網(wǎng)絡(luò)安全系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域����,具體地說�����,本發(fā)明涉及用于檢測數(shù)據(jù)處理網(wǎng)絡(luò)中的安全漏洞的系統(tǒng)����、方法和計(jì)算機(jī)程序��。
【背景技術(shù)】
[0002]Web代理服務(wù)器是充當(dāng)請求媒介的服務(wù)器�����,這些請求來自從網(wǎng)絡(luò)中的服務(wù)器請求資源的客戶機(jī)設(shè)備�。客戶機(jī)設(shè)備通常通過網(wǎng)絡(luò)發(fā)送資源請求��,并且通過連接到Web代理服務(wù)器而開始�。Web代理服務(wù)器評估請求,執(zhí)行多個(gè)功能���,并且取回被請求資源并將其發(fā)回發(fā)出請求的客戶機(jī)���。Web代理服務(wù)器可以執(zhí)行多個(gè)功能,例如��,能夠使代理服務(wù)器的下游客戶機(jī)設(shè)備保持匿名,使用諸如緩存之類的技術(shù)加快對資源的訪問以便防止多次下載相同內(nèi)容�����,審計(jì)對因特網(wǎng)資源的訪問�,在傳送到發(fā)出請求的客戶機(jī)之前掃描所傳輸?shù)膬?nèi)容以便防止惡意軟件��,并且掃描出站內(nèi)容以便實(shí)現(xiàn)數(shù)據(jù)丟失防護(hù)以及其它訪問和管理任務(wù)�。
[0003]代理服務(wù)器(具體地說Web代理服務(wù)器)易受攻擊。通常攻擊者在執(zhí)行已經(jīng)提及的某些功能的組件的設(shè)計(jì)和源代碼中尋找漏洞�。漏洞可以被利用以便改變軟件組件的行為,并且可能威脅代理服務(wù)器本身或代理服務(wù)器作為其一部分的較大網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)的機(jī)密性�����、完整性和/或可用性��。
[0004]通常通過使用一個(gè)或多個(gè)專業(yè)組件保護(hù)Web代理服務(wù)器��,減少這種類型的漏洞利用攻擊�����。這些組件能夠包括防火墻���、入侵檢測系統(tǒng)���、Web應(yīng)用防火墻和病毒掃描器�。Web代理服務(wù)器中的典型漏洞允許攻擊者將精心制作的消息發(fā)送到組件��,這可以導(dǎo)致攻擊者能夠控制Web代理服務(wù)器��,并且使用Web代理服務(wù)器作為“跳板”以便攻擊網(wǎng)絡(luò)系統(tǒng)的“下游”組件�����。此類攻擊的影響可以是降低整體系統(tǒng)中的信息的機(jī)密性���、完整性或可用性�����。
[0005]Web代理軟件的供應(yīng)商竭盡全力以便避免將漏洞引入其產(chǎn)品中����,并且通常通過發(fā)布軟件“補(bǔ)丁”而迅速行動(dòng)以便補(bǔ)救所標(biāo)識的任何問題����,這些軟件補(bǔ)丁取代或補(bǔ)充有缺陷的代碼���。但是,已發(fā)現(xiàn)這種方法并不令人滿意���,數(shù)個(gè)原因如下:
[0006]?漏洞的被利用通?���?煊谥圃焐炭梢詣?chuàng)建和分發(fā)補(bǔ)丁 �����;
[0007]?用于利用已知漏洞的手段經(jīng)常被發(fā)布(在因特網(wǎng)上)����,并且因此本身具有很少技能或知識的攻擊者可以實(shí)施廣泛傳播的攻擊��;以及
[0008]?在打補(bǔ)丁的Web代理副本被測試期間����,應(yīng)用補(bǔ)丁的過程經(jīng)常被延遲。這使該過程增加額外成本和復(fù)雜性����,并且許多大規(guī)模商業(yè)系統(tǒng)在相當(dāng)長的時(shí)間內(nèi)保持“未打補(bǔ)丁”�����。據(jù)負(fù)責(zé)信息保障的英國政府機(jī)構(gòu)(CESG)估算��,如果所有組件都被正確打補(bǔ)丁�����,則可以避免對公共部門中的IT系統(tǒng)的大多數(shù)(70%到80% )成功攻擊����。
