CN116208392A - Web攻击的主动防御方法及装置 - Google Patents

Abstract

本申请涉及一种Web攻击的主动防御方法、装置、电子设备及计算机可读介质。该方法包括：安全设备获取来自客户端的访问请求；在所述访问请求中不包含特征码时，向所述客户端推送认证页面代码；安全设备获取来自客户端的带有特征码的访问请求；根据所述特征码对所述访问请求进行校验；根据校验结果对所述访问请求进行处理以进行主动防御。本申请涉及的Web攻击的主动防御方法、装置、电子设备及计算机可读介质，能够在无需手动配置规则的情况下，主动拦截工具和脚本类的攻击，还能够实现针对分布式IP进行的低频率攻击的拦截和防御，防止令牌劫持。

Description

Web攻击的主动防御方法及装置

技术领域

本公开涉及计算机信息处理领域，具体而言，涉及一种Web攻击的主动防御方法、装置、电子设备及计算机可读介质。

背景技术

随着网络技术的发展，各种网络上的攻击也越来越频繁，其中扫描器攻击、重放攻击、跨站脚本注入和SQL注入等攻击方法和攻击手段也越来越多样化。其中大部分的攻击都是使用工具、脚本等形式进行，而不需要直接在浏览器上通过输入攻击内容进行。这样可以在短时间内进行大量的攻击尝试，以提高攻击成功的可能性。

传统的针对这些网络攻击的防护方式大多以特征指纹和封禁IP为主，属于被动型的防御策略，当出现新的攻击指纹或攻击特征库不完整时，比如出现0day漏洞时，很有可能会被攻击者绕过而实现攻击的目的。因此需要一种能够主动识别和防御包括工具和脚本在内的攻击方式的方法，可以从根源上实现对这类攻击的无差别防御，使所有工具和脚本类的攻击完全失效。

因此，需要一种新的Web攻击的主动防御方法、装置、电子设备及计算机可读介质。

在所述背景技术部分公开的上述信息仅用于加强对本申请的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

有鉴于此，本申请提供一种Web攻击的主动防御方法、装置、电子设备及计算机可读介质，能够在无需手动配置规则的情况下，主动拦截工具和脚本类的攻击，还能够实现针对分布式IP进行的低频率攻击的拦截和防御，防止令牌劫持。

本申请的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本申请的实践而习得。

根据本申请的一方面，提出一种Web攻击的主动防御方法，可应用在安全设备中，该方法包括：安全设备获取来自客户端的访问请求；在所述访问请求中不包含特征码时，向所述客户端推送认证页面代码；安全设备获取来自客户端的带有特征码的访问请求；根据所述特征码对所述访问请求进行校验；根据校验结果对所述访问请求进行处理以进行主动防御。

在本申请的一种示例性实施例中，在所述访问请求中不包含特征码时，包括：对所述访问请求进行解析；在解析结果的预设位置提取所述特征码；在所述预设位置不包含特征码时，确定所述客户端为首次访问。

在本申请的一种示例性实施例中，安全设备获取来自客户端的带有特征码的访问请求，包括：安全设备获取来自客户端的访问请求；对所述访问请求进行解析获取特征码。

在本申请的一种示例性实施例中，根据所述特征码对所述访问请求进行校验，包括：解析所述特征码获取客户端的当前时间；对所述特征码进行解密生成解密结果；根据所述特征码、所述解密结果、客户端的当前时间对对所述访问请求进行校验。

在本申请的一种示例性实施例中，根据所述特征码、所述解密结果、客户端的当前时间对对所述访问请求进行校验，包括：在所述访问请求中包含所述特征码，且所述特征码未使用过，且所述解密结果正确，且所述客户端的当前时间未超时的情况下，确定所述访问请求校验通过。

