion),密码套件(ciphers),扩展(extensions),椭圆曲线加密算法(elliptic curves),椭圆曲线点编码格式(elliptic curve point formats)等信息提取而来的。获取tls指纹后,通过比对tls指纹数据库快速过滤识别潜在的恶意连接;通过对比威胁情报数据库,快速识别和响应已知漏洞,拒绝或告警不安全连接。通过tls指纹校验,即使信任了恶意证书,也能够很好的防护中间人攻击(wifi仿冒,arp欺骗,dns欺骗等)。同时也能防护本地/内网自制证书抓包等逆向不安全操作,保护信息不被泄露。
15、作为优选,所述的步骤2中,判断请求信息是否带有token信息前,判断请求信息是否为加密信息,根据密钥解密公钥加密的请求信息。
16、作为优选,所述的根据密钥解密公钥加密的token信息具体为:
17、请求客户端需要先请求装置的公钥,然后再使用对称加密把原始请求加密,并计算hash,再把对称加密和hash和客户端的公钥用装置的公钥加密以后放到请求头组成加密请求;装置接收到加密请求执行相反的操作,把使用私钥把请求头加密的内容解密出来得到对称加密秘钥和hash值,把hash值和接收到的加密请求进行校验,如果失败判断请求有可能被篡改拒绝请求,成功那么就使用对称加密秘钥解密真正的请求信息。
18、作为优选,所述的步骤3中,与历史日志进行匹配具体为分析频率、时间段、原地址和目的地址进行匹配,判断是否出现异常。
19、作为优选,在网关拒绝请求信息连接后,会对请求信息进行标记,并且将其转义。
20、作为优选,所述的与历史日志进行匹配具体为分析频率、时间段、原地址和目的地址进行匹配具体为:
21、将频率、时间段、原地址和目的地址作为特征值,判断请求信息中这四个特征值与历史日志中的请求信息的四个特征值的匹配程度,若请求信息与历史日志中的任意一个请求信息的匹配程度大于设定的阈值,则判断匹配成功,否则判断唯一性特性存在异常;每个特征值均对应有各自的权重值,所有权重值之和为1。
22、作为优选,所述的每个特征值对应的权重值为动态调整的权重值,调整的方法为,若存在异常的请求信息,判断该异常的请求信息中是个特征值的匹配程度,匹配度高的特征值对应的权重值下降,匹配度低的特征值对应的权重值上升。
23、本专利技术的有益效果是:本专利技术通过对于请求信息是否重放、token信息验证、与历史日志进行匹配的多重验证方式,增加了对于网络劫持的识别能力,在遇见可疑信息时也能阻止其连接,增强了告警能力。本专利技术的方案相比现有技术进一步提高了整体网络的安全性,降低了网络受到攻击劫持的可能性。
本文档来自技高网...【技术保护点】
1.一种基于网关策略的防网络劫持方法,其特征是,包括以下步骤:
2.根据权利要求1所述的一种基于网关策略的防网络劫持方法,其特征是,所述的步骤1中,唯一性特征为请求路径、请求头或/和请求方法,所述的对唯一性特征进行特征检查为将请求路径、请求头或/和请求方法通过md5信息摘要算法进行转换成md5值,记录一段时间内的所有md5值,如果请求信息发生重放就会找到相同的md5值。
3.根据权利要求1或2所述的一种基于网关策略的防网络劫持方法,其特征是,所述的对token信息进行验证具体包括以下子步骤:
4.根据权利要求3所述的一种基于网关策略的防网络劫持方法,其特征是,所述的子步骤3中,TLS指纹是ClientHello后根据TLSVersion,Ciphers,Extensions,EllipticCurves,EllipticCurvePointFormats生成MD5的用来标识的TLS客户端的特征信息。
5.根据权利要求1所述的一种基于网关策略的防网络劫持方法,其特征是,所述的步骤2中,判断请求信息是否带有token信息前,判断请求信息
6.根据权利要求5所述的一种基于网关策略的防网络劫持方法,其特征是,所述的根据密钥解密公钥加密的请求信息具体为:
7.根据权利要求1所述的一种基于网关策略的防网络劫持方法,其特征是,所述的步骤3中,与历史日志进行匹配具体为分析频率、时间段、原地址和目的地址进行匹配,判断是否出现异常。
8.根据权利要求1所述的一种基于网关策略的防网络劫持方法,其特征是,在网关拒绝请求信息连接后,会对请求信息进行标记,并且将其转义。
9.根据权利要求7所述的一种基于网关策略的防网络劫持方法,其特征是,所述的与历史日志进行匹配具体为分析频率、时间段、原地址和目的地址进行匹配具体为:
10.根据权利要求9所述的一种基于网关策略的防网络劫持方法,其特征是,所述的每个特征值对应的权重值为动态调整的权重值,调整的方法为,若存在异常的请求信息,判断该异常的请求信息中是个特征值的匹配程度,匹配度高的特征值对应的权重值下降,匹配度低的特征值对应的权重值上升。
...【技术特征摘要】
1.一种基于网关策略的防网络劫持方法,其特征是,包括以下步骤:
2.根据权利要求1所述的一种基于网关策略的防网络劫持方法,其特征是,所述的步骤1中,唯一性特征为请求路径、请求头或/和请求方法,所述的对唯一性特征进行特征检查为将请求路径、请求头或/和请求方法通过md5信息摘要算法进行转换成md5值,记录一段时间内的所有md5值,如果请求信息发生重放就会找到相同的md5值。
3.根据权利要求1或2所述的一种基于网关策略的防网络劫持方法,其特征是,所述的对token信息进行验证具体包括以下子步骤:
4.根据权利要求3所述的一种基于网关策略的防网络劫持方法,其特征是,所述的子步骤3中,tls指纹是clienthello后根据tlsversion,ciphers,extensions,ellipticcurves,ellipticcurvepointformats生成md5的用来标识的tls客户端的特征信息。
5.根据权利要求1所述的一种基于网关策略的防网络劫持方法,其特征是,所述的步骤2中,判断请求信息是否带有tok...
【专利技术属性】
技术研发人员:徐光年,叶良,蒋震宇,王尚俊,景峰,
申请(专利权)人:浙江华云信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。