CN110958246A - 一种基于web服务器的动态智能防护方法及其应用 - Google Patents

一种基于web服务器的动态智能防护方法及其应用 Download PDF

Info

Publication number
CN110958246A
CN110958246A CN201911206251.4A CN201911206251A CN110958246A CN 110958246 A CN110958246 A CN 110958246A CN 201911206251 A CN201911206251 A CN 201911206251A CN 110958246 A CN110958246 A CN 110958246A
Authority
CN
China
Prior art keywords
web server
request packet
user
alarm
protection method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911206251.4A
Other languages
English (en)
Other versions
CN110958246B (zh
Inventor
高居鹏
黄春华
王井龙
郝玉虎
王龙江
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Fufu Information Technology Co Ltd
Original Assignee
China Telecom Fufu Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Fufu Information Technology Co Ltd filed Critical China Telecom Fufu Information Technology Co Ltd
Priority to CN201911206251.4A priority Critical patent/CN110958246B/zh
Publication of CN110958246A publication Critical patent/CN110958246A/zh
Application granted granted Critical
Publication of CN110958246B publication Critical patent/CN110958246B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开一种基于WEB服务器的动态智能防护方法及其应用,将防护手段集成在应用内部,当攻击者发起请求进行攻击时候,通过结合上下文对请求包的协议以及参数进行解析,若有通过参数进行攻击,则直接发现问题并且进行告警并进行阻断。并在用户请求涉及代码漏洞的时候,做到即发现即告警阻断用户行为的操作,同时通过告警信息进行关联告警分析,通过机器学习分析出来有问题的告警源,能够对此攻击源的其他所有操作进行阻断操作。本发明在方便用户的同时极大提升用户的使用体验。

Description

一种基于WEB服务器的动态智能防护方法及其应用
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于WEB服务器的动态智能防护方法及其应用。
背景技术
随着网络信息时代的不断更新发展,现如今企业对WEB应用防护越来越重视,为了发现应对WEB应用产生的各类风险漏洞,一般情况下企业都是使用WAF或应用防火墙的方式来进行提前阻断攻击者的攻击行为,这是一种游离于应用之外的防护阻断方式。通过配置特定的拦截规则策略、特征识别、算法识别的方式,对于在识别出来的请求,在进入WEB应用之前就直接拦截进行阻断,从而达到提前拦截的效果。
对于传统的防护方式,由于预警漏洞种类繁多,所以就需要配置很多的拦截规则、识别方式等,而且这些识别规则策略需要特定发技术人员才能进行精准配置,大大的增加了使用部署成本。由于WEB应用攻击手段一直在更新,为了满足对WEB应用的拦截要求,就需要WAF或者应用防火墙的拦截规则也要不断的更新,这样才能满足拦截要求,因此这种防护方式有一个很大的弊端就是对于未知风险漏洞只能做到事后才能去找对应解决方案,不能提前感知未知风险并进行阻断。虽然这种防护方式能够发现并阻断许多攻击,但是这种攻击防护的方式误报率很大,阻断了许多正常的请求操作,往往对于使用者使用起来体验不佳。
发明内容
本发明的目的在于提供一种基于WEB服务器的动态智能防护方法及其应用。
本发明采用的技术方案是:
一种基于WEB服务器的动态智能防护方法,其包括以下步骤:
步骤1,获取途径web服务器的请求包,并判断是否来自黑名单的可疑攻击源;是则,直接拦截并执行步骤4;否则,执行步骤2;
步骤2,对请求包头和参数进行过滤,并判断该请求包的基础数据是否有问题,基础数据主要包括请求方式、请求的主机IP、用户输入的参数组信息,请求时间信息,对于用户的输入参数进行数据预过滤,主要预防漏洞包括常见的SQL注入攻击、XSS跨站脚本注入攻击、文件目录遍历漏洞、任意文件下载漏洞、命令执行后门漏洞,通过对注入库正则匹配关键字过滤以及检测文件目录以及命令是否出现相对路径从而对请求进行预过滤;是则,告警并拦截该请求包,同时向用户下发告警后执行步骤4;否则,执行步骤3;
步骤3,获取请求包的系统代码并代码编译前对系统代码进行过滤,判断系统代码中是否存在风险漏洞,此过程是用户通过请求后,在编译执行前防护组件对此请求将要涉及的编译模块的代码块进行提前评测,防止常见的Structs漏洞攻击、Java反序列化漏洞攻击、输出敏感信息漏洞、任意文件上传漏洞以及一些常见的SSRF漏洞攻击,通过将用户的参数进行提前编译感知进行一个安全检测,判断是否用到一些structs的方法、序列化的方法、以及常见的代码漏洞方法进行拦截过滤、最后再将编译结果进行分析,判断是否调用了系统一些特殊命令、是否获取了系统的敏感数据、是否在系统里面写入了一些文件,对这些请求直接拦截;是则,告警并拦截该请求包,同时向用户下发告警并执行步骤4;否则,向目标用户下发请求包并执行步骤1;
步骤4,对拦截下来的告警信息进行关联分析,获取该告警信息来源作为可疑攻击源并存入黑名单,以供拦截请求包时直接调用判断。
进一步地,步骤1通过在web服务器中集成防护插件以获取途径web服务器的请求包。
进一步地,步骤2或步骤3中web服务器通过syslog方式向用户下发告警。
进一步地,步骤4中采用常规的机器学习算法对告警信息进行关联分析以获取可疑攻击源,例如朴素贝叶斯算法、核密度估计KDE算法等,从而将分析出来的可疑攻击源直接加入黑名单中。
进一步地,其还包括基于一种基于WEB服务器的动态智能防护方法开发的防护插件。
本发明采用以上技术方案,将防护手段集成在应用内部,当攻击者发起请求进行攻击时候,此防护组件能够在WEB应用中通过结合上下文,对请求包的协议以及参数进行解析,如果用户通过参数进行攻击,此组件能够直接发现问题并且进行告警并进行阻断。对于系统的一些潜在的代码漏洞,当用户请求涉及代码漏洞的时候,组件能做到即发现即告警阻断用户行为的操作,组件能够通过告警信息进行关联告警分析,通过机器学习分析出来有问题的告警源,能够对此攻击源的其他所有操作进行阻断操作,进行更好的去处理发现的问题。这种组件可以设置白名单等策略,而且这个策略修改不需要重启WEB应用,可以实现即修改即生效,大大的增加的用户体验。
附图说明
以下结合附图和具体实施方式对本发明做进一步详细说明;
图1为本发明一种基于WEB服务器的动态智能防护方法的流程示意图。
具体实施方式
如图1所示,本发明公开了一种基于WEB服务器的动态智能防护方法,其包括以下步骤:
步骤1,获取途径web服务器的请求包,并判断是否来自黑名单的可疑攻击源;是则,直接拦截并执行步骤4;否则,执行步骤2;
步骤2,对请求包头和参数进行过滤,并判断该请求包的基础数据是否有问题,基础数据主要包括请求方式、请求的主机IP、用户输入的参数组信息,请求时间信息,对于用户的输入参数进行数据预过滤,主要预防漏洞包括常见的SQL注入攻击、XSS跨站脚本注入攻击、文件目录遍历漏洞、任意文件下载漏洞、命令执行后门漏洞,通过对注入库正则匹配关键字过滤以及检测文件目录以及命令是否出现相对路径从而对请求进行预过滤。是则,告警并拦截该请求包,同时向用户下发告警后执行步骤4;否则,执行步骤3;
步骤3,获取请求包的系统代码并代码编译前对系统代码进行过滤,判断系统代码中是否存在风险漏洞,此过程是用户通过请求后,在编译执行前防护组件对此请求将要涉及的编译模块的代码块进行提前评测,防止常见的Structs漏洞攻击、Java反序列化漏洞攻击、输出敏感信息漏洞、任意文件上传漏洞以及一些常见的SSRF漏洞攻击,通过将用户的参数进行提前编译感知进行一个安全检测,判断是否用到一些structs的方法、序列化的方法、以及常见的代码漏洞方法进行拦截过滤、最后再将编译结果进行分析,判断是否调用了系统一些特殊命令、是否获取了系统的敏感数据、是否在系统里面写入了一些文件,对这些请求直接拦截。是则,告警并拦截该请求包,同时向用户下发告警并执行步骤4;否则,向目标用户下发请求包并执行步骤1;
步骤4,对拦截下来的告警信息进行关联分析,获取该告警信息来源作为可疑攻击源并存入黑名单,针对这些攻击源一旦发现此类请求一应全部拦截从而达到对可疑攻击的防护。
进一步地,步骤1通过在web服务器中集成防护插件以获取途径web服务器的请求包。组件部署集成到WEB服务器中,直接自动化一键安装,初次安装直接重启就可以生效,部署十分简单。
进一步地,步骤2或步骤3中web服务器通过syslog方式向用户下发告警。
进一步地,步骤4中采用常规的机器学习算法对告警信息进行关联分析以获取可疑攻击源,例如朴素贝叶斯算法、核密度估计KDE算法等,从而将分析出来的可疑攻击源直接加入黑名单中。
进一步地,其还包括基于一种基于WEB服务器的动态智能防护方法开发的防护插件。
本发明采用以上技术方案,将防护手段集成在应用内部,当攻击者发起请求进行攻击时候,在WEB应用中通过结合上下文,对请求包的协议以及参数进行解析,如果用户通过参数进行攻击,做到即发现即告警阻断用户行为的操作,更好更及时的去发现攻击并且作出相应的阻断作用。对于系统的一些潜在的代码漏洞,当用户请求涉及代码漏洞的时候,对应发现漏洞的误报率降低到最低、做到即发现即告警。本发明能够根据发现攻击阻断的告警信息,从而来进行机器学习来进行关联告警分析自动分析攻击源,进而对于此攻击源的其他操作能够进行及时预警,对此攻击源的其他所有操作进行阻断操作,进行更好的去处理发现的问题,用户可以根据分析出来的预警进行进一步的问题跟踪。且可进一步的白名单等策略,而且这个策略修改不需要重启WEB应用,实现即修改即生效,大大的增加的用户体验。本发明不需要用户额外的安装客户端防护软件或者部署加固组件,用户只需要在WEB服务器中集成防护插件就可以完成防护插件的安装,同时最大方便的是后续更改防护配置文件不需要重启WEB服务器,能够动态的去加载修改的配置文件、极大的提升了用户的体验。本发明对于阻断的告警结果能够通过syslog形式推送到用户自定义的日志采集服务器中,能够让用户更好的去看到攻击告警信息、同时对于这些告警信息通过机器学习算法自动进行告警之间的关联分析以及溯源分析,向用户展示可疑攻击源的攻击链路,同时对于分析出来的攻击源进行全线阻断。

Claims (7)

1.一种基于WEB服务器的动态智能防护方法,其特征在于:其包括以下步骤:
步骤1,获取途径web服务器的请求包,并判断是否来自黑名单的可疑攻击源;是则,直接拦截并执行步骤4;否则,执行步骤2;
步骤2,通过对注入库正则匹配关键字过滤、检测文件目录以及命令是否出现相对路径对请求包头和参数进行预过滤,并判断该请求包的基础数据是否存在常规注入攻击和常规漏洞;是则,告警并拦截该请求包,同时向用户下发告警后执行步骤4;否则,执行步骤3;
步骤3,获取请求包的系统代码并将用户的参数进行提前编译以对系统代码进行过滤,判断系统代码中是否存在风险漏洞;是则,告警并拦截该请求包,同时向用户下发告警并执行步骤4;否则,向目标用户下发请求包并执行步骤1;
步骤4,对拦截下来的告警信息进行关联分析,获取该告警信息来源作为可疑攻击源并存入黑名单,以供拦截请求包时直接调用判断。
2.根据权利要求1所述的一种基于WEB服务器的动态智能防护方法,其特征在于:步骤1通过在web服务器中集成防护插件以获取途径web服务器的请求包。
3.根据权利要求1所述的一种基于WEB服务器的动态智能防护方法,其特征在于:步骤2中基础数据主要包括请求方式、请求的主机IP、请求时间信息和用户输入的参数组信息。
4.根据权利要求1所述的一种基于WEB服务器的动态智能防护方法,其特征在于:步骤2或步骤3中web服务器通过syslog方式向用户下发告警。
5.根据权利要求1所述的一种基于WEB服务器的动态智能防护方法,其特征在于:进一步地,步骤4中采用常规的机器学习算法对告警信息进行关联分析以获取可疑攻击源,并将分析出来的可疑攻击源直接加入黑名单中。
6.根据权利要求5所述的一种基于WEB服务器的动态智能防护方法,其特征在于:步骤4中机器学习算法包括朴素贝叶斯算法和核密度估计KDE算法。
7.基于权利要求1至6任一所述的一种基于WEB服务器的动态智能防护方法开发的防护插件。
CN201911206251.4A 2019-11-29 2019-11-29 一种基于web服务器的动态智能防护方法及其应用 Active CN110958246B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911206251.4A CN110958246B (zh) 2019-11-29 2019-11-29 一种基于web服务器的动态智能防护方法及其应用

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911206251.4A CN110958246B (zh) 2019-11-29 2019-11-29 一种基于web服务器的动态智能防护方法及其应用

Publications (2)

Publication Number Publication Date
CN110958246A true CN110958246A (zh) 2020-04-03
CN110958246B CN110958246B (zh) 2022-04-15

Family

ID=69979294

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911206251.4A Active CN110958246B (zh) 2019-11-29 2019-11-29 一种基于web服务器的动态智能防护方法及其应用

Country Status (1)

Country Link
CN (1) CN110958246B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111565190A (zh) * 2020-05-06 2020-08-21 福建天晴数码有限公司 一种服务器过滤请求的方法及装置
CN113810343A (zh) * 2020-06-15 2021-12-17 深信服科技股份有限公司 函数注入攻击的检测方法、装置、设备及可读存储介质
CN114567480A (zh) * 2022-02-28 2022-05-31 天翼安全科技有限公司 有效攻击告警识别的方法、装置、安全网络及存储介质
US11711393B2 (en) 2020-10-19 2023-07-25 Saudi Arabian Oil Company Methods and systems for managing website access through machine learning

