CN103916398A - 一种基于Web表单域检测的系统 - Google Patents
一种基于Web表单域检测的系统 Download PDFInfo
- Publication number
- CN103916398A CN103916398A CN201410149710.0A CN201410149710A CN103916398A CN 103916398 A CN103916398 A CN 103916398A CN 201410149710 A CN201410149710 A CN 201410149710A CN 103916398 A CN103916398 A CN 103916398A
- Authority
- CN
- China
- Prior art keywords
- module
- detection
- data
- web
- form fields
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于Web表单域检测的系统,包括有接入模块、连接接入模块的检测队列单元、连接检测队列单元的检测模块、连接检测模块的日志记录模块、连接日志记录模块的日志分析模块、连接于检测模块与日志分析模块之间的规则加载模块、以及响应模块、连接响应模块的响应队列单元;其中,各模块之间通过命令字和队列相互连接,共同完成检测任务。本发明一种基于Web表单域检测的系统能够通过对表单域数据的检测,有效防范各种Web攻击行为,保证后端服务器在于客户交换数据时能够不被黑客利用,保护Web服务器的数据安全和应用安全。
Description
技术领域
本发明属于计算机网络与网络安全技术领域,涉及一种基于Web表单域检测的系统。
背景技术
伴随着网络技术的成熟,基于Web环境的Web应用范围也越来越广泛。企业在信息化的过程中将各种应用都架设到了Web平台上。如网络办公、网络购物、网络交友、虚拟网络社会等。同时,黑客也将目光聚焦到了这一领域,利用各种网站漏洞通过SQL注入和跨站攻击等手段获取对Web服务器的控制权限,篡改网站内容,盗窃网站数据。
在Web服务下,基于HTTP协议的Bit数据已经成为了沟通服务商和用户的桥梁。因此保证Bit数据在互联网这个不可信的环境中的传输安全有效,是服务商必须考虑的因素,才能最大程度的保证各方面利益的最大化。
Web服务软件质量的好坏是Web安全的最大因素,但由于Web应用的独特性。其开发和维护往往都是某个机构所独有的,对其存在的漏洞很难鉴别;而且根据业务的不同或者业务的不断变化,需要频繁地变更系统逻辑以满足业务目标,从而使得很难维持有序的开发周期;Web服务软件的开发需要全面考虑客户端与服务端的复杂交互场景,而很多开发者根本就没有相应的业务基础,不能很好地理解业务流程;传统认为Web开发比较简单,缺乏经验的开发者也可以胜任。以上原因导致Web服务软件存在大量的可被攻击的漏洞,可以被黑客利用。
由此可见,是有必要进行开发研究,已提供一种方案,以保证后端Web服务器的安全,保证后端服务器在于客户交换数据时能够不被黑客利用,保护Web服务器的数据安全和应用安全。
发明内容
为解决上述问题,本发明的目的在于提供一种基于Web表单域检测的系统,通过对表单域数据的检测,有效防范各种Web攻击行为,保证后端服务器在于客户交换数据时能够不被黑客利用,保护Web服务器的数据安全和应用安全。
为实现上述目的,本发明的技术方案为:
一种基于Web表单域检测的系统,包括有接入模块、连接接入模块的检测队列单元、连接检测队列单元的检测模块、连接检测模块的日志记录模块、连接日志记录模块的日志分析模块、连接于检测模块与日志分析模块之间的规则加载模块、以及响应模块、连接响应模块的响应队列单元;其中,各模块之间通过命令字和队列相互连接,共同完成检测任务。
进一步地,所述接入模块用于截获HTTP请求数据和响应数据,根据HTTP协议解析数据,并发送到检测队列单元。
进一步地,所述检测模块根据HTTP协议对HTTP请求数据进行规范性检测、特征码检测、数字指纹检测、智能规则检测,并对HTTP响应数据进行规范性检测、特征码检测、数字指纹生成。
进一步地,所述检测模块有命令模式和自主模式两种工作模式,由检测总控决定当前处于那种工作模式。
进一步地,所述日志记录与分析模块通过异步的方式记录日志和分析攻击行为,在记录日志的过程中能够自重学习攻击者的攻击手段并形成智能规则。
相较于现有技术,本发明一种基于Web表单域检测的系统能够通过对表单域数据的检测,有效防范各种Web攻击行为,保证后端服务器在于客户交换数据时能够不被黑客利用,保护Web服务器的数据安全和应用安全。
附图说明
图1是本发明安全机制的模块总体结构图示;
图2是本发明的接入模块的基本流程图示;
图3是本发明的检测队列的主要元素;
图4是本发明的检测模块的基本流程图示;
图5是本发明的表单域检测动作的基本流程图示;
图6是本发明的表单域生成动作的基本流程图示;
图7是本发明的日志模块的基本流程图示。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明一种基于Web表单域检测的系统包括有接入模块、连接接入模块的检测队列单元、连接检测队列单元的检测模块、连接检测模块的日志记录模块、连接日志记录模块的日志分析模块、连接于检测模块与日志分析块模之间的规则加载模块、以及响应模块、连接响应模块的响应队列单元。
本发明各模块之间通过命令字和队列相互连接,共同完成检测任务。图2所示为接入模块基本流程图示。其中,接入模块能够截获HTTP请求数据和响应数据,根据HTTP协议解析数据,并将发送到检测队列单元。具体地,HTTP请求和响应数据由接入模块截获,并在成功解析到检测队列单元后发送命令控制字通知检测模块新数据到达,启动检测任务。接入模块只负责数据的接入,不负责数据的发送。在解析数据过程中将根据接入数据的类型(请求/响应)格式化数据到检测队列单元。如图3所示,检测队列单元和响应队列单元的主要元素是相同的。其中,时间代表接受数据的时间;表单域代表表单域的各种数据;检测表示是否启用检测模块;类型表示请求还是响应;有效性表示当前队列数据是否有效;原始数据表示接受到的数据;数字指纹表示根据表单域数据生成的指纹;特征码表示根据客户端,服务器和表单域等信息生成的标识,代表一条链路;状态表示检测阶段;动作表示检测完毕后,响应模块需要执行的动作;会话表示访问次数;规则表示要检测数据所使用的智能规则。
检测队列单元和响应队列单元的存在使得各模块之间异步运行,有效的提升了系统的性能;检测队列单元能够区分出队列中的数据的类型(请求数据、响应数据、自检数据)。
检测模块根据HTTP协议对HTTP请求数据进行规范性检测、特征码检测、数字指纹检测、智能规则检测。并对HTTP响应数据进行规范性检测、特征码检测、数字指纹生成。如图4所示,检测模块有命令模式和自主模式两种工作模式,由检测总控决定当前处于那种工作模式。当收到接入模块命令式,发起的为命令模式,否则为自主模式。在命令模式下,检测模块只对命令表达的检测队列所在的数据进行检测,检测完毕后返回总控。在自主模式下降遍历检测队列下的所有数据,判断其有效性,并进行相应的操作。数据无效时将丢弃数据,当数据有效时将进行表单域动作。执行完表单域动作后发送数据到响应队列和发送命令字到响应模块。有效性检测指的是检测规则是否符合规范,是否具有数字指纹,链路是否合法。如:当请求方法与POST,提交数据时,表单域必须带有机制生产的数字指纹。当请求方法为GET时,必须对表单域的数据添加数字指纹。
如图5、图6所示, 表单域检测机制对HTTP请求所提交的表单数据进行安全检测。只有符合规则的请求数据才允许通过并传送到Web服务器端。在这种检测机制中,指纹和智能规则起着决定性的作用。因此有效的规则生成是本部分的一个重要功能。
表单域动作首先根据客户端、服务器、用户名、表单和url等相关信息生成特征码,特征码的作用是唯一表达一个客户请求,标识一条链路。同一用户在相同Ip下方为服务器时生成的特征码是相同的。当系统任务请求为攻击后,会标识这个链路请求。在系统认为是恶意攻击后,根据特征码拒绝这条链路的请求。智能规则库中保存了系统下恶意特征码。关键字为系统认为敏感的一些文字。当出现这些文字在表单域中时,将会拒绝这些请求或者响应。指纹库为根据原始表单域生成的数字指纹。具有这些指纹的表单请求是合法的,否则就是不合法的。
表单域指纹库的生成可以通过两种方式,一种是在部署系统时,有管理员去指定一些特征码去生成指纹库,另外一种是系统的自学习功能。系统任务在一段时间内访问的请求都合法的。系统将记录所有经过的表单的指纹。 表单域指纹生成技术,能够将表单域的特定数据生成特定的数字指纹。当请求中不存在这种指纹时,将拒绝客户的请求。能够根据特征码的唯一性生成链路。能够对一条链路进行访问控制。指纹库中还包含特定规则。如SQL注入规则,跨站攻击规则等这些规则是用来判断用户提交数据的有效性。让用户提交的数据在一个可控的范围内,来保证数据输入的安全性。指纹的生成是通过服务器,和表单域中的静态数据生成的。生成后,会发送到浏览器和保存到指纹库中,只有浏览器传回的指纹、根据表单域生成的指纹指纹库中的指纹三者共同存在才认为数据是合法的。
日志记录与分析模块通过异步的方式记录日志和分析攻击行为。记录的日志能够完美的还原攻击者的攻击方式。在记录日志的过程中能够自重学习攻击者的攻击手段并形成智能规则。而 规则引入模块能够动态的加载规则到检测模块中,而不用重启检测模块。能够显示当前加载的规则和动态删除规则。
如图7所示,智能规则库的生成是通过日志记录和分析模块完成的。当触发日志记录功能后,首先记录日志到数据中,然后记录特征码到事件库中。是否认为当前链路是攻击行为,是通过链路上特征码的触发次数来判断的。当标记为攻击后,将链路记录到智能规则库中。为了防止这条链路出现永远不能访问的问题,智能规则库中的规则会根据时间间隔和事件库中规则触发的频率来判断规则是否失效。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种基于Web表单域检测的系统,其特征在于:包括有接入模块、连接接入模块的检测队列单元、连接检测队列单元的检测模块、连接检测模块的日志记录模块、连接日志记录模块的日志分析模块、连接于检测模块与日志分析模块之间的规则加载模块、以及响应模块、连接响应模块的响应队列单元;其中,各模块之间通过命令字和队列相互连接,共同完成检测任务。
2.根据权利要求1所述基于Web表单域检测的系统,其特征在于:所述接入模块用于截获HTTP请求数据和响应数据,根据HTTP协议解析数据,并发送到检测队列单元。
3.根据权利要求2所述基于Web表单域检测的系统,其特征在于:所述检测模块根据HTTP协议对HTTP请求数据进行规范性检测、特征码检测、数字指纹检测、智能规则检测,并对HTTP响应数据进行规范性检测、特征码检测、数字指纹生成。
4.根据权利要求3所述基于Web表单域检测的系统,其特征在于:所述检测模块有命令模式和自主模式两种工作模式,由检测总控决定当前处于那种工作模式。
5.根据权利要求4所述基于Web表单域检测的系统,其特征在于:所述日志记录与分析模块通过异步的方式记录日志和分析攻击行为,在记录日志的过程中能够自重学习攻击者的攻击手段并形成智能规则。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410149710.0A CN103916398A (zh) | 2014-04-15 | 2014-04-15 | 一种基于Web表单域检测的系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410149710.0A CN103916398A (zh) | 2014-04-15 | 2014-04-15 | 一种基于Web表单域检测的系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103916398A true CN103916398A (zh) | 2014-07-09 |
Family
ID=51041805
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410149710.0A Pending CN103916398A (zh) | 2014-04-15 | 2014-04-15 | 一种基于Web表单域检测的系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103916398A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109413114A (zh) * | 2018-12-28 | 2019-03-01 | 安徽长泰信息安全服务有限公司 | 一种网络入侵防御系统 |
CN112437043A (zh) * | 2020-11-03 | 2021-03-02 | 深圳市永达电子信息股份有限公司 | 基于双向访问控制的安全保障方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040054755A1 (en) * | 2002-08-16 | 2004-03-18 | Matti Michael C. | Web-based form validation system and method |
CN103118035A (zh) * | 2013-03-07 | 2013-05-22 | 星云融创(北京)信息技术有限公司 | 分析网站访问请求参数合法范围的方法及装置 |
CN103384242A (zh) * | 2013-03-15 | 2013-11-06 | 中标软件有限公司 | 基于Nginx代理服务器的入侵检测方法及系统 |
-
2014
- 2014-04-15 CN CN201410149710.0A patent/CN103916398A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040054755A1 (en) * | 2002-08-16 | 2004-03-18 | Matti Michael C. | Web-based form validation system and method |
CN103118035A (zh) * | 2013-03-07 | 2013-05-22 | 星云融创(北京)信息技术有限公司 | 分析网站访问请求参数合法范围的方法及装置 |
CN103384242A (zh) * | 2013-03-15 | 2013-11-06 | 中标软件有限公司 | 基于Nginx代理服务器的入侵检测方法及系统 |
Non-Patent Citations (1)
Title |
---|
付堂欢: "《基于网络的web应用漏洞扫描系统的分析与设计》", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109413114A (zh) * | 2018-12-28 | 2019-03-01 | 安徽长泰信息安全服务有限公司 | 一种网络入侵防御系统 |
CN109413114B (zh) * | 2018-12-28 | 2021-08-10 | 安徽长泰信息安全服务有限公司 | 一种网络入侵防御系统 |
CN112437043A (zh) * | 2020-11-03 | 2021-03-02 | 深圳市永达电子信息股份有限公司 | 基于双向访问控制的安全保障方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Hong et al. | How you get shot in the back: A systematical study about cryptojacking in the real world | |
KR102514325B1 (ko) | 모델 훈련 시스템 및 방법과, 저장 매체 | |
CN107770171B (zh) | 服务器反爬虫的验证方法及系统 | |
KR101388090B1 (ko) | 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법 | |
TWI587672B (zh) | Login authentication method, client, server and system | |
US10721245B2 (en) | Method and device for automatically verifying security event | |
CN106101145B (zh) | 一种网站漏洞检测方法及装置 | |
WO2016034068A1 (zh) | 一种敏感信息处理方法、装置、服务器及安全判定系统 | |
CN108989355B (zh) | 一种漏洞检测方法和装置 | |
CN108154029A (zh) | 入侵检测方法、电子设备和计算机存储介质 | |
WO2009111224A1 (en) | Identification of and countermeasures against forged websites | |
CN101764819A (zh) | 用于检测浏览器中间人攻击的方法和系统 | |
CN114616795B (zh) | 用于防止重试或重放攻击的安全机制 | |
CN104954384B (zh) | 一种保护Web应用安全的url拟态方法 | |
CN112131577A (zh) | 一种漏洞检测方法、装置、设备及计算机可读存储介质 | |
CN105635064B (zh) | Csrf攻击检测方法及装置 | |
JP6524789B2 (ja) | ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置 | |
CN103139138A (zh) | 一种基于客户端检测的应用层拒绝服务防护方法及系统 | |
CN102185859A (zh) | 计算机系统和数据交互方法 | |
CN104967628A (zh) | 一种保护web应用安全的诱骗方法 | |
Gowtham et al. | PhishTackle—a web services architecture for anti-phishing | |
WO2017206605A1 (zh) | 防止服务器被攻击的方法及装置 | |
US11075922B2 (en) | Decentralized method of tracking user login status | |
Kang et al. | A strengthening plan for enterprise information security based on cloud computing | |
CN103916398A (zh) | 一种基于Web表单域检测的系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140709 |