CN105704120B - 一种基于自学习形式的安全访问网络的方法 - Google Patents

一种基于自学习形式的安全访问网络的方法 Download PDF

Info

Publication number
CN105704120B
CN105704120B CN201610001331.6A CN201610001331A CN105704120B CN 105704120 B CN105704120 B CN 105704120B CN 201610001331 A CN201610001331 A CN 201610001331A CN 105704120 B CN105704120 B CN 105704120B
Authority
CN
China
Prior art keywords
access
rule
client
self study
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610001331.6A
Other languages
English (en)
Other versions
CN105704120A (zh
Inventor
王秀贤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongyun Wangan Technology Co ltd
Original Assignee
Zhongyunwangan Technology (beijing) Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongyunwangan Technology (beijing) Co Ltd filed Critical Zhongyunwangan Technology (beijing) Co Ltd
Priority to CN201610001331.6A priority Critical patent/CN105704120B/zh
Publication of CN105704120A publication Critical patent/CN105704120A/zh
Application granted granted Critical
Publication of CN105704120B publication Critical patent/CN105704120B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Abstract

本发明公开了一种基于自学习形式的安全访问网络的方法,包括如下步骤:客户端向网络服务器发出访问请求;网络服务器根据预定访问规则判断客户端的访问请求是否合法,若合法,则响应客户端的请求,并将访问请求所对应的链接序列、表单、和Cookie信息添加进所述预定访问规则内;若非法,则网络服务器拒绝响应。本发明所述基于自学习形式的安全访问网络的方法中,摆脱了对威胁特征库的依赖,不需要等待威胁特征库更新,真正实现了对已知威胁和未知威胁的实时防御。并且,由于是对WEB应用站点本身进行学习,随着学习深度的提高,系统响应越来越快,完全超越威胁特征库持续增加导致系统效率越来越低的现有的WAF技术。

Description

一种基于自学习形式的安全访问网络的方法
技术领域
本发明涉及一种网络访问方法,尤其涉及一种基于自学习形式的安全访问网络的方法。
背景技术
WEB应用安全软件(Web Application Firewall)简称WAF,又称WEB防火墙或网站防火墙,用于保护提供WEB应用的系统免于遭受SQL注入、XSS跨站攻击等多种黑客的入侵,用于帮助WEB应用系统满足行业法规对信息系统安全的要求。
目前市场上的WAF产品都是使用基于威胁特征库的检测方法,对HTTP流量中的数据报文和已知威胁特征库中的记录进行比较,如果一致,就判定是有威胁的流量,并进而进行拦截;如果不一致,就认为是没有危险的流量,继续放行。
然而,实际的情况是每年都有很多以前没有被发现的攻击行为出现,这些攻击行为在被提取威胁特征更新到WAF设备的威胁特征库之前,都被已有的WAF设备认为是合法的流量,并转发到WEB应用系统而产生危害。
发明内容
本发明针对现有技术的弊端,提供一种基于自学习形式的安全访问网络的方法。
本发明所述基于自学习形式的安全访问网络的方法,包括如下步骤:
步骤一,客户端向网络服务器发出访问请求;
步骤二,网络服务器根据预定访问规则判断客户端的访问请求是否合法,若合法,则响应客户端的请求,并将访问请求所对应的链接序列、表单、和Cookie信息添加进所述预定访问规则内;若非法,则网络服务器拒绝响应。
本发明所述基于自学习形式的安全访问网络的方法的步骤二中,当网络服务器拒绝响应时,所述客户端接收到错误提示信息。
本发明所述基于自学习形式的安全访问网络的方法的步骤二中,所述预定访问规则包括基于RFC标准处理HTTP报文。
本发明所述基于自学习形式的安全访问网络的方法的步骤二中,所述预定访问规则还包括网页中包含的图片格式、和/或页面格式、和/或动态脚本、和/或表单的规范。
本发明所述基于自学习形式的安全访问网络的方法中,摆脱了对威胁特征库的依赖,不需要等待威胁特征库更新,真正实现了对已知威胁和未知威胁的实时防御。并且,由于是对WEB应用站点本身进行学习,随着学习深度的提高,系统响应越来越快,完全超越威胁特征库持续增加导致系统效率越来越低的现有的WAF技术。
附图说明
图1为本发明所述基于自学习形式的安全访问网络的方法的流程示意图。
具体实施方式
下面结合附图对本发明做进一步的详细说明,以令本领域技术人员参照说明书文字能够据以实施。
本发明所述的基于自学习形式的安全访问网络的方法,是通过在客户端设置相应的功能单元,采用与现有技术不同的方法,来解决当前市场上广泛使用的基于威胁特征库进行检测的WAF设备威胁漏报率高的问题。
如图1所示,本发明所述的基于自学习形式的安全访问网络的方法,包括如下步骤:
步骤101,客户端向网络服务器发出访问请求,。
本步骤中,所述客户端基于现有技术的访问方式向所述网络服务器发出访问请求。在所述访问请求中,既可能包含了符合规范的合法请求,也可能包含了非法请求,例如自动化的渗透测试工具作为客户端发出的一系列请求,或者黑客伪装成正常用户而发出的请求。
步骤102,网络服务器根据预定访问规则判断客户端的访问请求是否合法,若合法,则响应客户端的请求,并将访问请求所对应的链接序列、表单、和Cookie信息添加进所述预定访问规则内;若非法,则网络服务器拒绝响应。
本步骤中,所述的预定访问规则是判断来自客户端的访问请求是否合法的唯一标准,该预定访问规则是不断进化、完善的。
首先,所述预定访问规则应包括基于RFC标准处理HTTP报文。这是确保正常访问网络的前提条件。所述RFC标准包括了对HTTP协议语法的定义、对URL语法的定义、Cookie的工作原理、HTTP的POST方法操作以及POST的格式、对Form表单的限定、以及利用HTTP Cookie与SetCookie头字段来实现对HTTP Request状态的跟踪和管理,同时,RFC标准对HTTP的Request行长度、协议名称长度、头部值长度都有严格的要求,并具体规定了传输顺序和应用格式,比如HTML参数的要求、Cookie的版本和格式、文件上传的编码multipart/form-data encoding等。对于客户端发出的访问请求,首先会参照RFC标准来检查协议报文,检查会话路径是否合法,或者访问路径是不是运行的入口。只有满足RFC标准并且会话访问路径正确的访问的请求才能被访问,从而拒绝掉构造的恶意的扫描。对于非法的访问请求,所述网络服务器拒绝响应,所述客户端会接收到错误提示信息。
对于客户端发起的初次访问请求,只需满足RFC标准(即合法)即可,此时,网络服务器响应客户端的请求,并将访问请求所对应的链接序列、表单、和Cookie信息添加进所述预定访问规则内,以构成当前的访问规则。在后续访问中,除了要满足RFC标准之外,还需满足当前的访问规则(此时的访问规则也称为预定访问规则,只是该预定访问规则处于不断变化、不断更新过程中);若后续访问满足RFC标准和当前的访问规则,则网络服务器响应客户端的请求,并将当前的访问请求所对应的链接序列、表单、和Cookie信息信息添加进前述当前访问规则,同时,还可将网络服务器反馈的网页中包含的图片格式、和/或页面格式、和/或动态脚本、和/或表单的规范添加进当前访问规则,以构成最新的当前访问规则。以此类推,在客户端每次的合法访问过程中,都会对预定访问规则进行更新,以构成当前访问规则,该当前访问规则是客户端下一次访问请求所必须遵循的。
由于站点规模和类型不同,用户访问的页面内容也会各不相同,本方法对每个会话的每个请求都执行检查,防止黑客伪装正常用户在访问过程中发起攻击。并且,在页面访问过程中会将学习到的内容增加到访问规则之中,该增加只是进行增量叠加,以更新用户的访问规则;后续访问时会对新的会话进行匹配检查,符合已有站点安全访问规则的才能直接放行,否则就要逐步执行深入检查、继续学习的过程。以这样的方式提高访问服务效率,使得大量新用户的访问响应越来越快。
当有自动化的渗透测试工具作为客户端发起一系列请求,由于不符合正常用户会话的访问序列,会被基于当前预定访问规则而直接拦截掉。当黑客伪装成正常用户手工执行攻击,试图修改表单参数或者Cookie的参数,由于修改后的值不匹配,也会被拦截掉。
本发明所述基于自学习形式的安全访问网络的方法,其原理明确、结构清晰,相比基于威胁特征检测的WAF有明显的优点:
其一,摆脱了对威胁特征库的依赖,不需要等待威胁特征库更新,真正实现了对已知威胁和未知威胁的实时防御。
其二,由于是对WEB应用站点本身进行学习,随着学习深度的提高,系统响应越来越快,完全超越威胁特征库持续增加导致系统效率越来越低的现有的WAF技术。
其三,该方法结构精巧、配置简单,能够提供WEB管理界面,适用于虚拟化、云主机环境中WEB应用的安全防护。
尽管本发明的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本发明并不限于特定的细节和这里示出与描述的图例。

Claims (4)

1.一种基于自学习形式的安全访问网络的方法,其特征在于,包括如下步骤:
步骤一,客户端向网络服务器发出访问请求;
步骤二,网络服务器根据预定访问规则判断客户端的访问请求是否合法,若合法,则响应客户端的请求,并将访问请求所对应的链接序列、表单、和Cookie信息添加进所述预定访问规则内,在客户端每次的合法访问过程中,都会对预定访问规则进行更新,以构成当前访问规则,该当前访问规则是客户端下一次访问请求所必须遵循的;在页面访问过程中会将学习到的内容增加到访问规则之中,该增加只是进行增量叠加,以更新用户的访问规则;后续访问时会对新的会话进行匹配检查,符合已有站点安全访问规则的才能直接放行,否则就要逐步执行深入检查、继续学习的过程;若非法,则网络服务器拒绝响应。
2.如权利要求1所述的基于自学习形式的安全访问网络的方法,其特征在于,所述步骤二中,当网络服务器拒绝响应时,所述客户端接收到错误提示信息。
3.如权利要求1所述的基于自学习形式的安全访问网络的方法,其特征在于,所述步骤二中,所述预定访问规则包括基于RFC标准处理HTTP报文。
4.如权利要求3所述的基于自学习形式的安全访问网络的方法,其特征在于,所述步骤二中,所述预定访问规则还包括网页中包含的图片格式、和/或页面格式、和/或动态脚本、和/或表单的规范。
CN201610001331.6A 2016-01-05 2016-01-05 一种基于自学习形式的安全访问网络的方法 Active CN105704120B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610001331.6A CN105704120B (zh) 2016-01-05 2016-01-05 一种基于自学习形式的安全访问网络的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610001331.6A CN105704120B (zh) 2016-01-05 2016-01-05 一种基于自学习形式的安全访问网络的方法

Publications (2)

Publication Number Publication Date
CN105704120A CN105704120A (zh) 2016-06-22
CN105704120B true CN105704120B (zh) 2019-03-19

Family

ID=56226971

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610001331.6A Active CN105704120B (zh) 2016-01-05 2016-01-05 一种基于自学习形式的安全访问网络的方法

Country Status (1)

Country Link
CN (1) CN105704120B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106355094B (zh) * 2016-07-08 2019-02-22 北京卫达信息技术有限公司 一种基于语法变换的sql注入攻击防御系统及防御方法
CN108092944A (zh) * 2016-11-23 2018-05-29 蓝盾信息安全技术有限公司 一种基于自学习防waf误报的技术
CN106850751B (zh) * 2016-12-26 2019-06-21 武汉斗鱼网络科技有限公司 数据上传方法及装置
CN107276986B (zh) * 2017-05-17 2020-12-18 中云网安科技(北京)有限公司 一种通过机器学习保护网站的方法、装置和系统
CN109684299A (zh) * 2018-11-20 2019-04-26 远江盛邦(北京)网络安全科技股份有限公司 基于自学习建模的web防护方法
CN110012010B (zh) * 2019-04-03 2021-09-17 杭州汉领信息科技有限公司 一种基于目标站点自学习建模的waf防御方法
CN112491902B (zh) * 2020-12-01 2023-05-30 北京中软华泰信息技术有限责任公司 一种基于URL的web应用权限访问控制系统及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624703A (zh) * 2011-12-31 2012-08-01 成都市华为赛门铁克科技有限公司 统一资源定位符url的过滤方法及装置
CN103198091A (zh) * 2012-12-04 2013-07-10 网易(杭州)网络有限公司 一种基于用户行为的在线数据请求的处理方法和设备
CN104079528A (zh) * 2013-03-26 2014-10-01 北大方正集团有限公司 一种Web应用的安全防护方法及系统
CN104994091A (zh) * 2015-06-30 2015-10-21 东软集团股份有限公司 异常流量的检测方法及装置、防御Web攻击的方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9100291B2 (en) * 2012-01-31 2015-08-04 Db Networks, Inc. Systems and methods for extracting structured application data from a communications link

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624703A (zh) * 2011-12-31 2012-08-01 成都市华为赛门铁克科技有限公司 统一资源定位符url的过滤方法及装置
CN103198091A (zh) * 2012-12-04 2013-07-10 网易(杭州)网络有限公司 一种基于用户行为的在线数据请求的处理方法和设备
CN104079528A (zh) * 2013-03-26 2014-10-01 北大方正集团有限公司 一种Web应用的安全防护方法及系统
CN104994091A (zh) * 2015-06-30 2015-10-21 东软集团股份有限公司 异常流量的检测方法及装置、防御Web攻击的方法和装置

Also Published As

Publication number Publication date
CN105704120A (zh) 2016-06-22

Similar Documents

Publication Publication Date Title
CN105704120B (zh) 一种基于自学习形式的安全访问网络的方法
US11057427B2 (en) Method for identifying phishing websites and hindering associated activity
US11709945B2 (en) System and method for identifying network security threats and assessing network security
Sinanović et al. Analysis of Mirai malicious software
US9762543B2 (en) Using DNS communications to filter domain names
EP3219068B1 (en) Method of identifying and counteracting internet attacks
CA2946695C (en) Fraud detection network system and fraud detection method
US7752662B2 (en) Method and apparatus for high-speed detection and blocking of zero day worm attacks
US8090852B2 (en) Managing use of proxies to access restricted network locations
CN105512559B (zh) 一种用于提供访问页面的方法与设备
Zaman et al. Malware detection in Android by network traffic analysis
US8170352B2 (en) String searching facility
CN105939326A (zh) 处理报文的方法及装置
CN104967628B (zh) 一种保护web应用安全的诱骗方法
CN105939311A (zh) 一种网络攻击行为的确定方法和装置
CN104954384B (zh) 一种保护Web应用安全的url拟态方法
CN112685734A (zh) 安全防护方法、装置、计算机设备和存储介质
Yamada et al. RAT-based malicious activities detection on enterprise internal networks
US20160050228A1 (en) Enabling custom countermeasures from a security device
CN108040036A (zh) 一种行业云Webshell安全防护方法
KR101372906B1 (ko) 악성코드를 차단하기 위한 방법 및 시스템
CN112231679B (zh) 一种终端设备验证方法、装置及存储介质
JP5743822B2 (ja) 情報漏洩防止装置及び制限情報生成装置
CN106101075A (zh) 一种实现安全访问的方法与设备
Arzhakov et al. Development and implementation a method of detecting an attacker with use of HTTP network protocol

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address

Address after: 101100 no.9-2074, Liangli Third Street, East District, economic development zone, Tongzhou District, Beijing

Patentee after: Zhongyun Wangan Technology Co.,Ltd.

Address before: 100000 room 1639, building 1, No. 17 zanjingguan Hutong, Dongcheng District, Beijing

Patentee before: ZHONGYUNWANGAN TECHNOLOGY (BEIJING) CO.,LTD.

CP03 Change of name, title or address