CN111131168A - 基于Web应用的自适应防护方法 - Google Patents

Abstract

基于Web应用的自适应防护方法，涉及网络安全领域。本发明的基于Web应用的自适应防护方法，其特征在于该防护方法采用和应用集成部署的方式，包括防御、检测、响应以及预测模块，防御模块采用不自动信任来自网络内部和外部的请求；检测模块通过探针深入应用，检测与抵御已知、未知的WEB攻击；响应模块基于自适应安全架构，以持续监控和分析为核心；预测模块通过检测MOVE方式文件上传脚本文件，准确检测到任意文件上传行为，从而有效防护。本技术针对web应用攻击，采用web应用自适应防护技术和系统可以高效率的进行攻击检测、服务器基线检查，有效的防止外部黑客对web应用服务的攻击。

Description

基于Web应用的自适应防护方法

技术领域

本发明涉及网络安全领域，尤其是一种主要针对J2EE的Web应用系统提供安全防护的基于Web应用的自适应防护方法。

背景技术

随着计算机及相关服务逐渐向Web应用平台高度集中发展，Web应用平台已经在各类政府、企业单位的核心业务区域，如电子政务、电子商务、运营商的增值业务等中得到广泛应用。无论是组建对外的信息发布平台，还是组建内部的业务管理系统，都离不开Web站点和Web应用。Web应用技术的迅速发展和广泛应用引起了攻击者的更加重视，针对Web业务的攻击也愈发激烈和严重，服务器操作系统漏洞和Web应用程序本身漏洞成为攻击者入侵的主要途径。藉此，攻击者们可以取得Web应用管理权限，进而窃取商业数据，篡改网页内容，更有甚者，在网页中植入木马，注入恶意脚本，发起跨站脚本或伪造请求等攻击。Web服务器和普通浏览用户均暴露在安全威胁之下。

现有传统Web防护系统的技术原理，传统Web防护产品采用协议分析、模式匹配、流量异常监视等综合技术手段来判断Web攻击行为，可以较准确地发现并阻断各种Web攻击。

传统Web防护产品针对不同的服务器站点，需要对应用配置不同的防护规则；也需要配置不同的流量检查策略。主要对数据包检查方向、HTTP包内容检查深度、HTTP包内容检查点及检查到安全威胁后的处理方式等。网站运维人员或开发人员可以根据网站应用自身的特点，给设备配置合适的安全策略，以提升产品检测效率，降低检测误报率。

传统Web防护系统主要提供Web威胁防御、主动防御、DDOS攻击防护、Web漏洞扫描、SSL加密网关等方式保护用户的Web应用。

Web威胁防御是采用双向数据检测机制，对进出Web服务器的HTTP/HTTPS相关内容进行深度分析。对于进站流量，提供对HTTP请求中URL、表单参数、报头及Cookie等内容的安全检查，过滤其中已被插入数据库命令、查询语句或各种恶意脚本的请求，防止SQL注入、XSS（跨站脚本）等攻击行为，而对于出站流量，通过对HTTP响应报头、HTML内容进行过滤，实现对服务器返回错误码、银行卡信息等的监控与保护，确保敏感信息不被泄露。

主动防御在检测到黑客对网站的攻击行为后，即将该攻击客户端的IP地址划分到黑名单类，在一定时间内将该客户端的所有访问请求直接在网络层做过滤，切断其与网站间的网络通信，避免网站遭受连续的、未知的攻击。

DDOS攻击防护能够对SYNFlood、UDPFlood、ICMPFlood、pingofDeath、Smurf、HTTP-getFlood等各类带宽及资源耗尽型拒绝服务攻击进行有效识别，并通过特有的机制实时对这些攻击流量进行阻断。确保了网站业务的可用性及连续性。

某些Web防护产品是内部集成了Web漏洞扫描功能，该功能基于高性能的扫描引擎及庞大的漏洞信息库。扫描内容涵盖SQL注入、XSS等OWASPTop10常见漏洞。

SSL加密网关技术是利用内置的SSL加密功能防止在互联网上传输的敏感信息被非法窃听。

传统Web防护系统在对Web应用进行安全防护的时候，主要有以下缺点：

1）传统WAF类设备是主要基于静态的特征关键字去判断网络攻击，只有不断的更新特征库，才能有效防止新出现的攻击行为，这就导致特征库越来越大；

2）传统Web防护手段都是基于已知的威胁，采用固定的安全防护策略进行防护；

3）传统的Web防护手段是基于明文的网络流量进行检测，这对设备的性能要求较高，容易出现性能处理瓶颈，如果网络流量超出设备最大处理能力，将导致网络延迟，影响Web应用的访问；

