一种安全检测方法、装置、电子设备及存储介质

技术领域

本发明涉及网络安全技术领域，尤其涉及一种安全检测方法、装置、电子设备及存储介质。

背景技术

为了保障计算机可以访问互联网，当计算机上安装了防火墙时，防火墙需要保留如HTTP等常用协议的默认端口，以允许计算机通过浏览器访问Web服务器的流量，以及允许Web服务器响应浏览器请求的流量通过。

而这一点容易被攻击者利用，使得攻击者趁机将木马病毒、勒索病毒等潜入计算机中。如果攻击者伪装了提供Web服务的服务器，则该木马病毒会每间隔一段时间向攻击者伪装的提供Web服务的服务器发送HTTP请求，或者，如果攻击者在提供Web服务的真实服务器中注册了账户，则该木马病毒会每间隔一段时间向真实服务器发送访问攻击者账户的HTTP请求，从而与攻击者建立通讯。在与攻击者建立通讯之后，攻击者可以通过已建立的通讯对潜伏的木马病毒下达指令，感染其他计算机、搜集网络拓扑信息、非法窃取重要敏感数据等。

发明内容

有鉴于此，本发明实施例提供一种安全检测方法、装置、电子设备及存储介质，便于对潜伏于网内主机上的木马病毒或勒索病毒等发送的服务请求进行有效识别，从而提高网络的安全性。

第一方面，本发明实施例提供的安全检测方法，包括步骤：捕获当前主机上的服务请求端发送的服务请求包；所述服务请求包中携带有特征标识，所述特征标识用于表征所述服务请求端对应的用户代理信息；对所述服务请求包进行解析，提取出所述服务请求包中携带的所述特征标识；将所述特征标识与所述服务请求端对应的安全特征标识进行比对；若确定比对结果满足预设条件，则确定所述服务请求包为异常服务请求包，并确定所述当前主机存在安全异常。

可选的，所述确定所述当前主机存在安全异常包括：确定所述服务请求包由病毒发出，且该病毒潜伏在所述当前主机上的服务请求端中；在所述确定所述服务请求包为异常服务请求包之后，所述方法还包括：阻断与所述服务请求包对应的服务请求进程，并在确定所述当前主机存在安全异常之后，将所述服务请求端中存在的病毒清除。

可选的，所述服务请求包为基于HTTP协议的服务请求消息，所述特征标识包括：服务请求端使用的浏览器类型、版本、内核，和/或，操作系统类型及版本信息；所述对所述服务请求包进行解析，提取出所述请求包中携带的所述特征标识包括：对所述服务请求包进行拆解，得到所述服务请求包的HTTP请求头；从所述请求头中的User-Agent字段中提取到所述特征标识。

可选的，在确定所述当前主机存在安全异常之后，所述方法还包括：解析出所述服务请求包中的异常URL；根据所述异常URL，检测与所述当前主机处于同一局域网内的其它主机是否存在安全异常。

可选的，所述根据所述异常URL，检测与所述当前主机处于同一局域网内的其它主机是否存在安全异常包括：获取所述其它主机上的服务请求端发送的服务请求包中的待检测URL；将所述待检测URL与所述异常URL进行匹配；若匹配，则确定其它主机存在安全异常；所述安全异常包括：由疑似存在木马病毒或存在木马病毒引起的安全异常；将所述其它主机中存在的病毒清除。

可选的，所述确定比对结果满足预设条件包括：若所述特征标识与所述服务请求端对应的安全特征标识比对不一致，并且已记录的当前主机发送的异常服务请求包的数量大于预设阈值，则确定所述比对结果满足预设条件。

可选的，所述服务请求端包括浏览器；所述安全特征标识为：当前主机上的服务请求端发送的正常服务请求包中携带的特征标识；所述安全检测方法还包括：若比对一致，则确定所述服务请求包安全；或，若比对一致，则确定所述服务请求包为安全服务请求包，将该安全服务请求包转发给服务响应端；根据该安全服务请求包携带的所述特征标识更新所述安全特征标识。

