CN105141573B - 一种基于web访问合规性审计的安全防护方法和系统 - Google Patents

一种基于web访问合规性审计的安全防护方法和系统 Download PDF

Info

Publication number
CN105141573B
CN105141573B CN201510323671.6A CN201510323671A CN105141573B CN 105141573 B CN105141573 B CN 105141573B CN 201510323671 A CN201510323671 A CN 201510323671A CN 105141573 B CN105141573 B CN 105141573B
Authority
CN
China
Prior art keywords
request
web
page
main equipment
path
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510323671.6A
Other languages
English (en)
Other versions
CN105141573A (zh
Inventor
范渊
朱曙萍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201510323671.6A priority Critical patent/CN105141573B/zh
Publication of CN105141573A publication Critical patent/CN105141573A/zh
Application granted granted Critical
Publication of CN105141573B publication Critical patent/CN105141573B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络安全防护技术领域,旨在提供一种基于WEB访问合规性审计的安全防护方法和系统。该种基于WEB访问合规性审计的安全防护方法包括下述步骤:主设备能对受保护的Web站点进行全路径自学习,再根据学习到的Web站点路径特征,生成完整的Web路径合规模型,当主设备接收来自客户端到Web站点的访问请求时,将该访问请求的信息记入记录表中,合规引擎利用Web路径合规模型,对访问请求进行分析与评估;该安全防护系统包括主设备和合规引擎。本发明能够对网站进行全路径审计,动态生成合规模型,从而对网络的不安全行为进行智能化评估与防御,规范用户的网络访问行为,并且有效减少攻击误判率。

