專利名稱：網(wǎng)絡(luò)應(yīng)用層攻擊的檢測(cè)、過(guò)濾、阻斷和記錄的方法
技術(shù)領(lǐng)域：
本發(fā)明是關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)攻擊的檢測(cè)、防護(hù)方法，是一種針對(duì)網(wǎng)絡(luò)應(yīng)用層攻擊的入侵檢測(cè)、過(guò)濾、阻斷和記錄的方法。
背景技術(shù)：
計(jì)算機(jī)網(wǎng)絡(luò)分為七層1、物理層2、數(shù)據(jù)鏈路層3、網(wǎng)絡(luò)層4、傳輸層5、會(huì)話層6、表示層7、應(yīng)用層從1到7，由低到高，每層完成一定的功能，比如網(wǎng)絡(luò)層和傳輸層主要是完成數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸和傳輸過(guò)程中的控制，不關(guān)心高層數(shù)據(jù)的組成，不對(duì)高層數(shù)據(jù)進(jìn)行管理和控制。應(yīng)用層是網(wǎng)絡(luò)7層中的最高層，應(yīng)用層的攻擊數(shù)據(jù)在網(wǎng)絡(luò)層和傳輸層難于檢測(cè)和控制。
傳統(tǒng)的網(wǎng)絡(luò)防護(hù)方法和防火墻主要是針對(duì)網(wǎng)絡(luò)層和傳輸層的防護(hù)，這種防護(hù)方式對(duì)老式的黑客攻擊比較有效。
現(xiàn)在黑客的網(wǎng)絡(luò)攻擊手法正變得越來(lái)越狡猾，針對(duì)應(yīng)用層的攻擊往往能夠穿過(guò)網(wǎng)絡(luò)層防火墻，潛入到服務(wù)器的應(yīng)用層當(dāng)中，從而達(dá)到控制和破壞用戶網(wǎng)絡(luò)的目的。
用戶的數(shù)據(jù)由用戶所在的客戶端到服務(wù)器所在的服務(wù)端的網(wǎng)絡(luò)傳輸過(guò)程為先由客戶端把用戶的數(shù)據(jù)拆分成數(shù)據(jù)包，加上用于網(wǎng)絡(luò)傳輸和控制的包頭、包尾，然后交給網(wǎng)絡(luò)層向服務(wù)器端傳輸，數(shù)據(jù)在傳輸過(guò)程中完全由網(wǎng)絡(luò)層和傳輸層來(lái)控制，網(wǎng)絡(luò)層和傳輸層不管數(shù)據(jù)包里的具體內(nèi)容，只負(fù)責(zé)把數(shù)據(jù)傳輸?shù)侥康牡?服務(wù)端)。用戶端輸入的數(shù)據(jù)可能被分成了多個(gè)包，到達(dá)服務(wù)端的次序也可能先后不一樣，等到達(dá)服務(wù)端后，再按次序把包里的內(nèi)容組合成跟用戶輸入的數(shù)據(jù)一樣的應(yīng)用層數(shù)據(jù)交給應(yīng)用層。然后交由應(yīng)用服務(wù)器比如WEB服務(wù)器，F(xiàn)TP服務(wù)器等對(duì)用戶的請(qǐng)求進(jìn)行響應(yīng)并提供相應(yīng)服務(wù)。
傳統(tǒng)的網(wǎng)絡(luò)攻擊方式大多是端口掃描和制造拒絕服務(wù)攻擊等針對(duì)網(wǎng)絡(luò)層和傳輸層的攻擊，相應(yīng)的防火墻防護(hù)方式也主要是IP地址和協(xié)議端口過(guò)濾等方法。
近來(lái)，攻擊者的方法有向應(yīng)用層擴(kuò)展的趨勢(shì)，攻擊的數(shù)據(jù)在應(yīng)用層發(fā)起，拆分成數(shù)據(jù)包后同正常應(yīng)用數(shù)據(jù)組成的數(shù)據(jù)包對(duì)網(wǎng)絡(luò)層和傳輸層來(lái)講是沒(méi)辦法識(shí)別的，所以攻擊數(shù)據(jù)就得以突破網(wǎng)絡(luò)防火墻，到達(dá)服務(wù)器端，等組合成應(yīng)用層數(shù)據(jù)后對(duì)服務(wù)器產(chǎn)生了攻擊作用，執(zhí)行了攻擊者的命令，從而達(dá)到控制和破壞服務(wù)器的目的。
舉個(gè)形象的比喻如果把計(jì)算機(jī)網(wǎng)絡(luò)比做一座建筑，傳統(tǒng)的防火墻就是在企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間的一系列并列的門(mén)。每道門(mén)都有安檢人員對(duì)到達(dá)的包裹(數(shù)據(jù)包)進(jìn)行逐一檢查，但只是檢查包裹的外面，若發(fā)現(xiàn)包裹外沒(méi)有附著有害物便開(kāi)門(mén)放行。傳統(tǒng)攻擊者常用的伎倆就是通過(guò)端口掃描來(lái)檢查哪些門(mén)是敞開(kāi)不設(shè)防的，然后加以利用。晚些時(shí)候出現(xiàn)的具有狀態(tài)檢測(cè)功能的防火墻可以檢查哪些數(shù)據(jù)包是來(lái)自Internet對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的應(yīng)答。也就是說(shuō)，能夠鑒別那些不請(qǐng)自來(lái)的包裹。
但應(yīng)用層攻擊就要復(fù)雜得多，因?yàn)楣魯?shù)據(jù)包在絕大多數(shù)情況下是合法的數(shù)據(jù)包，不同的只是組合成應(yīng)用層數(shù)據(jù)后的內(nèi)容具有攻擊性。攻擊數(shù)據(jù)突破網(wǎng)絡(luò)層防火墻后，組合成應(yīng)用層攻擊命令，就可以利用目標(biāo)系統(tǒng)的漏洞執(zhí)行命令，獲得系統(tǒng)的控制權(quán)，然后以此為平臺(tái)開(kāi)始尋找周圍其他系統(tǒng)的漏洞或后門(mén)，進(jìn)而展開(kāi)攻擊。
現(xiàn)有的應(yīng)用服務(wù)器最常見(jiàn)的是WEB服務(wù)器(即用來(lái)做網(wǎng)站的WWW服務(wù)器)，其次還有FTP、MAIL等多種服務(wù)器。以下就以最常用的WEB服務(wù)器為例說(shuō)明應(yīng)用層攻擊的方法和可能導(dǎo)致的后果。
假設(shè)有一臺(tái)操作系統(tǒng)為WIN2000 Advanced Server，WEB服務(wù)器為IIS，數(shù)據(jù)庫(kù)服務(wù)器為SQL Server 2000的服務(wù)器，這是現(xiàn)有INTERNET上應(yīng)用最廣泛的WEB系統(tǒng)類型。該WEB服務(wù)為網(wǎng)上商城，其上有商品展示的服務(wù)頁(yè)面http//www.xxx.com/show.asp？id＝10通過(guò)在id＝10后加入；and db_name()＞0，可以得到WEB服務(wù)器連接的數(shù)據(jù)庫(kù)名，讓W(xué)EB服務(wù)器的報(bào)錯(cuò)信息把數(shù)據(jù)庫(kù)名暴露出來(lái)。
通過(guò)在id＝10后加入；and(Select Top 1 name from sysobjects where xtype＝’U’andstatus＞0)＞0，可得到數(shù)據(jù)庫(kù)里存儲(chǔ)的用戶創(chuàng)建的第一個(gè)表名，讓報(bào)錯(cuò)信息把表名暴露出來(lái)。在利用更進(jìn)一步的方法，可得到用戶創(chuàng)建的第二、第三……等所有表名。一般多數(shù)關(guān)鍵信息都存儲(chǔ)在諸如admin，user等類似表里。
知道了所有表名后，可以通過(guò)在id＝10后加入；and(Select Top 1col_name(object_id(’表名’)，1)from sysobjects)＞0，獲取表名對(duì)應(yīng)的字段名，用報(bào)錯(cuò)信息把字段名暴露出來(lái)。將object_id(’表名’)，后的1換成2，3，4…就可以逐個(gè)獲取所猜解表里面的所有字段名。一般多數(shù)關(guān)鍵信息存儲(chǔ)在諸如password，pwd，admin_pwd，user_pwd等類似的字段里。
經(jīng)過(guò)以上步驟，攻擊者就獲得了服務(wù)器上的數(shù)據(jù)庫(kù)名，關(guān)鍵表名，字段名等機(jī)密的信息，再下一步，攻擊者可通過(guò)進(jìn)一步的操作把關(guān)鍵字段(比如用戶名為admin的password)字段里的內(nèi)容暴露出來(lái)，這樣就獲得了用戶admin在服務(wù)器上的密碼。
攻擊者還可以通過(guò)backup database數(shù)據(jù)庫(kù)名to disk命令把關(guān)鍵數(shù)據(jù)庫(kù)備份到服務(wù)器的目錄下面，再通過(guò)http把整個(gè)數(shù)據(jù)庫(kù)下載到攻擊者本機(jī)，所有數(shù)據(jù)庫(kù)里的信息都暴露在攻擊者面前了。
攻擊者還可以通過(guò)在ID＝10后添加；exec master.dbo.sp_addlogin aaaa，bbbb；--以及；exec master.dbo.sp_addsrvrolemember aaaa，sysadmin；--來(lái)創(chuàng)建數(shù)據(jù)庫(kù)用戶aaaa(密碼bbbb)并把用戶添加到數(shù)據(jù)庫(kù)管理員組，這樣攻擊者就獲得了一個(gè)遠(yuǎn)程的shell，然后攻擊者就可以利用Sql Exec等遠(yuǎn)程數(shù)據(jù)庫(kù)控制工具進(jìn)行控制數(shù)據(jù)庫(kù)或執(zhí)行命令等操作。
更有甚者，攻擊者通過(guò)在ID＝10后添加；exec master.dbo.xp_cmdshell″net user 12345678/add″；一命令就直接在服務(wù)器的操作系統(tǒng)里添加了用戶名為1234，密碼為5678的用戶，然后通過(guò)在ID＝10后添加；exec master.dbo.xp_cmdshell″net localgroup administrators1234/add″；--命令把用戶1234加入到系統(tǒng)管理員組，這樣，用戶名1234，密碼5678的用戶就獲得了服務(wù)器的最高級(jí)別控制權(quán)限，攻擊者用1234登錄到該服務(wù)器就可以做他想做的任何操作了，包括竊取、篡改、毀壞服務(wù)器數(shù)據(jù)，更改網(wǎng)站主頁(yè)或利用該服務(wù)器對(duì)內(nèi)部網(wǎng)絡(luò)展開(kāi)進(jìn)一步攻擊等等。
以上的攻擊方法，都屬于應(yīng)用層攻擊，該種類型的攻擊在網(wǎng)絡(luò)層和傳輸層難于檢測(cè)和防護(hù)，比如例子中第一個(gè)暴露數(shù)據(jù)庫(kù)名的攻擊“；and db_name()＞0”，在網(wǎng)絡(luò)層傳輸時(shí)可能被分成了多個(gè)數(shù)據(jù)包，根本無(wú)法通過(guò)對(duì)單個(gè)數(shù)據(jù)包內(nèi)數(shù)據(jù)的檢測(cè)來(lái)防護(hù)。假設(shè)攻擊數(shù)據(jù)“；anddb_name()＞0”在傳輸時(shí)被分在了2個(gè)數(shù)據(jù)包里，前一個(gè)含“；and d”，后一個(gè)含“b_name()＞0”，就算在網(wǎng)絡(luò)層針對(duì)數(shù)據(jù)包里的“；and db_name()＞0”實(shí)行了過(guò)濾同樣可以正常通過(guò)，等到了服務(wù)器端，“；and d”，和“b_name()＞0”組合成“；and db_name()＞0”傳給應(yīng)用層交給WEB服務(wù)器處理時(shí)就恢復(fù)了其攻擊性，對(duì)服務(wù)器造成了攻擊。添加系統(tǒng)或數(shù)據(jù)庫(kù)用戶等其它應(yīng)用層攻擊方法同樣可以正常通過(guò)網(wǎng)絡(luò)層防火墻對(duì)服務(wù)器造成攻擊。這是應(yīng)用層攻擊區(qū)別于傳統(tǒng)攻擊的特點(diǎn)，也是傳統(tǒng)防護(hù)方法和防火墻難于檢測(cè)和防護(hù)應(yīng)用層攻擊的原因。

發(fā)明內(nèi)容
本發(fā)明的目的是要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)應(yīng)用層攻擊的檢測(cè)、過(guò)濾、阻斷和記錄。
為達(dá)到前述目的，本發(fā)明提供了一種通過(guò)特征碼對(duì)傳到服務(wù)器上的應(yīng)用層數(shù)據(jù)進(jìn)行檢測(cè)、過(guò)濾、阻斷和記錄的方法。
本發(fā)明的原理為工作在服務(wù)器端接收到客戶端數(shù)據(jù)，從網(wǎng)絡(luò)層組合成應(yīng)用層數(shù)據(jù)傳輸?shù)綉?yīng)用層以后，服務(wù)器端應(yīng)用服務(wù)器響應(yīng)客戶端請(qǐng)求之前。這時(shí)的數(shù)據(jù)為應(yīng)用層數(shù)據(jù)，即便是傳輸過(guò)程中攻擊數(shù)據(jù)被分成了多個(gè)數(shù)據(jù)包，這時(shí)也已經(jīng)恢復(fù)了其原貌，有了攻擊性，也有了攻擊的檢測(cè)特征。該發(fā)明的使用，改變了直接由應(yīng)用服務(wù)器響應(yīng)客戶端請(qǐng)求的服務(wù)模式為先由本發(fā)明檢測(cè)應(yīng)用層數(shù)據(jù)的合法性，再交由應(yīng)用服務(wù)器響應(yīng)的服務(wù)模式。
比如背景技術(shù)例子中暴露數(shù)據(jù)庫(kù)名的攻擊“；and db_name()＞0”，只要針對(duì)其攻擊的特征碼db_name()進(jìn)行檢測(cè)和過(guò)濾，就能保證應(yīng)用服務(wù)器不響應(yīng)和處理攻擊數(shù)據(jù)，攻擊者就無(wú)法通過(guò)這種攻擊獲得數(shù)據(jù)庫(kù)的名稱。同樣對(duì)暴露數(shù)據(jù)庫(kù)表名、字段名，添加系統(tǒng)或數(shù)據(jù)庫(kù)用戶等其它攻擊方法，也可以通過(guò)相應(yīng)的特征碼進(jìn)行檢測(cè)和防護(hù)。
為了實(shí)現(xiàn)本發(fā)明，需要在服務(wù)器或網(wǎng)絡(luò)上(內(nèi)部網(wǎng)、廣域網(wǎng)甚至INTERNET上都可以)存儲(chǔ)應(yīng)用層攻擊的特征碼，以便本發(fā)明檢測(cè)應(yīng)用層攻擊時(shí)取來(lái)同需要檢測(cè)的數(shù)據(jù)進(jìn)行對(duì)比。在服務(wù)器本機(jī)存儲(chǔ)特征碼有響應(yīng)速度快的優(yōu)點(diǎn)，但不能保證用最新的特征碼進(jìn)行檢驗(yàn)，有可能在受到新的攻擊方式攻擊時(shí)檢測(cè)不出來(lái)，在網(wǎng)絡(luò)上(特別是INTERNET上)存儲(chǔ)特征碼有隨時(shí)獲得最新防護(hù)的優(yōu)點(diǎn)，但每次檢測(cè)都到網(wǎng)上去取特征碼會(huì)導(dǎo)致響應(yīng)速度較慢。本發(fā)明采用了服務(wù)器本機(jī)存儲(chǔ)特征碼，檢測(cè)和防護(hù)時(shí)本機(jī)讀取特征碼，存儲(chǔ)的特征碼定時(shí)到INTERNET上更新的方法來(lái)保證響應(yīng)速度和對(duì)最新攻擊的防護(hù)能力。
另外對(duì)攻擊的記錄，同樣可以服務(wù)器本機(jī)存儲(chǔ)和網(wǎng)絡(luò)存儲(chǔ)攻擊記錄。本發(fā)明同樣采用了服務(wù)器本機(jī)記錄，定時(shí)通報(bào)到網(wǎng)絡(luò)上特定位置的方法來(lái)處理。記錄的內(nèi)容包括攻擊者IP地址，攻擊時(shí)間，攻擊特征等關(guān)鍵信息，以利于查找攻擊源或?yàn)橄乱徊教幚硖峁┲С帧?br> 對(duì)于攻擊數(shù)據(jù)的處理，首先要過(guò)濾和阻斷其到應(yīng)用服務(wù)器，不讓?xiě)?yīng)用服務(wù)器響應(yīng)和處理其數(shù)據(jù)。另外還可以把預(yù)定的信息反饋給攻擊者，比如警告信息，攻擊者的地址，攻擊時(shí)間，攻擊特征等，以求達(dá)到震懾攻擊者，使其不敢再次攻擊的目的。
對(duì)于經(jīng)檢測(cè)合法的客戶端數(shù)據(jù)，正常提交給應(yīng)用服務(wù)器，使應(yīng)用服務(wù)器正常給客戶提供服務(wù)。
對(duì)于應(yīng)用服務(wù)器返回給客戶端的數(shù)據(jù)，同樣先由本發(fā)明在服務(wù)器的應(yīng)用層接管返回?cái)?shù)據(jù)，根據(jù)特征碼檢測(cè)是否含有暴露給客戶端的機(jī)密信息，有則過(guò)濾和記錄，無(wú)則正常返回。


圖1傳統(tǒng)網(wǎng)絡(luò)攻擊和防護(hù)示意圖；圖2應(yīng)用層攻擊示意圖；圖3本發(fā)明工作原理圖。
具體實(shí)施例方式
本發(fā)明的具體實(shí)施方式
為1、在服務(wù)器上安裝程序，介入系統(tǒng)和應(yīng)用服務(wù)器深層。
例如對(duì)于最常用的微軟系列服務(wù)器版操作系統(tǒng)和微軟的WEB服務(wù)器IIS。
程序?yàn)镮IS FILTER或ISAPI FILTER類型程序，編譯成DLL，注冊(cè)進(jìn)操作系統(tǒng)，運(yùn)行于WEB服務(wù)器IIS的深層。
2、在服務(wù)器上按應(yīng)用服務(wù)器類型不同及通訊方向不同分別存儲(chǔ)相應(yīng)應(yīng)用服務(wù)的攻擊特征碼及返回機(jī)密信息的特征碼。
例如對(duì)于最常用的WEB服務(wù)器IIS，其攻擊特征碼為exec，master，xp_cmdshell，create，drop等以及它們的大小寫(xiě)組合變體；機(jī)密信息特征碼為dbo，varchar，OLE DB等。
3、先于應(yīng)用服務(wù)器響應(yīng)客戶端的請(qǐng)求，按特征碼檢測(cè)客戶端應(yīng)用層數(shù)據(jù)是否合法；也先于應(yīng)用服務(wù)器響應(yīng)信息返回客戶端前進(jìn)行動(dòng)作，檢測(cè)返回信息是否泄密。
例如對(duì)IIS，通過(guò)開(kāi)發(fā)IIS FILTER或ISAPI FILTER，編譯成DLL，先于IIS響應(yīng)客戶端的請(qǐng)求，F(xiàn)ILTER運(yùn)行于WEB服務(wù)器IIS的深層，在WEB服務(wù)器里，F(xiàn)ILTER的應(yīng)用機(jī)制就是在WEB服務(wù)器響應(yīng)客戶端請(qǐng)求之前進(jìn)行動(dòng)作，對(duì)用戶的數(shù)據(jù)進(jìn)行檢測(cè)。該FILTER只需按特征碼過(guò)濾含有exec，xp_cmdshell，sp_addlogin，db_name()等非法攻擊的請(qǐng)求即可，因處理直接，明確，再加之工作于系統(tǒng)深層，所以能很好的保證響應(yīng)的效率。過(guò)濾過(guò)的合法請(qǐng)求正常通行，非法請(qǐng)求提交給相應(yīng)處理程序處理。
4、對(duì)于非法攻擊或?qū)е路?wù)器返回機(jī)密信息的請(qǐng)求，轉(zhuǎn)向到處理程序進(jìn)行處理，處理程序完成攻擊信息的記錄，返回給用戶相應(yīng)的提示信息，并向系統(tǒng)管理者報(bào)警。
5、正常的請(qǐng)求和返回在通過(guò)檢測(cè)后提交應(yīng)用服務(wù)器處理和響應(yīng)，正常給用戶提供服務(wù)。
權(quán)利要求
1.一種網(wǎng)絡(luò)應(yīng)用層攻擊的檢測(cè)、過(guò)濾、阻斷和記錄的方法，其特征在于，該方法包括以下步驟(1)在網(wǎng)絡(luò)應(yīng)用服務(wù)器響應(yīng)客戶端請(qǐng)求之前接管同客戶端的通訊；(2)從特定的位置或文件中讀取非法攻擊和服務(wù)器機(jī)密信息的特征碼；(3)根據(jù)(2)步驟取到的特征碼檢測(cè)客戶端到服務(wù)器端應(yīng)用層數(shù)據(jù)的合法性；(4)對(duì)客戶端的非法攻擊進(jìn)行阻斷和記錄；(5)通過(guò)檢測(cè)的客戶端到服務(wù)器端合法通訊正常傳輸給應(yīng)用服務(wù)器；(6)服務(wù)器響應(yīng)客戶端合法請(qǐng)求，提供服務(wù)；(7)根據(jù)特征碼檢測(cè)服務(wù)器端返回客戶端數(shù)據(jù)的合法性，對(duì)服務(wù)器端機(jī)密信息的返回進(jìn)行阻斷和記錄；(8)對(duì)不合法客戶端數(shù)據(jù)或服務(wù)器端返回信息給用戶或服務(wù)器管理者提示。
2.一種網(wǎng)絡(luò)應(yīng)用層攻擊的檢測(cè)、過(guò)濾、阻斷和記錄的方法，其特征在于，建立在應(yīng)用層上，是對(duì)客戶端數(shù)據(jù)傳輸?shù)椒?wù)器端，由網(wǎng)絡(luò)及傳輸層數(shù)據(jù)組合成應(yīng)用層數(shù)據(jù)后再進(jìn)行的檢測(cè)和防護(hù)方法，能防護(hù)網(wǎng)絡(luò)層、傳輸層不能檢測(cè)的攻擊。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)應(yīng)用層攻擊的檢測(cè)、過(guò)濾、阻斷和記錄的方法，其特征在于，為實(shí)現(xiàn)權(quán)利要求1中第(1)步，在網(wǎng)絡(luò)應(yīng)用服務(wù)器處理客戶端發(fā)來(lái)的應(yīng)用層數(shù)據(jù)之前，先由該方法檢測(cè)客戶端數(shù)據(jù)，改變?cè)杏煞?wù)器直接響應(yīng)客戶端請(qǐng)求的模式為通過(guò)該技術(shù)檢測(cè)再由應(yīng)用服務(wù)器響應(yīng)的應(yīng)用模式。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)應(yīng)用層攻擊的檢測(cè)、過(guò)濾、阻斷和記錄的方法，其特征在于，為實(shí)現(xiàn)權(quán)利要求1中第(2)步，在服務(wù)器上某文件或網(wǎng)絡(luò)上某處存儲(chǔ)非法攻擊和服務(wù)器返回機(jī)密信息的特征碼。
5.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)應(yīng)用層攻擊的檢測(cè)、過(guò)濾、阻斷和記錄的方法，其特征在于，權(quán)利要求1中第(2)步的特征碼包括exec，master，xp_，sp_，dbo，cmdshell，addlogin，db_name()，OLE DB，varchar，net user，net localgroup，/add，@，..，union，+，//，；，0x，_，and，insert，drop，from，select，delete，update，count，％，chr，mid，truncate，char，declare，’，”；特征碼還包括以上英文字符型特征碼的大小寫(xiě)變化。
