CN104301302B - 越权攻击检测方法及装置 - Google Patents
越权攻击检测方法及装置 Download PDFInfo
- Publication number
- CN104301302B CN104301302B CN201410465196.1A CN201410465196A CN104301302B CN 104301302 B CN104301302 B CN 104301302B CN 201410465196 A CN201410465196 A CN 201410465196A CN 104301302 B CN104301302 B CN 104301302B
- Authority
- CN
- China
- Prior art keywords
- url addresses
- http request
- access
- commission
- protection rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种越权攻击检测方法,该方法包括:获取HTTP请求,解析HTTP请求得到HTTP请求的URL地址;判断是否存在与URL地址对应的防护规则;在存在与URL地址对应的防护规则时,获取HTTP请求的访问数据;判断访问数据是否满足防护规则;若否,判定访问数据对应的HTTP请求为越权攻击。本发明还公开了一种越权攻击检测装置。本发明通过判断访问数据是否满足防护规则,从而自动检测出HTTP请求是否为越权攻击,提高了越权攻击的检测效率。
Description
技术领域
本发明涉及通信技术领域,尤其涉及越权攻击检测方法及装置。
背景技术
越权访问漏洞是一种逻辑漏洞,也是web(网页)应用常见的安全漏洞,由于这种漏洞和权限控制相关,所以一般情况下都涉及到敏感的信息,当发生该漏洞发生该漏洞,危害也比较大,越权攻击主要有如下几种明显的行为:
缺失的操作:直接执行下一步操作,比如绕过授权操作,或者在某个多步操作流程中,绕过付钱的操作,可以直接购物。在这个过程中,异常情况就是某一个网页的访问依赖于另外一个网页的授权结果,但是由于开发错误,导致本来互相的依赖关系没有正确实现,攻击者只要知道写一个阶段需要访问的网页,就可以直接访问,造成未授权访问漏洞。
增加的操作,执行了多次不属于自己权限内的操作,比如登陆个人账号后,通过修改订单编号等参数,查看了其它人的订单。
操作顺序错乱:没有按照程序预定的操作顺序执行,规避了程序的验证风险。
由于越权操作都是一种正常的访问行为,安全网关设备无法区分出正常应用和异常应用,因此,越权漏洞发现难度大,也不像其它攻击可以通过自动化测试环境检测发现。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于解决越权操作无法通过自动化测试环境检测发现的技术问题。
为实现上述目的,本发明提供的一种越权攻击检测方法,所述越权攻击检测方法包括以下步骤:
获取HTTP请求,解析所述HTTP请求得到所述HTTP请求的URL地址;
判断是否存在与所述URL地址对应的防护规则;
在存在与所述URL地址对应的防护规则时,获取所述HTTP请求的访问数据;
判断所述访问数据是否满足所述防护规则;若否,判定所述访问数据对应的HTTP请求为越权攻击。
优选地,所述获取HTTP请求,解析所述HTTP请求得到所述HTTP请求的URL地址的步骤之前包括:
首次侦测到HTTP请求的URL地址为预设的起始URL地址时,获取所述HTTP请求的源地址,在预设时长内获取所述源地址发出的HTTP请求,并获取所述HTTP请求的URL地址;
确定获取的所述HTTP请求的URL地址之间存在的关联关系;其中,所述关联关系包括至少两个URL地址的访问顺序及URL地址的访问频率范围;
根据确定的所述关联关系,生成对应的防护规则。
优选地,所述访问数据包括源地址、访问的URL地址、访问频率。
优选地,所述判断所述访问数据是否满足所述防护规则的步骤包括:
根据所述HTTP请求的源地址及URL地址,判断所述URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配;
若所述URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配,判定所述访问数据对应的HTTP请求不满足所述防护规则;
若所述URL地址的访问顺序与防护规则中URL地址的访问顺序匹配,判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值是否相同;若是,判定所述访问数据对应的HTTP请求满足所述防护规则;若否,判断所述源地址对应的URL地址的访问频率是否超过预设阀值,若超过,判定所述访问数据对应的HTTP请求不满足所述防护规则;若未超过,判定所述访问数据对应的HTTP请求满足所述防护规则。
优选地,所述判定所述访问数据对应的HTTP请求为越权攻击的步骤之后包括:
拦截判定为越权攻击的HTTP请求。
此外,为实现上述目的,本发明还提供一种越权攻击检测装置,所述越权攻击检测装置包括:
解析模块,用于获取HTTP请求,解析所述HTTP请求得到所述HTTP请求的URL地址;
第一判断模块,用于判断是否存在与所述URL地址对应的防护规则;
获取模块,用于在存在与所述URL地址对应的防护规则时,获取所述HTTP请求的访问数据;
第二判断模块,用于判断所述访问数据是否满足所述防护规则;若否,判定所述访问数据对应的HTTP请求为越权攻击。
优选地,所述越权攻击检测装置包括:
侦测模块,用于首次侦测到HTTP请求的URL地址为预设的起始URL地址时,获取所述HTTP请求的源地址,在预设时长内获取所述源地址发出的HTTP请求,并获取所述HTTP请求的URL地址;
关联模块,用于确定获取的所述HTTP请求的URL地址之间存在的关联关系;其中,所述关联关系包括至少两个URL地址的访问顺序及URL地址的访问频率范围;
生成模块,用于根据确定的所述关联关系,生成对应的防护规则。
优选地,所述访问数据包括源地址、访问的URL地址、访问频率。
优选地,所述第二判断模块用于:
根据所述HTTP请求的源地址及URL地址,判断所述URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配;
