针对WEB应用自动化攻击行为的防御系统及动态防御方法技术方案

本发明专利技术公开了一种针对WEB应用自动化攻击行为的防御系统及动态防御方法，本方案搜集发起WEB访问的客户端的访问特征信息，对收集达到的访问特征信息进行拼装混淆，并将拼装混淆后的访问特征信息插入访问cookie中选定的字段中；对WEB访问进行防御分析，对异常访问进行阻断，对正常访问形成原始WEB访问请求，并透明传至WEB服务端；针对WEB服务端相应返回的明文数据进行加扰处理后再传递给发起WEB访问的客户端；对经过后端加扰的WEB服务端响应数据进行动态解扰，并将动态解扰后的数据反馈给发起WEB访问的客户端。本发明专利技术提供的主动防御方案，可有效防范完全防范当前网络中普遍存在数据爬虫、Web扫描和自动化工具攻击；同时针对于黑客的人工渗透和深度攻击，也可起到极大的阻碍作用。作用。作用。

【技术实现步骤摘要】
针对WEB应用自动化攻击行为的防御系统及动态防御方法


[0001]本专利技术涉及网络安全技术，具体涉及WEB自动化访问或攻击的防护技术。

技术介绍

[0002]当前对于WEB自动化访问或攻击的防护，一般基于以下几类技术或是几类技术的结合：
[0003]1、基于访问的特征规则匹配，由于很多数据爬虫或自动扫描器在访问数据中带有特征字段，通过对带有这些字段的访问行为进行识别阻断，可拦截此类行为。该方案在实施时，一方面很难搜集到所有特征，另一方面如攻击方对访问工具特征进行修改，隐藏特征字段，即可轻易绕过。
[0004]2、基于访问统计进行识别，以IP、IP+UserAgent或IP+Cookie为统计对象，统计对象在一段时间内的访问频度，如访问频度超过预设阈值，则认为是自动化访问，进行阻断或通过验证码等方式进行人机识别。但该方案容易误拦正常的高频访问对象，如共享IP上网方式；另外攻击者如采用慢速访问或自建海量IP池均撒方式访问，该方案也无效。
[0005]3、通过威胁情报建立高风险IP池，阻断该类IP访问。但也存在IP池实时性和完整性不够，动态拨号可绕过等问题。
[0006]4、动态H5页面加访问身份认证，该方案原理是站类链接由js动态生成，敏感数据须注册账号后登陆才可访问。可拦掉一部分普通爬虫和扫描引擎，但对深度定制自动化引擎和无头浏览器自动访问无效。