4）由于传统的Web防护设备采用单独的硬件串联部署，这也增加了一个网络节点，同时也增加了一个故障点。

5）传统应用防护系统，采用独立部署的方式，对部署SSL的应用无法防护；

6)发现应用漏洞后，应用受限于版本发布周期、安全管控等因素影响无法对漏洞进行修改，或者漏洞影响的代码范围太广，短期内无法修补漏洞。

发明内容

本发明所要解决的就是现有Web防护系统的安全问题，提供一种主要针对J2EE的Web应用系统提供安全防护的基于Web应用的自适应防护方法。

本发明的基于Web应用的自适应防护方法，其特征在于该防护方法采用和应用集成部署的方式，包括防御、检测、响应以及预测模块，其中：

1）防御模块采用不自动信任来自网络内部和外部的请求，应用需要形成自身的防护网，经检测有威胁的请求均予以拦截；

2）检测模块通过探针深入应用，检测与抵御已知、未知的WEB攻击，保证企业WEB应用安全，解决目前所面临的各类WEB安全问题；

3）响应模块基于自适应安全架构，以持续监控和分析为核心，将阻断、检测、响应、预测四个方面结合起来提供更好的安全服务，实现持续的自我进化，自我调整来适应新型、不断变化的攻击类型；与相关应用系统进行集成部署，同时跟应用系统进行联调，方便，快捷，有利于快速部署；

4）预测模块通过检测MOVE方式文件上传脚本文件，检测点Multipart方式文件上传PHP/JSP脚本文件、检测Multipart方式文件上传DLL/EXE文件、检测Multipart方式文件上传HTML/JS文件的方式，准确检测到任意文件上传行为，从而有效防护。

本申请提案采用有别于传统WEB应用防护的方式，针对特定的攻击进行精准拦截及防护，对症下药，而不是一把抓。这种防护手段不影响现有网络的组网、不受网络流量的影响，能更快的对漏洞或攻击进行响应。

本技术针对web应用攻击，采用web应用自适应防护技术和系统可以高效率的进行攻击检测、服务器基线检查，有效的防止外部黑客对web应用服务的攻击。这种web应用自适应防护技术和系统具有如下优点：

1、更安全可靠的边界：不自动信任任何设备和访问者，构建应用自身防护网，重新定义应用间的边界，有效抵御东西向、南北向流量；

2、更全面精准的防护：挂钩关键函数，深度监控应用执行流。在数据库、网络、文件系统等多个层面，对应用进行全面的监控和防护；

3、更快的漏洞响应：发生攻击时，自动识别用户输入。结合语义引擎、应用堆栈、请求上下文，零规则检测威胁；

4、更少的误报和漏报：在问题发生的地方监控问题、解决问题，运行在应用内部，失败的攻击不会触发检测逻辑，每条报警都是成功的攻击；

5、更好的性能更低的延迟：高并发压力下，接口响应时间延迟<8ms，相比传统WAF串联部署性能更好、效率更高；

6、更少的维护成本：与运行环境及开发语言无缝融合，无需修改代码和网络结构，即装即用，方便快捷。统一管理后台，攻击数据可视化，防护策略一键下发。

具体实施方式

实施例1：一种基于Web应用的自适应防护方法，其特征在于该防护方法采用和应用集成部署的方式，包括防御、检测、响应以及预测模块，其中：

1）防御模块采用不自动信任来自网络内部和外部的请求，应用需要形成自身的防护网，经检测有威胁的请求均予以拦截；

2）检测模块通过探针深入应用，检测与抵御已知、未知的WEB攻击，保证企业WEB应用安全，解决目前所面临的各类WEB安全问题；

3）响应模块基于自适应安全架构，以持续监控和分析为核心，将阻断、检测、响应、预测四个方面结合起来提供更好的安全服务，实现持续的自我进化，自我调整来适应新型、不断变化的攻击类型；与相关应用系统进行集成部署，同时跟应用系统进行联调，方便，快捷，有利于快速部署；

4）预测模块通过检测MOVE方式文件上传脚本文件，检测点Multipart方式文件上传PHP/JSP脚本文件、检测Multipart方式文件上传DLL/EXE文件、检测Multipart方式文件上传HTML/JS文件的方式，准确检测到任意文件上传行为，从而有效防护。

Claims (1)

1.一种基于Web应用的自适应防护方法，其特征在于该防护方法采用和应用集成部署的方式，包括防御、检测、响应以及预测模块，其中：

1）防御模块采用不自动信任来自网络内部和外部的请求，应用需要形成自身的防护网，经检测有威胁的请求均予以拦截；

2）检测模块通过探针深入应用，检测与抵御已知、未知的WEB攻击，保证企业WEB应用安全，解决目前所面临的各类WEB安全问题；

3）响应模块基于自适应安全架构，以持续监控和分析为核心，将阻断、检测、响应、预测四个方面结合起来提供更好的安全服务，实现持续的自我进化，自我调整来适应新型、不断变化的攻击类型；与相关应用系统进行集成部署，同时跟应用系统进行联调，方便，快捷，有利于快速部署；

4）预测模块通过检测MOVE方式文件上传脚本文件，检测点Multipart方式文件上传PHP/JSP脚本文件、检测Multipart方式文件上传DLL/EXE文件、检测Multipart方式文件上传HTML/JS文件的方式，准确检测到任意文件上传行为，从而有效防护。