本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法及裝置。
背景技術(shù):
商超、門(mén)店、咖啡廳、機(jī)場(chǎng)等公共場(chǎng)所,往往架設(shè)有公用無(wú)線網(wǎng)絡(luò),其中最常用的就是wifi,公共場(chǎng)所通過(guò)一個(gè)或多個(gè)ap(accesspoint,接入點(diǎn))實(shí)現(xiàn)預(yù)設(shè)范圍內(nèi)的wifi覆蓋,為用戶提供了方便的上網(wǎng)環(huán)境。
然而,公共場(chǎng)所wifi的安全性一般較差,一些惡意wifi很容易導(dǎo)致用戶的個(gè)人信息泄露。比如,攻擊者通過(guò)搭建惡意ap,并通過(guò)惡意ap的dhcp(dynamichostconfigurationprotocol,動(dòng)態(tài)主機(jī)配置協(xié)議)服務(wù)器為客戶端分配惡意dns(domainnamesystem,域名系統(tǒng))代理的ip地址,這樣,用戶通過(guò)客戶端上網(wǎng)時(shí),惡意dns代理會(huì)將客戶端的域名請(qǐng)求解析到惡意web代理,惡意web代理植入惡意腳本到相應(yīng)網(wǎng)絡(luò)數(shù)據(jù)包,從而將用戶引誘到非法網(wǎng)站上,實(shí)施抓包嗅探、網(wǎng)絡(luò)釣魚(yú)等非法竊取用戶個(gè)人信息的行為,這將導(dǎo)致用戶在不經(jīng)意間泄露個(gè)人信息,嚴(yán)重威脅了用戶的上網(wǎng)安全,目前還缺乏一種有效檢測(cè)wifi惡意性的方法。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的主要目的在于提出一種檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法及裝置,旨在實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)惡意性的主動(dòng)檢測(cè),提高用戶使用無(wú)線網(wǎng)絡(luò)上網(wǎng)的安全性。
為實(shí)現(xiàn)上述目的,本發(fā)明提供一種檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法,所述方法包括如下步驟:
在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí),通過(guò)所述無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求,所述域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù);
獲取所述dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址,判斷所述ip地址是否與預(yù)設(shè)的ip地址匹配,記錄第一判斷結(jié)果;
根據(jù)所述ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的所述第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本,記錄第二判斷結(jié)果;
根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。
可選地,所述根據(jù)所述ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的所述第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本,記錄第二判斷結(jié)果的步驟之后,還包括:
根據(jù)預(yù)設(shè)知名網(wǎng)站的ip地址發(fā)起第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本,并記錄第三判斷結(jié)果;
所述根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性的步驟包括:
根據(jù)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。
可選地,所述判斷響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本的步驟包括:
將響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)設(shè)的所述知名網(wǎng)站的腳本進(jìn)行對(duì)比;
若響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)設(shè)的所述知名網(wǎng)站的腳本不匹配,則判定響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入惡意腳本。
可選地,所述根據(jù)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性的步驟包括:
對(duì)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果進(jìn)行分析,得到所述無(wú)線網(wǎng)絡(luò)的風(fēng)險(xiǎn)等級(jí);
若所述風(fēng)險(xiǎn)等級(jí)大于或等于預(yù)設(shè)的風(fēng)險(xiǎn)等級(jí),則判定所述無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)。
可選地,所述根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性的步驟之后,還包括:
