基于Web应用的自适应防护方法,涉及网络安全领域。本发明专利技术的基于Web应用的自适应防护方法,其特征在于该防护方法采用和应用集成部署的方式,包括防御、检测、响应以及预测模块,防御模块采用不自动信任来自网络内部和外部的请求;检测模块通过探针深入应用,检测与抵御已知、未知的WEB攻击;响应模块基于自适应安全架构,以持续监控和分析为核心;预测模块通过检测MOVE方式文件上传脚本文件,准确检测到任意文件上传行为,从而有效防护。本技术针对web应用攻击,采用web应用自适应防护技术和系统可以高效率的进行攻击检测、服务器基线检查,有效的防止外部黑客对web应用服务的攻击。
Adaptive protection method based on Web Application
【技术实现步骤摘要】
基于Web应用的自适应防护方法
本专利技术涉及网络安全领域,尤其是一种主要针对J2EE的Web应用系统提供安全防护的基于Web应用的自适应防护方法。
技术介绍
随着计算机及相关服务逐渐向Web应用平台高度集中发展,Web应用平台已经在各类政府、企业单位的核心业务区域,如电子政务、电子商务、运营商的增值业务等中得到广泛应用。无论是组建对外的信息发布平台,还是组建内部的业务管理系统,都离不开Web站点和Web应用。Web应用技术的迅速发展和广泛应用引起了攻击者的更加重视,针对Web业务的攻击也愈发激烈和严重,服务器操作系统漏洞和Web应用程序本身漏洞成为攻击者入侵的主要途径。藉此,攻击者们可以取得Web应用管理权限,进而窃取商业数据,篡改网页内容,更有甚者,在网页中植入木马,注入恶意脚本,发起跨站脚本或伪造请求等攻击。Web服务器和普通浏览用户均暴露在安全威胁之下。现有传统Web防护系统的技术原理,传统Web防护产品采用协议分析、模式匹配、流量异常监视等综合技术手段来判断Web攻击行为,可以较准确地发现并阻断各种Web攻击。传统Web防护产品针对不同的服务器站点,需要对应用配置不同的防护规则;也需要配置不同的流量检查策略。主要对数据包检查方向、HTTP包内容检查深度、HTTP包内容检查点及检查到安全威胁后的处理方式等。网站运维人员或开发人员可以根据网站应用自身的特点,给设备配置合适的安全策略,以提升产品检测效率,降低检测误报率。传统Web防护系统主要提供Web威胁防御、主动防御、DDOS攻击防护、Web漏洞扫描、SSL加密网关等方式保护用户的Web应用。Web威胁防御是采用双向数据检测机制,对进出Web服务器的HTTP/HTTPS相关内容进行深度分析。对于进站流量,提供对HTTP请求中URL、表单参数、报头及Cookie等内容的安全检查,过滤其中已被插入数据库命令、查询语句或各种恶意脚本的请求,防止SQL注入、XSS(跨站脚本)等攻击行为,而对于出站流量,通过对HTTP响应报头、HTML内容进行过滤,实现对服务器返回错误码、银行卡信息等的监控与保护,确保敏感信息不被泄露。主动防御在检测到黑客对网站的攻击行为后,即将该攻击客户端的IP地址划分到黑名单类,在一定时间内将该客户端的所有访问请求直接在网络层做过滤,切断其与网站间的网络通信,避免网站遭受连续的、未知的攻击。DDOS攻击防护能够对SYNFlood、UDPFlood、ICMPFlood、pingofDeath、Smurf、HTTP-getFlood等各类带宽及资源耗尽型拒绝服务攻击进行有效识别,并通过特有的机制实时对这些攻击流量进行阻断。确保了网站业务的可用性及连续性。某些Web防护产品是内部集成了Web漏洞扫描功能,该功能基于高性能的扫描引擎及庞大的漏洞信息库。扫描内容涵盖SQL注入、XSS等OWASPTop10常见漏洞。SSL加密网关技术是利用内置的SSL加密功能防止在互联网上传输的敏感信息被非法窃听。传统Web防护系统在对Web应用进行安全防护的时候,主要有以下缺点:1)传统WAF类设备是主要基于静态的特征关键字去判断网络攻击,只有不断的更新特征库,才能有效防止新出现的攻击行为,这就导致特征库越来越大;2)传统Web防护手段都是基于已知的威胁,采用固定的安全防护策略进行防护;3)传统的Web防护手段是基于明文的网络流量进行检测,这对设备的性能要求较高,容易出现性能处理瓶颈,如果网络流量超出设备最大处理能力,将导致网络延迟,影响Web应用的访问;4)由于传统的Web防护设备采用单独的硬件串联部署,这也增加了一个网络节点,同时也增加了一个故障点。5)传统应用防护系统,采用独立部署的方式,对部署SSL的应用无法防护;6)发现应用漏洞后,应用受限于版本发布周期、安全管控等因素影响无法对漏洞进行修改,或者漏洞影响的代码范围太广,短期内无法修补漏洞。
技术实现思路
