CN105337932A - 一种web应用防护方法及装置 - Google Patents
一种web应用防护方法及装置 Download PDFInfo
- Publication number
- CN105337932A CN105337932A CN201410308572.6A CN201410308572A CN105337932A CN 105337932 A CN105337932 A CN 105337932A CN 201410308572 A CN201410308572 A CN 201410308572A CN 105337932 A CN105337932 A CN 105337932A
- Authority
- CN
- China
- Prior art keywords
- field
- message
- http protocol
- protocol message
- suspicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种WEB应用防护方法和装置,应用于报文转发设备上。其中,所述方法包括:从报文转发设备所接收到的报文中筛选出HTTP协议报文;利用多模匹配算法对筛选出的HTTP协议报文进行切分,获取至少一个特征字段;分析所述特征字段,确认所述HTTP协议报文是否为可疑报文;对确认为可疑报文的HTTP协议报文采取防护处理,对确认不是可疑报文的HTTP协议报文进行转发。本发明能够有效提高可疑报文的识别率,及时对WEB应用进行防护。
Description
技术领域
本发明涉及WEB应用技术领域,尤其涉及一种WEB应用防护方法及装置。
背景技术
随着互联网技术的迅猛发展,许多用户的关键业务基于WEB应用来实现,而WEB应用的核心是HTTP协议。由于HTTP协议报文可能包含一些具有敏感字以及关键字信息的字段,这些字段容易对WEB应用安全产生影响,也可能提供给非授权用户攻击思路,进而威胁到整个网络的安全。因此为了保证网络的安全,需要对WEB应用进行防护。
而目前WEB应用防护领域通常采用单模匹配的方式,对整个HTTP协议报文进行特征信息的识别检测。但该方式检查范围广,不具有针对性,误报率和漏报率都很高,所以不能准确的识别出HTTP协议报文中的特征信息,进而不能及时对WEB应用采取防护处理。
发明内容
有鉴于此,本发明提供一种WEB应用防护方法,应用于报文转发设备上,所述方法包括:
从报文转发设备所接收到的报文中筛选出HTTP协议报文;
利用多模匹配算法对筛选出的HTTP协议报文进行切分,获取至少一个特征字段;
分析所述特征字段,确认所述HTTP协议报文是否为可疑报文;
对确认为可疑报文的HTTP协议报文采取防护处理,对确认不是可疑报文的HTTP协议报文进行转发。
本发明还提供一种WEB应用防护装置,应用于报文转发设备上,所述装置包括:
筛选单元,用于从报文转发设备所接收到的报文中筛选出HTTP协议报文;
切分单元,用于利用多模匹配算法对筛选出的HTTP协议报文进行切分,获取至少一个特征字段;
分析单元,用于分析所述特征字段,确认所述HTTP协议报文是否为可疑报文;
处理单元,用于对确认为可疑报文的HTTP协议报文采取防护处理,对确认不是可疑报文的HTTP协议报文进行转发。
本发明能够有效提高HTTP协议报文中可疑报文的识别率,及时对WEB应用进行防护。
附图说明
图1是本发明提供的一种WEB应用防护装置运行的硬件环境示意图。
图2是本发明提供的一种WEB应用防护方法处理流程图。
图3是本发明提供的一种获取特征字段的方法处理流程图。
图4是本发明提供的另一种获取特征字段的方法处理流程图。
具体实施方式
本发明提供一种WEB应用防护的技术方案,该技术方案应用于报文转发设备上。首先从报文转发设备所接收到的报文中筛选出HTTP协议报文,然后利用多模匹配算法对筛选出的HTTP协议报文进行切分,获取至少一个特征字段,接着分析所述特征字段,确认所述HTTP协议报文是否为可疑报文,最后对确认为可疑报文的HTTP协议报文采取防护处理,对确认不是可疑报文的HTTP协议报文进行转发。由上述内容可知,本发明是将HTTP协议报文进行切分,然后再进行特征的识别判定,相对于现有技术对整个HTTP协议报文进行特征识别的方法,本发明的判断更加有效,对WEB应用提供的防护也更加精准。
本发明提供一种WEB应用防护装置,该装置运行的硬件环境如图1所示。本发明提供的装置包括筛选单元、切分单元、分析单元以及处理单元,如图2所示,上述单元相互配合执行如下处理流程。
步骤101,筛选单元从报文转发设备所接收到的报文中筛选出HTTP协议报文。
由于报文转发设备通常会接收到各种各样的数据报文和协议报文,而HTTP协议报文只是其中的一种,所以在进行以下步骤之前,要先将HTTP协议报文筛选出来。而所有报文的头部通常都会有标明该报文类型的标识,所述筛选单元可以通过报文头部的标识来筛选出HTTP协议报文。
