一種基于Web表單域檢測的系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于Web表單域檢測的系統(tǒng),包括有接入模塊���、連接接入模塊的檢測隊列單元��、連接檢測隊列單元的檢測模塊�、連接檢測模塊的日志記錄模塊�、連接日志記錄模塊的日志分析模塊、連接于檢測模塊與日志分析模塊之間的規(guī)則加載模塊���、以及響應模塊��、連接響應模塊的響應隊列單元���;其中,各模塊之間通過命令字和隊列相互連接�����,共同完成檢測任務。本發(fā)明一種基于Web表單域檢測的系統(tǒng)能夠通過對表單域數(shù)據(jù)的檢測�,有效防范各種Web攻擊行為,保證后端服務器在于客戶交換數(shù)據(jù)時能夠不被黑客利用�,保護Web服務器的數(shù)據(jù)安全和應用安全。
【專利說明】—種基于Web表單域檢測的系統(tǒng)
【技術領域】
[0001]本發(fā)明屬于計算機網(wǎng)絡與網(wǎng)絡安全【技術領域】�����,涉及一種基于Web表單域檢測的系統(tǒng)��。
【背景技術】
[0002]伴隨著網(wǎng)絡技術的成熟�����,基于Web環(huán)境的Web應用范圍也越來越廣泛��。企業(yè)在信息化的過程中將各種應用都架設到了 Web平臺上����。如網(wǎng)絡辦公、網(wǎng)絡購物�、網(wǎng)絡交友、虛擬網(wǎng)絡社會等���。同時���,黑客也將目光聚焦到了這一領域,利用各種網(wǎng)站漏洞通過SQL注入和跨站攻擊等手段獲取對Web服務器的控制權限��,篡改網(wǎng)站內容�����,盜竊網(wǎng)站數(shù)據(jù)���。
[0003]在Web服務下��,基于HTTP協(xié)議的Bit數(shù)據(jù)已經(jīng)成為了溝通服務商和用戶的橋梁���。因此保證Bit數(shù)據(jù)在互聯(lián)網(wǎng)這個不可信的環(huán)境中的傳輸安全有效,是服務商必須考慮的因素��,才能最大程度的保證各方面利益的最大化����。
[0004]Web服務軟件質量的好壞是Web安全的最大因素,但由于Web應用的獨特性。其開發(fā)和維護往往都是某個機構所獨有的��,對其存在的漏洞很難鑒別;而且根據(jù)業(yè)務的不同或者業(yè)務的不斷變化����,需要頻繁地變更系統(tǒng)邏輯以滿足業(yè)務目標,從而使得很難維持有序的開發(fā)周期�;Web服務軟件的開發(fā)需要全面考慮客戶端與服務端的復雜交互場景,而很多開發(fā)者根本就沒有相應的業(yè)務基礎�����,不能很好地理解業(yè)務流程?’傳統(tǒng)認為Web開發(fā)比較簡單����,缺乏經(jīng)驗的開發(fā)者也可以勝任。以上原因導致Web服務軟件存在大量的可被攻擊的漏洞�,可以被黑客利用。
[0005]由此可見���,是有必要進行開發(fā)研究�,已提供一種方案��,以保證后端Web服務器的安全���,保證后端服務器在于客戶交換數(shù)據(jù)時能夠不被黑客利用�,保護Web服務器的數(shù)據(jù)安全和應用安全。
【發(fā)明內容】
[0006]為解決上述問題�,本發(fā)明的目的在于提供一種基于Web表單域檢測的系統(tǒng),通過對表單域數(shù)據(jù)的檢測����,有效防范各種Web攻擊行為��,保證后端服務器在于客戶交換數(shù)據(jù)時能夠不被黑客利用�,保護Web服務器的數(shù)據(jù)安全和應用安全。
[0007]為實現(xiàn)上述目的�,本發(fā)明的技術方案為:
一種基于Web表單域檢測的系統(tǒng),包括有接入模塊����、連接接入模塊的檢測隊列單元、連接檢測隊列單元的檢測模塊�、連接檢測模塊的日志記錄模塊、連接日志記錄模塊的日志分析模塊����、連接于檢測模塊與日志分析模塊之間的規(guī)則加載模塊、以及響應模塊��、連接響應模塊的響應隊列單元�;其中��,各模塊之間通過命令字和隊列相互連接����,共同完成檢測任務�����。
[0008]進一步地��,所述接入模塊用于截獲HTTP請求數(shù)據(jù)和響應數(shù)據(jù)�����,根據(jù)HTTP協(xié)議解析數(shù)據(jù)�����,并發(fā)送到檢測隊列單元�����。
[0009]進一步地�,所述檢測模塊根據(jù)HTTP協(xié)議對HTTP請求數(shù)據(jù)進行規(guī)范性檢測、特征碼檢測����、數(shù)字指紋檢測���、智能規(guī)則檢測,并對HTTP響應數(shù)據(jù)進行規(guī)范性檢測��、特征碼檢測�����、數(shù)字指紋生成�����。
[0010]進一步地�����,所述檢測模塊有命令模式和自主模式兩種工作模式���,由檢測總控決定當前處于那種工作模式。
[0011 ] 進一步地���,所述日志記錄與分析模塊通過異步的方式記錄日志和分析攻擊行為���,在記錄日志的過程中能夠自重學習攻擊者的攻擊手段并形成智能規(guī)則���。
[0012]相較于現(xiàn)有技術,本發(fā)明一種基于Web表單域檢測的系統(tǒng)能夠通過對表單域數(shù)據(jù)的檢測�����,有效防范各種Web攻擊行為�����,保證后端服務器在于客戶交換數(shù)據(jù)時能夠不被黑客利用��,保護Web服務器的數(shù)據(jù)安全和應用安全�����。
【專利附圖】
【附圖說明】
[0013]圖1是本發(fā)明安全機制的模塊總體結構圖示����;
圖2是本發(fā)明的接入模塊的基本流程圖示;
圖3是本發(fā)明的檢測隊列的主要元素��;
圖4是本發(fā)明的檢測模塊的基本流程圖示;
圖5是本發(fā)明的表單域檢測動作的基本流程圖示��;
圖6是本發(fā)明的表單域生成動作的基本流程圖示���;
圖7是本發(fā)明的日志模塊的基本流程圖示�。
【具體實施方式】
[0014]為了使本發(fā)明的目的�、技術方案及優(yōu)點更加清楚明白,以下結合附圖及實施例����,對本發(fā)明進行進一步詳細說明。應當理解�,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明��。
[0015]如圖1所示��,本發(fā)明一種基于Web表單域檢測的系統(tǒng)包括有接入模塊�����、連接接入模塊的檢測隊列單元����、連接檢測隊列單元的檢測模塊、連接檢測模塊的日志記錄模塊����、連接日志記錄模塊的日志分析模塊、連接于檢測模塊與日志分析塊模之間的規(guī)則加載模塊���、以及響應模塊�、連接響應模塊的響應隊列單元����。
[0016]本發(fā)明各模塊之間通過命令字和隊列相互連接,共同完成檢測任務�����。圖2所示為接入模塊基本流程圖示����。其中,接入模塊能夠截獲HTTP請求數(shù)據(jù)和響應數(shù)據(jù)��,根據(jù)HTTP協(xié)議解析數(shù)據(jù)���,并將發(fā)送到檢測隊列單元��。具體地�����,HTTP請求和響應數(shù)據(jù)由接入模塊截獲���,并在成功解析到檢測隊列單元后發(fā)送命令控制字通知檢測模塊新數(shù)據(jù)到達���,啟動檢測任務。接入模塊只負責數(shù)據(jù)的接入����,不負責數(shù)據(jù)的發(fā)送。在解析數(shù)據(jù)過程中將根據(jù)接入數(shù)據(jù)的類型(請求/響應)格式化數(shù)據(jù)到檢測隊列單元����。如圖3所示,檢測隊列單元和響應隊列單元的主要元素是相同的����。其中�,時間代表接受數(shù)據(jù)的時間;表單域代表表單域的各種數(shù)據(jù)����;檢測表示是否啟用檢測模塊��;類型表示請求還是響應�;有效性表示當前隊列數(shù)據(jù)是否有效�;原始數(shù)據(jù)表示接受到的數(shù)據(jù);數(shù)字指紋表示根據(jù)表單域數(shù)據(jù)生成的指紋����;特征碼表示根據(jù)客戶端,服務器和表單域等信息生成的標識����,代表一條鏈路;狀態(tài)表示檢測階段��;動作表示檢測完畢后�,響應模塊需要執(zhí)行的動作;會話表示訪問次數(shù)�����;規(guī)則表示要檢測數(shù)據(jù)所使用的智能規(guī)則���。
