本发明专利技术的目的是提供一种访问网站的方法、装置和系统。根据本发明专利技术的方法,所述方法包括以下步骤:当请求访问与初始URL对应的网页时,获取与所述初始URL相应的访问会话对应的本地会话表项;基于所获得的所述本地会话表项来生成随机目录字段,所述随机目录字段中包含第一随机字段;将所生成的随机目录字段添加至所述初始URL中,以获得的新URL;将所述新URL发送至与所述用户设备对应的网络设备。本发明专利技术的优点在于:能够直接过滤格式不正常的HTTP访问,网络访问更加安全,并且无需对原有应用进行过多调整,方便应用于多种环境。
【技术实现步骤摘要】
本专利技术涉及计算机
,尤其涉及在信息安全领域的一种访问网站的方法、装置和系统。
技术介绍
随着互联网技术的推广应用,当前大多数网络应用是采用WEB方式提供的,WEB应用的安全防护成为互联网安全的重要组成部分。目前主要的WEB应用防护技术采用的是防火墙、入侵检测、漏洞扫描和系统补丁加固、WEB应用防火墙(WAF,Web Applicat1nFirewall)以及提高WEB应用编程质量(输入检查和过滤)来实现的。这些方法虽然起到了一定的防护作用,但是依然存在一定的缺陷,使得WEB站点漏洞以及针对WEB应用的攻击时有发生。当前的技术手段不足以防止诸如针对未知漏洞、针对WEB服务端程序业务逻辑缺陷的攻击,其主要原因是:1.WEB服务端软件的漏洞难以杜绝WEB应用程序中可以使用一系列安全防护措施以提高安全性,例如严格的身份认证、授权管理、输入检测、通信加密(如安全套接字协议层(SSL, Secure Sockets Layer))等。但是目前许多针对WEB站点的攻击是利用服务端软件的漏洞实施的,如果软件本身存在漏洞,依靠软件本身功能所提供的安全机制可能无法阻止攻击的发生。虽然可以采用各种手段提高WEB服务软件的质量以尽可能减少漏洞,但是目前尚无绝对的把握杜绝漏洞的存在。而且WEB服务一般是对外开放的,一般防火墙都会开放WEB服务端口,所以无法基于防火墙消除针对漏洞的安全攻击。2.WEB攻击的通信特征无法穷举入侵检测系统(IDS,Intrus1n Detect1n System)、入侵防护系统(IPS, Intrus1n Prevent1n System))、防火墙(WAF, Web Applicat1n Firewall)类的安全机制可以通过分析WEB应用通信数据中的应用层负载来识别可能发生的攻击行为,进而对攻击行为进行阻断,在一定程度上可以防范类似SQL注入等攻击行为。但有些漏洞属于未公开漏洞,针对此漏洞的攻击代码样本及其网络通信内容特征事先可能无法获得。有些漏洞存在于上层应用软件中,并非是WEB Server等平台软件,针对不同应用的攻击方法各不相同。因为无法穷举各类可能发生的WEB攻击的通信特征,因此仅依靠IDS、IPS、WAF无法防范这些攻击。3.URL相对固定当前的WEB站点对外提供服务的URL基本上是固定的。任何用户只要知道URL就能访问站点,黑客只要知晓网站入口的URL,就可以采用各种漏洞扫描工具对WEB站点进行漏洞扫描,挖掘和发现系统中存在的漏洞以进行攻击。在攻击过程中,攻击者未必使用通用的浏览器软件,而是使用一些工具,如BURP套件、sqlmap等对网站发送经过精心设计的信息,利用相关漏洞。由于URL是固定的,所以可以反复尝试各类攻击手段直到成功。为了对抗网络攻击,基于MTD (Moving Target Defense)的主动防御思想近年来有一定的发展。美国 NITRD(Networking and Information Technology Research andDevelopment Program)在2009年的年度报告中提出的Moving Target Defense即是通过可变性来提高系统防御能力的新方法。早期的探索,比如BBN Technologies公司提出的主动网络防御通过动态改变网络地址和端口来增强系统的安全性;一些研究提出了用网络地址空间的随机化模型使木马和懦虫失效。Al-Shaer等提出了一个MUTE (Mutable Networks)模型,支持IP地址的随机分配及变化,MUTE通过一个加密算法来同步网络内的地址变化信息。除了基于网络的MTD方法,国际上一些学者同时提出了基于系统的MTD方法,包括内存地址空间的随机化方法(ASLR),指令集随机化方法(ISR),数据随机化方法等。这些方法的本质是使系统产生多样性来抵御攻击。然而当前的这些方法中,不可避免的需要对网络、WEB Server和上层应用软件进行重大调整。
技术实现思路
本专利技术的目的是提供一种访问网站的方法、装置和系统。根据本专利技术的一个方面,提供了一种用于在用户设备中访问网站的方法,所述用户设备中可保存与访问网页的访问会话对应的本地会话表,其中,所述方法包括以下步骤:a当请求访问与初始URL对应的网页时,获取与所述初始URL相应的访问会话对应的本地会话表项,其中,所述本地会话表项至少包括与所述访问会话对应的会话标识信息、与所述访问会话对应的用户的用户相关信息,所述访问会话的时间相关信息,以及本次请求的请求顺序信息;b基于所获得的所述本地会话表项来生成随机目录字段,所述随机目录字段中包含第一随机字段;C将所生成的随机目录字段添加至所述初始URL中,以获得的新URL ;d将所述新URL发送至与所述用户设备对应的网络设备。根据本专利技术的一个方面,提供了一种用于在网络设备中辅助访问网站的方法,所述网络设备中可保存与访问网页的访问会话对应的网络会话表,其中,所述方法还包括以下步骤:A接收来自用户设备的新URL,其中,所述新URL包括在所述网页的初始URL中添加了随机目录字段的URL,所述随机目录字段中包含第一随机字段;B基于所述新URL中的随机目录字段,提取与所述初始URL相关的访问会话对应的会话标识信息;C基于所获得的会话标识信息,获取与所述会话标识信息对应的所述网络会话表的网络会话表项,其中,所述网络会话表项包括所述网络设备的用户标识信息,网络时间信息,以及本次请求的网络请求顺序;D基于所获得的网络会话表项来生成第二随机字段;E将所述第一随机字段与所述第二随机字段进行匹配,并当匹配成功时,向服务器发送与所述初始URL对应的请求。根据本专利技术的一个方面,提供了一种用于在用户设备中访问网站的访问装置,所述用户设备中可保存与访问网页的访问会话对应的本地会话表,其中,所述访问装置包括:a第一获取装置,用于当请求访问与初始URL对应的网页时,获取与所述初始URL相应的访问会话对应的本地会话表项,其中,所述本地会话表项至少包括与所述访问会话对应的会话标识信息、与所述访问会话对应的用户的用户相关信息,所述访问会话的时间相关信息,以及本次请求的请求顺序信息;b第一生成装置,用于基于所获得的所述本地会话表项来生成第一随机字段;c添加装置,用于将所生成的第一随机字段与所述会话标识信息相对应地添加至所述初始URL中,以获得的新URL ;d第一发送装置,用于将所述新URL发送至与所述用户设备对应的网络设备。根据本专利技术的一个方面,提供了一种用于在网络设备中辅助访问网站的辅助装置,所述网络设备中可保存与访问网页的访问会话对应的网络会话表,其中,所述辅助装置包括以下步骤:第一接收装置,用于接收来自用户设备的新URL,其中,所述新URL包括在所述网页的初始URL中添加了第一随机字段的URL ;提取装置,用于基于所述新URL中的第一随机字段,提取与所述初始URL相关的访问会话对应的会话标识信息;第二获取装置,用于基于所获得的会话标识信息,获取与所述会话标识信息对应的所述网络会话表的网络会话表项,其中,所述网络会话表项包括所述网络设备的用户标识信息,网络时间信息,以及本次请求的网络请求顺序;第二生成装置,用于基于所获得的网络本文档来自技高网...
【技术保护点】
一种用于在用户设备中访问网站的方法,所述用户设备中可保存与访问网页的访问会话对应的本地会话表,其中,所述方法包括以下步骤:a当请求访问与初始URL对应的网页时,获取与所述初始URL相应的访问会话对应的本地会话表项,其中,所述本地会话表项至少包括与所述访问会话对应的会话标识信息、与所述访问会话对应的用户的用户相关信息,所述访问会话的时间相关信息,以及本次请求的请求顺序信息;b基于所获得的所述本地会话表项来生成随机目录字段,所述随机目录字段中包含第一随机字段;c将所生成的随机目录字段添加至所述初始URL中,以获得的新URL;d将所述新URL发送至与所述用户设备对应的网络设备。
【技术特征摘要】
【专利技术属性】
技术研发人员:吴承荣,严明,金蒿林,刘巍,
申请(专利权)人:上海红神信息技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。