CN102185858B - 一种应用于应用层的web入侵防御方法及系统 - Google Patents
一种应用于应用层的web入侵防御方法及系统 Download PDFInfo
- Publication number
- CN102185858B CN102185858B CN201110117191.6A CN201110117191A CN102185858B CN 102185858 B CN102185858 B CN 102185858B CN 201110117191 A CN201110117191 A CN 201110117191A CN 102185858 B CN102185858 B CN 102185858B
- Authority
- CN
- China
- Prior art keywords
- visitor
- access
- behavior
- threat value
- access behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Alarm Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种应用于应用层的web入侵防御方法及系统,能够根据访问者访问行为中的危险行为为访问者赋予威胁值并将危险行为的威胁值进行叠加,生成积累威胁值,从而能够根据用户的多个访问行为对其进行相应的防御处理,解决了采用关键字检测技术所带来了无法很好检测网络攻击行为的问题。
Description
技术领域
本发明涉及防火墙技术领域,特别是涉及一种应用于应用层的web入侵防御方法及系统。
背景技术
随着计算机网络技术的发展,网络攻击行为也越来越多。因此,如何更好的阻止网络入侵成为了摆在技术人员面前的一个重要难题。
在web应用层中,传统的web防火墙采用的是关键字检测技术,即通过识别HTTP请求中的危险关键字来识别攻击行为。但这种技术存在以下问题:
1、误报率较高
为了更多的识别网络攻击行为,关键字检测技术需要增加大量的危险关键字策略,一旦检测到某些网络行为中包含有这些危险关键字时,则识别为危险行为。由于严格按照危险关键字的识别来检测攻击行为,所以当于某个用户的行为属于正常访问行为但包含危险关键字时,关键字检测技术仍会将其误报为危险行为。
2、漏报率较高
由于按照危险关键字的识别来检测攻击行为,当网络攻击方对关键字进行编码或变形时,采用关键字检测技术的防火墙将无法检测到改变关键字以后的危险行为,从而出现漏报。
总之,现有web应用层中使用关键字检测技术的防火墙无法很好的检测网络攻击行为。
发明内容
为解决上述技术问题,本发明实施例提供一种应用于应用层的web入侵防御方法及系统,以解决现有防火墙无法很好检测网络攻击行为的问题,技术方案如下:
一种应用于应用层的web入侵防御方法,包括:
获取访问者的访问行为;
根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值,将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值;
根据访问者的积累威胁值对访问者的访问行为进行相应的防御。
优选的,该方法还包括:预先使用蜜罐技术模拟应用层系统漏洞。
优选的,当访问者在预设时间段内的访问行为均不是危险行为时,所述访问者的积累威胁值降低。
优选的,所述根据访问者的积累威胁值对访问者的访问行为进行相应的防御,包括:
根据访问者的积累威胁值将访问者划分为四个危险等级,包括普通用户、嫌疑用户、一般攻击者和危险攻击者;
根据访问者的危险等级对访问者的访问行为进行相应的防御。
优选的,在访问者的危险等级为危险攻击者的情况下,所述对访问者的访问行为进行相应的防御包括:阻止该访问者的访问行为并将经过伪装的阻断页面返回给该访问者。
优选的,所述预设的危险行为标准为系统根据对历史正常访问行为和/或危险访问行为进行学习得到的。
优选的,所述预设的危险行为标准,包括:
访问者访问行为的访问参数满足预设的危险行为访问参数要求、访问者访问行为中携带有危险关键字、访问者访问行为所采取的手段具有危险性和/或访问者访问行为所访问的目的地址为安全敏感地址。
优选的,所述访问参数,包括:访问行为所携带的参数的长度、访问行为所携带的参数的类型、访问行为所携带的参数的提交类型和访问行为浏览页面的时间间隔。
相对应于前面的一种应用于应用层的web入侵防御方法,本发明还提供了一种应用于应用层的web入侵防御系统,包括:访问行为获取模块、威胁值生成模块和防御模块,
所述访问行为获取模块,用于获取访问者的访问行为;
所述威胁值生成模块,用于根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值,将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值;
