CN112187806A - 一种基于网页资源地址动态跳变的防御方法 - Google Patents

Abstract

本发明涉及一种基于网页资源地址动态跳变的防御方法，包括以下步骤：步骤S1：进行网页资源地址即URL检测；步骤S2：进行网页资源地址动态替换；步骤S3：进行URL虚拟化约束条件构建；步骤S4：进行URL动态虚拟化安全策略设定；步骤S5：完成基于网页资源地址动态跳变防御策略。本发明通过虚拟化URL的方式，将静态的URL动态化，实现在一定时间内URL的动态跳变，从而干扰、阻断攻击者的攻击尝试，提升Web系统的安全性。

Description

一种基于网页资源地址动态跳变的防御方法

技术领域

本发明涉及电力信息安全领域，特别是一种基于网页资源地址动态跳变的防御方法。

背景技术

网页资源地址，即URL(Universal Resource Locator，同意资源定位符)，是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示，是互联网上标准资源的地址。互联网上的每个文件都有一个唯一的URL，它包含的信息指出文件的位置以及浏览器应该怎么处理它。通过对一个Web应用返回的URL分析，能够获得该Web应用的目录结构和所采用的关键技术，帮助攻击者寻找Web应用的潜在攻击点。此外URL还是外界同Web服务器交互的唯一方式，包括获取Web服务器上的资源，向Web服务器提交输入及资源等。实际上，Web应用面对的最大威胁就来自外界的输入。当前，由于Web应用的URL都是静态不变的，攻击者就很容易将某个特定的URL作为攻击入口，通过构造不同的恶意输入来测试Web应用是否存在漏洞，并利用漏洞发起进一步攻击。

发明内容

针对Web系统发起的网络攻击通常都以URL为攻击入口，由于URL的唯一性和确定性，当攻击者获知目标URL后，目标Web系统仅能被动防御攻击者的各种攻击尝试，有鉴于此，本发明的目的是提供一种基于网页资源地址动态跳变的防御方法，通过虚拟化URL的方式，将静态的URL动态化，实现在一定时间内URL的动态跳变，从而干扰、阻断攻击者的攻击尝试，提升Web系统的安全性。

本发明采用以下方案实现：一种基于网页资源地址动态跳变的防御方法，包括以下步骤：

步骤S1：网页资源地址检测即URL检测：网页资源地址检测遍历Web服务器返回的响应，查找响应中包括的<a>或<link>标签，将标签中包含的URL取出，等待进一步的处理；

步骤S2：进行网页资源地址动态替换；

步骤S3：进行URL虚拟化约束条件构建；

步骤S4：进行URL动态虚拟化安全策略设定；

步骤S5：完成基于网页资源地址动态跳变防御策略。

进一步地，所述步骤S2具体包括以下步骤：

步骤S21：获取服务器返回的响应；

步骤S22：通过网页资源地址检测技术获取待替换的URL；

步骤S23：判断待替换的URL是否为绝对地址；如果待替换的URL是绝对地址，则直接通过网页资源地址动态替换将其替换为虚拟URL；如果待替换的URL为相对地址，则先通过语义分析将其替换为绝对地址，再通过网页资源地址动态替换得到虚拟URL，最后设定虚拟URL的可用次数。

步骤S25：将包含替换后的虚拟URL的响应返回给用户；

步骤S26：当接收到用户访问虚拟URL的请求时，判断请求的虚拟URL是否超过了设定的使用次数；

步骤S27：如果请求的虚拟URL没有超过设定的使用次数，则将虚拟URL还原为真实的URL并交由后台服务器处理；如果请求的虚拟URL超过了设定的使用次数，则拒绝请求。

进一步地，所述步骤S3的具体内容为：

用R_i表示统一资源定位符i所需的最小虚拟化率；最小虚拟化率用来表示某个URL在单位时间内被虚拟化的概率；T为安全延时，表示在间隔时长T之后，某虚拟URL能够被重复使用，在时间T内存活的任意虚拟URL不能重复被使用，该约束表示为：

