[发明专利]会话劫持的检测方法及装置

说明书

本申请公开了一种会话劫持的检测方法及装置，所述方法包括：响应于检测到客户端向服务端发送的会话请求报文，检测针对所述会话请求报文的响应报文；当检测到所述响应报文时，基于所述响应报文获取第一会话的标识，所述第一会话为针对所述会话请求报文而建立的会话；根据所述第一会话的标识，判断是否是首次检测到针对所述会话请求报文的响应报文；若判断的结果为否，则确定发生会话劫持事件。该实施方式无需依赖于嵌入网页中用于获取网页特征的JavaScript脚本，因此，避免了由能够屏蔽上述脚本的恶意程序或者插件导致的检测失效，提高了会话劫持检测的准确率以及效率。

技术领域

本申请涉及互联网技术领域，尤其涉及会话劫持的检测方法及装置。

背景技术

随着网络技术的不断发展，互联网广泛的应用于人们的生活和工作中，使人们的生活变得更加方便。但是，随着互联网行业的竞争愈加激烈，会话劫持的现象变得越来越普遍。目前，常见的会话劫持是TCP会话劫持，例如，当客户端与目标服务端建立了TCP连接后，会话劫持方会监测从客户端发出的会话请求报文。当会话劫持方监测到预定的会话请求报文时，就会抢先向客户端返回预设的响应报文，使客户端展示带有预定内容的网页，或者跳转到预定页面。一般来说，上述会话劫持的事件通常发生在TCP(Transmission ControlProtocol，传输控制协议)层，更上层的HTTP协议无法感知到会话劫持事件的发生，因此，客户端无法监测会话劫持事件的发生。

在一种现实的业务情况下，某些网络运营商、路由节点、服务器提供商、无线网络接入提供者可能会通过对用户的会话劫持，向用户任意推送广告，以谋取利益，严重影响了用户对网络资源的访问。因此，准确高效的检测会话劫持事件显得尤为重要。

在现有技术中，一般通过如下方式进行会话劫持事件的检测，该方式基于应用层实现：首先预先建立一个非法网页特征库，并在网页中嵌入一段JavaScript脚本。当展示该网页时，通过执行上述脚本，检测当前展示的网页的DOM节点，获取网页特征信息，并与非法网页特征库里的特征进行匹配。若能够查找出匹配的特征，则说明发生了会话劫持事件。但是，有些恶意程序或者插件可以屏蔽上述脚本，因此，上述会话劫持事件的检测方法准确率以及效率均比较低。

发明内容

为了解决上述技术问题，本申请提供了一种会话劫持的检测方法及装置。

根据本申请实施例的第一方面，提供一种会话劫持的检测方法，所述方法包括：

响应于检测到客户端向服务端发送的会话请求报文，检测针对所述会话请求报文的响应报文；

当检测到所述响应报文时，基于所述响应报文获取第一会话的标识，所述第一会话为针对所述会话请求报文而建立的会话；

根据所述第一会话的标识，判断是否是首次检测到针对所述会话请求报文的响应报文；

若判断的结果为否，则确定发生会话劫持事件。

根据本申请实施例的第二方面，提供一种会话劫持的检测装置，所述装置包括：

检测单元，用于响应于检测到客户端向服务端发送的会话请求报文，检测针对所述会话请求报文的响应报文；

获取单元，用于在检测到所述响应报文时，基于所述响应报文获取第一会话的标识，所述第一会话为针对所述会话请求报文而建立的会话；

判断单元，用于根据所述第一会话的标识，判断是否是首次检测到针对所述会话请求报文的响应报文；

确定单元，用于在判断的结果为否时，确定发生会话劫持事件。