專利名稱:一種應(yīng)用于應(yīng)用層的web入侵防御方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及防火墻技術(shù)領(lǐng)域,特別是涉及一種應(yīng)用于應(yīng)用層的web入侵防御方法及系統(tǒng)。
背景技術(shù):
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊行為也越來越多。因此,如何更好的阻止網(wǎng)絡(luò)入侵成為了擺在技術(shù)人員面前的一個重要難題。
在web應(yīng)用層中,傳統(tǒng)的web防火墻采用的是關(guān)鍵字檢測技術(shù),即通過識別HTTP 請求中的危險關(guān)鍵字來識別攻擊行為。但這種技術(shù)存在以下問題 1、誤報(bào)率較高 為了更多的識別網(wǎng)絡(luò)攻擊行為,關(guān)鍵字檢測技術(shù)需要增加大量的危險關(guān)鍵字策略,一旦檢測到某些網(wǎng)絡(luò)行為中包含有這些危險關(guān)鍵字時,則識別為危險行為。由于嚴(yán)格按照危險關(guān)鍵字的識別來檢測攻擊行為,所以當(dāng)于某個用戶的行為屬于正常訪問行為但包含危險關(guān)鍵字時,關(guān)鍵字檢測技術(shù)仍會將其誤報(bào)為危險行為。
2、漏報(bào)率較高 由于按照危險關(guān)鍵字的識別來檢測攻擊行為,當(dāng)網(wǎng)絡(luò)攻擊方對關(guān)鍵字進(jìn)行編碼或變形時,采用關(guān)鍵字檢測技術(shù)的防火墻將無法檢測到改變關(guān)鍵字以后的危險行為,從而出現(xiàn)漏報(bào)。
總之,現(xiàn)有web應(yīng)用層中使用關(guān)鍵字檢測技術(shù)的防火墻無法很好的檢測網(wǎng)絡(luò)攻擊行為。
發(fā)明內(nèi)容
為解決上述技術(shù)問題,本發(fā)明實(shí)施例提供一種應(yīng)用于應(yīng)用層的web入侵防御方法及系統(tǒng),以解決現(xiàn)有防火墻無法很好檢測網(wǎng)絡(luò)攻擊行為的問題,技術(shù)方案如下 一種應(yīng)用于應(yīng)用層的web入侵防御方法,包括 獲取訪問者的訪問行為; 根據(jù)預(yù)設(shè)的危險行為標(biāo)準(zhǔn),判斷所述訪問行為是否為危險行為,如果是,根據(jù)預(yù)先設(shè)置的危險行為與威脅值的對應(yīng)關(guān)系獲取所述訪問行為的威脅值,將所述威脅值疊加到訪問者的積累威脅值中以更新所述積累威脅值; 根據(jù)訪問者的積累威脅值對訪問者的訪問行為進(jìn)行相應(yīng)的防御。
優(yōu)選的,該方法還包括預(yù)先使用蜜罐技術(shù)模擬應(yīng)用層系統(tǒng)漏洞。
優(yōu)選的,當(dāng)訪問者在預(yù)設(shè)時間段內(nèi)的訪問行為均不是危險行為時,所述訪問者的積累威脅值降低。
優(yōu)選的,所述根據(jù)訪問者的積累威脅值對訪問者的訪問行為進(jìn)行相應(yīng)的防御,包括 根據(jù)訪問者的積累威脅值將訪問者劃分為四個危險等級,包括普通用戶、嫌疑用戶、一般攻擊者和危險攻擊者; 根據(jù)訪問者的危險等級對訪問者的訪問行為進(jìn)行相應(yīng)的防御。
優(yōu)選的,在訪問者的危險等級為危險攻擊者的情況下,所述對訪問者的訪問行為進(jìn)行相應(yīng)的防御包括阻止該訪問者的訪問行為并將經(jīng)過偽裝的阻斷頁面返回給該訪問者ο 優(yōu)選的,所述預(yù)設(shè)的危險行為標(biāo)準(zhǔn)為系統(tǒng)根據(jù)對歷史正常訪問行為和/或危險訪問行為進(jìn)行學(xué)習(xí)得到的。
優(yōu)選的,所述預(yù)設(shè)的危險行為標(biāo)準(zhǔn),包括 訪問者訪問行為的訪問參數(shù)滿足預(yù)設(shè)的危險行為訪問參數(shù)要求、訪問者訪問行為中攜帶有危險關(guān)鍵字、訪問者訪問行為所采取的手段具有危險性和/或訪問者訪問行為所訪問的目的地址為安全敏感地址。