其中，vurl_i∈T表示对于某个虚拟URL，vurl_i在时间间隔T内存活；公式表示在某个时间间隔T内，每个虚拟URL都至多出现一次；

用P_i表示资源i被访问的概率，W表示整个网站资源的集合，在安全延时T内，整个网站被某用户访问的资源数量用如下公式表示：

N_r就是在安全时间间隔T内，一个用户所访问过的真实URL的数量；在整个时间间隔T内，所需要的虚拟URL数量计算为：

其中N_v为安全时间间隔T内所需的虚拟URL的数量；为了满足约束条件，预先分配的虚拟URL池中虚拟URL数量必须远大于虚拟URL数量，其约束条件表示为：

其中，N_vpool表示虚拟URL池的容量；考虑到在运行过程中存在的数据库垃圾以及虚拟URL无法及时回收的情况，上述公式中的比较运算符应为远大于。

进一步地，所述步骤S4的具体内容为：

对于每个真实的URL需要动态地与虚拟URL对应；一个虚拟URL的寿命由两个条件决定：使用次数和存活时间；

预先设定一个虚拟URL在安全时间间隔T内最多只能使用n次，在该虚拟URL使用了指定次数之后，就要对其进行回收，此时再使用该URL将无法访问到任何资源，这就意味着自动化攻击的工具发送n个攻击报文进行尝试之后，就无法再进行正常攻击了。

进一步地，所述步骤S5的具体包括以下步骤：

步骤S51：对每个http请求报文进行拦截：http请求报文被Nginx存放，且该URL已经剥离了参数信息，因此对于动态文件，虚拟化的只是原URL，参数不会被虚拟化；

步骤S52：从结构体中取出URL之后，首先查询该URL是否存在，如果存在，说明用户请求的URL是虚拟URL，取出与之对应的URL值；如果不存在，则说明这是一个真实的URL；当使用次数小于最大使用次数时，将其使用次数+1，并更新回VURL_to_URL表中；否则表示该虚拟URL已经达到使用次数阈值，直接退出本次处理；

步骤S53：之后将http请求通过特征匹配方式进行安全性判断若检测结果表明是正常的http请求，则继续使用默认的寿命和使用次数，不作任何处理；若检测结果为不确定的http请求威胁，则需要提高安全策略，即降低虚拟URL的使用次数；若检测结果为恶意http请求，那么直接将该请求报文截断，不予响应，转发给蜜罐，然后退出；对于正常的http请求和不确定的http请求威胁这两种检测结果，需要重构http请求报文，将真实URL替换为原有的虚拟URL，然后发送给服务器。

与现有技术相比，本发明具有以下有益效果：

(1)本发明针对静态URL会暴露Web应用目录结构并成攻击入口的特点，结合拟态防御的动态性思想，研究网页资源地址动态跳变技术，使URL处于不断变化的状态，实现Web应用目录结构的隐藏和潜在攻击入口的动态变化，阻断攻击，保证Web应用的安全。

(2)本发明将静态的URL通过虚拟化的方式改成动态可变的，从而提高攻击者对于Web系统的攻击难度。

(3)本发明提出由使用次数和存活时间共同决定的虚拟URL安全策略，实现真实的URL与虚拟URL的动态对应。实现了基于网页资源地址动态跳变的Web系统安全防御策略。

附图说明

图1为本发明实施例的方法总体流程图。

图2为本发明实施例的网页资源地址动态替换具体流程图。

图3为本发明实施例的完成基于网页资源地址动态跳变防御策略流程图。

具体实施方式

下面结合附图及实施例对本发明做进一步说明。

应该指出，以下详细说明都是例示性的，旨在对本申请提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

如图1所示，本实施例提供一种基于网页资源地址动态跳变的防御方法，首先检测网络资源地址(URL)，随后将检测到的真实URL替换为虚拟URL，将虚拟URL返回给用户，根据设定的使用次数和时间因素等判断虚拟URL是否可用，如果虚拟URL可用，则将虚拟URL还原为真实的URL并交由后台服务器处理。

具体包括以下步骤：

步骤S1：网页资源地址检测即URL检测：网页资源地址检测遍历Web服务器返回的响应，查找响应中包括的<a>或<link>标签，将标签中包含的URL取出，等待进一步的处理；

步骤S2：进行网页资源地址动态替换；

网页资源地址动态替换采用保留URL中的域名部分，将URL中的目录部分和文件名部分替换为长度固定的字符串的方式，用以产生能够隐藏目录结构并随时间变化的虚拟URL；

但是当前部署的Web应用中，URL存在绝对地址和相对地址两种情况。当待替换的URL是绝对地址时，可以采用直接替换的方式将其替换为虚拟URL。而当待替换的URL是相对地址时，使用直接替换的方式将会产生寻址错误的情况，影响Web应用的正常业务逻辑。因此采用语义分析的方法，结合Web服务器返回响应的上下文，将URL相对地址转化为绝对地址，最终再使用直接替换的方法产生虚拟URL地址。

步骤S3：进行URL虚拟化约束条件构建；

步骤S4：进行URL动态虚拟化安全策略设定；

步骤S5：完成基于网页资源地址动态跳变防御策略。

如图2所示，在本实施例中，所述步骤S2具体包括以下步骤：

步骤S21：获取服务器返回的响应；

步骤S22：通过网页资源地址检测技术获取待替换的URL；

步骤S23：判断待替换的URL是否为绝对地址；如果待替换的URL是绝对地址，则直接通过网页资源地址动态替换将其替换为虚拟URL；如果待替换的URL为相对地址，则先通过语义分析将其替换为绝对地址，再通过网页资源地址动态替换得到虚拟URL，最后设定虚拟URL的可用次数。

步骤S25：将包含替换后的虚拟URL的响应返回给用户；

步骤S26：当接收到用户访问虚拟URL的请求时，判断请求的虚拟URL是否超过了设定的使用次数；

步骤S27：如果请求的虚拟URL没有超过设定的使用次数，则将虚拟URL还原为真实的URL并交由后台服务器处理；如果请求的虚拟URL超过了设定的使用次数，则拒绝请求。

在本实施例中，所述步骤S3的具体内容为：

用R_i表示统一资源定位符i所需的最小虚拟化率；最小虚拟化率用来表示某个URL在单位时间内被虚拟化的概率；T为安全延时，表示在间隔时长T之后，某虚拟URL能够被重复使用，在时间T内存活的任意虚拟URL不能重复被使用，该约束表示为：

其中，vurl_i∈T表示对于某个虚拟URL，vurl_i在时间间隔T内存活；公式表示在某个时间间隔T内，每个虚拟URL都至多出现一次；

用P_i表示资源i被访问的概率，W表示整个网站资源的集合，在安全延时T内，整个网站被某用户访问的资源数量用如下公式表示：

N_r就是在安全时间间隔T内，一个用户所访问过的真实URL的数量；在整个时间间隔T内，所需要的虚拟URL数量计算为：

其中N_v为安全时间间隔T内所需的虚拟URL的数量；为了满足约束条件，预先分配的虚拟URL池中虚拟URL数量必须远大于虚拟URL数量，其约束条件表示为：

其中，N_vpool表示虚拟URL池的容量；考虑到在运行过程中存在的数据库垃圾以及虚拟URL无法及时回收的情况，上述公式中的比较运算符应为远大于。

在本实施例中，所述步骤S4的具体内容为：

对于每个真实的URL需要动态地与虚拟URL对应；一个虚拟URL的寿命由两个条件决定：使用次数和存活时间；

预先设定一个虚拟URL在安全时间间隔T内最多只能使用n次，在该虚拟URL使用了指定次数之后，基于URL虚拟化动态跳变的防御系统就要对其进行回收，此时再使用该URL将无法访问到任何资源，这就意味着自动化攻击的工具发送n个攻击报文进行尝试之后，就无法再进行正常攻击了。

此处所说的防御系统就是应用本实施例介绍的“一种基于网页资源地址(URL)动态跳变的防御方法”，的具体实现。系统部署在网关和服务器之间，从系统架构上看可以分为两个模块，URL获取模块、URL过滤模块，其中URL获取模块负责获取从客户端到服务端的http请求，检查虚拟地址是否超出使用次数，如图2右侧部分；URL过滤模块负责处理服务器返回给客户端的http响应数据，实现URL虚拟化、安全性判断等功能，流程如图2左侧部分和图3所示。

如图3所示，在本实施例中，所述步骤S5的具体包括以下步骤：

步骤S51：对每个http请求报文进行拦截：http请求报文被Nginx存放，且该URL已经剥离了参数信息，因此对于动态文件，虚拟化的只是原URL，参数不会被虚拟化；

步骤S52：从结构体中取出URL之后，首先查询该URL是否存在，如果存在，说明用户请求的URL是虚拟URL，取出与之对应的URL值；如果不存在，则说明这是一个真实的URL；当使用次数小于最大使用次数时，将其使用次数+1，并更新回VURL_to_URL表中；否则表示该虚拟URL已经达到使用次数阈值，直接退出本次处理；

步骤S53：之后将http请求通过特征匹配方式进行安全性判断，(或发送给安全检测模块安全检测模块通过特征匹配等方式对http请求安全性进行判断，具体实现不在本专利中讨论)。若检测结果表明是正常的http请求，则继续使用默认的寿命和使用次数，不作任何处理；若检测结果为不确定的http请求威胁，则需要提高安全策略，即降低虚拟URL的使用次数；若检测结果为恶意http请求，那么直接将该请求报文截断，不予响应，转发给蜜罐，然后退出；对于正常的http请求和不确定的http请求威胁这两种检测结果，需要重构http请求报文，将真实URL替换为原有的虚拟URL，然后发送给服务器。

以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本发明的涵盖范围。

Claims (5)

