一种Web服务器安全防御方法与流程

本发明涉及网络安全领域，特别是涉及一种web服务器安全防御方法。

背景技术：

基于应用服务虚假响应的web服务器安全防御系统及方法。该防御系统可以实时的检测web服务器的流量。当发现有异常发生时，与传统的入侵检测技术和入侵防御技术不同，防御系统并不立刻阻断流量，而是将流量引入到系统的虚假响应单元，让攻击者误认为攻击成功，从而使得用户有充足的时间去分析异常的攻击行为，进而采取合适的措施来保护web服务器的安全，

web服务器接入防御系统之后，当攻击者对服务器进行攻击和入侵时，该防御系统通过调用虚假节点池中虚假节点对攻击流量进行虚假响应，并对其发送虚假信息，诱导攻击者认为虚假节点响应的信息就是服务器的真实信息，或者防御系统将异常流量迁移至蜜罐单元，利用蜜罐单元对攻击行为进行细粒度分析，主动捕获恶意样本、会话信息、攻击源ip地址、击键记录、攻击工具以及工具方法等，并诱导攻击者认为蜜罐单元响应的信息就是web服务器的真实信息，从而达到迷惑攻击者、阻断攻击者持续性攻击的目的，有效防护服务器的安全。

技术实现要素：

图1所示为系统总体框架的示意图，

用户发送访问请求数据包至web服务器，流量接收单元和流量发送单元处理用户和web服务器之间的通信数据包，进而提高数据包的处理性能。流量接收单元接收用户请求访问的数据包，依据管理单元中配置信息处理模块中的黑白名单过滤规则，将列入到黑名单的用户发送的数据包丢弃，而优先通过在白名单中的用户发送的数据包。之后，流量接收单元将处理过的数据包发送至协议还原单元。流量发送单元负责接收虚假响应单元通过调用虚假节点对攻击流量进行虚假响应，提取虚假响应数据包的目的ip地址、目的mac地址等信息，并依据虚假响应数据包的目的ip地址、目的mac地址将虚假响应数据包发送给攻击者。此外，流量接收单元和流量发送单元通过采用dpdk技术和零拷贝技术以便最大限度的提升数据包的处理性能，

协议还原单元依据协议定义规则接收流量接收单元的数据包，按照协议栈的顺序从底至上依次对数据包进行捕获和逐层分析，并最终还原出用户原始的会话信息，如文字，图片等。在互联网传输链路上，用户和服务器之间的协议会话信息内容传递是以逐层封装的数据包形式出现的，通过解析包头、数据拼接、取出网络附加信息等流程对会话信息进行重放，

威胁感知单元实时检测协议还原单元提取的数据包，根据管理单元中审计模块记录的日志信息分析网络流量并判断是否存在违反安全策略的入侵行为和被攻击的迹象。威胁感知单元解析捕获的数据包，按照规则库中的规则的分类以及规则优化器的设置，进行规则匹配，若匹配失败，则将数据包发送至web服务器进行正常通信；若匹配成功，则认为有攻击入侵行为发生，并将攻击流量发送至虚假响应单元进行处理，

虚假节点生成单元用于创建虚假节点，并通过管理单元中配置信息处理模块为每一个虚假节点配置虚假节点编号、虚假的ip地址、虚假的mac地址、虚假的操作系统类型和版本、虚假的开放端口等，

虚假响应单元根据管理单元中配置信息处理模块配置的虚假响应信息构建虚假响应数据包，针对可疑的请求数据包调用虚假节点池中的虚假节点对其进行响应，并提供虚假的响应信息。虚假响应信息包括虚假的ip地址、虚假的mac地址、虚假的操作系统的类型和版本以及虚假的开放端口等，这些虚假响应信息通过流量发送单元发送给攻击源，

其运行步骤如下：

(1)用户发送访问请求数据包至web服务器，首先经过黑白名单规则过滤，然后对通信数据包进行捕获和逐层分析，提取数据包中的目的ip地址、目的端口号、源ip地址、源端口等信息，同时实时检测通信数据包是否存在违反安全策略的入侵行为和被攻击的迹象，并依据规则库中规则的分类以及规则优化器的设置对通信数据包进行规则匹配，若匹配失败，则将数据包发送至web服务器，保证用户和服务器之间正常通信；若匹配成功，则认为有攻击入侵行为发生，需要及时对攻击流量进行虚假响应处理；

(2)按照以下两种方式之一对可疑的通信数据包进行虚假响应处理，从而迷惑攻击者，有效阻断攻击者不断尝试的攻击：

a)面对攻击者对web服务器的不断攻击，首先依照通信数据包目的ip地址、目的端口号、源ip地址、源端口等信息为虚假节点配置虚假响应信息，然后调用虚假节点池中的某一个虚假节点对攻击流量进行虚假响应，接着将虚假响应数据包发送给攻击者，并生成攻击日志信息；

b)面对攻击者对web服务器的不断攻击，首先依照通信数据包目的ip地址、目的端口号、源ip地址、源端口等信息配置虚假响应信息，然后将攻击流量迁移至蜜罐单元对攻击行为进行细粒度的分析，同时主动捕获恶意样本，接着将虚假响应数据包发送给攻击者，并生成攻击日志信息，

图2是图1框架的另一种实现方式，

将与虚假响应单元相连的虚假节点池更换为蜜罐单元。虚假响应单元接收威胁感知单元发送的攻击流量，将异常流量迁移至蜜罐单元(可以选择虚拟机蜜罐)，并通过蜜罐单元对攻击行为进行细粒度的分析，主动捕获恶意样本、会话信息、攻击源ip地址、击键记录、攻击工具以及工具方法等。本防御系统引入蜜罐单元的目的在于迁移攻击流量并通过蜜罐单元对攻击行为进行细粒度的分析，一方面拖延攻击者攻击web服务器的时间，使web服务器得到了保护，另一方面也对攻击行为进行监视、采集和分析，通过主动捕获恶意样本、会话信息、攻击源ip地址、击键记录、攻击工具以及工具方法等，为分析攻击者的攻击行为做准备，从而有效防护web服务器的安全。管理单元中的配置信息处理模块为蜜罐单元配置虚假响应信息，包括虚假的ip地址、虚假的mac地址、虚假的操作系统类型和版本、虚假的开放端口等，审计模块则详细记录攻击日志信息，有助于用户分析攻击行为并调整安全防护策略。例如攻击者控制了蜜罐单元并准备以蜜罐单元为跳板对其它web服务器进行攻击和入侵，则短时间内可能会出现大量的不允许通信的日志信息，用户通过分析日志信息就可以定位攻击源并初步确定攻击者的意图以及攻击者可能用到的攻击工具，便于后续采取进一步的安全防护策略。

附图说明

图1系统总体框架的示意图，

图2框架的另一种实现方式。

技术特征：

技术总结
本发明提供了一种Web服务器安全防御方法，该方法包括：安全防御系统实时检测访问Web服务器的网络流量中是否存在违反安全策略的攻击行为。如果存在违反安全规则的异常流量，则通过安全防御系统中的虚假响应单元对攻击行为进行虚假响应，同时将异常流量迁移至蜜罐中，进行细粒度的分析，从而有效地迷惑攻击者，打乱攻击者的决策，进而有效抵御攻击者对服务器的扫描探测及多次尝试攻击，维护Web服务器的安全稳定。

技术研发人员：罗冰冰;杨一民;张长河;王毅;高阳;王海;李坚;娄竞;于洋;张宝英;阎秩娟
受保护的技术使用者：国家电网有限公司;国网冀北电力有限公司张家口供电公司
技术研发日：2018.09.06
技术公布日：2019.02.15