在判定所述無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)時(shí),發(fā)出相應(yīng)告警信息。
此外,為實(shí)現(xiàn)上述目的,本發(fā)明還提供一種檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的裝置,所述裝置包括:
發(fā)送模塊,用于在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí),通過(guò)所述無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求,所述域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù);
第一判斷模塊,用于獲取所述dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址,判斷所述ip地址是否與預(yù)設(shè)的ip地址匹配,記錄第一判斷結(jié)果;
第二判斷模塊,用于根據(jù)所述ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的所述第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本,記錄第二判斷結(jié)果;
分析模塊,用于根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。
可選地,所述裝置還包括:
第三判斷模塊,用于根據(jù)預(yù)設(shè)知名網(wǎng)站的ip地址發(fā)起第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本,并記錄第三判斷結(jié)果;
所述分析模塊還用于根據(jù)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。
可選地,所述第三判斷模塊還用于:
將響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)設(shè)的所述知名網(wǎng)站的腳本進(jìn)行對(duì)比;
若響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)設(shè)的所述知名網(wǎng)站的腳本不匹配,則判定響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入惡意腳本。
可選地,所述分析模塊還用于:
對(duì)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果進(jìn)行分析,得到所述無(wú)線網(wǎng)絡(luò)的風(fēng)險(xiǎn)等級(jí);
若所述風(fēng)險(xiǎn)等級(jí)大于或等于預(yù)設(shè)的風(fēng)險(xiǎn)等級(jí),則判定所述無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)。
可選地,所述裝置還包括:
告警模塊,用于在判定所述無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)時(shí),發(fā)出相應(yīng)告警信息。
本發(fā)明在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí),通過(guò)所述無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求,所述域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù);獲取所述dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址,判斷所述ip地址是否與預(yù)設(shè)的ip地址匹配,記錄第一判斷結(jié)果;根據(jù)所述ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的所述第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本,記錄第二判斷結(jié)果;根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。通過(guò)上述方式,本發(fā)明能夠判斷dns服務(wù)器是否被劫持,以及判斷響應(yīng)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本,從而能夠?qū)崿F(xiàn)無(wú)線網(wǎng)絡(luò)惡意性的主動(dòng)檢測(cè),提高用戶使用無(wú)線網(wǎng)絡(luò)上網(wǎng)的安全性。
附圖說(shuō)明
圖1為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法第一實(shí)施例的流程示意圖;
圖2為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法第二實(shí)施例的流程示意圖;
圖3為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法第三實(shí)施例的流程示意圖;
圖4為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的裝置第一實(shí)施例的功能模塊示意圖;
圖5為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的裝置第二實(shí)施例的功能模塊示意圖;
圖6為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的裝置第三實(shí)施例的功能模塊示意圖。
