专利名称:一种应用于应用层的web入侵防御方法及系统的制作方法
技术领域:
本发明涉及防火墙技术领域,特别是涉及一种应用于应用层的web入侵防御方法及系统。
背景技术:
随着计算机网络技术的发展,网络攻击行为也越来越多。因此,如何更好的阻止网络入侵成为了摆在技术人员面前的一个重要难题。
在web应用层中,传统的web防火墙采用的是关键字检测技术,即通过识别HTTP 请求中的危险关键字来识别攻击行为。但这种技术存在以下问题 1、误报率较高 为了更多的识别网络攻击行为,关键字检测技术需要增加大量的危险关键字策略,一旦检测到某些网络行为中包含有这些危险关键字时,则识别为危险行为。由于严格按照危险关键字的识别来检测攻击行为,所以当于某个用户的行为属于正常访问行为但包含危险关键字时,关键字检测技术仍会将其误报为危险行为。
2、漏报率较高 由于按照危险关键字的识别来检测攻击行为,当网络攻击方对关键字进行编码或变形时,采用关键字检测技术的防火墙将无法检测到改变关键字以后的危险行为,从而出现漏报。
总之,现有web应用层中使用关键字检测技术的防火墙无法很好的检测网络攻击行为。
发明内容
为解决上述技术问题,本发明实施例提供一种应用于应用层的web入侵防御方法及系统,以解决现有防火墙无法很好检测网络攻击行为的问题,技术方案如下 一种应用于应用层的web入侵防御方法,包括 获取访问者的访问行为; 根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值,将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值; 根据访问者的积累威胁值对访问者的访问行为进行相应的防御。
优选的,该方法还包括预先使用蜜罐技术模拟应用层系统漏洞。
优选的,当访问者在预设时间段内的访问行为均不是危险行为时,所述访问者的积累威胁值降低。
优选的,所述根据访问者的积累威胁值对访问者的访问行为进行相应的防御,包括 根据访问者的积累威胁值将访问者划分为四个危险等级,包括普通用户、嫌疑用户、一般攻击者和危险攻击者; 根据访问者的危险等级对访问者的访问行为进行相应的防御。
优选的,在访问者的危险等级为危险攻击者的情况下,所述对访问者的访问行为进行相应的防御包括阻止该访问者的访问行为并将经过伪装的阻断页面返回给该访问者ο 优选的,所述预设的危险行为标准为系统根据对历史正常访问行为和/或危险访问行为进行学习得到的。
优选的,所述预设的危险行为标准,包括 访问者访问行为的访问参数满足预设的危险行为访问参数要求、访问者访问行为中携带有危险关键字、访问者访问行为所采取的手段具有危险性和/或访问者访问行为所访问的目的地址为安全敏感地址。
优选的,所述访问参数,包括访问行为所携带的参数的长度、访问行为所携带的参数的类型、访问行为所携带的参数的提交类型和访问行为浏览页面的时间间隔。
相对应于前面的一种应用于应用层的web入侵防御方法,本发明还提供了一种应用于应用层的web入侵防御系统,包括访问行为获取模块、威胁值生成模块和防御模块, 所述访问行为获取模块,用于获取访问者的访问行为; 所述威胁值生成模块,用于根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值,将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值; 所述防御模块,用于根据访问者的积累威胁值对访问者的访问行为进行相应的防御。
优选的,该系统还包括蜜罐模块,用于预先使用蜜罐技术模拟应用层系统漏洞。
通过应用以上技术方案,本发明能够根据访问者访问行为中的危险行为为访问者赋予威胁值并将危险行为的威胁值进行叠加,生成积累威胁值,从而能够根据用户的多个访问行为对其进行相应的防御处理,解决了采用关键字检测技术所带来了无法很好检测网络攻击行为的问题。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下, 还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种应用于应用层中的web入侵防御方法的流程示意图; 图2为本发明实施例提供的另一种应用于应用层中的web入侵防御方法的流程示意图; 图3为本发明实施例提供的一种应用于应用层中的web入侵防御系统的结构示意图; 图4为本发明实施例提供的另一种应用于应用层中的web入侵防御系统的结构示意图。
具体实施例方式为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
如图1所示,本发明实施例提供的一种应用于应用层中的web入侵防御方法,包括 S101、获取访问者的访问行为; S102、根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值,将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值; 其中,预设的危险行为标准可以为系统根据对历史正常访问行为和危险访问行为进行学习得到的。具体的,系统可以根据大量的历史正常访问行为和/或危险访问行为进行分析统计,从而确定危险行为标准。
预设的危险行为标准,可以包括访问者访问行为的访问参数满足预设的危险行为访问参数要求、访问者访问行为中携带有危险关键字、访问者访问行为所采取的手段具有危险性和/或访问者访问行为所访问的目的地址为安全敏感地址。其中,访问者访问行为的访问参数,可以包括访问行为所携带的参数的长度、访问行为所携带的参数的类型、 访问行为所携带的参数的提交类型和访问行为浏览页面的时间间隔。