在本申请的一种示例性实施例中，根据校验结果对所述访问请求进行处理以进行主动防御，包括：在所述访问请求的校验通过时，将所述访问请求转发至后台服务器处理。

根据本申请的一方面，提出一种Web攻击的主动防御方法，可应用在客户端，该方法包括：客户端向安全设备发送访问请求；由所述安全设备获取认证页面代码；通过所述认证页面代码生成特征码；基于所述特征码再次生成访问请求并发送至所述安全设备。

在本申请的一种示例性实施例中，通过所述认证页面代码生成特征码，包括：客户端执行所述认证页面代码；基于所述页面代码和客户端的当前时间生成所述特征码。

根据本申请的一方面，提出一种Web攻击的主动防御装置，可应用在安全设备中，该装置包括：接收模块，用于安全设备获取来自客户端的访问请求；推送模块，用于在所述访问请求中不包含特征码时，向所述客户端推送认证页面代码；请求模块，用于安全设备获取来自客户端的带有特征码的访问请求；校验模块，应用根据所述特征码对所述访问请求进行校验；防御模块，用于根据校验结果对所述访问请求进行处理以进行主动防御。

根据本申请的一方面，提出一种Web攻击的主动防御装置，可应用在客户端中，该装置包括：发送模块，用于客户端向安全设备发送访问请求；获取模块，用于由所述安全设备获取认证页面代码；认证模块，用于通过所述认证页面代码生成特征码；访问模块，用于基于所述特征码再次生成访问请求并发送至所述安全设备。

根据本申请的一方面，提出一种电子设备，该电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如上文的方法。

根据本申请的一方面，提出一种计算机可读介质，其上存储有计算机程序，该程序被处理器执行时实现如上文中的方法。

根据本申请的Web攻击的主动防御方法、装置、电子设备及计算机可读介质，通过安全设备获取来自客户端的访问请求；在所述访问请求中不包含特征码时，向所述客户端推送认证页面代码；安全设备获取来自客户端的带有特征码的访问请求；根据所述特征码对所述访问请求进行校验；根据校验结果对所述访问请求进行处理以进行主动防御的方式，能够在无需手动配置规则的情况下，主动拦截工具和脚本类的攻击，还能够实现针对分布式IP进行的低频率攻击的拦截和防御，防止令牌劫持。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本申请。

附图说明

通过参照附图详细描述其示例实施例，本申请的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本申请的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据一示例性实施例示出的一种Web攻击的主动防御方法及装置的系统框图。

图2是根据一示例性实施例示出的一种Web攻击的主动防御方法的流程图。

图3是根据另一示例性实施例示出的一种Web攻击的主动防御方法的流程图。

图4是根据另一示例性实施例示出的一种Web攻击的主动防御方法的流程图。

图5是根据另一示例性实施例示出的一种Web攻击的主动防御方法的流程图。

图6是根据另一示例性实施例示出的一种Web攻击的主动防御方法的流程图。

图7是根据另一示例性实施例示出的一种Web攻击的主动防御方法的流程图。

图8是根据一示例性实施例示出的一种Web攻击的主动防御装置的框图。

图9是根据另一示例性实施例示出的一种Web攻击的主动防御装置的框图。

图10是根据一示例性实施例示出的一种电子设备的框图。

图11是根据一示例性实施例示出的一种计算机可读介质的框图。

具体实施方式

现在将参考附图更全面地描述示例实施例。然而，示例实施例能够以多种形式实施，且不应被理解为限于在此阐述的实施例；相反，提供这些实施例使得本申请将全面和完整，并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。

此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本申请的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本申请的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

应理解，虽然本文中可能使用术语第一、第二、第三等来描述各种组件，但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此，下文论述的第一组件可称为第二组件而不偏离本申请概念的教示。如本文中所使用，术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。

本领域技术人员可以理解，附图只是示例实施例的示意图，附图中的模块或流程并不一定是实施本申请所必须的，因此不能用于限制本申请的保护范围。

本申请涉及的技术缩略语解释如下：

HTML：超文本标记语言(英语：HyperText Markup Language)是一种用于创建网页的标准标记语言。HTML是一种基础技术，常与CSS、JavaScript一起被众多网站用于设计网页、网页应用程序以及移动应用程序的用户界面。网页浏览器可以读取HTML文件，并将其渲染成可视化网页。

JavaScript：简称js。JavaScript是一种属于网络的高级脚本语言，已经被广泛用于Web应用开发，常用来为网页添加各式各样的动态功能，为用户提供更流畅美观的浏览效果。通常JavaScript脚本是通过嵌入在HTML中来实现自身的功能的。

Cookie：HTTP cookie，简称cookie，是用户浏览网站时由网络服务器建立并由用户的网页浏览器储存在计算机或其他设备的小文本文件。Cookie使Web服务器能够在用户的设备储存状态信息(如加到在线商店购物车中的商品)或跟踪用户的浏览活动(如点击特定按钮、登录或记录历史)。

Token：Token是服务端生成的一串字符串，以作客户端进行请求的一个令牌，当第一次登录后，服务器生成一个Token便将此Token返回给客户端，以后客户端只需带上这个Token前来请求数据即可，无需再次带上用户名和密码。Token的目的是为了减轻服务器的压力，减少频繁的查询数据库，使服务器更加健壮。

重放攻击：是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给认证服务器。重放攻击在任何网络通信过程中都可能发生，是计算机世界黑客常用的攻击方式之一。

一般的，针对网络攻击的防护会使用专门的安全设备进行，客户端将请求发送至安全设备，安全设备进行检查之后，将合法的请求转发至服务器，并获得服务器的响应，并将响应内容传递给客户端；对于非法的请求则直接丢弃或向客户端返回错误页面。

目前，传统的Web攻击防御方案(通常是部署于安全设备上)通常由以下几种方式实现：

一、基于漏洞规则库的规则进行匹配。若报文中的内容匹配中了规则，则认为是非法攻击。

二、基于IP地址和触发频率来判定。即：当某一IP地址产生非法操作的次数达到阈值之后，则认为是非法攻击。

三、基于Token的防御机制。若用户的访问请求未携带正确的Token，则认为是非法请求，并拒绝处理。

四、基于动态令牌的防御机制。动态令牌由进行防御的安全设备生成，若令牌重复或已过期，则认为是非法请求，并拒绝处理。

一、基于漏洞规则库的防御方式有可能会出现工具攻击的特征不在漏洞规则库中的情况，这样这类攻击将无法被识别并防御；且此类规则库也会存在一定的误报情况。

二、基于IP地址和触发频率的方式，仅能够对某一IP地址进行多次集中攻击时进行检测，若攻击者使用分布式IP地址和低频率的攻击方式时，则无法检测。

三、基于Token的防御机制由于Token的超时时间(如：一分钟)较长，攻击者在获取到某一合法Token后，可进行大量的攻击尝试，即使Token失效，攻击者也可以方便的再次获取到新的合法Token进行攻击。

四、基于动态令牌的防御机制相比于Token机制会在每次请求之后更新令牌，但更新的令牌会返回的报文中获取到，仍然可以通过脚本进行识别并绕过这种机制。

有鉴于现有技术中的技术缺陷，本申请提出了一种新的Web攻击的主动防御方法，本申请能够解决传统规则库存在特征不全导致攻击绕过问题，无法防御0day漏洞问题。本申请无需手动配置规则，会主动拦截工具和脚本类的攻击。

本申请能够解决攻击者使用分布式IP且采用低频率攻击时基于IP地址和频率的方式无法防御的问题。本申请可以针对分布式IP进行的低频率攻击进行完全的拦截和防御。

本申请能够解决动态令牌机制由于需要回传令牌可能会导致的劫持和中间人攻击问题。本申请无需向客户端传递令牌，保证了令牌无法劫持。

下面借助于具体的实施例对本申请的内容进行详细说明。

图1是根据一示例性实施例示出的一种Web攻击的主动防御方法、装置的系统框图。

如图1所示，系统架构10可以包括客户端101、102、103，网络104和安全设备105，后台服务器106。网络104用以在客户端101、102、103和安全设备105之间、安全设备105和后台服务器106之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用客户端101、102、103通过安全设备105与后台服务器106交互，以接收或发送消息等。客户端101、102、103上可以安装有各种通讯客户端应用，例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。

