[发明专利]一种基于检测系统的智能对抗Web漏洞扫描并实现自修复的方法

说明书

本发明公开了一种基于检测系统的智能对抗Web漏洞扫描并实现自修复的方法，该发明采用结合基于漏洞特征库的检测和不基于特征库的检测发现web漏洞扫描行为，并通过黑客的请求用于自测服务器是否存在漏洞，从而实现对于漏洞扫描的防护与检测的能力并能实现漏洞自修复的目的。

技术领域

本发明涉及一种信息安全技术领域，特别涉及一种基于检测系统的智能对抗Web漏洞扫描并实现自修复的方法。

背景技术

目前，对漏洞扫描的防护技术大多都是基于互联网上公开的漏洞发布平台，总结出漏洞的特征库，并利用这些特征去生成应对的防护策略。也有一种方法是向访问端植入js代码，根据判断访问端是否有发出基于代码的HTTP请求判断检测是否为web漏洞扫描行为。但是目前这些防护的方法都不够全面，存在了一定的绕过检测的方法，用户可利用手工浏览器检测服务器是否存在漏洞，又或者利用程序模拟解析并发送检测系统设置好的js代码并发送相应的http请求；又或者如果不即时更新漏洞特征库，服务器此时都是属于危险的状态的。

发明内容

为克服上述现有技术的不足，本发明提供一种基于检测系统的智能对抗Web漏洞扫描并实现自修复的方法，该发明采用结合基于漏洞特征库的检测和不基于特征库的检测发现web漏洞扫描行为，并通过黑客的请求用于自测服务器是否存在漏洞，从而实现对于漏洞扫描的防护与检测的能力并能实现漏洞自修复的目的。其技术方案如下：

1.利用漏洞特征库去匹配访问端的请求包的特征；如果匹配，则说明了访问端访问的资源是存在漏洞的。

2.在方案1不匹配的基础上，对访问端进行检测。首先，需对不同的IP设置异常的阈值，如一个访问端在一定的时间内，对服务器请求产生的404响应状态码超过了阈值，此IP的请求都会受到“可疑IP检测模块”；在这个模块中，检测系统会记录下这一段时间内对应的IP请求的URL，形成一个对应的URL表，当可疑IP请求的URL被发现与表中记录的这段时间内的URL存在相似，则counter分值+1；当counter达到设定的阈值后，则认为此访问端正在实施漏洞扫描攻击。

当访问端被认定在实施漏洞扫描攻击后，此访问端的请求将会被送往到漏洞扫描防护对象处理模块；在该模块中，首先会把访问端请求的URL信息记录在数据库当中，并且实时对访问端把重定向响应码为404，同时浏览器界面同样伪装成服务器404的界面；伪装的原因是：尽量不让黑客知道服务器是有检测系统保护的，希望黑客尽早打消下一步攻击的念头，而不是想办法绕过了检测系统的检测。在伪装404响应的同时，此模块还会把最终收集到的URL信息，通过内部在进行自测，检查是否有存在漏洞，如果发现了保存的URL表中存在漏洞，系统将会自动的把这些漏洞的特征提取出来，保存到漏洞特征库中。

本发明技术方案带来的有益效果：

通过本发明的技术方案，结合了基于特征库的对于网络漏洞扫描的检测模块，和不基于特征库的漏洞扫描检测模块，增强了对于漏洞扫描攻击的防护能力，实现了对基于未公开的漏洞的漏洞扫描具有防护作用。在防护过程中，收集黑客请求访问的URL用于自测，如果发现了存在了不存在于漏洞特征库的漏洞，可先于黑客利用之前，实现漏洞的自修复。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1是本发明提出的技术流程示意图；

具体实施方式