一种保护web应用安全的网站结构拟态方法
【技术领域】
[0001]本发明涉及计算机网络安全技术领域,尤其涉及一种保护web应用安全的网站结构拟态方法。
【背景技术】
[0002]随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。而目前常见的保护web应用安全的手段有防火墙、IDS、模式识别、URL过滤等技术,但这些技术都很被动,只有当发生某种入侵事件后再针对这种入侵采取相应的保护措施,如果出现新的攻击手段往往就很难防住。
【发明内容】
[0003]本发明的目的在于针对现有网络安全技术的不足,提出了一种保护web应用安全的网站结构拟态方法;该方法转被动防御为主动防御,实现简便。
[0004]本发明的目的是通过以下技术法案来实现的:一种保护web应用安全的网站结构拟态方法,其特征在于,包括以下步骤:
步骤1:客户端向后台服务器的网站发起访问请求时,在后台服务器返回给客户端的页面中插入一个url,该url在浏览器中是不可见的;
步骤2:分析客户端向后台服务器发起的请求,该步骤包括以下子步骤:
(2.1)取出发起这个请求的客户端的IP地址,判断该IP地址是否被标记;
(2.2)如果该IP地址被标记,则转到步骤(2.4);
(2.3)判断请求的URL是否为我们插入页面中的URL:如果不是,把该请求转发到后台服务器上;否则,转到步骤(2.4);
(2.4)标记该IP,更新该IP访问后台web应用的时间;把该请求转发到一个虚拟web应用上;
步骤3:虚拟web应用处理该请求,构造一个博客返回给客户端;该步骤包括以下子步骤:
(3.1)虚拟web应用在接到请求后,先从保存URL的数据库中取出一个URL列表;(3.2)针对URL列表中的每一个URL,从一个文本文件中随机截取一段文字,构造一个超链接:〈a href=” URL” >截取的一段文字</a> ;
(3.3)生成一个html页面,将步骤3.2构造的所有超链接插入该页面中,构造一篇博客,将构造的该篇博客返回给客户端;
步骤4:如果在设置的时间内没有再收到过该ip的访问请求,则取消对该IP的标记。
[0005]本发明的有益效果是:本发明提出了一种主动保护web应用安全的方法。由于该方法会主动隐藏后台web应用的真实结构,当黑客用爬虫工具爬取网站结构的时候得到的是一种构造的不真实的网站结构,从而有效地保护了 web应用的信息,化被动为主动,并且能够防御住新类型攻击。
【附图说明】
[0006]图1是网络架构的示意图;
图2是网站结构拟态防御方法的流程图。
具体实施方案
[0007]下面根据附图详细描述本发明,本发明的目的和效果将变得更加明显。
[0008]本发明保护web应用安全的网站结构拟态方法,包括以下步骤:
步骤1:在所有页面中插入一个url,该url在浏览器中是不可见的。
[0009]步骤2:分析客户端向后台服务器发起的请求。
[0010](2.1)取出发起这个请求的客户端的IP地址,判断该IP地址是否被标记。
[0011](2.2)如果该IP地址被标记,则转到步骤(2.4)。
[0012](2.3)判断请求的URL是否为我们插入页面中的URL。如果不是,则把该请求转发到后台真实的web服务器上。否则,转到步骤(2.4)。
[0013](2.4)标记该IP,更新该IP访问后台web应用的时间。把该请求转发到与我们配套的另一个虚拟web应用上。
[0014]步骤3:虚拟web应用处理该请求,构造一个返回页面。
[0015](3.1)虚拟web应用在接到请求后,为了使返回的页面看起来正常,先从保存URL的数据库中取出一个URL列表。
[0016](3.2)针对URL列表中的每一个URL,从一个保存了一本小说《简.爱》的文本文件中随机截取一小段文字,构造一个类似于如下的超链接:
<a href=”URL”>截取的小段文字</a>。
[0017](3.3)生成一个html页面,将之前所有构造的超链接插入该页面中,形成一篇类似于博客的文章,将构造的该篇博客反回给客户端。
[0018]步骤4:如果在两个小时内没有收到过该ip的访问请求,则取消对该IP的标记。
[0019]本发明把网站的资源树状结构体做了一个变换,隐藏了真实的网站结构。当黑客想通过分析网站结构来找到容易被攻击的攻击面就会找到虚假的攻击面,极大的阻碍了黑客对一个网站的入侵。这样,即使我们的后台web应用存在某些漏洞,也可以使得黑客不能发现,极大保护了我们web应用的安全。
【主权项】
1.一种保护web应用安全的网站结构拟态方法,其特征在于,包括以下步骤: 步骤1:客户端向后台服务器的网站发起访问请求时,在后台服务器返回给客户端的页面中插入一个url,该url在浏览器中是不可见的; 步骤2:分析客户端向后台服务器发起的请求,该步骤包括以下子步骤: (2.1)取出发起这个请求的客户端的IP地址,判断该IP地址是否被标记; (2.2)如果该IP地址被标记,则转到步骤(2.4); (2.3)判断请求的URL是否为我们插入页面中的URL:如果不是,把该请求转发到后台服务器上;否则,转到步骤(2.4); (2.4)标记该IP,更新该IP访问后台web应用的时间;把该请求转发到一个虚拟web应用上; 步骤3:虚拟web应用处理该请求,构造一个博客返回给客户端;该步骤包括以下子步骤: (3.1)虚拟web应用在接到请求后,先从保存URL的数据库中取出一个URL列表;(3.2)针对URL列表中的每一个URL,从一个文本文件中随机截取一段文字,构造一个超链接:〈a href=” URL” >截取的一段文字</a> ; (3.3)生成一个html页面,将步骤3.2构造的所有超链接插入该页面中,构造一篇博客,将构造的该篇博客返回给客户端; 步骤4:如果在设置的时间内没有再收到过该ip的访问请求,则取消对该IP的标记。
【专利摘要】本发明公开了一种保护web应用安全的网站结构拟态方法,该方法对后台web应用的网站结构地图进行动态变换,使之对外表现变换后的网站结构图,隐藏真实的网站结构。应用该方法可以使得攻击者无法获取网站的真实结构,从而能有效阻碍攻击者分析后台web应用,保护我们的web应用程序。
【IPC分类】G06F17/30, G06F21/62
【公开号】CN104951711
【申请号】CN201510355582
【发明人】吴春明, 申旺强, 高文
【申请人】浙江大学
【公开日】2015年9月30日
【申请日】2015年6月24日