所述防御模块,用于根据访问者的积累威胁值对访问者的访问行为进行相应的防御。
优选的,该系统还包括:蜜罐模块,用于预先使用蜜罐技术模拟应用层系统漏洞。
通过应用以上技术方案,本发明能够根据访问者访问行为中的危险行为为访问者赋予威胁值并将危险行为的威胁值进行叠加,生成积累威胁值,从而能够根据用户的多个访问行为对其进行相应的防御处理,解决了采用关键字检测技术所带来了无法很好检测网络攻击行为的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种应用于应用层中的web入侵防御方法的流程示意图;
图2为本发明实施例提供的另一种应用于应用层中的web入侵防御方法的流程示意图;
图3为本发明实施例提供的一种应用于应用层中的web入侵防御系统的结构示意图;
图4为本发明实施例提供的另一种应用于应用层中的web入侵防御系统的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
如图1所示,本发明实施例提供的一种应用于应用层中的web入侵防御方法,包括:
S101、获取访问者的访问行为;
S102、根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值,将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值;
其中,预设的危险行为标准可以为系统根据对历史正常访问行为和危险访问行为进行学习得到的。具体的,系统可以根据大量的历史正常访问行为和/或危险访问行为进行分析统计,从而确定危险行为标准。
预设的危险行为标准,可以包括:访问者访问行为的访问参数满足预设的危险行为访问参数要求、访问者访问行为中携带有危险关键字、访问者访问行为所采取的手段具有危险性和/或访问者访问行为所访问的目的地址为安全敏感地址。其中,访问者访问行为的访问参数,可以包括:访问行为所携带的参数的长度、访问行为所携带的参数的类型、访问行为所携带的参数的提交类型和访问行为浏览页面的时间间隔。
下面以从大量历史正常访问行为中学习得到危险行为访问参数要求为例进行说明:
1、学习访问行为所携带的参数的长度:
对于参数Name,通过对大量携带该参数的正常访问行为进行统计分析得出:该参数的平均值为6,方差为2,则通过学习可以得到正常访问行为下,该参数的范围为:4-8(平均值减去方差为参数取值范围的最小值,加方差为参数取值范围的最大值)。则确定危险行为标准中Name参数的长度为:小于4或大于8。当然,针对不同参数的特点,其统计和分析方法不尽相同,本发明不再赘述。
2、学习访问行为所携带的参数的类型:
对于参数ID,通过对大量携带该参数的正常访问行为进行统计分析得出:参数ID的类型均为纯数字型。则确定危险行为标准中,参数ID的类型为非纯数字型。
3、学习访问行为所携带的参数的提交类型:
对于参数Password,通过对大量携带该参数的正常访问行为进行统计分析得出:参数Password的提交类型均为POST。则确定危险行为标准中,参数password的提交类型为非POST。
4、学习访问行为浏览页面的时间间隔:
具体的学习方式可以有多种,如在正常访问行为样本中随机抽取一定数量的访问行为,并统计它们浏览页面时间间隔的平均值及方差,将此平均值减去方差作为正常访问行为浏览页面时间间隔的最小值,将此平均值加上方差作为正常访问行为浏览页面时间间隔的最大值。容易理解的,也就得出了危险行为标准中浏览页面时间间隔的标准。当然,具体的学习方式也可以为其他方式,本发明在此做不限定。
需要说明的一点是,以上学习行为都是针对web中HTTP/HTTPS协议进行的学习。
下面对访问者访问行为所采取的手段具有危险性和访问者访问行为所访问的目的地址为安全敏感地址的情况进行说明(访问者访问行为中携带有危险关键字的情况为现有技术,不再解释)。
经蜜罐技术诱骗,如果访问者的访问行为包括:数据库下载、伪后台万能密码登陆尝试和/或伪后台弱口令登陆尝试,则三种访问行为所采取的手段具有危险性。本领域技术人员容易理解的是,目录/data/页面是容易被攻击者访问并攻击的目录,04页面是攻击者在嗅探攻击中经常出现的,它们都为安全敏感地址,访问安全敏感地址的访问行为具有威胁性。
在实际应用中,可以根据不同危险行为的危险程度为其对应一个威胁值。下面公开其中一种对应关系的一部分,如表1所示:
| 危险行为 | 威胁值 |
| SQL注入_盲注_018 | 6 |
| SQL注入_联合注入_019 | 12 |
| 参数长度超过阈值 | 3 |
| 参数类型不符合阈值 | 3 |
| 根据UA检测道德网络爬虫访问 | 3 |
| 访问时间间隔过短 | 1.6 |
| 访问敏感目录/data/ | 2 |
| 蜜罐诱骗数据库下载 | 20 |
| 蜜罐诱骗伪后台万能密码登陆尝试 | 3 |
| 蜜罐诱骗伪后台弱口令登陆尝试 | 6 |
| 访问404页面 | 0.5 |
| 访问敏感目录 | 4 |
| ... | ... |
表1
需要说明的是,以上危险行为所对应的威胁值可以进行更新。例如:对于未知的访问行为,在原始的危险行为与威胁值的对应表中,未知的访问行为所对应的威胁值为2,经过一段时间得知该未知的访问行为为某个危险行为时(且表中无此危险行为),则为该危险行为赋予一定的威胁值并更新原危险行为与威胁值之间的对应表。
当获得访问者的第一个访问行为时,首先为该访问者赋予一个积累威胁值的初始值(如0),然后判断该第一个访问行为是否为危险行为,如果是,则根据危险行为和威胁值的对应关系将该危险行为对应的威胁值叠加到积累威胁值中。如果访问者的访问行为依次发生,则可以根据访问者的访问行为更新访问者的积累威胁值。
在本发明其他实施例中,当访问者在预设时间段内的访问行为均不是危险行为时,该访问者的积累威胁值可以降低。容易理解的是,访问者的误操作或危险行为识别失误时也可能产生危险行为,而如果危险行为多次发生,该用户则被认为是具有较高威胁度的访问者,系统可能阻止该访问者的访问行为。所以,本发明其他实施例中,如果访问者在一定时间段内未发生危险行为,该访问者的积累威胁值可以降低。具体的时间段的阈值及积累威胁值的降低程度可以根据实际情况进行设定。下面公开威胁值降低的一种方法,如表2所示:
| 危险等级 | 降级条件 | 威胁值降低至 |
| 危险攻击者 | 20小时之内禁止访问 | 34 |
| 一般攻击者 | 10个小时内未发生危险行为 | 18 |
| 嫌疑用户 | 2个小时内未发生危险行为 | 8 |
| 普通用户 | 40分钟内内未发生危险行为 | 0 |
表2
对照表3可以看出,当访问者在一定时间段内未发生危险行为时,则将该访问者的危险等级降低一级。但积累威胁值为降低后危险等级的最大值。这样,一旦该访问者发生新的危险行为,该访问者的危险等级就会升级,能够保证较高的安全性。
需要说明的是,在实际应用中,可以根据安全要求的高低在以上危险行为标准中进行选择性使用。例如,如果对安全性要求较高,则可以同时采用上述危险行为标准。这样,一旦访问行为满足其中任何一个危险行为标准,则判定该访问行为为危险行为,从而提高了系统安全性。如果对安全性要求较低,则可以选择其中的两项进行危险行为的判断。当然,在实际应用中,还可以根据实际情况对以上危险行为标准进行选择使用。如:针对多次出现访问安全敏感地址的访问请求,则可以至少选择访问者访问行为所访问的目的地址为安全敏感地址这一危险行为标准。
S103、根据访问者的积累威胁值对访问者的访问行为进行相应的防御。
具体的,可以根据访问者的当前积累威胁值将访问者划分为若干个危险等级,然后根据访问者的危险等级对其进行相应的防御处理。下面公开其中一种划分情况:根据访问者的当前积累威胁值将访问者分为四个危险等级,包括:普通用户、嫌疑用户、一般攻击者和危险攻击者;然后根据访问者的危险等级对访问者的访问行为进行相应的防御处理。当然,本领域技术人员可以理解的是,还可以将访问者分为其他多个危险等级,本发明在此不作限定。
其中,与访问等级相对应的防御处理可以有多种,如:不阻止访问者的任何访问行为、不阻止访问者的任何访问行为但记录访问者访问行为的数据、记录访问者访问行为的数据并阻止访问者的危险行为和禁止访问者在预设时间段内的访问。当然,以上防御处理需要和不同危险等级的访问者相对应,具体的,对应方式可以为多种。在实际应用中,可以将不阻止访问行为的防御处理对应于危险等级较低的访问者,将禁止访问者在预设时间段内的访问的防御处理对应于危险等级较高的访问者。
针对表1所示的危险行为与积累威胁值的对应关系,下面公开本发明的一种积累威胁值与访问者危险等级及防御处理之间的对应关系,如表3所示:
表3
在本发明的另一实施例中,在访问者的危险等级较高的情况下(如危险攻击者),对访问者的访问行为进行相应的防御可以包括:阻止该访问者的访问行为并将经过伪装的阻断页面返回给该访问者。容易理解的是,危险等级较高的访问者具有更加智能和多样化的攻击方法,一旦根据返回的阻断页面获知自己已被阻止访问,就会尝试攻击入侵防御系统。所以,如果将返回给危险等级较高的攻击者一个伪装成正常的错误页面的阻断页面,攻击者就不会容易得知自己已被阻止访问,从而更能保证系统的安全。当然,在本发明其他实施例中,还可以将经过伪装的阻断页面返回给所有的积累威胁值非0的访问者,从而使系统安全性提高。
本发明提供的一种应用于应用层的web入侵防御方法,能够根据访问者访问行为中的危险行为为访问者赋予威胁值并将危险行为的威胁值进行叠加,生成积累威胁值,从而能够根据用户的多个访问行为对其进行相应的防御处理,解决了采用关键字检测技术所带来了无法很好检测网络攻击行为的问题。
如图2所示,本发明提供的另一种应用于应用层的web入侵防御方法,包括:
S201、使用蜜罐技术模拟应用层系统漏洞;
具体的,可以根据已知的网站内容管理系统CMS和电子公告板BBS的漏洞进行模拟。
蜜罐技术可以模拟网站系统漏洞,而攻击者容易针对这些模拟的漏洞实施相应的攻击。通过蜜罐识别这些攻击者,误报率和漏报率都是相当低的,因此应对其进行较为严格的防御。
传统的蜜罐技术基于传输层和运输层等底层的协议,倾向于伪造存在漏洞的端口或者TCP/UDP连接时的banner信息(这种banner信息预示着存在某种漏洞)。
本发明把蜜罐技术创造性的应用于web应用中,制造出一个虚假而又真实的web漏洞环境。
为方便理解,下面举两个示例:
蜜罐示例1:
本发明使用蜜罐技术伪造后台登陆页面,路径为常用路径以便攻击者可以嗅探到。在后台登陆页面中提示虚假的版权信息(存在漏洞的网站的版权信息),如DVBBS 7.3。DVBBS 7.3的数据库默认路径为/data/dvbbs7.mdb,允许攻击者直接下载获得管理员口令。在进行以上系统漏洞的模拟后,本发明便可以等待攻击者访问这个数据库,一旦有访问者进行访问,则模拟的系统漏洞诱导成功。
蜜罐示例2:
本发明可以使用蜜罐技术伪造如下四个路径:伪造phpmyadmin的后台地址:/phpmyadmin/;伪造文件data/sql_bk.rar;伪造/data/目录的列目录权限;伪造/robot.txt内容为:
Robot.txt一般用于通知搜索引擎哪个目录是隐私的,以避免被收录,因此也成为了攻击者踩点时必须要测试的文件。当攻击者从robot.txt中得知目录/data/时,发现该目录可以列目录,并且目录下存在文件sql_bk.rar,从名字判断这是数据库备份文件,下载该文件(实际是从入侵防御系统下载的),里面竟然记录了mysql的密码,便到/phpmyadmin/去尝试登陆。本发明可以详细记录这一过程。如果这些访问行为依次发生,则说明诱骗成功。
S202、获取访问者的访问行为;
其中,所获取的访问行为中可能包括访问蜜罐技术模拟的系统漏洞的行为。
S203、根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值,将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值;
其中,预先设置的危险行为与威胁值的对应关系中将添加访问蜜罐技术模拟的应用层系统漏洞的危险行为与威胁值的对应关系。当然,如果原对应关系中以包含所要添加的对应关系,也可以不对这些对应关系进行添加。
S204、根据访问者的积累威胁值对访问者的访问行为进行相应的防御。
本步骤与步骤S103相同,不再累述。
相应于上面的方法实施例,本发明还提供一种应用于应用层的web入侵防御系统。
如图3所示,本发明实施例提供的一种应用于应用层的web入侵防御系统,包括:访问行为获取模块100、威胁值生成模块200和防御模块300,
所述访问行为获取模块100,用于获取访问者的访问行为;
所述威胁值生成模块200,用于根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值,将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值;
其中,预设的危险行为标准可以为系统根据对历史正常访问行为和危险访问行为进行学习得到的。具体的,系统可以根据大量的历史正常访问行为和/或危险访问行为进行分析统计,从而确定危险行为标准。
预设的危险行为标准,可以包括:访问者访问行为的访问参数满足预设的危险行为访问参数要求、访问者访问行为中携带有危险关键字、访问者访问行为所采取的手段具有危险性和/或访问者访问行为所访问的目的地址为安全敏感地址。其中,访问者访问行为的访问参数,可以包括:访问行为所携带的参数的长度、访问行为所携带的参数的类型、访问行为所携带的参数的提交类型和访问行为浏览页面的时间间隔。
所述防御模块300,用于根据访问者的积累威胁值对访问者的访问行为进行相应的防御。
具体的,可以根据访问者的当前积累威胁值将访问者划分为若干个危险等级,然后根据访问者的危险等级对其进行相应的防御处理。下面公开其中一种划分情况:根据访问者的当前积累威胁值将访问者分为四个危险等级,包括:普通用户、嫌疑用户、一般攻击者和危险攻击者;然后根据访问者的危险等级对访问者的访问行为进行相应的防御处理。当然,本领域技术人员可以理解的是,还可以将访问者分为其他多个危险等级,本发明在此不作限定。
其中,与访问等级相对应的防御处理可以有多种,如:不阻止访问者的任何访问行为、不阻止访问者的任何访问行为但记录访问者访问行为的数据、记录访问者访问行为的数据并阻止访问者的危险行为和禁止访问者在预设时间段内的访问。当然,以上防御处理需要和不同危险等级的访问者相对应,具体的,对应方式可以为多种。在实际应用中,可以将不阻止访问行为的防御处理对应于危险等级较低的访问者,将禁止访问者在预设时间段内的访问的防御处理对应于危险等级较高的访问者。
如图4所示,在本发明实施例提供的另一种应用于应用层的web入侵防御系统,还包括:蜜罐模块400,用于预先使用蜜罐技术模拟应用层系统漏洞。
蜜罐技术可以模拟系统漏洞,而攻击者容易针对这些模拟的漏洞实施相应的攻击。实施这些攻击行为的访问者具有较高的安全威胁度,应对其进行较为严格的防御。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROMRAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本发明可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
以上所述仅是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种应用于应用层的web入侵防御方法,其特征在于,包括:
获取访问者的访问行为;
根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值,将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值;
根据访问者的积累威胁值对访问者的访问行为进行相应的防御;
所述根据访问者的积累威胁值对访问者的访问行为进行相应的防御,包括:
根据访问者的积累威胁值将访问者划分为四个危险等级,包括普通用户、嫌疑用户、一般攻击者和危险攻击者;
当所述访问者为普通用户时,不阻止访问者的任何访问行为;
当所述访问者为嫌疑用户时,不阻止访问者的任何访问行为但记录访问者访问行为的数据;
当所述访问者为一般攻击者时,记录访问者访问行为的数据并阻止访问者的危险行为;
当所述访问者为危险攻击者时,禁止访问者在预设时间段内的访问,或者阻止该访问者的访问行为并将经过伪装的阻断页面返回给该访问者;
其中,所述危险行为标准为系统根据对历史正常访问行为和危险访问行为进行学习得到。
2.根据权利要求1所述的方法,其特征在于,还包括:预先使用蜜罐技术模拟应用层系统漏洞。
3.根据权利要求1所述的方法,其特征在于,当访问者在预设时间段内的访问行为均不是危险行为时,所述访问者的积累威胁值降低。
4.根据权利要求1所述的方法,其特征在于,所述预设的危险行为标准为系统根据对历史正常访问行为和/或危险访问行为进行学习得到的。
5.根据权利要求1所述的方法,其特征在于,所述预设的危险行为标准,包括:
访问者访问行为的访问参数满足预设的危险行为访问参数要求、访问者访问行为中携带有危险关键字、访问者访问行为所采取的手段具有危险性和/或访问者访问行为所访问的目的地址为安全敏感地址。
6.根据权利要求5所述的方法,其特征在于,所述访问参数,包括:访问行为所携带的参数的长度、访问行为所携带的参数的类型、访问行为所携带的参数的提交类型和访问行为浏览页面的时间间隔。
7.一种应用于应用层的web入侵防御系统,其特征在于,包括:访问行为获取模块、威胁值生成模块和防御模块,
所述访问行为获取模块,用于获取访问者的访问行为;
所述威胁值生成模块,用于根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值,将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值;
所述防御模块,用于根据访问者的积累威胁值对访问者的访问行为进行相应的防御;
所述根据访问者的积累威胁值对访问者的访问行为进行相应的防御,包括:
根据访问者的积累威胁值将访问者划分为四个危险等级,包括普通用户、嫌疑用户、一般攻击者和危险攻击者;
当所述访问者为普通用户时,不阻止访问者的任何访问行为;
当所述访问者为嫌疑用户时,不阻止访问者的任何访问行为但记录访问者访问行为的数据;
当所述访问者为一般攻击者时,记录访问者访问行为的数据并阻止访问者的危险行为;
当所述访问者为危险攻击者时,禁止访问者在预设时间段内的访问,或者阻止该访问者的访问行为并将经过伪装的阻断页面返回给该访问者。
8.根据权利要求7所述的系统,其特征在于,还包括:蜜罐模块,用于预先使用蜜罐技术模拟应用层系统漏洞。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110117191.6A CN102185858B (zh) | 2011-05-06 | 2011-05-06 | 一种应用于应用层的web入侵防御方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110117191.6A CN102185858B (zh) | 2011-05-06 | 2011-05-06 | 一种应用于应用层的web入侵防御方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102185858A CN102185858A (zh) | 2011-09-14 |
| CN102185858B true CN102185858B (zh) | 2014-03-19 |
Family
ID=44571928
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110117191.6A Active CN102185858B (zh) | 2011-05-06 | 2011-05-06 | 一种应用于应用层的web入侵防御方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102185858B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102880698B (zh) * | 2012-09-21 | 2015-08-05 | 新浪网技术(中国)有限公司 | 一种抓取网站确定方法及装置 |
| CN104378361A (zh) * | 2014-10-24 | 2015-02-25 | 苏州阔地网络科技有限公司 | 一种网络入侵检测方法及系统 |
| CN104967628B (zh) * | 2015-07-16 | 2017-12-26 | 浙江大学 | 一种保护web应用安全的诱骗方法 |
| CN105844154B (zh) * | 2016-03-19 | 2018-09-07 | 浙江大学 | 一种基于内部蜜罐的恶意程序探测方法 |
| CN105871834B (zh) * | 2016-03-29 | 2019-08-30 | 杭州朗和科技有限公司 | 一种计算恶意指数的方法和装置 |
| CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
| CN107426217B (zh) * | 2017-07-27 | 2019-10-18 | 郑州云海信息技术有限公司 | 一种检测系统入侵的方法及装置 |
| CN110881023A (zh) * | 2019-03-27 | 2020-03-13 | 南京航空航天大学 | 一种基于sdn/nfv提供网络区分安全服务的方法 |
| CN110753038A (zh) * | 2019-09-29 | 2020-02-04 | 武汉大学 | 一种异常检测自适应权限控制系统及方法 |
| CN110855697A (zh) * | 2019-11-20 | 2020-02-28 | 国网湖南省电力有限公司 | 电力行业网络安全的主动防御方法 |
| US11509691B2 (en) * | 2020-05-15 | 2022-11-22 | Paypal, Inc. | Protecting from directory enumeration using honeypot pages within a network directory |
| CN114095258B (zh) * | 2021-11-23 | 2024-02-06 | 北京天融信网络安全技术有限公司 | 攻击防御方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1635739A (zh) * | 2003-12-26 | 2005-07-06 | 上海贝尔阿尔卡特股份有限公司 | 一种无源光网络动态带宽分配装置及方法 |
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| CN101808078A (zh) * | 2009-02-13 | 2010-08-18 | 北京启明星辰信息技术股份有限公司 | 一种具备主动防御能力的入侵防御系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7197762B2 (en) * | 2001-10-31 | 2007-03-27 | Hewlett-Packard Development Company, L.P. | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits |
-
2011