下面以从大量历史正常访问行为中学习得到危险行为访问参数要求为例进行说明 1、学习访问行为所携带的参数的长度 对于参数Name,通过对大量携带该参数的正常访问行为进行统计分析得出该参数的平均值为6,方差为2,则通过学习可以得到正常访问行为下,该参数的范围为4-8 (平均值减去方差为参数取值范围的最小值,加方差为参数取值范围的最大值)。则确定危险行为标准中Name参数的长度为小于4或大于8。当然,针对不同参数的特点,其统计和分析方法不尽相同,本发明不再赘述。
2、学习访问行为所携带的参数的类型 对于参数ID,通过对大量携带该参数的正常访问行为进行统计分析得出参数ID 的类型均为纯数字型。则确定危险行为标准中,参数ID的类型为非纯数字型。
3、学习访问行为所携带的参数的提交类型 对于参数Password,通过对大量携带该参数的正常访问行为进行统计分析得出 参数Password的提交类型均为POST。则确定危险行为标准中,参数password的提交类型为非POST。
4、学习访问行为浏览页面的时间间隔 具体的学习方式可以有多种,如在正常访问行为样本中随机抽取一定数量的访问行为,并统计它们浏览页面时间间隔的平均值及方差,将此平均值减去方差作为正常访问行为浏览页面时间间隔的最小值,将此平均值加上方差作为正常访问行为浏览页面时间间隔的最大值。容易理解的,也就得出了危险行为标准中浏览页面时间间隔的标准。当然,具体的学习方式也可以为其他方式,本发明在此做不限定。
需要说明的一点是,以上学习行为都是针对web中HTTP/HTTPS协议进行的学习。
下面对访问者访问行为所采取的手段具有危险性和访问者访问行为所访问的目的地址为安全敏感地址的情况进行说明(访问者访问行为中携带有危险关键字的情况为现有技术,不再解释)。
经蜜罐技术诱骗,如果访问者的访问行为包括数据库下载、伪后台万能密码登陆尝试和/或伪后台弱口令登陆尝试,则三种访问行为所采取的手段具有危险性。本领域技术人员容易理解的是,目录/data/页面是容易被攻击者访问并攻击的目录,04页面是攻击者在嗅探攻击中经常出现的,它们都为安全敏感地址,访问安全敏感地址的访问行为具有威胁性。
在实际应用中,可以根据不同危险行为的危险程度为其对应一个威胁值。下面公开其中一种对应关系的一部分,如表1所示
权利要求
1.一种应用于应用层的web入侵防御方法,其特征在于,包括获取访问者的访问行为;根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值,将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值;根据访问者的积累威胁值对访问者的访问行为进行相应的防御。
2.根据权利要求1所述的方法,其特征在于,还包括预先使用蜜罐技术模拟应用层系统漏洞。
3.根据权利要求1所述的方法,其特征在于,当访问者在预设时间段内的访问行为均不是危险行为时,所述访问者的积累威胁值降低。
4.根据权利要求1所述的方法,其特征在于,所述根据访问者的积累威胁值对访问者的访问行为进行相应的防御,包括根据访问者的积累威胁值将访问者划分为四个危险等级,包括普通用户、嫌疑用户、一般攻击者和危险攻击者;根据访问者的危险等级对访问者的访问行为进行相应的防御。
5.根据权利要求4所述的方法,其特征在于,在访问者的危险等级为危险攻击者的情况下,所述对访问者的访问行为进行相应的防御包括阻止该访问者的访问行为并将经过伪装的阻断页面返回给该访问者。
6.根据权利要求1所述的方法,其特征在于,所述预设的危险行为标准为系统根据对历史正常访问行为和/或危险访问行为进行学习得到的。
7.根据权利要求1所述的方法,其特征在于,所述预设的危险行为标准,包括访问者访问行为的访问参数满足预设的危险行为访问参数要求、访问者访问行为中携带有危险关键字、访问者访问行为所采取的手段具有危险性和/或访问者访问行为所访问的目的地址为安全敏感地址。
8.根据权利要求7所述的方法,其特征在于,所述访问参数,包括访问行为所携带的参数的长度、访问行为所携带的参数的类型、访问行为所携带的参数的提交类型和访问行为浏览页面的时间间隔。
9.一种应用于应用层的web入侵防御系统,其特征在于,包括访问行为获取模块、威胁值生成模块和防御模块,所述访问行为获取模块,用于获取访问者的访问行为;所述威胁值生成模块,用于根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值, 将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值;所述防御模块,用于根据访问者的积累威胁值对访问者的访问行为进行相应的防御。
10.根据权利要求9所述的系统,其特征在于,还包括蜜罐模块,用于预先使用蜜罐技术模拟应用层系统漏洞。
全文摘要
本发明公开了一种应用于应用层的web入侵防御方法及系统,能够根据访问者访问行为中的危险行为为访问者赋予威胁值并将危险行为的威胁值进行叠加,生成积累威胁值,从而能够根据用户的多个访问行为对其进行相应的防御处理,解决了采用关键字检测技术所带来了无法很好检测网络攻击行为的问题。
文档编号H04L29/06GK102185858SQ20111011719
公开日2011年9月14日 申请日期2011年5月6日 优先权日2011年5月6日
发明者王柯 申请人:山东中创软件商用中间件股份有限公司