本發(fā)明目的的實(shí)現(xiàn)、功能特點(diǎn)及優(yōu)點(diǎn)將結(jié)合實(shí)施例,參照附圖做進(jìn)一步說(shuō)明。
具體實(shí)施方式
應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
本發(fā)明提供一種檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法。
參照?qǐng)D1,圖1為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法第一實(shí)施例的流程示意圖。所述方法包括如下步驟:
步驟s10,在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí),通過(guò)所述無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求,所述域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù);
在本實(shí)施例中,移動(dòng)終端包括智能手機(jī)、平板電腦、筆記本等具有無(wú)線網(wǎng)絡(luò)接入功能的設(shè)備,無(wú)線網(wǎng)絡(luò)即wlan(wirelesslocalareanetworks,無(wú)線局域網(wǎng)絡(luò)),是一種利用射頻技術(shù)進(jìn)行據(jù)傳輸?shù)南到y(tǒng),常見(jiàn)的wlan熱點(diǎn)信號(hào)包括cmcc(中國(guó)移動(dòng))、chinanet(中國(guó)公用計(jì)算機(jī)互聯(lián)網(wǎng))等。wifi作為無(wú)線聯(lián)網(wǎng)的技術(shù)之一,被廣泛應(yīng)用于各種場(chǎng)合,通常情況下,用戶通過(guò)移動(dòng)終端的wifi連接功能即可實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的接入。
本實(shí)施例的應(yīng)用場(chǎng)景可以為:用戶將手機(jī)攜帶進(jìn)商超、門(mén)店、咖啡廳或機(jī)場(chǎng)等公共場(chǎng)所,該公共場(chǎng)所通過(guò)一個(gè)或多個(gè)ap(如無(wú)線路由器)實(shí)現(xiàn)預(yù)設(shè)范圍內(nèi)的wifi覆蓋,用戶使用手機(jī)接入wifi,并啟用手機(jī)上的相關(guān)應(yīng)用程序?qū)Ξ?dāng)前接入的wifi進(jìn)行安全檢測(cè),相關(guān)檢測(cè)程序在一個(gè)隔離的環(huán)境中運(yùn)行,以保證在當(dāng)前wifi為惡意wifi時(shí),用戶的手機(jī)系統(tǒng)不會(huì)受到攻擊。
具體地,在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí),首先通過(guò)無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求,該域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù),且該域名數(shù)據(jù)對(duì)應(yīng)的ip地址是已知的。比如,已知域名數(shù)據(jù)為:xxx.com,其對(duì)應(yīng)的ip地址為202.108.22.5,移動(dòng)終端通過(guò)ap向dns服務(wù)器發(fā)送xxx.com的域名解析請(qǐng)求,以使dns服務(wù)器將域名解析為ip地址,若該ap本身是惡意的,則會(huì)將域名解析請(qǐng)求發(fā)送到惡意dns服務(wù)器,若該ap是合法的,其所對(duì)應(yīng)的dns服務(wù)器也可能遭遇劫持而變?yōu)閻阂鈊ns服務(wù)器。
步驟s20,獲取所述dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址,判斷所述ip地址是否與預(yù)設(shè)的ip地址匹配,記錄第一判斷結(jié)果;
移動(dòng)終端獲取dns服務(wù)器解析域名數(shù)據(jù)得到的ip地址,判斷獲取到的ip地址是否與預(yù)設(shè)的ip地址匹配,并記錄第一判斷結(jié)果。
在dns服務(wù)器是惡意的情況下,其解析得到的ip地址將會(huì)是一個(gè)虛假的ip地址,比如解析上述域名xxx.com得到的ip地址將不會(huì)是202.108.22.5,移動(dòng)終端通過(guò)判斷dns服務(wù)器解析域名數(shù)據(jù)得到的ip地址是否與預(yù)設(shè)的ip地址匹配,從而可以獲知dns服務(wù)器的劫持狀態(tài),若dns服務(wù)器返回的ip地址與預(yù)設(shè)的ip地址不匹配,則判定dns服務(wù)器被劫持,此時(shí)移動(dòng)終端記錄下dns服務(wù)器的劫持狀態(tài)。
步驟s30,根據(jù)所述ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的所述第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本,記錄第二判斷結(jié)果;
該步驟中,移動(dòng)終端根據(jù)dns服務(wù)器返回的ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本,記錄第二判斷結(jié)果。
若dns服務(wù)器返回的ip地址是虛假的,則網(wǎng)絡(luò)訪問(wèn)請(qǐng)求將發(fā)送到惡意web服務(wù)器,惡意web服務(wù)器會(huì)將網(wǎng)絡(luò)訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)到真實(shí)網(wǎng)站,并在真實(shí)網(wǎng)站的http響應(yīng)中注入http、js(javascript,一種腳本語(yǔ)言)等攻擊腳本,比如攻擊腳本為http://www.yyy.com/xxx/a.js,此時(shí)客戶端向http://www.yyy.com/xxx/a.js的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求同樣會(huì)被惡意web服務(wù)器劫持,此時(shí)惡意web服務(wù)器根本不向真實(shí)的yyy服務(wù)器發(fā)起請(qǐng)求,只是返回其預(yù)先準(zhǔn)備的“樁”文件,該“樁”文件包含黑客的惡意代碼且有很長(zhǎng)的緩存時(shí)間。很長(zhǎng)時(shí)間之后,即使用戶連接的不是該惡意wifi而是正常wifi,但是由于攻擊者已經(jīng)將“樁”文件緩存到受害者的手機(jī),當(dāng)受害者訪問(wèn)www.yyy.com的時(shí)候,就會(huì)觸發(fā)惡意代碼的執(zhí)行,造成信息泄露。
由于惡意腳本一般具有明顯的特征,因而移動(dòng)終端可以將響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本數(shù)據(jù)與預(yù)先設(shè)置的常見(jiàn)惡意腳本數(shù)據(jù)進(jìn)行對(duì)比,若兩者相同,則判定響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入了惡意腳本,此時(shí)移動(dòng)終端記錄下http響應(yīng)的腳本注入狀態(tài)。
步驟s40,根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。
移動(dòng)終端在記錄下第一判斷結(jié)果和第二判斷結(jié)果后,再根據(jù)第一判斷結(jié)果和第二判斷結(jié)果分析并判斷無(wú)線網(wǎng)絡(luò)的惡意性。具體地,如果dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址與預(yù)設(shè)的ip地址不匹配,或者響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入惡意腳本,則移動(dòng)終端可以判定當(dāng)前連接的無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò),當(dāng)然,移動(dòng)終端也可以只在響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入惡意腳本時(shí)判定當(dāng)前連接的無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò),具體實(shí)施時(shí)可進(jìn)行靈活設(shè)置。
進(jìn)一步地,在步驟s40之后,還可以包括:在判定所述無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)時(shí),發(fā)出相應(yīng)告警信息。
在判定當(dāng)前連接的無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)時(shí),移動(dòng)終端可向用戶發(fā)出告警信息,告警信息包括危險(xiǎn)類(lèi)型、危險(xiǎn)程度等,告警方式包括文字、語(yǔ)音、震動(dòng)等,用戶在接收到告警信息后,可手動(dòng)斷開(kāi)與該無(wú)線網(wǎng)絡(luò)的連接,以方式個(gè)人信息泄露。
在本實(shí)施例中,在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí),通過(guò)所述無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求,所述域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù);獲取所述dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址,判斷所述ip地址是否與預(yù)設(shè)的ip地址匹配,記錄第一判斷結(jié)果;根據(jù)所述ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的所述第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本,記錄第二判斷結(jié)果;根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。通過(guò)上述方式,本實(shí)施例能夠判斷dns服務(wù)器是否被劫持,以及判斷響應(yīng)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本,從而能夠?qū)崿F(xiàn)無(wú)線網(wǎng)絡(luò)惡意性的主動(dòng)檢測(cè),提高用戶使用無(wú)線網(wǎng)絡(luò)上網(wǎng)的安全性。
進(jìn)一步地,參照?qǐng)D2,圖2為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法第二實(shí)施例的流程示意圖?;谏鲜鰣D1所示的實(shí)施例,在步驟s30之后,還可以包括:
步驟s50,根據(jù)預(yù)設(shè)知名網(wǎng)站的ip地址發(fā)起第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本,并記錄第三判斷結(jié)果;
此時(shí)步驟s40可以替換為:
步驟s60,根據(jù)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。
在本實(shí)施例中,為進(jìn)一步準(zhǔn)確判斷當(dāng)前無(wú)線網(wǎng)絡(luò)的惡意性,移動(dòng)終端可以預(yù)先設(shè)置幾個(gè)知名網(wǎng)站的ip地址,然后根據(jù)預(yù)設(shè)知名網(wǎng)站的ip地址發(fā)起第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本,并記錄第三判斷結(jié)果。
進(jìn)一步地,判斷響應(yīng)的第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本的步驟可以包括:
步驟s51,將響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)設(shè)的所述知名網(wǎng)站的腳本進(jìn)行對(duì)比;
步驟s52,若響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)設(shè)的所述知名網(wǎng)站的腳本不匹配,則判定響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入惡意腳本。
作為一種實(shí)施方式,移動(dòng)終端可預(yù)先調(diào)查并保存預(yù)設(shè)知名網(wǎng)站的正常響應(yīng)頁(yè)面,頁(yè)面中包含正常的腳本,移動(dòng)終端將響應(yīng)的第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)先保存的正常腳本進(jìn)行對(duì)比,若兩者不匹配,則可判定無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò),此時(shí)移動(dòng)終端可將該無(wú)線網(wǎng)絡(luò)歸類(lèi)為高風(fēng)險(xiǎn),并強(qiáng)制斷開(kāi)與該無(wú)線網(wǎng)絡(luò)的連接。
需要說(shuō)明的是,向知名網(wǎng)站發(fā)起網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的原因在于:相對(duì)于普通網(wǎng)站,知名網(wǎng)站往往訪問(wèn)流量大,在用戶駐留公共場(chǎng)所的短暫時(shí)間內(nèi),網(wǎng)絡(luò)攻擊者以知名網(wǎng)站如百度、新浪、網(wǎng)易等為主要腳本注入對(duì)象,向客戶端注入惡意代碼的可能性就更大。
本實(shí)施例考慮了惡意無(wú)線網(wǎng)絡(luò)的上述攻擊特點(diǎn),通過(guò)向知名網(wǎng)站發(fā)起網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本,結(jié)合之前的判斷結(jié)果綜合分析無(wú)線網(wǎng)絡(luò)的惡意性,提高了判斷結(jié)果的準(zhǔn)確性。
進(jìn)一步地,參照?qǐng)D3,圖3為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法第三實(shí)施例的流程示意圖。基于上述圖2所示的實(shí)施例,步驟s60可以包括:
步驟s61,對(duì)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果進(jìn)行分析,得到所述無(wú)線網(wǎng)絡(luò)的風(fēng)險(xiǎn)等級(jí);
步驟s62,若所述風(fēng)險(xiǎn)等級(jí)大于或等于預(yù)設(shè)的風(fēng)險(xiǎn)等級(jí),則判定所述無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)。
在本實(shí)施中,判斷無(wú)線網(wǎng)絡(luò)惡意性的方法可以為:綜合分析第一判斷結(jié)果、第二判斷結(jié)果和第三判斷結(jié)果,得到所述無(wú)線網(wǎng)絡(luò)的風(fēng)險(xiǎn)等級(jí)。比如,可預(yù)先為每個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)設(shè)置權(quán)重,比如,可將dns服務(wù)器被劫持設(shè)置為低風(fēng)險(xiǎn)權(quán)重,將網(wǎng)絡(luò)訪問(wèn)請(qǐng)求被注入惡意腳本設(shè)置為高風(fēng)險(xiǎn)權(quán)重等,具體實(shí)施時(shí)可進(jìn)行靈活設(shè)置。之后,移動(dòng)終端分別檢測(cè)每個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng),并根據(jù)檢測(cè)結(jié)果和預(yù)先設(shè)置的權(quán)重評(píng)估此次網(wǎng)絡(luò)惡意性檢測(cè)的風(fēng)險(xiǎn)等級(jí),若評(píng)估得到的風(fēng)險(xiǎn)等級(jí)大于或等于預(yù)設(shè)的風(fēng)險(xiǎn)等級(jí),則判定無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò),否則判定無(wú)線網(wǎng)絡(luò)是安全的。
本實(shí)施例通過(guò)設(shè)置風(fēng)險(xiǎn)等級(jí),能夠使用戶清楚獲知無(wú)線網(wǎng)絡(luò)的安全程度,從而在無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)較低時(shí)不影響用戶的正常上網(wǎng),而在風(fēng)險(xiǎn)較高時(shí)發(fā)出告警信息,以防止用戶敏感信息的泄露。
本發(fā)明還提供一種檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的裝置。
