CN110958246B - 一种基于web服务器的动态智能防护方法及其应用 - Google Patents
一种基于web服务器的动态智能防护方法及其应用 Download PDFInfo
- Publication number
- CN110958246B CN110958246B CN201911206251.4A CN201911206251A CN110958246B CN 110958246 B CN110958246 B CN 110958246B CN 201911206251 A CN201911206251 A CN 201911206251A CN 110958246 B CN110958246 B CN 110958246B
- Authority
- CN
- China
- Prior art keywords
- web server
- request packet
- user
- alarm
- protection method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Artificial Intelligence (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种基于WEB服务器的动态智能防护方法及其应用,将防护手段集成在应用内部,当攻击者发起请求进行攻击时候,通过结合上下文对请求包的协议以及参数进行解析,若有通过参数进行攻击,则直接发现问题并且进行告警并进行阻断。并在用户请求涉及代码漏洞的时候,做到即发现即告警阻断用户行为的操作,同时通过告警信息进行关联告警分析,通过机器学习分析出来有问题的告警源,能够对此攻击源的其他所有操作进行阻断操作。本发明在方便用户的同时极大提升用户的使用体验。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于WEB服务器的动态智能防护方法及其应用。
背景技术
随着网络信息时代的不断更新发展,现如今企业对WEB应用防护越来越重视,为了发现应对WEB应用产生的各类风险漏洞,一般情况下企业都是使用WAF或应用防火墙的方式来进行提前阻断攻击者的攻击行为,这是一种游离于应用之外的防护阻断方式。通过配置特定的拦截规则策略、特征识别、算法识别的方式,对于在识别出来的请求,在进入WEB应用之前就直接拦截进行阻断,从而达到提前拦截的效果。
对于传统的防护方式,由于预警漏洞种类繁多,所以就需要配置很多的拦截规则、识别方式等,而且这些识别规则策略需要特定发技术人员才能进行精准配置,大大的增加了使用部署成本。由于WEB应用攻击手段一直在更新,为了满足对WEB应用的拦截要求,就需要WAF或者应用防火墙的拦截规则也要不断的更新,这样才能满足拦截要求,因此这种防护方式有一个很大的弊端就是对于未知风险漏洞只能做到事后才能去找对应解决方案,不能提前感知未知风险并进行阻断。虽然这种防护方式能够发现并阻断许多攻击,但是这种攻击防护的方式误报率很大,阻断了许多正常的请求操作,往往对于使用者使用起来体验不佳。
发明内容
本发明的目的在于提供一种基于WEB服务器的动态智能防护方法及其应用。
本发明采用的技术方案是:
一种基于WEB服务器的动态智能防护方法,其包括以下步骤:
步骤1,获取途径web服务器的请求包,并判断是否来自黑名单的可疑攻击源;是则,直接拦截并执行步骤4;否则,执行步骤2;
步骤2,对请求包头和参数进行过滤,并判断该请求包的基础数据是否有问题,基础数据主要包括请求方式、请求的主机IP、用户输入的参数组信息,请求时间信息,对于用户的输入参数进行数据预过滤,主要预防漏洞包括常见的SQL注入攻击、XSS跨站脚本注入攻击、文件目录遍历漏洞、任意文件下载漏洞、命令执行后门漏洞,通过对注入库正则匹配关键字过滤以及检测文件目录以及命令是否出现相对路径从而对请求进行预过滤;是则,告警并拦截该请求包,同时向用户下发告警后执行步骤4;否则,执行步骤3;
步骤3,获取请求包的系统代码并代码编译前对系统代码进行过滤,判断系统代码中是否存在风险漏洞,此过程是用户通过请求后,在编译执行前防护组件对此请求将要涉及的编译模块的代码块进行提前评测,防止常见的Structs漏洞攻击、Java反序列化漏洞攻击、输出敏感信息漏洞、任意文件上传漏洞以及一些常见的SSRF漏洞攻击,通过将用户的参数进行提前编译感知进行一个安全检测,判断是否用到一些structs的方法、序列化的方法、以及常见的代码漏洞方法进行拦截过滤、最后再将编译结果进行分析,判断是否调用了系统一些特殊命令、是否获取了系统的敏感数据、是否在系统里面写入了一些文件,对这些请求直接拦截;是则,告警并拦截该请求包,同时向用户下发告警并执行步骤4;否则,向目标用户下发请求包并执行步骤1;
步骤4,对拦截下来的告警信息进行关联分析,获取该告警信息来源作为可疑攻击源并存入黑名单,以供拦截请求包时直接调用判断。
进一步地,步骤1通过在web服务器中集成防护插件以获取途径web服务器的请求包。
进一步地,步骤2或步骤3中web服务器通过syslog方式向用户下发告警。
进一步地,步骤4中采用常规的机器学习算法对告警信息进行关联分析以获取可疑攻击源,例如朴素贝叶斯算法、核密度估计KDE算法等,从而将分析出来的可疑攻击源直接加入黑名单中。
进一步地,其还包括基于一种基于WEB服务器的动态智能防护方法开发的防护插件。