若所述URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配,判定所述访问数据对应的HTTP请求不满足所述防护规则;
若所述URL地址的访问顺序与防护规则中URL地址的访问顺序匹配,判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值是否相同;若是,判定所述访问数据对应的HTTP请求满足所述防护规则;若否,判断在预设时长内所述源地址对应的URL地址的访问频率是否超过预设阀值,若超过,判定所述访问数据对应的HTTP请求不满足所述防护规则;若未超过,判定所述访问数据对应的HTTP请求满足所述防护规则。
优选地,所述越权攻击检测装置包括:
拦截模块,用于拦截判定为越权攻击的HTTP请求。
本发明获取HTTP请求,解析所述HTTP请求得到所述HTTP请求的URL地址;判断是否存在与所述URL地址对应的防护规则;在存在与所述URL地址对应的防护规则时,获取所述HTTP请求的访问数据;判断所述访问数据是否满足所述防护规则;若否,判定所述访问数据对应的HTTP请求为越权攻击。本发明通过判断访问数据是否满足防护规则,从而自动检测出HTTP请求是否为越权攻击,提高了越权攻击的检测效率。
附图说明
图1为本发明越权攻击检测方法第一实施例的流程示意图;
图2为本发明越权攻击检测方法第二实施例的流程示意图;
图3为本发明越权攻击检测方法第三实施例的流程示意图;
图4为本发明越权攻击检测装置第一实施例的功能模块示意图;
图5为本发明越权攻击检测装置第二实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本领域技术人员可以理解的,本发明越权攻击检测方法及装置的下述实施例中,本发明越权攻击检测方法的实施主体可以是网关设备,如交换机、路由器等,也可以是其他任何可实现本发明越权攻击检测方法的装置或设备,本发明对此不作限定。本发明越权攻击检测方法的下述实施例中优选网关设备为实施主体。
本发明提供一种越权攻击检测方法。
参照图1,图1为本发明越权攻击检测方法第一实施例的流程示意图。
本发明越权攻击检测方法第一实施例中,该越权攻击检测方法包括:
步骤S10,获取HTTP请求,解析所述HTTP请求得到所述HTTP请求的URL地址;
网关设备解析HTTP(Hypertext transfer protocol,超文本传输协议)请求得到HTTP请求的URL地址(Uniform Resource Locator,统一资源定位符)地址的方法与现有技术相似,在此不作赘述。
步骤S20,判断是否存在与所述URL地址对应的防护规则;
防护规则可由用户预先设置,也可以是由网关设备通过自我学习的过程自动生成。防护规则可以是下列一项或多项:
两个以上HTTP请求的URL地址之间的关联关系、HTTP请求的URL地址的访问频率范围、HTTP请求的URL地址的访问时长范围、访问URL地址的起始时间的范围等。
防护规则还可以是根据用户的需求进行设置,并不限于上述举例的内容。
对于部分URL地址,可能并不存在对应的防护规则,因此,对于这些URL地址不需要对其进行下一步检测。例如,对于一个购物网站,用户若不登录,则不存在越权攻击的问题,因此,不需对这些HTTP请求进行检测。
步骤S30,在存在与所述URL地址对应的防护规则时,获取所述HTTP请求的访问数据;
访问数据至少包括下列一项:
源地址、访问的URL地址、访问的起始时间、访问次数、访问时长等。
网络设备对HTTP请求进行跟踪记录,即可得到访问数据。
步骤S40,判断所述访问数据是否满足所述防护规则;
步骤S50,若否,判定所述访问数据对应的HTTP请求为越权攻击;
步骤S60,若是,判定所述访问数据对应的HTTP请求不为越权攻击。
网络设备可将访问数据与防护规则逐一比对,从而判断访问数据是否满足防护规则。例如,若防护规则为两个以上HTTP请求的URL地址之间的关联关系、HTTP请求的URL地址的访问频率范围及HTTP请求的URL地址的访问时长范围,则逐一判断HTTP请求的URL地址与其他HTTP请求的URL地址是否满足防护规则的两个以上HTTP请求的URL地址之间的关联关系,判断HTTP请求的URL地址的访问频率是否在防护规则的URL地址的访问频率范围内,判断HTTP请求的URL地址的访问时长是否在防护规则的URL地址的访问时长范围内,若上述条件均满足,则判定访问数据满足防护规则。
本实施例通过判断访问数据是否满足防护规则,从而自动检测出HTTP请求是否为越权攻击,提高了越权攻击的检测效率。
参照图2,图2为本发明越权攻击检测方法第二实施例的流程示意图。
本发明越权攻击检测方法第二实施例中,本实施例在第一实施例的基础上,所述步骤S10之前包括:
步骤S70,首次侦测到HTTP请求的URL地址为预设的起始URL地址时,获取所述HTTP请求的源地址,在预设时长内获取所述源地址发出的HTTP请求,并获取所述HTTP请求的URL地址;
起始URL地址可以是用户根据需求预先设定的,也可以是网关设备根据历史数据设定的。起始URL地址的设置是为了标记越权攻击检测的起始点,即越权攻击检测从侦测到HTTP请求中包括该起始URL地址开始。例如,购物网站或者在线考试网站可设置登录页面的URL地址为起始URL地址。通过设置起始URL地址,用户可设置越权检测方法的起始点,从而满足了用户个性化的需求。
网关设备获取HTTP请求的源地址,在预设时长内获取该源地址发出的HTTP请求。其中,网关设备获取HTTP请求的源地址的方法与现有技术相似,在此不作赘述。预设时长由用户或者网关设备预先设定,该预设时长为网关学习防护规则的时间。例如,预设时长可设置为5天、10天等,本发明对此并不作限定。需要注意的是,本发明并不限定源地址的数量,也就是说,若侦测到多个源地址发出的HTTP请求的URL地址均为起始URL地址,则分别在预设时长内获取各源地址发出的HTTP请求。
步骤S80,确定获取的所述HTTP请求的URL地址之间存在的关联关系;
其中,关联关系包括:至少两个URL地址的访问顺序及URL地址的访问频率范围。