Description

一种基于WEB访问合规性审计的安全防护方法和系统
技术领域
本发明是关于网络安全防护技术领域,特别涉及一种基于WEB访问合规性审计的安全防护方法和系统。
背景技术
随着互联网的高速发展,Web应用的安全问题已经成为当今互联网研究的热点问题。
Web应用安全防护作为一种主动的安全防护技术,它既可以作为一种审计及访问控制设备,也可以用于架构和网络设计及Web应用加固,能够对来自互联网的不安全行为提供实时保护。这些不安全行为包括注入攻击事件、网页篡改事件、信息泄漏事件、网站盗链、信息窃取事件等。传统的WEB应用防火墙通常以独立的硬件网关存在,以透明代理、网关、网桥、反向代理或路由模式等多种部署形态保护着WEB服务器。
目前大部分Web应用防护产品采用的是基于规则模型的防御技术,其原理是主设备基于已公布的网络漏洞特征,事先建立一套完整的规则模型。对每个会话进行分析检测,获取其特征,若与规则模型匹配则认定为非法请求并拒绝会话。基于规则模型的防御技术能有效防护已知安全问题。但是因为这种技术依赖于事先确定每个威胁的特点,而大部份Web站点都具有其固有的特点,这个方法并不能完全有效地保护Web站点和防护尚未公开的漏洞,同时会造成对攻击的错误判断。
发明内容
本发明的主要目的在于克服现有技术中的不足,提供基于WEB访问合规性审计的安全防护防护方法和系统。为解决上述技术问题,本发明的解决方案是:
提供一种基于WEB访问合规性审计的安全防护方法,用于对向受保护的Web站点发来的请求,进行合规性审计并处理,所述基于WEB访问合规性审计的安全防护方法包括下述步骤:
步骤A:主设备(在特定的时间,比如使用基于WEB访问合规性审计安全防护方法的同时)能对受保护的Web站点进行全路径自学习;所述全路径自学习是指通过访问Web站点的方式,对站点的路径、页面及页面节点的关系进行审计并记录;
步骤B:主设备根据步骤A中学习到的Web站点路径特征,生成完整的Web路径合规模型;所述Web路径合规模型是指Web网站路径及页面集合,用于规范用户对网站的访问行为;
步骤C:主设备接收来自客户端到Web站点的访问请求,并将该访问请求的源IP地址、源MAC地址、源端口、目的IP地址、目的MAC、目的端口、请求源URL、请求目的URL、请求参数、访问时间记入记录表中;
步骤D:合规引擎利用步骤B中生成的Web路径合规模型,对访问请求进行分析与评估,具体方式为:
合规引擎获取记录表中该请求的请求源URL以及请求目的URL,并对获取的数据进行分析提练,确定请求发起的原始页面及目的页面;然后根据请求的原始页面和目的页面,从步骤B中生成的Web路径合规模型中,寻找访问路径完全一致的页面及子页面,若找到一个匹配的页面或者子页面,则评估分值加1,若请求的原始页面和目的页面找不到匹配的页面或者子页面,则评分估值减1,最终合计得到请求的评分估值;
步骤E:主设备根据预先设定的阈值(比如WEB站点路径权值的最低分值),判断合规引擎计算得到的该请求的评估分值是否低于预先设定的阈值;
若该请求的评估分值低于预先设定的阈值,则确定该请求属于非法请求,并执行预先设定的处理操作;若该请求的评估分值等于或高于预先设定的阈值,则确定该请求属于正常请求,不执行预先设定的处理操作,由合规引擎放行该请求。
在本发明中,所述步骤E中,预先设定的处理操作包括:阻断并告警、阻断不告警、丢弃并告警、丢弃不告警、重定向、仅检测。
提供基于所述的一种基于WEB访问合规性审计的安全防护系统,包括主设备和合规引擎;
所述主设备能对受保护的Web站点进行全路径学习,在定向获取初始页面的基础上,能从当前页面上获取新的URL链接及参数,生成完整的Web路径合规模型,并能在Web路径合规模型的基础上自定义规则及处理操作;主设备能接收来自客户端到受保护的Web站点的请求,并利用合规引擎得出的该请求的评估分值,判断当前请求的评估分值是否低于预先设定的阈值,进而确定该请求的处理操作;
所述合规引擎用于对主设备接收的请求进行分析,获取其特征并与Web路径合规模型进行对比,并根据符合程度的高低给予请求相应的评估分值。
与现有技术相比,本发明的有益效果是:
能够对网站进行全路径审计,动态生成合规模型,从而对网络的不安全行为进行智能化评估与防御,规范用户的网络访问行为,并且有效减少攻击误判率。
附图说明
图1为实施例中的Web网站页面结构图。
图2为实施例中的系统结构框图。
图3为实施例中的Web访问合规性检测装置结构框图。
具体实施方式
首先需要说明的是,本发明是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。前述软件功能模块包括但不限于:主设备、合规引擎等,凡本发明申请文件提及的均属此范畴,申请人不再一一列举。
下面结合附图与具体实施方式对本发明作进一步详细描述:
为了能够更有效地检测来自互联网客户端的请求合规程度及安全性,本发明一种基于WEB访问合规性审计的安全防护方法,首先在特定的时间对Web站点进行全路径自学习,并形成合规模型,可参见图1;当主设备接收到来自客户端的请求时,与合规模型进行分析对比,根据分析结果来确定请求的合规程度和安全性,可参见图3,最终作出处理。
该种基于WEB访问合规性审计的安全防护方法,具体包括下述步骤:
步骤S01:主设备在特定的时间对受保护的Web站点进行全路径自学习。
上述全路径自学习指的是通过访问Web站点的方式,对站点的路径、页面及页面节点的关系进行审计并记录。
步骤S02:主设备根据学习到的Web站点路径特征,生成完整的Web站点路径合规模型。
在本步骤中所述的合规模型指为了更明确地规范用户对网站的访问行为而确定的一种Web网站路径及页面集合,如图1所示,图1中,实线表示网页路径关系,虚线表示用户访问路径。假定一个Web网站的首页是S,设S的存储结构为S=(S.page,S.flag,<S.child1,S.child2……S.childn>)。S.page存储页面名称;S.flag用于标识该页面是否存在子链接,1表示有,0表示没有;<S.child1……>用于标识各子链接页面名称。
基于上述设计,图1中所示页面A1在合规模型中的存储结构为(A1,1,<B1,B2,B3,B4>)。
步骤S03:主设备接收来自客户端到Web站点的访问请求。
将该请求的源IP地址、源MAC地址、源端口、目的IP地址、目的MAC、目的端口、请求源URL、请求目的URL、请求参数、访问时间记入记录表中。
步骤S04:合规引擎对访问请求进行分析与评估。
上述将请求与合规模型进行分析与评估的方法,具体描述为:获取该请求发起的原始URL以及目的URL,对这些数据进行分析提练,确定请求发起的原始页面及目的页面。根据请求的原始页面和目的页面从合规模型中匹配相应的页面及子页面。假定图1中,用户User1的访问路径为A1->B2->C2,合规模型中A1的存储结构为(A1,1,<B1,B2,B3,B4>),其中包含B2,且B2的存储结构为(B2,1,<C2,C4>),其中包含C2。我们为每次匹配成功评1分,故该用户的访问行为得2分。若用户User2的访问路径为A1->C6,合规模型中A1的存储结构中子链接页面匹配不到C6,此时评分为-1分,此时继续从A1的子页面B1,B2,B3,B4中匹配,最络匹配到B4的子链接页面中存在C5,评分为1分,最终合计得分-1+1=0分。
步骤S05:主设备判断该请求的评估分值是否低于预先设定的阈值。
预先设定的阈值,可以是WEB站点路径权值的最低分值。比如以0分为界定,大于等于0分的用户访问行为被认定为无风险或风险极低的操作,即放行该操作行为;小于0分的被认定为风险较高的不安全操作行为,可以采取预先设定的处理操作。
步骤S06:合规引擎认定分值低于预先设定的阈值,则确定本次请求为非法请求,并执行预先设定的处理。
预先设定的处理操作包括:阻断并告警、阻断不告警、丢弃并告警、丢弃不告警、重定向、仅检测。系统可以根据对用户请求的合规性及安全性评估结果,作出以上动作处理。
最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形,均应认为是本发明的保护范围。