優(yōu)選的,所述訪問參數(shù),包括訪問行為所攜帶的參數(shù)的長度、訪問行為所攜帶的參數(shù)的類型、訪問行為所攜帶的參數(shù)的提交類型和訪問行為瀏覽頁面的時間間隔。
相對應(yīng)于前面的一種應(yīng)用于應(yīng)用層的web入侵防御方法,本發(fā)明還提供了一種應(yīng)用于應(yīng)用層的web入侵防御系統(tǒng),包括訪問行為獲取模塊、威脅值生成模塊和防御模塊, 所述訪問行為獲取模塊,用于獲取訪問者的訪問行為; 所述威脅值生成模塊,用于根據(jù)預(yù)設(shè)的危險行為標(biāo)準(zhǔn),判斷所述訪問行為是否為危險行為,如果是,根據(jù)預(yù)先設(shè)置的危險行為與威脅值的對應(yīng)關(guān)系獲取所述訪問行為的威脅值,將所述威脅值疊加到訪問者的積累威脅值中以更新所述積累威脅值; 所述防御模塊,用于根據(jù)訪問者的積累威脅值對訪問者的訪問行為進(jìn)行相應(yīng)的防御。
優(yōu)選的,該系統(tǒng)還包括蜜罐模塊,用于預(yù)先使用蜜罐技術(shù)模擬應(yīng)用層系統(tǒng)漏洞。
通過應(yīng)用以上技術(shù)方案,本發(fā)明能夠根據(jù)訪問者訪問行為中的危險行為為訪問者賦予威脅值并將危險行為的威脅值進(jìn)行疊加,生成積累威脅值,從而能夠根據(jù)用戶的多個訪問行為對其進(jìn)行相應(yīng)的防御處理,解決了采用關(guān)鍵字檢測技術(shù)所帶來了無法很好檢測網(wǎng)絡(luò)攻擊行為的問題。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下, 還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本發(fā)明實(shí)施例提供的一種應(yīng)用于應(yīng)用層中的web入侵防御方法的流程示意圖; 圖2為本發(fā)明實(shí)施例提供的另一種應(yīng)用于應(yīng)用層中的web入侵防御方法的流程示意圖; 圖3為本發(fā)明實(shí)施例提供的一種應(yīng)用于應(yīng)用層中的web入侵防御系統(tǒng)的結(jié)構(gòu)示意圖; 圖4為本發(fā)明實(shí)施例提供的另一種應(yīng)用于應(yīng)用層中的web入侵防御系統(tǒng)的結(jié)構(gòu)示意圖。
具體實(shí)施例方式為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明中的技術(shù)方案,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。
如圖1所示,本發(fā)明實(shí)施例提供的一種應(yīng)用于應(yīng)用層中的web入侵防御方法,包括 S101、獲取訪問者的訪問行為; S102、根據(jù)預(yù)設(shè)的危險行為標(biāo)準(zhǔn),判斷所述訪問行為是否為危險行為,如果是,根據(jù)預(yù)先設(shè)置的危險行為與威脅值的對應(yīng)關(guān)系獲取所述訪問行為的威脅值,將所述威脅值疊加到訪問者的積累威脅值中以更新所述積累威脅值; 其中,預(yù)設(shè)的危險行為標(biāo)準(zhǔn)可以為系統(tǒng)根據(jù)對歷史正常訪問行為和危險訪問行為進(jìn)行學(xué)習(xí)得到的。具體的,系統(tǒng)可以根據(jù)大量的歷史正常訪問行為和/或危險訪問行為進(jìn)行分析統(tǒng)計(jì),從而確定危險行為標(biāo)準(zhǔn)。
預(yù)設(shè)的危險行為標(biāo)準(zhǔn),可以包括訪問者訪問行為的訪問參數(shù)滿足預(yù)設(shè)的危險行為訪問參數(shù)要求、訪問者訪問行為中攜帶有危險關(guān)鍵字、訪問者訪問行為所采取的手段具有危險性和/或訪問者訪問行為所訪問的目的地址為安全敏感地址。其中,訪問者訪問行為的訪問參數(shù),可以包括訪問行為所攜帶的參數(shù)的長度、訪問行為所攜帶的參數(shù)的類型、 訪問行為所攜帶的參數(shù)的提交類型和訪問行為瀏覽頁面的時間間隔。
