基于会话标签识别非法终端访问方法、装置及系统.pdf

《基于会话标签识别非法终端访问方法、装置及系统.pdf》由会员分享，可在线阅读，更多相关《基于会话标签识别非法终端访问方法、装置及系统.pdf（16页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910910528.5 (22)申请日 2019.09.24 (71)申请人 杭州安恒信息技术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街188号 (72)发明人 宋雪冬范渊黄进 (74)专利代理机构 北京超凡宏宇专利代理事务 所(特殊普通合伙) 11463 代理人 张萌 (51)Int.Cl. H04L 29/06(2006.01) H04L 29/08(2006.01) (54)发明名称 基于会话标签识别非法终端访问方法、 装置 及系统 (57)。

2、摘要 本发明提供了一种基于会话标签识别非法 终端访问方法、 装置及系统， 涉及互联网的技术 领域， 包括： 第一内网服务器、 终端浏览器、 回传 节点服务器和系统平台， 系统平台包括： 数据采 集分析模块； 第一内网服务器用于提供XSS攻击 代码， 以使终端浏览器获取自身的终端信息， 终 端信息包括跨域Cookies， 数据采集分析模块基 于回传节点服务器从终端浏览器获取的终端信 息和Cookies生成指纹信息， 并基于指纹信息和 跨域Cookies， 通过外网对跨域Cookies虚拟身份 的有效性进行验证， 若有效， 则将终端浏览器所 在终端确定为非法终端。 本发明结合XSS0day漏 洞、。

3、 Cookies和终端信息， 可以实现对非法终端的 有效识别。 权利要求书2页 说明书10页 附图3页 CN 110602134 A 2019.12.20 CN 110602134 A 1.一种基于会话标签识别非法终端访问系统， 其特征在于， 包括： 第一内网服务器、 终 端浏览器、 回传节点服务器和系统平台， 其中， 所述系统平台包括： 数据采集分析模块； 所述第一内网服务器与所述终端浏览器通信连接， 用于接收所述终端浏览器发起的访 问请求， 并根据所述访问请求创建所述终端浏览器的Cookies， 并将所述Cookies返回给所 述终端浏览器； 所述终端浏览器在访问所述第一内网服务器时， 加。

4、载并执行所述第一内网服务器返回 页面内的XSS攻击代码， 得到所述终端浏览器所在终端的终端信息， 所述终端信息包括跨域 Cookies； 所述回传节点服务器与所述终端浏览器、 所述数据采集分析模块通信连接， 用于将所 述终端信息和所述Cookies传送至所述数据采集分析模块； 所述数据采集分析模块， 基于所述终端信息和所述Cookies生成所述终端浏览器所在 终端的指纹信息； 所述数据采集分析模块， 用于基于所述指纹信息， 比对所述终端浏览器所在终端与预 设数据库中所述指纹信息对应的终端是否为同一终端； 若是， 则基于所述指纹信息， 将所述 跨域Cookies与预设跨域Cookies库中同一终。

5、端的跨域Cookies进行比对， 若所述预设跨域 Cookies库中不存在所述跨域Cookies， 则将所述跨域Cookies发送至外网验证工具， 以使所 述外网验证工具在外网进行跨域Cookies虚拟身份的有效性验证， 若所述外网验证工具返 回的验证结果为所述跨域Cookies虚拟身份有效， 则将所述终端浏览器所在终端确定为非 法终端。 2.根据权利要求1所述的基于会话标签识别非法终端访问系统， 其特征在于， 所述系统 平台还包括预警模块， 所述预警模块将所述非法终端以预警的方式发送给客户端， 以便管 理人员进行追踪确认。 3.根据权利要求1所述的基于会话标签识别非法终端访问系统， 其特征在。

6、于， 所述数据 采集分析模块， 还用于建立所述指纹信息与所述跨域Cookies的映射关系。 4.根据权利要求1所述的基于会话标签识别非法终端访问系统， 其特征在于， 还包括： 第二内网服务器， 所述第二内网服务器用于向所述终端浏览器提供XSS攻击代码， 所述终端 浏览器在访问所述第二内网服务器时， 加载并执行所述第二内网服务器返回页面内的XSS 攻击代码， 得到所述终端浏览器所在终端的终端信息。 5.根据权利要求4所述的基于会话标签识别非法终端访问系统， 其特征在于， 所述系统 平台还包括： 代码管理模块和服务器管理模块； 所述代码管理模块， 用于维护所述第一内网服务器、 所述第二内网服务器提。

