一种基于模糊诱导的防猜解绕过方法及其系统
技术领域
本发明是关于网络信息安全领域,特别涉及一种基于模糊诱导的防猜解绕过方法及其系统。
背景技术
伴随着Internet的普及,安全问题日益成为影响网络效能的重要问题。攻击者们一般以企业为目标,通过网络侵入企业的主机,窃取重要的资料,或进行破坏,使其陷入瘫痪,给企业造成巨大的损失。防御系统可通过攻击检测过滤大部分的请求,防御系统的攻击检测主要是通过攻击特征库实现的,但防御系统中的软件不可避免地会留下一些不易察觉的安全漏洞和缺陷。
传统的防御系统中的攻击特征库是静态的,攻击者通过构造请求攻击网站探测防御系统对攻击特征的反应,从而获得攻击特征的信息,降低防御系统攻击特征库的不确定性,逐步定位防御系统的漏洞,绕过防御系统的防御。该问题不解决会导致攻击者绕过防御系统,攻击网站。
发明内容
本发明的主要目的在于克服现有技术中的不足,提供一种能够防止攻击特征库的信息被猜解的模糊诱导方法及系统。为解决上述技术问题,本发明的解决方案是:
提供一种基于模糊诱导的防猜解绕过方法,能防止攻击者绕过防御系统(利用攻击特征库的静态不完备性)进行攻击,所述基于模糊诱导的防猜解绕过方法具体包括下述步骤:
(1)设定客户端可信任等级,包括绝对信任、基本信任、比较信任、比较不信任、基本不信任、绝对不信任;
确定客户端匹配攻击特征次数与客户端对于该攻击特征的可信任等级的映射,获得匹配次数与可信任等级的对照表:当客户端匹配攻击特征次数小于10次,则映射的客户端可信任等级是绝对信任,即可信任等级为5分;当客户端匹配攻击特征次数为10~19次,则映射的客户端可信任等级是基本信任,即可信任等级为4分;当客户端匹配攻击特征次数为20~29次,则映射的客户端可信任等级是比较信任,即可信任等级为3分;当客户端匹配攻击特征次数为30~39次,则映射的客户端可信任等级是比较不信任,即可信任等级为2分;当客户端匹配攻击特征次数为40~50次,则映射的客户端可信任等级是基本不信任,即可信任等级为1分;当客户端匹配攻击特征次数大于50次,则映射的客户端可信任等级是绝对不信任,即可信任等级为0分;
(2)统计攻击特征库中,威胁等级为低的攻击特征或者威胁等级为信息且静态动作为阻断的攻击特征;
所述威胁等级是指:客户端发起的匹配某攻击特征的请求对服务器的威胁程度;所述攻击特征是指:数据包头中或一组数据包的模式中存在的网络通信特征,用于区分攻击和合法通信;
(3)接受客户端对网站页面访问的请求;
(4)统计客户端匹配步骤(2)所统计出的攻击特征的请求次数:
设置请求匹配计数,并设定每个客户端触发每个攻击特征的初始次数为0(拥有最高可信任等级),客户端对网站页面发出请求,当请求匹配步骤(2)中统计出的某条攻击特征时,请求客户端对该攻击特征的匹配次数计数更新存储;
(5)根据步骤(4)中得到的攻击特征的匹配次数,结合步骤(1)预先设定的客户端匹配攻击特征次数与客户端对于该攻击特征的可信任等级的映射,确定该客户端的可信任等级;
(6)根据客户端的可信任等级,确定该客户端请求匹配该攻击特征时,攻击特征对该客户端反馈动作:
当客户端可信任等级为3~5分时,请求匹配相应攻击特征时,攻击特征对该客户端的反馈动作是放行;当客户端可信任等级低于3分时,请求匹配相应攻击特征时,攻击特征对该客户端的反馈动作是阻断。
提供一种基于模糊诱导的防猜解绕过系统,包括各项数值记录模块、可信任等级计算模块和防御系统对攻击特征的反应判定模块;
所述各项数值记录模块中设有客户端记录表,客户端记录表用于记录每个客户端的相关数值,表中存放的数据包括每个请求的客户端、攻击特征、该客户端匹配该攻击特征的反馈动作(即上一次该客户端匹配该攻击特征的反馈动作),以及客户端请求匹配攻击特征的次数;只有当客户端的请求匹配的攻击特征符合下述任一条件时,才会将客户端请求记录在客户端记录表中:1)攻击特征的威胁等级为低且攻击特征库(即静态攻击特征库)中设置的反馈动作为阻断;2)攻击特征的威胁等级为信息且攻击特征库(即静态攻击特征库)中设置的反馈动作为阻断;
当客户端第一次匹配某条威胁等级为低或者信息且在初始动作(攻击特征库中的动作)为阻断的攻击特征时,将该客户端的相关信息插入到客户端记录表中,设定客户端请求匹配攻击特征的次数初始值为0;该客户端后续匹配该攻击特征时,更新客户端信息的存储,即客户端请求匹配攻击特征的次数加1,当客户端请求匹配攻击特征的次数达到最大值时(即当客户端请求匹配攻击特征的次数达到50时),客户端继续匹配该攻击特征则更新存储后直接阻断不进行后续处理;
所述可信任等级计算模块,用于根据客户端记录表中的数据,对匹配某条攻击特征的当前客户端请求进行可信任等级计算;参照匹配次数与可信任等级的对照表,依据客户端记录表中的客户端请求匹配攻击特征的次数,得到当前正在触发某条攻击特征的客户端的可信任等级;
所述防御系统对攻击特征的反应判定模块,用于更新客户端记录表中的该客户端匹配该攻击特征的反馈动作(即该客户端请求匹配某条攻击特征时,该攻击特征对客户端的反馈动作);根据本次请求的客户端以及请求匹配的攻击特征,从客户端记录表中读取攻击特征以及该客户端请求匹配攻击特征的次数;根据可信任等级计算模块得到的可信任等级,更新该攻击特征针对该客户端的反馈动作:若客户端可信任等级为3~5分时,请求匹配相应攻击特征时,攻击特征对该客户端的反馈动作是放行;若客户端可信任等级低于3分时,则请求匹配相应攻击特征时,攻击特征对该客户端的反馈动作是阻断,并将本次攻击特征的反馈动作更新到各项数值记录表中。
在本发明中,匹配次数与可信任等级的对照表具体如下表1所示。
表1匹配次数与可信任等级对照表
客户端匹配攻击特征次数 |
客户端可信任等级 |
<10 |
绝对信任(5) |
10~19 |
基本信任(4) |
20~29 |
比较信任(3) |
30~39 |
比较不信任(2) |
40~50 |
基本不信任(1) |
>50 |
绝对不信任(0) |
本发明的原理:本发明动态调整攻击特征反馈,增加防御系统规则引擎的不确定性,以避免攻击者发现防御系统的漏洞,绕过漏洞,攻击网站。本发明的关键点是动态调整威胁等级较低的防御规则攻击特征反馈,使得攻击者每一次的攻击特征反馈,不会降低攻击防御系统规则库的不确定性,从而不会为攻击者提供猜解系统规则的“线索”。
与现有技术相比,本发明的有益效果是:
本发明基于模糊诱导的防猜解绕过方法能防止攻击者定位防御系统的漏洞,防止攻击者的请求绕过防御系统的攻击检测,具有增强防御系统安全性的作用。
附图说明
图1为防御系统的原理图。
图2为本发明基于模糊诱导的防猜解绕过方法的实施流程图。
图3为本发明基于模糊诱导的防猜解绕过系统的示意图。
具体实施方式
首先需要说明的是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的之后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。
下面结合附图与具体实施方式对本发明作进一步详细描述:
如图3所示的一种基于模糊诱导的防猜解绕过系统,包括各项数值记录模块、可信任等级计算模块,以及防御系统对攻击特征的反应判定模块。在客户端发起请求时,利用客户端针对某个特定攻击特征的匹配次数对客户端的可信任等级进行划分,信任等级较高时放行,信任等级较低时阻断。因此,可以模糊攻击者对攻击特征库信息的探测,防止攻击特征库被猜解绕过。