客户端101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

安全设备105可以是提供网络安全服务的服务器，例如对用户利用客户端101、102、103所浏览的由后台服务器106建立的购物类网站提供支持的数据安全服务(仅为示例)。安全设备105可以对接收到的产品信息查询请求等数据进行校验等处理，并将校验通过的请求转发给后台服务器106处理。

安全设备105可例如获取来自客户端101、102、103的访问请求；安全设备105可例如在所述访问请求中不包含特征码时，向所述客户端推送认证页面代码；安全设备105可例如获取来自客户端的带有特征码的访问请求；安全设备105可例如根据所述特征码对所述访问请求进行校验；安全设备105可例如根据校验结果对所述访问请求进行处理以进行主动防御。

客户端101、102、103可例如向安全设备105发送访问请求；客户端101、102、103可例如由所述安全设备105获取认证页面代码；客户端101、102、103可例如通过所述认证页面代码生成特征码；客户端101、102、103可例如基于所述特征码再次生成访问请求并发送至所述安全设备105。

安全设备105可以是一个实体的服务器，还可例如为多个服务器组成，需要说明的是，本申请实施例所提供的Web攻击的主动防御方法可以由安全设备105和客户端101、102、103执行，相应地，Web攻击的主动防御装置可以设置于安全设备105和客户端101、102、103中。

根据本申请的Web攻击的主动防御方法，使用基于特征码的验证方式进行动态验证，避免了使用漏洞库可能会导致的漏报和误报情况。

根据本申请的Web攻击的主动防御方法，特征码使用基于时间的单向验证，避免了使用动态令牌等双向验证的机制可能会被利用的问题。

图2是根据一示例性实施例示出的一种Web攻击的主动防御方法的流程图。Web攻击的主动防御方法20可应用在安全设备中，至少包括步骤S202至S210。

如图2所示，在S202中，安全设备获取来自客户端的访问请求。

在S204中，在所述访问请求中不包含特征码时，向所述客户端推送认证页面代码。可对所述访问请求进行解析；在解析结果的预设位置提取所述特征码；在所述预设位置不包含特征码时，确定所述客户端为首次访问。

在S206中，安全设备获取来自客户端的带有特征码的访问请求。安全设备可获取来自客户端的访问请求；对所述访问请求进行解析获取特征码。

在S208中，根据所述特征码对所述访问请求进行校验。可解析所述特征码获取客户端的当前时间；对所述特征码进行解密生成解密结果；根据所述特征码、所述解密结果、客户端的当前时间对对所述访问请求进行校验。

更具体的，在所述访问请求中包含所述特征码，且所述特征码未使用过，且所述解密结果正确，且所述客户端的当前时间未超时的情况下，确定所述访问请求校验通过。

更具体的，在经过解密得到的当前时间与以往接收过得特征码的时间相同时，则认为本次访问请求为是重放攻击，校验失败。

在S210中，根据校验结果对所述访问请求进行处理以进行主动防御。在所述访问请求的校验通过时，将所述访问请求转发至后台服务器处理。

根据本申请的Web攻击的主动防御方法，通过安全设备获取来自客户端的访问请求；在所述访问请求中不包含特征码时，向所述客户端推送认证页面代码；安全设备获取来自客户端的带有特征码的访问请求；根据所述特征码对所述访问请求进行校验；根据校验结果对所述访问请求进行处理以进行主动防御的方式，能够在无需手动配置规则的情况下，主动拦截工具和脚本类的攻击，还能够实现针对分布式IP进行的低频率攻击的拦截和防御，防止令牌劫持。

应清楚地理解，本申请描述了如何形成和使用特定示例，但本申请的原理不限于这些示例的任何细节。相反，基于本申请公开的内容的教导，这些原理能够应用于许多其它实施例。

图3是根据另一示例性实施例示出的一种Web攻击的主动防御方法的流程图。Web攻击的主动防御方法30可应用在客户端中，至少包括步骤S302至S308。

如图3所示，在S302中，客户端向安全设备发送访问请求。

在S304中，由所述安全设备获取认证页面代码。

在S306中，通过所述认证页面代码生成特征码。客户端可执行所述认证页面代码；基于所述页面代码和客户端的当前时间生成所述特征码。

在S308中，基于所述特征码再次生成访问请求并发送至所述安全设备。

本申请的Web攻击的主动防御方法，在实际的应用中，可拆分为认证流程和校验流程两部组成。认证流程在客户端浏览器的正常访问请求中增加特征码，并保持特征码的持续刷新。校验流程根据获取的客户端特征码进行验证，若特征码不存在、解密失败或出现超时等情况时则认为认证失败。以下分别详细解释认证流程和校验流程的实现过程。

图4是根据另一示例性实施例示出的一种Web攻击的主动防御方法的流程图。图4所示的流程40是对认证流程的详细描述。

如图4所示，在S402中，客户端正常访问服务器，此时客户端并不包含特征码。

在S404中，安全设备检测到客户端并未携带特征码，则向客户端推送认证页面代码。其中，认证页面代码由HTML和JavaScript组成，仅浏览器可正常解析并运行，工具或脚本则无法执行。

在S406中，客户端执行认证代码并生成基于客户端当前时间的特征码。

在S408中，客户端将特征码包含到请求中并再次访问服务器。

在S410中，安全设备校验特征码并保存客户端当前时间。

在S412中，校验通过则将客户端请求转发至服务器。

在S414中，服务器根据请求返回响应内容。

在S416中，安全设备将服务器返回的响应发送给客户端。

在S418中，客户端再次访问页面之前更新特征码。

图5是根据另一示例性实施例示出的一种Web攻击的主动防御方法的流程图。图5所示的流程50是对校验流程的详细描述。

如图5所示，在S502中，安全设备接收客户端请求。

在S504中，检测请求中是否含有特征码。

在S506中，判定为非法请求。

在S508中，检测特征码是否能够解密成功。

在S510中，检测客户端时间是否超时。更具体的，判断客户端是否超时的依据为：

若安全设备未存储此客户端的时间，则不认为超时；

若安全设备已存储此客户端的时间，且此客户端当前请求中的时间小于等于存储的时间，则认为超时。

在S512中，判断为合法请求，并将请求转发至服务器。

在一个具体的应用场景中，当使用了本申请的技术的安全设备在收到工具扫描时，工作流程如图6所示。

如图6所示，在S602中，使用工具不包含特征码访问服务器。

在S604中，安全设备向客户端推送认证页面代码。

在S606中，工具和脚本无法解析认证页面代码并生成特征码，再次访问服务器时仍然没有特征码。

在S608中，安全设备检测到没有特征码后，会继续向客户端推送认证页面代码。并反复进行步骤S606和S608。

工具和脚本由于无法解析认证页面代码并生成特征码，再次访问服务器时仍然会被推送认证页面代码，因此实际上无法将请求发送至服务器，因此达到主动防御扫描攻击的效果。

在一个具体的应用场景中，当使用了本申请技术的安全设备重放场景下，工作流程如图7所示。

如图7所示，在S702中，客户端正常访问服务器，此时客户端并不包含特征码。

在S704中，安全设备检测到客户端并未携带特征码，则向客户端推送认证页面代码。

在S706中，客户端执行认证代码并生成基于客户端当前时间的特征码并再次访问服务器。

在S708中，安全设备校验特征码并保存客户端当前时间。

在S710中，校验通过则将客户端请求转发至服务器。

在S712中，服务器根据请求返回响应内容。

在S714中，安全设备将服务器返回的响应发送给客户端。

在S716中，攻击者截获步骤S706中的报文并重新发送至服务器。

在S718中，安全设备识别到步骤S716中报文与步骤S706中报文特征码一致，校验失败并向客户端重新推送验证页面代码。

本申请相较于现有的防御方式采取了主动防御的方式，不需要依赖漏洞规则库，且能够对所有工具类和脚本类的攻击做到完全防护。且本发明使用基于时间的单向校验方式，避免了使用动态令牌的双向校验带来的问题。

本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时，执行本申请提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中，该存储介质可以是只读存储器，磁盘或光盘等。

此外，需要注意的是，上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

下述为本申请装置实施例，可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节，请参照本申请方法实施例。

图8是根据一示例性实施例示出的一种Web攻击的主动防御装置的框图。如图8所示，Web攻击的主动防御装置80包括：接收模块802，推送模块804，请求模块806，校验模块808，防御模块810。

接收模块802用于安全设备获取来自客户端的访问请求；

推送模块804用于在所述访问请求中不包含特征码时，向所述客户端推送认证页面代码；

请求模块806用于安全设备获取来自客户端的带有特征码的访问请求；

校验模块808应用根据所述特征码对所述访问请求进行校验；

防御模块810用于根据校验结果对所述访问请求进行处理以进行主动防御。

图9是根据另一示例性实施例示出的一种Web攻击的主动防御装置的框图。如图9所示，Web攻击的主动防御装置90包括：发送模块902，获取模块904，认证模块906，访问模块908。

发送模块902用于客户端向安全设备发送访问请求；

获取模块904用于由所述安全设备获取认证页面代码；

认证模块906用于通过所述认证页面代码生成特征码；

访问模块908用于基于所述特征码再次生成访问请求并发送至所述安全设备。

根据本申请的Web攻击的主动防御装置，通过安全设备获取来自客户端的访问请求；在所述访问请求中不包含特征码时，向所述客户端推送认证页面代码；安全设备获取来自客户端的带有特征码的访问请求；根据所述特征码对所述访问请求进行校验；根据校验结果对所述访问请求进行处理以进行主动防御的方式，能够在无需手动配置规则的情况下，主动拦截工具和脚本类的攻击，还能够实现针对分布式IP进行的低频率攻击的拦截和防御，防止令牌劫持。

图10是根据一示例性实施例示出的一种电子设备的框图。

下面参照图10来描述根据本申请的这种实施方式的电子设备1000。图10显示的电子设备1000仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图10所示，电子设备1000以通用计算设备的形式表现。电子设备1000的组件可以包括但不限于：至少一个处理单元1010、至少一个存储单元1020、连接不同系统组件(包括存储单元1020和处理单元1010)的总线1030、显示单元1040等。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元1010执行，使得所述处理单元1010执行本说明书中描述的根据本申请各种示例性实施方式的步骤。例如，所述处理单元1010可以执行如图2至图6中所示的步骤。

所述存储单元1020可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(RAM)10201和/或高速缓存存储单元10202，还可以进一步包括只读存储单元(ROM)10203。

所述存储单元1020还可以包括具有一组(至少一个)程序模块10205的程序/实用工具10204，这样的程序模块10205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线1030可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备1000也可以与一个或多个外部设备1000’(例如键盘、指向设备、蓝牙设备等)通信，使得用户能与该电子设备1000交互的设备通信，和/或该电子设备1000能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1050进行。并且，电子设备1000还可以通过网络适配器1060与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。网络适配器1060可以通过总线1030与电子设备1000的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备1000使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，如图11所示，根据本申请实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本申请实施方式的上述方法。

