CN106341406A - 基于http响实体正文html dom树变化的准确攻击识别方法 - Google Patents

基于http响实体正文html dom树变化的准确攻击识别方法 Download PDF

Info

Publication number
CN106341406A
CN106341406A CN201610831667.5A CN201610831667A CN106341406A CN 106341406 A CN106341406 A CN 106341406A CN 201610831667 A CN201610831667 A CN 201610831667A CN 106341406 A CN106341406 A CN 106341406A
Authority
CN
China
Prior art keywords
attack
entity text
http
html dom
dom tree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610831667.5A
Other languages
English (en)
Other versions
CN106341406B (zh
Inventor
郭宝军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Zhidaochuangyu Information Technology Co Ltd
Original Assignee
Chengdu Zhidaochuangyu Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Zhidaochuangyu Information Technology Co Ltd filed Critical Chengdu Zhidaochuangyu Information Technology Co Ltd
Priority to CN201610831667.5A priority Critical patent/CN106341406B/zh
Publication of CN106341406A publication Critical patent/CN106341406A/zh
Application granted granted Critical
Publication of CN106341406B publication Critical patent/CN106341406B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于HTTP响实体正文HTML DOM树变化的准确攻击识别方法,包括以下步骤:接收客户端HTTP请求并进行预判,若预判结果为疑似攻击,则将该请求拦截,将客户端请求数据替换为普通内容后发送给服务器;记录服务器发送的HTTP响应实体正文并绘制HTML DOM树;将客户端原始请求数据发送给服务器,记录服务器发送的HTTP响应实体正文并绘制HTML DOM树;对比两次HTTP响应实体正文HTML DOM树是否发生变化;若发生变化,判断本次客户端请求为攻击,若对比结果未发生变化,判断本次客户端请求为非攻击。本发明对疑似攻击行为准确识别,识别出其为攻击还是非攻击;准确判定攻击是否生效,误报率低。

Description

基于HTTP响实体正文HTML DOM树变化的准确攻击识别方法
技术领域
本发明涉及Web攻击识别领域,具体涉及一种基于HTTP响实体正文HTML DOM树变化的准确攻击识别方法。
背景技术
目前Web攻击识别技术几乎都是根据HTTP请求进行检测的。检测方法是,客户端请求到达服务器前对客户端请求数据进行攻击特征匹配例如客户端请求为http://www.example.com/?id=1and 1=1,如果and 1=1匹配了攻击特征,就识别为攻击,如果没有匹配攻击特征就识别为非攻击。此检测方法有几项缺点:首先,攻击识别是在客户端请求到达服务器前,导致攻击是否生效不能判别;其次,不同服务器对请求数据的处理方式不同产生很高的误报率;最后,识别方法是依据攻击特征的,当有新的攻击手法时,需要及时的进行特征分析和补充。
相关术语解释
HTTP:超文本传输协议(Hyper Text Transfer Protocol),是互联网上应用最为广泛的一种网络协议。
HTTP响应实体正文:HTTP服务器发送给请求客户端的,HTTP响应头后的内容。
HTML DOM树:依据页面中HTML标签关系描绘的HTML标签树。
发明内容
本发明所要解决的技术问题是提供一种基于HTTP响实体正文HTML DOM树变化的准确攻击识别方法,解决现有Web攻击识别技术中不能判定攻击是否生效、高误报率、新的攻击方法出现后要进行攻击特征分析和补充等问题。
为解决上述技术问题,本发明采用的技术方案是:
一种基于HTTP响实体正文HTML DOM树变化的准确攻击识别方法,包括以下步骤:
步骤1:接收客户端HTTP请求并进行预判,若预判结果为疑似攻击,则将该请求拦截,将客户端请求数据替换为普通内容后发送给服务器;
步骤2:记录服务器发送的HTTP响应实体正文并绘制HTML DOM树;
步骤3:将客户端原始请求数据发送给服务器,记录服务器发送的HTTP响应实体正文并绘制HTML DOM树;
步骤4:对比两次HTTP响应实体正文HTML DOM树是否发生变化;若发生变化,判断本次客户端请求为攻击,若对比结果未发生变化,判断本次客户端请求为非攻击。
根据上述方案,若步骤1的预判结果为非攻击,则断定本次客户端请求为非攻击。
与现有技术相比,本发明的有益效果是:对疑似攻击行为准确识别,识别出其为攻击还是非攻击;准确判定攻击是否生效,误报率低;此外,在新的攻击方法出现后,不需要进行攻击特征分析和补充。
附图说明
图1是服务器响应实体正文HTML DOM树示意图。
图2是本发明基于HTTP响实体正文HTML DOM树变化的准确攻击识别方法流程图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步的说明。本发明提供的一种基于HTTP响应实体正文HTML DOM树变化的准确Web攻击识别方法,包括客户端请求初步判断、客户端请求拦截、客户端提交数据替换、客户端请求数据发送、HTTP响应实体正文HTML DOM树对比、依据HTTP响应实体正文HTML DOM树对比结果来判断客户端请求是否为攻击等内容,详述如下。
S101、收到客户端HTTP请求进行预判;
S102、如果步骤S101预判结果为疑似攻击;
S103、首先将该请求拦截,将客户端请求数据(通过参数提交的内容)替换为普通内容后发送给服务器;
S104、记录服务器发送的HTTP响应实体正文并绘制HTML DOM树;
S105、将客户端请求数据(没有替换请求数据,客户端原始请求)发送给服务器;
S106、记录服务器发送的HTTP响应实体正文并绘制HTML DOM树;
S107、对比步骤S104与S106结果,看两次Http响应实体正文HTML DOM数是否发生变化;
S108、若发生变化(这里可以设定为一个变化阈值),判断本次客户端请求为攻击;
S109、若步骤107对结果未发生变化,判断本次客户端请求为非攻击;
如果步骤S102判断为非攻击,本次客户端请求为非攻击。
例如客户端请求
http://example.com/viewSource.action?method:%23_memberAccess%3d@ ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23context[%23parameters.obj[0]] .getWriter().print(%23para meters.content[0]%2b201%2b20702),1?%23xx:% 23request.toString&obj=com.opensymphony.xwo rk2.dispatcher.HttpServletResponse&content=14998
先将请求替换为http://example.com/viewSource.action?view,发送到服务器,服务器响应实体正文HTML DOM树如图1所示。
再发送客户端请求
http://example.com/viewSource.action?method:%23_memberAccess%3d@ ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23context[%23parameters.obj[0]] .getWriter().print(%23para meters.content[0]%2b201%2b20702),1?%23xx:% 23request.toString&obj=com.opensymphony.xwo rk2.dispatcher.HttpServletResponse&content=14998,发送到服务器,服务器响应实体正文HTML DOM树为空(没有HMTL标签),发现两次请求服务器发送的响应实体正文HTML DOM树发生了变化,判断该请求为攻击。

