CN115065537A - 针对web应用自动化攻击行为的防御系统及动态防御方法 - Google Patents
针对web应用自动化攻击行为的防御系统及动态防御方法 Download PDFInfo
- Publication number
- CN115065537A CN115065537A CN202210686954.7A CN202210686954A CN115065537A CN 115065537 A CN115065537 A CN 115065537A CN 202210686954 A CN202210686954 A CN 202210686954A CN 115065537 A CN115065537 A CN 115065537A
- Authority
- CN
- China
- Prior art keywords
- access
- web
- data
- module
- characteristic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明公开了一种针对WEB应用自动化攻击行为的防御系统及动态防御方法,本方案搜集发起WEB访问的客户端的访问特征信息,对收集达到的访问特征信息进行拼装混淆,并将拼装混淆后的访问特征信息插入访问cookie中选定的字段中;对WEB访问进行防御分析,对异常访问进行阻断,对正常访问形成原始WEB访问请求,并透明传至WEB服务端;针对WEB服务端相应返回的明文数据进行加扰处理后再传递给发起WEB访问的客户端;对经过后端加扰的WEB服务端响应数据进行动态解扰,并将动态解扰后的数据反馈给发起WEB访问的客户端。本发明提供的主动防御方案,可有效防范完全防范当前网络中普遍存在数据爬虫、Web扫描和自动化工具攻击;同时针对于黑客的人工渗透和深度攻击,也可起到极大的阻碍作用。
Description
技术领域
本发明涉及网络安全技术,具体涉及WEB自动化访问或攻击的防护技术。
背景技术
当前对于WEB自动化访问或攻击的防护,一般基于以下几类技术或是几类技术的结合:
1、基于访问的特征规则匹配,由于很多数据爬虫或自动扫描器在访问数据中带有特征字段,通过对带有这些字段的访问行为进行识别阻断,可拦截此类行为。该方案在实施时,一方面很难搜集到所有特征,另一方面如攻击方对访问工具特征进行修改,隐藏特征字段,即可轻易绕过。
2、基于访问统计进行识别,以IP、IP+UserAgent或IP+Cookie为统计对象,统计对象在一段时间内的访问频度,如访问频度超过预设阈值,则认为是自动化访问,进行阻断或通过验证码等方式进行人机识别。但该方案容易误拦正常的高频访问对象,如共享IP上网方式;另外攻击者如采用慢速访问或自建海量IP池均撒方式访问,该方案也无效。
3、通过威胁情报建立高风险IP池,阻断该类IP访问。但也存在IP池实时性和完整性不够,动态拨号可绕过等问题。
4、动态H5页面加访问身份认证,该方案原理是站类链接由js动态生成,敏感数据须注册账号后登陆才可访问。可拦掉一部分普通爬虫和扫描引擎,但对深度定制自动化引擎和无头浏览器自动访问无效。
发明内容
针对现有WEB自动化访问或攻击的防护方案所存在的问题,本发明的目的在于提供一种针对WEB应用自动化攻击行为的防御方案,实现对WEB应用自动化攻击行为进行全面的威胁检测及动态防御。
为了达到上述目的,本发明提供了一种针对WEB应用自动化攻击行为的防御系统,所述防护系统包括:前端特征信息搜集模块、前端混淆及自解扰模块、后端加扰及阻断模块以及后端分析模块;
所述前端特征信息搜集模块搜集发起WEB访问的客户端的访问特征信息,对收集达到的访问特征信息调用前端混淆及自解扰模块进行拼装混淆,并将拼装混淆后的访问特征信息插入访问cookie中选定的字段中;
所述前端混淆及自解扰模块与所述前端特征信息搜集模块以及后端加扰及阻断模块进行数据交互,对后端加扰及阻断模块反馈的经过后端加扰的WEB服务端响应数据进行动态解扰,并将动态解扰后的数据反馈给发起WEB访问的客户端;所述前端混淆及自解扰模块可对前端特征信息搜集模块采集到的特征信息进行拼装混淆处理;
所述后端加扰及阻断模块与前端混淆及自解扰模块以及后端分析模块进行数据交互,对WEB服务端相应返回的明文数据进行加扰处理后再传递到发起WEB访问的客户端;所述后端加扰及阻断模块可对WEB访问行为进行阻断处理;
所述后端分析模块与后端加扰及阻断模块以及前端特征信息搜集模块进行数据交互;所述后端分析模块基于前端特征信息搜集模块采集并处理的访问特征信息对WEB访问进行防御分析,对异常访问调用后端加扰及阻断模块进行阻断,对正常访问形成原始WEB访问请求,并透明传至WEB服务端。
进一步的,所述前端特征信息搜集模块调用随时间变化动态抽取的混淆方式对访问特征信息进行拼装混淆,调用cookie添加方法插入“HKIIUU9O618PPTHP”字段,字段的值为拼装混淆后的特征数据,每次插入会覆盖掉该字段原有的数据。
进一步的,所述前端特征信息搜集模块由预设事件触发调用运行或定时调用运行。
进一步的,所述前端混淆及自解扰模块包括混淆单元与动态解扰单元,
所述混淆单元可对前段采集到的特征信息进行拼装混淆;
所述动态解扰单元可对加扰的页面元素进行动态解扰。
进一步的,所述前端混淆及自解扰模块中还包括页面链接元素动态隐藏单元,所述页面链接元素动态隐藏单元在页面加载完向用户展现前,将页面DOM树中的所有链接元素摘下、记录位置并保存在临时内存区域,只有在对应位置的页面点击事件发生时,再将该元素插回。
进一步的,所述前端混淆及自解扰模块中还包括数据提交单元,所述数据提交单元用于对提交的表单数据进行Hook数据提交,对提交数据进行哈希计算,生成唯一指纹插入表单数据进行共同提交。
进一步的,,所述前端混淆及自解扰模块对前端特征信息收集模块中实现特征搜集算法进行自混淆并实现反断点调试。
进一步的,所述后端加扰及阻断模块包括后端加扰单元以及访问阻断单元,
所述后端加扰单元可对Web服务端返回的明文数据,对对应的页面元素进行加扰处理;
所述访问阻断单元用于对相应的WEB访问行为进行阻断。
进一步的,所述后端分析模块包括访问数据处理单元以及访问行为分析单元;
