CN111917691A - 一种基于虚假响应的web动态自适应防御系统及防御方法 - Google Patents

Abstract

本发明提出一种基于虚假响应的WEB动态自适应防御系统及防御方法。基于移动目标防御的理念，在受保护的WEB服务器周围构建若干可动态变换的虚假WEB服务器，在虚假的WEB服务器上构建虚假的敏感数据、虚假应用、虚假漏洞等，欺骗黑客对虚假的WEB服务器进行攻击。当识别已知攻击或可疑行为时，将其引入到虚假WEB服务器中，攻击者进入虚假环境中后会在虚假环境中执行后续攻击动作，直到攻击结束，从而有效防御攻击者的多次尝试攻击，同时对未知WEB攻击也具有较好的防御能力。此外，通过在虚假环境中持续观察攻击行为，可自动提取WEB攻击特征，动态自适应地调整攻击检测规则，提高了防御系统的动态自适应能力。

Description

一种基于虚假响应的WEB动态自适应防御系统及防御方法

技术领域

本发明涉及网络安全领域，尤其涉及一种基于虚假响应的WEB动态自适应防御系统及防御方法。

背景技术

随着网络技术的快速发展，互联网已经成为人类生产和生活中不可或缺的一部分，信息化的浪潮影响着现代文明社会的每一个角落。根据中国互联网络信息中心发布的统计报告，截至2018年6月30日，我国网民规模达8.02亿，普及率为57.7％；手机网民规模达7.88亿，我国网络支付用户规模达到5.69亿。在众多的网络服务中，万维网(WorldWideWeb，简称WEB或WWW)已成为使用最广泛的网络服务，WEB上提供的资源和信息对人类生产生活产生了深远的影响。然而，由于互联网的开放性，WEB代码中存在的漏洞、管理员配置缺陷等使得WEB安全问题不断涌现，攻击者利用扫描、监听、探测、欺骗等技术手段，可以轻易对WEB服务器进行入侵和攻击，如拒绝服务攻击、非授权访问、机密信息窃取、后门程序安装、蠕虫病毒传播等。计算机技术的快速更新迭代使攻击手段日益复杂，随着对Web应用程序越来越依赖，Web已成为黑客首选的攻击对象之一，通过攻击WEB服务器，黑客可以窃取用户机密数据，控制服务器系统，宣泄非法诉求等。

现有的WEB防御手段包括入侵检测、WEB应用防火墙(Web Application Firewall，简称WAF)等。入侵检测收集系统中的网络数据包或关键节点的信息，以发现违反系统安全策略或导致故障的行为。入侵检测系统监视和分析主机、网络行为和系统日志，根据检测方法不同可分为误用检测和异常检测。误用入侵检测通过构建攻击特征库来识别攻击，对已知攻击具有很高的检测率，但是不能识别未知攻击。异常入侵检测利用主机和网络行为构建系统正常模式，把与正常模式偏离较大的主机或网络行为判定为攻击，该类方法对未知攻击具有一定的检测能力，但是往往误报率较高。WAF结合传统包过滤防火墙和应用代理防火墙的功能，能限制恶意IP或端口对WEB服务器的访问，同时也能对HTTP/HTTPS流量执行相应的防护策略，是目前主流的WEB商用安全防护产品。但是，WAF的检测原理主要基于规则，而黑客针对WEB服务器的攻击往往呈现出持续性特征，如果一次攻击失败，黑客将重新搜集WAF脆弱信息或利用自动化工具不断发起新的攻击尝试，直至攻击成功。黑客只需要找到WAF的一个脆弱点就有可能成功“绕过”WAF，而WAF需要做到全面防护才能阻断攻击。因此，现有的WAF产品在面对层出不穷的WEB攻击，往往显得力不从心，攻防双方呈现“易攻难守”的安全态势。

由于系统架构和配置方法固有的静态性，现有的防护技术主要是集中于加强网络静态对抗能力。对未知的WEB攻击模式和渗透方式、未公开的WEB漏洞及其利用技术、攻击者预先植入其中的软硬件隐蔽后门等缺乏有效的防护能力。一旦某些较严重的漏洞被攻击者发现，就有可能被其利用，在未授权的情况下访问或破坏WEB服务器。此外，攻击者可以持续性地分析和积累对WEB服务器的认识，有充足的时间分析WEB代码和管理配置可能存在的缺陷，找到其中的漏洞，从而逐步渗透目标，最终实现攻击目的。