网关设备确定HTTP请求的URL地址的访问顺序的方法可以是:获取各源地址发出HTTP请求访问该HTTP请求对应的URL地址的顺序,若各源地址访问的URL地址中存在至少两个URL地址的访问顺序相同,则确定该两个或两个以上的URL地址的访问顺序。例如,在线考试网站中,必须先访问登录页面对应的URL地址,才能进一步访问查询个人信息页面对应的URL地址;在购物网站中,必须先访问购物车页面对应的URL地址,才能进一步访问支付页面对应的URL地址,最后访问交易完成页面对应的URL地址。
网关设备确定HTTP请求的URL地址的访问频率范围的方法可以是:网关设备确定获取各源地址发出HTTP请求访问该HTTP请求对应的URL地址的频率范围,可获取各源地址访问一URL地址的起始时间,从该起始时间开始计时,在一定时长内获取该源地址访问同一URL地址的次数,从而确定该URL地址的访问频率,根据所有源地址访问所有获取的HTTP的URL地址的访问频率,得到URL地址的访问频率范围。
步骤S90,根据确定的所述关联关系,生成对应的防护规则。
网关设备根据关联关系,生成对应的防护规则,该防护规则即是以关联关系为标准,不满足该关联关系的URL地址对应的HTTP请求,即为越权攻击。
本实施例通过网关设备自动学习,从而生成防护规则,不需要技术人员手动设置,避免因技术人员的技术能力差而造成防护规则设置出错。
参照图3,图3为本发明越权攻击检测方法第三实施例的流程示意图。
越权攻击检测方法第三实施例中,本实施例在第二实施例的基础上,其中,所述访问数据包括源地址、访问的URL地址、访问频率;所述步骤S40包括:
步骤S41,根据所述HTTP请求的源地址及URL地址,判断所述URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配;若所述URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配,判定所述访问数据对应的HTTP请求不满足所述防护规则;
网关设备判断URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配的方法可以是:获取该源地址访问的所有URL地址,并将其按照时间的先后顺序排序,判断与防护规则中对应的URL地址的访问顺序是否相同,若不同,则判定该HTTP的URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配,若相同,则判定该HTTP的URL地址的访问顺序与防护规则中URL地址的访问顺序匹配;或者,获取该源地址上一次访问的URL地址,判断上一次访问的URL地址与此次访问的URL地址的顺序与防护规则中对应的URL地址的访问顺序是否相同,若不同,则判定该HTTP的URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配,若相同,则判定该HTTP的URL地址的访问顺序与防护规则中URL地址的访问顺序匹配。
步骤S42,若所述URL地址的访问顺序与防护规则中URL地址的访问顺序匹配,判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值是否相同;若是,判定所述访问数据对应的HTTP请求满足所述防护规则;
步骤S43,若否,判断所述源地址对应的URL地址的访问频率是否超过预设阀值;
步骤S44,若超过,判定所述访问数据对应的HTTP请求不满足所述防护规则;
步骤S45,若未超过,判定所述访问数据对应的HTTP请求满足所述防护规则。
其中,预设阀值是由用户或者网关设备预先设置的。
访问频率的获取方法可以是:记录该源地址第一次发送HTTP请求访问该URL地址至此次获取HTTP请求的时间间隔,并记录在这段时间间隔中,该源地址发送HTTP以访问该同一URL地址的次数,将次数除以时间间隔,得到该URL地址的访问频率;或者,记录该源地址上一次发送HTTP请求以访问该URL地址至此次获取HTTP请求的时间间隔,将次数除以时间间隔,得到该URL地址的访问频率。
本实施例中,还可先判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值相同,及在预设时长内源地址对应的URL地址的访问频率是否超过预设阀值,再判断HTTP的URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配从而可检测出缺失的操作及操作顺序错乱。
本实施例中,也可根据需要仅判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值相同,及在预设时长内源地址对应的URL地址的访问频率是否超过预设阀值,不判断HTTP的URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配;也可以仅判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值相同,及HTTP的URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配,不判断在预设时长内源地址对应的URL地址的访问频率是否超过预设阀值。
本实施例通过判断HTTP的URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配从而可检测出缺失的操作及操作顺序错乱;通过判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值相同,及在预设时长内源地址对应的URL地址的访问频率是否超过预设阀值从而可检测出增加的操作。
本发明越权攻击检测方法第四实施例中,本实施例在第一实施例、第二实施例、第三实施例的基础上,所述步骤S40之后包括:
拦截判定为越权攻击的HTTP请求。
本实施例中,通过主动拦截判定为越权攻击的HTTP请求,不需要技术人员手动修改代码以对越权攻击进行防御,从而避免因技术人员不具备修改代码的能力或者修改代码的能力较差而引起防御失败的问题。
本发明进一步提供一种越权攻击检测装置。
参照图4,图4为本发明越权攻击检测装置第一实施例的功能模块示意图。
本发明越权攻击检测装置第一实施例中,该越权攻击检测装置包括:
解析模块10,用于获取HTTP请求,解析所述HTTP请求得到所述HTTP请求的URL地址;
第一判断模块20,用于判断是否存在与所述URL地址对应的防护规则;
获取模块30,用于在存在与所述URL地址对应的防护规则时,获取所述HTTP请求的访问数据;
第二判断模块40,用于判断所述访问数据是否满足所述防护规则;若否,判定所述访问数据对应的HTTP请求为越权攻击。
解析模块10解析HTTP请求得到HTTP请求的URL地址的方法与现有技术相似,在此不作赘述。
防护规则可由用户预先设置,也可以是由网关设备通过自我学习的过程自动生成。防护规则可以是下列一项或多项:
两个以上HTTP请求的URL地址之间的关联关系、HTTP请求的URL地址的访问频率范围、HTTP请求的URL地址的访问时长范围、访问URL地址的起始时间的范围等。
防护规则还可以是根据用户的需求进行设置,并不限于上述举例的内容。
对于部分URL地址,可能并不存在对应的防护规则,因此,对于这些URL地址不需要对其进行下一步检测。例如,对于一个购物网站,用户若不登录,则不存在越权攻击的问题,因此,不需对这些HTTP请求进行检测。
访问数据至少包括下列一项:
源地址、访问的URL地址、访问的起始时间、访问次数、访问时长等。
获取模块30对HTTP请求进行跟踪记录,即可得到访问数据。
第二判断模块40可将访问数据与防护规则逐一比对,从而判断访问数据是否满足防护规则。例如,若防护规则为两个以上HTTP请求的URL地址之间的关联关系、HTTP请求的URL地址的访问频率范围及HTTP请求的URL地址的访问时长范围,则逐一判断HTTP请求的URL地址与其他HTTP请求的URL地址是否满足防护规则的两个以上HTTP请求的URL地址之间的关联关系,判断HTTP请求的URL地址的访问频率是否在防护规则的URL地址的访问频率范围内,判断HTTP请求的URL地址的访问时长是否在防护规则的URL地址的访问时长范围内,若上述条件均满足,则判定访问数据满足防护规则。
本实施例通过判断访问数据是否满足防护规则,从而自动检测出HTTP请求是否为越权攻击,提高了越权攻击的检测效率。
参照图5,图5为本发明越权攻击检测装置第二实施例的功能模块示意图。
本发明越权攻击检测装置第二实施例中,本实施例在第一实施例的基础上,所述越权攻击检测装置包括:
侦测模块50,用于首次侦测到HTTP请求的URL地址为预设的起始URL地址时,获取所述HTTP请求的源地址,在预设时长内获取所述源地址发出的HTTP请求,并获取所述HTTP请求的URL地址;
关联模块60,用于确定获取的所述HTTP请求的URL地址之间存在的关联关系;
生成模块70,用于根据确定的所述关联关系,生成对应的防护规则。
起始URL地址可以是用户根据需求预先设定的,也可以是侦测模块50根据历史数据设定的。起始URL地址的设置是为了标记越权攻击检测的起始点,即越权攻击检测从侦测到HTTP请求中包括该起始URL地址开始。例如,购物网站或者在线考试网站可设置登录页面的URL地址为起始URL地址。通过设置起始URL地址,用户可设置越权检测方法的起始点,从而满足了用户个性化的需求。
侦测模块50获取HTTP请求的源地址,在预设时长内获取该源地址发出的HTTP请求。其中,侦测模块50获取HTTP请求的源地址的方法与现有技术相似,在此不作赘述。预设时长由用户或者网关设备预先设定,该预设时长为网关学习防护规则的时间。例如,预设时长可设置为5天、10天等,本发明对此并不作限定。需要注意的是,本发明并不限定源地址的数量,也就是说,若侦测到多个源地址发出的HTTP请求的URL地址均为起始URL地址,则分别在预设时长内获取各源地址发出的HTTP请求。
其中,关联关系包括:至少两个URL地址的访问顺序及URL地址的访问频率范围。
关联模块60确定HTTP请求的URL地址的访问顺序的方法可以是:获取各源地址发出HTTP请求访问该HTTP请求对应的URL地址的顺序,若各源地址访问的URL地址中存在至少两个URL地址的访问顺序相同,则确定该两个或两个以上的URL地址的访问顺序。例如,在线考试网站中,必须先访问登录页面对应的URL地址,才能进一步访问查询个人信息页面对应的URL地址;在购物网站中,必须先访问购物车页面对应的URL地址,才能进一步访问支付页面对应的URL地址,最后访问交易完成页面对应的URL地址。
关联模块60确定HTTP请求的URL地址的访问频率范围的方法可以是:关联模块60确定获取各源地址发出HTTP请求访问该HTTP请求对应的URL地址的频率范围,可获取各源地址访问一URL地址的起始时间,从该起始时间开始计时,在一定时长内获取该源地址访问同一URL地址的次数,从而确定该URL地址的访问频率,根据所有源地址访问所有获取的HTTP的URL地址的访问频率,得到URL地址的访问频率范围。
生成模块70根据关联关系,生成对应的防护规则,该防护规则即是以关联关系为标准,不满足该关联关系的URL地址对应的HTTP请求,即为越权攻击。
本实施例通过越权攻击检测装置自动学习,从而生成防护规则,不需要技术人员手动设置,避免因技术人员的技术能力差而造成防护规则设置出错。
本发明越权攻击检测装置第三实施例中,本实施例在第二实施例的基础上,其中,所述访问数据包括源地址、访问的URL地址、访问频率;所述第二判断模块40用于:
根据所述HTTP请求的源地址及URL地址,判断所述URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配;
若所述URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配,判定所述访问数据对应的HTTP请求不满足所述防护规则;
若所述URL地址的访问顺序与防护规则中URL地址的访问顺序匹配,判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值是否相同;若是,判定所述访问数据对应的HTTP请求满足所述防护规则;若否,判断在预设时长内所述源地址对应的URL地址的访问频率是否超过预设阀值,若超过,判定所述访问数据对应的HTTP请求不满足所述防护规则;若未超过,判定所述访问数据对应的HTTP请求满足所述防护规则。