7、供的XSS攻 击代码； 所述服务器管理模块与所述回传节点服务器通信连接， 用于根据管理策略管理所述系 统平台和所述回传节点服务器。 6.一种基于会话标签识别非法终端访问方法， 其特征在于， 应用于数据采集分析模块， 所述方法包括： 基于指纹信息， 比对终端浏览器所在终端与预设数据库中所述指纹信息对应的终端是 否为同一终端； 所述指纹信息由所述终端浏览器的终端信息和Cookies生成； 若是， 则基于所述指纹信息， 将跨域Cookies与预设跨域Cookies库中同一终端的跨域 权利要求书 1/2 页 2 CN 110602134 A 2 Cookies进行比对； 所述跨域Cookies由所述终。

8、端浏览器加载并执行第一内网服务器返回页 面内的XSS攻击代码得到； 若所述预设跨域Cookies库中不存在所述跨域Cookies， 则将所述跨域Cookies发送至 外网验证工具， 以使所述外网验证工具在外网进行跨域Cookies虚拟身份的有效性验证； 若所述外网验证工具返回的验证结果为所述跨域Cookies虚拟身份有效， 则将所述终 端浏览器所在终端确定为非法终端。 7.一种基于会话标签识别非法终端访问装置， 其特征在于， 应用于数据采集分析模块， 所述装置包括： 第一比对单元， 用于基于指纹信息， 比对终端浏览器所在终端与预设数据库中所述指 纹信息对应的终端是否为同一终端； 所述指纹信息由。

9、所述终端浏览器的终端信息和 Cookies生成； 第二比对单元， 用于若是， 则基于所述指纹信息， 将跨域Cookies与预设跨域Cookies库 中同一终端的跨域Cookies进行比对； 所述跨域Cookies由所述终端浏览器加载并执行第一 内网服务器返回页面内的XSS攻击代码得到； 发送单元， 用于若所述预设跨域Cookies库中不存在所述跨域Cookies， 则将所述跨域 Cookies发送至外网验证工具， 以使所述外网验证工具在外网进行跨域Cookies虚拟身份的 有效性验证； 确定单元， 用于若所述外网验证工具返回的验证结果为所述跨域Cookies虚拟身份有 效， 则将所述终端浏览器。

10、所在终端确定为非法终端。 8.一种基于会话标签识别非法终端访问系统， 其特征在于， 包括： 第一内网服务器、 终 端浏览器、 回传节点服务器和如权利要求7所述的基于会话标签识别非法终端访问装置。 9.一种电子设备， 包括存储器、 处理器， 所述存储器中存储有可在所述处理器上运行的 计算机程序， 其特征在于， 处理器执行计算机程序时实现如权利要求6所述的方法。 10.一种具有处理器可执行的非易失的程序代码的计算机可读介质， 其特征在于， 所述 程序代码使所述处理器执行所述权利要求6所述的方法。 权利要求书 2/2 页 3 CN 110602134 A 3 基于会话标签识别非法终端访问方法、 装置。

11、及系统 技术领域 0001 本发明涉及互联网技术领域， 尤其是涉及一种基于会话标签识别非法终端访问方 法、 装置及系统。 背景技术 0002 在一个较大型的内网环境中， 对网络边界的管理时常是网络安全管理人员比较头 痛的难题， 而随之产生的数据泄露的问题更是让网络安全管理人员感到不安。 通常情况下， 由于现在的大多数应用都是基于B/S架构的， 因此， 终端可以通过浏览器对服务器的界面进 行访问， 只要终端获取到有效的终端账户信息便能够进行服务器资源的获取， 存在非法终 端潜伏内网获取内网资源的可能性。 例如： 非法人员可以利用技术手段绕过内网边界完整 性防护手段进入内网进行长期潜伏。 发明内容。

12、 0003 本发明的目的在于提供一种基于会话标签识别非法终端访问方法、 装置及系统， 以实现对非法终端的有效识别。 0004 本发明提供的一种基于会话标签识别非法终端访问系统， 其中， 包括： 第一内网服 务器、 终端浏览器、 回传节点服务器和系统平台， 其中， 所述系统平台包括： 数据采集分析模 块； 所述第一内网服务器与所述终端浏览器通信连接， 用于接收所述终端浏览器发起的访 问请求， 并根据所述访问请求创建所述终端浏览器的Cookies， 并将所述Cookies返回给所 述终端浏览器； 所述终端浏览器在访问所述第一内网服务器时， 加载并执行所述第一内网 服务器返回页面内的XSS攻击代码，。

13、 得到所述终端浏览器所在终端的终端信息， 所述终端信 息包括跨域Cookies； 所述回传节点服务器与所述终端浏览器、 所述数据采集分析模块通信 连接， 用于将所述终端信息和所述Cookies传送至所述数据采集分析模块； 所述数据采集分 析模块， 基于所述终端信息和所述Cookies生成所述终端浏览器所在终端的指纹信息； 所述 数据采集分析模块， 用于基于所述指纹信息， 比对所述终端浏览器所在终端与预设数据库 中所述指纹信息对应的终端是否为同一终端； 若是， 则基于所述指纹信息， 将所述跨域 Cookies与预设跨域Cookies库中同一终端的跨域Cookies进行比对， 若所述预设跨域 Co。

14、okies库中不存在所述跨域Cookies， 则将所述跨域Cookies发送至外网验证工具， 以使所 述外网验证工具在外网进行跨域Cookies虚拟身份的有效性验证， 若所述外网验证工具返 回的验证结果为所述跨域Cookies虚拟身份有效， 则将所述终端浏览器所在终端确定为非 法终端。 0005 进一步的， 所述系统平台还包括预警模块， 所述预警模块将所述非法终端以预警 的方式发送给客户端， 以便管理人员进行追踪确认。 0006 进一步的， 所述数据采集分析模块， 还用于建立所述指纹信息与所述跨域Cookies 的映射关系。 0007 进一步的， 基于会话标签识别非法终端访问系统还包括： 第二。

15、内网服务器， 所述第 说明书 1/10 页 4 CN 110602134 A 4 二内网服务器用于向所述终端浏览器提供XSS攻击代码， 所述终端浏览器在访问所述第二 内网服务器时， 加载并执行所述第二内网服务器返回页面内的XSS攻击代码， 得到所述终端 浏览器所在终端的终端信息。 0008 进一步的， 所述系统平台还包括： 代码管理模块和服务器管理模块； 所述代码管理 模块， 用于维护所述第一内网服务器、 所述第二内网服务器提供的XSS攻击代码； 所述服务 器管理模块与所述回传节点服务器通信连接， 用于根据管理策略管理所述系统平台和所述 回传节点服务器。 0009 本发明提供的一种基于会话标签。

16、识别非法终端访问方法， 其中， 应用于数据采集 分析模块， 所述方法包括： 基于指纹信息， 比对终端浏览器所在终端与预设数据库中所述指 纹信息对应的终端是否为同一终端； 所述指纹信息由所述终端浏览器的终端信息和 Cookies生成； 若是， 则基于所述指纹信息， 将跨域Cookies与预设跨域Cookies库中同一终 端的跨域Cookies进行比对； 所述跨域Cookies由所述终端浏览器加载并执行第一内网服务 器返回页面内的XSS攻击代码得到； 若所述预设跨域Cookies库中不存在所述跨域Cookies， 则将所述跨域Cookies发送至外网验证工具， 以使所述外网验证工具在外网进行跨域 。

17、Cookies虚拟身份的有效性验证； 若所述外网验证工具返回的验证结果为所述跨域Cookies 虚拟身份有效， 则将所述终端浏览器所在终端确定为非法终端。 0010 本发明提供的一种基于会话标签识别非法终端访问装置， 其中， 应用于数据采集 分析模块， 所述装置包括： 第一比对单元， 用于基于指纹信息， 比对终端浏览器所在终端与 预设数据库中所述指纹信息对应的终端是否为同一终端； 所述指纹信息由所述终端浏览器 的终端信息和Cookies生成； 第二比对单元， 用于若是， 则基于所述指纹信息， 将跨域 Cookies与预设跨域Cookies库中同一终端的跨域Cookies进行比对； 所述跨域Co。

18、okies由所 述终端浏览器加载并执行第一内网服务器返回页面内的XSS攻击代码得到； 发送单元， 用于 若所述预设跨域Cookies库中不存在所述跨域Cookies， 则将所述跨域Cookies发送至外网 验证工具， 以使所述外网验证工具在外网进行跨域Cookies虚拟身份的有效性验证； 确定单 元， 用于若所述外网验证工具返回的验证结果为所述跨域Cookies虚拟身份有效， 则将所述 终端浏览器所在终端确定为非法终端。 0011 本发明提供的一种基于会话标签识别非法终端访问系统， 其中， 包括： 第一内网服 务器、 终端浏览器、 回传节点服务器和基于会话标签识别非法终端访问装置。 0012 。

19、本发明还提供一种电子设备， 包括存储器、 处理器， 所述存储器中存储有可在所述 处理器上运行的计算机程序， 其中， 所述处理器执行所述计算机程序时实现所述的基于会 话标签识别非法终端访问方法。 0013 本发明还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质， 其 中， 所述程序代码使所述处理器执行所述的基于会话标签识别非法终端访问方法。 0014 本发明提供的一种基于会话标签识别非法终端访问方法、 装置及系统， 包括： 第一 内网服务器、 终端浏览器、 回传节点服务器和系统平台， 其中， 所述系统平台包括： 数据采集 分析模块； 本发明利用第一内网服务器返回页面内的XSS攻击代码。

20、可以提取终端浏览器所 在终端的Cookies、 终端信息， 终端信息包括： 跨域Cookies， 基于上述提取的信息生成指纹 信息， 基于指纹信息， 比对终端浏览器所在终端与预设数据库中指纹信息对应的终端是否 为同一终端， 若是， 则将跨域读取的跨域Cookies与同一终端在之前获取的跨域cookies进 说明书 2/10 页 5 CN 110602134 A 5 行比对， 如果发现有新的cookies， 则将该跨域Cookies通过外网验证工具在外网进行跨域 Cookies虚拟身份的有效性验证， 若外网验证工具返回的验证结果为跨域Cookies虚拟身份 有效， 则将终端浏览器所在终端确定为非。

21、法终端。 本发明可以有效的解决内网中通过长期 渗透或已经攻陷的网络边界进入内网进行重要服务数据资源窃取行为的发现， 进而实现非 法终端的有效识别。 附图说明 0015 为了更清楚地说明本发明具体实施方式或现有技术中的技术方案， 下面将对具体 实施方式或现有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面描述中的 附图是本发明的一些实施方式， 对于本领域普通技术人员来讲， 在不付出创造性劳动的前 提下， 还可以根据这些附图获得其他的附图。 0016 图1为本发明实施例提供的一种基于会话标签识别非法终端访问系统的结构示意 图； 0017 图2为本发明实施例提供的一种基于会话标签识别非法。

22、终端访问系统操作的流程 图； 0018 图3为本发明实施例提供的另一种基于会话标签识别非法终端访问系统的结构示 意图； 0019 图4为本发明实施例提供的一种基于会话标签识别非法终端访问方法的流程图； 0020 图5为本发明实施例提供的一种基于会话标签识别非法终端访问装置的结构示意 图； 0021 图6为本发明实施例提供的另一种基于会话标签识别非法终端访问系统的结构示 意图。 0022 图标： 0023 10-第一内网服务器； 20-终端浏览器； 30-回传节点服务器； 40-系统平台； 41-数据 采集分析模块； 411-第一比对单元； 412-第二比对单元； 413-发送单元； 414-确。

23、定单元； 42- 预警模块； 43-代码管理模块； 44-服务器管理模块； 50-第二内网服务器。 具体实施方式 0024 下面将结合实施例对本发明的技术方案进行清楚、 完整地描述， 显然， 所描述的实 施例是本发明一部分实施例， 而不是全部的实施例。 基于本发明中的实施例， 本领域普通技 术人员在没有做出创造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范 围。 0025 在现有技术中， 服务器与终端浏览器通信连接采用的HTTP1.0协议是无状态的。 具 体的， 当终端浏览器向服务器发送访问请求时， 服务器会响应； 当同一个终端浏览器再次向 服务器发送访问请求时， 服务器仍会响应，。

24、 但是服务器并不知道两次的访问请求由同一终 端浏览器发送。 简单地说， 服务器对同一个终端浏览器发出的一连串访问请求无记忆功能， 所以HTTP1.0协议是无状态协议。 0026 为了识别不同的访问请求是否来自同一终端浏览器， 引用HTTP会话机制， 将多次 HTTP连接间维护用户与同一用户发出的不同访问请求之间关联的情况称为维护一个会话 说明书 3/10 页 6 CN 110602134 A 6 (Session)。 目前Session已成为HTTP会话的主流， 应该说是绝对控制的地位。 会话Session 识别， 即： 终端浏览器向服务器发送一个访问请求， 服务器接收到访问请求后， 生成相应。

25、的 会话信息。 其中， 会话ID是识别不同终端浏览器的主要参数， 服务器将会话ID发送给终端浏 览器， 终端浏览器接收并存储上述会话ID。 在终端浏览器下一次向服务器发送请求时， 携带 该会话ID一起发送至服务器， 服务器可以识别出与会话ID对应的终端浏览器。 因此， 利用上 述会话ID可以实现会话的保持。 0027 Cookies用于存储终端浏览器和服务器的会话信息， 终端浏览器每次向服务器发 送访问请求时， 均携带Cookies。 Cookies由终端浏览器在第一次与服务器交互时， 通过Set- Cookie将指定Cookies的内容发送给终端浏览器， 因此， 所有终端浏览器的用户身份均由。

26、服 务器指定。 Cookies为HTTP协议下， 服务器或脚本可以维护终端浏览器的用户身份的一种方 式。 Cookies是由Web服务器保存在终端浏览器上的小文本文件， 它可以包含与终端浏览器 相关的用户信息。 无论何时终端浏览器链接服务器， 服务器都可以利用Web站点访问 Cookies信息。 0028 Cookies一般分为两类， 一类是临时的， 另一类是持续的。 临时的Cookies只能在终 端浏览器上保存一段规定的时间， 一旦超过规定的时间， 该Cookies就会被系统清除。 而持 续的Cookies则保存在终端浏览器指定的Cookies文件中， 在终端浏览器下一次登录目标服 务器时，。

27、 仍然可以对它进行调用。 本发明实施例采用持续的Cookies。 0029 在一个较大型的内网环境中， 对网络边界的管理时常是网络安全管理人员比较头 痛的难题， 而随之产生的数据泄露的问题更是让网络安全管理人员感到不安。 通常情况下， 现在的大多数应用都是基于B/S架构建立的， 因此， 终端可以通过浏览器对服务器的界面进 行非法访问。 也就是说， 只要终端的终端账户信息有效， 便能够进行服务器资源的获取， 存 在非法终端潜伏进入内网获取内网资源的可能性。 基于此， 本发明实施例提供了一种基于 会话标签识别非法终端访问方法、 装置及系统， 结合终端浏览器的XSS0day漏洞、 会话标签 Cook。

28、ies和终端信息在对内网中对终端进行一段时间的指纹学习后， 可以实现对非法终端 进行有效识别。 0030 为便于对本实施例进行理解， 首先对本发明实施例所公开的一种基于会话标签识 别非法终端访问系统进行详细介绍。 0031 实施例一： 0032 参照图1， 本发明实施例提供一种基于会话标签识别非法终端访问系统， 其中， 可 以包括以下模块： 第一内网服务器10、 终端浏览器20、 回传节点服务器30和系统平台40， 其 中， 系统平台40包括： 数据采集分析模块41； 0033 第一内网服务器10与终端浏览器20通信连接， 用于接收终端浏览器20发起的访问 请求， 并根据访问请求创建终端浏览器。

29、20的Cookies， 并将Cookies返回给终端浏览器20； 0034 在本发明实施例中， 第一内网服务器10可以指部署了JS代码的业务服务器。 为了 保证对业务服务器的干扰最小化， 不建议将其与其他服务器合并。 也就是说， 第一内网服务 器10与回传节点服务器30独立存在， 不建议将两个服务器的功能强加到一个服务器上。 第 一内网服务器10利用Set-Cookie为终端浏览器20创建与终端浏览器20对应的Cookies， Cookies即会话ID。 第一内网服务器10将会话ID发送给终端浏览器20， 会话ID用于存储双方 的会话。 说明书 4/10 页 7 CN 110602134 A 。

30、7 0035 终端浏览器20在访问第一内网服务器10时， 加载并执行第一内网服务器10返回页 面内的XSS攻击代码， 得到终端浏览器20所在终端的终端信息， 终端信息包括跨域Cookies； 0036 在本发明实施例中， XSS攻击代码指XSS0day漏洞。 第一内网服务器10返回页面内 的XSS攻击代码可以采用JS代码， XSS攻击代码的目的在于利用攻击终端浏览器20的方式获 取终端浏览器20所在终端的终端信息， 终端信息包括但不限于： 跨域Cookies和终端本机信 息， 其中， 跨域Cookies为终端浏览器20在本次访问前访问其他网站时生成的Cookies信息。 终端本机信息包括本机基。

31、本信息和浏览器信息， 终端本机信息包括以下至少一种： IP地址、 MAC地址、 操作系统类型及版本信息； 浏览器信息包括但不限于浏览器版本信息、 浏览器插 件信息和浏览器类型。 0037 回传节点服务器30与终端浏览器20、 数据采集分析模块41通信连接， 用于将终端 信息和Cookies传送至数据采集分析模块41； 0038 在本发明实施例中， 回传节点服务器30用于接收终端浏览器20发送的终端信息和 Cookies， 配置回传节点、 将终端信息和Cookies传送至数据采集分析模块41。 因此， 回传节 点服务器30用于接收、 配置、 传送等管理工作， 可以保证信息的安全性。 0039 数。