下面以從大量歷史正常訪問行為中學(xué)習(xí)得到危險行為訪問參數(shù)要求為例進(jìn)行說明 1、學(xué)習(xí)訪問行為所攜帶的參數(shù)的長度 對于參數(shù)Name,通過對大量攜帶該參數(shù)的正常訪問行為進(jìn)行統(tǒng)計(jì)分析得出該參數(shù)的平均值為6,方差為2,則通過學(xué)習(xí)可以得到正常訪問行為下,該參數(shù)的范圍為4-8 (平均值減去方差為參數(shù)取值范圍的最小值,加方差為參數(shù)取值范圍的最大值)。則確定危險行為標(biāo)準(zhǔn)中Name參數(shù)的長度為小于4或大于8。當(dāng)然,針對不同參數(shù)的特點(diǎn),其統(tǒng)計(jì)和分析方法不盡相同,本發(fā)明不再贅述。
2、學(xué)習(xí)訪問行為所攜帶的參數(shù)的類型 對于參數(shù)ID,通過對大量攜帶該參數(shù)的正常訪問行為進(jìn)行統(tǒng)計(jì)分析得出參數(shù)ID 的類型均為純數(shù)字型。則確定危險行為標(biāo)準(zhǔn)中,參數(shù)ID的類型為非純數(shù)字型。
3、學(xué)習(xí)訪問行為所攜帶的參數(shù)的提交類型 對于參數(shù)Password,通過對大量攜帶該參數(shù)的正常訪問行為進(jìn)行統(tǒng)計(jì)分析得出 參數(shù)Password的提交類型均為POST。則確定危險行為標(biāo)準(zhǔn)中,參數(shù)password的提交類型為非POST。
4、學(xué)習(xí)訪問行為瀏覽頁面的時間間隔 具體的學(xué)習(xí)方式可以有多種,如在正常訪問行為樣本中隨機(jī)抽取一定數(shù)量的訪問行為,并統(tǒng)計(jì)它們?yōu)g覽頁面時間間隔的平均值及方差,將此平均值減去方差作為正常訪問行為瀏覽頁面時間間隔的最小值,將此平均值加上方差作為正常訪問行為瀏覽頁面時間間隔的最大值。容易理解的,也就得出了危險行為標(biāo)準(zhǔn)中瀏覽頁面時間間隔的標(biāo)準(zhǔn)。當(dāng)然,具體的學(xué)習(xí)方式也可以為其他方式,本發(fā)明在此做不限定。
需要說明的一點(diǎn)是,以上學(xué)習(xí)行為都是針對web中HTTP/HTTPS協(xié)議進(jìn)行的學(xué)習(xí)。
下面對訪問者訪問行為所采取的手段具有危險性和訪問者訪問行為所訪問的目的地址為安全敏感地址的情況進(jìn)行說明(訪問者訪問行為中攜帶有危險關(guān)鍵字的情況為現(xiàn)有技術(shù),不再解釋)。
經(jīng)蜜罐技術(shù)誘騙,如果訪問者的訪問行為包括數(shù)據(jù)庫下載、偽后臺萬能密碼登陸嘗試和/或偽后臺弱口令登陸嘗試,則三種訪問行為所采取的手段具有危險性。本領(lǐng)域技術(shù)人員容易理解的是,目錄/data/頁面是容易被攻擊者訪問并攻擊的目錄,04頁面是攻擊者在嗅探攻擊中經(jīng)常出現(xiàn)的,它們都為安全敏感地址,訪問安全敏感地址的訪問行為具有威脅性。
在實(shí)際應(yīng)用中,可以根據(jù)不同危險行為的危險程度為其對應(yīng)一個威脅值。下面公開其中一種對應(yīng)關(guān)系的一部分,如表1所示
權(quán)利要求
1.一種應(yīng)用于應(yīng)用層的web入侵防御方法,其特征在于,包括獲取訪問者的訪問行為;根據(jù)預(yù)設(shè)的危險行為標(biāo)準(zhǔn),判斷所述訪問行為是否為危險行為,如果是,根據(jù)預(yù)先設(shè)置的危險行為與威脅值的對應(yīng)關(guān)系獲取所述訪問行為的威脅值,將所述威脅值疊加到訪問者的積累威脅值中以更新所述積累威脅值;根據(jù)訪問者的積累威脅值對訪問者的訪問行為進(jìn)行相應(yīng)的防御。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,還包括預(yù)先使用蜜罐技術(shù)模擬應(yīng)用層系統(tǒng)漏洞。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,當(dāng)訪問者在預(yù)設(shè)時間段內(nèi)的訪問行為均不是危險行為時,所述訪問者的積累威脅值降低。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)訪問者的積累威脅值對訪問者的訪問行為進(jìn)行相應(yīng)的防御,包括根據(jù)訪問者的積累威脅值將訪問者劃分為四個危險等級,包括普通用戶、嫌疑用戶、一般攻擊者和危險攻擊者;根據(jù)訪問者的危險等級對訪問者的訪問行為進(jìn)行相應(yīng)的防御。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,在訪問者的危險等級為危險攻擊者的情況下,所述對訪問者的訪問行為進(jìn)行相應(yīng)的防御包括阻止該訪問者的訪問行為并將經(jīng)過偽裝的阻斷頁面返回給該訪問者。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述預(yù)設(shè)的危險行為標(biāo)準(zhǔn)為系統(tǒng)根據(jù)對歷史正常訪問行為和/或危險訪問行為進(jìn)行學(xué)習(xí)得到的。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述預(yù)設(shè)的危險行為標(biāo)準(zhǔn),包括訪問者訪問行為的訪問參數(shù)滿足預(yù)設(shè)的危險行為訪問參數(shù)要求、訪問者訪問行為中攜帶有危險關(guān)鍵字、訪問者訪問行為所采取的手段具有危險性和/或訪問者訪問行為所訪問的目的地址為安全敏感地址。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述訪問參數(shù),包括訪問行為所攜帶的參數(shù)的長度、訪問行為所攜帶的參數(shù)的類型、訪問行為所攜帶的參數(shù)的提交類型和訪問行為瀏覽頁面的時間間隔。
9.一種應(yīng)用于應(yīng)用層的web入侵防御系統(tǒng),其特征在于,包括訪問行為獲取模塊、威脅值生成模塊和防御模塊,所述訪問行為獲取模塊,用于獲取訪問者的訪問行為;所述威脅值生成模塊,用于根據(jù)預(yù)設(shè)的危險行為標(biāo)準(zhǔn),判斷所述訪問行為是否為危險行為,如果是,根據(jù)預(yù)先設(shè)置的危險行為與威脅值的對應(yīng)關(guān)系獲取所述訪問行為的威脅值, 將所述威脅值疊加到訪問者的積累威脅值中以更新所述積累威脅值;所述防御模塊,用于根據(jù)訪問者的積累威脅值對訪問者的訪問行為進(jìn)行相應(yīng)的防御。
10.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,還包括蜜罐模塊,用于預(yù)先使用蜜罐技術(shù)模擬應(yīng)用層系統(tǒng)漏洞。
全文摘要
本發(fā)明公開了一種應(yīng)用于應(yīng)用層的web入侵防御方法及系統(tǒng),能夠根據(jù)訪問者訪問行為中的危險行為為訪問者賦予威脅值并將危險行為的威脅值進(jìn)行疊加,生成積累威脅值,從而能夠根據(jù)用戶的多個訪問行為對其進(jìn)行相應(yīng)的防御處理,解決了采用關(guān)鍵字檢測技術(shù)所帶來了無法很好檢測網(wǎng)絡(luò)攻擊行為的問題。
文檔編號H04L29/06GK102185858SQ20111011719
公開日2011年9月14日 申請日期2011年5月6日 優(yōu)先權(quán)日2011年5月6日
發(fā)明者王柯 申請人:山東中創(chuàng)軟件商用中間件股份有限公司