专利名称:一种web网页攻击检测和响应方法及装置的制作方法
技术领域:
本发明涉及网络安全技术领域,尤其涉及一种TOB网页攻击检测和响应方法及装置。
背景技术:
随着互联网的不断发展和应用,人们的日常生活越来越离不开互联网。同时,依附 于TOB网页传播的木马、病毒等恶意内容广泛地危害着互联网用户。当前大部分的网关类产品,都有对TOB页面进行过滤的功能,以避免用户受到恶 意内容的侵害。但是大部分网关类产品的WEB过滤功能,只是简单地将TOB网页上的图片、 FLASH动画等ActiveXObject (IE插件)进行强制过滤,即修改其中的关键字使该数据不能 在客户端显示。对可能含有恶意攻击的TOB内容强制过滤的解决方案,并没有对实际数据进行病 毒检测。简单地强制过滤,实际上很有可能连正常网页一并过滤掉了,容易对正常网页进行 误操作,从而降低了网页的用户体验度。
发明内容
本发明所要解决的技术问题在于,需要提供一种WEB网页攻击检测和响应方法及 装置,以对TOB页面进行过滤,保护客户端免受恶意内容的攻击。为了解决上述技术问题,本发明首先提供了一种TOB网页攻击检测和响应方法, 包括截获TOB服务器返回给客户端的响应报文,获取所述响应报文中的响应头及响应 体;对所述响应体进行扫描检测;检测到所述响应体含有恶意内容,将所述响应体替换为提示信息,并将所述提示 信息与所述响应头进行合并,得到反馈报文;将所述反馈报文发送给所述客户端。优选地,获得所述响应头之后,根据所述响应头获得所述响应体的体类型;根据所述体类型,将所述响应体替换为所述提示信息。优选地,根据所述响应头的内容类型协议字段,获得所述响应体的体类型。优选地,所述体类型,包括图片类型、FLASH类型或HTML类型。优选地,所述提示信息的文件类型,与所述体类型相同。为了解决上述技术问题,本发明还提供了一种TOB网页攻击检测和响应装置,包 括截获模块,用于截获TOB服务器返回给客户端的响应报文,并获取所述响应报文 中的响应头及响应体;病毒检测模块,与所述截获模块相连,用于对所述响应体进行扫描检测;
替换模块,与所述病毒检测模块相连,用于将检测到有恶意内容的所述响应体替 换为提示信息,并将所述响应头及提示信息进行合并,得到反馈报文;转发模块,与所述替换模块相连,用于将所述反馈报文转发给所述客户端。优选地,该装置进一步包括分析模块,与所述截获模块相连,用于根据所述响应头获得所述响应体的体类 型;所述替换模块,根据所述体类型将所述响应体替换为所述提示信息。优选地,所述分析模块,根据所述响应头的内容类型协议字段,获得所述响应体的 体类型。优选地,所述分析模块,获得的所述体类型包括图片类型、FLASH类型或HTML类型。优选地,所述替换模块,将所述响应体替换为文件类型与所述体类型相同的提示
fn息ο与现有技术相比,本发明提供的TOB网页攻击检测和响应方法,实现了对含有木 马、病毒等的恶意内容的WEB网页进行精确过滤,保护了客户端免受恶意内容的攻击,避免 了对正常网页内容的误杀,保证了正常网页数据可以顺利通过,另外还以提示信息像对过 滤后的网页向用户友好提示,提高了网页的用户体验度。
图1为本发明TOB网页攻击检测和响应方法实施例的流程示意图。图2为图1所示方法实施例中用于替换的图片。图3为本发明TOB网页攻击检测和响应装置实施例的组成示意图。
具体实施例方式以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用 技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。图1为本发明TOB网页攻击检测和响应方法实施例的流程示意图。如图1所示, 该方法实施例主要包括如下步骤步骤S110,接收客户端访问TOB服务器的请求报文,记录该请求报文中包含的客 户端访问的URL(统一资源定位符);步骤S120,将接收的该请求报文转发给TOB服务器;步骤S130,截获TOB服务器根据该请求报文所返回给客户端的响应报文,获取该 响应报文所包含的http响应头和http响应体;步骤S140,根据该http响应头的content-type (内容类型)协议字段,获得http 响应体的体类型;步骤S150,对该http响应体进行扫描检测,如果检测到该http响应体含有病毒, 则转步骤S160,否则转步骤S170 ;步骤S160,根据该http响应体的体类型,将检测到含有恶意内容的该http响应体 替换为文件类型与该http响应体的体类型相同的提示信息,将该提示信息与http响应头合并,获得反馈报文并发送给客户端,以向用户提示所访问的数据含有恶意内容,有可能对 客户端造成危害,结束。