The present invention relates to a dynamic defense method for Web applications based on semantic collaboration. The present invention utilizes semantic collaboration technology and string randomization technology based on Markov model to dynamically transform resource addresses, effectively dynamically transform static and dynamic resource addresses returned by server, and maintains certain readability of the transformed resource addresses, which makes it difficult for an attacker to distinguish whether the address has undergone dynamic defensive processing or not. Increase the defense strength of Web applications. The invention utilizes the semantic cooperative list to enable the dynamic defense system to effectively deal with the problem of dynamically generating code in the resource address. The randomization method based on Markov model can get more covert Web resource addresses, which makes it difficult for attackers to locate the defensive measures adopted by the website quickly. The application of Semantic Cooperative List and Markov Model effectively increases the security of Web application system.
【技术实现步骤摘要】
一种基于语义协同的Web应用动态防御方法
本专利技术属于网络安全
,涉及一种基于语义协同的Web应用动态防御方法。
技术介绍
随着Web应用的不断发展,通过SQL注入、XSS攻击等Web注入方法攻击Web系统,窃取数据的行为日益增多。当前Web应用系统上线需要耗费大量的人力、物力进行代码的安全审计工作,一般只有大公司的应用系统能做到安全性较高,而大量的小型公司开发的Web应用系统往往存在一定量的Web安全漏洞。为此,需要在Web应用与用户之间开发Web注入防御系统,对流入与流出Web应用的数据流进行检测与防护,为各类应用增加安全保障。目前主要的防护手段有基于规则的防火墙、入侵检测系统,基于机器学习的防火墙、入侵检测系统等,现有系统对新型攻击的防护效果均不理想,基于机器学习的防护方法误报率过高。专利技术专利“一种保护Web应用安全的url拟态方法(CN104954384B)”提出了一种将Web应用的url资源拟态化使攻击者难以判断资源的实际情况,从而大大降低Web攻击成功率的方法。该专利技术阐述的方法在实际使用时会造成客户端动态输入后拼接而成的资源地址与保存的“字串映射”不匹配,地址动态转换失效,从而使客户端资源访问出现差错,直观表现是用户无法正常访问Web页面。另外,当前技术对资源地址进行动态替换的一般方法为,用随机地址替换原有地址,并将这两个地址同时保存,即保存了一对替换映射。以上技术方案在攻防对抗环境下存在一定的缺点,由于随机地址与正常Web资源地址差异比较明显,攻击者可以立刻判断出系统使用了资源动态变换的防御方法,从而针对性调整攻击策略,加大了 ...
【技术保护点】
1.一种基于语义协同的Web应用动态防御方法,其特征在于:包括如下步骤;步骤一、构建前后端Web资源语义协同列表;语义协同列表用于处理动态资源地址,及有动态变化的元素标签;语义协同列表将需要替换的元素标签及动态资源地址可能涉及的语义内容均在列表中予以明确表示;动态资源地址是网站后端为前端预留的可灵活选择的不同资源访问地址,其虽然是动态的,但动态范围是能够被框定的,语义协同列表将该动态范围明确表示在列表中;步骤二、设计语义协同列表为一个能动态配置的导入系统;将Web应用动态防御系统设计为能动态读入上述语义协同列表,并正确解析该列表;步骤三、动态防御系统依据语义协同列表,对Web服务器后端向客户端前端返回的Web页面进行相关字符串提取与变换,具体过程为:(1)依据语义协同列表中的每一项对Web页面中的相关字串进行提取;(2)对屏蔽后字符串进行基于马尔可夫模型的字符串随机化,具体步骤为:收集各类Web应用资源地址,训练针对资源地址的马尔可夫模型,模型可以是0阶、1阶、2阶、3阶等,具体阶数根据收集的训练样本的大小来决定,数量越多,可训练的模型阶数越高,一般取1、2、3阶即可,不超过5阶,阶数 ...
【技术特征摘要】
1.一种基于语义协同的Web应用动态防御方法,其特征在于:包括如下步骤;步骤一、构建前后端Web资源语义协同列表;语义协同列表用于处理动态资源地址,及有动态变化的元素标签;语义协同列表将需要替换的元素标签及动态资源地址可能涉及的语义内容均在列表中予以明确表示;动态资源地址是网站后端为前端预留的可灵活选择的不同资源访问地址,其虽然是动态的,但动态范围是能够被框定的,语义协同列表将该动态范围明确表示在列表中;步骤二、设计语义协同列表为一个能动态配置的导入系统;将Web应用动态防御系统设计为能动态读入上述语义协同列表,并正确解析该列表;步骤三、动态防御系统依据语义协同列表,对Web服务器后端向客户端前端返回的Web页面进行相关字符串提取与变换,具体过程为:(1)依据语义协同列表中的每一项对Web页面中的相关字串进行提取;(2)对屏蔽后字符串进行基于马尔可夫模型的字符串随机化,具体步骤为:收集各类Web应用资源地址,训练针对资源地址的马尔可夫模型,模型可以是0阶、1阶、2阶、3阶等,具体阶数根据收集的训练样本的大小来决定,数量越多,可训练的...
【专利技术属性】
技术研发人员:吴震东,李阳政,吴春明,
申请(专利权)人:杭州电子科技大学,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。