參照?qǐng)D4,圖4為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的裝置第一實(shí)施例的功能模塊示意圖。所述裝置包括:
發(fā)送模塊10,用于在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí),通過(guò)所述無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求,所述域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù);
在本實(shí)施例中,移動(dòng)終端包括智能手機(jī)、平板電腦、筆記本等具有無(wú)線網(wǎng)絡(luò)接入功能的設(shè)備,無(wú)線網(wǎng)絡(luò)即wlan(wirelesslocalareanetworks,無(wú)線局域網(wǎng)絡(luò)),是一種利用射頻技術(shù)進(jìn)行據(jù)傳輸?shù)南到y(tǒng),常見(jiàn)的wlan熱點(diǎn)信號(hào)包括cmcc(中國(guó)移動(dòng))、chinanet(中國(guó)公用計(jì)算機(jī)互聯(lián)網(wǎng))等。wifi作為無(wú)線聯(lián)網(wǎng)的技術(shù)之一,被廣泛應(yīng)用于各種場(chǎng)合,通常情況下,用戶通過(guò)移動(dòng)終端的wifi連接功能即可實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的接入。
本實(shí)施例的應(yīng)用場(chǎng)景可以為:用戶將手機(jī)攜帶進(jìn)商超、門(mén)店、咖啡廳或機(jī)場(chǎng)等公共場(chǎng)所,該公共場(chǎng)所通過(guò)一個(gè)或多個(gè)ap(如無(wú)線路由器)實(shí)現(xiàn)預(yù)設(shè)范圍內(nèi)的wifi覆蓋,用戶使用手機(jī)接入wifi,并啟用手機(jī)上的相關(guān)應(yīng)用程序?qū)Ξ?dāng)前接入的wifi進(jìn)行安全檢測(cè),相關(guān)檢測(cè)程序在一個(gè)隔離的環(huán)境中運(yùn)行,以保證在當(dāng)前wifi為惡意wifi時(shí),用戶的手機(jī)系統(tǒng)不會(huì)受到攻擊。
具體地,在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí),首先發(fā)送模塊10通過(guò)無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求,該域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù),且該域名數(shù)據(jù)對(duì)應(yīng)的ip地址是已知的。比如,已知域名數(shù)據(jù)為:xxx.com,其對(duì)應(yīng)的ip地址為202.108.22.5,移動(dòng)終端通過(guò)ap向dns服務(wù)器發(fā)送xxx.com的域名解析請(qǐng)求,以使dns服務(wù)器將域名解析為ip地址,若該ap本身是惡意的,則會(huì)將域名解析請(qǐng)求發(fā)送到惡意dns服務(wù)器,若該ap是合法的,其所對(duì)應(yīng)的dns服務(wù)器也可能遭遇劫持而變?yōu)閻阂鈊ns服務(wù)器。
第一判斷模塊20,用于獲取所述dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址,判斷所述ip地址是否與預(yù)設(shè)的ip地址匹配,記錄第一判斷結(jié)果;
第一判斷模塊20獲取dns服務(wù)器解析域名數(shù)據(jù)得到的ip地址,判斷獲取到的ip地址是否與預(yù)設(shè)的ip地址匹配,并記錄第一判斷結(jié)果。
在dns服務(wù)器是惡意的情況下,其解析得到的ip地址將會(huì)是一個(gè)虛假的ip地址,比如解析上述域名xxx.com得到的ip地址將不會(huì)是202.108.22.5,移動(dòng)終端通過(guò)判斷dns服務(wù)器解析域名數(shù)據(jù)得到的ip地址是否與預(yù)設(shè)的ip地址匹配,從而可以獲知dns服務(wù)器的劫持狀態(tài),若dns服務(wù)器返回的ip地址與預(yù)設(shè)的ip地址不匹配,則第一判斷模塊20判定dns服務(wù)器被劫持,并記錄下dns服務(wù)器的劫持狀態(tài)。
第二判斷模塊30,用于根據(jù)所述ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的所述第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本,記錄第二判斷結(jié)果;
第二判斷模塊30根據(jù)dns服務(wù)器返回的ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本,記錄第二判斷結(jié)果。
若dns服務(wù)器返回的ip地址是虛假的,則網(wǎng)絡(luò)訪問(wèn)請(qǐng)求將發(fā)送到惡意web服務(wù)器,惡意web服務(wù)器會(huì)將網(wǎng)絡(luò)訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)到真實(shí)網(wǎng)站,并在真實(shí)網(wǎng)站的http響應(yīng)中注入http、js(javascript,一種腳本語(yǔ)言)等攻擊腳本,比如攻擊腳本為http://www.yyy.com/xxx/a.js,此時(shí)客戶端向http://www.yyy.com/xxx/a.js的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求同樣會(huì)被惡意web服務(wù)器劫持,此時(shí)惡意web服務(wù)器根本不向真實(shí)的yyy服務(wù)器發(fā)起請(qǐng)求,只是返回其預(yù)先準(zhǔn)備的“樁”文件,該“樁”文件包含黑客的惡意代碼且有很長(zhǎng)的緩存時(shí)間。很長(zhǎng)時(shí)間之后,即使用戶連接的不是該惡意wifi而是正常wifi,但是由于攻擊者已經(jīng)將“樁”文件緩存到受害者的手機(jī),當(dāng)受害者訪問(wèn)www.yyy.com的時(shí)候,就會(huì)觸發(fā)惡意代碼的執(zhí)行,造成信息泄露。
由于惡意腳本一般具有明顯的特征,因而第二判斷模塊30可以將響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本數(shù)據(jù)與預(yù)先設(shè)置的常見(jiàn)惡意腳本數(shù)據(jù)進(jìn)行對(duì)比,若兩者相同,則判定響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入了惡意腳本,此時(shí)記錄下http響應(yīng)的腳本注入狀態(tài)。
分析模塊40,用于根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。
在記錄下第一判斷結(jié)果和第二判斷結(jié)果后,分析模塊40再根據(jù)第一判斷結(jié)果和第二判斷結(jié)果分析并判斷無(wú)線網(wǎng)絡(luò)的惡意性。具體地,如果dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址與預(yù)設(shè)的ip地址不匹配,或者響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入惡意腳本,則分析模塊40可以判定當(dāng)前連接的無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò),當(dāng)然,分析模塊40也可以只在響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入惡意腳本時(shí)判定當(dāng)前連接的無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò),具體實(shí)施時(shí)可進(jìn)行靈活設(shè)置。
在本實(shí)施例中,在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí),發(fā)送模塊10通過(guò)所述無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求,所述域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù);第一判斷模塊20獲取所述dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址,判斷所述ip地址是否與預(yù)設(shè)的ip地址匹配,記錄第一判斷結(jié)果;第二判斷模塊30根據(jù)所述ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的所述第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本,記錄第二判斷結(jié)果;分析模塊40根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。通過(guò)上述方式,本實(shí)施例能夠判斷dns服務(wù)器是否被劫持,以及判斷響應(yīng)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本,從而能夠?qū)崿F(xiàn)無(wú)線網(wǎng)絡(luò)惡意性的主動(dòng)檢測(cè),提高用戶使用無(wú)線網(wǎng)絡(luò)上網(wǎng)的安全性。
進(jìn)一步地,參照?qǐng)D5,圖5為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的裝置第二實(shí)施例的功能模塊示意圖?;谏鲜鰣D4所示的實(shí)施例,所述裝置還可以包括:
第三判斷模塊50,用于根據(jù)預(yù)設(shè)知名網(wǎng)站的ip地址發(fā)起第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本,并記錄第三判斷結(jié)果;
所述分析模塊40還用于根據(jù)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。
在本實(shí)施例中,為進(jìn)一步準(zhǔn)確判斷當(dāng)前無(wú)線網(wǎng)絡(luò)的惡意性,可以預(yù)先設(shè)置幾個(gè)知名網(wǎng)站的ip地址,然后第三判斷模塊50根據(jù)預(yù)設(shè)知名網(wǎng)站的ip地址發(fā)起第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本,并記錄第三判斷結(jié)果。
第三判斷模塊50還用于:將響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)設(shè)的所述知名網(wǎng)站的腳本進(jìn)行對(duì)比;若響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)設(shè)的所述知名網(wǎng)站的腳本不匹配,則判定響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入惡意腳本。
作為一種實(shí)施方式,可預(yù)先調(diào)查并保存預(yù)設(shè)知名網(wǎng)站的正常響應(yīng)頁(yè)面,頁(yè)面中包含正常的腳本,第三判斷模塊50將響應(yīng)的第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)先保存的正常腳本進(jìn)行對(duì)比,若兩者不匹配,則可判定無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò),此時(shí)可將該無(wú)線網(wǎng)絡(luò)歸類(lèi)為高風(fēng)險(xiǎn),并強(qiáng)制斷開(kāi)與該無(wú)線網(wǎng)絡(luò)的連接。
需要說(shuō)明的是,向知名網(wǎng)站發(fā)起網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的原因在于:相對(duì)于普通網(wǎng)站,知名網(wǎng)站往往訪問(wèn)流量大,在用戶駐留公共場(chǎng)所的短暫時(shí)間內(nèi),網(wǎng)絡(luò)攻擊者以知名網(wǎng)站如百度、新浪、網(wǎng)易等為主要腳本注入對(duì)象,向客戶端注入惡意代碼的可能性就更大。
本實(shí)施例考慮了惡意無(wú)線網(wǎng)絡(luò)的上述攻擊特點(diǎn),通過(guò)向知名網(wǎng)站發(fā)起網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,判斷響應(yīng)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本,結(jié)合之前的判斷結(jié)果綜合分析無(wú)線網(wǎng)絡(luò)的惡意性,提高了判斷結(jié)果的準(zhǔn)確性。
進(jìn)一步地,繼續(xù)參照?qǐng)D5,所述分析模塊40還用于:對(duì)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果進(jìn)行分析,得到所述無(wú)線網(wǎng)絡(luò)的風(fēng)險(xiǎn)等級(jí);若所述風(fēng)險(xiǎn)等級(jí)大于或等于預(yù)設(shè)的風(fēng)險(xiǎn)等級(jí),則判定所述無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)。
在本實(shí)施中,分析模塊40判斷無(wú)線網(wǎng)絡(luò)惡意性的方法可以為:綜合分析第一判斷結(jié)果、第二判斷結(jié)果和第三判斷結(jié)果,得到所述無(wú)線網(wǎng)絡(luò)的風(fēng)險(xiǎn)等級(jí)。比如,可預(yù)先為每個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)設(shè)置權(quán)重,比如,可將dns服務(wù)器被劫持設(shè)置為低風(fēng)險(xiǎn)權(quán)重,將網(wǎng)絡(luò)訪問(wèn)請(qǐng)求被注入惡意腳本設(shè)置為高風(fēng)險(xiǎn)權(quán)重等,具體實(shí)施時(shí)可進(jìn)行靈活設(shè)置。之后,分析模塊40分別檢測(cè)每個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng),并根據(jù)檢測(cè)結(jié)果和預(yù)先設(shè)置的權(quán)重評(píng)估此次網(wǎng)絡(luò)惡意性檢測(cè)的風(fēng)險(xiǎn)等級(jí),若評(píng)估得到的風(fēng)險(xiǎn)等級(jí)大于或等于預(yù)設(shè)的風(fēng)險(xiǎn)等級(jí),則判定無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò),否則判定無(wú)線網(wǎng)絡(luò)是安全的。
本實(shí)施例通過(guò)設(shè)置風(fēng)險(xiǎn)等級(jí),能夠使用戶清楚獲知無(wú)線網(wǎng)絡(luò)的安全程度,從而在無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)較低時(shí)不影響用戶的正常上網(wǎng),而在風(fēng)險(xiǎn)較高時(shí)發(fā)出告警信息,以防止用戶敏感信息的泄露。
進(jìn)一步地,參照?qǐng)D6,圖6為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的裝置第三實(shí)施例的功能模塊示意圖?;谏鲜龅膶?shí)施例,所述裝置還可以包括:
告警模塊60,用于在判定所述無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)時(shí),發(fā)出相應(yīng)告警信息。
在判定當(dāng)前連接的無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)時(shí),告警模塊50可向用戶發(fā)出告警信息,告警信息包括危險(xiǎn)類(lèi)型、危險(xiǎn)程度等,告警方式包括文字、語(yǔ)音、震動(dòng)等,用戶在接收到告警信息后,可手動(dòng)斷開(kāi)與該無(wú)線網(wǎng)絡(luò)的連接,以方式個(gè)人信息泄露。
以上僅為本發(fā)明的優(yōu)選實(shí)施例,并非因此限制本發(fā)明的專(zhuān)利范圍,凡是利用本發(fā)明說(shuō)明書(shū)及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換,或直接或間接運(yùn)用在其他相關(guān)的技術(shù)領(lǐng)域,均同理包括在本發(fā)明的專(zhuān)利保護(hù)范圍內(nèi)。