Claims (2)

1.一种基于HTTP响实体正文HTML DOM树变化的准确攻击识别方法,其特征在于,包括以下步骤:
步骤1:接收客户端HTTP请求并进行预判,若预判结果为疑似攻击,则将该请求拦截,将客户端请求数据替换为普通内容后发送给服务器;
步骤2:记录服务器发送的HTTP响应实体正文并绘制HTML DOM树;
步骤3:将客户端原始请求数据发送给服务器,记录服务器发送的HTTP响应实体正文并绘制HTML DOM树;
步骤4:对比两次HTTP响应实体正文HTML DOM树是否发生变化;若发生变化,判断本次客户端请求为攻击,若对比结果未发生变化,判断本次客户端请求为非攻击。
2.如权利要求1所述的基于HTTP响实体正文HTML DOM树变化的准确攻击识别方法,其特征在于,若步骤1的预判结果为非攻击,则断定本次客户端请求为非攻击。
CN201610831667.5A 2016-09-19 2016-09-19 基于http响实体正文html dom树变化的准确攻击识别方法 Active CN106341406B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610831667.5A CN106341406B (zh) 2016-09-19 2016-09-19 基于http响实体正文html dom树变化的准确攻击识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610831667.5A CN106341406B (zh) 2016-09-19 2016-09-19 基于http响实体正文html dom树变化的准确攻击识别方法

Publications (2)

Publication Number Publication Date
CN106341406A true CN106341406A (zh) 2017-01-18
CN106341406B CN106341406B (zh) 2019-07-16

Family

ID=57838946

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610831667.5A Active CN106341406B (zh) 2016-09-19 2016-09-19 基于http响实体正文html dom树变化的准确攻击识别方法

Country Status (1)

Country Link
CN (1) CN106341406B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107749835A (zh) * 2017-09-11 2018-03-02 哈尔滨工程大学 一种基于预测的点击劫持攻击的渗透测试方法
CN107864048A (zh) * 2017-10-16 2018-03-30 北京易讯通信息技术股份有限公司 一种基于dom对象高效绘制网络拓扑图的方法
CN115296932A (zh) * 2022-09-30 2022-11-04 北京知其安科技有限公司 检测waf拦截有效性的方法、装置以及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101888312A (zh) * 2009-05-15 2010-11-17 北京启明星辰信息技术股份有限公司 一种web网页攻击检测和响应方法及装置
CN102541674A (zh) * 2011-12-26 2012-07-04 运软网络科技(上海)有限公司 自主元素模型控制系统、方法及服务器受侵保护检测系统
CN104766014A (zh) * 2015-04-30 2015-07-08 安一恒通(北京)科技有限公司 用于检测恶意网址的方法和系统
EP3021550A1 (en) * 2014-11-13 2016-05-18 Nicolo Pastore System and method for identifying internet attacks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101888312A (zh) * 2009-05-15 2010-11-17 北京启明星辰信息技术股份有限公司 一种web网页攻击检测和响应方法及装置
CN102541674A (zh) * 2011-12-26 2012-07-04 运软网络科技(上海)有限公司 自主元素模型控制系统、方法及服务器受侵保护检测系统
EP3021550A1 (en) * 2014-11-13 2016-05-18 Nicolo Pastore System and method for identifying internet attacks
CN104766014A (zh) * 2015-04-30 2015-07-08 安一恒通(北京)科技有限公司 用于检测恶意网址的方法和系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107749835A (zh) * 2017-09-11 2018-03-02 哈尔滨工程大学 一种基于预测的点击劫持攻击的渗透测试方法
CN107749835B (zh) * 2017-09-11 2020-11-20 哈尔滨工程大学 一种基于预测的点击劫持攻击的渗透测试方法
CN107864048A (zh) * 2017-10-16 2018-03-30 北京易讯通信息技术股份有限公司 一种基于dom对象高效绘制网络拓扑图的方法
CN115296932A (zh) * 2022-09-30 2022-11-04 北京知其安科技有限公司 检测waf拦截有效性的方法、装置以及存储介质
CN115296932B (zh) * 2022-09-30 2023-01-06 北京知其安科技有限公司 检测waf拦截有效性的方法、装置以及存储介质

Also Published As

Publication number Publication date
CN106341406B (zh) 2019-07-16

Similar Documents

Publication Publication Date Title
CN105930727B (zh) 基于Web的爬虫识别方法
CN107204960B (zh) 网页识别方法及装置、服务器
US10079770B2 (en) Junk information filtering method and apparatus
CN106161478B (zh) 基于http响应头变化的准确攻击识别方法
CN112929390B (zh) 一种基于多策略融合的网络智能监控方法
CN102957664B (zh) 一种识别钓鱼网站的方法及装置
RU2015142105A (ru) Классификация документов с использованием многоуровневых сигнатур текста
CN110611635B (zh) 一种基于多维度失陷账号的检测方法
CN104462509A (zh) 垃圾评论检测方法及装置
CN106341406A (zh) 基于http响实体正文html dom树变化的准确攻击识别方法
CN108063833A (zh) Http dns解析报文处理方法及装置
CN111641658A (zh) 一种请求拦截方法、装置、设备及可读存储介质
US8806001B2 (en) Method, device and gateway server for detecting proxy at the gateway
US20210409445A1 (en) Machine learning-based sensitive resource collection agent detection
CN111753171A (zh) 一种恶意网站的识别方法和装置
US20240146753A1 (en) Automated identification of false positives in dns tunneling detectors
CN106921670A (zh) 一种代理检测的方法及装置
WO2019013998A1 (en) METHOD AND SYSTEM FOR DEEP LEARNING WITH AUTOMATIC POWER SUPPLY
CN101582897A (zh) 一种深度报文检测方法和装置
KR101259910B1 (ko) 변조된 url 탐지 장치 및 그 방법
CN102629933B (zh) 一种识别用户实际点击访问网站行为的方法及系统
CN108197465B (zh) 一种网址检测方法及装置
US11075867B2 (en) Method and system for detection of potential spam activity during account registration
CN106101117B (zh) 一种钓鱼网站阻断方法、装置和系统
CN116668145A (zh) 一种基于工控协议通信模型的工控设备厂商识别方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder
CP02 Change in the address of a patent holder

Address after: 9/F, Building C, No. 28, North Tianfu Avenue, China (Sichuan) Pilot Free Trade Zone, Hi tech Zone, Chengdu, 610000, Sichuan

Patentee after: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd.

Address before: 8th Floor, Building 5, No. 801, Middle Section of Tianfu Avenue, High tech Zone, Chengdu City, Sichuan Province, 610000

Patentee before: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd.