CN104994104A - 基于web安全网关的服务器指纹拟态和敏感信息拟态方法 - Google Patents

Abstract

本发明公开了一种基于WEB安全网关的服务器指纹拟态和敏感信息拟态方法。该方法在攻击者扫描Web服务器指纹信息、漏洞信息时实现返回信息拟态，混淆攻击者获取的有效信息。在攻击者通过漏洞完成攻击之后，也可以通过敏感信息拟态对攻击者获取的敏感信息进行拟态替换，防止敏感信息泄露。本发明与传统Web安全网关相比，既可以在攻击发生之前混淆攻击者的视听，也可以在攻击完成之后干扰敏感信息的获取，而且可灵活配置，面向正常用户透明，具有良好的可扩展性、可移植性。

Description

基于WEB安全网关的服务器指纹拟态和敏感信息拟态方法

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及Web应用安全网关技术。

背景技术

在互联网普及率越来越高的津田，生活中网络已经无处不在了。从PC时代到移动互联网时代再到将来的物联网时代，网络带来的方便、快捷已然让人们深受其利。然而，不管是广大互联网用户还是IT公司，对网络安全的重视一直未能做到防范于未然，多数情况都是“亡羊补牢”。近年来，针对网络的各种攻击事件频繁发生，给网络安全敲响了警钟，尽管人们采用了各种方法和工具来加强网络通信的安全，但攻击成功的事件数量还是在不断上升。近年来比较“著名”的网络安全事件比如携程漏洞事件：携程安全支付日志可遍历下载导致大量用户银行卡信息泄露（包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin）。该漏洞一经曝出就引发了人们关于“电商网站存储用户信用卡等敏感信息，并存在泄露风险”的热议。还有中国快递1400万信息泄露，eBay数据的大泄露、500万谷歌账户信息被泄、索尼影业公司的摄影计划、明星隐私、未发表的剧本等敏感信息被窃取、12306用户数据泄露含身份证及密码信息等等一系列震惊中外的事件，网络安全的重要性被提升到前所未有的高度。

据艾瑞公司网络安全年度报告显示，网民对涉及财产安全和信息隐私的安全困扰最为关注，其关注 TOP3 分别为网络支付不安全、信息泄露和账号盗取。

由于网络设计之初所具有的开放、互连、共享性，就决定了现在的网络是不安全的，网络频遭各种攻击与破坏。新的攻击手段和方法也越来越多、层出不穷、千变万化。

传统的防火墙和入侵检测系统是一种被动的、静态的防卫的手段。面对不断出现的新攻击方法，传统的被动防御的手段越来越显得力不从心，缺乏一种主动应对方法，常常是系统被攻击之后才做出相应的反应，这样的防御总在攻击发生之后才做出补救措施；正是如此，拟态安全网关就是基于此种情况提出的新型安全网关，以期能从主动性、变化性和随机性中来获得有利的防御姿态。

发明内容

本发明的目的在于针对现有技术的不足，提供一种基于WEB安全网关的服务器指纹拟态和敏感信息拟态方法，能够对Web服务器指纹信息和网络应用敏感信息进行拟态替换。

本发明的目的是通过以下技术方案来实现的：一种基于WEB安全网关的服务器指纹拟态和敏感信息拟态方法，包括以下步骤：

步骤1：在Web服务器与用户之间搭建一个反向代理服务器，该反向代理服务器基于Nginx实现；所述Nginx是一个高性能的HTTP和反向代理服务器；在反向代理服务器上实现消息转发和路由规则，之后用户和Web服务器之间的消息传递都经由反向代理服务器处理和转发，而对于用户和服务器来说反向代理服务器是透明不可见的；

步骤2：在反向代理服务器上配置拟态安全网关的功能模块，包括Web服务器指纹信息拟态模块和敏感信息拟态模块两个部分；修改配置文件，确定作用域（所有HTTP请求、所有Web服务器响应请求或者指定URI等）、功能模块及执行指令；完成编译安装；功能模块添加完成之后，重新启动反向代理服务器，让拟态安全网关生效；

步骤3：攻击者向服务器发起请求或使用漏洞扫描工具进行嗅探或攻击，HTTP请求经过拟态安全网关；拟态安全网关获取请求内容，将请求转发给后方服务器；后方服务器根据HTTP请求构造响应内容，包括响应包头和包体，发送给反向代理服务器；

步骤4：反向代理服务器上的拟态安全网关获取HTTP响应包内容，完成Web服务器指纹信息拟态，该步骤通过以下子步骤来实现：

（4.1）查看服务器配置文件，确定此次请求是否在Web服务器指纹拟态模块作用域内，如果不在，跳到步骤5；

（4.2）如果此次请求在此模块作用域内，比如HTTP作用域、SERVER作用域或者指定URI作用域，则启动Web服务器指纹拟态模块，将此请求交由此模块处理；

（4.3）Web服务器指纹拟态模块首先读取配置文件中的配置项，即指定的指纹信息设置目标、内容和匹配模式；然后检索并处理HTTP响应包头和包体，完成服务器指纹拟态功能，此步骤分为以下几个子步骤：

（4.3.1）解析并存储配置文件中的配置项，包括指纹信息设置目标、设置内容和匹配模式；可能有多个配置项，依次存储；

（4.3.2）解析并存储HTTP响应包头中的信息，包括HTTP协议版本、服务器版本名称、WEB容器版本名称、网站编程语言、开发框架、COOKIE、SESSION等字段；

（4.3.3）依次循环处理配置文件中的指纹信息设置目标，此步骤包括以下几个子步骤：

（4.3.3.1）依次循环校验HTTP响应包头中的指纹信息，如果与设置目标匹配，按照配置文件中此设置项的设置方式处理；此步骤包括以下几个子步骤：

（4.3.3.1.1）如果指定模式为＂set＂模式，则将此目标项的属性值设为配置文件中的设置目标值；

（4.3.3.1.2）如果指定模式为＂clear＂模式，则将此目标项的名称和属性值都删除；

（4.3.3.2）如果一直到循环结束也没有找到与此目标项匹配的项，则在HTTP相应包头指纹信息中的最后添加此目标项，值即设定为配置文件中的目标值；

（4.3.4）配置文件中所有服务器指纹信息拟态指令都解析执行完毕后，按照HTTP框架中的顺序执行将HTTP响应包头和包体转发给下一个HTTP过滤模块；

步骤5：反向代理服务器上的拟态安全网关中的敏感信息拟态模块获取HTTP响应包内容，完成Web服务器敏感信息拟态，该步骤通过以下子步骤来实现：

（5.1）查看服务器配置文件，确定此次请求是否在此模块作用域内，如果不在，跳到步骤6；

（5.2）如果此次请求在此模块作用域内，比如HTTP作用域、SERVER作用域或者指定URI作用域，则启动Web服务器敏感信息拟态模块，将此请求交由此模块处理；

（5.3）Web服务器敏感拟态模块首先读取配置文件中的配置项，即指定的敏感信息替换目标、替换内容和匹配模式；然后检索并处理HTTP响应包头和包体，完成服务器敏感信息拟态功能；此步骤分为以下几个子步骤：

（5.3.1）解析并存储配置文件中的配置项，包括敏感信息替换目标、替换内容和匹配模式；可能有多条配置项，依次存储；

（5.3.2）依次循环处理配置文件中的敏感信息替换目标，此步骤包括以下几个子步骤：

（5.3.2.1）如果此配置项的匹配模式为普通字符串匹配模式，则采用memmem字符串匹配方法查找HTTP响应包体中的敏感信息；如果与替换目标匹配，则将目标子串替换为配置项中的替换子串；

（5.3.2.2）如果此配置项的匹配模式为正则表达式匹配模式，则使用regex库进行正则表示匹配替换；如果与目标正则表达式匹配，则将查找到的子串替换为配置项中的替换子串；

（5.3.3）配置文件中所有服务器敏感信息信息拟态指令都解析执行完毕后，按照HTTP框架中的顺序执行将HTTP响应包头和包体转发给下一个HTTP过滤模块；

步骤6：所有HTTP过滤模块执行完毕后，将HTTP响应包头和响应包体发送给用户，用户收到的是经过指纹信息拟态和敏感信息拟态模块处理过的响应消息，从而实现Web服务器指纹信息拟态和敏感信息拟态，达到有效保护服务器信息的目的。

本发明的有益效果是：本发明方法在攻击者扫描Web服务器指纹信息、漏洞信息时实现返回信息拟态，混淆攻击者获取的有效信息。在攻击者通过漏洞完成攻击之后，也可以通过敏感信息拟态对攻击者获取的敏感信息进行拟态替换，防止敏感信息泄露。本发明与传统Web安全网关相比，既可以在攻击发生之前混淆攻击者的视听，也可以在攻击完成之后干扰敏感信息的获取，而且可灵活配置，面向正常用户透明，具有良好的可扩展性、可移植性。

附图说明

图1是网络拓扑结构示意图。

图2是拟态安全网关执行流程图。

具体实施方式

下面根据附图详细描述本发明，本发明的目的和效果将变得更加明显。

本发明一种基于WEB安全网关的服务器指纹拟态和敏感信息拟态方法，包括以下步骤：

步骤1：在真正的Web服务器与用户之间搭建一个反向代理服务器，该反向代理服务器基于Nginx实现。在反向代理服务器上实现设置转发和路由规则，之后用户和Web服务器之间的消息传递都经由反向代理服务器处理和转发，而对于用户和服务器来说反向代理服务器是透明的；网络拓扑图如附图1；

步骤2：在反向代理服务器上配置拟态安全网关模块，包括Web服务器指纹信息拟态模块和敏感信息拟态模块；将模块源文件和配置文件拷贝到反向代理服务器指定目录中，修改编译安装命令配置文件，确定替换内容、方法和作用域（所有HTTP请求、Web服务器响应请求或者指定URI等）；完成编译安装；拟态安全网关模块添加完成之后，重新启动反向代理服务器，让拟态安全网关生效；

步骤3：攻击者向服务器发起请求或使用漏洞扫描工具进行嗅探或攻击，HTTP请求经过拟态安全网关；拟态安全网关获取请求内容，将请求转发给后方服务器；后方服务器根据HTTP请求构造响应内容，包括响应包头和包体，发送回反向代理服务器；

步骤4：反向代理服务器上的拟态安全网关获取响应包内容，完成Web服务器指纹信息拟态和敏感信息拟态。如附图2所示，该步骤通过以下子步骤来实现：

（4.1）查看服务器配置文件，确定此次请求是否在Web服务器指纹拟态模块或服务器敏感信息拟态模块作用域内。如果不在，跳到步骤5；

（4.2）如果此次请求在此模块作用域内，比如HTTP作用域、SERVER作用域或者指定URI作用域，则启动对应功能模块，将此请求交由此模块处理；

（4.3）Web服务器指纹拟态模块首先读取配置文件中的配置项，即指定的拟态指纹信息替换目标和内容，检索响应包头和包体。此步骤分为以下几个步骤：

（4.3.1）配置Nginx模块结构体，设定上下文和调用指令结构体；

（4.3.2）配置Nginx HTTP模块结构体，此步骤包括以下几个子步骤：

（4.3.2.1）设置用于存储指纹信息配置项的结构体；

（4.3.2.2）设定、实现需要创建数据结构用于存储相应级别配置项时的调用方法；

（4.3.2.3）设定、实现完成配置文件的解析后调用的函数；

（4.3.3）配置指定解析结构体，此步骤包括以下几个子步骤：

（4.3.3.1）创建存储配置参数的结构体

（4.3.3.2）在command_t命令解析结构体中设置模块别名、参数作用域、回调方法名、创建参数配置项方法、位于存储对象中的偏移值、自定义方法。

（4.3.3.3）实现command_t中的回调方法

（4.3.4）HTTP框架依次调用各个模块的存储配置信息方法，完成配置项解析

（4.3.5）完成配置项解析后，调用HTTP模块中设置的解析后回调方法，此处Web服务器指纹信息拟态模块中设为ngx_http_headers_more_filter_init方法，敏感信息替换模块中设为ngx_http_subs_filter_init方法。

（4.3.5.1）设定两个静态指针ngx_http_next_header_filter和ngx_http_next_body_filter。

（4.3.5.2）将自定义的头部和包体过滤方法置于对应的过滤链表顶端，表示在执行过程中先执行此方法，再执行之前模块设置的方法。

（4.3.6）实现自定义HTTP响应头部过滤方法，在Web服务器指纹信息拟态模块中实现包头信息重置、添加、清除等功能，在敏感信息拟态模块中实现普通字符串和正则表达式匹配替换功能。

（4.3.7）实现自定义HTTP响应包体过滤方法。

（4.3.8）按照HTTP框架中的顺序执行HTTP响应头部过滤方法和包体过滤方法，执行完成后将消息转发给下一个过滤模块，知道全部执行完毕。

步骤5：将响应包头和响应包体发送给用户，用户收到经过Web服务器指纹信息拟态和敏感信息拟态的响应消息，从而实现Web服务器指纹信息拟态和敏感信息拟态，达到有效保护服务器信息的目的。

      本发明针对网络攻击者对Web服务器进行嗅探和攻击的过程做了双重拟态防御，即在攻击发生之前收集Web服务器指纹信息时给攻击者返回拟态信息，；在攻击发生之后给攻击者返回拟态的敏感信息。对攻击者进行诱导和迷惑，增加其攻击成本和时间，且有效地防止了敏感信息的泄露。

Claims (1)

1.一种基于WEB安全网关的服务器指纹拟态和敏感信息拟态方法，其特征在于，包括以下步骤：

步骤1：在Web服务器与用户之间搭建一个反向代理服务器，该反向代理服务器基于Nginx实现；在反向代理服务器上实现消息转发和路由规则，之后用户和Web服务器之间的消息传递都经由反向代理服务器处理和转发，而对于用户和服务器来说反向代理服务器是透明不可见的；

步骤2：在反向代理服务器上配置拟态安全网关的功能模块，包括Web服务器指纹信息拟态模块和敏感信息拟态模块两个部分；修改配置文件，确定作用域（所有HTTP请求、所有Web服务器响应请求或者指定URI等）、功能模块及执行指令；完成编译安装；功能模块添加完成之后，重新启动反向代理服务器，让拟态安全网关生效；

步骤3：攻击者向服务器发起请求或使用漏洞扫描工具进行嗅探或攻击，HTTP请求经过拟态安全网关；拟态安全网关获取请求内容，将请求转发给后方服务器；后方服务器根据HTTP请求构造响应内容，包括响应包头和包体，发送给反向代理服务器；

步骤4：反向代理服务器上的拟态安全网关获取HTTP响应包内容，完成Web服务器指纹信息拟态，该步骤通过以下子步骤来实现：

（4.1）查看服务器配置文件，确定此次请求是否在Web服务器指纹拟态模块作用域内，如果不在，跳到步骤5；

（4.2）如果此次请求在此模块作用域内，则启动Web服务器指纹拟态模块，将此请求交由此模块处理；

（4.3）Web服务器指纹拟态模块首先读取配置文件中的配置项，即指定的指纹信息设置目标、内容和匹配模式；然后检索并处理HTTP响应包头和包体，完成服务器指纹拟态功能，此步骤分为以下几个子步骤：

（4.3.1）解析并存储配置文件中的配置项，包括指纹信息设置目标、设置内容和匹配模式；可能有多个配置项，依次存储；

（4.3.2）解析并存储HTTP响应包头中的信息，包括HTTP协议版本、服务器版本名称、WEB容器版本名称、网站编程语言、开发框架、COOKIE、SESSION等字段；

（4.3.3）依次循环处理配置文件中的指纹信息设置目标，此步骤包括以下几个子步骤：

（4.3.3.1）依次循环校验HTTP响应包头中的指纹信息，如果与设置目标匹配，按照配置文件中此设置项的设置方式处理；此步骤包括以下几个子步骤：

（4.3.3.1.1）如果指定模式为＂set＂模式，则将此目标项的属性值设为配置文件中的设置目标值；

（4.3.3.1.2）如果指定模式为＂clear＂模式，则将此目标项的名称和属性值都删除；

（4.3.3.2）如果一直到循环结束也没有找到与此目标项匹配的项，则在HTTP相应包头指纹信息中的最后添加此目标项，值即设定为配置文件中的目标值；

（4.3.4）配置文件中所有服务器指纹信息拟态指令都解析执行完毕后，按照HTTP框架中的顺序执行将HTTP响应包头和包体转发给下一个HTTP过滤模块；

步骤5：反向代理服务器上的拟态安全网关中的敏感信息拟态模块获取HTTP响应包内容，完成Web服务器敏感信息拟态，该步骤通过以下子步骤来实现：

（5.1）查看服务器配置文件，确定此次请求是否在此模块作用域内，如果不在，跳到步骤6；

（5.2）如果此次请求在此模块作用域内，则启动Web服务器敏感信息拟态模块，将此请求交由此模块处理；

（5.3）Web服务器敏感拟态模块首先读取配置文件中的配置项，即指定的敏感信息替换目标、替换内容和匹配模式；然后检索并处理HTTP响应包头和包体，完成服务器敏感信息拟态功能；此步骤分为以下几个子步骤：

（5.3.1）解析并存储配置文件中的配置项，包括敏感信息替换目标、替换内容和匹配模式；可能有多条配置项，依次存储；

（5.3.2）依次循环处理配置文件中的敏感信息替换目标，此步骤包括以下几个子步骤：

（5.3.2.1）如果此配置项的匹配模式为普通字符串匹配模式，则采用memmem字符串匹配方法查找HTTP响应包体中的敏感信息；如果与替换目标匹配，则将目标子串替换为配置项中的替换子串；

（5.3.2.2）如果此配置项的匹配模式为正则表达式匹配模式，则使用regex库进行正则表示匹配替换；如果与目标正则表达式匹配，则将查找到的子串替换为配置项中的替换子串；

（5.3.3）配置文件中所有服务器敏感信息信息拟态指令都解析执行完毕后，按照HTTP框架中的顺序执行将HTTP响应包头和包体转发给下一个HTTP过滤模块；

步骤6：所有HTTP过滤模块执行完毕后，将HTTP响应包头和响应包体发送给用户，用户收到的是经过指纹信息拟态和敏感信息拟态模块处理过的响应消息，从而实现Web服务器指纹信息拟态和敏感信息拟态，达到有效保护服务器信息的目的。