[发明专利]用于识别并抵抗网络攻击的方法

说明书

本发明涉及识别并抵抗浏览器中间人和/或中间人和/或僵尸攻击类型的网络攻击的方法，包括：利用Web浏览器生成与驻留在Web服务器中的Web应用程序有关的请求；利用Web浏览器将请求发送至与Web服务器进行信号通信的盒子服务器；利用盒子服务器接收服务器DOM代码，服务器DOM代码是由Web服务器根据请求自动生成的；响应于请求利用盒子服务器将服务页面代码发送至Web浏览器，服务页面代码包括混淆且多态的javascript和/或HTML代码；利用Web浏览器接收并处理javascript和/或HTML代码以自动生成异步请求，使得能够将Web服务器的环境数据发送至盒子服务器；利用盒子服务器处理环境数据以识别网络攻击；利用盒子服务器对服务器DOM代码进行加密功能以生成混淆DOM代码，并响应于异步请求将混淆DOM代码发送至Web浏览器；利用服务页面代码对混淆DOM代码进行解密功能以获得服务器DOM代码；以及利用Web浏览器呈现服务器DOM代码。

技术领域

本公开涉及用于检测并抵抗网络攻击的方法。

特别地，本公开涉及用于检测并抵抗浏览器中间人(Man-in-the-Browser)攻击和/或中间人(Man-in-the-Middle)攻击和/或僵尸(Bot)攻击的方法。换句话说，本发明使得能够监视并保护Web应用程序或Web浏览器免受针对客户端的Web浏览器的攻击。

背景技术

已知在用于抵抗包括浏览器中间人攻击和/或中间人攻击和/或僵尸攻击的计算机安全攻击的技术中，使用杀毒软件。

例如，浏览器中间人攻击是包括以下的攻击类型：直接操纵Web浏览器以在用户访问网站时改变通常向他/她显示的内容(参见图1)。浏览器中间人(MitB)攻击是在用户不知道的情况下使用计算机上所安装的恶意软件来执行的。这种恶意软件(例如，代理特洛伊木马)与Web浏览器进程的存储器互动，以将(Web浏览器所使用的)系统调用的正常流程重定向至如下的特定恶意软件功能，其中这些恶意软件功能具有例如将附加的HTML代码注入到所下载Web页中的目的。应当注意，在浏览器中间人攻击的情况下，与已被攻击的站点的原始Web服务器建立连接，这使得攻击检测困难。因此，Web浏览器和Web应用程序不能识别恶意软件向Web浏览器实际下载的内容所添加的内容。已确认了包括以下的各种浏览器中间人攻击：从电子银行和电子商务网站的信用卡数据窃取以及经常在没有与用户互动的情况下自动开始的欺诈性交易。

更详细地，在用户经由Web浏览器请求Web页(即，Web应用程序)时，托管Web页的Web服务器将HTML源代码(文档对象模型，DOM)发送至Web浏览器。DOM代码被传送至Web浏览器的呈现引擎(rendering engine)以供向用户进行显示。例如，在被恶意软件感染的PC中，Web浏览器从Web服务器所接收到的DOM代码在被Web浏览器的呈现引擎处理之前，被恶意软件改变。为此，恶意软件将附加代码(例如，脚本)注入到该恶意软件从Web服务器接收到的DOM代码中，以改变向用户显示的内容。恶意软件对从Web服务器下载的DOM代码所作出的改变是HTML和/或javascript代码和/或任何其它内容或Web资源的变化。换句话说，在恶意软件对所下载的DOM代码作出改变时，Web浏览器连接至原始Web服务器。这些变化可以包括图形和/或行为更改。因此，向用户显示如下的Web页，其中该Web页相对于客户端原本请求的Web页在其行为和/或图形表现方面已发生改变。客户端不愿允许访问其自身的个人数据或者授权针对他/她自身的账户的欺诈性交易。

例如，在银行领域，被恶意软件感染的计算机通常使用HTTPS协议登录到在线银行站点，并且下载Web页数据。然而，恶意软件通过添加交易操纵脚本并且例如进行自动数据传送，来实时地更改该数据。脚本还可以将用户实际发出的转账重定向至其它接收方，或者更简单地请求信用卡数据以及/或者添加附加字段以供用户利用附加数据填充。