第二判断模块40判断URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配的方法可以是:获取该源地址访问的所有URL地址,并将其按照时间的先后顺序排序,判断与防护规则中对应的URL地址的访问顺序是否相同,若不同,则判定该HTTP的URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配,若相同,则判定该HTTP的URL地址的访问顺序与防护规则中URL地址的访问顺序匹配;或者,获取该源地址上一次访问的URL地址,判断上一次访问的URL地址与此次访问的URL地址的顺序与防护规则中对应的URL地址的访问顺序是否相同,若不同,则判定该HTTP的URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配,若相同,则判定该HTTP的URL地址的访问顺序与防护规则中URL地址的访问顺序匹配。
其中,预设阀值是由用户或者网关设备预先设置的。
访问频率的获取方法可以是:记录该源地址第一次发送HTTP请求访问该URL地址至此次获取HTTP请求的时间间隔,并记录在这段时间间隔中,该源地址发送HTTP以访问该同一URL地址的次数,将次数除以时间间隔,得到该URL地址的访问频率;或者,记录该源地址上一次发送HTTP请求以访问该URL地址至此次获取HTTP请求的时间间隔,将次数除以时间间隔,得到该URL地址的访问频率。
本实施例中,还可先判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值相同,及在预设时长内源地址对应的URL地址的访问频率是否超过预设阀值,再判断HTTP的URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配从而可检测出缺失的操作及操作顺序错乱。
本实施例中,也可根据需要仅判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值相同,及在预设时长内源地址对应的URL地址的访问频率是否超过预设阀值,不判断HTTP的URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配;也可以仅判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值相同,及HTTP的URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配,不判断在预设时长内源地址对应的URL地址的访问频率是否超过预设阀值。
本实施例通过判断HTTP的URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配从而可检测出缺失的操作及操作顺序错乱;通过判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值相同,及在预设时长内源地址对应的URL地址的访问频率是否超过预设阀值从而可检测出增加的操作。
本发明越权攻击检测装置第四实施例中,本实施例在第一实施例、第二实施例、第三实施例的基础上,所述越权攻击检测装置包括:
拦截模块(图中未示出),用于拦截判定为越权攻击的HTTP请求。
本实施例中,通过主动拦截判定为越权攻击的HTTP请求,不需要技术人员手动修改代码以对越权攻击进行防御,从而避免因技术人员不具备修改代码的能力或者修改代码的能力较差而引起防御失败的问题。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (8)
1.一种越权攻击检测方法,其特征在于,所述越权攻击检测方法包括以下步骤:
获取HTTP请求,解析所述HTTP请求得到所述HTTP请求的URL地址;
判断是否存在与所述URL地址对应的防护规则;
在存在与所述URL地址对应的防护规则时,获取所述HTTP请求的访问数据;
判断所述访问数据是否满足所述防护规则;若否,判定所述访问数据对应的HTTP请求为越权攻击;
所述获取HTTP请求,解析所述HTTP请求得到所述HTTP请求的URL地址的步骤之前包括:
首次侦测到HTTP请求的URL地址为预设的起始URL地址时,获取所述HTTP请求的源地址,在预设时长内获取所述源地址发出的HTTP请求,并获取所述HTTP请求的URL地址;
确定获取的所述HTTP请求的URL地址之间存在的关联关系;其中,所述关联关系包括至少两个URL地址的访问顺序及URL地址的访问频率范围;
根据确定的所述关联关系,生成对应的防护规则。
2.如权利要求1所述的越权攻击检测方法,其特征在于,所述访问数据包括源地址、访问的URL地址、访问频率。
3.如权利要求2所述的越权攻击检测方法,其特征在于,所述判断所述访问数据是否满足所述防护规则的步骤包括:
根据所述HTTP请求的源地址及URL地址,判断所述URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配;
若所述URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配,判定所述访问数据对应的HTTP请求不满足所述防护规则;
若所述URL地址的访问顺序与防护规则中URL地址的访问顺序匹配,判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值是否相同;若是,判定所述访问数据对应的HTTP请求满足所述防护规则;若否,判断所述源地址对应的URL地址的访问频率是否超过预设阀值,若超过,判定所述访问数据对应的HTTP请求不满足所述防护规则;若未超过,判定所述访问数据对应的HTTP请求满足所述防护规则。
4.如权利要求1-3任一项所述的越权攻击检测方法,其特征在于,所述判定所述访问数据对应的HTTP请求为越权攻击的步骤之后包括:
拦截判定为越权攻击的HTTP请求。
5.一种越权攻击检测装置,其特征在于,所述越权攻击检测装置包括:
解析模块,用于获取HTTP请求,解析所述HTTP请求得到所述HTTP请求的URL地址;
第一判断模块,用于判断是否存在与所述URL地址对应的防护规则;
获取模块,用于在存在与所述URL地址对应的防护规则时,获取所述HTTP请求的访问数据;
第二判断模块,用于判断所述访问数据是否满足所述防护规则;若否,判定所述访问数据对应的HTTP请求为越权攻击;
侦测模块,用于首次侦测到HTTP请求的URL地址为预设的起始URL地址时,获取所述HTTP请求的源地址,在预设时长内获取所述源地址发出的HTTP请求,并获取所述HTTP请求的URL地址;
关联模块,用于确定获取的所述HTTP请求的URL地址之间存在的关联关系;其中,所述关联关系包括至少两个URL地址的访问顺序及URL地址的访问频率范围;
生成模块,用于根据确定的所述关联关系,生成对应的防护规则。
6.如权利要求5所述的越权攻击检测装置,其特征在于,所述访问数据包括源地址、访问的URL地址、访问频率。
7.如权利要求6所述的越权攻击检测装置,其特征在于,所述第二判断模块用于:
根据所述HTTP请求的源地址及URL地址,判断所述URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配;
若所述URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配,判定所述访问数据对应的HTTP请求不满足所述防护规则;
若所述URL地址的访问顺序与防护规则中URL地址的访问顺序匹配,判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值是否相同;若是,判定所述访问数据对应的HTTP请求满足所述防护规则;若否,判断在预设时长内所述源地址对应的URL地址的访问频率是否超过预设阀值,若超过,判定所述访问数据对应的HTTP请求不满足所述防护规则;若未超过,判定所述访问数据对应的HTTP请求满足所述防护规则。
8.如权利要求5-7任一项所述的越权攻击检测装置,其特征在于,所述越权攻击检测装置包括:
拦截模块,用于拦截判定为越权攻击的HTTP请求。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410465196.1A CN104301302B (zh) | 2014-09-12 | 2014-09-12 | 越权攻击检测方法及装置 |
| US14/849,747 US9800594B2 (en) | 2014-09-12 | 2015-09-10 | Method and system for detecting unauthorized access attack |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410465196.1A CN104301302B (zh) | 2014-09-12 | 2014-09-12 | 越权攻击检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104301302A CN104301302A (zh) | 2015-01-21 |
| CN104301302B true CN104301302B (zh) | 2017-09-19 |
Family
ID=52320870
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410465196.1A Active CN104301302B (zh) | 2014-09-12 | 2014-09-12 | 越权攻击检测方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9800594B2 (zh) |
| CN (1) | CN104301302B (zh) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL196820A0 (en) | 2009-02-01 | 2009-11-18 | Yissum Res Dev Co | Devitalized, acellular scaffold matrices derived from micro-organs seeded with various cells |
| US9866542B2 (en) * | 2015-01-28 | 2018-01-09 | Gm Global Technology Operations | Responding to electronic in-vehicle intrusions |
| CN105100061B (zh) * | 2015-06-19 | 2018-09-04 | 小米科技有限责任公司 | 网址劫持检测的方法及装置 |
| CN105357195B (zh) * | 2015-10-30 | 2019-06-14 | 深信服科技股份有限公司 | web访问的越权漏洞检测方法及装置 |
| CN106899549B (zh) * | 2015-12-18 | 2020-02-07 | 北京奇虎科技有限公司 | 一种网络安全检测方法及装置 |
| CN106027528B (zh) * | 2016-05-24 | 2019-07-12 | 微梦创科网络科技(中国)有限公司 | 一种web水平权限自动化识别的方法及装置 |
| CN106101082A (zh) * | 2016-05-31 | 2016-11-09 | 乐视控股(北京)有限公司 | 权限漏洞检测方法及装置 |
| CN108259441A (zh) * | 2016-12-29 | 2018-07-06 | 中国移动通信集团公司 | 一种防止url访问绕行的方法及装置 |
| CN106713347B (zh) * | 2017-01-18 | 2019-06-11 | 国网江苏省电力公司电力科学研究院 | 一种电力移动应用越权访问漏洞检测方法 |
| CN107046544B (zh) * | 2017-05-02 | 2020-09-29 | 深圳乐信软件技术有限公司 | 一种识别对网站的非法访问请求的方法和装置 |
| US10419480B1 (en) * | 2017-08-24 | 2019-09-17 | Amdocs Development Limited | System, method, and computer program for real-time cyber intrusion detection and intruder identity analysis |
| US11765200B2 (en) * | 2018-04-17 | 2023-09-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods, nodes and operator network for enabling management of an attack towards an application |
| CN109600377B (zh) * | 2018-12-13 | 2022-11-22 | 平安科技(深圳)有限公司 | 防越权方法、装置、计算机设备及存储介质 |
| CN111464480A (zh) * | 2019-01-18 | 2020-07-28 | 华为技术有限公司 | 一种访问请求处理方法及装置 |
| US11416623B2 (en) * | 2019-07-31 | 2022-08-16 | International Business Machines Corporation | Automatic penetration testing enablement of regression buckets |
| CN110688659B (zh) * | 2019-09-10 | 2020-10-16 | 深圳开源互联网安全技术有限公司 | 基于iast测试工具动态检测水平越权的方法及系统 |
| US11411918B2 (en) * | 2020-05-26 | 2022-08-09 | Microsoft Technology Licensing, Llc | User interface for web server risk awareness |
| CN111859363B (zh) * | 2020-06-24 | 2024-04-05 | 杭州数梦工场科技有限公司 | 用于识别应用未授权访问的方法、装置以及电子设备 |
| CN111800409B (zh) * | 2020-06-30 | 2023-04-25 | 杭州数梦工场科技有限公司 | 接口攻击检测方法及装置 |
| CN112202776A (zh) * | 2020-09-29 | 2021-01-08 | 中移(杭州)信息技术有限公司 | 源站防护方法和网络设备 |
| CN112491784A (zh) * | 2020-10-14 | 2021-03-12 | 新浪网技术(中国)有限公司 | Web网站的请求处理方法及装置、计算机可读存储介质 |
| CN114978674B (zh) * | 2022-05-18 | 2023-12-05 | 中国电信股份有限公司 | 一种爬虫识别增强的方法及装置、存储介质及电子设备 |
| CN115225385B (zh) * | 2022-07-20 | 2024-02-23 | 深信服科技股份有限公司 | 一种流量监控方法、系统、设备及计算机可读存储介质 |
| CN117857447A (zh) * | 2022-10-09 | 2024-04-09 | 华为技术有限公司 | 规则处理、规则查找方法、装置、设备及可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281298A (zh) * | 2011-08-10 | 2011-12-14 | 深信服网络科技(深圳)有限公司 | 检测和防御cc攻击的方法及装置 |
| CN103501304A (zh) * | 2013-10-12 | 2014-01-08 | 深信服网络科技(深圳)有限公司 | 控制web系统越权访问的方法及装置 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2758922B1 (fr) * | 1997-01-30 | 2000-08-04 | Alsthom Cge Alcatel | Procede de transmission d'une voie de service dans une trame plesiochrone de ladite voie de service et systeme de transmission correspondant |
| KR100615470B1 (ko) * | 2001-05-09 | 2006-08-25 | (주)트라이옵스 | 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법 |
| US8161538B2 (en) * | 2004-09-13 | 2012-04-17 | Cisco Technology, Inc. | Stateful application firewall |
| US20060288220A1 (en) * | 2005-05-02 | 2006-12-21 | Whitehat Security, Inc. | In-line website securing system with HTML processor and link verification |
| US7624084B2 (en) * | 2006-10-09 | 2009-11-24 | Radware, Ltd. | Method of generating anomaly pattern for HTTP flood protection |
| WO2009039434A2 (en) * | 2007-09-21 | 2009-03-26 | Breach Security, Inc. | System and method for detecting security defects in applications |
| US9280783B2 (en) * | 2010-03-23 | 2016-03-08 | Meridian Enterprises Corporation | System and method for providing customized on-line shopping and/or manufacturing |
| KR100994076B1 (ko) * | 2010-04-12 | 2010-11-12 | 주식회사 나우콤 | 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법 |
| US8448233B2 (en) * | 2011-08-25 | 2013-05-21 | Imperva, Inc. | Dealing with web attacks using cryptographically signed HTTP cookies |
| US9674258B2 (en) * | 2012-02-23 | 2017-06-06 | Yottaa Inc. | System and method for context specific website optimization |
| WO2013168158A1 (en) * | 2012-05-08 | 2013-11-14 | Site Black Box Ltd. | Centralized device reputation center |
| CN103685151B (zh) * | 2012-09-03 | 2018-05-22 | 腾讯科技(深圳)有限公司 | 账号单点登录保护方法及装置 |
| US9027137B2 (en) * | 2013-04-22 | 2015-05-05 | Imperva, Inc. | Automatic generation of different attribute values for detecting a same type of web application layer attack |
-
2014
- 2014-09-12 CN CN201410465196.1A patent/CN104301302B/zh active Active
-
2015
- 2015-09-10 US US14/849,747 patent/US9800594B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281298A (zh) * | 2011-08-10 | 2011-12-14 | 深信服网络科技(深圳)有限公司 | 检测和防御cc攻击的方法及装置 |
| CN103501304A (zh) * | 2013-10-12 | 2014-01-08 | 深信服网络科技(深圳)有限公司 | 控制web系统越权访问的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160080401A1 (en) | 2016-03-17 |
| CN104301302A (zh) | 2015-01-21 |
| US9800594B2 (en) | 2017-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104301302B (zh) | 越权攻击检测方法及装置 | |
| US8347392B2 (en) | Apparatus and method for analyzing and supplementing a program to provide security | |
| US8572750B2 (en) | Web application exploit mitigation in an information technology environment | |
| CN108989355B (zh) | 一种漏洞检测方法和装置 | |
| CN107634967B (zh) | 一种CSRF攻击的CSRFToken防御系统和方法 | |
| US20120151559A1 (en) | Threat Detection in a Data Processing System | |
| CN105359156B (zh) | 非法访问检测系统和非法访问检测方法 | |
| CN103634317A (zh) | 基于云安全对恶意网址信息进行安全鉴定的方法及系统 | |
| US20140157366A1 (en) | Network access control system and method | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN102664876A (zh) | 网络安全检测方法及系统 | |
| CN102045319A (zh) | Sql注入攻击检测方法及其装置 | |
| CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
| CN107426243A (zh) | 一种网络安全防护方法及装置 | |
| CN103001946A (zh) | 网站安全检测方法、设备和系统 | |
| CN102970282A (zh) | 网站安全检测系统 | |
| CN108259619A (zh) | 网络请求防护方法及网络通信系统 | |
| CN105141573A (zh) | 一种基于web访问合规性审计的安全防护方法和系统 | |
| CN104506541A (zh) | 网站漏洞告警方法及装置 | |
| CN106209907A (zh) | 一种检测恶意攻击的方法及装置 | |
| CN106230775A (zh) | 防止攻击url规则库的方法以及装置 | |
| CN104852888B (zh) | 一种设置静态认证信息的方法及装置 | |
| CN106911635A (zh) | 一种检测网站是否存在后门程序的方法及装置 | |
| KR101468798B1 (ko) | 파밍 탐지 및 차단 장치, 이를 이용한 방법 | |
| KR102514214B1 (ko) | 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200611 Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Patentee after: SANGFOR TECHNOLOGIES Inc. Address before: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park A1 building five floor Patentee before: Shenxin network technology (Shenzhen) Co.,Ltd. |