技术实现思路

[0007]针对现有WEB自动化访问或攻击的防护方案所存在的问题，本专利技术的目的在于提供一种针对WEB应用自动化攻击行为的防御方案，实现对WEB应用自动化攻击行为进行全面的威胁检测及动态防御。
[0008]为了达到上述目的，本专利技术提供了一种针对WEB应用自动化攻击行为的防御系统，所述防护系统包括：前端特征信息搜集模块、前端混淆及自解扰模块、后端加扰及阻断模块以及后端分析模块；
[0009]所述前端特征信息搜集模块搜集发起WEB访问的客户端的访问特征信息，对收集达到的访问特征信息调用前端混淆及自解扰模块进行拼装混淆，并将拼装混淆后的访问特征信息插入访问cookie中选定的字段中；
[0010]所述前端混淆及自解扰模块与所述前端特征信息搜集模块以及后端加扰及阻断模块进行数据交互，对后端加扰及阻断模块反馈的经过后端加扰的WEB服务端响应数据进行动态解扰，并将动态解扰后的数据反馈给发起WEB访问的客户端；所述前端混淆及自解扰模块可对前端特征信息搜集模块采集到的特征信息进行拼装混淆处理；
[0011]所述后端加扰及阻断模块与前端混淆及自解扰模块以及后端分析模块进行数据交互，对WEB服务端相应返回的明文数据进行加扰处理后再传递到发起WEB访问的客户端；
所述后端加扰及阻断模块可对WEB访问行为进行阻断处理；
[0012]所述后端分析模块与后端加扰及阻断模块以及前端特征信息搜集模块进行数据交互；所述后端分析模块基于前端特征信息搜集模块采集并处理的访问特征信息对WEB访问进行防御分析，对异常访问调用后端加扰及阻断模块进行阻断，对正常访问形成原始WEB访问请求，并透明传至WEB服务端。
[0013]进一步的，所述前端特征信息搜集模块调用随时间变化动态抽取的混淆方式对访问特征信息进行拼装混淆，调用cookie添加方法插入“HKIIUU9O618PPTHP”字段，字段的值为拼装混淆后的特征数据，每次插入会覆盖掉该字段原有的数据。
[0014]进一步的，所述前端特征信息搜集模块由预设事件触发调用运行或定时调用运行。
[0015]进一步的，所述前端混淆及自解扰模块包括混淆单元与动态解扰单元，
[0016]所述混淆单元可对前段采集到的特征信息进行拼装混淆；
[0017]所述动态解扰单元可对加扰的页面元素进行动态解扰。
[0018]进一步的，所述前端混淆及自解扰模块中还包括页面链接元素动态隐藏单元，所述页面链接元素动态隐藏单元在页面加载完向用户展现前，将页面DOM树中的所有链接元素摘下、记录位置并保存在临时内存区域，只有在对应位置的页面点击事件发生时，再将该元素插回。
[0019]进一步的，所述前端混淆及自解扰模块中还包括数据提交单元，所述数据提交单元用于对提交的表单数据进行Hook数据提交，对提交数据进行哈希计算，生成唯一指纹插入表单数据进行共同提交。
[0020]进一步的，，所述前端混淆及自解扰模块对前端特征信息收集模块中实现特征搜集算法进行自混淆并实现反断点调试。
[0021]进一步的，所述后端加扰及阻断模块包括后端加扰单元以及访问阻断单元，
[0022]所述后端加扰单元可对Web服务端返回的明文数据，对对应的页面元素进行加扰处理；
[0023]所述访问阻断单元用于对相应的WEB访问行为进行阻断。
[0024]进一步的，所述后端分析模块包括访问数据处理单元以及访问行为分析单元；
[0025]所述访问数据处理单元针对每个面向WEB服务端的新访问对象，分别生成对象指纹和token，所述新访问对象为无对象指纹的新访问客户端，所述对象指纹表示访问对象的唯一身份，所述token在每次数据传输中承载回传的混淆后前端采集的访问特征信息；所述访问数据处理单元针对接收到的WEB访问剥离相应的对象指纹、token、数据提交指纹，并将剥离后的数据再回传WEB服务端；
[0026]所述访问行为分析单元基于所述访问数据处理单元所剥离出来的数据分析对应的WEB访问行为。
[0027]进一步的，所述访问行为分析单元采用特征数据完整性校验、特征数据一致性校验、提交数据完整性校验中的至少一种校验方式来分析对应的WEB访问行为。
[0028]进一步的，所述访问行为分析单元还通过分析发起WEB访问的客户端的客户端时序来分析WEB访问行为。
[0029]进一步的，所述访问行为分析单元还针对访问客户端建立滑动分析窗口，并通过
分析特征数据滑动窗口行为来分析WEB访问行为。
[0030]进一步的，所述访问行为分析单元还通过模拟浏览器特征分析、搜索引擎识别、对象历史访问行为聚类中一种或多种方式来分析WEB访问行为。
[0031]为了达到上述目的，本专利技术提供了一种针对WEB应用自动化攻击行为的防御方法，包括：
[0032]搜集发起WEB访问的客户端的访问特征信息，对收集达到的访问特征信息进行拼装混淆，并将拼装混淆后的访问特征信息插入访问cookie中选定的字段中；
[0033]基于采集并处理的访问特征信息对WEB访问进行防御分析，对异常访问进行阻断，对正常访问形成原始WEB访问请求，并透明传至WEB服务端；
[0034]针对WEB服务端相应返回的明文数据进行加扰处理后再传递给发起WEB访问的客户端；
[0035]对经过后端加扰的WEB服务端响应数据进行动态解扰，并将动态解扰后的数据反馈给发起WEB访问的客户端。
[0036]进一步的，所述防御方法还包括在页面加载完向用户展现前，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.针对WEB应用自动化攻击行为的防御系统，其特征在于，所述防护系统包括：前端特征信息搜集模块、前端混淆及自解扰模块、后端加扰及阻断模块以及后端分析模块；所述前端特征信息搜集模块搜集发起WEB访问的客户端的访问特征信息，对收集达到的访问特征信息调用前端混淆及自解扰模块进行拼装混淆，并将拼装混淆后的访问特征信息插入访问cookie中选定的字段中；所述前端混淆及自解扰模块与所述前端特征信息搜集模块以及后端加扰及阻断模块进行数据交互，对后端加扰及阻断模块反馈的经过后端加扰的WEB服务端响应数据进行动态解扰，并将动态解扰后的数据反馈给发起WEB访问的客户端；所述前端混淆及自解扰模块可对前端特征信息搜集模块采集到的特征信息进行拼装混淆处理；所述后端加扰及阻断模块与前端混淆及自解扰模块以及后端分析模块进行数据交互，对WEB服务端相应返回的明文数据进行加扰处理后再传递到发起WEB访问的客户端；所述后端加扰及阻断模块可对WEB访问行为进行阻断处理；所述后端分析模块与后端加扰及阻断模块以及前端特征信息搜集模块进行数据交互；所述后端分析模块基于前端特征信息搜集模块采集并处理的访问特征信息对WEB访问进行防御分析，对异常访问调用后端加扰及阻断模块进行阻断，对正常访问形成原始WEB访问请求，并透明传至WEB服务端。2.根据权利要求1所述的针对WEB应用自动化攻击行为的防御系统，其特征在于，所述前端特征信息搜集模块调用随时间变化动态抽取的混淆方式对访问特征信息进行拼装混淆，调用cookie添加方法插入“HKIIUU9O618PPTHP”字段，字段的值为拼装混淆后的特征数据，每次插入会覆盖掉该字段原有的数据。3.根据权利要求1所述的针对WEB应用自动化攻击行为的防御系统，其特征在于，所述前端特征信息搜集模块由预设事件触发调用运行或定时调用运行。4.根据权利要求1所述的针对WEB应用自动化攻击行为的防御系统，其特征在于，所述前端混淆及自解扰模块包括混淆单元与动态解扰单元，所述混淆单元可对前段采集到的特征信息进行拼装混淆；所述动态解扰单元可对加扰的页面元素进行动态解扰。5.根据权利要求4所述的针对WEB应用自动化攻击行为的防御系统，其特征在于，所述前端混淆及自解扰模块中还包括页面链接元素动态隐藏单元，所述页面链接元素动态隐藏单元在页面加载完向用户展现前，将页面DOM树中的所有链接元素摘下、记录位置并保存在临时内存区域，只有在对应位置的页面点击事件发生时，再将该元素插回。6.根据权利要求4所述的针对WEB应用自动化攻击行为的防御系统，其特征在于，所述前端混淆及自解扰模块中还包括数据提交单元，所述数据提交单元用于对提交的表单数据进行Hook数据提交，对提交数据进行哈希计算，生成唯一指纹插入表单数据进行共同提交。7.根据权利要求4所述的针对WEB应用自动化攻击行为的防御系统，其特征在于，所述前端混淆及自解扰模块对前端特征信息收集模块中实现特征搜集算法进行自混淆并实现反断点调试。8.根据权利要求1所述的针对WEB应用自动化攻击行为的防御系统，其特征在于，所述后端加扰及阻断模块包括后端加扰单元以及访问阻断单元，所述后端加扰单元可对Web服务端返回的明文数据，对对应的页面元素进行加扰处理；
所述访问阻断单元用于对相应的WEB访问行为进行阻断。9.根据权利要求1所述的针对WEB应用自动化攻击行为的防御系统，其特征在于，所述后端分析模块包括访问数据处理单元以及访问行为分析单元；所述访问数据处理单元针对每个面向WEB服务端的新访问对象，分别生成对象指纹和token，所述新访问对象为无对象指纹的新访问客户端，所述对象指纹表示访问对象的唯一身份，所述token在每次数据传输中承载回传的混淆后前端采集的访问特征信息...

【专利技术属性】
技术研发人员：陆臻，宋好好，俞优，舒首衡，黄震中，田荣，
申请(专利权)人：上海嘉韦思信息技术有限公司，
类型：发明
国别省市：