步骤102,切分单元利用多模匹配算法对筛选出的HTTP协议报文进行切分,获取至少一个特征字段。
一般情况下,HTTP协议报文包括HTTP请求报文和HTTP响应报文。其中,HTTP请求报文包括请求行、消息报头、请求正文;HTTP响应报文包括状态行、消息报头、响应正文。因此,一个HTTP协议报文可以切分为三个大的字段。但为了使本发明提供的技术方案达到更好的效果,还可以进一步的进行切分。例如,可以切分出能识别的网络链接、版本号、请求方法、报文产生的时间、指定客户端接受哪些类型的信息、指定被请求资源的Internet主机和端口号、浏览器类型、操作系统、浏览器内核等信息的字段,切分的越细致,达到的效果也就越好。
为了能够合理细致的对所述HTTP协议报文进行切分,切分单元通常采用多模匹配算法对HTTP协议报文进行切分,并获取特征字段。具体方式包括以下两种。
请参考图3,第一种方式中,切分单元可以执行以下步骤。
步骤201,利用多模匹配算法将筛选出的HTTP协议报文切分成若干个字段,并记录所述字段的开始位置和结束位置。
所述多模匹配算法包括AC算法、Wu-Manber算法和ExB算法。在优选的实施方式中,本发明采用AC算法,即Aho-Corasick自动机算法(简称AC自动机)。该算法具有两大优点,一是计算时间复杂度与关键字的数目长度无关,二是读取信息时不需要回溯,因此,以AC算法为最佳选择,当然其他的多模匹配算法也能达到预定效果。
由于本发明提供的技术方案,是将报文先进行切分,然后再对切分出来的各个字段进行详细解析。而现有技术则是采用单模匹配的方法,对整个HTTP协议报文内容进行解析,因此现有技术识别特征信息的准确性较低。所以,本发明提供的技术方案提高了识别特征信息的准确性,进而增强了为WEB应用提供防护的准确性。
为了方便下一步的处理,切分单元在切分HTTP协议报文时,会进一步的将切分出的字段的开始位置和结束位置,这样可以根据开始位置和结束位置找到所述HTTP协议报文中的任一字段。
步骤202,根据所述开始位置和结束位置,获取所述字段。
根据步骤201记录的开始位置和结束位置,逐一获取切分出的字段进行分析。但是也不仅仅局限与逐一获取这种方式,可以根据本发明装置的性能设置获取字段的数量。也就是说,所述装置的性能越好,可设置的单次获取字段的数量越大。
步骤203,当所述字段与预设的选取策略匹配时,确定所述字段为特征字段,并记录所述特征字段的开始位置和结束位置。
这里所述的选取策略可以是选取包含可识别的网络链接的字段,选取包含有IP地址的字段,选取包含有报文产生时间的字段等等。在优选的实施方式中,所设定的选取策略往往包含上述选取策略的一种或多种,具体的设置选取策略的方式可以根据实际情况而定。
这里需要说明的是,该方式通常先记录特征字段的开始位置和结束位置,再根据开始位置和结束位置获取所述特征字段,以便后期对所述特征字段进行分析处理。由于在一般情况下,报文转发设备会将要处理的信息先暂存在缓存里,处理结束后,将存放在缓存里的信息释放,使得缓存里的空间可以再被利用,由于缓存的空间十分有限,大量占用缓存会影响所述报文转发设备的处理速度。所以本方式先记录字段的开始位置和结束位置,也就是先只将字段的开始位置和结束位置存放在缓存中,这样占用的缓存空间就比较小,有利于提高所述报文转发设备的工作效率。
请参考图4,在第二种方式中,切分单元可以执行以下步骤。
步骤301,利用多模匹配算法对筛选出的HTTP协议进行切分;
步骤302,对于切分出的每一个字段,当所述字段与预设的选取策略相匹配时,确定所述字段为特征字段,记录下所述特征字段。
这种获取特征字段的方式不需要记录所述字段的开始位置和结束位置,当把各字段切分出来后,直接将各字段与预设的选取策略进行对比,再根据对比结果获取特征字段,这种方式较上一种则更为直接快速。
步骤103,分析单元分析所述特征字段,确认所述HTTP协议报文是否为可疑报文。
通过上述两种方式获取了特征字段(即通过获取步骤203中所述特征字段的开始位置和结束位置,间接获取特征字段,以及通过步骤302直接获取特征字段),则分析单元可以对所述特征字段进行分析,进而确定所述HTTP协议报文是否为可疑报文。具体的说,将所述特征字段与所记录的信息进行对比,根据对比结果确定所述HTTP协议报文是否为可疑报文。举例说明,分析单元根据所述字段的开始位置和结束位置,获取所述特征字段,该特征字段包含有一个可识别的网络链接,将这个网络链接与一张记录有可疑网站(例如钓鱼网站)信息的列表进行对比,如果发现所述网络链接与所述列表中的某一可疑网站信息相匹配,则可以确定所述HTTP协议报文为可疑报文。
上述记录有可疑网站信息的列表保存在所述报文转发设备中,列表中的可疑网站信息可以是由公安机关公布的非法网站信息,也可是由众多网友举报投诉筛选出来的可疑网站信息,又或者是通过其他渠道和方式确定的可疑网站信息。