步骤S170,将截获的该响应报文转发给客户端,结束。上述步骤Sl 10 S130的实现,依赖于基本的应用层以下协议解析,包含基本的ip 碎片重组、tcp流重组等功能。 上述步骤S130中,截获该响应报文的具体方法为按照RFC (RequestFor Comments,请求注解包含了关于Internet的几乎所有重要的文字资料)对http协议规 范,对该响应报文进行解析和提取,获得该http响应头和http响应体。其中获取http响 应头字段信息时,按照RFC对http的定义标准解析出各个协议变量字段。通过http请求 或应答的头结束标志” OdOaOdOa” | ” 0a0a” | ”OdOd”来定位http请求和应答方向的头域各 字段。上述步骤S130中,所截获的响应报文有时候为多个数据包。对于这种响应体分包 传送的情况,则采用文件还原机制来进行数据拼接,以获取完整的http响应体数据,其具 体过程为设置N块可以用来并发缓存数据的缓冲区,每一块缓冲区的大小为η ;在分包传输的数据报文中找到文件传输结束标识,或者还原的文件大小达到缓冲 区空间的大小η时,结束文件还原。上述步骤S140中所获得的http响应体的体类型,包括图片类型、FLASH类型或 HTML类型。上述步骤S160中,将检测到含有恶意内容的http响应体,替换时为之前预设 的与该http响应体同类型的可以显示给用户进行告警的提示信息,比如该提示信息为“该 网页数据存在恶意攻击”等。然后将步骤S130中获得的http响应头与该提示信息进行数 据组合,并将数据组合后的数据发送给客户端进行显示。在进行数据组合时,还可以将步骤 SllO中所记录的URL组合进来,提示用户是否需要继续点击。进行上述数据组合时,需要按照网络数据包规范,填充各层协议数据,如修改ip 头部的总长度位,修改ip、tcp校验以及修改http头信息中的content-length字段,使重 新组装的数据满足各层协议规范。以下以具体的应用实例,来说明本发明方法的上述实施例。客户端访问TOB服务器的请求报文中,含有一 http://imR2. quotes, money. 123. com/chart/stimechart2/0000001.pnR的URL地址,该URL地址表示所请求的是一幅图片。 对截获到的WEB服务器返回的该幅图片进行病毒检测时,发现该图片数据中携带有病毒, 于是按照http体携带的图片数据格式,将该图片替换为如图2所示的图片,并将该替换后 的图片显示给用户。客户端访问TOB服务器的请求报文中,含有一 http://pro. 123. com/html, hr/的 URL地址,该地址表示所请求的为html数据。对截获到的TOB服务器返回的html体数据 进行病毒检测时,发现该html体数据中携带有病毒,于是将访问的html数据按照html格 式要求,换成以下数据信息“访问的网页数据存在恶意攻击URL =http://pro.l23. com/ html.ng/”,并将替换后的信息显示给用户。对于检测到FLASH动画之类ActiveXObject数据具有病毒,同样也按照http体携 带ActiveXOb ject数据的格式要求,进行信息替换,并将访问的URL返回给用户,提示用户访问的网页数据有恶意攻击。图3为本发明TOB网页攻击检测和响应装置实施例的组成示意图。参阅图1所示 的本发明WEB网页攻击检测和响应方法实施例,图3所示的装置实施例主要包括截获模块 310、记录模块320、转发模块330、分析模块340、病毒检测模块350以及替换模块360,其 中截获模块310,用于截获客户端访问TOB服务器的请求报文,以及WEB服务器向客 户端返回的响应报文,并获取该响应报文所包含的http响应头和http响应体;记录模块320,与该截获模块310相连,用于记录该请求报文中的URL ;转发模块330,与该截获模块310相连,用于将该请求报文转发给WEB服务器;分析模块340,与该截获模块310相连,用于根据该http响应头的content-type 协议字段,获得http响应体的体类型;其中该http响应体的体类型包括图片类型、FLASH 类型及HTML类型;病毒检测模块350,与该截获模块310相连,用于对该http响应体进行扫描检测, 获得扫描结果;替换模块360,与该病毒检测模块350相连,用于将检测到有恶意内容的该http响 应体,替换为文件类型与该http响应体的体类型相同的提示信息,将该提示信息与http响 应头合并,获得反馈报文;该转发模块330,还与该病毒检测模块350及替换模块360相连,在病毒检测模块 350没有检测到http响应体中含有恶意内容时,根据病毒检测模块350所获得的扫描结果, 将该响应报文转发给客户端;在病毒检测模块350检测到http响应体中含有恶意内容时, 根据病毒检测模块350所获得的扫描结果,将该反馈报文转发给客户端。本发明的技术方案,可以对含有木马、病毒等的恶意网页进行精确过滤,避免了对 正常网页的误杀。本发明的技术方案,通过将被过滤掉的网页以具有提示信息的网页进行 替换,将提示信息呈现给用户,向用户警示访问的网页具有危害。虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采 用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本 发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化, 但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
权利要求
一种WEB网页攻击检测和响应方法,其特征在于,包括截获WEB服务器返回给客户端的响应报文,获取所述响应报文中的响应头及响应体;对所述响应体进行扫描检测;检测到所述响应体含有恶意内容,将所述响应体替换为提示信息,并将所述提示信息与所述响应头进行合并,得到反馈报文;将所述反馈报文发送给所述客户端。
2.如权利要求1所述的方法,其特征在于获得所述响应头之后,根据所述响应头获得所述响应体的体类型; 根据所述体类型,将所述响应体替换为所述提示信息。
3.如权利要求2所述的方法,其特征在于根据所述响应头的内容类型协议字段,获得所述响应体的体类型。
4.如权利要求2所述的方法,其特征在于所述体类型,包括图片类型、FLASH类型或HTML类型。
5.如权利要求2所述的方法,其特征在于 所述提示信息的文件类型,与所述体类型相同。
6.一种TOB网页攻击检测和响应装置,其特征在于,包括截获模块,用于截获WEB服务器返回给客户端的响应报文,并获取所述响应报文中的 响应头及响应体;病毒检测模块,与所述截获模块相连,用于对所述响应体进行扫描检测; 替换模块,与所述病毒检测模块相连,用于将检测到有恶意内容的所述响应体替换为 提示信息,并将所述响应头及提示信息进行合并,得到反馈报文;转发模块,与所述替换模块相连,用于将所述反馈报文转发给所述客户端。
7.如权利要求6所述的装置,其特征在于,该装置进一步包括分析模块,与所述截获模块相连,用于根据所述响应头获得所述响应体的体类型; 所述替换模块,根据所述体类型将所述响应体替换为所述提示信息。
8.如权利要求7所述的装置,其特征在于所述分析模块,根据所述响应头的内容类型协议字段,获得所述响应体的体类型。
9.如权利要求7所述的装置,其特征在于所述分析模块,获得的所述体类型包括图片类型、FLASH类型或HTML类型。
10.如权利要求7所述的装置,其特征在于所述替换模块,将所述响应体替换为文件类型与所述体类型相同的提示信息。
全文摘要
本发明公开了一种WEB网页攻击检测和响应方法及装置,以对WEB页面进行过滤,保护客户端免受恶意内容的攻击。其中该方法包括截获WEB服务器返回给客户端的响应报文,获取响应报文中的响应头及响应体;对响应体进行扫描检测;检测到响应体含有恶意内容,将响应体替换为提示信息,并将提示信息与响应头进行合并,送给客户端。与现有技术相比,本发明实现了对含有木马、病毒等的恶意内容的WEB网页进行精确过滤,保护了客户端免受恶意内容的攻击,避免了对正常网页内容的误杀。
文档编号H04L12/26GK101888312SQ20091008446
公开日2010年11月17日 申请日期2009年5月15日 优先权日2009年5月15日
发明者王雷章 申请人:北京启明星辰信息技术股份有限公司;北京启明星辰信息安全技术有限公司