[发明专利]基于Web应用的自适应防护方法

说明书

基于Web应用的自适应防护方法，涉及网络安全领域。本发明的基于Web应用的自适应防护方法，其特征在于该防护方法采用和应用集成部署的方式，包括防御、检测、响应以及预测模块，防御模块采用不自动信任来自网络内部和外部的请求；检测模块通过探针深入应用，检测与抵御已知、未知的WEB攻击；响应模块基于自适应安全架构，以持续监控和分析为核心；预测模块通过检测MOVE方式文件上传脚本文件，准确检测到任意文件上传行为，从而有效防护。本技术针对web应用攻击，采用web应用自适应防护技术和系统可以高效率的进行攻击检测、服务器基线检查，有效的防止外部黑客对web应用服务的攻击。

技术领域

本发明涉及网络安全领域，尤其是一种主要针对J2EE的Web应用系统提供安全防护的基于Web应用的自适应防护方法。

背景技术

随着计算机及相关服务逐渐向Web应用平台高度集中发展，Web应用平台已经在各类政府、企业单位的核心业务区域，如电子政务、电子商务、运营商的增值业务等中得到广泛应用。无论是组建对外的信息发布平台，还是组建内部的业务管理系统，都离不开Web站点和Web应用。Web应用技术的迅速发展和广泛应用引起了攻击者的更加重视，针对Web业务的攻击也愈发激烈和严重，服务器操作系统漏洞和Web应用程序本身漏洞成为攻击者入侵的主要途径。藉此，攻击者们可以取得Web应用管理权限，进而窃取商业数据，篡改网页内容，更有甚者，在网页中植入木马，注入恶意脚本，发起跨站脚本或伪造请求等攻击。Web服务器和普通浏览用户均暴露在安全威胁之下。

现有传统Web防护系统的技术原理，传统Web防护产品采用协议分析、模式匹配、流量异常监视等综合技术手段来判断Web攻击行为，可以较准确地发现并阻断各种Web攻击。

传统Web防护产品针对不同的服务器站点，需要对应用配置不同的防护规则；也需要配置不同的流量检查策略。主要对数据包检查方向、HTTP包内容检查深度、HTTP包内容检查点及检查到安全威胁后的处理方式等。网站运维人员或开发人员可以根据网站应用自身的特点，给设备配置合适的安全策略，以提升产品检测效率，降低检测误报率。

传统Web防护系统主要提供Web威胁防御、主动防御、DDOS攻击防护、Web漏洞扫描、SSL加密网关等方式保护用户的Web应用。

Web威胁防御是采用双向数据检测机制，对进出Web服务器的HTTP/HTTPS相关内容进行深度分析。对于进站流量，提供对HTTP请求中URL、表单参数、报头及Cookie等内容的安全检查，过滤其中已被插入数据库命令、查询语句或各种恶意脚本的请求，防止SQL注入、XSS（跨站脚本）等攻击行为，而对于出站流量，通过对HTTP响应报头、HTML内容进行过滤，实现对服务器返回错误码、银行卡信息等的监控与保护，确保敏感信息不被泄露。

主动防御在检测到黑客对网站的攻击行为后，即将该攻击客户端的IP地址划分到黑名单类，在一定时间内将该客户端的所有访问请求直接在网络层做过滤，切断其与网站间的网络通信，避免网站遭受连续的、未知的攻击。

DDOS攻击防护能够对SYNFlood、UDPFlood、ICMPFlood、pingofDeath、Smurf、HTTP-getFlood等各类带宽及资源耗尽型拒绝服务攻击进行有效识别，并通过特有的机制实时对这些攻击流量进行阻断。确保了网站业务的可用性及连续性。

某些Web防护产品是内部集成了Web漏洞扫描功能，该功能基于高性能的扫描引擎及庞大的漏洞信息库。扫描内容涵盖SQL注入、XSS等OWASPTop10常见漏洞。

SSL加密网关技术是利用内置的SSL加密功能防止在互联网上传输的敏感信息被非法窃听。

传统Web防护系统在对Web应用进行安全防护的时候，主要有以下缺点：

1）传统WAF类设备是主要基于静态的特征关键字去判断网络攻击，只有不断的更新特征库，才能有效防止新出现的攻击行为，这就导致特征库越来越大；