專利名稱：網(wǎng)絡(luò)應(yīng)用攻擊的檢測(cè)方法
技術(shù)領(lǐng)域：
本發(fā)明總體涉及一種網(wǎng)絡(luò)應(yīng)用攻擊的檢測(cè)方法。
背景技術(shù)：
傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用防火墻(以下簡(jiǎn)稱WAF)基于檢測(cè)OSI 7層模型(根據(jù)開(kāi)放系統(tǒng)互聯(lián)(OSI)模型的網(wǎng)絡(luò)劃分原則)中第4層上的攻擊的入侵檢測(cè)系統(tǒng)(IDS)或入侵保護(hù)系統(tǒng)(IPS)，對(duì)7層模型中的最高層(即第7層)上發(fā)生的攻擊進(jìn)行防衛(wèi)，這給防御攻擊帶來(lái)限制。圖1是說(shuō)明傳統(tǒng)的OSI 7層模型的圖。如圖1所示，OSI 7層模型被用來(lái)劃分計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)模型中的協(xié)議和方法，包括應(yīng)用層、表示層、會(huì)話層、運(yùn)輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層和物理層。網(wǎng)絡(luò)應(yīng)用防火墻(WAF)在第7層上檢測(cè)和防衛(wèi)攻擊的原因如下。首先，通常用來(lái)檢測(cè)攻擊的入侵檢測(cè)系統(tǒng)(IDS)或者入侵防護(hù)系統(tǒng)(IPS)等系統(tǒng)針對(duì)數(shù)據(jù)包分析試圖擴(kuò)展網(wǎng)絡(luò)防火墻的功能，該網(wǎng)絡(luò)防火墻的功能僅能阻止特定網(wǎng)際協(xié)議 (IP)地址的特定端口，而網(wǎng)絡(luò)防火墻檢測(cè)到攻擊的地點(diǎn)是在第4層。其次，有意義的最小數(shù)據(jù)單元，即數(shù)據(jù)包，而不是無(wú)意義的電子信號(hào)，在0SI7層模型中首先出現(xiàn)在第4層，所以在最初數(shù)據(jù)單元建立的第4層，判斷并阻止攻擊。S卩，智能網(wǎng)絡(luò)防火墻只有能夠在第7層同時(shí)進(jìn)行網(wǎng)絡(luò)信息分析，以檢測(cè)和防護(hù)應(yīng)用層(第7層L7)的攻擊時(shí)，才能夠使誤報(bào)或漏報(bào)最少，而根據(jù)現(xiàn)有技術(shù)，通過(guò)檢測(cè)第4層來(lái)檢測(cè)第7層上的攻擊，因而常規(guī)的檢測(cè)和防護(hù)方法無(wú)法完成任務(wù)。特別地，第4層上有數(shù)據(jù)單元形式的數(shù)據(jù)包，基于傳統(tǒng)的入侵檢測(cè)系統(tǒng)(1此)和入侵防護(hù)系統(tǒng)(IPS)的第一代和第二代網(wǎng)絡(luò)應(yīng)用防火墻(WAF)，通過(guò)對(duì)數(shù)據(jù)包中的單元進(jìn)行模式匹配，來(lái)判斷相應(yīng)的網(wǎng)絡(luò)信息中是否存在攻擊。也就是說(shuō)，傳統(tǒng)的第一代、第二代網(wǎng)絡(luò)應(yīng)用防火墻(WAF)通過(guò)檢測(cè)相應(yīng)的數(shù)據(jù)包是否與由管理器事先記錄的一般5000個(gè)攻擊模式(一般表示為Regx)的數(shù)據(jù)包相對(duì)應(yīng)，來(lái)判斷究竟是正常的數(shù)據(jù)包，還是攻擊數(shù)據(jù)包。而最新研發(fā)的網(wǎng)絡(luò)應(yīng)用防火墻(WAF)采用了深度包檢測(cè)(DPI)方法，它不像傳統(tǒng)的方法那樣只檢測(cè)數(shù)據(jù)包的包頭來(lái)判斷是否存在攻擊，而還要檢測(cè)數(shù)據(jù)包的凈負(fù)荷部分。 然而這不是一種真正的應(yīng)用層上的防護(hù)方法，而只是根據(jù)相關(guān)技術(shù)在第4層檢測(cè)的高級(jí)方法。另外，傳統(tǒng)的在第4層實(shí)施的攻擊檢測(cè)方法，用來(lái)檢測(cè)應(yīng)用層(第7層)發(fā)生的攻擊，有以下4個(gè)局限性。第一，一旦攻擊模式發(fā)生變化，就需要添加新的攻擊模式。第二，由于處理速度的需求，能夠登記的攻擊模式數(shù)量有一定限制(最大數(shù)量為 10000)，需要定期對(duì)以前登記的攻擊模式予以刪除。第三，基于第4層數(shù)據(jù)包模式匹配的傳統(tǒng)網(wǎng)絡(luò)應(yīng)用防火墻(WAF)，很難從技術(shù)上對(duì)攻擊數(shù)據(jù)包進(jìn)行調(diào)整(例如刪除個(gè)人信息的指定部分，例如對(duì)HTML標(biāo)簽進(jìn)行調(diào)整、刪除
原因如下。數(shù)據(jù)包的調(diào)整會(huì)引起數(shù)據(jù)包大小的改變。對(duì)于第一代、第二代網(wǎng)絡(luò)應(yīng)用防火墻(WAF)，對(duì)數(shù)據(jù)包包頭中數(shù)據(jù)包尺寸的變更進(jìn)行再注冊(cè)需要很多操作，會(huì)增加處理時(shí)間，這使其很難適應(yīng)網(wǎng)絡(luò)服務(wù)的實(shí)際環(huán)境。第四，由于傳統(tǒng)方法不是通過(guò)檢測(cè)整個(gè)的HTTP信息而是部分的HTTP信息來(lái)判斷攻擊，因此在語(yǔ)義上會(huì)出現(xiàn)錯(cuò)誤，例如將一個(gè)非攻擊型數(shù)據(jù)包判斷成攻擊數(shù)據(jù)包等。

發(fā)明內(nèi)容
因此，考慮到上述相關(guān)技術(shù)中存在的問(wèn)題提出了本發(fā)明，本發(fā)明旨在提出一種網(wǎng)絡(luò)應(yīng)用攻擊的檢測(cè)方法，在該方法中，僅從所接收到的HTTP信息中分離出凈負(fù)荷，將HTTP 信息重新組合，然后利用分析器對(duì)組合后的HTTP信息進(jìn)行分析，以判斷組合后的HTTP信息是否包含與攻擊相關(guān)的內(nèi)容。為了達(dá)到上述目的，依照本發(fā)明的一個(gè)方面，提出了一種網(wǎng)絡(luò)應(yīng)用攻擊的檢測(cè)方法，該方法包括以下步驟當(dāng)接收到構(gòu)成HTTP信息的數(shù)據(jù)包時(shí)，網(wǎng)絡(luò)應(yīng)用防火墻將該HTTP 信息重新組合；分析組合后的HTTP信息并判斷組合后的HTTP信息是否包括與攻擊相關(guān)的內(nèi)容；如果組合后的HTTP信息不包括與攻擊相關(guān)的內(nèi)容，就將組合后的HTTP信息發(fā)送給 web服務(wù)器或用戶服務(wù)器，正常處理組合后的HTTP信息；如果組合后的HTTP信息包括與攻擊相關(guān)的內(nèi)容，則將組合后的HTTP信息檢測(cè)為攻擊，對(duì)其進(jìn)行重新處理。如前所述，依據(jù)本發(fā)明，只是從接收到的HTTP信息的數(shù)據(jù)包中分離出凈負(fù)荷，重新組合該HTTP信息，利用分析器分析組合后的HTTP信息的內(nèi)容，以確定組合后的HTTP信息是否包括與攻擊相關(guān)的內(nèi)容，由此減少了誤報(bào)率。


結(jié)合附圖，根據(jù)以下詳細(xì)說(shuō)明，能夠更清楚地了解本發(fā)明的上述以及其它目的、特點(diǎn)和優(yōu)勢(shì)，在附圖中圖1表示通用的OSI 7層模型；圖2表示采用本發(fā)明的通信系統(tǒng)的配置；圖3表示實(shí)施例的網(wǎng)絡(luò)應(yīng)用攻擊的檢測(cè)方法的示例步驟的流程圖；圖4是說(shuō)明本發(fā)明方法所采用的組合后的HTTP信息的意義的圖；圖5A至圖5D是說(shuō)明本發(fā)明所采用的SQL分析器的功能的圖。
具體實(shí)施例方式下面詳細(xì)說(shuō)明本發(fā)明的優(yōu)選實(shí)施例，附圖示出了本發(fā)明的示例。在所有附圖和說(shuō)明中，盡量采用相同的附圖標(biāo)記表示相同或相似的部分。圖2表示應(yīng)用本發(fā)明的通信系統(tǒng)的配置。如圖2所示，該通信系統(tǒng)包括web服務(wù)器20，其管理站點(diǎn)以向用戶提供各種服務(wù)； 用戶服務(wù)器30，其與web服務(wù)器通信，從web服務(wù)器接收各種信息并向其發(fā)送各種信息；網(wǎng)絡(luò)應(yīng)用防火墻(WAF) 10，其將web服務(wù)器和用戶服務(wù)器通過(guò)網(wǎng)絡(luò)聯(lián)結(jié)起來(lái)，檢測(cè)來(lái)自用戶服務(wù)器的攻擊以保護(hù)web服務(wù)器的功能。
這里，用戶服務(wù)器可以是個(gè)人電腦(PC)，或者是通過(guò)網(wǎng)絡(luò)與多個(gè)個(gè)人電腦通信的服務(wù)器。同時(shí)，網(wǎng)絡(luò)應(yīng)用防火墻(WAF) 10采用網(wǎng)絡(luò)應(yīng)用攻擊檢測(cè)方法來(lái)防護(hù)web服務(wù)器不受外部攻擊，如圖2所示，WAF 10包括XML分析器11、JavaScript分析器12和SQL分析器 13。換言之，在網(wǎng)絡(luò)應(yīng)用攻擊的檢測(cè)方法中，網(wǎng)絡(luò)應(yīng)用防火墻(WAF)僅僅收集接收到的HTTP信息中的凈負(fù)荷部分，去掉數(shù)據(jù)包的包頭部分，將HTTP信息重新組合，然后對(duì)組合后的HTTP信息進(jìn)行語(yǔ)義分析，檢測(cè)是否存在攻擊。該方法有如下優(yōu)勢(shì)。第一，即使攻擊模式變化，也不需要注冊(cè)新的攻擊模式。第二，由于不存在存儲(chǔ)模式的概念，也就不需要?jiǎng)h除現(xiàn)有的攻擊模式。第三，攻擊的存在與否是通過(guò)檢測(cè)整個(gè)的HTTP信息確定的，如果確定出現(xiàn)了攻擊，則可以對(duì)重新組合的HTTP信息進(jìn)行調(diào)整，之后發(fā)送。即，例如可以刪除社會(huì)安全號(hào)碼以及修改HTML和JavaScript標(biāo)簽。第四，由于攻擊存在與否是通過(guò)對(duì)整個(gè)的組合后的HTTP信息進(jìn)行語(yǔ)義分析后確定的，而不是僅僅檢測(cè)數(shù)據(jù)包，因此可以大幅降低誤報(bào)率。圖3是根據(jù)實(shí)施例的網(wǎng)絡(luò)應(yīng)用攻擊的檢測(cè)方法的示例步驟的流程圖。圖4是說(shuō)明本發(fā)明方法所采用的重新組合的HTTP信息的意義的圖，圖5A至圖5D是說(shuō)明本發(fā)明所采用的SQL分析器的功能的圖。第一步中，在與外部服務(wù)器進(jìn)行網(wǎng)絡(luò)通信的過(guò)程中，當(dāng)接收到組成HTTP信息的數(shù)據(jù)包時(shí)，網(wǎng)絡(luò)應(yīng)用防火墻(WAF)將數(shù)據(jù)包順序排列，去除相應(yīng)數(shù)據(jù)包的包頭部分，僅剩下相應(yīng)數(shù)據(jù)包的凈負(fù)荷部分，然后利用凈負(fù)荷部分重新組合HTTP信息(502)。這里，HTTP信息的重組意味著通過(guò)對(duì)數(shù)據(jù)包的頭部進(jìn)行分析以及將數(shù)據(jù)包順序排列，而只收集凈負(fù)荷部分。換言之，如圖4所示，重新組合意味著，相應(yīng)的數(shù)據(jù)包依據(jù)其順序進(jìn)行排列，只組合數(shù)據(jù)包40中的凈負(fù)荷部分42。S卩，如圖4所示，構(gòu)成HTTP信息的數(shù)據(jù)包40，每個(gè)數(shù)據(jù)包都包含包頭部分41和凈負(fù)荷部分42，根據(jù)本發(fā)明，僅從數(shù)據(jù)包中分離出凈負(fù)荷部分，利用該凈負(fù)荷部分重新組合HTTP信息。具體地，當(dāng)HTTP信息到達(dá)目標(biāo)計(jì)算機(jī)(或者服務(wù)器)時(shí)，其數(shù)據(jù)在到達(dá)下一層時(shí)被進(jìn)一步分解為子數(shù)據(jù)單元，例如第7層(L7)—第6層一第5層一第4 層一第3層一第2層一第1層。第4層的數(shù)據(jù)單元是數(shù)據(jù)包。此處，在數(shù)據(jù)包中，包頭部分 (簡(jiǎn)稱“包頭”)包括諸如包序列等信息，凈負(fù)荷部分(也簡(jiǎn)稱為“凈負(fù)荷”)包括如網(wǎng)絡(luò)上所傳輸信息的源和目標(biāo)部分等實(shí)際的數(shù)據(jù)。本發(fā)明僅重新組合相應(yīng)數(shù)據(jù)包的凈負(fù)荷部分。亦即，網(wǎng)絡(luò)應(yīng)用防火墻(WAF)設(shè)置為用于防衛(wèi)對(duì)管理網(wǎng)站的web服務(wù)器的攻擊，配置網(wǎng)站的基本元素通常是XML、JavMcript和SQL，所以應(yīng)用本發(fā)明方法的WAF可包括三種分析器，即XML分析器、JavaScript分析器和SQL分析器。根據(jù)網(wǎng)站標(biāo)準(zhǔn)的變化，分析器的種類會(huì)不同。這里，XML是DHTML和HTML語(yǔ)言的高級(jí)形式，是一種標(biāo)記語(yǔ)言，能夠保證基于標(biāo)簽的文檔的完整性和上/下位關(guān)系。XML分析器針對(duì)組合后的HTTP信息檢查標(biāo)簽的開(kāi)始點(diǎn)和結(jié)束點(diǎn)，以確認(rèn)XML語(yǔ)法的完整性和上/下位關(guān)系，XML分析器用于判斷組合后的HTTP信息是否包含與攻擊相關(guān)的內(nèi)容。JavaScript分析器用來(lái)分析JavaScript，后者是一種計(jì)算機(jī)編程語(yǔ)言(C、Java,Phyton等)，并將程序轉(zhuǎn)換為二進(jìn)制數(shù)，即轉(zhuǎn)換為計(jì)算機(jī)可讀的格式。JavMcript分析器應(yīng)用了 ECMAkript語(yǔ)言標(biāo)準(zhǔn)，如果某些語(yǔ)法與標(biāo)準(zhǔn)相矛盾，那么計(jì)算機(jī)就無(wú)法讀取相應(yīng)的 Jav必cript語(yǔ)法，由此就會(huì)出現(xiàn)錯(cuò)誤。傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用防火墻(WAF)應(yīng)用Jav必cript通過(guò)檢查表示JavMcript語(yǔ)法結(jié)構(gòu)開(kāi)始的 < 腳本 > 標(biāo)簽的存在來(lái)判斷攻擊性語(yǔ)法的存在，并不分析JavMcript的語(yǔ)法。但是根據(jù)本發(fā)明，需要確定，應(yīng)用EMCA-262標(biāo)準(zhǔn)JavMcript分析器(解碼器)，相應(yīng)的JavMcript語(yǔ)法是否為有效。更進(jìn)一步，在傳統(tǒng)的情況下，在第4 層，由于不能檢查整個(gè)JavMcript的HTTP信息，所以沒(méi)有辦法檢查JavMcript語(yǔ)法的有效性。然而，本發(fā)明卻能夠如上所述，通過(guò)將HTTP信息重組、應(yīng)用Jav必cript分析器分析重組后的HTTP信息來(lái)實(shí)現(xiàn)這一功能。換言之，JavaScript分析器檢查遵循EMCA-262標(biāo)準(zhǔn)的Javakript語(yǔ)法，以判斷Javakript的語(yǔ)法是否有效。通過(guò)將組合后的HTTP信息分解為最小單元，并檢查分解后的單元是否屬于SQL語(yǔ)法中的一部分，SQL分析器能夠確定HTTP信息中是否包含攻擊性語(yǔ)法。下面參照?qǐng)D5A至圖5D來(lái)說(shuō)明SQL分析器的功能。在使用SQL分析器來(lái)進(jìn)行攻擊檢測(cè)的例子中，SQL注入攻擊語(yǔ)法是(名稱=“penta”或者名稱=“security”)與關(guān)鍵詞=“pentasec”，如圖5A所示，SQL分析器將SQL注入攻擊語(yǔ)法分解為SQL標(biāo)準(zhǔn)的最小單元，并檢查每個(gè)最小單元是否存在攻擊。這里，如果最小單元屬于SQL指令的一部分，則相應(yīng)的整個(gè)結(jié)構(gòu)被認(rèn)為是SQL語(yǔ)法。相反，傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用防火墻(WAF)使用事先注冊(cè)各種模式(簽名)的方法，如圖5B所示，例如，SQL注入攻擊語(yǔ)法從‘a(chǎn)’ = ‘a(chǎn)’變成‘b’ = ‘b’，則這種情況無(wú)法被保護(hù)，因而出現(xiàn)問(wèn)題。更進(jìn)一步，在使用上述方法的傳統(tǒng)網(wǎng)絡(luò)應(yīng)用防火墻(WAF)已經(jīng)注冊(cè)了如圖5C所示模式(簽名)的情況下，如果由用戶發(fā)送給服務(wù)器的請(qǐng)求HTTP信息包含了諸如"'"haVing a goodtime…==…”等語(yǔ)法，那么因?yàn)樵趩卧~“having”之后存在“==”標(biāo)志，傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用防火墻(WAF)將會(huì)認(rèn)為它是SQL注入攻擊語(yǔ)法，這會(huì)帶來(lái)誤報(bào)的問(wèn)題。亦即，XML分析器通過(guò)對(duì)組合后的HTTP信息進(jìn)行分析來(lái)檢測(cè)攻擊，而SQL分析器則是將攻擊語(yǔ)法分解成最小單元，并檢測(cè)最小單元是否屬于SQL的一部分，來(lái)檢測(cè)攻擊。第四，如果判斷結(jié)果(506)顯示不包含與攻擊相關(guān)的內(nèi)容，那么網(wǎng)絡(luò)應(yīng)用防火墻 (WAF)將組合后的HTTP信息發(fā)給web服務(wù)器，或者通過(guò)網(wǎng)絡(luò)發(fā)給用戶服務(wù)器，這樣組合后的 HTTP信息得到正常的處理(508)。第五，如果判斷結(jié)果(506)顯示包含與攻擊相關(guān)的內(nèi)容，則網(wǎng)絡(luò)應(yīng)用防火墻(WAF) 判定組合后的HTTP信息或者組合后的HTTP信息所含的數(shù)據(jù)包是異常的，將組合后的HTTP 信息檢測(cè)為攻擊，并對(duì)異常的組合HTTP信息進(jìn)行重新處理(510)。這里，異常的組合HTTP 信息的重新處理可以采用兩種方法。第一種，要求發(fā)送異常數(shù)據(jù)包的web服務(wù)器或用戶服務(wù)器重新發(fā)送與異常數(shù)據(jù)包相對(duì)應(yīng)的數(shù)據(jù)包，或者將數(shù)據(jù)包刪除。第二種，修改異常數(shù)據(jù)包，然后傳輸。下文中，對(duì)第二種方法還有更詳細(xì)的說(shuō)明。具體講，在正常信息的情況下，用戶希望(請(qǐng)求)利用用戶服務(wù)器30向網(wǎng)絡(luò)上的 web服務(wù)器20發(fā)送數(shù)據(jù)，該數(shù)據(jù)包含了被懷疑成攻擊的語(yǔ)法(例如 < 腳本 >)，即使用戶并不是想進(jìn)行攻擊，傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用防火墻(WAF)依然將其判定為攻擊，并阻止用戶請(qǐng)求。但是，在這種情況下，本發(fā)明的網(wǎng)絡(luò)應(yīng)用防火墻(WAF)會(huì)把“〈腳本〉”標(biāo)簽改變?yōu)槔纭癧腳本]”，則不再是攻擊型語(yǔ)法，由此防止了對(duì)用戶正常操作的誤報(bào)。更進(jìn)一步，對(duì)由web服務(wù)器20傳給用戶服務(wù)器30的響應(yīng)信息包含有個(gè)人信息的情況，如果只是由于包含了簡(jiǎn)單的個(gè)人信息而阻止網(wǎng)頁(yè)，則用戶也無(wú)法看到不包含個(gè)人信息的其他信息。對(duì)此，本發(fā)明的網(wǎng)絡(luò)應(yīng)用防火墻(WAF) 10僅將包含個(gè)人信息的部分加以掩飾(例如，76****-11*****)，這樣，與個(gè)人信息無(wú)關(guān)的其他信息就可以正常傳遞(反饋)給用戶了。由此，本發(fā)明不僅能檢測(cè)到從外部傳來(lái)的網(wǎng)絡(luò)信息所含的攻擊，還能通過(guò)對(duì)網(wǎng)絡(luò)信息的調(diào)整(掩飾)防止如社會(huì)安全號(hào)、信用卡號(hào)、地址、郵箱帳戶、公司驗(yàn)證號(hào)、雇主的身份識(shí)別號(hào)等個(gè)人信息的泄露。至此，根據(jù)本發(fā)明，網(wǎng)絡(luò)應(yīng)用防火墻(WAF)將組合后的網(wǎng)絡(luò)信息 (HTTP信息)所含的消息中與個(gè)人信息相關(guān)的消息的一部分調(diào)整為外部源程序無(wú)法讀取的消息。此外，組合后的HTTP信息的意義在于分析數(shù)據(jù)包的包頭部分，數(shù)據(jù)包被按順序排列，這表示最初要在第7層傳輸?shù)脑夹畔⒌臓顟B(tài)得到恢復(fù)。因此，網(wǎng)絡(luò)應(yīng)用防火墻(WAF)的至少一個(gè)分析器分析組合后的HTTP信息的內(nèi)容， 以判斷是否存在攻擊性語(yǔ)法，如果數(shù)據(jù)包包含攻擊性語(yǔ)法等，并被判定為異常，則發(fā)送數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)器將會(huì)被要求重新發(fā)送相應(yīng)的包，而網(wǎng)絡(luò)應(yīng)用防火墻(WAF)重復(fù)接收相應(yīng)數(shù)據(jù)包的步驟，如上所述去掉數(shù)據(jù)包的包頭部分，重組HTTP信息(50 ，或者僅對(duì)相應(yīng)數(shù)據(jù)包中與攻擊相關(guān)的內(nèi)容進(jìn)行刪除或調(diào)整，然后發(fā)送調(diào)整后的數(shù)據(jù)包。下面，參照表格1和2說(shuō)明兩個(gè)相關(guān)的示例。[第一示例使用分析器的語(yǔ)義檢測(cè)引擎]表 1跨站式腳本(XSS)攻擊語(yǔ)法〈腳本類型=“文本/JavaScript”〉警報(bào)(“penta”)； 〈腳本〉在本例中，DHTML (XML)分析器將標(biāo)簽起點(diǎn)<tag>和標(biāo)簽終點(diǎn)</tag>作為一個(gè)標(biāo)簽來(lái)分析該標(biāo)簽的屬性和功能。