发明内容

为了有效缓解针对WEB的攻击，提高对未知WEB攻击和攻击者多次尝试攻击的识别和防御能力，本发明另辟蹊径，提出一种基于虚假响应的WEB动态自适应防御系统及防御方法。其基本技术思想是：基于移动目标防御的理念，在受保护的WEB服务器周围构建若干可动态变换的虚假WEB服务器，这些虚假的WEB服务器是真实WEB服务器的“影子”，提供类似的WEB服务，其硬件环境与真实WEB服务器基本一致(可用物理机部署，也可在虚拟机上实现)，部分数据和应用从真实WEB服务器中同步。此外，在虚假的WEB服务器上构建虚假的敏感数据、虚假应用、虚假漏洞等，欺骗黑客对虚假的WEB服务器进行攻击。当识别已知攻击或可疑行为时，将其引入到虚假WEB服务器中，攻击者进入虚假环境中后会在虚假环境中执行后续攻击动作，直到攻击结束，从而有效防御了攻击者的多次尝试攻击，同时对未知WEB攻击也具有较好的防御能力。此外，通过在虚假环境中持续观察攻击行为，可自动提取WEB攻击特征，动态自适应地调整攻击检测规则，提高了防御系统的动态自适应能力。

为实现上述发明目的，本发明所提供的技术方案是：

一种基于虚假响应的WEB动态自适应防御系统，包括

流量检测与转发单元，实现WEB攻击检测和流量转发，对于用户正常的通信，将流量转发至真实WEB服务器，对于攻击流量，转发至虚假WEB服务器群，由虚假WEB服务器对攻击者进行响应；

虚假WEB服务器群，包含若干个虚假WEB服务器，用于对WEB攻击进行虚假响应，同时观察攻击行为，自动提取攻击指纹信息；

WEB服务器同步单元，用于定期把真实WEB服务器上的公开数据和网站代码同步到各个虚假WEB服务器上；

虚假响应后台支持单元，用于生成虚假数据和虚假应用，并执行动态变换；

检测规则更新单元，用于根据虚假WEB服务器群提供的攻击指纹信息，更新攻击检测规则；

日志单元，用于生成多维日志信息。

进一步的根据前述的基于虚假响应的WEB动态自适应防御系统，所述流量检测与转发单元实现WEB攻击检测和流量转发，设置一个攻击特征库，利用当前公开、常见的技术方法检测WEB攻击，攻击特征包括但不限于用户的源IP、用户访问目标、用户账户、已知攻击的特征字段等。对于用户正常的通信，将流量转发至真实WEB服务器，对于攻击流量，转发至虚假WEB服务器群，由虚假WEB服务器对攻击者进行响应。

进一步的根据前述的基于虚假响应的WEB动态自适应防御系统，所述虚假WEB服务器群包含若干个虚假WEB服务器，其硬件环境与真实WEB服务器基本一致(可用物理机部署，也可在虚拟机上实现)，部分数据和应用从真实WEB服务器上同步，虚假WEB服务器提供与真实WEB服务器类似的服务。WEB服务器的操作系统类型包括Windows、Linux等，且同一种操作系统又具有多个不同的版本，虚假WEB服务器的操作系统类型及操作系统版本可以与真实WEB服务器一致，也可以不同。WEB基础软件包括apache、ngix、php、java、mysql、ssl、openssl、oracel等，且每一个软件具有多个不同的版本，虚假WEB服务器的WEB基础软件类型及版本可以与真实WEB服务器一致，也可以不同，只需能实现相同的功能即可。无论采用与真实WEB服务器相同或不同的操作系统及版本、WEB基础软件及版本，都是本发明的所保护的技术范畴，由于不同的操作系统及版本、不同的WEB基础软件及版本上可能存在不同的软件漏洞或脆弱信息，因此如果利用多样性的操作系统和WEB基础软件构建虚假WEB服务器群，可诱导攻击者对虚假WEB服务器开展不同类型的漏洞利用和攻击行为，有利于更广泛、全面地观察攻击者并搜集攻击特征。虚假WEB服务器上的公开数据和网站代码从真实服务器上同步并保持一致，通过使用与真实WEB服务器相同的公开数据和网站源代码，虚假WEB服务器与真实WEB服务器对外提供的业务基本保持一致，这样攻击者无法通过网站内容来判断自己所处的环境。此外，还需要伪造一些敏感数据、文件、虚假应用、虚假漏洞对攻击者进行诱捕，优选的包括但不限于网页注释、敏感目录、虚假SQL漏洞、用户密码、管理员联系方式、SSH密钥等，吸引攻击者对虚假WEB服务器进行持续攻击。当新的请求到达虚假WEB服务器群时，可采用随机或轮询的方式选择一个虚假WEB服务器来对攻击者进行虚假响应。此外，每个虚假WEB服务器上内置一个攻击指纹提取模块，用于对攻击者的攻击行为进行观察并自动提取攻击指纹信息，攻击指纹信息优选的包括但不限于攻击者的IP、用户账号、访问链接、攻击字段等，攻击指纹信息将发送至检测规则更新单元，用于生成新的攻击检测规则。

进一步的根据前述的基于虚假响应的WEB动态自适应防御系统，所述WEB服务器同步单元用于定期把真实WEB服务器上的公开数据和网站代码同步到各个虚假WEB服务器上，使虚假WEB服务器对外提供的服务与真实WEB服务器基本保持一致，使得攻击者无法识别虚假WEB环境。

进一步的根据前述的基于虚假响应的WEB动态自适应防御系统，所述虚假响应后台支持单元包括虚假数据生成模块、虚假应用生成模块和动态变换模块，虚假数据生成模块和虚假应用生成模块用于为虚假WEB服务器生成敏感数据、文件、虚假应用、虚假漏洞，对攻击者进行诱捕，动态变换模块用于对虚假WEB服务器上的虚假数据和虚假应用信息进行动态变换。

进一步的根据前述的基于虚假响应的WEB动态自适应防御系统，所述检测规则更新单元根据虚假WEB服务器群发送过来的攻击指纹信息，生成新的攻击检测规则并通知流量检测和转发单元对攻击特征库进行更新，所述攻击检测规则包括但不限于攻击者的源IP、用户账户、访问链接、攻击字段等。

进一步的根据前述的基于虚假响应的WEB动态自适应防御系统，所述日志单元用于生成日志信息，包括攻击日志、上下行流量统计日志、虚假数据和虚假应用生成日志、攻击检测规则更新日志等，通过丰富的多维展示，实现WEB攻击全网威胁可视化。

进一步的根据前述的基于虚假响应的WEB动态自适应防御系统，在真实WEB服务器上设置一些“陷阱”目标，如敏感目录、管理员密码、伪造的机密文件等，正常合法用户不知道这些“陷阱”目标的存在，也没有对这些“陷阱”目标进行访问的需求。可把对真实WEB服务器上述“陷阱”目标的访问设置为攻击检测规则并配置于流量检测和转发单元，以增强对攻击者的诱捕。当攻击者对上述“陷阱”目标进行访问时，判定为攻击行为，将流量转发至虚假WEB服务器。

一种基于虚假响应的WEB动态自适应防御方法，包括以下步骤：

步骤(1)、构建WEB攻击特征库，攻击特征包括但不限于用户的源IP、用户访问链接、用户账户、已知攻击的特征字段等；

步骤(2)、为受保护的真实WEB服务器生成若干虚假WEB服务器，虚假WEB服务器硬件环境与真实WEB服务器基本一致(可用物理机部署，也可在虚拟机上实现)，虚假WEB服务器的操作系统类型及操作系统版本可以与真实WEB服务器一致，也可以不同，虚假WEB服务器的WEB基础软件类型及版本可以与真实WEB服务器一致，也可以不同，只需能实现相同的功能即可。虚假WEB服务器上的数据和应用按照如下方式生成：

(2-1)：虚假WEB服务器上的公开数据和网站代码从真实服务器上同步并保持一致，通过使用与真实WEB服务器相同的公开数据和网站源代码，虚假WEB服务器与真实WEB服务器对外提供的业务基本一致，这样攻击者无法通过网站内容来判断自己所处的环境；

(2-2)：伪造一些敏感数据、文件、虚假应用、虚假漏洞对攻击者进行诱捕，优选的包括但不限于网页注释、敏感目录、虚假SQL漏洞、用户密码、管理员联系方式、SSH密钥等，吸引攻击者对虚假WEB服务器进行持续攻击；

步骤(3)、利用攻击特征库对用户流量进行检测，对于用户正常的通信，将流量转发至真实WEB服务器，对于攻击流量，转发至虚假WEB服务器群，虚假WEB服务器群采用随机或轮询的方式选择一个虚假WEB服务器对攻击者进行响应；

步骤(4)、在虚假WEB服务器上对攻击者的攻击行为进行观察并自动提取攻击指纹信息，攻击指纹信息优选的包括但不限于攻击者的IP、用户账号、访问链接、攻击字段等，根据攻击指纹信息生成新的攻击检测规则并对攻击特征库进行更新，所述攻击检测规则包括但不限于攻击者的源IP、用户账户、攻击字段等；

步骤(5)、从真实WEB服务器上同步公开数据和网站代码至虚假WEB服务器，对虚假WEB服务器上的虚假数据和虚假应用信息进行动态变换。

本发明所述基于虚假响应的WEB动态自适应防御系统部署在真实WEB服务器的前面，能全面实时地监控用户与真实WEB服务器之间的通信。对于用户正常的通信，将流量转发至真实WEB服务器，对于攻击流量，转发至虚假WEB服务器，由虚假WEB服务器对攻击者进行响应。此外，本系统可与目标网络中已有的WAF配合使用，此时系统部署于WAF和真实WEB服务器之间，可把WAF判定为正常的流量转发至真实WEB服务器，把WAF判定为攻击的流量转发至虚假WEB服务器中。

本发明的有益效果：

1)、布置本发明提出的基于虚假响应的WEB动态自适应防御系统，在受保护的WEB服务器周围构建若干可动态变换的虚假WEB服务器，这些虚假的WEB服务器是真实WEB服务器的“影子”，可对攻击者进行诱捕，有效迷惑攻击者，使其无法准确获得真实WEB服务器的脆弱信息，有效降低未知漏洞的利用价值并进一步使攻击者针对真实WEB服务器的网络探测和信息搜集无效化，有效维护了真实WEB服务器的安全稳定。

2)、布置本发明提出的基于虚假响应的WEB动态自适应防御系统，攻击者对WEB服务器进行多次尝试攻击均是在虚假环境中执行，且虚假WEB服务器信息可进行随机动态变化。本系统给攻击者呈现一个复杂多样、动态变化的网络环境，虚假WEB服务器信息的动态变化能打破攻击者的攻击积累，拖延攻击者的时间，增加攻击者的攻击难度。

3)、布置本发明提出的基于虚假响应的WEB动态自适应防御系统，可在虚假环境中持续观察攻击者的攻击行为，搜集攻击指纹信息并形成攻击特征，一方面可用于自动更新攻击检测规则，另一方面也可用于针对攻击者的追踪溯源。

4)布置本发明提出的基于虚假响应的WEB动态自适应防御系统，无需改变WEB服务器所在网络的物理拓扑结构，不改变用户的访问习惯，能与目标网络中已有的WAF产品配合使用，安装和维护成本低。

5)、经样机使用实践证明，本发明能有效抵御攻击者针对WEB服务器的多次尝试攻击，对未知WEB攻击也有较好的防御能力，且本发明所述方案在现有网络中容易布置、操作简单、安全可靠，具有显著的经济社会效益和广阔的市场推广应用前景。

附图说明

图1是本发明所述基于虚假响应的WEB动态自适应防御系统简图；

图2是本发明所述基于虚假响应的WEB动态自适应防御系统内部结构详细示意图。

具体实施方式

以下结合附图对本发明的技术方案进行详细的描述，以使本领域技术人员能够更加清楚的理解本发明的方案，但并不因此限制本发明的保护范围。

随着信息技术的快速发展，互联网已经成为人类社会生产和日常生活不可或缺的一部分，但与之俱来的网络安全问题也日趋严重。网络安全已成为影响全球经济安全运行、政治稳定发展的重要因素，国际社会和各国都普遍在探索如何加强对网络安全问题的治理，WEB攻击作为黑客首选的网络攻击手段，成为网络安全的首号威胁，且WEB安全威胁有愈演愈烈之势。当前常见的WEB攻击包括跨脚本攻击、跨站请求伪造攻击、SQL注入攻击、文件上传攻击、DDoS攻击等。

在现有的互联网架构下，网络安全产品采用的技术包括杀毒软件技术、防火墙技术、入侵检测技术、数据加密技术等，在一定程度上保护了WEB服务器的安全。但是，由于网络、主机系统架构的静态性以及漏洞的不可避免，现有的安全防护技术在不断发展的攻击技术面前往往显得力不从心，攻击者往往有充足的时间分析网络架构、网站代码、服务器配置并找出其中的漏洞，从而逐步渗透，通过多次尝试攻击实现攻击目标。因此，研究如何有效缓解WEB攻击带来的威胁，具有重要的现实意义。

