基于web安全網(wǎng)關(guān)的服務器指紋擬態(tài)和敏感信息擬態(tài)方法
【技術(shù)領域】
[0001]本發(fā)明涉及計算機網(wǎng)絡安全技術(shù)領域�����,尤其涉及Web應用安全網(wǎng)關(guān)技術(shù)�。
【背景技術(shù)】
[0002]在互聯(lián)網(wǎng)普及率越來越高的津田��,生活中網(wǎng)絡已經(jīng)無處不在了��。從PC時代到移動互聯(lián)網(wǎng)時代再到將來的物聯(lián)網(wǎng)時代�,網(wǎng)絡帶來的方便、快捷已然讓人們深受其利���。然而����,不管是廣大互聯(lián)網(wǎng)用戶還是IT公司�,對網(wǎng)絡安全的重視一直未能做到防范于未然,多數(shù)情況都是“亡羊補牢”��。近年來�,針對網(wǎng)絡的各種攻擊事件頻繁發(fā)生,給網(wǎng)絡安全敲響了警鐘,盡管人們采用了各種方法和工具來加強網(wǎng)絡通信的安全��,但攻擊成功的事件數(shù)量還是在不斷上升�����。近年來比較“著名”的網(wǎng)絡安全事件比如攜程漏洞事件:攜程安全支付日志可遍歷下載導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證�����、銀行卡號��、卡CVV碼�����、6位卡Bin)�����。該漏洞一經(jīng)曝出就引發(fā)了人們關(guān)于“電商網(wǎng)站存儲用戶信用卡等敏感信息����,并存在泄露風險”的熱議。還有中國快遞1400萬信息泄露�����,eBay數(shù)據(jù)的大泄露、500萬谷歌賬戶信息被泄��、索尼影業(yè)公司的攝影計劃��、明星隱私����、未發(fā)表的劇本等敏感信息被竊取、12306用戶數(shù)據(jù)泄露含身份證及密碼信息等等一系列震驚中外的事件��,網(wǎng)絡安全的重要性被提升到前所未有的高度����。
[0003]據(jù)艾瑞公司網(wǎng)絡安全年度報告顯示����,網(wǎng)民對涉及財產(chǎn)安全和信息隱私的安全困擾最為關(guān)注,其關(guān)注TOP3分別為網(wǎng)絡支付不安全�����、信息泄露和賬號盜取���。
[0004]由于網(wǎng)絡設計之初所具有的開放���、互連�、共享性���,就決定了現(xiàn)在的網(wǎng)絡是不安全的���,網(wǎng)絡頻遭各種攻擊與破壞。新的攻擊手段和方法也越來越多���、層出不窮����、千變?nèi)f化���。
[0005]傳統(tǒng)的防火墻和入侵檢測系統(tǒng)是一種被動的��、靜態(tài)的防衛(wèi)的手段��。面對不斷出現(xiàn)的新攻擊方法����,傳統(tǒng)的被動防御的手段越來越顯得力不從心,缺乏一種主動應對方法����,常常是系統(tǒng)被攻擊之后才做出相應的反應,這樣的防御總在攻擊發(fā)生之后才做出補救措施����;正是如此,擬態(tài)安全網(wǎng)關(guān)就是基于此種情況提出的新型安全網(wǎng)關(guān)���,以期能從主動性���、變化性和隨機性中來獲得有利的防御姿態(tài)。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的在于針對現(xiàn)有技術(shù)的不足�����,提供一種基于WEB安全網(wǎng)關(guān)的服務器指紋擬態(tài)和敏感信息擬態(tài)方法��,能夠?qū)eb服務器指紋信息和網(wǎng)絡應用敏感信息進行擬態(tài)替換���。
[0007]本發(fā)明的目的是通過以下技術(shù)方案來實現(xiàn)的:一種基于WEB安全網(wǎng)關(guān)的服務器指紋擬態(tài)和敏感信息擬態(tài)方法,包括以下步驟:
步驟1:在Web服務器與用戶之間搭建一個反向代理服務器�����,該反向代理服務器基于Nginx實現(xiàn);所述Nginx是一個高性能的HTTP和反向代理服務器��;在反向代理服務器上實現(xiàn)消息轉(zhuǎn)發(fā)和路由規(guī)則����,之后用戶和Web服務器之間的消息傳遞都經(jīng)由反向代理服務器處理和轉(zhuǎn)發(fā),而對于用戶和服務器來說反向代理服務器是透明不可見的���; 步驟2:在反向代理服務器上配置擬態(tài)安全網(wǎng)關(guān)的功能模塊�����,包括Web服務器指紋信息擬態(tài)模塊和敏感信息擬態(tài)模塊兩個部分�;修改配置文件���,確定作用域(所有HTTP請求���、所有Web服務器響應請求或者指定URI等)、功能模塊及執(zhí)行指令�;完成編譯安裝;功能模塊添加完成之后����,重新啟動反向代理服務器�����,讓擬態(tài)安全網(wǎng)關(guān)生效��;
步驟3:攻擊者向服務器發(fā)起請求或使用漏洞掃描工具進行嗅探或攻擊�����,HTTP請求經(jīng)過擬態(tài)安全網(wǎng)關(guān)�����;擬態(tài)安全網(wǎng)關(guān)獲取請求內(nèi)容��,將請求轉(zhuǎn)發(fā)給后方服務器���;后方服務器根據(jù)HTTP請求構(gòu)造響應內(nèi)容,包括響應包頭和包體�,發(fā)送給反向代理服務器�;
步驟4:反向代理服務器上的擬態(tài)安全網(wǎng)關(guān)獲取HTTP響應包內(nèi)容,完成Web服務器指紋信息擬態(tài)�����,該步驟通過以下子步驟來實現(xiàn):
(4.1)查看服務器配置文件,確定此次請求是否在Web服務器指紋擬態(tài)模塊作用域內(nèi)�,如果不在,跳到步驟5 ;
(4.2)如果此次請求在此模塊作用域內(nèi)�,比如HTTP作用域、SERVER作用域或者指定URI作用域���,則啟動Web服務器指紋擬態(tài)模塊�����,將此請求交由此模塊處理���;
(4.3)ffeb服務器指紋擬態(tài)模塊首先讀取配置文件中的配置項,即指定的指紋信息設置目標���、內(nèi)容和匹配模式�;然后檢索并處理HTTP響應包頭和包體��,完成服務器指紋擬態(tài)功能��,此步驟分為以下幾個子步驟:
(4.3.1)解析并存儲配置文件中的配置項��,包括指紋信息設置目標、設置內(nèi)容和匹配模式��;可能有多個配置項�����,依次存儲��;
(4.3.2)解析并存儲HTTP響應包頭中的信息��,包括HTTP協(xié)議版本����、服務器版本名稱、WEB容器版本名稱����、網(wǎng)站編程語言、開發(fā)框架�����、COOKIE���、SESS1N等字段���;
(4.3.3)依次循環(huán)處理配置文件中的指紋信息設置目標,此步驟包括以下幾個子步驟:
(4.3.3.1)依次循環(huán)校驗HTTP響應包頭中的指紋信息�����,如果與設置目標匹配��,按照配置文件中此設置項的設置方式處理�;此步驟包括以下幾個子步驟:
(4.3.3.1.1)如果指定模式為"set "模式,則將此目標項的屬性值設為配置文件中的設置目標值�;
(4.3.3.1.2)如果指定模式為"clear丨丨模式,則將此目標項的名稱和屬性值都刪除�����;(4.3.3.2)如果一直到循環(huán)結(jié)束也沒有找到與此目標項匹配的項��,則在HTTP相應包頭指紋信息中的最后添加此目標項�,值即設定為配置文件中的目標值;
(4.3.4)配置文件中所有服務器指紋信息擬態(tài)指令都解析執(zhí)行完畢后����,按照HTTP框架中的順序執(zhí)行將HTTP響應包頭和包體轉(zhuǎn)發(fā)給下一個HTTP過濾模塊;
步驟5:反向代理服務器上的擬態(tài)安全網(wǎng)關(guān)中的敏感信息擬態(tài)模塊獲取HTTP響應包內(nèi)容,完成Web服務器敏感信息擬態(tài)�,該步驟通過以下子步驟來實現(xiàn):
(5.1)查看服務器配置文件,確定此次請求是否在此模塊作用域內(nèi)���,如果不在�����,跳到步驟6 ;
(5.2)如果此次請求在此模塊作用域內(nèi)���,比如HTTP作用域、SERVER作用域或者指定URI作用域����,則啟動Web服務器敏感信息擬態(tài)模塊,將此請求交由此模塊處理���;
(5.3)ffeb服務器敏感擬態(tài)模塊首先讀取配置文件中的配置項���,即指定的敏感信息替換目標、替換內(nèi)容和匹配模式���;然后檢索并處理HTTP響應包頭和包體���,完成服務器敏感信息擬態(tài)功能�����;此步驟分為以下幾個子步驟:
(5.3.1)解析并存儲配置文件中的配置項,包括敏感信息替換目標��、替換內(nèi)容和匹配模式�;可能有多條配置項,依次存儲����;
(5.3.2)依次循環(huán)處理配置文件中的敏感信息替換目標,此步驟包括以下幾個子步驟:
(5.3.2.1)如果此配置項的匹配模式為普通字符串匹配模式����,則采用memmem字符串匹配方法查找HTTP響應包體中的敏感信息;如果與替換目標匹配����,則將目標子串替換為配置項中的替換子串;
(5.3.2.2)如果此配置項的匹配模式為正則表達式匹配模式���,則使用regex庫進行正則表示匹配替換�;如果與目標正則表達式匹配,則將查找到的子串替換為配置項中的替換子串�����;
(5.3.3)配置文件中所有服務器敏感信息信息擬態(tài)指令都解析執(zhí)行完畢后�,按照HTTP框架中的順序執(zhí)行將HTTP響應包頭和包體轉(zhuǎn)發(fā)給下一個HTTP過濾模塊;
步驟6:所有HTTP過濾模塊執(zhí)行完畢后���,將HTTP響應包頭和響應包體發(fā)送給用戶��,用戶收到的是經(jīng)過指紋信息擬態(tài)和敏感信息擬態(tài)模塊處理過的響應消息���,從而實現(xiàn)Web服務器指紋信息擬態(tài)和敏感信息擬態(tài),達到有效保護服務器信息的目的�����。
[0008]本發(fā)明的有益效果是:本發(fā)明方法在攻擊者掃描Web服務器指紋信息��、漏洞信息時實現(xiàn)返回信息擬態(tài)��,混淆攻擊者獲取的有效信息�。在攻擊者通過漏洞完成攻擊之后,也可以通過敏感信息擬態(tài)對攻擊者獲取的敏感信息進行擬態(tài)替換���,防止敏感信息泄露�。本發(fā)明與傳統(tǒng)Web安全網(wǎng)關(guān)相比,既可以在攻擊發(fā)生之前混淆攻擊者的視聽��,也可以在攻擊完成之后干擾敏感信息的獲取�,而且可靈活配置,面向正常用戶透明�����,具有良好的可擴展性����、可移植性���。
【附圖說明】
[0009]圖1是網(wǎng)絡拓撲結(jié)構(gòu)示意圖�。
[0010]圖2是擬態(tài)安全網(wǎng)關(guān)執(zhí)行流程圖�����。
【具體實施方式】
[0011]下面根據(jù)附圖詳細描述本發(fā)明�,本發(fā)明的目的和效果將變得更加明顯。
[0012]本發(fā)明一種基于WEB安全網(wǎng)關(guān)的服務器指紋擬態(tài)和敏感信息擬態(tài)方法���,包括以下步驟:
步驟1:在真正的Web服務器與用戶之間搭建一個反向代理服務器�,該反向代理服務器基于Nginx實現(xiàn)。在反向代理服務器上實現(xiàn)設置轉(zhuǎn)發(fā)和路由規(guī)則�����,之后用戶和Web服務器之間的消息傳遞都經(jīng)由反向代理服務器處理和轉(zhuǎn)發(fā)����,而對于用戶和服務器來說反向代理服務器是透明的;網(wǎng)絡拓撲圖如附圖1 ;
步驟2:在反向代理服務器上配置擬態(tài)安全網(wǎng)關(guān)模塊��,包括Web服務器指紋信息擬態(tài)模塊和敏感信息擬態(tài)模塊���;將模塊源文件和配置文件拷貝到反向代理服務器指定目錄中����,修改編譯安裝命令配置文件���,確定替換內(nèi)容�、方法和作用域(所有HTTP請求����、Web服務器響應請求或者指定URI等);完成編譯安裝��;擬態(tài)安全網(wǎng)關(guān)模塊添加完成之后����,重新啟動反向代理服務器�,讓擬態(tài)安全網(wǎng)關(guān)生效;
步驟3:攻擊者向服務器發(fā)起請求或使用漏洞掃描工具進行嗅探或攻擊�����,HTTP