所述软件产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该计算机可读介质实现如下功能：安全设备获取来自客户端的访问请求；在所述访问请求中不包含特征码时，向所述客户端推送认证页面代码；安全设备获取来自客户端的带有特征码的访问请求；根据所述特征码对所述访问请求进行校验；根据校验结果对所述访问请求进行处理以进行主动防御。该计算机可读介质还可实现如下功能：客户端向安全设备发送访问请求；由所述安全设备获取认证页面代码；通过所述认证页面代码生成特征码；基于所述特征码再次生成访问请求并发送至所述安全设备。

本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中，也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

通过以上的实施例的描述，本领域的技术人员易于理解，这里描述的示例实施例可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本申请实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本申请实施例的方法。

以上具体地示出和描述了本申请的示例性实施例。应可理解的是，本申请不限于这里描述的详细结构、设置方式或实现方法；相反，本申请意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。

Claims (10)

1.一种Web攻击的主动防御方法，可应用在安全设备中，其特征在于，包括：

安全设备获取来自客户端的访问请求；

在所述访问请求中不包含特征码时，向所述客户端推送认证页面代码；

安全设备获取来自客户端的带有特征码的访问请求；

根据所述特征码对所述访问请求进行校验；

根据校验结果对所述访问请求进行处理以进行主动防御。

2.如权利要求1所述的主动防御方法，其特征在于，在所述访问请求中不包含特征码时，包括：

对所述访问请求进行解析；

在解析结果的预设位置提取所述特征码；

在所述预设位置不包含特征码时，确定所述客户端为首次访问。

3.如权利要求1所述的主动防御方法，其特征在于，安全设备获取来自客户端的带有特征码的访问请求，包括：

安全设备获取来自客户端的访问请求；

对所述访问请求进行解析获取特征码。

4.如权利要求1所述的主动防御方法，其特征在于，根据所述特征码对所述访问请求进行校验，包括：

解析所述特征码获取客户端的当前时间；

对所述特征码进行解密生成解密结果；

根据所述特征码、所述解密结果、客户端的当前时间对对所述访问请求进行校验。

5.如权利要求4所述的主动防御方法，其特征在于，根据所述特征码、所述解密结果、客户端的当前时间对对所述访问请求进行校验，包括：

在所述访问请求中包含所述特征码，且所述解密结果正确，且所述特征码未使用过，且所述客户端的当前时间未超时的情况下，确定所述访问请求校验通过。

6.如权利要求1所述的主动防御方法，其特征在于，根据校验结果对所述访问请求进行处理以进行主动防御，包括：

在所述访问请求的校验通过时，将所述访问请求转发至后台服务器处理。

7.一种Web攻击的主动防御方法，可应用在客户端，其特征在于，包括：

客户端向安全设备发送访问请求；

由所述安全设备获取认证页面代码；

通过所述认证页面代码生成特征码；

基于所述特征码再次生成访问请求并发送至所述安全设备。

8.如权利要求7所述的主动防御方法，其特征在于，通过所述认证页面代码生成特征码，包括：

客户端执行所述认证页面代码；

基于所述页面代码和客户端的当前时间生成所述特征码。

9.一种Web攻击的主动防御装置，可应用在安全设备中，其特征在于，包括：

接收模块，用于安全设备获取来自客户端的访问请求；

推送模块，用于在所述访问请求中不包含特征码时，向所述客户端推送认证页面代码；

请求模块，用于安全设备获取来自客户端的带有特征码的访问请求；

校验模块，应用根据所述特征码对所述访问请求进行校验；

防御模块，用于根据校验结果对所述访问请求进行处理以进行主动防御。

10.一种Web攻击的主动防御装置，可应用在客户端，其特征在于，包括：

发送模块，用于客户端向安全设备发送访问请求；

获取模块，用于由所述安全设备获取认证页面代码；

认证模块，用于通过所述认证页面代码生成特征码；

访问模块，用于基于所述特征码再次生成访问请求并发送至所述安全设备。

Images