[发明专利]一种主动干扰策略的Web攻击防御方法

权利要求书

1.一种主动干扰策略的Web攻击防御方法，其特征在于，包括以下步骤：

步骤1、确定客户端脚本的影响范围

通过客户端访问各种Web服务、执行各种函数时，监控设备的性能指标，确定目标影响范围作为客户端脚本的影响范围，目标影响范围包括以下几个性能指标：CPU占用率、内存占用率、磁盘占用率、网络吞吐占用率；

步骤2、采集客户端API函数

采集会对设备造成影响的API函数，并进行筛选、验证，获取最终符合要求的API函数；

步骤2具体为：

收集客户端API函数：在客户端所开放的所有API函数中，对与数值计算、资源访问相关的函数均进行收集，具体是与计算资源、存储资源、内存资源、网络资源相关的函数；

筛选客户端API函数：对每个收集到的函数进行进一步的筛选，查看其是否需要客户端的手工授权，对于需要与攻击者交互、由其授权的函数，则进行丢弃，剩余的函数能够在客户端执行；

验证：尝试单独地利用剩余的函数，查看是否能进行预设量资源的消耗，每一个可产生预设量资源占用的API函数都可进行最终的利用；

步骤3、编码部署

将采集到的API函数部署到服务端，这些函数可以以单一形式或组合形式被利用，调试好对应的参数，在确定攻击者在对Web服务进行攻击时，将调试好脚本代码嵌入到正常Web页面中，最终即可影响到攻击者的设备；

步骤4、攻击者触发后，执行以下步骤：

（1）攻击者的确认

初次攻击的确认机制为匹配特征载荷或敏感文件访问检测；

在确认为攻击者后，记录攻击者的特征，特征包括客户端访问请求头中的参数；在服务端，还记录下客户端的远程IP作为特征；另外，服务端还向客户端返回Token，设置LocalStorage，以确定攻击者的唯一身份；

（2）主动干扰策略防御的启动

在防御触发后，记录攻击者的特征，之后向匹配该特征的任何访问请求中嵌入对应的脚本代码，最终攻击者客户端设备的性能相应下降。

2.如权利要求1所述的方法，其特征在于，记录的攻击者的特征包括Cookie、Accept、User-Agent、Accept-Encoding、Accept-Language。

3.如权利要求2所述的方法，其特征在于，主动干扰策略防御的启动之后，若同一特征在预设时间内未对Web服务进行其他恶意请求，则在服务端取消对该特征的主动干扰防御。

4.如权利要求3所述的方法，其特征在于，防御过程中，所有利用到的API函数均无限循环异步执行。

5.如权利要求1所述的方法，其特征在于，步骤2中，最终确定的被利用的API函数包括：1）对超大数值的运算，包括加密、编码；2）建立大量隐藏画布、多媒体资源；3）加载远程资源于本地，包括视频资源、图片资源、音频资源。

6.如权利要求2所述的方法，其特征在于，最终攻击者客户端设备的性能相应下降，包括CPU占用率升高、内存占用率升高、磁盘占用率升高、网络吞吐占用率升高，影响其正常的使用。

7.如权利要求1所述的方法，其特征在于，所述脚本代码包括javascript以及Webassembly代码。