6.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)應(yīng)用層攻擊的檢測(cè)、過(guò)濾、阻斷和記錄的方法，其特征在于，根據(jù)權(quán)利要求1中第(2)步的特征碼檢測(cè)客戶端到服務(wù)器端應(yīng)用層數(shù)據(jù)的合法性，并根據(jù)檢測(cè)結(jié)果對(duì)客戶端的非法攻擊進(jìn)行阻斷和記錄。
7.根據(jù)權(quán)利要求1所述網(wǎng)絡(luò)應(yīng)用層攻擊的檢測(cè)、過(guò)濾、阻斷和記錄的方法，其特征在于，不專門(mén)針對(duì)WEB攻擊這一種類型的攻擊，加入不同類型的特征碼就能對(duì)不同類型的應(yīng)用層攻擊有防護(hù)效果。
8.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)應(yīng)用層攻擊的檢測(cè)、過(guò)濾、阻斷和記錄的方法，其特征在于，為實(shí)現(xiàn)權(quán)利要求1中第(7)步，根據(jù)特征碼檢測(cè)和處理由服務(wù)器端到客戶端的返回信息，改變?cè)杏煞?wù)器直接向客戶端返回信息的模式為通過(guò)該技術(shù)檢測(cè)再由服務(wù)器把信息返回給客戶端的應(yīng)用模式。
9.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)應(yīng)用層攻擊的檢測(cè)、過(guò)濾、阻斷和記錄的方法，其特征在于，可在服務(wù)器或網(wǎng)絡(luò)某處記錄請(qǐng)求服務(wù)器返回機(jī)密信息的請(qǐng)求或非法攻擊的地址、時(shí)間、攻擊特征等信息，同時(shí)可給攻擊者和服務(wù)器管理者顯示預(yù)定的提示。
10.一種網(wǎng)絡(luò)應(yīng)用層攻擊的檢測(cè)、過(guò)濾、阻斷和記錄的方法，其特征在于，對(duì)由客戶端請(qǐng)求發(fā)起的調(diào)用數(shù)據(jù)庫(kù)或其它的服務(wù)要求根據(jù)特征碼進(jìn)行檢測(cè)和防護(hù)，拒絕非授權(quán)數(shù)據(jù)庫(kù)訪問(wèn)和命令執(zhí)行。
全文摘要
一種對(duì)網(wǎng)絡(luò)應(yīng)用層攻擊的檢測(cè)、過(guò)濾、阻斷和記錄的方法，該方法通過(guò)在服務(wù)器上添加模塊來(lái)檢測(cè)和阻止攻擊，同時(shí)檢測(cè)和過(guò)濾服務(wù)器返回的機(jī)密信息。該方法包括以下步驟(1)在應(yīng)用服務(wù)器響應(yīng)客戶端請(qǐng)求之前接管同客戶端的通訊；(2)從特定的位置或文件中讀取非法攻擊和服務(wù)器機(jī)密信息的特征碼；(3)根據(jù)特征碼檢測(cè)客戶端到服務(wù)器端應(yīng)用層數(shù)據(jù)的合法性；(4)對(duì)客戶端的非法攻擊進(jìn)行阻斷和記錄；(5)通過(guò)檢測(cè)的客戶端到服務(wù)器端合法通訊正常傳輸給應(yīng)用服務(wù)器；(6)服務(wù)器只響應(yīng)客戶端合法請(qǐng)求，提供服務(wù)；(7)根據(jù)特征碼檢測(cè)和處理服務(wù)器端返回客戶端的數(shù)據(jù)；(8)對(duì)不合法客戶端數(shù)據(jù)或服務(wù)器端返回信息給用戶和服務(wù)器管理者提示。
文檔編號(hào)H04L29/06GK1649346SQ20051005568
公開(kāi)日2005年8月3日 申請(qǐng)日期2005年3月23日 優(yōu)先權(quán)日2005年3月23日
發(fā)明者李冬巖 申請(qǐng)人:李冬巖