[0009]盡管多年來在此類專業(yè)組件的設(shè)計(jì)方面取得了技術(shù)進(jìn)步���,但對Web代理服務(wù)器的成功攻擊仍然繼續(xù)����,并且是大型商業(yè)信息處理系統(tǒng)中的主要風(fēng)險(xiǎn)源之一�����。
【發(fā)明內(nèi)容】
[0010]從第一方面看���,本發(fā)明提供一種用于響應(yīng)于在數(shù)據(jù)處理網(wǎng)絡(luò)內(nèi)的代理服務(wù)器中檢測到安全漏洞而生成警報(bào)的網(wǎng)絡(luò)安全系統(tǒng)����,所述系統(tǒng)包括:分配器組件,其包括:攔截器組件��,其用于攔截來自客戶機(jī)設(shè)備的對資源的請求�����;以及復(fù)制器組件����,其用于創(chuàng)建所攔截的請求的副本并將所攔截的請求轉(zhuǎn)發(fā)到第一類型的代理服務(wù)器,并且將所攔截的請求的副本轉(zhuǎn)發(fā)到第二類型的代理服務(wù)器��,其中所述第一類型的代理服務(wù)器和所述第二類型的代理服務(wù)器是不同代理服務(wù)器類型�;比較器組件�,其包括:攔截器組件,其用于攔截來自所述第一類型的代理服務(wù)器和所述第二類型的代理服務(wù)器的輸出����;比較組件,其用于將所述第一類型的代理服務(wù)器的輸出與所述第二類型的代理服務(wù)器的輸出相比較����;判定組件�����,其響應(yīng)于比較所述輸出�,判定所述第一類型的代理服務(wù)器的輸出與所述第二類型的代理服務(wù)器的輸出是否不同�;以及警報(bào)生成器組件,其用于響應(yīng)于判定所述輸出中的差異而生成警報(bào)����。
[0011]優(yōu)選地,本發(fā)明提供一種系統(tǒng)����,所述系統(tǒng)進(jìn)一步包括所述比較器組件的輸出阻止器,其檢測已生成警報(bào)并且阻止來自所述第一類型的代理服務(wù)器和所述第二類型的代理服務(wù)器之一或兩者的輸出���。
[0012]優(yōu)選地�,本發(fā)明提供一種系統(tǒng)�����,所述系統(tǒng)進(jìn)一步包括判定器組件和路由組件����,所述判定器組件判定來自所述第一類型的代理服務(wù)器和所述第二類型的代理服務(wù)器的輸出并非不同�,所述路由組件用于將來自所述第一類型的代理服務(wù)器或所述第二類型的代理服務(wù)器之一的輸出路由到用于取回被請求資源的服務(wù)器����。
[0013]優(yōu)選地,本發(fā)明提供一種系統(tǒng)�,所述系統(tǒng)進(jìn)一步包括判定器組件,其檢測要在每個(gè)所述輸出中執(zhí)行的操作�,并且進(jìn)一步判定要執(zhí)行的操作之一或兩者是不同操作。
[0014]優(yōu)選地���,本發(fā)明提供一種系統(tǒng)��,所述系統(tǒng)進(jìn)一步包括所述判定器組件�,其判定要執(zhí)行的操作之一將在所述第一類型和第二類型的Web代理服務(wù)器之一或兩者或所述服務(wù)器中導(dǎo)致處理錯(cuò)誤�。
[0015]優(yōu)選地,本發(fā)明提供一種系統(tǒng)�����,所述系統(tǒng)進(jìn)一步包括所述判定器組件����,其判定所述處理錯(cuò)誤是安全漏洞。
[0016]從第二方面看���,本發(fā)明提供用于響應(yīng)于在數(shù)據(jù)處理網(wǎng)絡(luò)內(nèi)的代理服務(wù)器中檢測到安全漏洞而生成警報(bào)的網(wǎng)絡(luò)安全系統(tǒng)�����,所述系統(tǒng)包括:分配器組件�,其包括:攔截器組件�����,其用于攔截來自服務(wù)器的被請求資源�;以及復(fù)制器組件,其用于創(chuàng)建所攔截的被請求資源的副本并將所攔截的被請求資源轉(zhuǎn)發(fā)到第一類型的代理服務(wù)器�,并且將所攔截的被請求資源的副本轉(zhuǎn)發(fā)到第二類型的代理服務(wù)器,其中所述第一類型的代理服務(wù)器和所述第二類型的代理服務(wù)器是不同代理服務(wù)器��;比較器組件����,其包括:攔截器組件,其用于攔截來自所述第一類型的代理服務(wù)器和所述第二類型的代理服務(wù)器的輸出���;比較組件�,其用于將所述第一類型的代理服務(wù)器的輸出與所述第二類型的代理服務(wù)器的輸出相比較;判定組件��,其用于響應(yīng)于比較所述輸出��,判定所述第一類型的代理服務(wù)器的輸出與所述第二類型的代理服務(wù)器的輸出是否不同��;以及警報(bào)生成器組件��,其用于響應(yīng)于判定所述輸出中的差異而生成警報(bào)�。
[0017]優(yōu)選地,本發(fā)明提供一種系統(tǒng)����,所述系統(tǒng)進(jìn)一步包括所述比較器組件的輸出阻止器,其檢測已生成警報(bào)并且阻止來自所述第一類型的代理服務(wù)器和所述第二類型的代理服務(wù)器之一或兩者的輸出��。
[0018]優(yōu)選地���,本發(fā)明提供一種系統(tǒng)��,所述系統(tǒng)進(jìn)一步包括判定器組件���,其判定來自所述第一類型的代理服務(wù)器和所述第二類型的代理服務(wù)器的輸出并非不同,并且將來自所述第一類型的代理服務(wù)器或所述第二類型的代理服務(wù)器之一的輸出路由到所述客戶機(jī)設(shè)備���。
[0019]優(yōu)選地�,本發(fā)明提供一種系統(tǒng)����,所述系統(tǒng)進(jìn)一步包括所述判定器組件,其檢測要在每個(gè)所述輸出中執(zhí)行的操作�����,并且進(jìn)一步判定要執(zhí)行的操作之一或兩者是不同操作���。
[0020]優(yōu)選地�����,本發(fā)明提供一種系統(tǒng)�����,所述系統(tǒng)進(jìn)一步包括所述判定器組件���,其判定要執(zhí)行的操作之一將在所述第一類型和第二類型的Web代理服務(wù)器之一或兩者或所述客戶機(jī)設(shè)備中導(dǎo)致處理錯(cuò)誤。
[0021]優(yōu)選地�,本發(fā)明提供一種系統(tǒng)���,所述系統(tǒng)進(jìn)一步包括所述判定器組件,其判定所述處理錯(cuò)誤是安全漏洞��。
[0022]從第三方面看�,本發(fā)明提供一種用于響應(yīng)于在數(shù)據(jù)處理網(wǎng)絡(luò)內(nèi)的代理服務(wù)器中檢測到安全漏洞而生成警報(bào)的方法,所述方法包括:攔截來自客戶機(jī)設(shè)備的對資源的請求�����;創(chuàng)建所攔截的請求的副本并將所攔截的請求轉(zhuǎn)發(fā)到第一類型的代理服務(wù)器����,并且將所攔截的請求的副本轉(zhuǎn)發(fā)到第二類型的代理服務(wù)器,其中所述第一類型的代理服務(wù)器和所述第二類型的代理服務(wù)器是不同代理服務(wù)器類型���;攔截來自所述第一類型的代理服務(wù)器和所述第二類型的代理服務(wù)器的輸出����;將所述第一類型的代理服務(wù)器的輸出與所述第二類型的代理服務(wù)器的輸出相比較�����;響應(yīng)于比較所述輸出��,判定所述第一類型的代理服務(wù)器的輸出與所述第二類型的代理服務(wù)器的輸出是否不同;以及響應(yīng)于判定所述輸出中的差異而生成警報(bào)����。
[0023]從第四方面看�����,本發(fā)明提供一種用于響應(yīng)于在數(shù)據(jù)處理網(wǎng)絡(luò)內(nèi)的代理服務(wù)器中檢測到安全漏洞而生成警報(bào)的方法�����,所述系統(tǒng)包括:攔截來自服務(wù)器的被請求資源�;以及創(chuàng)建所攔截的被請求資源的副本并將所攔截的被請求資源轉(zhuǎn)發(fā)到第一類型的代理服務(wù)器,并且將所攔截的被請求資源的副本轉(zhuǎn)發(fā)到第二類型的代理服務(wù)器�,其中所述第一類型的代理服務(wù)器和所述第二類型的代理服務(wù)器是不同代理服務(wù)器;攔截來自所述第一類型的代理服務(wù)器和所述第二類型的代理服務(wù)器的輸出���;將所述第一類型的代理服務(wù)器的輸出與所述第二類型的代理服務(wù)器的輸出相比較�����;響應(yīng)于比較所述輸出��,判定所述第一類型的代理服務(wù)器的輸出與所述第二類型的代理服務(wù)器的輸出是否不同�;以及響應(yīng)于判定所述輸出中的差異而生成警報(bào)。
[0024]從第五方面看�,本發(fā)明提供一種包括計(jì)算機(jī)程序代碼的計(jì)算機(jī)程序,當(dāng)所述計(jì)算機(jī)程序代碼被加載到計(jì)算機(jī)系統(tǒng)中并被執(zhí)行時(shí)��,所述計(jì)算機(jī)程序執(zhí)行如上所述的方法的所有步驟�。
【附圖說明】
[0025]現(xiàn)在僅通過實(shí)例的方式參考附圖描述本發(fā)明的優(yōu)選實(shí)施例,這些附圖是:
[0026]圖1是示出根據(jù)本發(fā)明的優(yōu)選實(shí)施例的其中可以實(shí)現(xiàn)本發(fā)明的網(wǎng)絡(luò)安全系統(tǒng)的框圖���;
[0027]圖2是示出本領(lǐng)域公知的代理服務(wù)器的組件的框圖����;
[0028]圖3是示出根據(jù)本發(fā)明的優(yōu)選實(shí)施例的從多個(gè)客戶機(jī)設(shè)備到分配器組件和比較器組件的資源請求的處理流程的框圖���;
[0029]圖4是示出根據(jù)本發(fā)明的優(yōu)選實(shí)施例的由服務(wù)器滿足并且傳送到分配器組件和比較器組件的圖4的資源請求的處理流程的框圖�����;
[0030]圖5a和5b是示出圖3和4的比較器和分配器組件的子組件的框圖���;
[0031]圖6是示出根據(jù)本發(fā)明的優(yōu)選實(shí)施例的通過分配器組件和比較器組件的HTTP請求的處理流程的流程圖;以及
[0032]圖7是示出根據(jù)本發(fā)明的優(yōu)選實(shí)施例的通過分配器組件和比較器組件的被取回請求的處理流程的流程圖�����。
【具體實(shí)施方式】
[0033]下面參考根據(jù)本發(fā)明實(shí)施例的方法、系統(tǒng)和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或框圖描述本發(fā)明的各個(gè)方面��。應(yīng)當(dāng)理解�����,流程圖和/或框圖的每個(gè)方框以及流程圖和/或框圖中各方框的組合�����,都可以由計(jì)算機(jī)程序指令實(shí)現(xiàn)��。這些計(jì)算機(jī)程序指令可以提供給通用計(jì)算機(jī)���、專用計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器,從而生產(chǎn)出一種機(jī)器���,使得這些指令在通過計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器執(zhí)行時(shí)�����,產(chǎn)生了實(shí)現(xiàn)流程圖和/或框圖中的一個(gè)或多個(gè)方框中規(guī)定的功能/動(dòng)作的裝置�����。
[0034]也可以把這些計(jì)算機(jī)程序指令存儲在計(jì)算機(jī)可讀介質(zhì)中��,這些指令使得計(jì)