首先说明本发明的技术创新原理。本发明基于移动目标防御(MTD，Moving TargetDefense)的新型网络防御思想，利用网络欺骗技术构建虚假WEB环境。移动目标防御，它不同于以往的网络安全思路，旨在部署和运行不确定、随机动态的网络和系统，让攻击者难以发现目标，可以大大降低漏洞被暴露的概率，改变网络防御被动的态势，真正实现“主动”防御。本发明基于移动目标防御的思路，保持原有WEB服务器网络架构和配置的完整性，并最小化操作管理，在正常用户的WEB访问不受影响的情况下，在受保护的WEB服务器周围构建若干可动态变换的虚假WEB服务器，这些虚假的WEB服务器是真实WEB服务器的“影子”，提供类似的WEB服务，对攻击者进行诱捕，有效迷惑攻击者，使其无法准确获得真实WEB服务器的脆弱信息，大大降低WEB攻击成功的概率。

本发明所述基于虚假响应的WEB动态自适应防御系统及其防御方法引入移动目标防御的理念来应对WEB攻击。为了有效提高对未知WEB攻击和攻击者多次尝试攻击的识别和防御能力，在受保护的WEB服务器周围构建若干可动态变换的虚假WEB服务器，这些虚假的WEB服务器是真实WEB服务器的“影子”，提供类似的WEB服务，其硬件环境与真实WEB服务器基本一致(可用物理机部署，也可在虚拟机上实现)，部分数据和应用从真实WEB服务器中同步。此外，在虚假的WEB服务器上构建虚假的敏感数据、虚假应用、虚假漏洞等，欺骗黑客对虚假的WEB服务器进行攻击。当识别已知攻击或可疑行为时，将其引入到虚假WEB服务器中，攻击者进入虚假环境中后会在虚假环境中执行后续攻击动作，直到攻击结束，从而有效防御了攻击者的多次尝试攻击，同时对未知WEB攻击也具有较好的防御能力。此外，通过在虚假环境中持续观察针对WEB的攻击行为，可自动提取攻击特征，动态自适应地调整攻击检测规则，提高了防御系统的动态自适应能力。

本发明所述基于虚假响应的WEB动态自适应防御系统部署在真实WEB服务器的前面，能全面实时地监控用户与真实WEB服务器之间的通信。本发明所述基于虚假响应的WEB动态自适应防御系统首先利用当前公开、常见的技术方法检测WEB攻击，如用户的源IP是否为互联网上公开的恶意IP、用户访问目标是否为非授权、数据包中是否匹配已知攻击的特征字段等。对于用户正常的通信，将流量转发至真实WEB服务器，对于攻击流量，转发至虚假WEB服务器，由虚假WEB服务器对攻击者进行响应。与此同时，虚假WEB服务器上内置攻击指纹提取模块，能自动提取攻击指纹信息，攻击指纹信息优选的包括但不限于攻击者的IP、用户账号、访问链接、攻击字段等，一方面可用于更新攻击检测规则，提高系统攻击检测的动态自适应能力，另一方面也可用于对攻击者的追踪溯源。此外，本系统可与目标网络中已有的WAF配合使用，此时系统部署于WAF和真实WEB服务器之间，可把WAF判定为正常的流量转发至真实WEB服务器，把WAF判定为攻击的流量转发至虚假WEB服务器中。

下面结合附图详细描述本发明所述基于虚假响应的WEB动态自适应防御系统及其防御方法的原理和工作过程，优选的包括如下第一优选实施方式和第二优选实施方式。

第一优选实施方式

如图1所示，作为第一优选实施方式，本发明所述的基于虚假响应的WEB动态自适应防御系统包括流量检测与转发单元、虚假WEB服务器群、WEB服务器同步单元、虚假响应后台支持单元、检测规则更新单元和日志单元。

所述流量检测与转发单元实现WEB攻击检测和流量转发，设置一个攻击特征库，利用当前公开、常见的技术方法检测WEB攻击，攻击特征包括但不限于用户的源IP、用户访问目标、用户账户、已知攻击的特征字段等。对于用户正常的通信，将流量转发至真实WEB服务器，对于攻击流量，转发至虚假WEB服务器群，由虚假WEB服务器对攻击者进行响应。

所述虚假WEB服务器群包含若干个虚假WEB服务器，其硬件环境与真实WEB服务器基本一致(可用物理机部署，也可在虚拟机上实现)，部分数据和应用从真实WEB服务器上同步，虚假WEB服务器提供与真实WEB服务器类似的服务。WEB服务器的操作系统类型包括Windows、Linux等，且同一种操作系统又具有多个不同的版本，虚假WEB服务器的操作系统类型及操作系统版本可以与真实WEB服务器一致，也可以不同。WEB基础软件包括apache、ngix、php、java、mysql、ssl、openssl、oracel等，且每一个软件具有多个不同的版本，虚假WEB服务器的WEB基础软件类型及版本可以与真实WEB服务器一致，也可以不同，只需能实现相同的功能即可。无论采用与真实WEB服务器相同或不同的操作系统及版本、WEB基础软件及版本，都是本发明的所保护的技术范畴，由于不同的操作系统及版本、不同的WEB基础软件及版本上可能存在不同的软件漏洞或脆弱信息，因此如果利用多样性的操作系统和WEB基础软件构建虚假WEB服务器群，可诱导攻击者对虚假WEB服务器开展不同类型的漏洞利用和攻击行为，有利于更广泛、全面地观察攻击者并搜集攻击特征。虚假WEB服务器上的公开数据和网站代码从真实服务器上同步并保持一致，通过使用与真实WEB服务器相同的公开数据和网站源代码，虚假WEB服务器与真实WEB服务器对外提供的业务基本保持一致，这样攻击者无法通过网站内容来判断自己所处的环境。此外，还需要伪造一些敏感数据、文件、虚假应用、虚假漏洞对攻击者进行诱捕，优选的包括但不限于网页注释、敏感目录、虚假SQL漏洞、用户密码、管理员联系方式、SSH密钥等，吸引攻击者对虚假WEB服务器进行持续攻击。当新的请求到达虚假WEB服务器群时，可采用随机或轮询的方式选择一个虚假WEB服务器来对攻击者进行虚假响应。此外，每个虚假WEB服务器上内置一个攻击指纹提取模块，用于对攻击者的攻击行为进行观察并自动提取攻击指纹信息，攻击指纹信息优选的包括但不限于攻击者的IP、用户账号、访问链接、攻击字段等，攻击指纹信息将发送至检测规则更新单元，用于生成新的攻击检测规则。

所述WEB服务器同步单元用于定期把真实WEB服务器上的公开数据和网站代码同步到各个虚假WEB服务器上，使虚假WEB服务器对外提供的服务与真实WEB服务器基本保持一致，使得攻击者无法识别虚假WEB环境。

所述虚假响应后台支持单元包括虚假数据生成模块、虚假应用生成模块和动态变换模块，虚假数据生成模块和虚假应用生成模块用于为虚假WEB服务器生成敏感数据、文件、虚假应用、虚假漏洞，对攻击者进行诱捕，动态变换模块用于对虚假WEB服务器上的虚假数据和虚假应用信息进行动态变换。

所述检测规则更新单元根据虚假WEB服务器群发送过来的攻击指纹信息，生成新的攻击检测规则并通知流量检测和转发单元对攻击特征库进行更新，所述攻击检测规则包括但不限于攻击者的源IP、用户账户、访问链接、攻击字段等。

所述日志单元用于生成日志信息，包括攻击日志、上下行流量统计日志、虚假数据和虚假应用生成日志、攻击检测规则更新日志等，通过丰富的多维展示，实现WEB攻击全网威胁可视化。

这样在互联网上布置本发明所述基于虚假响应的WEB动态自适应防御系统，攻击者利用技术手段对目标WEB服务器进行探测和攻击，并不能获得目标WEB服务器真实的漏洞信息，攻击者的攻击行为均在虚假WEB服务器上进行，因此有效隔离了真实WEB服务器，攻击者利用多次尝试攻击并不能突破本系统。此外，通过在虚假WEB环境中持续观察并收集攻击指纹信息，可有助于发现未知的攻击模式或未知的漏洞信息，有效维护了目标WEB服务器的安全稳定。

本发明进一步的提出基于上述WEB防御系统的WEB动态自适应防御方法，包括以下步骤：

步骤(1)、构建WEB攻击特征库，攻击特征包括但不限于用户的源IP、用户访问链接、用户账户、已知攻击的特征字段等；

步骤(2)、为受保护的真实WEB服务器生成若干虚假WEB服务器，虚假WEB服务器硬件环境与真实WEB服务器基本一致(可用物理机部署，也可在虚拟机上实现)，虚假WEB服务器的操作系统类型及操作系统版本可以与真实WEB服务器一致，也可以不同，虚假WEB服务器的WEB基础软件类型及版本可以与真实WEB服务器一致，也可以不同，只需能实现相同的功能即可。虚假WEB服务器上的数据和应用按照如下方式生成：

(2-1)：虚假WEB服务器上的公开数据和网站代码从真实服务器上同步并保持一致，通过使用与真实WEB服务器相同的公开数据和网站源代码，虚假WEB服务器与真实WEB服务器对外提供的业务基本一致，这样攻击者无法通过网站内容来判断自己所处的环境；

(2-2)：伪造一些敏感数据、文件、虚假应用、虚假漏洞对攻击者进行诱捕，优选的包括但不限于网页注释、敏感目录、虚假SQL漏洞、用户密码、管理员联系方式、SSH密钥等，吸引攻击者对虚假WEB服务器进行持续攻击；

步骤(3)、利用攻击特征库对用户流量进行检测，对于用户正常的通信，将流量转发至真实WEB服务器，对于攻击流量，转发至虚假WEB服务器群，虚假WEB服务器群采用随机或轮询的方式选择一个虚假WEB服务器对攻击者进行响应；

步骤(4)、在虚假WEB服务器上对攻击者的攻击行为进行观察并自动提取攻击指纹信息，攻击指纹信息优选的包括但不限于攻击者的IP、用户账号、访问链接、攻击字段等，根据攻击指纹信息生成新的攻击检测规则并对攻击特征库进行更新，所述攻击检测规则包括但不限于攻击者的源IP、用户账户、攻击字段等；

步骤(5)、从真实WEB服务器上同步公开数据和网站代码至虚假WEB服务器，对虚假WEB服务器上的虚假数据和虚假应用信息进行动态变换。

本领域技术人员可在第一实施方式的基础上，进一步地根据需要将更多的信息包括于虚假WEB服务器中，这取决于系统的具体应用领域，但都属于本发明的技术构思范畴。

第二优选实施方式

本发明的第二优选实施方式所述的基于虚假响应的WEB动态自适应防御系统及其防御方法，与上述第一优选实施方式的区别在于，在真实WEB服务器上设置一些“陷阱”目标，如敏感目录、管理员密码、伪造的机密文件等，正常合法用户不知道这些“陷阱”目标的存在，也没有对这些“陷阱”目标进行访问的需求。可把对真实WEB服务器上述“陷阱”目标的访问设置为攻击检测规则并配置于流量检测和转发单元，以增强对攻击者的诱捕。当攻击者对上述“陷阱”目标进行访问时，判定为攻击行为，将流量转发至虚假WEB服务器。

本发明提出一种基于虚假响应的WEB动态自适应防御系统及防御方法，基于移动目标防御的理念，在受保护的WEB服务器周围构建若干可动态变换的虚假WEB服务器，在虚假的WEB服务器上构建虚假的敏感数据、虚假应用、虚假漏洞等，欺骗黑客对虚假的WEB服务器进行攻击。当识别已知攻击或可疑行为时，将其引入到虚假WEB服务器中，攻击者进入虚假环境中后会在虚假环境中执行后续攻击动作，直到攻击结束，从而有效防御了攻击者的多次尝试攻击，同时对未知WEB攻击也具有较好的防御能力。此外，通过在虚假环境中持续观察攻击行为，可自动提取WEB攻击特征，动态自适应地调整攻击检测规则，提高了防御系统的动态自适应能力。

以上仅是对本发明的优选实施方式进行了描述，并不将本发明的技术方案限制于此，本领域技术人员在本发明的主要技术构思的基础上所作的任何公知变形都属于本发明所要保护的技术范畴，本发明具体的保护范围以权利要求书的记载为准。

Claims (9)

1.一种基于虚假响应的WEB动态自适应防御系统，其特征在于，包括流量检测与转发单元、虚假WEB服务器群、WEB服务器同步单元、虚假响应后台支持单元和检测规则更新单元；所述流量检测与转发单元实现WEB攻击检测和流量转发；所述虚假WEB服务器群包含若干个虚假WEB服务器，对WEB攻击进行虚假响应，同时观察攻击行为，自动提取攻击指纹信息；所述WEB服务器同步单元定期把真实WEB服务器上的公开数据和网站代码同步到各个虚假WEB服务器上；所述虚假响应后台支持单元为虚假WEB服务器生成虚假数据和虚假应用，并执行动态变换；所述检测规则更新单元根据虚假WEB服务器群提供的攻击指纹信息，更新攻击检测规则。

2.根据权利要求1所述基于虚假响应的WEB动态自适应防御系统，其特征在于，所述流量检测与转发单元设置一个攻击特征库，利用当前公开、常见的技术方法检测WEB攻击，攻击特征包括但不限于用户的源IP、用户访问目标、用户账户、已知攻击的特征字段等。对于用户正常的通信，将流量转发至真实WEB服务器，对于攻击流量，转发至虚假WEB服务器群，由虚假WEB服务器对攻击者进行响应。

3.根据权利要求1所述基于虚假响应的WEB动态自适应防御系统，其特征在于，所述虚假WEB服务器上的公开数据和网站代码从真实WEB服务器上同步并保持一致，通过使用与真实WEB服务器相同的公开数据和网站源代码，虚假WEB服务器与真实WEB服务器对外提供的业务基本保持一致。

4.根据权利要求1、3所述基于虚假响应的WEB动态自适应防御系统，其特征在于，在所述虚假WEB服务器上伪造敏感数据、文件、虚假应用、虚假漏洞对攻击者进行诱捕，优选的包括但不限于网页注释、敏感目录、虚假SQL漏洞、用户密码、管理员联系方式、SSH密钥等，吸引攻击者对虚假WEB服务器进行持续攻击，当新的请求到达虚假WEB服务器群时，可采用随机或轮询的方式选择一个虚假WEB服务器来对攻击者进行虚假响应。

5.根据权利要求1、3-4所述基于虚假响应的WEB动态自适应防御系统，所述虚假WEB服务器攻击指纹提取模块，对攻击者的攻击行为进行观察并自动提取攻击指纹信息，所述攻击指纹信息优选的包括但不限于攻击者的IP、用户账号、访问链接、攻击字段。

6.根据权利要求1所述基于虚假响应的WEB动态自适应防御系统，其特征在于，

所述虚假响应后台支持单元包括虚假数据生成模块、虚假应用生成模块和动态变换模块，所述虚假数据生成模块和所述虚假应用生成模块用于为虚假WEB服务器生成敏感数据、文件、虚假应用、虚假漏洞对攻击者进行诱捕，所述动态变换模块用于对虚假WEB服务器上的虚假数据和虚假应用信息进行动态变换。

7.根据权利要求1所述基于虚假响应的WEB动态自适应防御系统，其特征在于，

所述检测规则更新单元根据虚假WEB服务器群发送过来的攻击指纹信息，生成新的攻击检测规则并通知流量检测和转发单元对攻击特征库进行更新，所述攻击检测规则包括但不限于攻击者的源IP、用户账户、访问链接、攻击字段等。

8.根据权利要求1-7所述基于虚假响应的WEB动态自适应防御系统，其特征在于，在真实WEB服务器上设置一些“陷阱”目标，如敏感目录、管理员密码、伪造的机密文件等，把对真实WEB服务器上述“陷阱”目标的访问设置为攻击检测规则并配置于所述流量检测和转发单元，当攻击者对上述“陷阱”目标进行访问时，判定为攻击行为，将流量转发至虚假WEB服务器。

9.一种基于虚假响应的WEB动态自适应防御方法，其特征在于，包括以下步骤：

步骤(1)、构建WEB攻击特征库，攻击特征包括但不限于用户的源IP、用户访问链接、用户账户、已知攻击的特征字段等；

步骤(2)、为受保护的真实WEB服务器生成若干虚假WEB服务器，虚假WEB服务器上的数据和应用按照如下方式生成：

(2-1)：虚假WEB服务器上的公开数据和网站代码从真实服务器上同步并保持一致，通过使用与真实WEB服务器相同的公开数据和网站源代码，虚假WEB服务器与真实WEB服务器对外提供的业务基本一致，这样攻击者无法通过网站内容来判断自己所处的环境；

(2-2)：伪造一些敏感数据、文件、虚假应用、虚假漏洞对攻击者进行诱捕，优选的包括但不限于网页注释、敏感目录、虚假SQL漏洞、用户密码、管理员联系方式、SSH密钥等，吸引攻击者对虚假WEB服务器进行持续攻击；

步骤(3)、利用攻击特征库对用户流量进行检测，对于用户正常的通信，将流量转发至真实WEB服务器，对于攻击流量，转发至虚假WEB服务器群，虚假WEB服务器群采用随机或轮询的方式选择一个虚假WEB服务器对攻击者进行响应；

步骤(4)、在虚假WEB服务器上对攻击者的攻击行为进行观察并自动提取攻击指纹信息，攻击指纹信息优选的包括但不限于攻击者的IP、用户账号、访问链接、攻击字段等，根据攻击指纹信息生成新的攻击检测并对攻击特征库进行更新，所述攻击检测规则包括但不限于攻击者的源IP、用户账户、攻击字段等；

步骤(5)、从真实WEB服务器上同步公开数据和网站代码至虚假WEB服务器，对虚假WEB服务器上的虚假数据和虚假应用信息进行动态变换。

Images