[发明专利]一种网络攻击的防范方法

说明书

技术领域

本发明涉及WEB应用入侵检测领域，尤其涉及一种网络攻击的防范方法。

背景技术

对业务网站利用提交内容的攻击是基于B/S架构的业务系统的经常受到的一种攻击，这种攻击的特征是利用通过B/S界面提交数据时加入可执行字符，当这些内容被服务器解析并处理时，由于业务软件的漏洞，将这些应该只作为事实性数据字符的内容作为可执行语句的一部分而在其环境中执行，从而造成业务系统执行外部命令，这种攻击的后果包括非法获取数据库的数据、破坏数据库的完整性，甚至达到执行任意命令的目的。

目前，防止这种攻击的主要防范手段有两类：基于业务逻辑的审查和通用的审查。基于业务逻辑的审查主要在业务系统中实现，根据业务逻辑和各个输入域的含义，检查输入的合理性，过滤可执行字符和其他具有语法意义的字符，但这种方法的缺点是：必须在每一个不同业务系统中实现，对于现存业务系统改造成本很高，有时甚至是不可能的。通用的审查一般可以与业务无关的方法实现，但其缺点为，因为没有和业务系统挂钩，过滤审查很难确定某一个特征字是否为攻击字符，很多具有语法意义的字符经常被认为正常数据提交的合理字符，并且很容易发生误检，就会造成业务系统无法正常工作。

发明内容

本发明的目的在于：提供一种网络攻击的防范方法，保证对正常业务所提交数据的语义不变，避免对业务系统的影响的条件下防范网络攻击。

为达到上述目的，本发明提供的网络安全的防范方法，包括：

(1)由任一客户端给网站服务端发送一个请求。

(2)网站服务端接收这一请求。

(3)网站服务端将这一请求中具有语法意义的字符转换为多字节字符集的对应字符。

经过这一转换，当应用软件把经转换后的内容放入语句中时，这一符号已不具有语法意义，从而，只会被当作业务内容而进入语句，从而不会起到语句分割的作用，从而就不会起到攻击的作用，同时，这一转换不会破坏应用软件的业务逻辑。在应用软件中经转换后的内容和未经转换前的内容具有相同的语义。

(4)网站服务端将转换字符的请求解析执行后向客户端返回一个网页。

在实际的可执行成分注入攻击中，对于系统的分析往往采用尝试/错误的方法，就是说，利用系统对尝试攻击内容的错误信息来找出有效的攻击方法的。为了避免找出系统漏洞，本方法采用拦截系统错误提示页面，而以一个通用的错误显示页面代替。这样，攻击者就很难找到系统漏洞的细节了。

为了避免业务系统错误信息被攻击客户端截获，可以在拦截后进行必要分析，以确定错误信息中是否含有数据库或其他可执行成分要攻击的目标的信息。网站的错误页面通常都以HTTP中返回码的5xx(500到599)来表示，这些信息常常含有一些特征字，数据库服务器的错误信息常含有一些关键信息，本方法将含有这些关键信息的页面阻截，以通用的错误显示页面代替。

为了使这一过滤方法使用于不同的保护对象(业务种类)，本方法还引用业务配置的方法，使得这些过滤可以针对不同业务对不同的关键字和符号进行转换。同时，错误页面的内容也可以因业务而单独配置。

有益效果：本发明提出的方法可以有效地挫败可执行成分注入攻击。同时，对业务逻辑的影响却远比阻截可疑字符小得多。

具体实施方式

用本发明的方法构造一个网站安全防范系统。客户端的请求通过网关到达网站服务端，网站服务端对所传输的内容进行过滤，找出其中具有SQL语言语法意义的单词和符号，例如SELECT，UPDATE，DELETE，TRANCATE，‘；’，‘--’(双减号)，‘′’(单引号)等。将这些字符按照GB2312编码转换为对应的中文符号，如下表所示：