CN104967628A - 一种保护web应用安全的诱骗方法 - Google Patents

Abstract

本发明公开了一种保护web应用安全的诱骗方法，本发明在发现有攻击者尝试攻击web服务器时，把攻击流量都引入诱骗系统，然后在诱骗系统中分析攻击类型，模拟出攻击者希望从web服务器得到的内容并将该内容返回给攻击者。同时，记录攻击者的IP地址及行为以备以后分析。应用该方法能够欺骗攻击者，诱敌深入，让攻击者误以为达成目的，从而保护真正的资源不被破坏。

Description

一种保护web应用安全的诱骗方法

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及web应用安全领域。

背景技术

随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注，接踵而至的就是Web安全威胁的凸显，黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。而目前常见的保护web应用安全的手段有防火墙、IDS、模式识别、URL过滤等技术，但这些技术都很被动，只有当发生某种入侵事件后再针对这种入侵采取相应的保护措施，而且一直是处于攻防不对称状态。被攻击者只能等待攻击者来攻击而对攻击者的相关信息却一无所知。

发明内容

本发明的目的在于针对现有的网络安全技术的不足，提出了一种保护web应用安全的诱骗方法。

本发明的目的是通过以下技术方案来实现的：一种保护web应用安全的诱骗方法，该方法包括以下步骤：

步骤1：当客户端请求web服务器上的资源时，在web服务器返回的页面内容中插入一个假的URL；

步骤2：分析客户端向后台服务器发起的请求，该步骤包括以下子步骤：

（2.1）取出发起这个请求的客户端的IP地址，判断该IP地址是否被标记；

（2.2）如果该IP地址被标记，则转到步骤2.4；

（2.3）判断请求的URL是否为我们插入页面中的URL；如果不是，则把该请求转发到后台真实的web服务器上；否则，转到步骤(2.4)；

（2.4）标记该IP，更新该IP访问后台web应用的时间；把该请求转发到诱骗系统中；

步骤3：诱骗系统处理请求；

（3.1）分析该请求中是否包含攻击代码；

（3.1.1）分析该请求的查询字符串中是否包含有<script>或alert等字符串；如果有，则认为包含跨站攻击代码；

（3.1.2）分析改请求的查询字符串中是否包含http或者htts字符串，如果有，则认为是远程文件包含攻击；

（3.1.3）分析请求的查询字符串中是否包含select、and、1 = 1、or等字符串，如果有，则认为是sql注入攻击；

（3.2）根据步骤（3.1）中检测出的攻击类型，分析构造出对应于该类攻击，攻击者期望从服务器得到的响应内容并将该内容返回给攻击者；

（3.2.1）如果是跨站攻击，则把请求的查询字符串中包含攻击代码的内容直接返回给客户端；

（3.2.2）如果是sql注入攻击，则构造一些数据库执行错误的提示信息返回给攻击者；

（3.2.3）如果是远程文件包含攻击，则在本地沙箱中执行该文件，并且把文件的输出内容去掉一些字符串后返回给客户端；

（3.3）记录该攻击者的攻击方式；

步骤4：如果被标记的IP地址在一段时间内没有再次被标记，则取消对该IP的标记。

本发明的有益效果是，本发明在发现有攻击者尝试攻击web服务器时，把攻击流量都引入诱骗系统中，在诱骗系统中分析攻击类型，模拟出攻击者希望从web服务器得到的内容并将该内容返回给攻击者。应用该方法不仅能收集攻击者的攻击方式，而且能改变传统上一直处于被动防御的状态，利用伪造信息欺骗攻击者，让攻击者误以为达成目的，从而更好的保护web应用安全。

附图说明

图1是网络架构的示意图。

图2是该诱骗方法的流程图。

具体实施方式

下面结合附图详细描述本发明，本发明的目的和效果将变得更加明显。

本发明是一种保护web应用安全的诱骗方法，如图1所示，该方法需要结合网关和诱骗系统来实现。其中，网关需要具备反向代理的功能。具体包括以下步骤：

步骤1：当客户端请求web服务器上的资源时，在web服务器返回的页面内容中插入一个假的URL，该URL不对应着服务器上的任何资源，并且该URL对于普通用户浏览网页时不可见，只有当攻击者尝试去对网站扫描或爬虫时才会去访问该URL。如：<a href=”/path/to/honey”></a>

步骤2：分析客户端向后台服务器发起的请求。

（2.1）取出发起这个请求的客户端的IP地址，判断该IP地址是否被标记。

（2.2）如果该IP地址被标记，则转到步骤（2.4）。

（2.3）判断请求的URL是否为我们插入页面中的URL。如果不是，则把该请求转发到后台真实的web服务器上。否则，转到步骤(2.4)。

（2.4）标记该IP，更新该IP访问后台web应用的时间。把该请求转发到诱骗系统中。

步骤3：诱骗系统处理请求。

（3.1）分析该请求中是否包含攻击代码。

（3.1.1）分析该请求的查询字符串中是否包含有<script>或alert等字符串。如果有，则认为包含跨站攻击代码。

（3.1.2）分析改请求的查询字符串中是否包含http或者htts字符串，如果有，则认为是远程文件包含攻击。

（3.1.3）分析请求的查询字符串中是否包含select、and、1 = 1、or等字符串，如果有，则认为是sql注入攻击。

（3.2）根据步骤（3.1）中检测出的攻击类型，分析构造出对应于该类攻击，攻击者期望从服务器得到的响应内容并将该内容返回给攻击者。

（3.2.1）如果是跨站攻击，则把请求的查询字符串中包含攻击代码的内容直接返回给客户端。

（3.2.2）如果是sql注入攻击，则构造一些数据库执行错误的提示信息返回给攻击者。

（3.2.3）如果是远程文件包含攻击，则在本地沙箱中执行该文件，并且把文件的输出内容去掉一些字符串后返回给客户端。

（3.3）记录该攻击者的攻击方式，以备以后进行分析。

步骤4：如果被标记的IP地址在一段时间内没有再次被标记，则取消对该IP的标记。

本发明在发现有攻击者尝试攻击web服务器时，把攻击流量都引入诱骗系统中，在诱骗系统中分析攻击类型，模拟出攻击者希望从web服务器得到的内容并将该内容返回给攻击者。应用该方法不仅能收集攻击者的攻击方式，而且能改变传统上一直处于被动防御的状态，利用伪造信息欺骗攻击者，让攻击者误以为达成目的，从而更好的保护web应用安全。

Claims (1)

1.一种保护web应用安全的诱骗方法，其特征在于，该方法包括以下步骤：

步骤1：当客户端请求web服务器上的资源时，在web服务器返回的页面内容中插入一个假的URL；

步骤2：分析客户端向后台服务器发起的请求，该步骤包括以下子步骤：

（2.1）取出发起这个请求的客户端的IP地址，判断该IP地址是否被标记；

（2.2）如果该IP地址被标记，则转到步骤2.4；

（2.3）判断请求的URL是否为我们插入页面中的URL；如果不是，则把该请求转发到后台真实的web服务器上；否则，转到步骤(2.4)；

（2.4）标记该IP，更新该IP访问后台web应用的时间；把该请求转发到诱骗系统中；

步骤3：诱骗系统处理请求；

（3.1）分析该请求中是否包含攻击代码；

（3.1.1）分析该请求的查询字符串中是否包含有<script>或alert等字符串；如果有，则认为包含跨站攻击代码；

（3.1.2）分析改请求的查询字符串中是否包含http或者htts字符串，如果有，则认为是远程文件包含攻击；

（3.1.3）分析请求的查询字符串中是否包含select、and、1 = 1、or等字符串，如果有，则认为是sql注入攻击；

（3.2）根据步骤（3.1）中检测出的攻击类型，分析构造出对应于该类攻击，攻击者期望从服务器得到的响应内容并将该内容返回给攻击者；

（3.2.1）如果是跨站攻击，则把请求的查询字符串中包含攻击代码的内容直接返回给客户端；

（3.2.2）如果是sql注入攻击，则构造一些数据库执行错误的提示信息返回给攻击者；

（3.2.3）如果是远程文件包含攻击，则在本地沙箱中执行该文件，并且把文件的输出内容去掉一些字符串后返回给客户端；

（3.3）记录该攻击者的攻击方式；

步骤4：如果被标记的IP地址在一段时间内没有再次被标记，则取消对该IP的标记。