Claims (2)

1.一种基于WEB访问合规性审计的安全防护方法,用于对向受保护的Web站点发来的请求,进行合规性审计并处理,其特征在于,所述基于WEB访问合规性审计的安全防护方法包括下述步骤:
步骤A:主设备能对受保护的Web站点进行全路径自学习;所述全路径自学习是指通过访问Web站点的方式,对站点的路径、页面及页面节点的关系进行审计并记录;
步骤B:主设备根据步骤A中学习到的Web站点路径特征,生成完整的Web路径合规模型;所述Web路径合规模型是指Web网站路径及页面集合,用于规范用户对网站的访问行为;
步骤C:主设备接收来自客户端到Web站点的访问请求,并将该访问请求的源IP地址、源MAC地址、源端口、目的IP地址、目的MAC、目的端口、请求源URL、请求目的URL、请求参数和访问时间记入记录表中;
步骤D:合规引擎利用步骤B中生成的Web路径合规模型,对访问请求进行分析与评估,具体方式为:
合规引擎获取记录表中该请求的请求源URL以及请求目的URL,并对获取的数据进行分析提练,确定请求发起的原始页面及目的页面;然后根据请求的原始页面和目的页面,从步骤B中生成的Web路径合规模型中,寻找访问路径完全一致的页面及子页面,若找到一个匹配的页面或者子页面,则评估分值加1,若请求的原始页面和目的页面找不到匹配的页面或者子页面,则评分估值减1,最终合计得到请求的评分估值;
步骤E:主设备根据预先设定的阈值,判断合规引擎计算得到的该请求的评估分值是否低于预先设定的阈值;
若该请求的评估分值低于预先设定的阈值,则确定该请求属于非法请求,并执行预先设定的处理操作;若该请求的评估分值等于或高于预先设定的阈值,则确定该请求属于正常请求,不执行预先设定的处理操作,由合规引擎放行该请求;
所述预先设定的处理操作包括阻断并告警、阻断不告警、丢弃并告警、丢弃不告警、重定向和仅检测。
2.基于权利要求1所述的方法的一种基于WEB访问合规性审计的安全防护系统,其特征在于,包括主设备和合规引擎;
所述主设备能对受保护的Web站点进行全路径学习,在定向获取初始页面的基础上,能从当前页面上获取新的URL链接及参数,生成完整的Web路径合规模型,并能在Web路径合规模型的基础上自定义规则及处理操作;主设备能接收来自客户端到受保护的Web站点的请求,并利用合规引擎得出的该请求的评估分值,判断当前请求的评估分值是否低于预先设定的阈值,进而确定该请求的处理操作;
所述合规引擎用于对主设备接收的请求进行分析,获取其特征并与Web路径合规模型进行对比,并根据符合程度的高低给予请求相应的评估分值。
CN201510323671.6A 2015-06-11 2015-06-11 一种基于web访问合规性审计的安全防护方法和系统 Active CN105141573B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510323671.6A CN105141573B (zh) 2015-06-11 2015-06-11 一种基于web访问合规性审计的安全防护方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510323671.6A CN105141573B (zh) 2015-06-11 2015-06-11 一种基于web访问合规性审计的安全防护方法和系统

Publications (2)

Publication Number Publication Date
CN105141573A CN105141573A (zh) 2015-12-09
CN105141573B true CN105141573B (zh) 2018-12-04

Family

ID=54726782

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510323671.6A Active CN105141573B (zh) 2015-06-11 2015-06-11 一种基于web访问合规性审计的安全防护方法和系统

Country Status (1)

Country Link
CN (1) CN105141573B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107306259A (zh) * 2016-04-22 2017-10-31 腾讯科技(深圳)有限公司 网页页面访问中的攻击检测方法和装置
CN109150819B (zh) * 2018-01-15 2019-06-11 北京数安鑫云信息技术有限公司 一种攻击识别方法及其识别系统
CN110177113B (zh) * 2019-06-06 2021-08-31 北京奇艺世纪科技有限公司 互联网防护系统及访问请求处理方法
CN110704779A (zh) * 2019-09-27 2020-01-17 杭州迪普科技股份有限公司 一种网站页面访问合规性检测方法、装置及设备
CN111600841B (zh) * 2020-04-16 2022-12-09 广西电网有限责任公司电力科学研究院 一种Web站点的综合安全监测方法及系统
CN112328934A (zh) * 2020-10-16 2021-02-05 上海涛飞网络科技有限公司 访问行为路径分析方法、装置、设备及存储介质
CN113626736B (zh) * 2021-08-10 2023-11-17 迈普通信技术股份有限公司 Url特征学习方法、装置、电子设备及计算机可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1870812A (zh) * 2005-05-27 2006-11-29 华为技术有限公司 Ip多媒体子系统接入域安全机制的选择方法
CN102523218A (zh) * 2011-12-16 2012-06-27 北京神州绿盟信息安全科技股份有限公司 一种网络安全防护方法、设备和系统
CN202772909U (zh) * 2012-08-21 2013-03-06 北京盈想东方科技发展有限公司 内网安全一体化管理系统架构
CN104618317A (zh) * 2014-07-30 2015-05-13 江苏物泰信息科技有限公司 一种基于信任的物联网数据安全系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8713589B2 (en) * 2010-12-23 2014-04-29 Microsoft Corporation Registration and network access control

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1870812A (zh) * 2005-05-27 2006-11-29 华为技术有限公司 Ip多媒体子系统接入域安全机制的选择方法
CN102523218A (zh) * 2011-12-16 2012-06-27 北京神州绿盟信息安全科技股份有限公司 一种网络安全防护方法、设备和系统
CN202772909U (zh) * 2012-08-21 2013-03-06 北京盈想东方科技发展有限公司 内网安全一体化管理系统架构
CN104618317A (zh) * 2014-07-30 2015-05-13 江苏物泰信息科技有限公司 一种基于信任的物联网数据安全系统

Also Published As

Publication number Publication date
CN105141573A (zh) 2015-12-09

Similar Documents

Publication Publication Date Title
CN105141573B (zh) 一种基于web访问合规性审计的安全防护方法和系统
Hoque et al. An implementation of intrusion detection system using genetic algorithm
CN104486141B (zh) 一种误报自适应的网络安全态势预测方法
CN105871850B (zh) 爬虫检测方法和系统
CN107888607A (zh) 一种网络威胁检测方法、装置及网络管理设备
US20160065600A1 (en) Apparatus and method for automatically detecting malicious link
CN104967628B (zh) 一种保护web应用安全的诱骗方法
CN104954384B (zh) 一种保护Web应用安全的url拟态方法
US9692779B2 (en) Device for quantifying vulnerability of system and method therefor
Salem et al. Awareness program and ai based tool to reduce risk of phishing attacks
Shabut et al. Cyber attacks, countermeasures, and protection schemes—A state of the art survey
CN104901962B (zh) 一种网页攻击数据的检测方法及装置
CN108965210A (zh) 基于场景式攻防模拟的安全试验平台
CN109120592A (zh) 一种基于用户行为的Web异常检测系统
CN111786974A (zh) 一种网络安全评估方法、装置、计算机设备和存储介质
Mishra et al. A preventive anti-phishing technique using code word
Abusaimeh et al. Detecting the phishing website with the highest accuracy
CN106973051B (zh) 建立检测网络威胁模型的方法、装置和存储介质
CN105871775B (zh) 一种安全防护方法及dpma防护模型
Varre et al. A secured botnet prevention mechanism for HTTP flooding based DDoS attack
CN106330811A (zh) 域名可信度确定的方法及装置
CN108494791A (zh) 一种基于Netflow日志数据的DDOS攻击检测方法及装置
CN112272176A (zh) 一种基于大数据平台的网络安全防护方法及系统
CN114079576B (zh) 安全防御方法、装置、电子设备及介质
CN106993005A (zh) 一种网络服务器的预警方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 310051 15-storey Zhongcai Building, Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province

Patentee after: Hangzhou Annan information technology Limited by Share Ltd

Address before: 310051 15-storey Zhongcai Building, Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province

Patentee before: Dbappsecurity Co.,ltd.