所述访问数据处理单元针对每个面向WEB服务端的新访问对象,分别生成对象指纹和token,所述新访问对象为无对象指纹的新访问客户端,所述对象指纹表示访问对象的唯一身份,所述token在每次数据传输中承载回传的混淆后前端采集的访问特征信息;所述访问数据处理单元针对接收到的WEB访问剥离相应的对象指纹、token、数据提交指纹,并将剥离后的数据再回传WEB服务端;
所述访问行为分析单元基于所述访问数据处理单元所剥离出来的数据分析对应的WEB访问行为。
进一步的,所述访问行为分析单元采用特征数据完整性校验、特征数据一致性校验、提交数据完整性校验中的至少一种校验方式来分析对应的WEB访问行为。
进一步的,所述访问行为分析单元还通过分析发起WEB访问的客户端的客户端时序来分析WEB访问行为。
进一步的,所述访问行为分析单元还针对访问客户端建立滑动分析窗口,并通过分析特征数据滑动窗口行为来分析WEB访问行为。
进一步的,所述访问行为分析单元还通过模拟浏览器特征分析、搜索引擎识别、对象历史访问行为聚类中一种或多种方式来分析WEB访问行为。
为了达到上述目的,本发明提供了一种针对WEB应用自动化攻击行为的防御方法,包括:
搜集发起WEB访问的客户端的访问特征信息,对收集达到的访问特征信息进行拼装混淆,并将拼装混淆后的访问特征信息插入访问cookie中选定的字段中;
基于采集并处理的访问特征信息对WEB访问进行防御分析,对异常访问进行阻断,对正常访问形成原始WEB访问请求,并透明传至WEB服务端;
针对WEB服务端相应返回的明文数据进行加扰处理后再传递给发起WEB访问的客户端;
对经过后端加扰的WEB服务端响应数据进行动态解扰,并将动态解扰后的数据反馈给发起WEB访问的客户端。
进一步的,所述防御方法还包括在页面加载完向用户展现前,将页面DOM树中的所有链接元素摘下、记录位置并保存在临时内存区域,只有在对应位置的页面点击事件发生时,再将该元素插回。
进一步的,所述防御方法还包括针对提交的表单数据进行Hook数据提交,对提交数据进行哈希计算,生成唯一指纹插入表单数据进行共同提交。
进一步的,所述防御方法针对Web服务端返回的明文数据进行加扰处理,针对对应的页面元素进行加扰处理。
进一步的,所述防御方法进行防御分析时,包括:
针对每个面向WEB服务端的无对象指纹的新访问客户端,分别生成对象指纹和token,所述对象指纹表示访问对象的唯一身份,所述token在每次数据传输中承载回传的混淆后前端采集的访问特征信息;所述访问数据处理单元针对接收到的WEB访问剥离相应的对象指纹、token、数据提交指纹,并将剥离后的数据再回传WEB服务端;
基于所述访问数据处理单元所剥离出来的数据分析对应的WEB访问行为。
进一步的,所述防御方法进行防御分析时,至少采用如下一种方式:
采用特征数据完整性校验、特征数据一致性校验、提交数据完整性校验中的至少一种校验方式来分析对应的WEB访问行为;
通过分析发起WEB访问的客户端的客户端时序来分析WEB访问行为;
针对访问客户端建立滑动分析窗口,并通过分析特征数据滑动窗口行为来分析WEB访问行为;
通过模拟浏览器特征分析来分析WEB访问行为。
搜索引擎识别来分析WEB访问行为;
对象历史访问行为聚类来分析WEB访问行为。
本发明提供的针对WEB应用自动化攻击行为的主动防御方案,可有效防范完全防范当前网络中普遍存在数据爬虫、Web扫描和自动化工具攻击;同时针对于黑客的人工渗透和深度攻击,也可起到极大的阻碍作用。
本发明提供的针对WEB应用自动化攻击行为的主动防御方案在实际应用达到相应的业务应用领域上时,可有效检测并防御危害严重的密码爆破、撞库、薅羊毛、黄牛党抢占资源、自动注册灌水、恶意投票等行为。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明实例中构建的针对WEB应用自动化攻击行为的防御系统的示例图;
图2为本发明实例中针对WEB应用自动化攻击行为的防御流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
针对目前WEB自动化访问或攻击,本发明构建一套针对WEB应用自动化攻击行为的主动防御方案,本主动防御方案通过对访问者前端特征信息搜集,基于搜集的访问者前端特征信息再进行后端分析识别阻断;在此基础上,再进一步在对页面元素进行后端加扰混淆和前端自解扰,由此实现对WEB自动化访问或攻击行为的主动检测与防御,同时不影响正常的WEB访问行为。
本主动防御方案还进一步给出对页面链接元素进行动态隐藏,对提交数据的前端自动hook、数据指纹计算及后端根据指纹进行数据完整校验,对客户端与服务端进行时间差计算,动态分析时序的技术,以及实现特征数据在滑动窗口内进行历史行为分析等创新手段,可进一步提高对WEB自动化访问或攻击行为的主动检测与防御的效率和精度。
参见图1,其所示为本发明给出的一种针对WEB应用自动化攻击行为的主动防御系统,用于实现前述主动防御方案。
在一些具体实施方式中,本方案具体通过构建相应的软件程序,形成相应的主动防御系统。该软件程序在运行时,将执行上述的主动防御方案,同时存储于相应的存储介质中,以供处理器调取执行。
由此形成的针对WEB应用自动化攻击行为的主动防御系统100在功能上主要包括:前端特征信息搜集模块110、前端混淆及自解扰模块120、后端加扰及阻断模块130以及后端分析模块140这四个功能模块。
本主动防御系统100布设在发起WEB访问的客户端200与WEB服务端300之间,以对客户端200发起的WEB访问请求进行WEB应用自动化攻击行为的威胁检测,并完成主动防御。
具体的,本主动防御系统100中的前端特征信息搜集模块110可搜集发起WEB访问的客户端200的访问特征信息,对收集达到的访问特征信息调用前端混淆及自解扰模块120进行拼装混淆,并将拼装混淆后的访问特征信息插入添加到访问cookie中选定的字段中,如“HKIIUU9O618PPTHP”字段。
这里需要说明的,这里涉及达到的cookie中的“HKIIUU9O618PPTHP”字段,为默认值,根据需要还可以对字段名称进行修改和自定义。
本主动防御系统100中的前端混淆及自解扰模块120与前端特征信息搜集模块110以及后端加扰及阻断模块130进行数据交互,对后端加扰及阻断模块130反馈的经过后端加扰的WEB服务端300响应数据进行动态解扰,并将动态解扰后的数据反馈给发起WEB访问的客户端200;本前端混淆及自解扰模块130还可对前端特征信息搜集模块110采集到的特征信息进行拼装混淆处理。
