一种用于访问网站的方法、装置和系统的制作方法【
技术领域:
】[0001]本发明涉及计算机
技术领域:
,尤其涉及在信息安全领域的一种访问网站的方法、装置和系统。【
背景技术:
】[0002]随着互联网技术的推广应用,当前大多数网络应用是采用WEB方式提供的,WEB应用的安全防护成为互联网安全的重要组成部分。目前主要的WEB应用防护技术采用的是防火墙、入侵检测、漏洞扫描和系统补丁加固、WEB应用防火墙(WAF,WebApplicat1nFirewall)以及提高WEB应用编程质量(输入检查和过滤)来实现的。这些方法虽然起到了一定的防护作用,但是依然存在一定的缺陷,使得WEB站点漏洞以及针对WEB应用的攻击时有发生。当前的技术手段不足以防止诸如针对未知漏洞、针对WEB服务端程序业务逻辑缺陷的攻击,其主要原因是:[0003]1.WEB服务端软件的漏洞难以杜绝[0004]WEB应用程序中可以使用一系列安全防护措施以提高安全性,例如严格的身份认证、授权管理、输入检测、通信加密(如安全套接字协议层(SSL,SecureSocketsLayer))等。但是目前许多针对WEB站点的攻击是利用服务端软件的漏洞实施的,如果软件本身存在漏洞,依靠软件本身功能所提供的安全机制可能无法阻止攻击的发生。虽然可以采用各种手段提高WEB服务软件的质量以尽可能减少漏洞,但是目前尚无绝对的把握杜绝漏洞的存在。而且WEB服务一般是对外开放的,一般防火墙都会开放WEB服务端口,所以无法基于防火墙消除针对漏洞的安全攻击。[0005]2.WEB攻击的通信特征无法穷举[0006]入侵检测系统(IDS,Intrus1nDetect1nSystem)、入侵防护系统(IPS,Intrus1nPrevent1nSystem))、防火墙(WAF,WebApplicat1nFirewall)类的安全机制可以通过分析WEB应用通信数据中的应用层负载来识别可能发生的攻击行为,进而对攻击行为进行阻断,在一定程度上可以防范类似SQL注入等攻击行为。但有些漏洞属于未公开漏洞,针对此漏洞的攻击代码样本及其网络通信内容特征事先可能无法获得。有些漏洞存在于上层应用软件中,并非是WEBServer等平台软件,针对不同应用的攻击方法各不相同。因为无法穷举各类可能发生的WEB攻击的通信特征,因此仅依靠IDS、IPS、WAF无法防范这些攻击。[0007]3.URL相对固定[0008]当前的WEB站点对外提供服务的URL基本上是固定的。任何用户只要知道URL就能访问站点,黑客只要知晓网站入口的URL,就可以采用各种漏洞扫描工具对WEB站点进行漏洞扫描,挖掘和发现系统中存在的漏洞以进行攻击。在攻击过程中,攻击者未必使用通用的浏览器软件,而是使用一些工具,如BURP套件、sqlmap等对网站发送经过精心设计的信息,利用相关漏洞。由于URL是固定的,所以可以反复尝试各类攻击手段直到成功。[0009]为了对抗网络攻击,基于MTD(MovingTargetDefense)的主动防御思想近年来有一定的发展。美国NITRD(NetworkingandInformationTechnologyResearchandDevelopmentProgram)在2009年的年度报告中提出的MovingTargetDefense即是通过可变性来提高系统防御能力的新方法。早期的探索,比如BBNTechnologies公司提出的主动网络防御通过动态改变网络地址和端口来增强系统的安全性;一些研究提出了用网络地址空间的随机化模型使木马和懦虫失效。Al-Shaer等提出了一个MUTE(MutableNetworks)模型,支持IP地址的随机分配及变化,MUTE通过一个加密算法来同步网络内的地址变化信息。除了基于网络的MTD方法,国际上一些学者同时提出了基于系统的MTD方法,包括内存地址空间的随机化方法(ASLR),指令集随机化方法(ISR),数据随机化方法等。这些方法的本质是使系统产生多样性来抵御攻击。然而当前的这些方法中,不可避免的需要对网络、WEBServer和上层应用软件进行重大调整。【
发明内容】[0010]本发明的目的是提供一种访问网站的方法、装置和系统。[〇〇11]根据本发明的一个方面,提供了一种用于在用户设备中访问网站的方法,所述用户设备中可保存与访问网页的访问会话对应的本地会话表,其中,所述方法包括以下步骤:[0012]a当请求访问与初始URL对应的网页时,获取与所述初始URL相应的访问会话对应的本地会话表项,其中,所述本地会话表项至少包括与所述访问会话对应的会话标识信息、与所述访问会话对应的用户的用户相关信息,所述访问会话的时间相关信息,以及本次请求的请求顺序信息;[0013]b基于所获得的所述本地会话表项来生成随机目录字段,所述随机目录字段中包含第一随机字段;[0014]C将所生成的随机目录字段添加至所述初始URL中,以获得的新URL;[0015]d将所述新URL发送至与所述用户设备对应的网络设备。[0016]根据本发明的一个方面,提供了一种用于在网络设备中辅助访问网站的方法,所述网络设备中可保存与访问网页的访问会话对应的网络会话表,其中,所述方法还包括以下步骤:[0017]A接收来自用户设备的新URL,其中,所述新URL包括在所述网页的初始URL中添加了随机目录字段的URL,所述随机目录字段中包含第一随机字段;[0018]B基于所述新URL中的随机目录字段,提取与所述初始URL相关的访问会话对应的会话标识信息;[0019]C基于所获得的会话标识信息,获取与所述会话标识信息对应的所述网络会话表的网络会话表项,其中,所述网络会话表项包括所述网络设备的用户标识信息,网络时间信息,以及本次请求的网络请求顺序;[0020]D基于所获得的网络会话表项来生成第二随机字段;[0021]E将所述第一随机字段与所述第二随机字段进行匹配,并当匹配成功时,向服务器发送与所述初始URL对应的请求。[0022]根据本发明的一个方面,提供了一种用于在用户设备中访问网站的访问装置,所述用户设备中可保存与访问网页的访问会话对应的本地会话表,其中,所述访问装置包括:[0023]a第一获取装置,用于当请求访问与初始URL对应的网页时,获取与所述初始URL相应的访问会话对应的本地会话表项,其中,所述本地会话表项至少包括与所述访问会话对应的会话标识信息、与所述访问会话对应的用户的用户相关信息,所述访问会话的时间相关信息,以及本次请求的请求顺序信息;[0024]b第一生成装置,用于基于所获得的所述本地会话表项来生成第一随机字段;[0025]c添加装置,用于将所生成的第一随机字段与所述会话标识信息相对应地添加至所述初始URL中,以获得的新URL;[0026]d第一发送装置,用于将所述新URL发送至与所述用户设备对应的网络设备。[0027]根据本发明的一个方面,提供了一种用于在网络设备中辅助访问网站的辅助装置,所述网络设备中可保存与访问网页的访问会话对应的网络会话表,其中,所述辅助装置包括以下步骤:[0028]第一接收装置,用于接收来自用户设备的新URL,其中,所述新URL包括在所述网页的初始URL中添加了第一随机字段的URL;[0029]提取装置,用于基于所述新URL中的第一随机字段,提取与所述初始URL相关的访问会话对应的会话标识信息;[0030]第二获取装置,用于基于所获得的会话标识信息,获取与所述会话标识信息对应的所述网络会话表的网络会话表项,其中,所述网络会话表项包括所述网络设备的用户标识信息,网络时间信息,以及本次请求的网络请求顺序;[0031]第二生成装置,用于基于所获得的网络会话表项来生成第二随机字段;[0032]匹配装置,用于将所述第一随机字段与所述第二随机字段进行匹配,并当匹配成功时,发送与所述初始URL对应的请求。[0033]根据本发明的一个方面,提供了一种网络系统,其中,所述系统中包括所述的访问装置所属的用户设备,所述辅助装置所属的网络设备,以及用于提供相应的网络服务的服务器设备。[0034]与现有技术相比,本发明具有以下优点:(1)基于本发明的方案,用户设备和网络设备之间的合法HTTP访问采用的URL中包含随机生成目录字段,不能正常生成合法随机字段的HTTP访问将在网络设备被过滤。所以针对固定URL的漏洞扫描和自动攻击工具将无法针对受保护的WEBServer实施扫描和攻击行为。即使原有的WEBServer上存在漏洞和后门,非法用户也因无法构造随机生成的合法URL而无法利用该漏洞和后门。(2)同一用户访问相同网页,每次采用的URL中的随机目录字段均重新生成,且依赖于时戳、请求序号,无法通过网络截取通信信息后重放访问相关网页。(3)由于随机目录字段的生成依赖用户的PIN信息和通过DiffieHeilman算法协商生成的共享随机数,在黑客不掌握用户PIN信息以及随机数的情况下,即使劫持已有的连接也无法生成下一次访问所采用的新的随机目录字段。(4)本发明不对通信内容进行当前第1页1 2 3 4 5