本发明专利技术公开了一种应用于应用层的web入侵防御方法及系统,能够根据访问者访问行为中的危险行为为访问者赋予威胁值并将危险行为的威胁值进行叠加,生成积累威胁值,从而能够根据用户的多个访问行为对其进行相应的防御处理,解决了采用关键字检测技术所带来了无法很好检测网络攻击行为的问题。
【技术实现步骤摘要】
本专利技术涉及防火墙
,特别是涉及一种应用于应用层的web入侵防御方法及系统。
技术介绍
随着计算机网络技术的发展,网络攻击行为也越来越多。因此,如何更好的阻止网络入侵成为了摆在技术人员面前的一个重要难题。在web应用层中,传统的web防火墙采用的是关键字检测技术,即通过识别HTTP 请求中的危险关键字来识别攻击行为。但这种技术存在以下问题 1、误报率较高 为了更多的识别网络攻击行为,关键字检测技术需要增加大量的危险关键字策略,一旦检测到某些网络行为中包含有这些危险关键字时,则识别为危险行为。由于严格按照危险关键字的识别来检测攻击行为,所以当于某个用户的行为属于正常访问行为但包含危险关键字时,关键字检测技术仍会将其误报为危险行为。2、漏报率较高 由于按照危险关键字的识别来检测攻击行为,当网络攻击方对关键字进行编码或变形时,采用关键字检测技术的防火墙将无法检测到改变关键字以后的危险行为,从而出现漏报。总之,现有web应用层中使用关键字检测技术的防火墙无法很好的检测网络攻击行为。
技术实现思路
为解决上述技术问题,本专利技术实施例提供一种应用于应用层的web入侵防御方法及系统,以解决现有防火墙无法很好检测网络攻击行为的问题,技术方案如下 一种应用于应用层的web入侵防御方法,包括 获取访问者的访问行为; 根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值,将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值; 根据访问者的积累威胁值对访问者的访问行为进行相应的防御。优选的,该方法还包括预先使用蜜罐技术模拟应用层系统漏洞。优选的,当访问者在预设时间段内的访问行为均不是危险行为时,所述访问者的积累威胁值降低。优选的,所述根据访问者的积累威胁值对访问者的访问行为进行相应的防御,包括 根据访问者的积累威胁值将访问者划分为四个危险等级,包括普通用户、嫌疑用户、一般攻击者和危险攻击者; 根据访问者的危险等级对访问者的访问行为进行相应的防御。优选的,在访问者的危险等级为危险攻击者的情况下,所述对访问者的访问行为进行相应的防御包括阻止该访问者的访问行为并将经过伪装的阻断页面返回给该访问者ο 优选的,所述预设的危险行为标准为系统根据对历史正常访问行为和/或危险访问行为进行学习得到的。优选的,所述预设的危险行为标准,包括 访问者访问行为的访问参数满足预设的危险行为访问参数要求、访问者访问行为中携带有危险关键字、访问者访问行为所采取的手段具有危险性和/或访问者访问行为所访问的目的地址为安全敏感地址。优选的,所述访问参数,包括访问行为所携带的参数的长度、访问行为所携带的参数的类型、访问行为所携带的参数的提交类型和访问行为浏览页面的时间间隔。相对应于前面的一种应用于应用层的web入侵防御方法,本专利技术还提供了一种应用于应用层的web入侵防御系统,包括访问行为获取模块、威胁值生成模块和防御模块, 所述访问行为获取模块,用于获取访问者的访问行为; 所述威胁值生成模块,用于根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值,将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值; 所述防御模块,用于根据访问者的积累威胁值对访问者的访问行为进行相应的防御。优选的,该系统还包括蜜罐模块,用于预先使用蜜罐技术模拟应用层系统漏洞。通过应用以上技术方案,本专利技术能够根据访问者访问行为中的危险行为为访问者赋予威胁值并将危险行为的威胁值进行叠加,生成积累威胁值,从而能够根据用户的多个访问行为对其进行相应的防御处理,解决了采用关键字检测技术所带来了无法很好检测网络攻击行为的问题。附图说明 为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下, 还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种应用于应用层中的web入侵防御方法的流程示意图; 图2为本专利技术实施例提供的另一种应用于应用层中的web入侵防御方法的流程示意图; 图3为本专利技术实施例提供的一种应用于应用层中的web入侵防御系统的结构示意图; 图4为本专利技术实施例提供的另一种应用于应用层中的web入侵防御系统的结构示意图。具体实施例方式为了使本
的人员更好地理解本专利技术中的技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。如图1所示,本专利技术实施例提供的一种应用于应用层中的web入侵防御方法,包括 S101、获取访问者的访问行为; S102、根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值,将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值; 其中,预设的危险行为标准可以为系统根据对历史正常访问行为和危险访问行为进行学习得到的。具体的,系统可以根据大量的历史正常访问行为和/或危险访问行为进行分析统计,从而确定危险行为标准。预设的危险行为标准,可以包括访问者访问行为的访问参数满足预设的危险行为访问参数要求、访问者访问行为中携带有危险关键字、访问者访问行为所采取的手段具有危险性和/或访问者访问行为所访问的目的地址为安全敏感地址。其中,访问者访问行为的访问参数,可以包括访问行为所携带的参数的长度、访问行为所携带的参数的类型、 访问行为所携带的参数的提交类型和访问行为浏览页面的时间间隔。下面以从大量历史正常访问行为中学习得到危险行为访问参数要求为例进行说明 1、学习访问行为所携带的参数的长度 对于参数Name,通过对大量携带该参数的正常访问行为进行统计分析得出该参数的平均值为6,方差为2,则通过学习可以得到正常访问行为下,该参数的范围为4-8 (平均值减去方差为参数取值范围的最小值,加方差为参数取值范围的最大值)。则确定危险行为标准中Name参数的长度为小于4或大于8。当然,针对不同参数的特点,其统计和分析方法不尽相同,本专利技术不再赘述。2、学习访问行为所携带的参数的类型 对于参数ID,通过对大量携带该参数的正常访问行为进行统计分析得出参数ID 的类型均为纯数字型。则确定危险行为标准中,参数ID的类型为非纯数字型。3、学习访问行为所携带的参数的提交类型 对于参数Password,通过对大量携带该参数的正常访问行为进行统计分析得出 参数Password的提交类型均为POST。则确定危险行为标准中,参数password的提交类型为非POST。4、学习访问行为浏览页面的时间间隔 具体的学习方式可以有多种,如在正常访问行为样本中随机抽取一定数量的访问行为,并统计它们浏览页面时间间隔的平均值及方差,将此平本文档来自技高网...
【技术保护点】
1.一种应用于应用层的web入侵防御方法,其特征在于,包括:获取访问者的访问行为;根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值,将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值;根据访问者的积累威胁值对访问者的访问行为进行相应的防御。
【技术特征摘要】
1.一种应用于应用层的web入侵防御方法,其特征在于,包括获取访问者的访问行为;根据预设的危险行为标准,判断所述访问行为是否为危险行为,如果是,根据预先设置的危险行为与威胁值的对应关系获取所述访问行为的威胁值,将所述威胁值叠加到访问者的积累威胁值中以更新所述积累威胁值;根据访问者的积累威胁值对访问者的访问行为进行相应的防御。2.根据权利要求1所述的方法,其特征在于,还包括预先使用蜜罐技术模拟应用层系统漏洞。3.根据权利要求1所述的方法,其特征在于,当访问者在预设时间段内的访问行为均不是危险行为时,所述访问者的积累威胁值降低。4.根据权利要求1所述的方法,其特征在于,所述根据访问者的积累威胁值对访问者的访问行为进行相应的防御,包括根据访问者的积累威胁值将访问者划分为四个危险等级,包括普通用户、嫌疑用户、一般攻击者和危险攻击者;根据访问者的危险等级对访问者的访问行为进行相应的防御。5.根据权利要求4所述的方法,其特征在于,在访问者的危险等级为危险攻击者的情况下,所述对访问者的访问行为进行相应的防御包括阻止该访问者的访问行为并将经过伪装的阻断页面返回给该访问者。6.根据权利要求1所述的方法,其特征在于,所述预设的危险行为...
【专利技术属性】
技术研发人员:王柯,
申请(专利权)人:山东中创软件商用中间件股份有限公司,
类型:发明
国别省市:88
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。