所述各项数值记录模块中设有客户端记录表,客户端记录表用于记录每个客户端的相关数值,表中存放的数据包括每个请求的客户端、攻击特征、上一次该客户端匹配该攻击特征的反馈动作,以及客户端请求匹配攻击特征的次数。只有当客户端的请求匹配的攻击特征符合以下条件时才会将客户端请求记录记录在客户端记录表中:
1)攻击特征的威胁等级为低且静态攻击特征库中设置的反馈动作为阻断;
2)攻击特征的威胁等级为信息且静态攻击特征库中设置的反馈动作为阻断。
当客户端第一次匹配某条威胁等级为低或者信息且在初始动作(静态规则库中的动作)为阻断的攻击特征时,将该客户端的相关信息插入到客户端记录表中,设定客户端请求匹配攻击特征的次数初始值为0;该客户端后续匹配该攻击特征时,更新客户端信息的存储(客户端请求匹配攻击特征的次数加一),当客户端请求匹配攻击特征的次数达到50时,客户端继续匹配该攻击特征则更新存储后直接阻断不进行后续处理。
所述可信任等级计算模块,用于根据客户端记录表中的数据,对发起匹配某条攻击特征的当前请求客户端进行可信任等级计算,该可信任等级计算模块中维持一张匹配次数与可信任等级的对照表。将可信任等级依据客户端记录表中的客户端请求匹配攻击特征的次数的各阈值进行划分,从而得到当前正在触发某条攻击特征的客户端的可信任等级。规定小于10次为绝对信任(5)、10~19次为基本信任(4)、20~29为比较信任(3)、30~39次为比较不信任(2)、40~50次为基本不信任(1)、大于50次为绝对不信任(0)。
所述防御系统对攻击特征的反应判定模块,用于更新客户端记录表中用于更新客户端记录表中该客户端请求匹配某条攻击特征时,该攻击特征对客户端的反馈动作。根据本次请求的客户端以及请求匹配的攻击特征,从客户端记录表中读取攻击特征以及该客户端匹配该攻击特征的次数。根据可信任等级计算模块得到的可信任等级,更新攻击特征针对该客户端的反馈动作:若客户端可信任等级为3~5分时,请求匹配相应攻击特征时,攻击特征对该客户端的反馈动作是放行;若客户端可信任等级低于3分时,请求匹配相应攻击特征时,攻击特征对该客户端的反馈动作是阻断,并将本次攻击特征的反馈动作更新到各项数值记录表中。
下面的实施例可以使本专业的专业技术人员更全面地理解本发明,但不以任何方式限制本发明。
一种基于模糊诱导的防猜解绕过方法,目的在于修正防御系统攻击检测被绕过的问题,依据客户端的可信任等级,对原本匹配攻击特征即阻断的低威胁等级的请求采取或者放行或者阻断的动作,以模糊攻击者的判断,提高攻击特征库信息的不确定性,以防止攻击者定位防御系统的漏洞,绕过防御系统的检测。
如图2所示,本实例的防猜解绕过方法的实施步骤如下:
步骤S01:获取一个请求。
步骤S02:从请求中得到请求客户端。
步骤S03:从请求中得到攻击特征。
步骤S04:根据本次请求的客户端/攻击特征,在各项数值记录表中找到对应条目。
步骤S05:得到步骤S04获取的条目中的匹配次数并更新(加一)匹配次数到各项数值记录表中。
步骤S06:得到步骤S04获取的条目中的反馈动作。
步骤S07:得到步骤S05更新后的匹配次数。
步骤S08:根据步骤S07得到的匹配次数,对照表1得到可信任等级。
步骤S09:根据步骤S08计算的可信任等级,计算反馈动作,可信任等级为3~5,则反馈动作为放行,否则为阻断。
步骤S10:判断步骤S06与步骤S09得到的反馈动作是否相同,若相同执行步骤S11,否则执行步骤S12。
步骤S11:执行步骤S06得到的反馈动作。
步骤S12:执行步骤S09得到的反馈动作,同时将该反馈动作更新到步骤S04得到的条目中。
最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形,均应认为是本发明的保护范围。