專利名稱：一種Web應(yīng)用入侵防御方法、裝置、網(wǎng)絡(luò)設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及通信領(lǐng)域，尤其涉及一種Web應(yīng)用入侵防御方法、裝置、網(wǎng)絡(luò)設(shè)備及系統(tǒng)。
背景技術(shù)：
隨著互聯(lián)網(wǎng)的廣泛使用，網(wǎng)絡(luò)(Web)應(yīng)用已經(jīng)融入到日常生·活中的各個方面，例如網(wǎng)上購物、網(wǎng)絡(luò)銀行應(yīng)用、證券股票交易、政府行政審批、高校門戶網(wǎng)站、運營商增值服務(wù)等等。Web應(yīng)用已成為主流的業(yè)務(wù)系統(tǒng)的載體。面對參差不齊的Web應(yīng)用技術(shù)，安全漏洞的存在無法避免，對于廣泛的Web運用提出了更高的要求，這就需要一種特殊的Web應(yīng)用來保證其他Web應(yīng)用的安全運行。這種特殊的Web應(yīng)用就是Web應(yīng)用防火墻。Web應(yīng)用防火墻是Web應(yīng)用入侵防御系統(tǒng)，其工作原理就是內(nèi)部的防護引擎通過對超文本傳輸協(xié)定(HTTP,HyperText Transfer Protocol)/基于安全數(shù)據(jù)包層的超文本傳輸協(xié)定(HTTPS, HyperText Transfer Protocol over Secure Socket Layer)流量進行一系列安全策略檢查來保護Web應(yīng)用的安全。但是，Web應(yīng)用防火墻并不能夠防御所有的Web應(yīng)用的安全漏洞，這就使得攻擊者有機會能夠繞過Web應(yīng)用防火墻的防御，進而肆意篡改Web服務(wù)器的網(wǎng)頁文件。目前的解決這一問題的辦法是，在防護引擎的基礎(chǔ)上增加網(wǎng)頁防篡改組件，用于識別被篡改的網(wǎng)頁文件并對被篡改的網(wǎng)頁文件進行恢復(fù)，作為一種事后機制對Web服務(wù)器進行深層次的保護。作為處于中間位置(Web用戶和Web服務(wù)器之間)的Web應(yīng)用防火墻,其承載的網(wǎng)頁防篡改組件一般通過輪詢機制檢測Web服務(wù)器上的網(wǎng)頁文件是否被篡改。目前，網(wǎng)頁防篡改組件與防護引擎各自獨立運行，互不影響。因此，即使網(wǎng)頁防篡改組件識別出攻擊者篡改的網(wǎng)頁文件并進行了恢復(fù)，攻擊者在網(wǎng)頁防篡改組件輪詢間隔時間里仍可以對網(wǎng)頁文件再次進行相同的篡改，而防護引擎仍將無法防御本次篡改，在網(wǎng)頁防篡改組件下一次輪詢到該網(wǎng)頁文件之前，被篡改的網(wǎng)頁文件能被Web用戶訪問得到，導(dǎo)致入侵防御失效。為了解決由于網(wǎng)頁防篡改組件輪詢周期的存在導(dǎo)致的入侵防御失效的問題，目前可以利用網(wǎng)頁防篡改組件實時地檢測Web服務(wù)器上的網(wǎng)頁文件是否被篡改的方式來解決該問題，具體的，包括以下兩種方案方案一、網(wǎng)頁防篡改組件直接部署在Web服務(wù)器上，進行驅(qū)動級的防護這種方案脫離了 Web應(yīng)用防火墻，直接在Web服務(wù)器上進行驅(qū)動級的防護。由于實時檢測占用系統(tǒng)資源較多，本方案會造成Web服務(wù)器的負擔，同時影響其穩(wěn)定性。方案一的示意圖可以如圖I所示。方案二、網(wǎng)頁防篡改組件承載在Web應(yīng)用防火墻之上，實時檢測響應(yīng)體這種方案下，網(wǎng)頁防篡改組件也是運行在Web應(yīng)用防火墻之上。方案二的示意圖可以如圖2所示。在本方案中，實時檢測相對于輪詢檢測必然會造成系統(tǒng)資源的占用，導(dǎo)致系統(tǒng)性能的下降。且為了實現(xiàn)對響應(yīng)體的實時檢測，需要對響應(yīng)體進行基準的備份，而由于網(wǎng)站中可以包括動態(tài)網(wǎng)頁和靜態(tài)網(wǎng)頁，因此動態(tài)網(wǎng)頁響應(yīng)體的內(nèi)容非常多變。對經(jīng)常發(fā)生變化的動態(tài)網(wǎng)頁響應(yīng)體進行基準備份的可行性不高，由此導(dǎo)致實時檢測的準確率無法得到保證。

發(fā)明內(nèi)容
本發(fā)明實施例提供一種Web應(yīng)用入侵防御方法、裝置、網(wǎng)絡(luò)設(shè)備及系統(tǒng)，用于加強入侵防御的同時，減少系統(tǒng)資源的占用。一種網(wǎng)絡(luò)Web應(yīng)用入侵防御方法，所述方法包括
通過輪詢方式確定Web服務(wù)器上被篡改的網(wǎng)頁文件，并確定網(wǎng)頁文件被篡改的結(jié)果;根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，確定對應(yīng)的入侵防御策略；根據(jù)所述入侵防御策略，進行超文本傳輸協(xié)定HTTP/基于安全數(shù)據(jù)包層的超文本傳輸協(xié)定HTTPS流檢測。一種網(wǎng)絡(luò)Web應(yīng)用入侵防御裝置，所述裝置包括輪詢模塊，用于通過輪詢方式確定Web服務(wù)器上被篡改的網(wǎng)頁文件，并確定網(wǎng)頁文件被篡改的結(jié)果；確定模塊，用于根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，確定對應(yīng)的入侵防御策略；防御模塊，用于根據(jù)所述入侵防御策略，進行超文本傳輸協(xié)定HTTP/基于安全數(shù)據(jù)包層的超文本傳輸協(xié)定HTTPS流檢測。一種網(wǎng)絡(luò)設(shè)備，所述網(wǎng)絡(luò)設(shè)備包括上述的網(wǎng)絡(luò)Web應(yīng)用入侵防御裝置。一種網(wǎng)絡(luò)系統(tǒng)，所述網(wǎng)絡(luò)系統(tǒng)包括上述的網(wǎng)絡(luò)設(shè)備、網(wǎng)頁Web服務(wù)器和Web客戶端。根據(jù)本發(fā)明實施例提供的方案，通過輪詢方式來確定Web服務(wù)器上被篡改的網(wǎng)頁文件，并根據(jù)網(wǎng)頁文件被篡改的結(jié)果來確定入侵防御策略，從而可以根據(jù)確定出的入侵防御策略來進行Web應(yīng)用入侵防御，使得在進行Web應(yīng)用入侵防御時，可以結(jié)合網(wǎng)頁文件被篡改的結(jié)果來進行。在輪詢間隔周期內(nèi)，可以結(jié)合網(wǎng)頁文件被篡改的結(jié)果進行Web應(yīng)用入侵防御，從而實現(xiàn)Web應(yīng)用入侵防御的加強。同時，無需實時檢測網(wǎng)頁文件是否被篡改，還可以減少系統(tǒng)資源的占用，減輕系統(tǒng)的負擔，避免系統(tǒng)性能的下降。


圖I為現(xiàn)有技術(shù)提供的方案一的不意圖；圖2為現(xiàn)有技術(shù)提供的方案二的示意圖；圖3為本發(fā)明實施例一提供的Web應(yīng)用入侵防御方法的步驟流程示意圖；圖4為本發(fā)明實施例三提供的Web應(yīng)用入侵防御裝置的結(jié)構(gòu)示意圖；圖5為本發(fā)明實施例三提供的Web應(yīng)用入侵防御裝置的結(jié)構(gòu)示意圖；圖6為本發(fā)明實施例五提供的Web應(yīng)用入侵防御系統(tǒng)的結(jié)構(gòu)示意圖。
具體實施例方式在本發(fā)明各實施例中，針對現(xiàn)有技術(shù)中網(wǎng)頁防篡改組件與防護引擎各自獨立運行，互不影響，導(dǎo)致網(wǎng)頁防篡改組件采用輪詢方式進行網(wǎng)頁文件篡改檢測與恢復(fù)時，雖然對被篡改的網(wǎng)頁文件進行了恢復(fù)，但在輪詢間隔周期內(nèi)網(wǎng)頁文件可能會被再次篡改，而防護引擎無法察覺本次篡改，被篡改的網(wǎng)頁文件會被Web用戶訪問得到的問題，本發(fā)明實施例提出可以實現(xiàn)網(wǎng)頁防篡改組件與防護引擎的聯(lián)動，即可以根據(jù)網(wǎng)頁防篡改組件得到的網(wǎng)頁文件被篡改的結(jié)果來確定入侵防御策略，使得防護引擎可以根據(jù)確定出的入侵防御策略進行入侵防御，利用防護引擎來實現(xiàn)Web應(yīng)用入侵防御的增強，從而可以避免在輪詢間隔周期內(nèi)被篡改的網(wǎng)頁文件被Web用戶訪問。同時，本發(fā)明提供的方案中，網(wǎng)頁防篡改組件仍然采用輪詢檢測的方式，無需進行實時檢測，從而減少系統(tǒng)資源的占用，減輕系統(tǒng)的負擔，避免系統(tǒng)性能的下降。下面結(jié)合說明書附圖和各實施例對本發(fā)明方案進行說明。實施例一、 本發(fā)明實施例一提供一種Web應(yīng)用入侵防御方法，該方法的步驟流程可以如圖3所示，包括步驟101、確定網(wǎng)頁文件被篡改的結(jié)果。在本實施例中，仍采用輪詢方式來確定Web服務(wù)器上是否存在被篡改的網(wǎng)頁文件。在本步驟中，可以通過輪詢方式確定Web服務(wù)器上被篡改的網(wǎng)頁文件，并確定網(wǎng)頁文件被篡改的結(jié)果。在本實施例中，以網(wǎng)頁文件被篡改的結(jié)果為添加、刪除和修改為例進行說明。具體的，在本步驟中，可以通過以下方式確定Web服務(wù)器上是否存在被篡改的網(wǎng)頁文件，并確定網(wǎng)頁文件被篡改的結(jié)果確定所述Web服務(wù)器中每個網(wǎng)頁文件的標識是否屬于第一標識集合，第一標識集合為備份的網(wǎng)頁文件中每個網(wǎng)頁文件的標識集合，該備份的網(wǎng)頁文件為本次輪詢之前備份的所述Web服務(wù)器中的網(wǎng)頁文件在確定所述Web服務(wù)器中一個網(wǎng)頁文件的標識不屬于所述第一標識集合時，確定該網(wǎng)頁文件被篡改，且網(wǎng)頁文件被篡改的結(jié)果為新添文件。即，在確定輪詢到的Web服務(wù)器中的網(wǎng)頁文件未曾備份時，可以確定該網(wǎng)頁文件為攻擊者在Web服務(wù)器上增加的網(wǎng)頁文件。在確定所述Web服務(wù)器中一個網(wǎng)頁文件的標識屬于所述第一標識集合時，確定該網(wǎng)頁文件與所述備份的網(wǎng)頁文件中該標識對應(yīng)的網(wǎng)頁文件是否相同，在不相同時，確定該網(wǎng)頁文件被篡改，且網(wǎng)頁文件被篡改的結(jié)果為修改文件。即，在確定輪詢到的Web服務(wù)器中的網(wǎng)頁文件有備份時，可以進一步確定輪詢到的網(wǎng)頁文件與該網(wǎng)頁文件的備份是否一致，若不一致，則說明該網(wǎng)頁文件被攻擊者進行了修改。當然，若一致，可以認為該網(wǎng)頁文件沒有被攻擊者篡改，是合法的網(wǎng)頁文件。在本實施例中，除了可以在輪詢時，根據(jù)預(yù)先備份的網(wǎng)頁文件，檢測輪詢到的Web服務(wù)器中的網(wǎng)頁文件是否被篡改，確定Web服務(wù)器中被添加和修改的網(wǎng)頁文件之外，還可以進一步通過確定備份的網(wǎng)頁文件是否仍存在于本次輪詢時的Web服務(wù)器上，確定攻擊者是否刪除了 Web服務(wù)器上的網(wǎng)頁文件。具體的，可以確定備份的網(wǎng)頁文件中每個網(wǎng)頁文件的標識是否屬于第二標識集合，第二標識集合為本次輪詢確定出的Web服務(wù)器中每個網(wǎng)頁文件的標識集合。在確定備份的網(wǎng)頁文件中一個網(wǎng)頁文件的標識不屬于所述第二標識集合時，確定該網(wǎng)頁文件被篡改，且網(wǎng)頁文件被篡改的結(jié)果為刪除文件。步驟102、確定入侵防御策略。在本步驟中，根據(jù)網(wǎng)頁文件被篡改的結(jié)果，可以確定對應(yīng)的入侵防御策略。在本實施例中，以避免被篡改的網(wǎng)頁文件被Web用戶訪問為目的為例，說明如何確定對應(yīng)的入侵防御策略。如，在確定網(wǎng)頁文件被篡改的結(jié)果為刪除文件時，由于被刪除的文件無法被Web用戶訪問，因此，對應(yīng)的入侵防御策略可以為空。網(wǎng)頁文件被篡改的結(jié)果為新添文件時，根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，確定出 的入侵防御策略可以但不限于為攔截文件名為指定文件名的網(wǎng)頁文件。所述指定文件名為相對于備份的網(wǎng)頁文件，Web服務(wù)器上被攻擊者增加的網(wǎng)頁文件的名稱。即所述指定文件名可以理解為所述Web服務(wù)器中，標識不屬于所述第一標識集合的網(wǎng)頁文件的文件名。如果網(wǎng)頁文件被篡改的結(jié)果為修改文件，在確定對應(yīng)的入侵防御策略之前，還可以進一步根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，進行被篡改的網(wǎng)頁文件的篡改特征提取，以被修改的網(wǎng)頁文件為HTML文件為例，則可以以HTML文件的標簽為篡改特征，進行篡改特征的提取。并可以根據(jù)提取出的網(wǎng)頁文件篡改特征，來確定對應(yīng)的入侵防御策略。確定出的入侵防御策略可以但不限于為攔截包含所述網(wǎng)頁文件篡改特征的網(wǎng)頁文件。當然，在網(wǎng)頁文件被篡改的結(jié)果為新添文件時，也可以在確定對應(yīng)的入侵防御策略之前，進行被篡改的網(wǎng)頁文件的篡改特征提取，并根據(jù)提取出的網(wǎng)頁文件篡改特征，來確定對應(yīng)的入侵防御策略。步驟103、進行Web應(yīng)用入侵防御。在確定出入侵防御策略后，可以根據(jù)該入侵防御策略進行Web應(yīng)用入侵防御。本步驟可以具體包括，根據(jù)所述入侵防御策略，進行HTTP/HTTPS流檢測，從而實現(xiàn)Web應(yīng)用入侵防御。若確定出的入侵防御策略是為了避免被篡改的網(wǎng)頁文件被Web用戶訪問，則根據(jù)確定出入侵防御策略進行Web應(yīng)用入侵防御，可以避免被篡改的網(wǎng)頁文件被Web用戶訪問。如果入侵防御策略為攔截文件名為指定文件名的網(wǎng)頁文件，則在本步驟中可以攔截Web用戶訪問的統(tǒng)一資源定位符(URL)中包含文件名為指定文件名的HTTP/HTTPS流。如果入侵防御策略為攔截包含所述網(wǎng)頁文件篡改特征的網(wǎng)頁文件，則在本步驟中可以攔截Web用戶訪問的響應(yīng)體中包含所述網(wǎng)頁文件篡改特征的HTTP/HTTPS流。下面通過實施例二對本發(fā)明實施例一的方案進行說明。實施例二、下面以網(wǎng)頁文件被篡改的結(jié)果為修改文件，且被篡改的網(wǎng)頁文件為HTML文件為例，對篡改特征提取的過程進行說明。例如，Web應(yīng)用防火墻的磁盤空間備份的網(wǎng)頁文件包含如下內(nèi)容<a href = ^httpi/Aww. w3school. com. cn///>Click me〈/a>攻擊者繞過防護引擎篡改Web服務(wù)器上的該網(wǎng)頁文件，并把上述內(nèi)容篡改成<a href = ^http://www. heikediguo. com. cOClick me〈/a>該網(wǎng)頁文件中包含一個標簽〈a hrefX/a〉，攻擊者將該標簽中嵌入的網(wǎng)址鏈接http://www. w3school. com. cn/ 篡改為 http://www. heikediguo. com. cn/ 來實現(xiàn)攻擊，因此可以將被篡改后的標簽確定為篡改特征。為了避免Web用戶訪問到被篡改的網(wǎng)頁文件，可以提取該網(wǎng)頁文件的標簽特征〈a >Click me〈/a>,從而可以通過攔截 Web 用戶訪問的響應(yīng)體中包含 <a href = 〃http://www. heikediguo. com. cn/〃>Click me〈/a> 這個標簽特征的HTTP/HTTPS流，來避免Web用戶訪問到被篡改的網(wǎng)頁文件。本實施例中僅以HTML文件為例進行說明，針對其他類型的網(wǎng)頁文件，則可以提取對應(yīng)的網(wǎng)頁文件篡改特征，以確定對應(yīng)的入侵防御策略，避免Web用戶訪問到被篡改的網(wǎng)頁文件。與本發(fā)明實施例一和實施例二基于同一發(fā)明構(gòu)思，提供以下的裝置。實施例三、本發(fā)明實施例三提供一種Web應(yīng)用入侵防御裝置，該裝置可以理解為集成了網(wǎng)頁防篡改組件和防護引擎，并實現(xiàn)了二者的聯(lián)動，該裝置可以應(yīng)用于Web應(yīng)用防火墻，該裝置的結(jié)構(gòu)可以如圖4所示,包括輪詢模塊11用于通過輪詢方式確定Web服務(wù)器上被篡改的網(wǎng)頁文件，并確定網(wǎng)頁文件被篡改的結(jié)果；確定模塊12用于根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，確定對應(yīng)的入侵防御策略；防御模塊13用于根據(jù)所述入侵防御策略，進行超文本傳輸協(xié)定HTTP/基于安全數(shù)據(jù)包層的超文本傳輸協(xié)定HTTPS流檢測。輪詢模塊11具體用于確定所述Web服務(wù)器中一個網(wǎng)頁文件的標識不屬于所述第一標識集合，則確定該網(wǎng)頁文件被篡改，且網(wǎng)頁文件被篡改的結(jié)果為新添文件；或者，確定所述Web服務(wù)器中一個網(wǎng)頁文件的標識屬于所述第一標識集合，則確定該網(wǎng) 頁文件與所述備份的網(wǎng)頁文件中該標識對應(yīng)的網(wǎng)頁文件是否相同，在不相同時，確定該網(wǎng)頁文件被篡改，且網(wǎng)頁文件被篡改的結(jié)果為修改文件；或者，確定備份的網(wǎng)頁文件中一個網(wǎng)頁文件的標識不屬于所述第二標識集合，則確定該網(wǎng)頁文件被篡改，且網(wǎng)頁文件被篡改的結(jié)果為刪除文件；其中，第一標識集合為備份的網(wǎng)頁文件中每個網(wǎng)頁文件的標識集合，該備份的網(wǎng)頁文件為本次輪詢之前備份的所述Web服務(wù)器中的網(wǎng)頁文件，第二標識集合為本次輪詢確定出的Web服務(wù)器中每個網(wǎng)頁文件的標識集合。確定模塊12具體用于在輪詢模塊確定出的網(wǎng)頁文件被篡改的結(jié)果為新添文件時，根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，確定對應(yīng)的入侵防御策略為攔截文件名為指定文件名的網(wǎng)頁文件；或者，在輪詢模塊確定出的網(wǎng)頁文件被篡改的結(jié)果為新添文件時，根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，提取網(wǎng)頁文件篡改特征；根據(jù)所述網(wǎng)頁文件篡改特征，確定對應(yīng)的入侵防御策略為攔截文件名為指定文件名的網(wǎng)頁文件；防御模塊13具體用于在確定模塊確定出的入侵防御策略為攔截文件名為指定文件名的網(wǎng)頁文件時，攔截Web用戶訪問的統(tǒng)一資源定位符URL中包含文件名為指定文件名的HTTP/HTTPS流；在確定模塊確定出的入侵防御策略為攔截包含所述網(wǎng)頁文件篡改特征的網(wǎng)頁文件時，攔截Web用戶訪問的響應(yīng)體中包含所述網(wǎng)頁文件篡改特征的HTTP/HTTPS流；其中所述指定文件名為所述Web服務(wù)器中，標識不屬于所述第一標識集合的網(wǎng)頁文件的文件名。確定模塊12具體用于在輪詢模塊確定出的網(wǎng)頁文件被篡改的結(jié)果為修改文件時，根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，提取網(wǎng)頁文件篡改特征，根據(jù)所述網(wǎng)頁文件篡改特征，確定對應(yīng)的入侵防御策略為攔截包含所述網(wǎng)頁文件篡改特征的網(wǎng)頁文件；防御模塊13具體用于在確定模塊確定出的入侵防御策略為攔截包含所述網(wǎng)頁文件篡改特征的網(wǎng)頁文件時，攔截Web用戶訪問的響應(yīng)體中包含所述網(wǎng)頁文件篡改特征的HTTP/HTTPS 流。在本實施例中，輪詢模塊11可以理解為包括網(wǎng)頁防篡改組件的功能，并可以與Web服務(wù)器和Web用戶(Web客戶端)進行交互。防御模塊13可以理解為包括防護引擎的功能，并可以與Web服務(wù)器進行交互。確定模塊12可以理解為實現(xiàn)網(wǎng)頁防篡改組件和防護引擎聯(lián)動的聯(lián)動裝置。則，網(wǎng)頁防篡改組件21、防護引擎23、聯(lián)動裝置22之間的連接關(guān)系 示意圖可以如圖5所示。根據(jù)本發(fā)明實施例一 實施例三提供的方案，雖然防護引擎無法避免攻擊者對網(wǎng)頁文件的篡改，但可以根據(jù)網(wǎng)頁文件的網(wǎng)頁文件被篡改的結(jié)果，來進行Web應(yīng)用入侵防御，從而可以防止被篡改的網(wǎng)頁文件能被Web用戶訪問得到，實現(xiàn)入侵防御的增強。即通過防護引擎與網(wǎng)頁防篡改組件的聯(lián)動，增強了防護引擎的功能，彌補了網(wǎng)頁防篡改組件定時輪詢固有的缺陷。實施例四、本發(fā)明實施例四提供一種網(wǎng)絡(luò)設(shè)備，該網(wǎng)絡(luò)設(shè)備可以理解為包括如實施例三所述的Web應(yīng)用入侵防御裝置。實施例五、進一步的，本發(fā)明實施例五提供一種網(wǎng)絡(luò)系統(tǒng)，該網(wǎng)絡(luò)系統(tǒng)可以理解為包括如實施例四所述的網(wǎng)絡(luò)設(shè)備31、Web客戶端32和Web服務(wù)器33，該系統(tǒng)的結(jié)構(gòu)可以如圖6所示。本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本申請的實施例可提供為方法、系統(tǒng)、或計算機程序產(chǎn)品。因此，本申請可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且，本申請可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學(xué)存儲器等)上實施的計算機程序產(chǎn)品的形式。本申請是參照根據(jù)本申請實施例的方法、設(shè)備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機器，使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。這些計算機程序指令也可存儲在能引導(dǎo)計算機或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計算機或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理，從而在計算機或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。盡管已描述了本申請的優(yōu)選實施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對這些實施例做出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本申請范圍的所有變更和修改。顯然，本領(lǐng)域的技術(shù)人員可以對本申請進行各種改動和變型而不脫離本申請的精 神和范圍。這樣，倘若本申請的這些修改和變型屬于本申請權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本申請也意圖包含這些改動和變型在內(nèi)。
權(quán)利要求
1.一種網(wǎng)絡(luò)Web應(yīng)用入侵防御方法，其特征在于，所述方法包括 通過輪詢方式確定Web服務(wù)器上被篡改的網(wǎng)頁文件，并確定網(wǎng)頁文件被篡改的結(jié)果； 根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，確定對應(yīng)的入侵防御策略； 根據(jù)所述入侵防御策略，進行超文本傳輸協(xié)定HTTP/基于安全數(shù)據(jù)包層的超文本傳輸協(xié)定HTTPS流檢測。
2.如權(quán)利要求I所述的方法，其特征在于，通過輪詢方式確定Web服務(wù)器上被篡改的網(wǎng)頁文件，并確定網(wǎng)頁文件被篡改的結(jié)果，具體包括 確定所述Web服務(wù)器中一個網(wǎng)頁文件的標識不屬于所述第一標識集合，則確定該網(wǎng)頁文件被篡改，且網(wǎng)頁文件被篡改的結(jié)果為新添文件；或者， 確定所述Web服務(wù)器中一個網(wǎng)頁文件的標識屬于所述第一標識集合，則確定該網(wǎng)頁文件與所述備份的網(wǎng)頁文件中該標識對應(yīng)的網(wǎng)頁文件是否相同，在不相同時，確定該網(wǎng)頁文件被篡改，且網(wǎng)頁文件被篡改的結(jié)果為修改文件；或者， 確定備份的網(wǎng)頁文件中一個網(wǎng)頁文件的標識不屬于所述第二標識集合，則確定該網(wǎng)頁文件被篡改，且網(wǎng)頁文件被篡改的結(jié)果為刪除文件； 其中，第一標識集合為備份的網(wǎng)頁文件中每個網(wǎng)頁文件的標識集合，該備份的網(wǎng)頁文件為本次輪詢之前備份的所述Web服務(wù)器中的網(wǎng)頁文件，第二標識集合為本次輪詢確定出的Web服務(wù)器中每個網(wǎng)頁文件的標識集合。