本主动防御系统100中的后端加扰及阻断模块130与前端混淆及自解扰模块120以及后端分析模块140进行数据交互,对WEB服务端300相应返回的明文数据进行加扰处理后再传递到发起WEB访问的客户端200;该后端加扰及阻断模块130还可对WEB访问行为进行阻断处理。
本主动防御系统100中的后端分析模块140与后端加扰及阻断模块130以及前端特征信息搜集模块110进行数据交互;本后端分析模块140基于前端特征信息搜集模块110采集并处理的访问特征信息对WEB访问进行防御分析,对异常访问调用后端加扰及阻断模块130进行阻断,对正常访问形成原始WEB访问请求,并透明传至WEB服务端300。
在本系统的一些具体实施方式中,本前端特征信息搜集模块110能够在用户通过客户端200发起WEB访问后,自动触发以对发起WEB访问的客户端200的访问特征信息进行可搜集。作为举例,如在刷新页面、点击链接、关闭页面、点击提交等WEB访问动作将会自动触发该前端特征信息搜集模块110动作,以进行相应的访问特征信息信息收集。
在本系统的一些具体实施方式中,本前端特征信息搜集模块在将拼装混淆后的访问特征信息插入添加到访问cookie中的“HKIIUU9O618PPTHP”字段时,通过调用随时间变化动态抽取的混淆方式对访问特征信息进行拼装混淆,再调用相应的cookie添加方法插入“HKIIUU9O618PPTHP”字段,字段的值为拼装混淆后的特征数据,每次插入将覆盖掉该字段原有的数据。
在本系统的一些具体实施方式中,本前端特征信息搜集模块在WEB访问客户端200进行加载,通过运行搜集客户端的访问特征信息,这里收集的客户端的访问特征信息,包括:当前时间戳、浏览器版本号、浏览器窗体大小、鼠标或点击点位置、浏览器运行环境信息、本机IP地址、鼠标移动轨迹、键盘点击事件等。
在本系统的一些具体实施方式中,本前端特征信息搜集模块在WEB访问客户端200进行加载时,当浏览器、APP或小程序发生点击事件、页面刷新事件、页面重载事件、页面跳转事件、数据提交事件时,该模块均会被调用。
作为补充方案,若无事件触发,该模块也会被定时器每5秒一次进行调用,保证搜集特征信息的实时性。
在本系统的一些具体实施方式中,本前端特征信息搜集模块在浏览器、微信公众号中由js代码实现,在小程序、APP中由SDK实现。
在本系统的一些具体实施方式中,本系统中的前端混淆及自解扰模块120主要包括混淆单元、动态解扰单元、页面链接元素动态隐藏单元、数据提交单元这几个功能单元。
其中,混淆单元可对前端采集到的特征信息进行拼装混淆。
作为举例,本混淆单元可采用相应的自定义混淆算法对前段采集到的特征信息进行拼装混淆,作为举例,包括改变排序顺序,字符串打乱重新拼装,加入干扰串,不定期更换排序规则和干扰串等。
基于本混淆单元,使得前端混淆及自解扰模块120可被前端特征信息搜集模块110调用,用于对前端特征信息搜集模块采集到的特征信息进行拼装混淆。
这里的动态解扰单元可对加扰的页面元素进行动态解扰。
作为举例,本动态解扰单元基于与后端加扰及阻断模块130中加扰算法相对应的解扰算法来实现对加扰的页面元素进行动态解扰。对于具体的解扰算法,此处不加以限定,可根据实际需求而定。
作为举例,本动态解扰单元在对加扰的页面元素进行动态解扰时可采用对加扰字符串的重新映射、排序等进行恢复。同时所采用的算法不定期更换,由此来进一步提高安全性。
基于本动态解扰单元,使得前端混淆及自解扰模块120可对约定的、已被后端加扰的页面元素根据解扰算法进行动态解扰,保证爬虫、扫描器等自动访问工具拿到的是加扰后数据,但客户端向使用者展示的是动态解扰后的实时数据。
这里的前页面链接元素动态隐藏单元,针对WEB服务端响应返回的数据中的页面链接元素进行动态隐藏。
具体的,本前页面链接元素动态隐藏单元可在页面加载完向用户展现前,将页面DOM树中的所有链接元素摘下、记录位置并保存在临时内存区域,只有在对应位置的页面点击事件发生时,再将该元素插回。
基于本前页面链接元素动态隐藏单元,使得前端混淆及自解扰模块120能够极为有效的避免一些深度定制的自动化访问工具对网站结构进行探测。
这里的数据提交单元用于进行Hook数据提交动作,对提交数据进行哈希计算,生成唯一指纹插入数据进行共同提交。
这里的Hook数据具体为发起WEB访问的客户端中插入的算法,对提交的表单数据进行的Hook,并在完成指纹计算和插入后再提交。这里在插入数据时,即在表单数据中增加一个新字段,该字段为根据表单数据计算得到的指纹。
在本系统的一些具体实施方式中,本系统中的前端混淆及自解扰模块120还可对前端特征信息收集模块中实现特征搜集算法进行自混淆,并实现反断点调试,据此能够有效避免黑客对算法的破解。
这里的自混淆用于实现针对前端特征信息收集模块中实现特征搜集算法本身进行混淆,以尽量降低其可读性但不影响其功能,达到增加破解难度的目的。而特征信息的拼装混淆是对传输数据的混淆。
作为举例,这里在实现反断点调试时,当监听到控制台为打开状态,使用定时器无限触发debugger,使其无法进行控制台断点设置调试。
在本系统的一些具体实施方式中,本系统中的前端混淆及自解扰模块120将在客户访问端进行加载。同时该模块在浏览器、微信公众号中由js代码实现,在小程序、APP中由SDK实现。
在本系统的一些具体实施方式中,本系统中的后端加扰及阻断模块130主要包括后端加扰单元以及访问阻断单元这两个功能单元。
其中,后端加扰单元可对Web服务端返回的明文数据,根据约定对对应的页面元素进行加扰处理后再传递到相应的客户端。
这里涉及的页面元素指HTML标签元素,如:form、select、input、img、a等。
这里在实现对对应页面元素进行加扰处理时,实现对所设定的被保护元素标签内容进行字母可逆性的重新映射、打乱排序,且映射规则和排序规则不定期更换。
本后端加扰及阻断模块130中的访问阻断单元用于对相应的WEB访问行为进行阻断。这里的阻断可基于前述方案来实现,此处不加以赘述。
基于本访问阻断单元,使得后端加扰及阻断模块130可被后端分析模块140调用,对识别出的自动化访问行为进行阻断。
在本系统的一些具体实施方式中,本系统中的后端加扰及阻断模块130在防御平台的WEB服务端300实现相应的功能。
本系统中后端分析模块140为整个动态防御系统的核心功能模块,其在防御平台的服务端实现相应的功能。
在本系统的一些具体实施方式中,该后端分析模块140主要包括访问对象指纹及token生成单元、数据剥离单元、特征数据完整性校验单元、特征数据一致性校验单元、提交数据完整性校验单元、客户端时序分析单元、特征数据滑动窗口行为分析单元、模拟浏览器特征分析单元、搜索引擎识别单元、对象历史访问行为聚类单元,这几个功能单元。
其中,访问对象指纹及token生成单元与数据剥离单元配合实现后端分析模块140的处理处理功能。
这里的访问对象指纹及token生成单元用于针对每个面向WEB服务端的新访问对象,即无对象指纹的新访问客户端,分别生成对象指纹(cookie中的HKIIUU9O618PPTHK字段)和token(cookie中的HKIIUU9O618PPTHP字段)。
这里的对象指纹表示访问对象的唯一身份,token承载访问对象的每一次访问的行为特征信息。具体的,token在每次数据传输中承载回传的混淆后客户端特征信息,即前端采集的访问特征信息。
这里的数据传输为在前端通过客户端进行WEB访问所触发的对应网络访问和对应数据传输。如客户通过客户端在页面上进行的点击、关闭、数据提交等操作,将会触发对应的网络访问和对应数据传输。
这里通过Cookie中的“HKIIUU9O618PPTHP”进行回传。
据此,基于http协议cookie字段的特性,保证这两个信息将被次次回传,且在不修改的情况下保持不变。故可保证访问对象的唯一性,为正确识别对象和对象历史分析提供基础承载。
这里的数据剥离单元针对接收到的WEB访问请求,剥离相应的对象指纹、token、数据提交指纹,并将剥离后剩下的数据再回传WEB服务端;这样保证防御端到WEB服务器的透明性和无干扰。
这里的数据提交指纹为前端特征信息搜集模块通过前端混淆及自解扰模块进行拼装混淆时,进行Hook数据提交动作生成的唯一指纹。
该后端分析模块140中的特征数据完整性校验单元、特征数据一致性校验单元、提交数据完整性校验单元、客户端时序分析单元、特征数据滑动窗口行为分析单元、模拟浏览器特征分析单元、搜索引擎识别单元、对象历史访问行为聚类单元相互配合形成后端分析模块140中访问行为分析功能,实现基于数据剥离单元所剥离出来的数据分析对应的WEB访问行为。
具体的,特征数据完整性校验单元,通过解扰token字段(即插入在Cookie中的“HKIIUU9O618PPTHP”字段),检查回传特征数据的完整性,不完整则可判定为非正常访问。
特征数据一致性校验单元,该单元检查相同指纹信息对象的回传特征数据历史是否一致,如浏览器版本是否发生变化、运行环境是否变化,如不一致则证明该提交跨对象,为异常访问。
本特征数据一致性校验单元在进行检查时,对相同指纹对象的回传特征数据进行历史访问行为聚类,对访问特征中的访问环境特征信息逐个进行历史比对,检验是否发生变动。
提交数据完整性校验单元,该单元对提交数据进行哈希校验,与同时回传的数据指纹比对,如不一致,则证明数据被中间篡改过,完整性已被破坏。
本提交数据完整性校验单元具体针对客户提交的表单数据进行哈希校验,与同时回传的hook后生成的指纹进行完整性比对。
客户端时序分析单元,该单元在客户端第一次提交访问时,将回传特征数据中的客户端时间戳与服务端实时时间戳相比对,记录时间差作为判定标准,即为原始时间差。以后每次回传数据均获取时间差后,与原始时间差比对,如偏移超出预设阈值,则可判定存在访问乱序,非正常访问。同时,对阈值范围内的偏差值进行历史分析,如存在较大摆动,列为可疑访问。
特征数据滑动窗口行为分析单元,该单元针对访问对象(即客户端)建立滑动分析窗口,例如将对象的近30秒内访问行为作为窗口,分析该窗口时间内,特征数据记录的连续访问动作如鼠标移动轨迹、键盘点击次数、点击事件分布是否超过人类操作极限及符合该网站布局情况。
模拟浏览器特征分析单元,根据特征数据中回传的浏览器运行环境信息,判断可能存在的自动调用模拟浏览器访问。
搜索引擎识别单元,对由后端分析模块140识别出的自动化访问ip地址,进行nslookup反查,根据域名记录而不是特征字段来判断是否正常搜索引擎。
对象历史访问行为聚类单元,该单元对对象(即客户端)的历史访问行为进行聚类分析,智能聚合不同访问画像的对象类别,用户可人工判定是否为手工异常访问画像。
由此形成的后端分析模块140通过访问对象指纹及token生成单元、数据剥离单元、特征数据完整性校验单元、特征数据一致性校验单元、提交数据完整性校验单元、客户端时序分析单元、特征数据滑动窗口行为分析单元、模拟浏览器特征分析单元、搜索引擎识别单元、对象历史访问行为聚类单元这些功能单元之间的依次配合来构成整个防御系统的核心,针对每个请求行为逐项调用这些功能单元来对请求行为进行校验,如有一项不通过将被判定为攻击行为。
基于前述方案形成的主动防御系统100布设在发起WEB访问的客户端200与WEB服务端300之间,系统中的前端特征信息搜集模块110与前端混淆及自解扰模块在客户访问端进行加载;而后端加扰及阻断模块130与后端分析模块140在防御平台的服务端实现,由此在WEB访问的客户端200与WEB服务端300之间形成主动防御端,以对客户端200发起的WEB访问请求进行WEB应用自动化攻击行为的威胁检测,并完成主动防御。
整个主动防御的基本过程如下:
搜集发起WEB访问的客户端的访问特征信息,对收集达到的访问特征信息进行拼装混淆,并插入访问cookie中的“HKIIUU9O618PPTHP”字段;
基于采集并处理的访问特征信息对WEB访问进行防御分析,对异常访问进行阻断,对正常访问形成原始WEB访问请求,并透明传至WEB服务端;
针对WEB服务端相应返回的明文数据进行加扰处理后再传递给发起WEB访问的客户端;
对经过后端加扰的WEB服务端响应数据进行动态解扰,并将动态解扰后的数据反馈给发起WEB访问的客户端。
这里以对SaaS化部署,实现对浏览器访问的Web站点为例来说明一下本主动防御方案的实现过程。
本实例中,访问数据流先被引流到SaaS化部署的防御端,防御端分析处理后,再到Web服务器。Web服务器返回的响应数据,也先经过防御端处理后,再到客户浏览器。
参见图2,本实例中实现针对WEB应用自动化攻击行为进行主动威胁检测与动态防御的数据访问交互流程如下:
步骤一:访问者在浏览器发起第一次访问请求。
步骤二:防御端返回重定向页面,重定向到防御端的JS页面。该页面中包含了前端特征信息搜集模块、和前端混淆及自解扰模块的代码实现。
步骤三:浏览器根据重定向自动跳转访问该JS页面。
步骤四:防御端返回JS页面内容,且在cookie中插入对象指纹和初始token。
步骤五:浏览器自动运行JS,搜集特征信息,拼装混淆后插入cookie中的token字段,并重定向访问步骤一的请求页面。
步骤六:防御端剥离token中的特征信息进行解扰分析,有如下情况中的任意一种,均进行阻断:
指纹信息不存在或已过期;解扰失败;解扰后token与该对象指纹对应初始token不相关;特征信息不完整;特征信息中浏览器运行环境为模拟访问;如为数据提交访问,附带的数据指纹信息与防御端重新计算后不一致。
步骤七:将cookie中的对象指纹、token、数据指纹均剥离,原始客户端访问请求透传到Web服务器。
步骤八:Web服务器返回服务端响应信息。
步骤九:防御端对响应信息的约定元素进行加扰,并将解扰算法和链接元素隐藏算法也插入,一并发送到浏览器。浏览器加载页面后,解扰对应元素,动态隐藏链接元素,再渲染页面展示给访问者。
步骤十:访问者在浏览器发起下一次访问请求。
步骤十一:不停重复步骤六到九,但防御端针对以下情况增加阻断:
解扰后所有特征信息无变化;该对象客户端与服务端的时序差,与原始差值相比,抖动超过阈值;滑动时间窗口内,特征数据频度或摆动异常。
本实例提供的针对WEB应用自动化攻击行为的防御方案,在具体应用时,将具有如下功能:
1、可完全拦截数据爬虫对网站的数据爬取,但不影响搜索正常搜索引擎收录;
2、可完全拦截Web扫描器对网站的扫描;
3、可完全拦截自动化攻击脚本、0Day利用脚本对网站漏洞的探测和利用;
4、可完全拦截无头浏览器对网站的访问;
5、可防止自动化访问工具通过APP、小程序、公众号与后台的API接口进行模拟操作或攻击;
6、可阻碍黑客通过代理工具通过修改提交数据对网站进行渗透和攻击;
7、实现对Web页面、APP、小程序、公众号的全场景防护。
上述本发明的方法,或特定系统单元、或其部份单元,为纯软件架构,可以透过程序代码布设于实体媒体,如硬盘、光盘片、或是任何电子装置(如智能型手机、计算机可读取的储存媒体),当机器加载程序代码且执行(如智能型手机加载且执行),机器成为用以实行本发明的装置。上述本发明的方法与装置亦可以程序代码型态透过一些传送媒体,如电缆、光纤、或是任何传输型态进行传送,当程序代码被机器(如智能型手机)接收、加载且执行,机器成为用以实行本发明的装置。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (19)
1.针对WEB应用自动化攻击行为的防御系统,其特征在于,所述防护系统包括:前端特征信息搜集模块、前端混淆及自解扰模块、后端加扰及阻断模块以及后端分析模块;
所述前端特征信息搜集模块搜集发起WEB访问的客户端的访问特征信息,对收集达到的访问特征信息调用前端混淆及自解扰模块进行拼装混淆,并将拼装混淆后的访问特征信息插入访问cookie中选定的字段中;
所述前端混淆及自解扰模块与所述前端特征信息搜集模块以及后端加扰及阻断模块进行数据交互,对后端加扰及阻断模块反馈的经过后端加扰的WEB服务端响应数据进行动态解扰,并将动态解扰后的数据反馈给发起WEB访问的客户端;所述前端混淆及自解扰模块可对前端特征信息搜集模块采集到的特征信息进行拼装混淆处理;
所述后端加扰及阻断模块与前端混淆及自解扰模块以及后端分析模块进行数据交互,对WEB服务端相应返回的明文数据进行加扰处理后再传递到发起WEB访问的客户端;所述后端加扰及阻断模块可对WEB访问行为进行阻断处理;
所述后端分析模块与后端加扰及阻断模块以及前端特征信息搜集模块进行数据交互;所述后端分析模块基于前端特征信息搜集模块采集并处理的访问特征信息对WEB访问进行防御分析,对异常访问调用后端加扰及阻断模块进行阻断,对正常访问形成原始WEB访问请求,并透明传至WEB服务端。
2.根据权利要求1所述的针对WEB应用自动化攻击行为的防御系统,其特征在于,所述前端特征信息搜集模块调用随时间变化动态抽取的混淆方式对访问特征信息进行拼装混淆,调用cookie添加方法插入“HKIIUU9O618PPTHP”字段,字段的值为拼装混淆后的特征数据,每次插入会覆盖掉该字段原有的数据。
3.根据权利要求1所述的针对WEB应用自动化攻击行为的防御系统,其特征在于,所述前端特征信息搜集模块由预设事件触发调用运行或定时调用运行。
4.根据权利要求1所述的针对WEB应用自动化攻击行为的防御系统,其特征在于,所述前端混淆及自解扰模块包括混淆单元与动态解扰单元,
所述混淆单元可对前段采集到的特征信息进行拼装混淆;
所述动态解扰单元可对加扰的页面元素进行动态解扰。
5.根据权利要求4所述的针对WEB应用自动化攻击行为的防御系统,其特征在于,所述前端混淆及自解扰模块中还包括页面链接元素动态隐藏单元,所述页面链接元素动态隐藏单元在页面加载完向用户展现前,将页面DOM树中的所有链接元素摘下、记录位置并保存在临时内存区域,只有在对应位置的页面点击事件发生时,再将该元素插回。
6.根据权利要求4所述的针对WEB应用自动化攻击行为的防御系统,其特征在于,所述前端混淆及自解扰模块中还包括数据提交单元,所述数据提交单元用于对提交的表单数据进行Hook数据提交,对提交数据进行哈希计算,生成唯一指纹插入表单数据进行共同提交。
7.根据权利要求4所述的针对WEB应用自动化攻击行为的防御系统,其特征在于,所述前端混淆及自解扰模块对前端特征信息收集模块中实现特征搜集算法进行自混淆并实现反断点调试。
8.根据权利要求1所述的针对WEB应用自动化攻击行为的防御系统,其特征在于,所述后端加扰及阻断模块包括后端加扰单元以及访问阻断单元,
所述后端加扰单元可对Web服务端返回的明文数据,对对应的页面元素进行加扰处理;
所述访问阻断单元用于对相应的WEB访问行为进行阻断。
9.根据权利要求1所述的针对WEB应用自动化攻击行为的防御系统,其特征在于,所述后端分析模块包括访问数据处理单元以及访问行为分析单元;
所述访问数据处理单元针对每个面向WEB服务端的新访问对象,分别生成对象指纹和token,所述新访问对象为无对象指纹的新访问客户端,所述对象指纹表示访问对象的唯一身份,所述token在每次数据传输中承载回传的混淆后前端采集的访问特征信息;所述访问数据处理单元针对接收到的WEB访问剥离相应的对象指纹、token、数据提交指纹,并将剥离后的数据再回传WEB服务端;
所述访问行为分析单元基于所述访问数据处理单元所剥离出来的数据分析对应的WEB访问行为。
10.根据权利要求9所述的针对WEB应用自动化攻击行为的防御系统,其特征在于,所述访问行为分析单元采用特征数据完整性校验、特征数据一致性校验、提交数据完整性校验中的至少一种校验方式来分析对应的WEB访问行为。
11.根据权利要求10所述的针对WEB应用自动化攻击行为的防御系统,其特征在于,所述访问行为分析单元还通过分析发起WEB访问的客户端的客户端时序来分析WEB访问行为。
12.根据权利要求10所述的针对WEB应用自动化攻击行为的防御系统,其特征在于,所述访问行为分析单元还针对访问客户端建立滑动分析窗口,并通过分析特征数据滑动窗口行为来分析WEB访问行为。
13.根据权利要求11所述的针对WEB应用自动化攻击行为的防御系统,其特征在于,所述访问行为分析单元还通过模拟浏览器特征分析、搜索引擎识别、对象历史访问行为聚类中一种或多种方式来分析WEB访问行为。
14.针对WEB应用自动化攻击行为的防御方法,其特征在于,包括:
搜集发起WEB访问的客户端的访问特征信息,对收集达到的访问特征信息进行拼装混淆,并将拼装混淆后的访问特征信息插入访问cookie中选定的字段中;
基于采集并处理的访问特征信息对WEB访问进行防御分析,对异常访问进行阻断,对正常访问形成原始WEB访问请求,并透明传至WEB服务端;
针对WEB服务端相应返回的明文数据进行加扰处理后再传递给发起WEB访问的客户端;
对经过后端加扰的WEB服务端响应数据进行动态解扰,并将动态解扰后的数据反馈给发起WEB访问的客户端。
15.根据权利要求14所述的针对WEB应用自动化攻击行为的防御方法,其特征在于,所述防御方法还包括在页面加载完向用户展现前,将页面DOM树中的所有链接元素摘下、记录位置并保存在临时内存区域,只有在对应位置的页面点击事件发生时,再将该元素插回。
16.根据权利要求14所述的针对WEB应用自动化攻击行为的防御方法,其特征在于,所述防御方法还包括针对提交的表单数据进行Hook数据提交,对提交数据进行哈希计算,生成唯一指纹插入表单数据进行共同提交。
17.根据权利要求14所述的针对WEB应用自动化攻击行为的防御方法,其特征在于,所述防御方法针对Web服务端返回的明文数据进行加扰处理,针对对应的页面元素进行加扰处理。
18.根据权利要求14所述的针对WEB应用自动化攻击行为的防御方法,其特征在于,所述防御方法进行防御分析时,包括:
针对每个面向WEB服务端的无对象指纹的新访问客户端,分别生成对象指纹和token,所述对象指纹表示访问对象的唯一身份,所述token在每次数据传输中承载回传的混淆后前端采集的访问特征信息;所述访问数据处理单元针对接收到的WEB访问剥离相应的对象指纹、token、数据提交指纹,并将剥离后的数据再回传WEB服务端;
基于所述访问数据处理单元所剥离出来的数据分析对应的WEB访问行为。
19.根据权利要求18所述的针对WEB应用自动化攻击行为的防御方法,其特征在于,所述防御方法进行防御分析时,至少采用如下一种方式:
采用特征数据完整性校验、特征数据一致性校验、提交数据完整性校验中的至少一种校验方式来分析对应的WEB访问行为;
通过分析发起WEB访问的客户端的客户端时序来分析WEB访问行为;
针对访问客户端建立滑动分析窗口,并通过分析特征数据滑动窗口行为来分析WEB访问行为;
通过模拟浏览器特征分析来分析WEB访问行为。
搜索引擎识别来分析WEB访问行为;
对象历史访问行为聚类来分析WEB访问行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210686954.7A CN115065537B (zh) | 2022-06-16 | 2022-06-16 | 针对web应用自动化攻击行为的防御系统及动态防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210686954.7A CN115065537B (zh) | 2022-06-16 | 2022-06-16 | 针对web应用自动化攻击行为的防御系统及动态防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115065537A true CN115065537A (zh) | 2022-09-16 |
| CN115065537B CN115065537B (zh) | 2023-07-07 |
Family
ID=83201888
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210686954.7A Active CN115065537B (zh) | 2022-06-16 | 2022-06-16 | 针对web应用自动化攻击行为的防御系统及动态防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115065537B (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102291390A (zh) * | 2011-07-14 | 2011-12-21 | 南京邮电大学 | 一种基于云计算平台的防御拒绝服务攻击的方法 |
| US20120174196A1 (en) * | 2010-12-30 | 2012-07-05 | Suresh Bhogavilli | Active validation for ddos and ssl ddos attacks |
| CN103944900A (zh) * | 2014-04-18 | 2014-07-23 | 中国科学院计算技术研究所 | 一种基于加密的跨站请求攻击防范方法及其装置 |
