一種基于web訪問合規(guī)性審計(jì)的安全防護(hù)方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明是關(guān)于網(wǎng)絡(luò)安全防護(hù)技術(shù)領(lǐng)域���,特別涉及一種基于WEB訪問合規(guī)性審計(jì)的安全防護(hù)方法和系統(tǒng)���。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的高速發(fā)展,Web應(yīng)用的安全問題已經(jīng)成為當(dāng)今互聯(lián)網(wǎng)研究的熱點(diǎn)問題�����。
[0003]Web應(yīng)用安全防護(hù)作為一種主動的安全防護(hù)技術(shù),它既可以作為一種審計(jì)及訪問控制設(shè)備�����,也可以用于架構(gòu)和網(wǎng)絡(luò)設(shè)計(jì)及Web應(yīng)用加固����,能夠?qū)碜曰ヂ?lián)網(wǎng)的不安全行為提供實(shí)時(shí)保護(hù)。這些不安全行為包括注入攻擊事件���、網(wǎng)頁篡改事件�����、信息泄漏事件、網(wǎng)站盜鏈���、信息竊取事件等�。傳統(tǒng)的WEB應(yīng)用防火墻通常以獨(dú)立的硬件網(wǎng)關(guān)存在����,以透明代理、網(wǎng)關(guān)����、網(wǎng)橋�、反向代理或路由模式等多種部署形態(tài)保護(hù)著WEB服務(wù)器����。
[0004]目前大部分Web應(yīng)用防護(hù)產(chǎn)品采用的是基于規(guī)則模型的防御技術(shù),其原理是主設(shè)備基于已公布的網(wǎng)絡(luò)漏洞特征��,事先建立一套完整的規(guī)則模型����。對每個(gè)會話進(jìn)行分析檢測,獲取其特征�����,若與規(guī)則模型匹配則認(rèn)定為非法請求并拒絕會話�����?��;谝?guī)則模型的防御技術(shù)能有效防護(hù)已知安全問題��。但是因?yàn)檫@種技術(shù)依賴于事先確定每個(gè)威脅的特點(diǎn)���,而大部份Web站點(diǎn)都具有其固有的特點(diǎn)�,這個(gè)方法并不能完全有效地保護(hù)Web站點(diǎn)和防護(hù)尚未公開的漏洞���,同時(shí)會造成對攻擊的錯(cuò)誤判斷�。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的主要目的在于克服現(xiàn)有技術(shù)中的不足���,提供基于WEB訪問合規(guī)性審計(jì)的安全防護(hù)防護(hù)方法和系統(tǒng)��。為解決上述技術(shù)問題��,本發(fā)明的解決方案是:
[0006]提供一種基于WEB訪問合規(guī)性審計(jì)的安全防護(hù)方法�,用于對向受保護(hù)的Web站點(diǎn)發(fā)來的請求��,進(jìn)行合規(guī)性審計(jì)并處理����,所述基于WEB訪問合規(guī)性審計(jì)的安全防護(hù)方法包括下述步驟:
[0007]步驟A:主設(shè)備(在特定的時(shí)間��,比如使用基于WEB訪問合規(guī)性審計(jì)安全防護(hù)方法的同時(shí))能對受保護(hù)的Web站點(diǎn)進(jìn)行全路徑自學(xué)習(xí)�����;所述全路徑自學(xué)習(xí)是指通過訪問Web站點(diǎn)的方式,對站點(diǎn)的路徑����、頁面及頁面節(jié)點(diǎn)的關(guān)系進(jìn)行審計(jì)并記錄;
[0008]步驟B:主設(shè)備根據(jù)步驟A中學(xué)習(xí)到的Web站點(diǎn)路徑特征�,生成完整的Web路徑合規(guī)模型;所述Web路徑合規(guī)模型是指Web網(wǎng)站路徑及頁面集合����,用于規(guī)范用戶對網(wǎng)站的訪問行為;
[0009]步驟C:主設(shè)備接收來自客戶端到Web站點(diǎn)的訪問請求�����,并將該訪問請求的源IP地址����、源MAC地址、源端口��、目的IP地址���、目的MAC��、目的端口��、請求源URL��、請求目的URL����、請求參數(shù)、訪問時(shí)間記入記錄表中���;
[0010]步驟D:合規(guī)引擎利用步驟B中生成的Web路徑合規(guī)模型����,對訪問請求進(jìn)行分析與評估�,具體方式為:
[0011]合規(guī)引擎獲取記錄表中該請求的請求源URL以及請求目的URL,并對獲取的數(shù)據(jù)進(jìn)行分析提練�����,確定請求發(fā)起的原始頁面及目的頁面�����;然后根據(jù)請求的原始頁面和目的頁面����,從步驟B中生成的Web路徑合規(guī)模型中,尋找訪問路徑完全一致的頁面及子頁面�����,若找到一個(gè)匹配的頁面或者子頁面�,則評估分值加1,若請求的原始頁面和目的頁面找不到匹配的頁面或者子頁面����,則評分估值減I,最終合計(jì)得到請求的評分估值�����;
[0012]步驟E:主設(shè)備根據(jù)預(yù)先設(shè)定的閥值(比如WEB站點(diǎn)路徑權(quán)值的最低分值)���,判斷合規(guī)引擎計(jì)算得到的該請求的評估分值是否低于預(yù)先設(shè)定的閥值����;
[0013]若該請求的評估分值低于預(yù)先設(shè)定的閥值��,則確定該請求屬于非法請求��,并執(zhí)行預(yù)先設(shè)定的處理操作;若該請求的評估分值等于或高于預(yù)先設(shè)定的閥值�,則確定該請求屬于正常請求,不執(zhí)行預(yù)先設(shè)定的處理操作��,由合規(guī)引擎放行該請求�。
[0014]在本發(fā)明中,所述步驟E中����,預(yù)先設(shè)定的處理操作包括:阻斷并告警、阻斷不告警�、丟棄并告警、丟棄不告警�、重定向、僅檢測�。
[0015]提供基于所述的一種基于WEB訪問合規(guī)性審計(jì)的安全防護(hù)系統(tǒng),包括主設(shè)備和合規(guī)引擎����;
[0016]所述主設(shè)備能對受保護(hù)的Web站點(diǎn)進(jìn)行全路徑學(xué)習(xí),在定向獲取初始頁面的基礎(chǔ)上���,能從當(dāng)前頁面上獲取新的URL鏈接及參數(shù)��,生成完整的Web路徑合規(guī)模型�,并能在Web路徑合規(guī)模型的基礎(chǔ)上自定義規(guī)則及處理操作;主設(shè)備能接收來自客戶端到受保護(hù)的Web站點(diǎn)的請求��,并利用合規(guī)引擎得出的該請求的評估分值��,判斷當(dāng)前請求的評估分值是否低于預(yù)先設(shè)定的閥值���,進(jìn)而確定該請求的處理操作;
[0017]所述合規(guī)引擎用于對主設(shè)備接收的請求進(jìn)行分析�����,獲取其特征并與Web路徑合規(guī)模型進(jìn)行對比����,并根據(jù)符合程度的高低給予請求相應(yīng)的評估分值。
[0018]與現(xiàn)有技術(shù)相比�����,本發(fā)明的有益效果是:
[0019]能夠?qū)W(wǎng)站進(jìn)行全路徑審計(jì)��,動態(tài)生成合規(guī)模型�,從而對網(wǎng)絡(luò)的不安全行為進(jìn)行智能化評估與防御,規(guī)范用戶的網(wǎng)絡(luò)訪問行為�,并且有效減少攻擊誤判率�。
【附圖說明】
[0020]圖1為實(shí)施例中的Web網(wǎng)站頁面結(jié)構(gòu)圖��。
[0021]圖2為實(shí)施例中的系統(tǒng)結(jié)構(gòu)框圖�。
[0022]圖3為實(shí)施例中的Web訪問合規(guī)性檢測裝置結(jié)構(gòu)框圖。
【具體實(shí)施方式】
[0023]首先需要說明的是����,本發(fā)明是計(jì)算機(jī)技術(shù)在信息安全技術(shù)領(lǐng)域的一種應(yīng)用。在本發(fā)明的實(shí)現(xiàn)過程中���,會涉及到多個(gè)軟件功能模塊的應(yīng)用���。申請人認(rèn)為,如在仔細(xì)閱讀申請文件��、準(zhǔn)確理解本發(fā)明的實(shí)現(xiàn)原理和發(fā)明目的以后�,在結(jié)合現(xiàn)有公知技術(shù)的情況下,本領(lǐng)域技術(shù)人員完全可以運(yùn)用其掌握的軟件編程技能實(shí)現(xiàn)本發(fā)明�����。前述軟件功能模塊包括但不限于:主設(shè)備�、合規(guī)引擎等,凡本發(fā)明申請文件提及的均屬此范疇��,申請人不再一一列舉。
[0024]下面結(jié)合附圖與【具體實(shí)施方式】對本發(fā)明作進(jìn)一步詳細(xì)描述:
[0025]為了能夠更有效地檢測來自互聯(lián)網(wǎng)客戶端的請求合規(guī)程度及安全性�����,本發(fā)明一種基于WEB訪問合規(guī)性審計(jì)的安全防護(hù)方法����,首先在特定的時(shí)間對Web站點(diǎn)進(jìn)行全路徑自學(xué)習(xí)���,并形成合規(guī)模型���,可參見圖1 ;當(dāng)主設(shè)備接收到來自客戶端的請求時(shí),與合規(guī)模型進(jìn)行分析對比�����,根據(jù)分析結(jié)果來確定請求的合規(guī)程度和安全性���,可參見圖3�����,最終作出處理�。
[0026]該種基于WEB訪問合規(guī)性審計(jì)的安全防護(hù)方法,具體包括下述步驟:
[0027]步驟SOl:主設(shè)備在特定的時(shí)間對受保護(hù)的Web站點(diǎn)進(jìn)行全路徑自學(xué)習(xí)�。
[0028]上述全路徑自學(xué)習(xí)指的是通過訪問Web站點(diǎn)的方式,對站點(diǎn)的路徑�����、頁面及頁面節(jié)點(diǎn)的關(guān)系進(jìn)行審計(jì)并記錄����。
[0029]步驟S02:主設(shè)備根據(jù)學(xué)習(xí)到的Web站點(diǎn)路徑特征,生成完整的Web站點(diǎn)路徑合規(guī)模型�����。
[0030]在本步驟中所述的合規(guī)模型指為了更明確地規(guī)范用戶對網(wǎng)站的訪問行為而確定的一種Web網(wǎng)站路徑及頁面集合�����,如圖