第二方面，本发明还实施例提供一种安全检测装置，包括：捕获程序模块，用于捕获当前主机发送的服务请求包；所述服务请求包中携带有表征所述服务请求端信息的特征标识；解析程序模块，用于对所述服务请求包进行解析，提取出所述服务请求包中携带的所述特征标识；比对程序模块，用于将所述特征标识与安全服务请求端特征标识进行比对；确定程序模块，用于若比对不一致，则确定该服务请求包存在安全异常。

第三方面，本发明还实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述第一方面任一所述的服务请求安全检测方法。

第四方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现第一方面任一所述的服务请求安全检测方法。

本发明实施例提供的安全检测方法、装置、电子设备及存储介质，通过步骤：捕获当前主机上的服务请求端发送的服务请求包；所述服务请求包中携带有特征标识，所述特征标识用于表征所述服务请求端对应的用户代理信息；对所述服务请求包进行解析，提取出所述服务请求包中携带的所述特征标识；将所述特征标识与所述服务请求端对应的安全特征标识进行比对；若确定比对结果满足预设条件，则确定所述服务请求包为异常服务请求包，并确定所述当前主机存在安全异常，便于对潜伏于网内主机上的木马病毒或勒索病毒等发送的服务请求进行有效识别，从而提高网络的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明一实施例安全检测方法流程示意图；

图2为本发明另一实施例安全检测方法流程示意图；

图3为本发明安全检测装置一实施例架构示意图；

图4为本发明电子设备一个实施例的架构示意框图。

具体实施方式

下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

现有技术中，用户在常用主机上的浏览器一般是固定的，所以用户在使用浏览器请求web服务时，服务请求端发送的服务请求包中的内容，例如，服务请求包中HTTP(超文本传输协议，Hypertext transfer protocol)请求头中的User-Agent(中文名为用户代理，是Http协议中的一部分，属于头域的组成部分，User-Agent也简称UA。它是一个特殊字符串头，是一种向访问网站提供你所使用的浏览器类型及版本、操作系统及版本、浏览器内核、等信息的标识)字段中的内容一般也是固定的。而攻击者下发的木马病毒会潜伏在主机中伪装浏览器发送请求，与攻击者建立通讯，按照攻击者发出的指令发起攻击。

在具体应用时，攻击者的木马病毒会随着计算机用户使用浏览器与互联网交互时，潜入计算机，木马病毒潜入计算机之后，并不会立即对计算机发起攻击，而是每间隔一段时间通过HTTP请求访问攻击者伪装的服务器，或者，访问攻击者注册的真实账户(这里的访问间隔时间可以是固定的时间或者随机的时间)。在访问攻击者伪装的服务器，得到进行攻击、或者感染其他计算机、盗窃文件等命令的响应信息时，开始按照指令发起攻击，或者，在访问攻击者注册的真实账户(通常这一方法木马的伪装能力会更强，因为攻击者的账户是合法注册在真实提供web服务的服务器中)，从攻击者的账户中读取到指定的信息之后，开始按照指定的信息所隐含的攻击指令发起攻击。

本发明实施例通过捕获当前主机上的服务请求端发送的服务请求包并对服务请求包进行解析得到其中携带的特征标识，将特征标识与服务请求端对应的安全特征标识进行比对，可以对潜伏于网内主机上的木马病毒或勒索病毒等发送的服务请求进行有效识别，从而提高网络的安全性。

实施例一

图1为本发明一实施例安全检测方法流程示意图，请参看图1所示，本发明实施例提供的一种安全检测方法，包括步骤：

S110、捕获当前主机上的服务请求端发送的服务请求包；所述服务请求包中携带有特征标识，所述特征标识用于表征所述服务请求端对应的用户代理信息；

具体的，用户可以使用抓包软件，例如，Flidder(能够记录客户端和服务端之间的所有HTTP请求)、Httpwatch(IE下强大的网页数据分析工具)、其他浏览器的内置抓包工具等、或者计算机上安装的防火墙捕获当前主机上的服务请求端发送的服务请求包，其中，服务请求包中携带有特征标识，可以用于表征服务请求端对应的用户代理信息。

S120、对所述服务请求包进行解析，提取出所述服务请求包中携带的所述特征标识；

具体的，在捕获服务请求包之后，要对服务请求包进行解析，提取出服务请求包中携带的特征标识。

S130、将所述特征标识与所述服务请求端对应的安全特征标识进行比对；

具体的，提取出服务请求包中携带的特征标识后与预先获取的本计算机上的服务请求端对应的安全特征标识进行比对。

S140、若确定比对结果满足预设条件，则确定所述服务请求包为异常服务请求包，并确定所述当前主机存在安全异常。

具体的，所述确定比对结果满足预设条件包括：若所述特征标识与所述服务请求端对应的安全特征标识比对不一致，并且已记录的当前主机发送的异常服务请求包的数量大于预设阈值，则确定所述比对结果满足预设条件，当比对结果满足预设条件时，确定服务请求包为异常服务请求包，并确定当前主机存在安全异常；当比对结果不满足预设条件，即服务请求包中携带的特征标识与服务请求端对应的安全特征标识比对一致，则确定该服务请求包正常，允许该服务请求包通过。

进一步的，在步骤S110中，所述服务请求包为基于HTTP(超文本传输协议，Hypertext transfer protocol)协议的服务请求消息，所述特征标识包括：服务请求端使用的浏览器类型、版本、内核，和/或，操作系统类型及版本信息；在步骤S120中，所述对所述服务请求包进行解析，提取出所述请求包中携带的所述特征标识包括：对所述服务请求包进行拆解，得到所述服务请求包的HTTP请求头；从所述请求头中的User-Agent字段中提取到所述特征标识。

具体的，由于用户在常用计算器上的浏览器一般是固定的，所以用户在使用浏览器请求web服务时，特别是基于HTTP协议的服务请求消息一般也是固定的。而攻击者下发木马病毒不会针对每一计算机上的浏览器定制木马，因此木马病毒并不能获知每一计算机上常用的浏览器，所以要捕获基于HTTP协议的服务请求消息的服务请求包，并对捕获的服务请求包进行拆解，得到服务请求包的HTTP请求头，从HTTP请求头中的User-Agent字段中提取服务请求端使用的浏览器类型、版本、内核，或操作系统类型及版本信息。

进一步的，在步骤S130中，所述服务请求端包括浏览器；所述安全特征标识为：当前主机上的服务请求端发送的正常服务请求包中携带的特征标识；其中，所述安全检测方法还包括：若比对一致，则确定所述服务请求包安全；或，若比对一致，则确定所述服务请求包为安全服务请求包，将该安全服务请求包转发给服务响应端；根据该安全服务请求包携带的所述特征标识更新所述安全特征标识。

具体的，服务请求端包括用户使用的浏览器，而安全特征标识为当前主机上的服务请求端发送的正常服务请求包中携带的特征标识，例如，本计算机上的浏览器发出的正常HTTP请求包中解析的User-Agent字段，或者，基于HTTP协议、计算机版本、浏览器类型版本等生成的正常信息。其中，在提取出服务请求包中携带的特征标识后与预先获取的本计算机上的服务请求端对应的安全特征标识进行比对时，若比对一致，则确定该服务请求包安全；或，若比对一致，则确定该服务请求包为安全服务请求包，将该安全服务请求包转发给服务响应端；如果安全服务请求包携带的特征标识包括的内容除了和安全特征标识一致的内容，还有其他内容，则对现有的安全特征标识进行更新。

进一步的，在步骤S140中，所述确定所述当前主机存在安全异常包括：确定所述服务请求包由病毒发出，且该病毒潜伏在所述当前主机上的服务请求端中；在所述确定所述服务请求包为异常服务请求包之后，所述方法还包括：阻断与所述服务请求包对应的服务请求进程，并在确定所述当前主机存在安全异常之后，将所述服务请求端中存在的病毒清除。

具体的，将提取出服务请求包中携带的特征标识后与预先获取的本计算机上的服务请求端对应的安全特征标识进行比对，对比对结果制定预设条件来判断对比结果是否满足预设条件，其中，预设条件包括：提取出的服务请求包的特征标识与服务请求端对应的安全特征标识比对不一致，例如，服务请求包的HTTP请求头中的User-Agent字段是空的，或者服务请求包的HTTP请求头中的User-Agent字段与本计算机上的浏览器发出的正常HTTP请求包中解析的User-Agent字段不一致，并且已记录的当前主机发送的异常服务请求包的数量大于预设阈值。当比对结果满足预设条件时，确定服务请求包为异常服务请求包，并确定当前主机存在安全异常，确定服务请求包由病毒发出，且该病毒潜伏在当前主机上的服务请求端中；最后阻断与该异常服务请求包对应的服务请求进程，并在确定当前主机存在安全异常之后，将服务请求端中存在的病毒清除。

在一些实施例中，在确定所述当前主机存在安全异常之后，所述方法还包括：解析出所述服务请求包中的异常URL(Uniform Resource Locator，URL，是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示，是互联网上标准资源的地址)；根据所述异常URL，检测与所述当前主机处于同一局域网内的其它主机是否存在安全异常。

具体的，在确定该服务请求包为病毒发出的异常HTTP请求包，阻断该请求包对应的HTTP请求进程，清除木马病毒的同时，解析出病毒发出的异常HTTP请求包中的URL，根据解析出的异常URL，检测与当前主机处于同一局域网内的其它主机是否存在安全异常。

进一步的，所述根据所述异常URL，检测与所述当前主机处于同一局域网内的其它主机是否存在安全异常包括：获取所述其它主机上的服务请求端发送的服务请求包中的待检测URL；将所述待检测URL与所述异常URL进行匹配；若匹配，则确定其它主机存在安全异常；所述安全异常包括：由疑似存在木马病毒或存在木马病毒引起的安全异常；将所述其它主机中存在的病毒清除。

具体的，获取与当前主机处于同一局域网内的其它主机上的服务请求端发送的服务请求包中的待检测URL，将待检测URL与异常URL进行匹配，异常HTTP请求包中的URL，指示了攻击者伪装的服务器的地址，或者，指示了攻击者在真实服务器中注册的账户的地址，因为一般用户向真实服务器请求服务，不会固定的一直访问一个固定的账户，所以可以通过解析病毒访问的URL，将待检测URL与异常URL进行匹配，判断其他计算机中是不是也存在病毒，若匹配，则确定其它主机存在安全异常，即由疑似存在木马病毒或存在木马病毒引起的安全异常，最后将其它主机中存在的病毒清除。

请参看图2所示，本发明实施例提供的安全检测方法具体步骤为：

S21，捕获计算机上的HTTP请求包；

S22，对HTTP请求包进行解析；

S23，与主机正常HTTP请求包对比；

S24，对比一致，确定该请求包正常，允许该请求包通过；

S25，请求包携带除安全特征标识一致的内容外的其他内容，对现有的安全特征标识进行更新，结束；

S26，对比不一致，阻断该请求包对应的HTTP请求进程，清除木马病毒；

S27，解析出木马病毒发出的异常HTTP请求包中的URL；

S28，匹配与上述存在木马的计算机处于同一局域网的其他计算机中的各HTTP请求中的URL；

S29，匹配成功，确定其他计算机中也可能存在木马，对其他计算机中可能存在的木马进行清除，结束。

本发明实施例提供的安全检测方法，通过捕获当前计算机上的浏览器发送的服务请求包并对服务请求包进行解析得到HTTP请求包中的User-Agent字段，将得到HTTP请求包中的User-Agent字段与预先获取的本计算机上的浏览器发出的正常HTTP请求包中的User-Agent字段进行对比，判断服务请求包是否正常，可以对潜伏于网内主机上的木马病毒或勒索病毒等发送的服务请求进行有效识别，同时进一步查找出同一局域网中可能感染木马病毒或勒索病毒的其他计算机，从而提高网络的安全性。

实施例二

本发明实施例提供一种硬件防火墙，所述硬件防火墙用于执行实施例一任一所述的安全检测方法。

进一步的，本发明实施例还提供一种主机，安装有防火墙，所述防火墙用于执行实施例一任一所述的安全检测方法。

进一步的，本发明实施例还提供一种主机安全检测方法，包括：实施例一任一所述的安全检测方法，所述方法还包括：在确定该服务请求包存在异常之后，判定当前主机存在安全异常。

具体的，在经过对服务请求包提取出的特征标识与服务请求端对应的安全特征标识进行比对确定该服务请求包存在异常之后，判定当前主机存在安全异常。

本实施例的硬件防火墙、主机及主机安全检测方法，其实现原理和技术效果与前述实施例一中相应安全检测实施例类似，未详细述及之处，可以相互参看，此处不再赘述。

实施例三

基于与前述实施例一基本相同的技术构思，本发明还实施例提供一种安全检测装置，如图3所示，所述安全检测装置包括：

捕获程序模块31，用于捕获当前主机发送的服务请求包；所述服务请求包中携带有表征所述服务请求端信息的特征标识；

解析程序模块32，用于对所述服务请求包进行解析，提取出所述服务请求包中携带的所述特征标识；

比对程序模块33，用于将所述特征标识与安全服务请求端特征标识进行比对；

确定程序模块34，用于若比对不一致，则确定该服务请求包存在安全异常。

本发明实施例提供的检测装置，可以嵌入防火墙程序中，或者作为独立程序与其他软件程序协同运行，在具体实施时，本检测装置可以通过防火墙软件，将计算机上已安装的各程序对应的进程划入白名单中，基于计算机上的各软件一般只有浏览器使用HTTP协议，迫使木马病毒只能注入到白名单中的浏览器中，伪装成浏览器发送HTTP请求，从而进一步对病毒进行检测。

本实施例的装置，其实现原理和技术效果与前述实施例一中相应安全检测实施例类似，未详细述及之处，可以相互参看，此处不再赘述。

实施例四

图4为本发明电子设备一个实施例的架构示意框图；基于与前述实施例一基本相同的技术构思，本发明实施例提供的电子设备，如4所示，可以实现本发明实施例一中任一所述的实施例方法的步骤流程。

上述电子设备可以包括：壳体41、处理器42、存储器43、电路板44和电源电路45，其中，电路板44安置在壳体41围成的空间内部，处理器42和存储器43设置在电路板44上；电源电路45，用于为上述电子设备的各个电路或器件供电；存储器43用于存储可执行程序代码；处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述实施例一中任一所述的安全检测方法。

处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤，可以参见本发明实施例一的描述，在此不再赘述。

所述电子设备以多种形式存在，包括但不限于：

(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iPhone)、多媒体手机、功能性手机，以及低端手机等。

(2)超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：PDA、MID和UMPC设备等，例如iPad。

(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放器(例如iPod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。

(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

(5)其他具有数据交互功能的电子设备。

实施例五

本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述实施例一任一所述的安全检测方法，因此也能实现相应的技术效果，前文已经进行了详细说明，此处不再赘述。

综上，本发明实施例提供的一种安全检测方法、装置、电子设备及存储介质，通过捕获当前主机上的浏览器发送的服务请求包并对服务请求包进行解析得到HTTP请求包中的User-Agent字段，将得到HTTP请求包中的User-Agent字段与预先获取的主机上的浏览器发出的正常HTTP请求包中的User-Agent字段进行对比，判断服务请求包是否正常，可以对潜伏于网内主机上的木马病毒或勒索病毒等发送的服务请求进行有效识别，同时进一步查找出同一局域网中可能感染木马病毒或勒索病毒的其他计算机，从而提高网络的安全性。

进一步的，对伪装能力较强的HTTP请求的识别能力较强，能够避免计算机上潜伏的木马病毒伪装浏览器发送请求，与攻击者建立通讯，保障计算机的安全。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。

为了描述的方便，若涉及系统、服务器等，可能是以功能分为各种单元/模块分别描述。当然，在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random AccessMemory，RAM)等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。