亦即，傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用防火墻(WAF)通常把〈腳本〉標(biāo)簽判斷為攻擊，于是將相應(yīng)的數(shù)據(jù)包作為攻擊數(shù)據(jù)包，而本發(fā)明的網(wǎng)絡(luò)應(yīng)用防火墻(WAF)分析由整個(gè)HTTP信息重組所得的DTHML語(yǔ)法，所以即使檢測(cè)到了〈腳本〉標(biāo)簽，該網(wǎng)絡(luò)應(yīng)用防火墻(WAF)也不會(huì)將該信息當(dāng)作攻擊處理，而僅當(dāng)重組后的HTTP信息為攻擊語(yǔ)法，則該網(wǎng)絡(luò)應(yīng)用防火墻(WAF)才將該信息作為攻擊處理。這極大地降低了攻擊誤報(bào)率。此外，對(duì)表1的情況，根據(jù)本發(fā)明，XML分析器將標(biāo)簽的起點(diǎn)和終點(diǎn)作為一個(gè)標(biāo)簽分析，由此分析標(biāo)簽的屬性和功能，傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用防火墻(WAF)將〈腳本〉標(biāo)簽判定為攻擊，而本發(fā)明的網(wǎng)絡(luò)應(yīng)用防火墻(WAF)分析整個(gè)的重組后的HTTP信息語(yǔ)法，僅當(dāng)整個(gè)重組后的HTTP信息為攻擊語(yǔ)法時(shí)，才將之作為攻擊處理。[第二示例使用分析器的語(yǔ)義檢測(cè)引擎]表 2注入攻擊語(yǔ)法(名稱=“penta”或名稱=“security”)與關(guān)鍵字=“pentasec”此處，由于所有末端節(jié)點(diǎn)的結(jié)果都是SQL的一部分，所以不論全部語(yǔ)法結(jié)構(gòu)是否為SQL語(yǔ)法，結(jié)果均為真。亦即，在SQL注入攻擊這種著名的網(wǎng)絡(luò)攻擊方式的情況下，傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用防火墻(WAF)事先在存儲(chǔ)器中登記“或字串=字串”的攻擊模式，這樣，調(diào)制過(guò)的SQL注入攻擊就不能預(yù)先得到保護(hù)，而只有在攻擊發(fā)生后才能加以保護(hù)。但是根據(jù)本發(fā)明，在數(shù)據(jù)庫(kù)管理系統(tǒng)中可執(zhí)行的各種SQL語(yǔ)法都能被檢測(cè)到，即使是調(diào)整過(guò)的攻擊、新型攻擊等，也都可以得到保護(hù)。 盡管已經(jīng)示例性說(shuō)明了本發(fā)明的優(yōu)選實(shí)施例，但本領(lǐng)域的技術(shù)人員應(yīng)認(rèn)識(shí)到，在不脫離所附權(quán)利要求公開(kāi)的范疇和精神的情況下，可以對(duì)本發(fā)明進(jìn)行各種修正、增加或替換。
權(quán)利要求
1.一種網(wǎng)絡(luò)應(yīng)用攻擊的檢測(cè)方法，該方法包括以下步驟當(dāng)接收到組成HTTP信息的數(shù)據(jù)包時(shí)，網(wǎng)絡(luò)應(yīng)用防火墻去掉相應(yīng)數(shù)據(jù)包的包頭部分，僅收集數(shù)據(jù)包的凈負(fù)荷部分，然后重新組合所述HTTP信息；分析器分析重組后的HTTP信息，判斷所述重組后的HTTP信息是否包含與攻擊相關(guān)的內(nèi)容；在所述重組后的HTTP信息不包含所述與攻擊相關(guān)的內(nèi)容時(shí)，則將所述重組后的HTTP 信息傳送給web服務(wù)器或用戶服務(wù)器，按常規(guī)處理所述重組后的HTTP信息；在所述重組后的HTTP信息包含所述與攻擊相關(guān)的內(nèi)容時(shí)，則判定所述重組后的HTTP 信息為攻擊，然后以如下處理方式中的任一種對(duì)其進(jìn)行重新處理，所述處理方式包括要求發(fā)送異常數(shù)據(jù)包的所述web服務(wù)器或所述用戶服務(wù)器重新發(fā)送與所述異常數(shù)據(jù)包相對(duì)應(yīng)的數(shù)據(jù)包；刪除所述異常數(shù)據(jù)包；或者，調(diào)整所述異常數(shù)據(jù)包，然后將調(diào)整后的數(shù)據(jù)包發(fā)送給所述web服務(wù)器或所述用戶服務(wù)器。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)應(yīng)用攻擊的檢測(cè)方法，其中，所述分析器包括XML分析器， 該XML分析器用于檢測(cè)重組后的HTTP信息的標(biāo)簽的起點(diǎn)和終點(diǎn)，以確認(rèn)XML語(yǔ)法的完整性和上/下位關(guān)系，然后判斷所述重組后的HTTP信息是否包含與攻擊相關(guān)的語(yǔ)法。
3.如權(quán)利要求1所述的網(wǎng)絡(luò)應(yīng)用攻擊的檢測(cè)方法，其中，所述分析器包括JavMcript 分析器，該JavMcript分析器用于檢測(cè)JavMcript語(yǔ)法的有效性，以判斷所述重組后的 HTTP信息是否包含與攻擊相關(guān)的語(yǔ)法。
4.如權(quán)利要求1所述的網(wǎng)絡(luò)應(yīng)用攻擊的檢測(cè)方法，其中，所述分析器包括SQL分析器， 該SQL分析器將所述重組后的HTTP信息分解成最小單元，檢查分解出的單元是否屬于SQL 語(yǔ)法的一部分，由此判斷所述重組后的HTTP信息是否包含與攻擊相關(guān)的語(yǔ)法。
5.如權(quán)利要求1所述的網(wǎng)絡(luò)應(yīng)用攻擊的檢測(cè)方法，其中，所述網(wǎng)絡(luò)應(yīng)用防火墻執(zhí)行調(diào)整操作，使得所述重組后的HTTP信息中包括的懷疑為攻擊的消息被調(diào)整為正常的消息。
6.如權(quán)利要求1所述的網(wǎng)絡(luò)應(yīng)用攻擊的檢測(cè)方法，其中，所述網(wǎng)絡(luò)應(yīng)用防火墻執(zhí)行調(diào)整操作，使得所述重組后的HTTP信息包括的消息中與個(gè)人信息相關(guān)的消息的一部分被調(diào)整為外部不可讀取的消息。
全文摘要
本發(fā)明提供了一種網(wǎng)絡(luò)應(yīng)用攻擊的檢測(cè)方法。所述方法包括以下步驟在接收到構(gòu)成HTTP信息的數(shù)據(jù)包時(shí)，網(wǎng)絡(luò)應(yīng)用防火墻重組HTTP信息，分析重組后的HTTP信息，并判斷重組后的HTTP信息是否包含與攻擊相關(guān)的內(nèi)容，如果重組后的HTTP信息不包含與攻擊相關(guān)的內(nèi)容，則將重組后的HTTP信息發(fā)送給web服務(wù)器或用戶服務(wù)器，并正常處理重組后的HTTP信息，如果重組后的HTTP信息包含與攻擊相關(guān)的內(nèi)容，則將重組后的HTTP信息判定為攻擊，對(duì)其進(jìn)行重新處理。
文檔編號(hào)H04L29/08GK102316087SQ20101028726
公開(kāi)日2012年1月11日 申請(qǐng)日期2010年9月17日 優(yōu)先權(quán)日2010年7月5日
發(fā)明者樸永仁, 樸海珉, 李錫雨, 金德洙 申請(qǐng)人:潘塔安全系統(tǒng)公司