32、据采集分析模块41， 基于终端信息和Cookies生成终端浏览器20所在终端的指 纹信息； 0040 在本发明实施例中， 数据采集分析模块41基于终端信息和Cookies利用哈希算法 计算， 得到终端浏览器20所在终端的Hash值， 其中， 上述Hash值为终端浏览器20所在终端的 指纹信息。 由于指纹信息与终端一一对应， 因此， 指纹信息可以用于标识终端。 0041 如图2所示， 基于终端信息和Cookies生成终端浏览器20所在终端的指纹信息的操 作也可以由回传节点服务器30完成。 0042 数据采集分析模块41， 用于基于指纹信息， 比对终端浏览器20所在终端与预设数 据库中指纹信息对应。

33、的终端是否为同一终端； 若是， 则基于指纹信息， 将跨域Cookies与预 设跨域Cookies库中同一终端的跨域Cookies进行比对， 若预设跨域Cookies库中不存在跨 域Cookies， 则将跨域Cookies发送至外网验证工具， 以使外网验证工具在外网进行跨域 Cookies虚拟身份的有效性验证， 若外网验证工具返回的验证结果为跨域Cookies虚拟身份 有效， 则将终端浏览器20所在终端确定为非法终端。 0043 在本发明实施例中， 虚拟身份可以指外网用户信息。 由于在同一专网内， 大部分终 端采用统一安装部署的操作系统导致自身缓存的cookies基本相同， 因此跨域cookie。

34、s在预 设跨域Cookies库中重复出现。 数据采集分析模块41用于基于指纹信息， 将跨域cookies通 过外网验证工具验证其有效性是否为无效或重复。 0044 参照图2， 在确定为同一终端之后， 若预设跨域Cookies库中存在跨域Cookies， 则 将终端浏览器20所在终端确定为合法终端。 在将跨域Cookies发送至外网验证工具之后， 若 外网验证工具返回的验证结果为跨域Cookies虚拟身份无效， 则将该跨域Cookies存储至预 设跨域Cookies库， 其中， 预设跨域Cookies库为合法样本库。 0045 参照图2， 若终端浏览器20所在终端与预设数据库中指纹信息对应的终端。

35、不是同 一终端， 则在预设跨域Cookies库中查找跨域Cookies， 若存在跨域Cookies， 则将指纹信息 与终端浏览器20所在终端存储至预设数据库中。 若预设跨域Cookies库中不存在跨域 Cookies， 则将跨域Cookies发送至外网验证工具， 以使外网验证工具在外网进行跨域 说明书 5/10 页 8 CN 110602134 A 8 Cookies虚拟身份的有效性验证。 0046 数据采集分析模块41为本发明的重点。 数据采集分析模块41可以具有以下功能： 接收功能、 建立预设数据库、 建立预设跨域Cookies库、 比对功能、 信息提取功能、 发送功能 和确定非法访问功能。

36、。 其中， 预设数据库包括： 相互关联的终端和指纹信息； 预设跨域 Cookies库包括： 相互关联的指纹信息、 Cookies和跨域Cookies。 非法终端可以包括疑似非 法终端。 外网验证工具可以设置在系统平台40内， 也可以设置在系统平台40外。 0047 每个终端在执行JS代码时， 均获取终端浏览器20基于本服务域内的Cookies和跨 域Cookies。 数据采集分析模块41将本服务域内的Cookies和跨域Cookies进行采集学习生 成指纹信息， 将终端和指纹信息对应的存储至预设数据库， 将指纹信息、 Cookies和跨域 Cookies对应的存储至预设跨域Cookies库。 。

37、由于该方法针对一个专网内的环境， 因此， 专网 内的终端访问的服务器和自身安装的软件环境较为稳定， 所以在经过一段时间的学习后， 数据采集分析模块41将建立较为稳定的预设数据库和预设跨域Cookies库。 0048 当专网内的终端再次访问第一内网服务器10时， 部署在第一内网服务器10页面内 的JS代码将被执行， 进而可以得到终端的Cookies、 跨域Cookies和指纹信息。 0049 在本发明实施例中， 通过在内网中对全网的终端账户信息、 IP地址、 MAC地址等相 关信息的收集学习可以建立起一个对于终端的信息模型， 信息模型包括上述较为稳定的预 设数据库和预设跨域Cookies库。 无。

38、论是非法终端还是采用技术手段突破内网边界的终端， 进入系统的最终目的都是对存储大量高价值的内网服务器进行渗透和数据信息窃取。 由于 常规的访问控制和边界防护对已经渗透进入内网的终端往往很难发现， 因此， 通过在内网 服务器上部署JS代码可以有效防范非法终端的访问， 并同现有系统进行有效联动和信息碰 撞， 通过关联分析进而可以迅速查找失陷网络和非法终端。 0050 本发明实施例提供的一种基于会话标签识别非法终端访问系统， 包括： 第一内网 服务器10、 终端浏览器20、 回传节点服务器30和系统平台40， 其中， 所述系统平台40包括： 数 据采集分析模块41； 本发明实施例利用第一内网服务器1。

39、0返回页面内的XSS攻击代码可以 提取终端浏览器20所在终端的Cookies、 终端信息， 终端信息包括： 跨域Cookies， 基于上述 提取的信息生成指纹信息， 基于指纹信息， 比对终端浏览器20所在终端与预设数据库中指 纹信息对应的终端是否为同一终端， 将跨域读取的跨域Cookies与同一终端在之前获取的 跨域cookies进行比对， 如果发现有新的cookies， 则将该跨域Cookies通过外网验证工具在 外网进行跨域Cookies虚拟身份的有效性验证， 若外网验证工具返回的验证结果为跨域 Cookies虚拟身份有效， 则将终端浏览器20所在终端确定为非法终端。 本发明实施例可以有 。

40、效的解决内网中通过长期渗透或已经攻陷的网络边界进入内网进行重要服务数据资源窃 取行为的发现， 进而实现非法终端的有效识别。 0051 进一步的， 参照图3， 系统平台40还包括预警模块42， 预警模块42将非法终端以预 警的方式发送给客户端， 以便管理人员进行追踪确认。 0052 进一步的， 预警模块42， 还用于在终端浏览器20所在终端重装系统或浏览器的次 数达到预设次数时， 生成报警信息。 0053 在本发明实施例中， 预警模块42还用于在严格限制终端软硬件白名单的环境内， 对利用某些技术手段绕过终端管理系统在终端上安装非白名单内的软件行为和恶意不断 重装系统或浏览器行为时， 发生报警信息。

41、， 为安全管理者监管大型专网环境提供辅助监测 说明书 6/10 页 9 CN 110602134 A 9 手段。 0054 进一步的， 数据采集分析模块41， 还用于建立指纹信息与跨域Cookies的映射关 系。 0055 在本发明实施例中， 数据采集分析模块41对指纹信息和跨域Cookies建立映射关 系， 还可以对指纹信息对应的Cookies和跨域Cookies建立映射关系。 本发明实施例建立的 映射关系可以保证终端浏览器20每次在访问内网服务器时， 数据采集分析模块41可以对其 进行匹配判断是否为同一终端或该终端是否发生违规的软件变更情况。 0056 进一步的， 基于会话标签识别非法终端。

42、访问系统还包括： 第二内网服务器50， 第二 内网服务器50用于向终端浏览器20提供XSS攻击代码， 终端浏览器20在访问第二内网服务 器50时， 加载并执行第二内网服务器50返回页面内的XSS攻击代码， 得到终端浏览器20所在 终端的终端信息。 0057 在本发明实施例中， 可以建立多个内网服务器， 采用多个内网服务器管理信息数 据的方式有利于信息安全， 防止一个内网服务器被攻破后所有的信息均被泄露。 0058 进一步的， 系统平台40还包括： 代码管理模块43和服务器管理模块44； 0059 代码管理模块43， 用于维护第一内网服务器10、 第二内网服务器50提供的XSS攻击 代码； 00。

43、60 在本发明实施例中， 代码管理模块43可以实现XSS攻击代码的维护、 XSS0day漏洞 的管理、 终端数据项选择以及系统状态监控。 0061 服务器管理模块44与回传节点服务器30通信连接， 用于根据管理策略管理系统平 台40和回传节点服务器30。 0062 本发明实施例提供的一种基于会话标签识别非法终端访问系统， 结合终端浏览器 20的XSS0day漏洞、 Cookies及跨域Cookies对非法终端进行有效识别， 即准确识别非法潜伏 进入内网的非法终端， 并配合其他安全管理技术和手段对非法终端进行进一步的定位挖 掘。 其他安全管理技术包括但不限于： 利用社工库或者是基于云端的威胁情报。

44、库可以对目 标终端进行关联分析挖掘， 其中目标终端为非法终端。 本发明实施例利用XSS攻击原理并结 合B/S架构中的服务器向终端浏览器20发送的Cookies简化会话的特性， 形成主动防御。 本 发明实施例可以实现在大型复杂内部网络环境内， 非法终端对第一内部服务器进行访问、 数据或信息窃取时， 可以有效识别非法终端， 并对非法终端的行为进行防御。 0063 实施例二： 0064 参照图4， 本发明实施例提供一种基于会话标签识别非法终端访问方法， 其中， 应 用于数据采集分析模块， 方法包括： 0065 步骤S101， 基于指纹信息， 比对终端浏览器所在终端与预设数据库中指纹信息对 应的终端是。