3.如權(quán)利要求2所述的方法，其特征在于，網(wǎng)頁文件被篡改的結(jié)果為修改文件時，根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，確定對應(yīng)的入侵防御策略，具體包括 網(wǎng)頁文件被篡改的結(jié)果為新添文件時，根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，確定對應(yīng)的入侵防御策略為攔截文件名為指定文件名的網(wǎng)頁文件；或者， 網(wǎng)頁文件被篡改的結(jié)果為新添文件時，根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，提取網(wǎng)頁文件篡改特征；根據(jù)所述網(wǎng)頁文件篡改特征，確定對應(yīng)的入侵防御策略為攔截包含所述網(wǎng)頁文件篡改特征的網(wǎng)頁文件； 確定出的對應(yīng)的入侵防御策略為攔截文件名為指定文件名的網(wǎng)頁文件時，根據(jù)所述入侵防御策略，進行HTTP/HTTPS流檢測，具體包括 攔截Web用戶訪問的統(tǒng)ー資源定位符URL中包含文件名為指定文件名的HTTP/HTTPS流； 確定出的對應(yīng)的入侵防御策略為攔截包含所述網(wǎng)頁文件篡改特征的網(wǎng)頁文件時，根據(jù)所述入侵防御策略，進行HTTP/HTTPS流檢測，具體包括 攔截Web用戶訪問的響應(yīng)體中包含所述網(wǎng)頁文件篡改特征的HTTP/HTTPS流； 其中所述指定文件名為所述Web服務(wù)器中，標識不屬于所述第一標識集合的網(wǎng)頁文件的文件名。
4.如權(quán)利要求2所述的方法，其特征在于，網(wǎng)頁文件被篡改的結(jié)果為修改文件時，根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，確定對應(yīng)的入侵防御策略，具體包括 根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，提取網(wǎng)頁文件篡改特征； 根據(jù)所述網(wǎng)頁文件篡改特征，確定對應(yīng)的入侵防御策略為攔截包含所述網(wǎng)頁文件篡改特征的網(wǎng)頁文件； 貝丨J，根據(jù)所述入侵防御策略，進行HTTP/HTTPS流檢測，具體包括攔截Web用戶訪問的響應(yīng)體中包含所述網(wǎng)頁文件篡改特征的HTTP/HTTPS流。
5.一種網(wǎng)絡(luò)Web應(yīng)用入侵防御裝置，其特征在于，所述裝置包括 輪詢模塊，用于通過輪詢方式確定Web服務(wù)器上被篡改的網(wǎng)頁文件，并確定網(wǎng)頁文件被篡改的結(jié)果； 確定模塊，用于根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，確定對應(yīng)的入侵防御策略； 防御模塊，用于根據(jù)所述入侵防御策略，進行超文本傳輸協(xié)定HTTP/基于安全數(shù)據(jù)包層的超文本傳輸協(xié)定HTTPS流檢測。
6.如權(quán)利要求5所述的裝置，其特征在于，輪詢模塊，具體用于確定所述Web服務(wù)器中一個網(wǎng)頁文件的標識不屬于所述第一標識集合，則確定該網(wǎng)頁文件被篡改，且網(wǎng)頁文件被篡改的結(jié)果為新添文件；或者， 確定所述Web服務(wù)器中一個網(wǎng)頁文件的標識屬于所述第一標識集合，則確定該網(wǎng)頁文件與所述備份的網(wǎng)頁文件中該標識對應(yīng)的網(wǎng)頁文件是否相同，在不相同時，確定該網(wǎng)頁文件被篡改，且網(wǎng)頁文件被篡改的結(jié)果為修改文件；或者， 確定備份的網(wǎng)頁文件中一個網(wǎng)頁文件的標識不屬于所述第二標識集合，則確定該網(wǎng)頁文件被篡改，且網(wǎng)頁文件被篡改的結(jié)果為刪除文件； 其中，第一標識集合為備份的網(wǎng)頁文件中每個網(wǎng)頁文件的標識集合，該備份的網(wǎng)頁文件為本次輪詢之前備份的所述Web服務(wù)器中的網(wǎng)頁文件，第二標識集合為本次輪詢確定出的Web服務(wù)器中每個網(wǎng)頁文件的標識集合。
7.如權(quán)利要求6所述的裝置，其特征在干， 確定模塊，具體用于在輪詢模塊確定出的網(wǎng)頁文件被篡改的結(jié)果為新添文件時，根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，確定對應(yīng)的入侵防御策略為攔截文件名為指定文件名的網(wǎng)頁文件；或者， 在輪詢模塊確定出的網(wǎng)頁文件被篡改的結(jié)果為新添文件時，根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，提取網(wǎng)頁文件篡改特征；根據(jù)所述網(wǎng)頁文件篡改特征，確定對應(yīng)的入侵防御策略為攔截文件名為指定文件名的網(wǎng)頁文件； 防御模塊，具體用于在確定模塊確定出的入侵防御策略為攔截文件名為指定文件名的網(wǎng)頁文件時，攔截Web用戶訪問的統(tǒng)ー資源定位符URL中包含文件名為指定文件名的HTTP/HTTPS流；在確定模塊確定出的入侵防御策略為攔截包含所述網(wǎng)頁文件篡改特征的網(wǎng)頁文件時，攔截Web用戶訪問的響應(yīng)體中包含所述網(wǎng)頁文件篡改特征的HTTP/HTTPS流；其中所述指定文件名為所述Web服務(wù)器中，標識不屬于所述第一標識集合的網(wǎng)頁文件的文件名。
8.如權(quán)利要求6所述的裝置，其特征在于，確定模塊，具體用于在輪詢模塊確定出的網(wǎng)頁文件被篡改的結(jié)果為修改文件時，根據(jù)所述網(wǎng)頁文件被篡改的結(jié)果，提取網(wǎng)頁文件篡改特征，根據(jù)所述網(wǎng)頁文件篡改特征，確定對應(yīng)的入侵防御策略為攔截包含所述網(wǎng)頁文件篡改特征的網(wǎng)頁文件； 防御模塊，具體用于在確定模塊確定出的入侵防御策略為攔截包含所述網(wǎng)頁文件篡改特征的網(wǎng)頁文件時，攔截Web用戶訪問的響應(yīng)體中包含所述網(wǎng)頁文件篡改特征的HTTP/HTTPS 流。
9.ー種網(wǎng)絡(luò)設(shè)備，其特征在于，所述網(wǎng)絡(luò)設(shè)備包括如權(quán)利要求51任一所述的裝置。
10.ー種網(wǎng)絡(luò)系統(tǒng)，其特征在于，所述網(wǎng)絡(luò)系統(tǒng)包括如權(quán)利要求9所述的網(wǎng)絡(luò)設(shè)備、網(wǎng)頁Web服務(wù)器和Web客戶端。
全文摘要
本發(fā)明實施例提供一種Web應(yīng)用入侵防御方法、裝置、網(wǎng)絡(luò)設(shè)備及系統(tǒng)，包括通過輪詢方式來確定Web服務(wù)器上被篡改的網(wǎng)頁文件，并根據(jù)網(wǎng)頁文件被篡改的結(jié)果來確定入侵防御策略，從而可以根據(jù)確定出的入侵防御策略來進行Web應(yīng)用入侵防御，使得在進行Web應(yīng)用入侵防御時，可以結(jié)合網(wǎng)頁文件被篡改的結(jié)果來進行。在輪詢間隔周期內(nèi)，可以結(jié)合網(wǎng)頁文件被篡改的結(jié)果進行Web應(yīng)用入侵防御，從而實現(xiàn)Web應(yīng)用入侵防御的加強。同時，無需實時檢測網(wǎng)頁文件是否被篡改，還可以減少系統(tǒng)資源的占用，減輕系統(tǒng)的負擔，避免系統(tǒng)性能的下降。
文檔編號H04L29/06GK102710652SQ20121019366
公開日2012年10月3日 申請日期2012年6月12日 優(yōu)先權(quán)日2012年6月12日
發(fā)明者張望鵬 申請人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司