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105704146A (zh) * 2016-03-18 2016-06-22 四川长虹电器股份有限公司 Sql防注入的系统与方法
CN105991557A (zh) * 2015-02-05 2016-10-05 精硕世纪科技(北京)有限公司 基于dns智能解析系统的网络攻击防御方法
US20180041473A1 (en) * 2003-11-17 2018-02-08 Mcafee, Llc Device, system and method for defending a computer network
CN108549814A (zh) * 2018-03-24 2018-09-18 西安电子科技大学 一种基于机器学习的sql注入检测方法、数据库安全系统
CN110266669A (zh) * 2019-06-06 2019-09-20 武汉大学 一种Java Web框架漏洞攻击通用检测与定位的方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180041473A1 (en) * 2003-11-17 2018-02-08 Mcafee, Llc Device, system and method for defending a computer network
CN105991557A (zh) * 2015-02-05 2016-10-05 精硕世纪科技(北京)有限公司 基于dns智能解析系统的网络攻击防御方法
CN105704146A (zh) * 2016-03-18 2016-06-22 四川长虹电器股份有限公司 Sql防注入的系统与方法
CN108549814A (zh) * 2018-03-24 2018-09-18 西安电子科技大学 一种基于机器学习的sql注入检测方法、数据库安全系统
CN110266669A (zh) * 2019-06-06 2019-09-20 武汉大学 一种Java Web框架漏洞攻击通用检测与定位的方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
张辉等: "内外双修实现对未知威胁监测", 《电子测试》 *
马富天等: "一种自动化的跨站脚本漏洞发现模型", 《计算机工程》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111565190A (zh) * 2020-05-06 2020-08-21 福建天晴数码有限公司 一种服务器过滤请求的方法及装置
CN113810343A (zh) * 2020-06-15 2021-12-17 深信服科技股份有限公司 函数注入攻击的检测方法、装置、设备及可读存储介质
CN113810343B (zh) * 2020-06-15 2023-05-12 深信服科技股份有限公司 函数注入攻击的检测方法、装置、设备及可读存储介质
US11711393B2 (en) 2020-10-19 2023-07-25 Saudi Arabian Oil Company Methods and systems for managing website access through machine learning
CN114567480A (zh) * 2022-02-28 2022-05-31 天翼安全科技有限公司 有效攻击告警识别的方法、装置、安全网络及存储介质
CN114567480B (zh) * 2022-02-28 2024-03-12 天翼安全科技有限公司 有效攻击告警识别的方法、装置、安全网络及存储介质

Also Published As

Publication number Publication date
CN110958246B (zh) 2022-04-15

Similar Documents

Publication Publication Date Title
US12019734B2 (en) Methods and apparatus for control and detection of malicious content using a sandbox environment
CN110958246B (zh) 一种基于web服务器的动态智能防护方法及其应用
CN110266669B (zh) 一种Java Web框架漏洞攻击通用检测与定位的方法及系统
US10581879B1 (en) Enhanced malware detection for generated objects
CN109684832B (zh) 检测恶意文件的系统和方法
US9973531B1 (en) Shellcode detection
US7870612B2 (en) Antivirus protection system and method for computers
KR101543237B1 (ko) 코드 패턴을 이용한 정적 분석과 api 흐름을 이용한 동적 분석을 통한 악성 스크립트 탐지 차단 장치, 시스템 및 방법
US8955135B2 (en) Malicious code infection cause-and-effect analysis
KR102225460B1 (ko) 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치
JP2014038596A (ja) 悪意ある実行ファイルの識別方法
US20100077481A1 (en) Collecting and analyzing malware data
CN105491053A (zh) 一种Web恶意代码检测方法及系统
US10176325B1 (en) System and method for dynamic detection of command and control malware
US20070107058A1 (en) Intrusion detection using dynamic tracing
EP3345116A1 (en) Process launch, monitoring and execution control
CN108959936B (zh) 一种基于路径分析的缓冲区溢出漏洞自动利用方法
CN113726790A (zh) 网络攻击源的识别和封堵方法、系统、装置及介质
CN105791250B (zh) 应用程序检测方法及装置
CN113726825B (zh) 一种网络攻击事件反制方法、装置及系统
US20230214489A1 (en) Rootkit detection based on system dump files analysis
Agarwal et al. First, Do No Harm: Studying the manipulation of security headers in browser extensions
US11763004B1 (en) System and method for bootkit detection
KR101754964B1 (ko) 악성 행위 탐지 방법 및 시스템
Li et al. Automatic Detection and Analysis towards Malicious Behavior in IoT Malware

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant