CN111131168A - 基于Web应用的自适应防护方法 - Google Patents
基于Web应用的自适应防护方法 Download PDFInfo
- Publication number
- CN111131168A CN111131168A CN201911207196.0A CN201911207196A CN111131168A CN 111131168 A CN111131168 A CN 111131168A CN 201911207196 A CN201911207196 A CN 201911207196A CN 111131168 A CN111131168 A CN 111131168A
- Authority
- CN
- China
- Prior art keywords
- module
- self
- file
- web application
- web
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
基于Web应用的自适应防护方法,涉及网络安全领域。本发明的基于Web应用的自适应防护方法,其特征在于该防护方法采用和应用集成部署的方式,包括防御、检测、响应以及预测模块,防御模块采用不自动信任来自网络内部和外部的请求;检测模块通过探针深入应用,检测与抵御已知、未知的WEB攻击;响应模块基于自适应安全架构,以持续监控和分析为核心;预测模块通过检测MOVE方式文件上传脚本文件,准确检测到任意文件上传行为,从而有效防护。本技术针对web应用攻击,采用web应用自适应防护技术和系统可以高效率的进行攻击检测、服务器基线检查,有效的防止外部黑客对web应用服务的攻击。
Description
技术领域
本发明涉及网络安全领域,尤其是一种主要针对J2EE的Web应用系统提供安全防护的基于Web应用的自适应防护方法。
背景技术
随着计算机及相关服务逐渐向Web应用平台高度集中发展,Web应用平台已经在各类政府、企业单位的核心业务区域,如电子政务、电子商务、运营商的增值业务等中得到广泛应用。无论是组建对外的信息发布平台,还是组建内部的业务管理系统,都离不开Web站点和Web应用。Web应用技术的迅速发展和广泛应用引起了攻击者的更加重视,针对Web业务的攻击也愈发激烈和严重,服务器操作系统漏洞和Web应用程序本身漏洞成为攻击者入侵的主要途径。藉此,攻击者们可以取得Web应用管理权限,进而窃取商业数据,篡改网页内容,更有甚者,在网页中植入木马,注入恶意脚本,发起跨站脚本或伪造请求等攻击。Web服务器和普通浏览用户均暴露在安全威胁之下。
现有传统Web防护系统的技术原理,传统Web防护产品采用协议分析、模式匹配、流量异常监视等综合技术手段来判断Web攻击行为,可以较准确地发现并阻断各种Web攻击。
传统Web防护产品针对不同的服务器站点,需要对应用配置不同的防护规则;也需要配置不同的流量检查策略。主要对数据包检查方向、HTTP包内容检查深度、HTTP包内容检查点及检查到安全威胁后的处理方式等。网站运维人员或开发人员可以根据网站应用自身的特点,给设备配置合适的安全策略,以提升产品检测效率,降低检测误报率。
传统Web防护系统主要提供Web威胁防御、主动防御、DDOS攻击防护、Web漏洞扫描、SSL加密网关等方式保护用户的Web应用。
Web威胁防御是采用双向数据检测机制,对进出Web服务器的HTTP/HTTPS相关内容进行深度分析。对于进站流量,提供对HTTP请求中URL、表单参数、报头及Cookie等内容的安全检查,过滤其中已被插入数据库命令、查询语句或各种恶意脚本的请求,防止SQL注入、XSS(跨站脚本)等攻击行为,而对于出站流量,通过对HTTP响应报头、HTML内容进行过滤,实现对服务器返回错误码、银行卡信息等的监控与保护,确保敏感信息不被泄露。
主动防御在检测到黑客对网站的攻击行为后,即将该攻击客户端的IP地址划分到黑名单类,在一定时间内将该客户端的所有访问请求直接在网络层做过滤,切断其与网站间的网络通信,避免网站遭受连续的、未知的攻击。
DDOS攻击防护能够对SYNFlood、UDPFlood、ICMPFlood、pingofDeath、Smurf、HTTP-getFlood等各类带宽及资源耗尽型拒绝服务攻击进行有效识别,并通过特有的机制实时对这些攻击流量进行阻断。确保了网站业务的可用性及连续性。
某些Web防护产品是内部集成了Web漏洞扫描功能,该功能基于高性能的扫描引擎及庞大的漏洞信息库。扫描内容涵盖SQL注入、XSS等OWASPTop10常见漏洞。
SSL加密网关技术是利用内置的SSL加密功能防止在互联网上传输的敏感信息被非法窃听。
传统Web防护系统在对Web应用进行安全防护的时候,主要有以下缺点:
1)传统WAF类设备是主要基于静态的特征关键字去判断网络攻击,只有不断的更新特征库,才能有效防止新出现的攻击行为,这就导致特征库越来越大;
2)传统Web防护手段都是基于已知的威胁,采用固定的安全防护策略进行防护;
3)传统的Web防护手段是基于明文的网络流量进行检测,这对设备的性能要求较高,容易出现性能处理瓶颈,如果网络流量超出设备最大处理能力,将导致网络延迟,影响Web应用的访问;
4)由于传统的Web防护设备采用单独的硬件串联部署,这也增加了一个网络节点,同时也增加了一个故障点。
5)传统应用防护系统,采用独立部署的方式,对部署SSL的应用无法防护;
6)发现应用漏洞后,应用受限于版本发布周期、安全管控等因素影响无法对漏洞进行修改,或者漏洞影响的代码范围太广,短期内无法修补漏洞。
发明内容
本发明所要解决的就是现有Web防护系统的安全问题,提供一种主要针对J2EE的Web应用系统提供安全防护的基于Web应用的自适应防护方法。
本发明的基于Web应用的自适应防护方法,其特征在于该防护方法采用和应用集成部署的方式,包括防御、检测、响应以及预测模块,其中:
1)防御模块采用不自动信任来自网络内部和外部的请求,应用需要形成自身的防护网,经检测有威胁的请求均予以拦截;
2)检测模块通过探针深入应用,检测与抵御已知、未知的WEB攻击,保证企业WEB应用安全,解决目前所面临的各类WEB安全问题;
3)响应模块基于自适应安全架构,以持续监控和分析为核心,将阻断、检测、响应、预测四个方面结合起来提供更好的安全服务,实现持续的自我进化,自我调整来适应新型、不断变化的攻击类型;与相关应用系统进行集成部署,同时跟应用系统进行联调,方便,快捷,有利于快速部署;
4)预测模块通过检测MOVE方式文件上传脚本文件,检测点Multipart方式文件上传PHP/JSP脚本文件、检测Multipart方式文件上传DLL/EXE文件、检测Multipart方式文件上传HTML/JS文件的方式,准确检测到任意文件上传行为,从而有效防护。
本申请提案采用有别于传统WEB应用防护的方式,针对特定的攻击进行精准拦截及防护,对症下药,而不是一把抓。这种防护手段不影响现有网络的组网、不受网络流量的影响,能更快的对漏洞或攻击进行响应。
本技术针对web应用攻击,采用web应用自适应防护技术和系统可以高效率的进行攻击检测、服务器基线检查,有效的防止外部黑客对web应用服务的攻击。这种web应用自适应防护技术和系统具有如下优点:
1、更安全可靠的边界:不自动信任任何设备和访问者,构建应用自身防护网,重新定义应用间的边界,有效抵御东西向、南北向流量;
2、更全面精准的防护:挂钩关键函数,深度监控应用执行流。在数据库、网络、文件系统等多个层面,对应用进行全面的监控和防护;
3、更快的漏洞响应:发生攻击时,自动识别用户输入。结合语义引擎、应用堆栈、请求上下文,零规则检测威胁;
4、更少的误报和漏报:在问题发生的地方监控问题、解决问题,运行在应用内部,失败的攻击不会触发检测逻辑,每条报警都是成功的攻击;
5、更好的性能更低的延迟:高并发压力下,接口响应时间延迟<8ms,相比传统WAF串联部署性能更好、效率更高;
6、更少的维护成本:与运行环境及开发语言无缝融合,无需修改代码和网络结构,即装即用,方便快捷。统一管理后台,攻击数据可视化,防护策略一键下发。
具体实施方式
实施例1:一种基于Web应用的自适应防护方法,其特征在于该防护方法采用和应用集成部署的方式,包括防御、检测、响应以及预测模块,其中:
1)防御模块采用不自动信任来自网络内部和外部的请求,应用需要形成自身的防护网,经检测有威胁的请求均予以拦截;
2)检测模块通过探针深入应用,检测与抵御已知、未知的WEB攻击,保证企业WEB应用安全,解决目前所面临的各类WEB安全问题;
3)响应模块基于自适应安全架构,以持续监控和分析为核心,将阻断、检测、响应、预测四个方面结合起来提供更好的安全服务,实现持续的自我进化,自我调整来适应新型、不断变化的攻击类型;与相关应用系统进行集成部署,同时跟应用系统进行联调,方便,快捷,有利于快速部署;
4)预测模块通过检测MOVE方式文件上传脚本文件,检测点Multipart方式文件上传PHP/JSP脚本文件、检测Multipart方式文件上传DLL/EXE文件、检测Multipart方式文件上传HTML/JS文件的方式,准确检测到任意文件上传行为,从而有效防护。
Claims (1)
1.一种基于Web应用的自适应防护方法,其特征在于该防护方法采用和应用集成部署的方式,包括防御、检测、响应以及预测模块,其中:
1)防御模块采用不自动信任来自网络内部和外部的请求,应用需要形成自身的防护网,经检测有威胁的请求均予以拦截;
2)检测模块通过探针深入应用,检测与抵御已知、未知的WEB攻击,保证企业WEB应用安全,解决目前所面临的各类WEB安全问题;
3)响应模块基于自适应安全架构,以持续监控和分析为核心,将阻断、检测、响应、预测四个方面结合起来提供更好的安全服务,实现持续的自我进化,自我调整来适应新型、不断变化的攻击类型;与相关应用系统进行集成部署,同时跟应用系统进行联调,方便,快捷,有利于快速部署;
4)预测模块通过检测MOVE方式文件上传脚本文件,检测点Multipart方式文件上传PHP/JSP脚本文件、检测Multipart方式文件上传DLL/EXE文件、检测Multipart方式文件上传HTML/JS文件的方式,准确检测到任意文件上传行为,从而有效防护。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911207196.0A CN111131168A (zh) | 2019-11-30 | 2019-11-30 | 基于Web应用的自适应防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911207196.0A CN111131168A (zh) | 2019-11-30 | 2019-11-30 | 基于Web应用的自适应防护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111131168A true CN111131168A (zh) | 2020-05-08 |
Family
ID=70496413
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911207196.0A Pending CN111131168A (zh) | 2019-11-30 | 2019-11-30 | 基于Web应用的自适应防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111131168A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113489677A (zh) * | 2021-05-27 | 2021-10-08 | 贵州电网有限责任公司 | 一种基于语义上下文的零规则攻击检测方法及装置 |
CN113660243A (zh) * | 2021-08-11 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 应用防护方法、系统、可读存储介质及计算机设备 |
CN114499961A (zh) * | 2021-12-24 | 2022-05-13 | 深圳开源互联网安全技术有限公司 | 一种安全预警方法、装置及计算机可读存储介质 |
-
2019
- 2019-11-30 CN CN201911207196.0A patent/CN111131168A/zh active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113489677A (zh) * | 2021-05-27 | 2021-10-08 | 贵州电网有限责任公司 | 一种基于语义上下文的零规则攻击检测方法及装置 |
CN113660243A (zh) * | 2021-08-11 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 应用防护方法、系统、可读存储介质及计算机设备 |
CN114499961A (zh) * | 2021-12-24 | 2022-05-13 | 深圳开源互联网安全技术有限公司 | 一种安全预警方法、装置及计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Azeez et al. | Intrusion detection and prevention systems: an updated review | |
Cazorla et al. | Cyber stealth attacks in critical information infrastructures | |
Wang et al. | Intrusion prevention system design | |
US8949988B2 (en) | Methods for proactively securing a web application and apparatuses thereof | |
EP2013728B1 (en) | Methods and apparatus providing computer and network security for polymorphic attacks | |
WO2010091186A2 (en) | Method and system for providing remote protection of web servers | |
CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
CN111131168A (zh) | 基于Web应用的自适应防护方法 | |
KR100973076B1 (ko) | 분산 서비스 거부 공격 대응 시스템 및 그 방법 | |
Sequeira | Intrusion prevention systems: security's silver bullet? | |
Bherde et al. | Recent attack prevention techniques in web service applications | |
KR20170046001A (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
Thu | Integrated intrusion detection and prevention system with honeypot on cloud computing environment | |
CN112671781A (zh) | 基于rasp的防火墙系统 | |
KR101767591B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
Singh | Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis | |
KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
US20230105021A1 (en) | Systems and Methods for Adaptive Network Security Based on Unsupervised Behavioral Modeling | |
Syaifuddin et al. | Automation snort rule for XSS detection with honeypot | |
Jayan et al. | Sys-log classifier for complex event processing system in network security | |
Harale et al. | Network based intrusion detection and prevention systems: Attack classification, methodologies and tools | |
Kumar et al. | Recent advances in intrusion detection systems: An analytical evaluation and comparative study | |
US20190173908A1 (en) | Automatic User Session Profiling System for Detecting Malicious Intent | |
Tupakula et al. | Dynamic state-based security architecture for detecting security attacks in virtual machines |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200508 |
|
WD01 | Invention patent application deemed withdrawn after publication |