本发明采用以上技术方案,将防护手段集成在应用内部,当攻击者发起请求进行攻击时候,此防护组件能够在WEB应用中通过结合上下文,对请求包的协议以及参数进行解析,如果用户通过参数进行攻击,此组件能够直接发现问题并且进行告警并进行阻断。对于系统的一些潜在的代码漏洞,当用户请求涉及代码漏洞的时候,组件能做到即发现即告警阻断用户行为的操作,组件能够通过告警信息进行关联告警分析,通过机器学习分析出来有问题的告警源,能够对此攻击源的其他所有操作进行阻断操作,进行更好的去处理发现的问题。这种组件可以设置白名单等策略,而且这个策略修改不需要重启WEB应用,可以实现即修改即生效,大大的增加的用户体验。
附图说明
以下结合附图和具体实施方式对本发明做进一步详细说明;
图1为本发明一种基于WEB服务器的动态智能防护方法的流程示意图。
具体实施方式
如图1所示,本发明公开了一种基于WEB服务器的动态智能防护方法,其包括以下步骤:
步骤1,获取途径web服务器的请求包,并判断是否来自黑名单的可疑攻击源;是则,直接拦截并执行步骤4;否则,执行步骤2;
步骤2,对请求包头和参数进行过滤,并判断该请求包的基础数据是否有问题,基础数据主要包括请求方式、请求的主机IP、用户输入的参数组信息,请求时间信息,对于用户的输入参数进行数据预过滤,主要预防漏洞包括常见的SQL注入攻击、XSS跨站脚本注入攻击、文件目录遍历漏洞、任意文件下载漏洞、命令执行后门漏洞,通过对注入库正则匹配关键字过滤以及检测文件目录以及命令是否出现相对路径从而对请求进行预过滤。是则,告警并拦截该请求包,同时向用户下发告警后执行步骤4;否则,执行步骤3;
步骤3,获取请求包的系统代码并代码编译前对系统代码进行过滤,判断系统代码中是否存在风险漏洞,此过程是用户通过请求后,在编译执行前防护组件对此请求将要涉及的编译模块的代码块进行提前评测,防止常见的Structs漏洞攻击、Java反序列化漏洞攻击、输出敏感信息漏洞、任意文件上传漏洞以及一些常见的SSRF漏洞攻击,通过将用户的参数进行提前编译感知进行一个安全检测,判断是否用到一些structs的方法、序列化的方法、以及常见的代码漏洞方法进行拦截过滤、最后再将编译结果进行分析,判断是否调用了系统一些特殊命令、是否获取了系统的敏感数据、是否在系统里面写入了一些文件,对这些请求直接拦截。是则,告警并拦截该请求包,同时向用户下发告警并执行步骤4;否则,向目标用户下发请求包并执行步骤1;
步骤4,对拦截下来的告警信息进行关联分析,获取该告警信息来源作为可疑攻击源并存入黑名单,针对这些攻击源一旦发现此类请求一应全部拦截从而达到对可疑攻击的防护。
进一步地,步骤1通过在web服务器中集成防护插件以获取途径web服务器的请求包。组件部署集成到WEB服务器中,直接自动化一键安装,初次安装直接重启就可以生效,部署十分简单。
进一步地,步骤2或步骤3中web服务器通过syslog方式向用户下发告警。
进一步地,步骤4中采用常规的机器学习算法对告警信息进行关联分析以获取可疑攻击源,例如朴素贝叶斯算法、核密度估计KDE算法等,从而将分析出来的可疑攻击源直接加入黑名单中。
进一步地,其还包括基于一种基于WEB服务器的动态智能防护方法开发的防护插件。
本发明采用以上技术方案,将防护手段集成在应用内部,当攻击者发起请求进行攻击时候,在WEB应用中通过结合上下文,对请求包的协议以及参数进行解析,如果用户通过参数进行攻击,做到即发现即告警阻断用户行为的操作,更好更及时的去发现攻击并且作出相应的阻断作用。对于系统的一些潜在的代码漏洞,当用户请求涉及代码漏洞的时候,对应发现漏洞的误报率降低到最低、做到即发现即告警。本发明能够根据发现攻击阻断的告警信息,从而来进行机器学习来进行关联告警分析自动分析攻击源,进而对于此攻击源的其他操作能够进行及时预警,对此攻击源的其他所有操作进行阻断操作,进行更好的去处理发现的问题,用户可以根据分析出来的预警进行进一步的问题跟踪。且可进一步的白名单等策略,而且这个策略修改不需要重启WEB应用,实现即修改即生效,大大的增加的用户体验。本发明不需要用户额外的安装客户端防护软件或者部署加固组件,用户只需要在WEB服务器中集成防护插件就可以完成防护插件的安装,同时最大方便的是后续更改防护配置文件不需要重启WEB服务器,能够动态的去加载修改的配置文件、极大的提升了用户的体验。本发明对于阻断的告警结果能够通过syslog形式推送到用户自定义的日志采集服务器中,能够让用户更好的去看到攻击告警信息、同时对于这些告警信息通过机器学习算法自动进行告警之间的关联分析以及溯源分析,向用户展示可疑攻击源的攻击链路,同时对于分析出来的攻击源进行全线阻断。
Claims (7)
1.一种基于WEB服务器的动态智能防护方法,其特征在于:其包括以下步骤:
步骤1,获取途径web服务器的请求包,并判断是否来自黑名单的可疑攻击源;是则,直接拦截并执行步骤4;否则,执行步骤2;
步骤2,通过对注入库正则匹配关键字过滤、检测文件目录以及命令是否出现相对路径对请求包头和参数进行预过滤,并判断该请求包的基础数据是否存在常规注入攻击和常规漏洞;是则,告警并拦截该请求包,同时向用户下发告警后执行步骤4;否则,执行步骤3;
步骤3,获取请求包的系统代码并将用户的参数进行提前编译以对系统代码进行过滤,判断系统代码中是否存在风险漏洞;是则,告警并拦截该请求包,同时向用户下发告警并执行步骤4;否则,向目标用户下发请求包并执行步骤1;
步骤4,对拦截下来的告警信息进行关联分析,获取该告警信息来源作为可疑攻击源并存入黑名单,以供拦截请求包时直接调用判断。
2.根据权利要求1所述的一种基于WEB服务器的动态智能防护方法,其特征在于:步骤1通过在web服务器中集成防护插件以获取途径web服务器的请求包。
3.根据权利要求1所述的一种基于WEB服务器的动态智能防护方法,其特征在于:步骤2中基础数据主要包括请求方式、请求的主机IP、请求时间信息和用户输入的参数组信息。
4.根据权利要求1所述的一种基于WEB服务器的动态智能防护方法,其特征在于:步骤2或步骤3中web服务器通过syslog方式向用户下发告警。
5.根据权利要求1所述的一种基于WEB服务器的动态智能防护方法,其特征在于:进一步地,步骤4中采用常规的机器学习算法对告警信息进行关联分析以获取可疑攻击源,并将分析出来的可疑攻击源直接加入黑名单中。
6.根据权利要求5所述的一种基于WEB服务器的动态智能防护方法,其特征在于:步骤4中机器学习算法包括朴素贝叶斯算法和核密度估计KDE算法。
7.基于权利要求1至6任一所述的一种基于WEB服务器的动态智能防护方法开发的防护插件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911206251.4A CN110958246B (zh) | 2019-11-29 | 2019-11-29 | 一种基于web服务器的动态智能防护方法及其应用 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911206251.4A CN110958246B (zh) | 2019-11-29 | 2019-11-29 | 一种基于web服务器的动态智能防护方法及其应用 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110958246A CN110958246A (zh) | 2020-04-03 |
| CN110958246B true CN110958246B (zh) | 2022-04-15 |
Family
ID=69979294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911206251.4A Active CN110958246B (zh) | 2019-11-29 | 2019-11-29 | 一种基于web服务器的动态智能防护方法及其应用 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110958246B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111565190B (zh) * | 2020-05-06 | 2022-07-05 | 福建天晴数码有限公司 | 一种服务器过滤请求的方法及装置 |
| CN113810343B (zh) * | 2020-06-15 | 2023-05-12 | 深信服科技股份有限公司 | 函数注入攻击的检测方法、装置、设备及可读存储介质 |
| US11711393B2 (en) | 2020-10-19 | 2023-07-25 | Saudi Arabian Oil Company | Methods and systems for managing website access through machine learning |
| CN114567480B (zh) * | 2022-02-28 | 2024-03-12 | 天翼安全科技有限公司 | 有效攻击告警识别的方法、装置、安全网络及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105704146A (zh) * | 2016-03-18 | 2016-06-22 | 四川长虹电器股份有限公司 | Sql防注入的系统与方法 |
| CN105991557A (zh) * | 2015-02-05 | 2016-10-05 | 精硕世纪科技(北京)有限公司 | 基于dns智能解析系统的网络攻击防御方法 |
| CN108549814A (zh) * | 2018-03-24 | 2018-09-18 | 西安电子科技大学 | 一种基于机器学习的sql注入检测方法、数据库安全系统 |
| CN110266669A (zh) * | 2019-06-06 | 2019-09-20 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8839417B1 (en) * | 2003-11-17 | 2014-09-16 | Mcafee, Inc. | Device, system and method for defending a computer network |
-
2019
- 2019-11-29 CN CN201911206251.4A patent/CN110958246B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105991557A (zh) * | 2015-02-05 | 2016-10-05 | 精硕世纪科技(北京)有限公司 | 基于dns智能解析系统的网络攻击防御方法 |
| CN105704146A (zh) * | 2016-03-18 | 2016-06-22 | 四川长虹电器股份有限公司 | Sql防注入的系统与方法 |
| CN108549814A (zh) * | 2018-03-24 | 2018-09-18 | 西安电子科技大学 | 一种基于机器学习的sql注入检测方法、数据库安全系统 |
| CN110266669A (zh) * | 2019-06-06 | 2019-09-20 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 一种自动化的跨站脚本漏洞发现模型;马富天等;《计算机工程》;20180815(第08期);全文 * |
| 内外双修实现对未知威胁监测;张辉等;《电子测试》(第04期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110958246A (zh) | 2020-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12019734B2 (en) | Methods and apparatus for control and detection of malicious content using a sandbox environment | |
| CN110958246B (zh) | 一种基于web服务器的动态智能防护方法及其应用 | |
| CN110266669B (zh) | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 | |
| US10581879B1 (en) | Enhanced malware detection for generated objects | |
| CN109684832B (zh) | 检测恶意文件的系统和方法 | |
| US9973531B1 (en) | Shellcode detection | |
| US7870612B2 (en) | Antivirus protection system and method for computers | |
| KR101543237B1 (ko) | 코드 패턴을 이용한 정적 분석과 api 흐름을 이용한 동적 분석을 통한 악성 스크립트 탐지 차단 장치, 시스템 및 방법 | |
| US8955135B2 (en) | Malicious code infection cause-and-effect analysis | |
| KR102225460B1 (ko) | 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치 | |
| JP2014038596A (ja) | 悪意ある実行ファイルの識別方法 | |
| US20100077481A1 (en) | Collecting and analyzing malware data | |
| CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
| US20070107058A1 (en) | Intrusion detection using dynamic tracing | |
| EP3345116A1 (en) | Process launch, monitoring and execution control | |
| CN108959936B (zh) | 一种基于路径分析的缓冲区溢出漏洞自动利用方法 | |
| CN105791250B (zh) | 应用程序检测方法及装置 | |
| CN113726825B (zh) | 一种网络攻击事件反制方法、装置及系统 | |
| US20230214489A1 (en) | Rootkit detection based on system dump files analysis | |
| Agarwal et al. | First, Do No Harm: Studying the manipulation of security headers in browser extensions | |
| US11763004B1 (en) | System and method for bootkit detection | |
| KR20100124441A (ko) | 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법 | |
| KR101754964B1 (ko) | 악성 행위 탐지 방법 및 시스템 | |
| Li et al. | Automatic Detection and Analysis towards Malicious Behavior in IoT Malware | |
| US20240320323A1 (en) | Methods and apparatus for control and detection of malicious content using a sandbox environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |