[发明专利]一种针对WEB主动推送跳转页面的防御方法和系统

说明书

本发明公开了一种针对WEB主动推送跳转页面的防御方法，涉及网络安全技术领域，包括以下步骤：对WEB服务器的数据进行镜像；对镜像后的数据进行分析，提取WEB服务器的IP、PORT和域名；依照传输层、应用层的顺序对WEB服务器进行多层次拦截，获得可疑域名；对所述可疑域名以及对应的IP、PORT缓存；针对所述可疑域名，模拟WEB流程对WEB服务器进行访问测试；将测试不通过的可疑域名记录为非法域名，对应的IP+PORT添加到传输层的黑名单中；本发明还公开了一种针对WEB主动推送跳转页面的防御系统。本发明提升了域名拦截的性能，通过传输层黑名单实现拦截WEB主动推送跳转页面的非法应用。

技术领域

本发明涉及网络安全技术领域，尤其针对一种WEB主动推送跳转页面的防御方法和系统。

背景技术

域名备案DNICP(Domain Name Internet Content Provider)的目的就是为了防止在网上从事非法的网站经营活动，打击不良互联网信息的传播。而现在市场上的域名备案监管产品（域名白名单系统）基本都是以旁路的模式来实现。

现有阻止未备案域名是通过对数据报文的分析提取域名，并对域名进行判断是否备案来实现应用是否可以被访问。请参照图1，要实现拦截功能则必须在客户接收到HTTPRESPONSE报文之前中断客户和WEB服务器之间的TCP连接或者仿造一个HTTP RESPONSE报文（一般是提示错误信息的页面+400以上的HTTP错误码组成）。

正常情况WEB服务器是在收到客户GET报文，分析客户需要的资源，然后把资源封装在HTTP RESPONSE报文中反馈给客户。现在市场上的域名白名单系统一般都能成功拦截到。但是如果非正常应用（往往对应非法WEB应用色情、赌博等），如图1在进行1、2、3步骤进行3次握手建立TCP连接后，WEB服务器不等4步骤等待客户的GET请求报文，而是直接给客户发送一个RESPONSE报文（一般这种报文是一个页面跳转），这个时候则域名白名单系统则无法进行监管。2019年下半年就爆发了这种非法应用情况，而国内的IDC服务商的域名白名单系统针对这种情况都是不能进行有效监管。

发明内容

本发明的目的在于提供一种针对WEB主动推送跳转页面的防御方法和系统，提升了域名拦截的性能，通过TCP层黑名单实现拦截WEB主动推送跳转页面的非法应用。

为实现上述目的，本发明提供如下技术方案：

一种针对WEB主动推送跳转页面的防御方法，其特征在于，包括以下步骤：

S1，对WEB服务器的数据进行镜像；

S2，对镜像后的数据进行分析，提取WEB服务器的IP、PORT和域名；

S3，依照传输层、应用层的顺序对WEB服务器进行多层次拦截，获得可疑域名；

S4，对所述可疑域名以及对应的IP、PORT缓存；

S5，针对所述可疑域名，模拟WEB流程对WEB服务器进行访问测试；

S6，将测试不通过的可疑域名记录为非法域名，对应的IP+PORT添加到TCP层的黑名单中。

进一步的，所述S3中，多层次拦截的具体步骤如下：

S31、传输层过滤，若WEB服务器的IP+PORT在黑名单内，则进行拦截并结束，否则进入S32；

S32，应用层过滤，若WEB服务器的域名在白名单内，则结束，否则将该域名记为可疑域名。

进一步的， 所述S4的具体方法为：将可疑域名以及对应的IP、PORT写入内存缓存或数据库存储。

进一步的，所述S5中访问测试的具体内容为：