1.一种基于网页资源地址动态跳变的防御方法，其特征在于：包括以下步骤：

步骤S1：网页资源地址检测即URL检测：网页资源地址检测遍历Web服务器返回的响应，查找响应中包括的<a>或<link>标签，将标签中包含的URL取出，等待进一步的处理；

步骤S2：进行网页资源地址动态替换；

步骤S3：进行URL虚拟化约束条件构建；

步骤S4：进行URL动态虚拟化安全策略设定；

步骤S5：完成基于网页资源地址动态跳变防御策略。

2.根据权利要求1所述的一种基于网页资源地址动态跳变的防御方法，其特征在于：所述步骤S2具体包括以下步骤：

步骤S21：获取服务器返回的响应；

步骤S22：通过网页资源地址检测技术获取待替换的URL；

步骤S23：判断待替换的URL是否为绝对地址；如果待替换的URL是绝对地址，则直接通过网页资源地址动态替换将其替换为虚拟URL；如果待替换的URL为相对地址，则先通过语义分析将其替换为绝对地址，再通过网页资源地址动态替换得到虚拟URL，最后设定虚拟URL的可用次数。

步骤S25：将包含替换后的虚拟URL的响应返回给用户；

步骤S26：当接收到用户访问虚拟URL的请求时，判断请求的虚拟URL是否超过了设定的使用次数；

步骤S27：如果请求的虚拟URL没有超过设定的使用次数，则将虚拟URL还原为真实的URL并交由后台服务器处理；如果请求的虚拟URL超过了设定的使用次数，则拒绝请求。

3.根据权利要求1所述的一种基于网页资源地址动态跳变的防御方法，其特征在于：所述步骤S3的具体内容为：

用R_i表示统一资源定位符i所需的最小虚拟化率；最小虚拟化率用来表示某个URL在单位时间内被虚拟化的概率；T为安全延时，表示在间隔时长T之后，某虚拟URL能够被重复使用，在时间T内存活的任意虚拟URL不能重复被使用，该约束表示为：

其中，vurl_i∈T表示对于某个虚拟URL，vurl_i在时间间隔T内存活；公式表示在某个时间间隔T内，每个虚拟URL都至多出现一次；

用P_i表示资源i被访问的概率，W表示整个网站资源的集合，在安全延时T内，整个网站被某用户访问的资源数量用如下公式表示：

N_r就是在安全时间间隔T内，一个用户所访问过的真实URL的数量；在整个时间间隔T内，所需要的虚拟URL数量计算为：

其中N_v为安全时间间隔T内所需的虚拟URL的数量；为了满足约束条件，预先分配的虚拟URL池中虚拟URL数量必须远大于虚拟URL数量，其约束条件表示为：

其中，N_vpool表示虚拟URL池的容量；考虑到在运行过程中存在的数据库垃圾以及虚拟URL无法及时回收的情况，上述公式中的比较运算符应为远大于。

4.根据权利要求1所述的一种基于网页资源地址动态跳变的防御方法，其特征在于：所述步骤S4的具体内容为：

对于每个真实的URL需要动态地与虚拟URL对应；一个虚拟URL的寿命由两个条件决定：使用次数和存活时间；

预先设定一个虚拟URL在安全时间间隔T内最多只能使用n次，在该虚拟URL使用了指定次数之后，就要对其进行回收，此时再使用该URL将无法访问到任何资源，这就意味着自动化攻击的工具发送n个攻击报文进行尝试之后，就无法再进行正常攻击了。

5.根据权利要求1所述的一种基于网页资源地址动态跳变的防御方法，其特征在于：所述步骤S5的具体包括以下步骤：

步骤S51：对每个http请求报文进行拦截：http请求报文被Nginx存放，且该URL已经剥离了参数信息，因此对于动态文件，虚拟化的只是原URL，参数不会被虚拟化；

步骤S52：从结构体中取出URL之后，首先查询该URL是否存在，如果存在，说明用户请求的URL是虚拟URL，取出与之对应的URL值；如果不存在，则说明这是一个真实的URL；当使用次数小于最大使用次数时，将其使用次数+1，并更新回VURL_to_URL表中；否则表示该虚拟URL已经达到使用次数阈值，直接退出本次处理；

步骤S53：之后将http请求通过特征匹配方式进行安全性判断若检测结果表明是正常的http请求，则继续使用默认的寿命和使用次数，不作任何处理；若检测结果为不确定的http请求威胁，则需要提高安全策略，即降低虚拟URL的使用次数；若检测结果为恶意http请求，那么直接将该请求报文截断，不予响应，转发给蜜罐，然后退出；对于正常的http请求和不确定的http请求威胁这两种检测结果，需要重构http请求报文，将真实URL替换为原有的虚拟URL，然后发送给服务器。

Images