步骤104,处理单元对确认为可疑报文的HTTP协议报文采取防护处理,对确认不是可疑报文的HTTP协议报文进行转发。
在经过步骤103的分析确认之后,处理单元会针对分析结果对HTTP协议报文进行处理。具体的说,如果确认所述HTTP协议报文为可疑报文,则采取防护处理;如果确认所述HTTP协议报文不是可疑报文,则将其进行转发。
上文所说的防护处理,通常是指处理单元在确认可疑报文之后,为了保护WEB应用而采取的防护措施。例如,分析单元在分析出所述HTTP协议报文的特征字段包含有某钓鱼网站的网络链接,那么处理单元会将该报文丢弃,不再转发,或者向用户显示该网络链接存在安全隐患的提示信息,由用户自行决定是否打开所述网络链接。
综上所述,本发明采用多模匹配算法对HTTP协议报文进行细致切分,再对切分出的字段进行深度解析,而且确定所述HTTP协议报文是否为可疑报文。由于现有技术采用单模匹配算法,不对所述HTTP协议报文进行切分,而是直接对整个HTTP协议报文进行泛泛的分析,确定该报文是否为可疑报文,这种整体分析方式的准确性相对较低。另外,单模匹配算法对所分析的报文长度有一定要求,当报文信息量过大,超出规定的长度范围,就无法进行分析,而且报文的长度越长,分析结果的准确性就越低。但本发明所采用的多模匹配算法的时间复杂度与报文长度无关,也就是说,报文的长度不会影响其分析结果的准确性。因此,本发明提供的技术方案,能够更高效的对HTTP协议报文进行切分、分析,从而准确的确定所述HTTP协议报文是否为可疑报文,进而为WEB应用提供更加精准及高效的防护手段。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种WEB应用防护方法,应用于报文转发设备上,其特征在于,所述方法包括:
从报文转发设备所接收到的报文中筛选出HTTP协议报文;
利用多模匹配算法对筛选出的HTTP协议报文进行切分,获取至少一个特征字段;
分析所述特征字段,确认所述HTTP协议报文是否为可疑报文;
对确认为可疑报文的HTTP协议报文采取防护处理,对确认不是可疑报文的HTTP协议报文进行转发。
2.根据权利要求1所述方法,其特征在于,所述利用多模匹配算法对筛选出的HTTP协议报文进行切分,获取至少一个特征字段具体为:
利用多模匹配算法将筛选出的HTTP协议报文切分成若干个字段,并记录所述字段的开始位置和结束位置;
根据所述开始位置和结束位置,获取所述字段;
当所述字段与预设的选取策略匹配时,确定所述字段为特征字段,并记录所述特征字段的开始位置和结束位置。
3.根据权利要求1所述方法,其特征在于,所述利用多模匹配算法对筛选出的HTTP协议报文进行切分,获取至少一个特征字段具体为:
利用多模匹配算法对筛选出的HTTP协议进行切分;
对于切分出的每一个字段,当所述字段与预设的选取策略相匹配时,确定所述字段为特征字段,记录所述特征字段。
4.根据权利要求2或3所述方法,其特征在于,所述选取策略包括至少一个下述策略:选取包含可识别的网络链接的字段,选取包含有IP地址的字段,选取包含有报文产生时间的字段。
5.根据权利要求1所述方法,其特征在于,所述分析所述特征字段,确认所述HTTP协议报文是否为可疑报文具体为:将所述特征字段与所记录的信息进行对比,根据对比结果确定所述HTTP协议报文是否为可疑报文。
6.一种WEB应用防护装置,应用于报文转发设备上,其特征在于,所述装置包括:
筛选单元,用于从报文转发设备所接收到的报文中筛选出HTTP协议报文;
切分单元,用于利用多模匹配算法对筛选出的HTTP协议报文进行切分,获取至少一个特征字段;
分析单元,用于分析所述特征字段,确认所述HTTP协议报文是否为可疑报文;
处理单元,用于对确认为可疑报文的HTTP协议报文采取防护处理,对确认不是可疑报文的HTTP协议报文进行转发。
7.根据权利要求6所述装置,其特征在于,所述切分单元具体用于:
利用多模匹配算法将筛选出的HTTP协议报文切分成若干个字段,并记录所述字段的开始位置和结束位置;
根据所述开始位置和结束位置,获取所述字段;
当所述字段与预设的选取策略匹配时,确定所述字段为特征字段,并记录所述特征字段的开始位置和结束位置。
8.根据权利要求6所述装置,其特征在于,所述切分单元具体用于:
利用多模匹配算法对筛选出的HTTP协议进行切分;
对于切分出的每一个字段,当所述字段与预设的选取策略相匹配时,确定所述字段为特征字段,记录下所述特征字段。
9.根据权利要求7或8所述装置,其特征在于,所述选取策略包括至少一个下述策略:选取包含可识别的网络链接的字段,选取包含有IP地址的字段,选取包含有报文产生时间的字段。
10.根据权利要求6所述装置,其特征在于,所述分析单元具体用于:将所述特征字段与所记录的信息进行对比,根据对比结果确定所述HTTP协议报文是否为可疑报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410308572.6A CN105337932A (zh) | 2014-06-30 | 2014-06-30 | 一种web应用防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410308572.6A CN105337932A (zh) | 2014-06-30 | 2014-06-30 | 一种web应用防护方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105337932A true CN105337932A (zh) | 2016-02-17 |
Family
ID=55288221
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410308572.6A Pending CN105337932A (zh) | 2014-06-30 | 2014-06-30 | 一种web应用防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105337932A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107517237A (zh) * | 2016-06-17 | 2017-12-26 | 中国移动通信集团广东有限公司 | 一种视频识别方法和装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009660A (zh) * | 2007-01-19 | 2007-08-01 | 杭州华为三康技术有限公司 | 处理分段报文模式匹配的通用方法及装置 |
| CN101154228A (zh) * | 2006-09-27 | 2008-04-02 | 西门子公司 | 一种分段模式匹配方法及其装置 |
| CN101453424A (zh) * | 2009-01-06 | 2009-06-10 | 中国人民解放军信息工程大学 | 一种网络信息资源访问控制方法和系统 |
| CN101909079A (zh) * | 2010-07-15 | 2010-12-08 | 北京迈朗世讯科技有限公司 | 一种骨干网链路中用户上网行为数据采集方法和系统 |
| CN102395985A (zh) * | 2009-04-17 | 2012-03-28 | 阿尔卡特朗讯公司 | 可变步长流分割和多模式匹配 |
| CN102413141A (zh) * | 2011-11-30 | 2012-04-11 | 华为技术有限公司 | 网络消息解析方法及通信设备 |
| CN102799600A (zh) * | 2012-04-10 | 2012-11-28 | 成都网安科技发展有限公司 | 一种基于编码关联的多模式匹配算法及系统 |
| CN103885834A (zh) * | 2013-09-22 | 2014-06-25 | 天津思博科科技发展有限公司 | 一种分布式环境下的模式匹配处理器 |
-
2014
- 2014-06-30 CN CN201410308572.6A patent/CN105337932A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101154228A (zh) * | 2006-09-27 | 2008-04-02 | 西门子公司 | 一种分段模式匹配方法及其装置 |
| CN101009660A (zh) * | 2007-01-19 | 2007-08-01 | 杭州华为三康技术有限公司 | 处理分段报文模式匹配的通用方法及装置 |
| CN101453424A (zh) * | 2009-01-06 | 2009-06-10 | 中国人民解放军信息工程大学 | 一种网络信息资源访问控制方法和系统 |
| CN102395985A (zh) * | 2009-04-17 | 2012-03-28 | 阿尔卡特朗讯公司 | 可变步长流分割和多模式匹配 |
| CN101909079A (zh) * | 2010-07-15 | 2010-12-08 | 北京迈朗世讯科技有限公司 | 一种骨干网链路中用户上网行为数据采集方法和系统 |
| CN102413141A (zh) * | 2011-11-30 | 2012-04-11 | 华为技术有限公司 | 网络消息解析方法及通信设备 |
| CN102799600A (zh) * | 2012-04-10 | 2012-11-28 | 成都网安科技发展有限公司 | 一种基于编码关联的多模式匹配算法及系统 |