- 2011-05-06 CN CN201110117191.6A patent/CN102185858B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1635739A (zh) * | 2003-12-26 | 2005-07-06 | 上海贝尔阿尔卡特股份有限公司 | 一种无源光网络动态带宽分配装置及方法 |
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| CN101808078A (zh) * | 2009-02-13 | 2010-08-18 | 北京启明星辰信息技术股份有限公司 | 一种具备主动防御能力的入侵防御系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102185858A (zh) | 2011-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102185858B (zh) | 一种应用于应用层的web入侵防御方法及系统 | |
| Kandias et al. | An insider threat prediction model | |
| Nguyen | Navigating jus ad bellum in the age of cyber warfare | |
| CN102567546B (zh) | 一种sql注入检测方法及装置 | |
| Rowe et al. | Defending cyberspace with fake honeypots. | |
| US20140157415A1 (en) | Information security analysis using game theory and simulation | |
| US9871826B1 (en) | Sensor based rules for responding to malicious activity | |
| Harrison et al. | A taxonomy of cyber events affecting communities | |
| CN104967628A (zh) | 一种保护web应用安全的诱骗方法 | |
| CN109245944A (zh) | 网络安全评估方法及系统 | |
| CN103218561A (zh) | 一种保护浏览器的防篡改方法和装置 | |
| CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
| CN114928462A (zh) | 一种基于用户行为识别的Web安全防护方法 | |
| CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
| CN113055362B (zh) | 异常行为的预防方法、装置、设备及存储介质 | |
| Ro et al. | Detection Method for Distributed Web‐Crawlers: A Long‐Tail Threshold Model | |
| Anashkin et al. | Implementation of Behavioral Indicators in Threat Detection and User Behavior Analysis | |
| Sawada | Model-based cybersecurity for control systems: Modeling, design and control | |
| Berdal | A holistic approach to insider threat detection | |
| US20230044470A1 (en) | Systems and Methods for Detecting Novel Behaviors Using Model Sharing | |
| Nie et al. | On the Information Security Issue in the Information Construction process of colleges and universities | |
| CN116094847B (zh) | 蜜罐识别方法、装置、计算机设备和存储介质 | |
| CN115378670B (zh) | 一种apt攻击识别方法、装置、电子设备及介质 | |
| Li et al. | Overview of intrusion detection systems | |
| Udoeyop | Cyber profiling for insider threat detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |