网址拦截方法及装置转让专利
申请号 : CN201711059743.6
文献号 : CN107592322B
文献日 : 2020-01-21
发明人 : 柴斌
申请人 : 北京知道创宇信息技术股份有限公司
摘要 :
本发明提供一种网址拦截方法及装置,涉及网络安全技术领域。所述方法及装置通过判断第一监控列表中是否存在与获取的第一目标报文目的地址相同的网址;在为是时,从网关设备获取该用户终端第一预设时间段内发送的报文作为第二目标报文,根据第二目标报文记录生成事件序列,该事件序列包括多个交互事件;针对每个第二目标报文,根据已记录的事件序列,计算判断该第二目标报文对应的事件是否归类为诈骗事件;在为是时,根据预设拦截策略向网关设备发送拦截指令,以使用户终端停止访问当前第二目标报文对应的网址。基于该预设拦截策略,可在网络环境在多个环节准确高效地拦截恶意网址,有助于提升用户体验感。
权利要求 :
1.一种网址拦截方法,其特征在于,应用于与网关设备通信连接的拦截服务器,所述拦截服务器与网关设备通信连接,所述拦截服务器预先存储有包括多个恶意网址的第一监控列表以及访问过恶意网址的用户终端的身份信息的第二监控列表;所述方法包括:从所述网关设备获取用户终端发送的第一目标报文;
判断所述第一监控列表中是否存在与所述第一目标报文目的地址相同的网址;
在为是时,从所述网关设备获取该用户终端第一预设时间段内发送的报文作为第二目标报文,根据所述第二目标报文记录生成事件序列,所述事件序列包括多个交互事件;
针对每个所述第二目标报文,根据已记录的事件序列,计算判断该第二目标报文对应的事件是否归类为诈骗事件;
在为是时,根据预设拦截策略向所述网关设备发送拦截指令,以使所述用户终端停止访问当前所述第二目标报文对应的网址;
其中,所述在为是时,从所述网关设备获取该用户终端第一预设时间段内发送的报文作为第二目标报文的步骤,包括:当所述第一监控列表中存在与所述第一目标报文目的地址相同的网址时,将发送该第一目标报文的用户终端的身份信息记录在所述第二监控列表中;
获取网关设备在所述第一预设时间段内转发的报文,将源地址记录在所述第二监控列表中的报文作为第二目标报文。
2.根据权利要求1所述的方法,其特征在于,所述第一目标报文由所述网关设备根据所述用户终端发送的报文镜像生成。
3.根据权利要求1所述的方法,其特征在于,所述在为是时,根据预设拦截策略向所述网关设备发送拦截指令,以使所述用户终端停止访问当前所述第二目标报文对应的网址的步骤,包括:在所述用户终端访问当前所述第二目标报文对应的事件序列为预设事件序列时,向所述网关设备发送拦截指令,以使所述用户终端停止访问当前所述第二目标报文对应的网址。
4.根据权利要求1所述的方法,其特征在于,所述拦截服务器存储有包括多个诈骗特征样本的样本库;所述针对每个所述第二目标报文,根据已记录的事件序列,计算判断该第二目标报文对应的事件是否归类为诈骗事件的步骤,包括:将所述第二目标报文在所述第一预设时间段内各时间点形成的事件作为目标特征,并计算所述目标特征与偏向所述样本库中的各诈骗特征样本的权重;
选取计算的最大权重,并在所述最大权重超过预设阈值时,将所述目标特征对应的当前事件作为所述诈骗事件。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
记录每个用户终端由访问恶意网址在第二预设时间段内形成的多个事件序列,将同一用户终端在所述第二预设时间段内的形成的所述多个事件序列作为一个诈骗特征样本,并存储在所述样本库中。
6.根据权利要求1所述的方法,其特征在于,所述根据所述第二目标报文记录生成事件序列,所述事件序列包括多个交互事件的步骤,包括:将所述第二目标报文到达的时间、源/目的身份信息、源/目的端口信息、报文类型、报文长度构建为一个事件,多个不同时间点对应的事件组成对应的事件序列。
7.一种网址拦截装置,其特征在于,应用于与网关设备通信连接的拦截服务器,所述拦截服务器与网关设备通信连接,所述拦截服务器预先存储有包括多个恶意网址的第一监控列表以及访问过恶意网址的用户终端的身份信息的第二监控列表;所述网址拦截装置包括:第一获取单元,用于从所述网关设备获取用户终端发送的第一目标报文;
第一判断单元,用于判断所述第一监控列表中是否存在与所述第一目标报文目的地址相同的网址;
第二获取单元,用于在所述第一判断单元的判断结果为是时,从所述网关设备获取该用户终端第一预设时间段内发送的报文作为第二目标报文,根据所述第二目标报文记录生成事件序列,所述事件序列包括多个交互事件;
第二判断单元,用于针对每个所述第二目标报文,根据已记录的事件序列,计算判断该第二目标报文对应的事件是否归类为诈骗事件;
拦截单元,用于在所述第二判断单元的判断结果为是时,根据预设拦截策略向所述网关设备发送拦截指令,以使所述用户终端停止访问当前所述第二目标报文对应的网址;
其中,所述第二获取单元还用于:
当所述第一监控列表中存在与所述第一目标报文目的地址相同的网址时,将发送该第一目标报文的用户终端的身份信息记录在所述第二监控列表中;
获取网关设备在所述第一预设时间段内转发的报文,将源地址记录在所述第二监控列表中的报文作为第二目标报文。
8.根据权利要求7所述的网址拦截装置,其特征在于,当所述第二判断单元的判断结果为是时,所述拦截单元还用于:在所述用户终端访问当前所述第二目标报文对应的事件序列为预设事件序列时,向所述网关设备发送拦截指令,以使所述用户终端停止访问当前所述第二目标报文对应的网址。
说明书 :
网址拦截方法及装置
技术领域
[0001] 本发明涉及网络安全技术领域,具体而言,涉及一种网址拦截方法及装置。
背景技术
[0002] 随着网络通信的飞速发展,现阶段的网络诈骗频繁出现。一种主要方式是传播恶意网址,当用户访问这些网站时被其中的虚假信息欺骗,然后向诈骗网址中的帐号或通过其他第三方支付方式转账汇款,从而对用户个人造成经济损失。
[0003] 现有技术中,为了防止用户对恶意网址进行访问,部分运营商在网关处部署恶意网址拦截设备,此设备能够对用户对恶意网址的访问进行拦截,通过阻止用户对恶意网址的访问避免用户遭受诈骗。在现实网络中,诈骗由一系列的信息与数据交互完成。用户被引导到恶意信息网页往往只是诈骗环节中的初始步骤,而且在一些场景中,初始环节的信息在用户看来可能没有明显的恶意信息。现有技术对所有判定恶意的网址进行拦截,用户将无法访问被拦截系统判定恶意的网址。
发明内容
[0004] 为了克服上述现有技术中的不足,本发明提供一种网址拦截方法及装置,可根据网络环境在多个环节拦截恶意网址,以避免用户被恶意网址诈骗,并提升用户体验感,进而解决上述问题。
[0005] 为了实现上述目的,本发明较佳实施例所提供的技术方案如下所示:
[0006] 本发明较佳实施例提供一种网址拦截方法,应用于与网关设备通信连接的拦截服务器,所述拦截服务器与网关设备通信连接,所述拦截服务器预先存储有包括多个恶意网址的第一监控列表;所述方法包括:
[0007] 从所述网关设备获取用户终端发送的第一目标报文;
[0008] 判断所述第一监控列表中是否存在与所述第一目标报文目的地址相同的网址;
[0009] 在为是时,从所述网关设备获取该用户终端第一预设时间段内发送的报文作为第二目标报文,根据所述第二目标报文记录生成事件序列,所述事件序列包括多个交互事件;
[0010] 针对每个所述第二目标报文,根据已记录的事件序列,计算判断该第二目标报文对应的事件是否归类为诈骗事件;
[0011] 在为是时,根据预设拦截策略向所述网关设备发送拦截指令,以使所述用户终端停止访问当前所述第二目标报文对应的网址。
[0012] 在本发明的较佳实施例中,上述第一目标报文由所述网关设备根据所述用户终端发送的报文镜像生成。
[0013] 在本发明的较佳实施例中,上述拦截服务器存储有访问过恶意网址的用户终端的身份信息的第二监控列表;所述在为是时,从所述网关设备获取该用户终端第一预设时间段内发送的报文作为第二目标报文的步骤,包括:
[0014] 当所述第一监控列表中存在与所述第一目标报文目的地址相同的网址时,将发送该第一目标报文的用户终端的身份信息记录在所述第二监控列表中;
[0015] 获取网关设备在所述第一预设时间段内转发的报文,将源地址记录在所述第二监控列表中的报文作为第二目标报文。
[0016] 在本发明的较佳实施例中,上述在为是时,根据预设拦截策略向所述网关设备发送拦截指令,以使所述用户终端停止访问当前所述第二目标报文对应的网址的步骤,包括:
[0017] 在所述用户终端访问当前所述第二目标报文对应的事件序列为预设事件序列时,向所述网关设备发送拦截指令,以使所述用户终端停止访问当前所述第二目标报文对应的网址。
[0018] 在本发明的较佳实施例中,上述拦截服务器存储有包括多个诈骗特征样本的样本库;所述针对每个所述第二目标报文,根据已记录的事件序列,计算判断该第二目标报文对应的事件是否归类为诈骗事件的步骤,包括:
[0019] 将所述第二目标报文在所述第一预设时间段内各时间点形成的事件作为目标特征,并计算所述目标特征与偏向所述样本库中的各诈骗特征样本的权重;
[0020] 选取计算的最大权重,并在所述最大权重超过预设阈值时,将所述目标特征对应的当前事件作为所述诈骗事件。
[0021] 在本发明的较佳实施例中,上述方法还包括:
[0022] 记录每个用户终端由访问恶意网址在第二预设时间段内形成的多个事件序列,将同一用户终端在所述第二预设时间段内的形成的所述多个事件序列作为一个诈骗特征样本,并存储在所述样本库中。
[0023] 在本发明的较佳实施例中,上述根据所述第二目标报文记录生成事件序列,所述事件序列包括多个交互事件的步骤,包括:
[0024] 将所述第二目标报文到达的时间、源/目的身份信息、源/目的端口信息、报文类型、报文长度构建为一个事件,多个不同时间点对应的事件组成对应的事件序列。
[0025] 本发明的较佳实施例还提供一种网址拦截装置,应用于与网关设备通信连接的拦截服务器,所述拦截服务器与网关设备通信连接,所述拦截服务器预先存储有包括多个恶意网址的第一监控列表;所述网址拦截装置包括:
[0026] 第一获取单元,用于从所述网关设备获取用户终端发送的第一目标报文;
[0027] 第一判断单元,用于判断所述第一监控列表中是否存在与所述第一目标报文目的地址相同的网址;
[0028] 第二获取单元,用于在所述第一判断单元的判断结果为是时,从所述网关设备获取该用户终端第一预设时间段内发送的报文作为第二目标报文,根据所述第二目标报文记录生成事件序列,所述事件序列包括多个交互事件;
[0029] 第二判断单元,用于针对每个所述第二目标报文,根据已记录的事件序列,计算判断该第二目标报文对应的事件是否归类为诈骗事件;
[0030] 拦截单元,用于在所述第二判断单元的判断结果为是时,根据预设拦截策略向所述网关设备发送拦截指令,以使所述用户终端停止访问当前所述第二目标报文对应的网址。
[0031] 在本发明的较佳实施例中,上述拦截服务器存储有访问过恶意网址的用户终端的身份信息的第二监控列表;所述第二获取单元还用于:
[0032] 当所述第一监控列表中存在与所述第一目标报文目的地址相同的网址时,将发送该第一目标报文的用户终端的身份信息记录在所述第二监控列表中;
[0033] 获取网关设备在所述第一预设时间段内转发的报文,将源地址记录在所述第二监控列表中的报文作为第二目标报文。
[0034] 在本发明的较佳实施例中,当所述第二判断单元的判断结果为是时,所述拦截单元还用于:
[0035] 在所述用户终端访问当前所述第二目标报文对应的事件序列为预设事件序列时,向所述网关设备发送拦截指令,以使所述用户终端停止访问当前所述第二目标报文对应的网址。
[0036] 相对于现有技术而言,本发明提供的网址拦截方法及装置至少具有以下有益效果:该方法及装置通过从网关设备获取用户终端发送的第一目标报文;判断第一监控列表中是否存在与第一目标报文目的地址相同的网址;在为是时,从网关设备获取该用户终端第一预设时间段内发送的报文作为第二目标报文,根据第二目标报文记录生成事件序列,该事件序列包括多个交互事件;针对每个第二目标报文,根据已记录的事件序列,计算判断该第二目标报文对应的事件是否归类为诈骗事件;在为是时,根据预设拦截策略向网关设备发送拦截指令,以使用户终端停止访问当前第二目标报文对应的网址。基于该预设拦截策略,可在网络环境在多个环节准确高效地拦截恶意网址,有助于提升用户体验感。
[0037] 为使本发明的上述目的、特征和优点能更明显易懂,下文特举本发明较佳实施例,并配合所附附图,作详细说明如下。
附图说明
[0038] 为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍。应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0039] 图1为本发明较佳实施例提供的拦截服务器、网关设备、用户终端及网络的交互示意图。
[0040] 图2为本发明较佳实施例提供的拦截服务器的方框示意图。
[0041] 图3为本发明较佳实施例提供的网址拦截方法的流程示意图。
[0042] 图4为图3中步骤S230的子步骤的流程示意图。
[0043] 图5为图3中步骤S240的子步骤的流程示意图。
[0044] 图6为本发明较佳实施例提供的事件序列的示意图。
[0045] 图7为本发明较佳实施例提供的网址拦截装置的方框示意图。
[0046] 图标:10-拦截服务器;11-处理单元;12-通信单元;13-存储单元;20-网关设备;30-用户终端;40-网络;100-网址拦截装置;110-第一获取单元;120-第一判断单元;130-第二获取单元;140-第二判断单元;150-拦截单元。
具体实施方式
[0047] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
[0048] 因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0049] 应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。此外,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
[0050] 下面结合附图,对本发明的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
[0051] 请参照图1,是本发明较佳实施例提供的拦截服务器10、网关设备20(Gateway)、用户终端30及网络40的交互示意图。在本发明实施例中,拦截服务器10可以与至少一个网关设备20通信连接,以进行数据交互。一个网关设备20可与至少一个用户终端30通过网络40建立通信连接,以进行数据交互。其中,该所述拦截服务器10也可通过所述网络40与网关设备20建立通信连接。
[0052] 在本实施例中,拦截服务器10可从网关设备20获取网关设备20转发的报文(或流量、数据包等),通过对该报文进行判断识别。若该报文对应的事件为诈骗事件时,可根据预先设置在拦截服务器10的拦截策略拦截该报文对应的网址,以阻止用户终端30访问该网址。
[0053] 请参照图2,是本发明较佳实施例提供的拦截服务器10的方框示意图。在本实施例中,所述拦截服务器10可以包括处理单元11、通信单元12、存储单元13以及网址拦截装置100,所述处理单元11、通信单元12、存储单元13以及网址拦截装置100各个元件之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
[0054] 可理解地,所述处理单元11为处理器。例如,该处理器可以是中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。
[0055] 所述通信单元12用于通过网络40建立拦截服务器10与网关设备20的通信连接,并通过所述网络40收发数据。
[0056] 所述存储单元13可以是,但不限于随机存取存储器,只读存储器,可编程只读存储器,可擦除可编程只读存储器,电可擦除可编程只读存储器等。在本实施例中,所述存储单元13可以用于包括多个恶意网址的第一监控列表、访问过恶意网址的多个用户终端30的身份信息的第二监控列表等。当然,所述存储单元13还可以用于存储程序,所述处理单元11在接收到执行指令后,执行该程序。
[0057] 进一步地,所述网址拦截装置100包括至少一个可以软件或固件(firmware)的形式存储于所述存储单元13中或固化在所述拦截服务器10操作系统(operating system,OS)中的软件功能模块。所述处理单元11用于执行所述存储单元13中存储的可执行模块,例如网址拦截装置100所包括的软件功能模块及计算机程序等。
[0058] 可以理解的是,图2所示的结构仅为拦截服务器10的一种结构示意图,所述拦截服务器10还可以包括比图2所示更多或更少的组件。图2中所示的各组件可以采用硬件、软件或其组合实现。
[0059] 在本实施例中,所述用户终端30可以是,但不限于,智能手机、个人电脑(personal computer,PC)、平板电脑、个人数字助理(personal digital assistant,PDA)、移动上网设备(mobile Internet device,MID)等。所述网络40可以是,但不限于,有线网络或无线网络。
[0060] 请参照图3,是本发明较佳实施例提供的网址拦截方法的流程示意图。本发明提供的网址拦截方法可应用于上述的拦截服务器10,所述拦截服务器10与网关设备20通信连接,并预先存储有包括多个恶意网址的第一监控列表。该方法通过从网关设备20获取转发的报文,并对报文进行识别判断。在识别到该报文对应的网址为恶意网址后,拦截服务器10根据预先存储的拦截策略,对该报文之后一段时间内的报文所对应的网址进行拦截,也就是可对当前网络环境的各事件序列中满足拦截策略所对应的事件进行拦截,以提升用户的体验感。
[0061] 下面对图3中所示的网址拦截方法的具体流程和步骤进行详细阐述。在本实施例中,所述网址拦截方法可以包括以下步骤:
[0062] 步骤S210,从网关设备20获取用户终端30发送的第一目标报文。
[0063] 在本实施例中,所述第一目标报文为需要判断用户终端30发送的对应的网址是否为恶意网址的报文。其中,所述第一目标报文可以由所述网关设备20根据用户终端30发送的报文镜像生成。
[0064] 步骤S220,判断所述第一监控列表中是否存在与所述第一目标报文目的地址相同的网址。
[0065] 在本实施例中,第一监控列表中只存储恶意网址,根据存储的恶意网址对第一目标报文的目的地址进行判断。可理解的,若第一监控列表中的网址存在与第一目标报文目的地址相同的网址,则第一目标报文的目的网址为恶意网址;若第一监控列表中不存在与第一目标报文的目的网址相同的网址,则需要对该目的网址作进一步判断。比如,通过人工检测该目的网址是否为恶意网址。
[0066] 步骤S230,在为是时,从所述网关设备20获取该用户终端30第一预设时间段内发送的报文作为第二目标报文,根据所述第二目标报文记录生成事件序列,所述事件序列包括多个交互事件。
[0067] 在本实施例中,若第一目标报文的目的网址被判断为恶意网址,拦截服务器10将在获取到该第一目标报文之后的第一预设时间段内,继续从网关设备20获取用户终端30发送的报文并作为第二目标报文。可理解地,所述多个交互事件为第一预设时间段内,用户通过用户终端30访问的网址记录。每个事件可以包括但不限于第二目标报文到达的时间、源/目的身份信息、源/目的端口信息、报文类型、报文长度等其中一种或多种的组合。另外,该事件序列还可以包括对应的序列号。
[0068] 可理解地,步骤S230中,可将所述第二目标报文到达的时间、源/目的身份信息、源/目的端口信息、报文类型、报文长度构建为一个事件,多个不同时间点对应的事件组成对应的事件序列。
[0069] 进一步地,请参照图4,为图3中步骤S230的子步骤的流程示意图。在本实施例中,拦截服务器10可预先存储第二监控列表,该第二监控列表包括至少一个访问过恶意网址的用户终端30的身份信息。步骤S230可以包括子步骤S231及子步骤S232。
[0070] 子步骤S231,当第一监控列表中存在与第一目标报文目的地址相同的网址时,将发送该第一目标报文的用户终端30的身份信息记录在所述第二监控列表中。
[0071] 可理解地,若第一目标报文的目的地址为恶意网址,则将发送该报文对应的用户终端30的身份信息记录在第二监控列表中,以监控该用户终端30在访问恶意网址后的一段时间内所访问的其他网址信息。其中,对该用户终端30进行监控的时间可根据实际情况进行设定,也可以为持续监控,这里不作具体限定。
[0072] 子步骤S232,获取网关设备20在所述第一预设时间段内转发的报文,将源地址记录在所述第二监控列表中的报文作为第二目标报文。
[0073] 可理解地,所述第二目标报文为在判断获取的报文(第一目标报文)对应的网址为恶意网址之后,从网关设备20获取的报文。其中,当前第二目标报文对应的网址便为需要判断是否对该网址进行拦截的对象。比如,若当前访问的网址与之前访问恶意网址构成诈骗事件,便拦截当前访问的网址。
[0074] 步骤S240,针对每个所述第二目标报文,根据已记录的事件序列,计算判断该第二目标报文对应的事件是否归类为诈骗事件。
[0075] 拦截服务器10在获得第一目标报文的时间点与当前时间点之间,用户所访问网址对应的各事件及访问的第一目标报文对应的事件需要与当前第二目标报文的网址对应的事件进行计算判断,以确定当前第二目标报文对应的网址是否归类为诈骗事件。
[0076] 可选地,该方法还包括:记录每个用户终端30由访问恶意网址在第二预设时间段内形成的多个事件序列,将同一用户终端30在所述第二预设时间段内的形成的所述多个事件序列作为一个诈骗特征样本,并存储在所述样本库中。
[0077] 可理解地,拦截服务器10存储有包括多个诈骗特征样本的样本库,所述诈骗特征样本为用户终端30从访问到恶意网址到被判定为诈骗事件的访问流程中各事件的特征集合。其中,该诈骗特征样本可从用户在诈骗事后举报或公安立案得到,也可从拦截服务器10因用户终端30触发拦截网址而形成的一系列访问事件作为诈骗特征样本。当再次遇到同类诈骗事件时,可直接与样本库中记录的诈骗特征样本进行识别判断,以加速对诈骗的识别和相应网址拦截。
[0078] 进一步地,可参照图5,为图3中步骤S240的子步骤的流程示意图。其中,步骤S240可以包括子步骤S241及子步骤S242。
[0079] 子步骤S241,将所述第二目标报文在所述第一预设时间段内各时间点形成的事件作为目标特征,并计算所述目标特征与偏向所述样本库中的各诈骗特征样本的权重。
[0080] 可理解地,每个用户终端30对应的诈骗特征样本与该用户终端30对应的身份信息可组成特征向量,样本库中的各诈骗特征样本可形成矩阵,也就是该矩阵为各用户由访问恶意网址而触发诈骗的行为序列。可选地,可采用逻辑回归算法计算目标特征偏向该矩阵中各特征向量的权重。
[0081] 子步骤S242,选取计算的最大权重,并在所述最大权重超过预设阈值时,将所述目标特征对应的当前事件作为所述诈骗事件。
[0082] 可理解地,权重最大对应的诈骗事件样本,便为当前目标特征属于诈骗事件的可能性最大所对应的样本。所述预设阈值可根据实际情况进行设置,这里不不作具体限定。
[0083] 步骤S250,在为是时,根据预设拦截策略向所述网关设备20发送拦截指令,以使所述用户终端30停止访问当前所述第二目标报文对应的网址。
[0084] 在本实施例中,若确定了第一目标报文之后所访问的一系列网址对应的事件将构成诈骗事件时,当所述用户终端30访问当前所述第二目标报文对应的事件序列为预设事件序列时,拦截服务器10便向所述网关设备20发送拦截指令,以使所述用户终端30停止访问当前所述第二目标报文对应的网址。
[0085] 例如,在确定第一目标报文将构成诈骗事件后,在获取第一目标报文之后各事件的序列号为预设序列号时,拦截服务器10便向网关设备20发送拦截指令,以使网关设备20对该事件对应的网址进行拦截。也就是若当前第二目标报文对应的事件的序列号为预设序列号,便使用户终端30停止访问该目标报文对应的网址。
[0086] 在现有技术中,若识别到当前网址可能为恶意网址,便进行拦截。而基于上述设计,本发明在识别到用户访问的网址为恶意网址后,还需进一步判断在这之后的一段时间内,该用户通过用户终端30访问的其他网址的信息,以对整个访问过程进行识别判断,可提高对网址拦截的准确性及可靠性,有助于提升用户的体验感。
[0087] 在本实施例中,用户可根据实际情况设置拦截策略。例如,若用户对网络环境安全性要求严格,比如企业内网,则操作人员可以把拦截策略设置在诈骗事件序列的序列号靠前阶段,比如在识别到当前访问的网址为恶意网址时就切断用户终端30与当前恶意网址对应的设备(或网络虚拟设备)的通信连接。又例如,当用户处于社区网络时,操作人员可以将拦截策略设置到序列号相对靠后的阶段,比如在识别到当前访问网址与之前访问的恶意网址将构成诈骗事件时,切断其通信连接。
[0088] 值得说明的是,若样本库中并未存储当前事件的样本,可将第一预设时间段内的各事件组成诈骗事件特征,根据该诈骗事件特征计算第一目标报文对应的事件特征在访问当前网址将导致诈骗的权重,若该权重超过对应的阈值(可根据实际情况进行设置),则对当前网址进行拦截。为了本发明的方案更加清晰,下面将举例对本方案进行描述。
[0089] 例如,将事件序列命名为Evnet[i],i表示序列中的时间序号;将相邻两个时间的时间差值命名为TimeDelta[i],比如TimeDelta[2]=56s表示序列中第2个事件在第1个事件后56秒发生;将事件对应的报文的源地址命名为IpSource[i];将事件对应的报文的目的地址命名为IpDestination[i];将报文内容命名为PortSource[i];将报文的长度命名为Length[i]。将每个事件中的元素与时间差值组成一个事件特征向量,将其命名为FeatureEvent[i],比如FeatureEvent[3]表示事件序列中的第3个事件的特征集合,其中包括TimeDelta[3],IpSource[3],IpDestination[3],PortSource[3],PortDestination[3],Length[3]等元素。
[0090] 将事件序列中所有事件的特征向量拼装成一个向量AggregateFeatureEvent(即FeatureEvent[1],FeatureEvent[2],FeatureEvent[3],……),该向量便可描述用户终端30在访问恶意网址后一段时间内的数据访问行为。
[0091] 假设用户在网络40中访问操作按时间排序如图6所示(图6方括号中的数字表示事件序列中的序列号)。若用户终端30在向外网发送执行序列号为[8]的事件的报文(第二目标报文)时,也就是在时间为10:10:43时,访问网银网址www.bank.com,那么基于上述设计,便将报文组装成事件序列中的第8个事件,然后将数据包的各个字段组装成事件[8]的特征向量,即TimeDelta[8],IpSource[8],IpDestination[8],PortSource[8],PortDestination[8],Protocol[8],Length[8]……。然后将事件[8]的特征向量与事件序列中之前的7个事件对应的7个特征向量,依次拼装成事件[8]的AggregateFeatureEvent,并与事件[1](访问恶意网址对应的事件)权重做点积计算,假设计算得到值5.737,预设阈值为0.99,将结果带入logistic function计算1/(1+e^5.737),得到结果0.9968,超过预设阈值,即判定此次访问对应的事件属于诈骗事件。拦截服务器10向网关设备20发送拦截指令,网关设备20收到后断开用户终端30事件[8]对应的网址链接,使用户终端30无法访问网银页面,即阻止了诈骗事件。
[0092] 请参照图7,是本发明较佳实施例提供的网址拦截装置100的方框示意图。本发明较佳实施例提供的网址拦截装置100可应用于与网关设备20通信连接的拦截服务器10,所述拦截服务器10与网关设备20通信连接,所述拦截服务器10预先存储有包括多个恶意网址的第一监控列表。该网址拦截装置100可与上述的网址拦截方法相配合,以对网络诈骗事件对应的网址进行拦截。该网址拦截装置100可以包括第一获取单元110、第一判断单元120、第二获取单元130、第二判断单元140及拦截单元150。
[0093] 第一获取单元110,用于从所述网关设备20获取用户终端30发送的第一目标报文。具体地,第一获取单元110可以用于执行如图3所示的步骤S210,具体的操作内容可参照对步骤S210的详细描述,这里不再赘述。
[0094] 第一判断单元120,用于判断所述第一监控列表中是否存在与所述第一目标报文目的地址相同的网址。具体地,第一判断单元120可以用于执行如图3所示的步骤S220,具体的操作内容可参照对步骤S220的详细描述,这里不再赘述。
[0095] 第二获取单元130,用于在所述第一判断单元120的判断结果为是时,从所述网关设备20获取该用户终端30第一预设时间段内发送的报文作为第二目标报文,根据所述第二目标报文记录生成事件序列,所述事件序列包括多个交互事件。具体地,第二获取单元130可以用于执行如图3所示的步骤S230,具体的操作内容可参照对步骤S230的详细描述,这里不再赘述。
[0096] 第二判断单元140,用于针对每个所述第二目标报文,根据已记录的事件序列,计算判断该第二目标报文对应的事件是否归类为诈骗事件。具体地,第二判断单元140可以用于执行如图3所示的步骤S240,具体的操作内容可参照对步骤S240的详细描述,这里不再赘述。
[0097] 拦截单元150,用于在所述第二判断单元140的判断结果为是时,根据预设拦截策略向所述网关设备20发送拦截指令,以使所述用户终端30停止访问当前所述第二目标报文对应的网址。具体地,拦截单元150可以用于执行如图3所示的步骤S250,具体的操作内容可参照对步骤S250的详细描述,这里不再赘述。
[0098] 综上所述,本发明提供一种网址拦截方法及装置。所述方法及装置通过判断第一监控列表中是否存在与获取的第一目标报文目的地址相同的网址;在为是时,从网关设备获取该用户终端第一预设时间段内发送的报文作为第二目标报文,根据第二目标报文记录生成事件序列,该事件序列包括多个交互事件;针对每个第二目标报文,根据已记录的事件序列,计算判断该第二目标报文对应的事件是否归类为诈骗事件;在为是时,根据预设拦截策略向网关设备发送拦截指令,以使用户终端停止访问当前第二目标报文对应的网址。基于该预设拦截策略,可在网络环境在多个环节准确高效地拦截恶意网址,有助于提升用户体验感。
[0099] 以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。