| CN103885834A (zh) * | 2013-09-22 | 2014-06-25 | 天津思博科科技发展有限公司 | 一种分布式环境下的模式匹配处理器 |
Non-Patent Citations (1)
| Title |
|---|
| 刘许刚: "一种基于分段匹配的字符串匹配算法", 《计算机应用与软件》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107517237A (zh) * | 2016-06-17 | 2017-12-26 | 中国移动通信集团广东有限公司 | 一种视频识别方法和装置 |
| CN107517237B (zh) * | 2016-06-17 | 2021-05-07 | 中国移动通信集团广东有限公司 | 一种视频识别方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Javed et al. | A comprehensive survey on computer forensics: State-of-the-art, tools, techniques, challenges, and future directions | |
| Sathwara et al. | IoT Forensic A digital investigation framework for IoT systems | |
| US8181248B2 (en) | System and method of detecting anomaly malicious code by using process behavior prediction technique | |
| CN106453438B (zh) | 一种网络攻击的识别方法及装置 | |
| WO2015120752A1 (zh) | 网络威胁处理方法及设备 | |
| US20150047034A1 (en) | Composite analysis of executable content across enterprise network | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| US20200106790A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic | |
| CN107612924A (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN108573146A (zh) | 一种恶意url检测方法及装置 | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN108023868B (zh) | 恶意资源地址检测方法和装置 | |
| JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
| US9992216B2 (en) | Identifying malicious executables by analyzing proxy logs | |
| Lovanshi et al. | Comparative study of digital forensic tools | |
| CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| CN105262730B (zh) | 基于企业域名安全的监控方法及装置 | |
| CN110099044A (zh) | 云主机安全检测系统及方法 | |
| CN102546641A (zh) | 一种在应用安全系统中进行精确风险检测的方法及系统 | |
| CN107800686A (zh) | 一种钓鱼网站识别方法和装置 | |
| JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
| US20210051176A1 (en) | Systems and methods for protection from phishing attacks | |
| CN113472772A (zh) | 网络攻击的检测方法、装置、电子设备及存储介质 | |
| US8910281B1 (en) | Identifying malware sources using phishing kit templates |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160217 |