| US20150256556A1 (en) * | 2013-03-05 | 2015-09-10 | Bot Or Not, Llc | Method and system for web integrity validator |
| US20160119344A1 (en) * | 2013-07-04 | 2016-04-28 | Jscrambler S.A. | System and method for web application security |
| CN107426181A (zh) * | 2017-06-20 | 2017-12-01 | 竞技世界(北京)网络技术有限公司 | 恶意Web访问请求的拦截方法及装置 |
| US20180262521A1 (en) * | 2017-03-13 | 2018-09-13 | Molbase (Shanghai) Biotechnology Co., Ltd | Method for web application layer attack detection and defense based on behavior characteristic matching and analysis |
| CN108712388A (zh) * | 2018-04-20 | 2018-10-26 | 广州市玄武无线科技股份有限公司 | 一种基于http的数据安全传输方法与装置 |
| CN109617917A (zh) * | 2019-01-21 | 2019-04-12 | 深圳市能信安科技股份有限公司 | 地址虚拟化Web应用安全防火墙方法、装置和系统 |
| CN110881044A (zh) * | 2019-12-05 | 2020-03-13 | 北京宏达隆和科技有限公司 | 一种计算机防火墙动态防御安全平台 |
| CN112182614A (zh) * | 2020-09-29 | 2021-01-05 | 北京天云海数技术有限公司 | 一种动态Web应用防护系统 |
| CN113010856A (zh) * | 2021-03-02 | 2021-06-22 | 北京顶象技术有限公司 | 一种动态非对称加解密的JavaScript代码混淆方法与系统 |
| US20210337009A1 (en) * | 2020-04-27 | 2021-10-28 | Imperva, Inc. | Forced identification with automated post resubmission |
| CN113630421A (zh) * | 2021-08-24 | 2021-11-09 | 神州网云(北京)信息技术有限公司 | 基于非对称加密算法防web系统数据移植方法 |
-
2022
- 2022-06-16 CN CN202210686954.7A patent/CN115065537B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120174196A1 (en) * | 2010-12-30 | 2012-07-05 | Suresh Bhogavilli | Active validation for ddos and ssl ddos attacks |
| CN102291390A (zh) * | 2011-07-14 | 2011-12-21 | 南京邮电大学 | 一种基于云计算平台的防御拒绝服务攻击的方法 |
| US20150256556A1 (en) * | 2013-03-05 | 2015-09-10 | Bot Or Not, Llc | Method and system for web integrity validator |
| US20160119344A1 (en) * | 2013-07-04 | 2016-04-28 | Jscrambler S.A. | System and method for web application security |
| CN103944900A (zh) * | 2014-04-18 | 2014-07-23 | 中国科学院计算技术研究所 | 一种基于加密的跨站请求攻击防范方法及其装置 |
| US20180262521A1 (en) * | 2017-03-13 | 2018-09-13 | Molbase (Shanghai) Biotechnology Co., Ltd | Method for web application layer attack detection and defense based on behavior characteristic matching and analysis |
| CN107426181A (zh) * | 2017-06-20 | 2017-12-01 | 竞技世界(北京)网络技术有限公司 | 恶意Web访问请求的拦截方法及装置 |
| CN108712388A (zh) * | 2018-04-20 | 2018-10-26 | 广州市玄武无线科技股份有限公司 | 一种基于http的数据安全传输方法与装置 |
| CN109617917A (zh) * | 2019-01-21 | 2019-04-12 | 深圳市能信安科技股份有限公司 | 地址虚拟化Web应用安全防火墙方法、装置和系统 |
| CN110881044A (zh) * | 2019-12-05 | 2020-03-13 | 北京宏达隆和科技有限公司 | 一种计算机防火墙动态防御安全平台 |
| US20210337009A1 (en) * | 2020-04-27 | 2021-10-28 | Imperva, Inc. | Forced identification with automated post resubmission |
| CN112182614A (zh) * | 2020-09-29 | 2021-01-05 | 北京天云海数技术有限公司 | 一种动态Web应用防护系统 |
| CN113010856A (zh) * | 2021-03-02 | 2021-06-22 | 北京顶象技术有限公司 | 一种动态非对称加解密的JavaScript代码混淆方法与系统 |
| CN113630421A (zh) * | 2021-08-24 | 2021-11-09 | 神州网云(北京)信息技术有限公司 | 基于非对称加密算法防web系统数据移植方法 |
Non-Patent Citations (3)
| Title |
|---|
| YOU YU; YUANYUAN YANG; JIAN GU; LIANG SHEN: "Analysis and suggestions for the security of web applications", 《IEEE》 * |
| 俞优;顾健;李毅;: "Web应用安全现状分析及防护建议", no. 07 * |
| 张悦;杨学全;: "基于服务器端CSRF防御模块的设计与实现", 信息技术与信息化, no. 07 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115065537B (zh) | 2023-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Javed et al. | A comprehensive survey on computer forensics: State-of-the-art, tools, techniques, challenges, and future directions | |
| US9356957B2 (en) | Systems, methods, and media for generating bait information for trap-based defenses | |
| Alata et al. | Lessons learned from the deployment of a high-interaction honeypot | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| Nicomette et al. | Set-up and deployment of a high-interaction honeypot: experiment and lessons learned | |
| CN109922052A (zh) | 一种结合多重特征的恶意url检测方法 | |
| CN101816148A (zh) | 用于验证、数据传送和防御网络钓鱼的系统和方法 | |
| Debar et al. | Fixed vs. variable-length patterns for detecting suspicious process behavior | |
| CN112182614B (zh) | 一种动态Web应用防护系统 | |
| CN111818062A (zh) | 基于Docker的CentOS高交互蜜罐系统及其实现方法 | |
| CN107135212A (zh) | 一种基于行为差异的Web环境下的人机识别装置及方法 | |
| Dabbour et al. | Efficient assessment and evaluation for websites vulnerabilities using SNORT | |
| Dharam et al. | Runtime monitors for tautology based SQL injection attacks | |
| Jain et al. | Session hijacking: Threat analysis and countermeasures | |
| Tchakounte et al. | A game theoretical model for anticipating email spear-phishing strategies | |
| Hassan et al. | SAISAN: An automated Local File Inclusion vulnerability detection model | |
| Hashim et al. | Defences against web application attacks and detecting phishing links using machine learning | |
| CN111931170A (zh) | 一种网站应用隔离防护系统 | |
| CN108182360A (zh) | 一种风险识别方法及其设备、存储介质、电子设备 | |
| Baykara et al. | A novel hybrid approach for detection of web-based attacks in intrusion detection systems | |
| Yasinsac et al. | Honeytraps, a network forensic tool | |
| Pramono | Anomaly-based intrusion detection and prevention system on website usage using rule-growth sequential pattern analysis: Case study: Statistics of Indonesia (BPS) website | |
| Veprytska et al. | AI powered attacks against AI powered protection: Classification, scenarios and risk analysis | |
| Kumar | The multi-tier architecture for developing secure website with detection and prevention of sql-injection attacks | |
| CN115065537B (zh) | 针对web应用自动化攻击行为的防御系统及动态防御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |