本发明涉及一种信息安全技术领域,特别涉及一种基于检测系统的智能对抗web漏洞扫描并实现自修复的方法。
背景技术:
目前,对漏洞扫描的防护技术大多都是基于互联网上公开的漏洞发布平台,总结出漏洞的特征库,并利用这些特征去生成应对的防护策略。也有一种方法是向访问端植入js代码,根据判断访问端是否有发出基于代码的http请求判断检测是否为web漏洞扫描行为。但是目前这些防护的方法都不够全面,存在了一定的绕过检测的方法,用户可利用手工浏览器检测服务器是否存在漏洞,又或者利用程序模拟解析并发送检测系统设置好的js代码并发送相应的http请求;又或者如果不即时更新漏洞特征库,服务器此时都是属于危险的状态的。
技术实现要素:
为克服上述现有技术的不足,本发明提供一种基于检测系统的智能对抗web漏洞扫描并实现自修复的方法,该发明采用结合基于漏洞特征库的检测和不基于特征库的检测发现web漏洞扫描行为,并通过黑客的请求用于自测服务器是否存在漏洞,从而实现对于漏洞扫描的防护与检测的能力并能实现漏洞自修复的目的。其技术方案如下:
1.利用漏洞特征库去匹配访问端的请求包的特征;如果匹配,则说明了访问端访问的资源是存在漏洞的。
2.在方案1不匹配的基础上,对访问端进行检测。首先,需对不同的ip设置异常的阈值,如一个访问端在一定的时间内,对服务器请求产生的404响应状态码超过了阈值,此ip的请求都会受到“可疑ip检测模块”;在这个模块中,检测系统会记录下这一段时间内对应的ip请求的url,形成一个对应的url表,当可疑ip请求的url被发现与表中记录的这段时间内的url存在相似,则counter分值+1;当counter达到设定的阈值后,则认为此访问端正在实施漏洞扫描攻击。
当访问端被认定在实施漏洞扫描攻击后,此访问端的请求将会被送往到漏洞扫描防护对象处理模块;在该模块中,首先会把访问端请求的url信息记录在数据库当中,并且实时对访问端把重定向响应码为404,同时浏览器界面同样伪装成服务器404的界面;伪装的原因是:尽量不让黑客知道服务器是有检测系统保护的,希望黑客尽早打消下一步攻击的念头,而不是想办法绕过了检测系统的检测。在伪装404响应的同时,此模块还会把最终收集到的url信息,通过内部在进行自测,检查是否有存在漏洞,如果发现了保存的url表中存在漏洞,系统将会自动的把这些漏洞的特征提取出来,保存到漏洞特征库中。
本发明技术方案带来的有益效果:
通过本发明的技术方案,结合了基于特征库的对于网络漏洞扫描的检测模块,和不基于特征库的漏洞扫描检测模块,增强了对于漏洞扫描攻击的防护能力,实现了对基于未公开的漏洞的漏洞扫描具有防护作用。在防护过程中,收集黑客请求访问的url用于自测,如果发现了存在了不存在于漏洞特征库的漏洞,可先于黑客利用之前,实现漏洞的自修复。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明提出的技术流程示意图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
1、读取访问端的http请求信息,利用漏洞特征库匹配请求中访问的资源路径是否存在漏洞特征库中存在的漏洞。如果是,检测系统认为此ip正实施漏洞扫描攻击,将会把此ip的请求在一段时间内送往漏洞扫描防护对象处理模块。如果不是,将会对请求实施第二步检测。
2、记录每一个对应访问端的请求服务器产生的响应状态码。如果状态码是404,counter分值+1;去到下一步;如果不是,结束检测。
3、当访问ip对于服务器响应404的counter值达到阈值时,将会对此ip产生可疑,在接下来的一段时间内,ip向服务器发出的请求将会送往可疑ip检测模块。
4、在可疑ip检测模块,请求的url被保存在专属的表中,当发现请求的url与这段时间内写进去的url存在相似,counter+1;当counter值达到阈值时,检测系统认为此ip正实施漏洞扫描攻击,将会把此ip的请求在一段时间内送往漏洞扫描防护对象处理模块。
5、在漏洞扫描防护对象处理模块中,首先会保存在一段时间内访问端请求访问的url。同时会对访问端响应重定向为404状态,进行伪装,防止黑客发现服务器存在的漏洞。然后,检测系统会利用收集的此ip的url模拟对服务器进行访问,如果发现存在漏洞,则会生成对应的漏洞特征,添加到用于检测的漏洞特征库中,实现自修复漏洞。
结合图1部署相关策略后,把响应状态记录模块中生成可疑的阈值设定为10,把可疑ip检测模块中找出相似url的阈值设定为3次。同时根据网上知名的如cve、乌云、补天漏洞平台上更新了最近5年以内的公开漏洞特征,作为该实施方案的漏洞特征库。
受保护的服务器会出现以下情况:
1、当访问端利用了漏洞平台公开的漏洞访问服务器的时候,检测系统第一时间匹配到了漏洞特征,把源ip设定为漏洞防护对象。首先重定向了服务器响应状态,同时在一段时间内收集此ip用于扫描的url。然后把收集到的url通过模拟请求在检测系统上访问服务器,如果存在漏洞,将会自动把这个漏洞的特征更新到漏洞特征库中。
2、当黑客使用的漏洞不存在于检测系统的漏洞特征库中(原因是黑客得到的漏洞来自于自身发现或漏洞并没有被公开,或者先于检测系统在漏洞平台更新自身的漏洞特征库),由于黑客尚处于探测阶段,并不清楚漏洞存在于真实的路径。在探测的过程中,基于漏洞扫描的攻击特点,被可疑ip检测模块检测确认为ip实施漏洞扫描,同样将ip的请求送往漏洞防护对象处理模块。服务器可能因此利用黑客掌握的最新漏洞自测,先于黑客发现自身存在的漏洞,并及时进行漏洞修复。
3、由于是正常访问的用户,有时候也会遇上请求的资源因为服务器的更新而产生了404,由于存在响应状态记录模块,可疑ip检测模块,都设置阈值。所以不影响这部分用户都服务器的正常访问。
以上对本发明实施例所提供的一种基于检测系统的智能对抗web漏洞扫描并实现自修复的方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。