【技术实现步骤摘要】
本专利技术属于但不限于计算机,尤其涉及一种基于ssl分片封堵的方法及系统。
技术介绍
1、现有的封堵手段是不良信息监测系统、垃圾短信及垃圾彩信系统。垃圾短信及垃圾彩信系统只能通过对垃圾短息及垃圾彩信内容、发送号码进行封堵,其针对的是广告、违法等内容的传播,对通过垃圾短信、垃圾彩信传播的手机恶意软件能起到一定的作用,这种传播方式所占比例较少。不良信息监测系统能够封堵恶意软件传播url,通过简单封堵url,只能阻断手机用户的继续访问,但是,手机终端上的恶意程序仍然会不断的请求这些网站,由此造成访问流量的激增,用户流量的大量损失,甚至导致网络的堵塞现象。
技术实现思路
1、针对现有技术存在的问题,本专利技术提供了一种基于ssl分片封堵的方法及系统。
2、本专利技术是这样实现的,一种基于ssl分片封堵的方法,该方法包括:
3、s1:对终端通过终端移动网出口路由器和与所述移动网出口路由器连接的网关通用无线分组业务支持节点ggsn来与服务器交互的数据进行分流;
4、s2:对分流的所述数据clienthello进行重组解析,获取所述服务器的servername;
5、s3:根据解析出的所述服务器的servername,在恶意网站库中进行匹配;如果匹配成功,则向所述移动网出口路由器发送阻断数据包,以阻断所述终端和所述服务器之间的连接。
6、进一步,所述s2具体包括:
7、s21:初始化ssl封堵规则库;
8、s22
9、s23:判断ssl流量并且上线包数小于10,为假则执行步骤s22;
10、s24:根据四元组做hash从clienhello重组表中查找重组节点,如果找到则需进行clienthello的重组;
11、s25:判断重组后的包的clienthello是否完整,若不完整则执行s22;
12、s26:从clienthello提取server_name字段。
13、本专利技术另一目的在于提供一种实施所述基于ssl分片封堵的方法的基于ssl分片封堵的系统,该系统包括:
14、分流模块,用于对终端通过终端移动网出口路由器和与所述移动网出口路由器连接的网关通用无线分组业务支持节点ggsn来与服务器交互的数据进行分流;
15、重组解析模块,与分流模块连接,对分流的所述数据clienthello进行重组解析,获取所述服务器的servername;
16、封堵模块,与重组解析模块连接,根据解析出的所述服务器的servername,在恶意网站库中进行匹配;如果匹配成功,则向所述移动网出口路由器发送阻断数据包,以阻断所述终端和所述服务器之间的连接。
17、本专利技术另一目的在于提供一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行所述基于ssl分片封堵的方法的步骤。
18、本专利技术另一目的在于提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行所述基于ssl分片封堵的方法的步骤。
19、本专利技术另一目的在于提供一种信息数据处理终端,所述信息数据处理终端用于实现所述基于ssl分片封堵的系统。
20、结合上述的技术方案和解决的技术问题,本专利技术所要保护的技术方案所具备的优点及积极效果为:
21、第一、本专利技术采用旁路阻断技术,避免网站被封堵之后终端仍然会发送请求,从而导致终端流量激增、网络堵塞的现象发生。
22、本方案采用了旁路阻断技术,通过对clienthello进行重组解析出域名,然后计算域名的hash值,快速发恶意域名的匹配,对匹配上的流通过打tcp reset包的方式,同时向客户端服务端发送阻断报文,实现对恶意域名的阻断,避免网站被封堵之后手机仍然会不断的发送请求,从而导致终端流量激增、网络堵塞的现象发生。
23、第二,本专利技术的技术方案解决了人们一直渴望解决、但始终未能获得成功的技术难题:
24、现有的很多违规网站tls认证过程中clienthello分包传输从而逃避备案检测,致使封堵成功率低,封堵效果有限。
25、本专利技术实施例的方案中,真对分片的clienthello进行快速重组,从clienthello提取域名,然后将域名到恶意域名规则库中进行匹配,匹配上对该域名进行双向封堵。
26、第三,基于ssl分片封堵的方法通过以下步骤实现对恶意通信的实时阻断和安全防护:
27、1.数据分流:在网络通信中,终端设备通过移动网出口路由器与服务器进行交互。为了监控并处理这些通信流量,系统首先在移动网出口路由器和连接的网关(如ggsn)对终端的数据流进行分流。这一过程的主要目的是拦截并分流终端与服务器之间的通信数据,以便后续进行详细的解析和处理。
28、2.clienthello重组与解析:在分流的通信数据中,系统特别关注ssl/tls握手过程中的clienthello消息。clienthello消息是客户端在建立ssl/tls连接时发出的初始请求,包含了许多关键信息,如支持的加密算法、会话id等。通过重组并解析clienthello消息,系统能够提取出重要的字段,特别是服务器名称(servername),这一信息对于后续的安全检测至关重要。
29、3.服务器名称匹配:解析出的服务器名称与系统预先设定的恶意网站库中的条目进行匹配。恶意网站库中包含了一些已知的恶意或不安全网站的信息。通过比对服务器名称,系统可以判断终端是否正尝试与一个恶意服务器进行通信。如果发现该服务器名称存在于恶意网站库中,则表明终端正在尝试访问一个不安全的网站。
30、4.阻断通信:在确认服务器名称与恶意网站库匹配后,系统会立即生成并发送一个阻断数据包到移动网出口路由器。这个数据包的目的是迅速中断终端与服务器之间的ssl连接,从而防止终端与恶意服务器继续通信。通过这一实时阻断机制,系统能够有效防止恶意网站对终端设备和用户造成的潜在危害。
31、该技术方案通过实时监控和阻断不安全的ssl连接,在提高终端安全性方面取得了显著的技术进步,解决了现有技术中难以有效识别和阻断恶意通信的问题。
本文档来自技高网...【技术保护点】
1.一种基于SSL分片封堵的方法,其特征在于,该方法包括:
2.根据权利要求1所述基于SSL分片封堵的方法,其特征在于,所述S2具体包括:
3.一种实施如权利要求1-2任意一项所述基于SSL分片封堵的方法的基于SSL分片封堵的系统,其特征在于,该系统包括:
4.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1、2任意一项所述基于SSL分片封堵的方法的步骤。
5.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1、2任意一项所述基于SSL分片封堵的方法的步骤。
6.一种信息数据处理终端,其特征在于,所述信息数据处理终端用于实现如权利要求3所述基于SSL分片封堵的系统。
7.一种基于SSL分片封堵的移动网络通信安全保护方法,其特征在于,包括以下步骤:
【技术特征摘要】
1.一种基于ssl分片封堵的方法,其特征在于,该方法包括:
2.根据权利要求1所述基于ssl分片封堵的方法,其特征在于,所述s2具体包括:
3.一种实施如权利要求1-2任意一项所述基于ssl分片封堵的方法的基于ssl分片封堵的系统,其特征在于,该系统包括:
4.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如...
【专利技术属性】
技术研发人员:陈义文,赵凯南,胡彬,李广焕,李胜宇,
申请(专利权)人:武汉博易讯信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。