本专利技术所要解决的就是现有Web防护系统的安全问题,提供一种主要针对J2EE的Web应用系统提供安全防护的基于Web应用的自适应防护方法。本专利技术的基于Web应用的自适应防护方法,其特征在于该防护方法采用和应用集成部署的方式,包括防御、检测、响应以及预测模块,其中:1)防御模块采用不自动信任来自网络内部和外部的请求,应用需要形成自身的防护网,经检测有威胁的请求均予以拦截;2)检测模块通过探针深入应用,检测与抵御已知、未知的WEB攻击,保证企业WEB应用安全,解决目前所面临的各类WEB安全问题;3)响应模块基于自适应安全架构,以持续监控和分析为核心,将阻断、检测、响应、预测四个方面结合起来提供更好的安全服务,实现持续的自我进化,自我调整来适应新型、不断变化的攻击类型;与相关应用系统进行集成部署,同时跟应用系统进行联调,方便,快捷,有利于快速部署;4)预测模块通过检测MOVE方式文件上传脚本文件,检测点Multipart方式文件上传PHP/JSP脚本文件、检测Multipart方式文件上传DLL/EXE文件、检测Multipart方式文件上传HTML/JS文件的方式,准确检测到任意文件上传行为,从而有效防护。本申请提案采用有别于传统WEB应用防护的方式,针对特定的攻击进行精准拦截及防护,对症下药,而不是一把抓。这种防护手段不影响现有网络的组网、不受网络流量的影响,能更快的对漏洞或攻击进行响应。本技术针对web应用攻击,采用web应用自适应防护技术和系统可以高效率的进行攻击检测、服务器基线检查,有效的防止外部黑客对web应用服务的攻击。这种web应用自适应防护技术和系统具有如下优点:1、更安全可靠的边界:不自动信任任何设备和访问者,构建应用自身防护网,重新定义应用间的边界,有效抵御东西向、南北向流量;2、更全面精准的防护:挂钩关键函数,深度监控应用执行流。在数据库、网络、文件系统等多个层面,对应用进行全面的监控和防护;3、更快的漏洞响应:发生攻击时,自动识别用户输入。结合语义引擎、应用堆栈、请求上下文,零规则检测威胁;4、更少的误报和漏报:在问题发生的地方监控问题、解决问题,运行在应用内部,失败的攻击不会触发检测逻辑,每条报警都是成功的攻击;5、更好的性能更低的延迟:高并发压力下,接口响应时间延迟<8ms,相比传统WAF串联部署性能更好、效率更高;6、更少的维护成本:与运行环境及开发语言无缝融合,无需修改代码和网络结构,即装即用,方便快捷。统一管理后台,攻击数据可视化,防护策略一键下发。具体实施方式实施例1:一种基于Web应用的自适应防护方法,其特征在于该防护方法采用和应用集成部署的方式,包括防御、检测、响应以及预测模块,其中:1)防御模块采用不自动信任来自网络内部和外部的请求,应用需要形成自身的防护网,经检测有威胁的请求均予以拦截;2)检测模块通过探针深入应用,检本文档来自技高网...
【技术保护点】
1.一种基于Web应用的自适应防护方法,其特征在于该防护方法采用和应用集成部署的方式,包括防御、检测、响应以及预测模块,其中:/n1)防御模块采用不自动信任来自网络内部和外部的请求,应用需要形成自身的防护网,经检测有威胁的请求均予以拦截;/n2)检测模块通过探针深入应用,检测与抵御已知、未知的WEB攻击,保证企业WEB应用安全,解决目前所面临的各类WEB安全问题;/n3)响应模块基于自适应安全架构,以持续监控和分析为核心,将阻断、检测、响应、预测四个方面结合起来提供更好的安全服务,实现持续的自我进化,自我调整来适应新型、不断变化的攻击类型;与相关应用系统进行集成部署,同时跟应用系统进行联调,方便,快捷,有利于快速部署;/n4)预测模块通过检测MOVE方式文件上传脚本文件,检测点Multipart方式文件上传PHP/JSP脚本文件、检测Multipart方式文件上传DLL/EXE文件、检测Multipart方式文件上传HTML/JS文件的方式,准确检测到任意文件上传行为,从而有效防护。/n
【技术特征摘要】
1.一种基于Web应用的自适应防护方法,其特征在于该防护方法采用和应用集成部署的方式,包括防御、检测、响应以及预测模块,其中:
1)防御模块采用不自动信任来自网络内部和外部的请求,应用需要形成自身的防护网,经检测有威胁的请求均予以拦截;
2)检测模块通过探针深入应用,检测与抵御已知、未知的WEB攻击,保证企业WEB应用安全,解决目前所面临的各类WEB安全问题;
3)响应模块基于自适应安全架构,以持续监控和分析为核心,将阻断、检测、响应...
【专利技术属性】
技术研发人员:徐昆渝,
申请(专利权)人:中国电信股份有限公司云南分公司,
类型:发明
国别省市:云南;53
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。