[发明专利]一种检测包含Cookie信息的消息的方法及相关装置

说明书

技术领域

本发明涉及网络技术领域，尤指一种检测包含Cookie信息的消息的方法及相关装置。

背景技术

Web应用是指采用浏览器（Browser，B）/服务器（Server，S）架构、通过超文本传输协议（Hyper Text Transfer Protocol，HTTP）或者安全超文本传输协议（Secure Hypertext Transfer Protocol，HTTPS）提供服务的统称。随着互联网的广泛使用，Web应用已经融入到用户的日常生活中，例如：网上购物、网上银行应用、证券股票交易、政府行政审批、高校门户网站、运营商增值服务等等，由于Web应用种类增多，而HTTP安全机制不完善，就会导致Web应用程序中存在漏洞，基于Web的网络攻击也日益增多，如服务器嵌入（Server Side Include，SSI）、木马防护、目录遍历等，网络应用防火墙（Web ApplicationFirewall，WAF）技术就是在这种情况下产生的。与传统防火墙不同，WAF工作在应用层，基于内置的网络攻击特征对流经的HTTP请求消息和HTTP响应消息进行检测，若检测出消息中存在网络攻击，可以采用拦截、放弃、断开连接等多种处理方式。

HTTP是一种无状态协议，基于Web的应用程序需要借助额外的手段来维护服务器与客户端之间的交互状态，以保证服务器与客户端之间交互的平滑性。例如，在HTTP1.0版本中，一个传输控制协议（Transmission Control Protocol，TCP）连接上仅能进行一次HTTP会话，客户端发送HTTP请求消息，服务器应答一个HTTP响应消息，此次HTTP会话结束，TCP连接拆除；在HTTP1.1中，多个HTTP会话可以复用一个TCP连接，但是每个HTTP会话在客户端发送一个HTTP请求消息并且服务器应答一个HTTP响应消息之后就结束了，连续的HTTP会话之间在协议层次上缺乏内在联系。而一般在基于Web的应用程序中，客户端和服务器之间往往要执行多个HTTP会话才能完成一次应用交互，例如在网上购物过程中，用户往往要一次性挑选多个商品，统一结帐，在这个过程中，基于Web的应用程序必须能够记录用户已经购买的商品和消费金额，也就是要记录当前交互状态。

目前基于Web的应用程序通常采用Cookie、会话（Session）机制来记录当前交互状态。Session机制在服务器记录交互状态，提高数据的可靠性，但服务器要区分多个同时进行的Session，仍然需要客户端维护一个Session标识（Identification，ID），而Session ID往往记录在Cookie信息中，因而本质上可以归类为Cookie机制。

采用Cookie信息记录当前交互状态，可能会发生篡改Cookie信息这类网络攻击。篡改Cookie信息是指客户端接收到服务器发送的携带Cookie信息的HTTP响应消息后，再次向服务器发送携带Cookie信息的HTTP请求消息前，对Cookie信息进行了篡改。例如，在网上购物应用中，Cookie信息中可能记录了用户已经购买的商品总额，对Cookie信息进行篡改可以实现对商家的欺诈。客户端对Cookie信息的篡改并不能在HTTP请求消息或HTTP响应消息中留下明显特征，而传统意义上的WAF只能对HTTP请求消息和HTTP响应消息进行网络攻击特征检测，不能检测此类网络攻击。因此，需要专门对Cookie信息篡改这类网络攻击进行检测。

一般，在HTTP响应消息和HTTP请求消息中都包含Cookie信息，分别存在于Set-Cookie字段和Cookie字段中，Cookie信息会包含多个Cookie名/值对，而这些Cookie名/值对在每个HTTP请求消息和HTTP响应消息中的顺序是不确定的，因此，需要对每个Cookie名/值对进行单独保护，假设，HTTP响应消息的Set-Cookie字段中包括三个Cookie名/值对:phpsessionid=id-xxxx、phpbot=bot-yyyy和other-name=n-zzzz，那么，需要对这三个Cookie名/值对分别进行保护。