45、否为同一终端； 指纹信息由终端浏览器的终端信息和Cookies生成； 0066 本发明实施例中的会话标签与现有技术中的会话标签区别较大。 具体的， 本发明 实施例基于第一内网服务器与终端浏览器建立HTTP协议通信后， 第一内网服务器赋予终端 浏览器Cookies和JS代码， 终端浏览器加载并执行上述JS代码， 得到终端信息及跨域 Cookies， 经过计算得到标识终端的唯一标签， 该标签为指纹信息。 0067 步骤S102， 若是， 则基于指纹信息， 将跨域Cookies与预设跨域Cookies库中同一终 端的跨域Cookies进行比对； 跨域Cookies由终端浏览器加载并执行第一内网服务器。

46、返回页 说明书 7/10 页 10 CN 110602134 A 10 面内的XSS攻击代码得到。 0068 步骤S103， 若预设跨域Cookies库中不存在跨域Cookies， 则将跨域Cookies发送至 外网验证工具， 以使外网验证工具在外网进行跨域Cookies虚拟身份的有效性验证。 0069 在本发明实施例中， 在确定为同一终端之后， 若预设跨域Cookies库中存在跨域 Cookies， 则将终端浏览器所在终端确定为合法终端。 0070 步骤S104， 若外网验证工具返回的验证结果为跨域Cookies虚拟身份有效， 则将终 端浏览器所在终端确定为非法终端。 0071 在本发明实施。

47、例中， 在将跨域Cookies发送至外网验证工具之后， 若外网验证工具 返回的验证结果为跨域Cookies虚拟身份无效， 则将该跨域Cookies存储至预设跨域 Cookies库， 其中， 预设跨域Cookies库为合法样本库。 若外网验证工具返回的验证结果为跨 域Cookies虚拟身份有效， 则可以获取其所在域的虚拟身份账号， 跨域Cookies虚拟身份可 能存在多个所在域的虚拟身份账号。 由于注册过某一网站的账号再次登录时无需密码也可 以确定其在该网站注册过的特点可以为追查非法终端的使用人提供溯源依据。 0072 本发明实施例基于指纹信息利用数据采集分析模块分析终端和跨域Cookies， 。

48、并 结合外网验证工具反馈的验证结果判断终端的合法性。 因此， 本发明可以有效的解决内网 中通过长期渗透或已经攻陷的网络边界进入内网进行重要服务数据资源窃取行为的发现， 进而实现非法终端的有效识别。 0073 进一步的， 方法还包括： 若终端浏览器所在终端与预设数据库中指纹信息对应的 终端不是同一终端， 则在预设跨域Cookies库中查找跨域Cookies， 若存在跨域Cookies， 则 将指纹信息与终端浏览器所在终端存储至预设数据库中。 若预设跨域Cookies库中不存在 跨域Cookies， 则将跨域Cookies发送至外网验证工具， 以使外网验证工具在外网进行跨域 Cookies虚拟身份。

49、的有效性验证。 0074 本发明实施例结合了会话标签与非法终端的发现技术， 其中， 会话标签的工作原 理具有以下步骤： 0075 步骤1， 为终端提供会话标签及获取终端信息的JS代码。 0076 第一内网服务器通过服务器管理模块在指定的页面里插入JS代码， 等待终端浏览 器的访问并运行相关代码， 同时， JS代码中包括针对不同终端浏览器读取跨域Cookies的 XSS漏洞攻击代码以便获取更多的终端信息。 终端信息包括跨域Cookies， 会话标签包括 Cookies和跨域Cookies。 0077 步骤2， 终端浏览器访问第一内网服务器生成终端信息。 0078 当终端浏览器访问第一内网服务器时。

50、， 第一内网服务器首先将会话ID记录并设置 Cookies发送给终端浏览器， 终端浏览器记录相关会话标签将Cookies写入本地文件， 同时 在本地浏览器运行JS代码， 生成终端信息。 0079 步骤3， 终端信息和Cookies回传至数据采集分析模块。 0080 利用回传节点服务器将Cookies同终端信息一并发送至系统平台内的数据采集分 析模块， 数据采集分析模块对上述信息进行入库存储， 并结合Cookies和IP地址、 浏览器版 本、 MAC地址等终端信息计算出一个hash值， 用于唯一标识该终端。 0081 非法访问终端的发现原理具有以下步骤： 0082 步骤1： 提取终端服务器所在终。