一種基于從客戶端到服務器端字符轉換的網站防護方法
【專利摘要】本發(fā)明公開了一種基于從客戶端到服務器端字符轉換的網站防護方法，獲取用戶操作數(shù)據，并將用戶操作數(shù)據進行字符轉換，轉換后的數(shù)據存儲在網站服務器上；當用戶向網站服務器請求返回其存儲數(shù)據時，將存儲數(shù)據通過字符轉換，轉換成原數(shù)據，展示給用戶。通過本發(fā)明不僅能夠檢測目前已知和未知的Web應用攻擊，而且可以在不影響正常業(yè)務流量的前提下對攻擊流量進行更為精確的阻斷。本發(fā)明可應用于Web應用防火墻、下一代防火墻、入侵防御系統(tǒng)、以及后續(xù)針對應用層防護的諸多安全產品，具有廣泛的應用前景。
【專利說明】一種基于從客戶端到服務器端字符轉換的網站防護方法
[0001]

【技術領域】
[0002]本發(fā)明涉及一種網站防護方法，特別是一種通過從客戶端到服務器端的字符轉換來實現(xiàn)網站防護的方法，屬于信息安全【技術領域】。

【背景技術】
[0003]當WEB應用越來越為豐富的同時，其應用也存在著安全隱患，WEB服務器以其強大的計算能力、處理性能及蘊含的較高價值逐漸成為主要攻擊目標，SQL注入、網頁篡改、網頁掛馬等安全事件，頻繁發(fā)生。與此同時，Web應用防護系統(tǒng)(Web Applicat1n Firewall,簡稱:WAF)應運而生，因其工作在應用層，對Web應用防護具有先天的技術優(yōu)勢，因此一般被作為安全保障體系中的一道重要防線。
[0004]當前主流的WAF主要通過特征識別、算法識別和模式匹配等手段進行防護。這種方式對已知的攻擊，其防護能力有限，因為成功入侵的黑客，并非都大肆張揚，不易被發(fā)現(xiàn)，比如給網頁掛馬，很難察覺進來的是哪一個，無法識別以至于難以進行統(tǒng)計工作。因此，對于未知的WEB應用攻擊，Web應用防護系統(tǒng)束手無策，很難采取較好的防御措施，從而對WEB的應用造成極大的安全隱患。
[0005]而同樣對于具有自學習功能的防御措施來說，其防護能力有所改善，其學習功能主要包括兩個方面: 網頁自學習和用戶行為自學習。對于Web應用網頁的自動學習功能，由于網站的多樣化，不同的網站不可能一樣，所以網站自身頁面的特性沒有辦法提前定義，所以需要設備采用自動預學習方式，從而總結出本網站的頁面的特點。對于用戶行為自學習，則是應用防火墻通過分析雙向流量來學習Web服務的用戶行為模式，建立了若干用戶行為模型，一但匹配上訪問者是某個行為，就按該模式行為去衡量訪問者的行為做法，有“越軌”企圖立即給予阻斷。無論網頁自學習和用戶行為自學習方式，仍然具有其自身無法克服的缺陷。因為，一方面其在預學習過程中，是不具備防護能力的。另一方面，學習的精準度則取決于算法的實現(xiàn)，無法量化其精準度。
[0006]由此可見，我們需要一種能夠解決當前安全問題的方法。


【發(fā)明內容】

[0007]發(fā)明目的:針對現(xiàn)有網站防護技術的不足，本發(fā)明提供一種更加完善的網站防護算法的實現(xiàn)方法，即，一種基于從客戶端到服務器端字符轉換的網站防護方法。
[0008]技術方案:一種基于從客戶端到服務器端字符轉換的網站防護方法，獲取用戶操作數(shù)據，并將用戶操作數(shù)據進行字符轉換，轉換后的數(shù)據存儲在網站服務器上，為了便于描述，下面將該轉換后的數(shù)據叫做存儲數(shù)據，轉換前的用戶操作數(shù)據叫做原數(shù)據；當用戶向網站服務器請求返回其存儲數(shù)據時，將存儲數(shù)據通過字符轉換，轉換成原數(shù)據，展示給用戶。
[0009]進一步地，所述用戶操作及其數(shù)據轉換方式包括:(I)用戶在網站上進行POST操作，此時，將POST的字段以及參數(shù)進行字符轉換；(2)用戶在網站上進行文件上傳操作，此時，將上傳的文件內容進行字符轉換。
[0010]有益效果:與現(xiàn)有技術相比，本發(fā)明提供的基于從客戶端到服務器端字符轉換的網站防護方法，當用戶在網站上進行POST操作時，POST的字段以及參數(shù)會通過字符轉換，用戶POST的關鍵字段以及提交的參數(shù)經過轉換后，會以轉換后特殊字符的方式存在網站服務器上。當用戶再次獲取這些信息時，網站返回的消息會先經過字符轉換成正常的信息返回給用戶。而黑客的攻擊手段，如SQL注入攻擊，在經過轉換后，攻擊語句無法在數(shù)據庫中進行注入查詢攻擊。
[0011]當用戶在網站上進行文件上傳操作時，上傳的文件內容會進行字符轉換，轉換后的文件保存在網站服務器上。當用戶再次獲取這些文件時，網站服務器返回的文件會先經過字符轉換成正常的內容后，展示給用戶。而黑客如果想上傳木馬到服務器上，雖然可以上傳成功，但是無法被服務器解析執(zhí)行，從而抵御黑客的木馬攻擊。
[0012]通過本發(fā)明不僅能夠檢測目前已知和未知的Web應用攻擊，而且可以在不影響正常業(yè)務流量的前提下對攻擊流量進行更為精確的阻斷。本發(fā)明可應用于Web應用防火墻、下一代防火墻、入侵防御系統(tǒng)、以及后續(xù)針對應用層防護的諸多安全產品，具有廣泛的應用前景。

【專利附圖】

【附圖說明】
[0013]圖1為本發(fā)明用戶進行POST請求的網站防護時序圖；
圖2為本發(fā)明用戶進行文件上傳的網站防護時序圖。

【具體實施方式】
[0014]下面結合具體實施例，進一步闡明本發(fā)明，應理解這些實施例僅用于說明本發(fā)明而不用于限制本發(fā)明的范圍，在閱讀了本發(fā)明之后，本領域技術人員對本發(fā)明的各種等價形式的修改均落于本申請所附權利要求所限定的范圍。
[0015]如圖1所示，對用戶的POST操作，將POST操作中的關鍵字段和提交參數(shù)進行轉換。假設中間安全設備是WAF，描述流程如下:
步驟101，用戶進行POST操作；
步驟102，提取POST中的關鍵字段和提交的參數(shù)，經過字符轉換，轉換成特殊的字符保存在網站服務器上；
步驟103，用戶再次請求相關信息；
步驟104，請求消息經過WAF轉發(fā)給網站服務器；
步驟105，網站服務器返回相應的特殊字符；
步驟106，返回的特殊字符經過字符轉換，轉換成正常的信息(原始信息)展示給用戶； 步驟107，當黑客進行POST注入時；
步驟108，POST注入字符經過字符轉換后轉成特殊字符；
步驟109，經過轉換的特殊字符無法執(zhí)行，返回失敗。
[0016]如圖2所示，用戶在網站上進行文件上傳操作，對上傳文件的內容進行字符轉換。假設中間的安全設備是WAF，描述流程如下: 步驟201，用戶進行文件上傳操作；
步驟202，文件中的內容經過字符轉換，轉換成特殊字符保存在網站服務器上；
步驟203，用戶再次打開文件；
步驟204，請求消息經過WAF轉發(fā)到網站服務器；
步驟205，網站服務器返回轉換過內容的文件；
步驟206，通過字符轉換把文件的內容(特殊字符的文件內容)轉換成正常的文件內容(原文件內容)展示給用戶；
步驟207，當黑客上傳木馬文件時；
步驟208，木馬文件經過字符轉換后，轉換成特殊字符保存在網站服務器上；
步驟209，被轉換后的木馬文件(轉換成的特殊字符)無法被網站服務器執(zhí)行，木馬攻擊失敗。
[0017]綜上所述，本發(fā)明提供了一種網站安全防護的終極解決方案。此項技術可以應用于金融，政府，高校，電商網站等諸多行業(yè)，例如，電商行業(yè)，可將本發(fā)明應用于安全設備中，這樣可以確保電商網站任何時間都處于安全狀態(tài)。不僅保護了廣大電商網站的利益，更保證了廣大用戶的合法權益，因此，本技術具有很高的推廣價值。
【權利要求】
1.一種基于從客戶端到服務器端字符轉換的網站防護方法，其特征在于:獲取用戶操作數(shù)據，并將用戶操作數(shù)據進行字符轉換，轉換后的數(shù)據存儲在網站服務器上，為了便于描述，下面將該轉換后的數(shù)據叫做存儲數(shù)據，轉換前的用戶操作數(shù)據叫做原數(shù)據；當用戶向網站服務器請求返回其存儲數(shù)據時，將存儲數(shù)據通過字符轉換，轉換成原數(shù)據，展示給用戶。
2.如權利要求1所述的基于從客戶端到服務器端字符轉換的網站防護方法，其特征在于:所述用戶操作及其數(shù)據轉換方式包括:(1)用戶在網站上進行POST操作，此時，將POST的字段以及參數(shù)進行字符轉換；(2)用戶在網站上進行文件上傳操作，此時，將上傳的文件內容進行字符轉換。
3.如權利要求2所述的基于從客戶端到服務器端字符轉換的網站防護方法，其特征在于:用戶在網站上進行POST操作時，當用戶向網站服務器請求返回其存儲數(shù)據時，將POST的字段以及參數(shù)進行字符轉換，還原成原始字段以及參數(shù)，展示給用戶。
4.如權利要求2所述的基于從客戶端到服務器端字符轉換的網站防護方法，其特征在于:用戶在網站上進行文件上傳操作時，當用戶向網站服務器請求返回其存儲數(shù)據時，將上傳的文件內容進行字符轉換，還原成原始文件內容展示給用戶。
【文檔編號】H04L29/06GK104079572SQ201410304623
【公開日】2014年10月1日 申請日期:2014年6月27日 優(yōu)先權日:2014年6月27日
【發(fā)明者】楊謙 申請人:南京銥迅信息技術有限公司