[发明专利]一种WEB网页攻击检测和响应方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种WEB网页攻击检测和响应方法及装置。

背景技术

随着互联网的不断发展和应用，人们的日常生活越来越离不开互联网。同时，依附于WEB网页传播的木马、病毒等恶意内容广泛地危害着互联网用户。

当前大部分的网关类产品，都有对WEB页面进行过滤的功能，以避免用户受到恶意内容的侵害。但是大部分网关类产品的WEB过滤功能，只是简单地将WEB网页上的图片、FLASH动画等ActiveXObject(IE插件)进行强制过滤，即修改其中的关键字使该数据不能在客户端显示。

对可能含有恶意攻击的WEB内容强制过滤的解决方案，并没有对实际数据进行病毒检测。简单地强制过滤，实际上很有可能连正常网页一并过滤掉了，容易对正常网页进行误操作，从而降低了网页的用户体验度。

发明内容

本发明所要解决的技术问题在于，需要提供一种WEB网页攻击检测和响应方法及装置，以对WEB页面进行过滤，保护客户端免受恶意内容的攻击。

为了解决上述技术问题，本发明首先提供了一种WEB网页攻击检测和响应方法，包括：

截获WEB服务器返回给客户端的响应报文，获取所述响应报文中的响应头及响应体；

对所述响应体进行扫描检测；

检测到所述响应体含有恶意内容，将所述响应体替换为提示信息，并将所述提示信息与所述响应头进行合并，得到反馈报文；

将所述反馈报文发送给所述客户端。

优选地，获得所述响应头之后，根据所述响应头获得所述响应体的体类型；

根据所述体类型，将所述响应体替换为所述提示信息。

优选地，根据所述响应头的内容类型协议字段，获得所述响应体的体类型。

优选地，所述体类型，包括图片类型、FLASH类型或HTML类型。

优选地，所述提示信息的文件类型，与所述体类型相同。

为了解决上述技术问题，本发明还提供了一种WEB网页攻击检测和响应装置，包括：

截获模块，用于截获WEB服务器返回给客户端的响应报文，并获取所述响应报文中的响应头及响应体；

病毒检测模块，与所述截获模块相连，用于对所述响应体进行扫描检测；

替换模块，与所述病毒检测模块相连，用于将检测到有恶意内容的所述响应体替换为提示信息，并将所述响应头及提示信息进行合并，得到反馈报文；

转发模块，与所述替换模块相连，用于将所述反馈报文转发给所述客户端。

优选地，该装置进一步包括：

分析模块，与所述截获模块相连，用于根据所述响应头获得所述响应体的体类型；

所述替换模块，根据所述体类型将所述响应体替换为所述提示信息。

优选地，所述分析模块，根据所述响应头的内容类型协议字段，获得所述响应体的体类型。

优选地，所述分析模块，获得的所述体类型包括图片类型、FLASH类型或HTML类型。

优选地，所述替换模块，将所述响应体替换为文件类型与所述体类型相同的提示信息。

与现有技术相比，本发明提供的WEB网页攻击检测和响应方法，实现了对含有木马、病毒等的恶意内容的WEB网页进行精确过滤，保护了客户端免受恶意内容的攻击，避免了对正常网页内容的误杀，保证了正常网页数据可以顺利通过，另外还以提示信息像对过滤后的网页向用户友好提示，提高了网页的用户体验度。

附图说明

图1为本发明WEB网页攻击检测和响应方法实施例的流程示意图。

图2为图1所示方法实施例中用于替换的图片。

图3为本发明WEB网页攻击检测和响应装置实施例的组成示意图。

具体实施方式

以下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。

图1为本发明WEB网页攻击检测和响应方法实施例的流程示意图。如图1所示，该方法实施例主要包括如下步骤：

步骤S110，接收客户端访问WEB服务器的请求报文，记录该请求报文中包含的客户端访问的URL(统一资源定位符)；

步骤S120，将接收的该请求报文转发给WEB服务器；

步骤S130，截获WEB服务器根据该请求报文所返回给客户端的响应报文，获取该响应报文所包含的http响应头和http响应体；

步骤S140，根据该http响应头的content-type(内容类型)协议字段，获得http响应体的体类型；