[0017]檢測隊列單元和響應隊列單元的存在使得各模塊之間異步運行���,有效的提升了系統(tǒng)的性能���;檢測隊列單元能夠區(qū)分出隊列中的數(shù)據(jù)的類型(請求數(shù)據(jù)、響應數(shù)據(jù)�、自檢數(shù)據(jù))。
[0018]檢測模塊根據(jù)HTTP協(xié)議對HTTP請求數(shù)據(jù)進行規(guī)范性檢測��、特征碼檢測�、數(shù)字指紋檢測、智能規(guī)則檢測�����。并對HTTP響應數(shù)據(jù)進行規(guī)范性檢測��、特征碼檢測���、數(shù)字指紋生成��。如圖4所示�����,檢測模塊有命令模式和自主模式兩種工作模式����,由檢測總控決定當前處于那種工作模式���。當收到接入模塊命令式�����,發(fā)起的為命令模式����,否則為自主模式���。在命令模式下��,檢測模塊只對命令表達的檢測隊列所在的數(shù)據(jù)進行檢測��,檢測完畢后返回總控���。在自主模式下降遍歷檢測隊列下的所有數(shù)據(jù),判斷其有效性�����,并進行相應的操作。數(shù)據(jù)無效時將丟棄數(shù)據(jù)����,當數(shù)據(jù)有效時將進行表單域動作。執(zhí)行完表單域動作后發(fā)送數(shù)據(jù)到響應隊列和發(fā)送命令字到響應模塊�����。有效性檢測指的是檢測規(guī)則是否符合規(guī)范����,是否具有數(shù)字指紋,鏈路是否合法����。如:當請求方法與POST,提交數(shù)據(jù)時,表單域必須帶有機制生產(chǎn)的數(shù)字指紋。當請求方法為GET時��,必須對表單域的數(shù)據(jù)添加數(shù)字指紋�����。
[0019]如圖5�����、圖6所示,表單域檢測機制對HTTP請求所提交的表單數(shù)據(jù)進行安全檢測���。只有符合規(guī)則的請求數(shù)據(jù)才允許通過并傳送到Web服務器端。在這種檢測機制中����,指紋和智能規(guī)則起著決定性的作用。因此有效的規(guī)則生成是本部分的一個重要功能��。
[0020]表單域動作首先根據(jù)客戶端���、服務器���、用戶名、表單和url等相關信息生成特征碼�,特征碼的作用是唯一表達一個客戶請求,標識一條鏈路����。同一用戶在相同Ip下方為服務器時生成的特征碼是相同的。當系統(tǒng)任務請求為攻擊后����,會標識這個鏈路請求�。在系統(tǒng)認為是惡意攻擊后��,根據(jù)特征碼拒絕這條鏈路的請求�。智能規(guī)則庫中保存了系統(tǒng)下惡意特征碼。關鍵字為系統(tǒng)認為敏感的一些文字�����。當出現(xiàn)這些文字在表單域中時���,將會拒絕這些請求或者響應�����。指紋庫為根據(jù)原始表單域生成的數(shù)字指紋��。具有這些指紋的表單請求是合法的����,否則就是不合法的��。
[0021]表單域指紋庫的生成可以通過兩種方式�����,一種是在部署系統(tǒng)時,有管理員去指定一些特征碼去生成指紋庫��,另外一種是系統(tǒng)的自學習功能���。系統(tǒng)任務在一段時間內訪問的請求都合法的����。系統(tǒng)將記錄所有經(jīng)過的表單的指紋����。表單域指紋生成技術�����,能夠將表單域的特定數(shù)據(jù)生成特定的數(shù)字指紋���。當請求中不存在這種指紋時�,將拒絕客戶的請求���。能夠根據(jù)特征碼的唯一性生成鏈路���。能夠對一條鏈路進行訪問控制��。指紋庫中還包含特定規(guī)則�����。如SQL注入規(guī)則����,跨站攻擊規(guī)則等這些規(guī)則是用來判斷用戶提交數(shù)據(jù)的有效性���。讓用戶提交的數(shù)據(jù)在一個可控的范圍內���,來保證數(shù)據(jù)輸入的安全性。指紋的生成是通過服務器�,和表單域中的靜態(tài)數(shù)據(jù)生成的。生成后�,會發(fā)送到瀏覽器和保存到指紋庫中,只有瀏覽器傳回的指紋���、根據(jù)表單域生成的指紋指紋庫中的指紋三者共同存在才認為數(shù)據(jù)是合法的��。
[0022]日志記錄與分析模塊通過異步的方式記錄日志和分析攻擊行為�����。記錄的日志能夠完美的還原攻擊者的攻擊方式�����。在記錄日志的過程中能夠自重學習攻擊者的攻擊手段并形成智能規(guī)則����。而規(guī)則引入模塊能夠動態(tài)的加載規(guī)則到檢測模塊中,而不用重啟檢測模塊�。能夠顯示當前加載的規(guī)則和動態(tài)刪除規(guī)則��。
[0023]如圖7所示��,智能規(guī)則庫的生成是通過日志記錄和分析模塊完成的��。當觸發(fā)日志記錄功能后�����,首先記錄日志到數(shù)據(jù)中�����,然后記錄特征碼到事件庫中。是否認為當前鏈路是攻擊行為�����,是通過鏈路上特征碼的觸發(fā)次數(shù)來判斷的���。當標記為攻擊后�����,將鏈路記錄到智能規(guī)則庫中��。為了防止這條鏈路出現(xiàn)永遠不能訪問的問題����,智能規(guī)則庫中的規(guī)則會根據(jù)時間間隔和事件庫中規(guī)則觸發(fā)的頻率來判斷規(guī)則是否失效�����。
[0024]以上所述僅為本發(fā)明的較佳實施例而已�����,并不用以限制本發(fā)明��,凡在本發(fā)明的精神和原則之內所作的任何修改、等同替換和改進等����,均應包含在本發(fā)明的保護范圍之內。
【權利要求】
1.一種基于Web表單域檢測的系統(tǒng)�����,其特征在于:包括有接入模塊�����、連接接入模塊的檢測隊列單元��、連接檢測隊列單元的檢測模塊�、連接檢測模塊的日志記錄模塊、連接日志記錄模塊的日志分析模塊����、連接于檢測模塊與日志分析模塊之間的規(guī)則加載模塊���、以及響應模塊���、連接響應模塊的響應隊列單元�;其中�,各模塊之間通過命令字和隊列相互連接,共同完成檢測任務��。
2.根據(jù)權利要求1所述基于Web表單域檢測的系統(tǒng)���,其特征在于:所述接入模塊用于截獲HTTP請求數(shù)據(jù)和響應數(shù)據(jù)��,根據(jù)HTTP協(xié)議解析數(shù)據(jù)����,并發(fā)送到檢測隊列單元�。
3.根據(jù)權利要求2所述基于Web表單域檢測的系統(tǒng),其特征在于:所述檢測模塊根據(jù)HTTP協(xié)議對HTTP請求數(shù)據(jù)進行規(guī)范性檢測��、特征碼檢測����、數(shù)字指紋檢測、智能規(guī)則檢測���,并對HTTP響應數(shù)據(jù)進行規(guī)范性檢測�����、特征碼檢測��、數(shù)字指紋生成��。
4.根據(jù)權利要求3所述基于Web表單域檢測的系統(tǒng)���,其特征在于:所述檢測模塊有命令模式和自主模式兩種工作模式��,由檢測總控決定當前處于那種工作模式�。
5.根據(jù)權利要求4所述基于Web表單域檢測的系統(tǒng)���,其特征在于:所述日志記錄與分析模塊通過異步的方式記錄日志和分析攻擊行為�,在記錄日志的過程中能夠自重學習攻擊者的攻擊手段并形成智能規(guī)則�����。
【文檔編號】G06F17/30GK103916398SQ201410149710
【公開日】2014年7月9日 申請日期:2014年4月15日 優(yōu)先權日:2014年4月15日
【發(fā)明者】戴純興 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司