[发明专利]一种主动干扰策略的Web攻击防御方法

说明书

本发明涉及一种主动干扰策略的Web攻击防御方法，涉及网络安全技术领域。由于WAF等其他防御措施无法完全避免攻击者的Bypass、绕过攻击，所以本发明可以进一步地补充现有的防御措施，除非攻击者关闭网页，否则将一直对其设备进行大量资源的消耗，进而达到防御效果。由于Web服务端仅在向攻击者客户端返回的界面中嵌入了相应的代码，所以对我们自己服务端的消耗可以忽略不计，减少自己的性能消耗。

技术领域

本发明涉及网络安全技术领域，具体涉及一种主动干扰策略的Web攻击防御方法。

背景技术

随着服务器计算能力的增加以及云计算的普及，个人、企业等均有了更多的机会在互联网中开放自己的服务，其中，绝大多数的服务均为Web服务。Web技术的发展促进了各类Web应用的诞生，但同时，针对Web应用的网络攻击事件也层出不穷。各式各样的攻击严重地危害了服务的安全与可靠性，由此也诞生了各种防护措施。

针对Web攻击，目前较为通用的解决方法便是使用WAF(WebApplicationFirewall)，即Web应用防火墙。WAF可以实时检测访问者到Web服务的流量，并能根据相关规则对攻击行为进行阻断，但实际上攻击者依然可以通过变换自己的攻击载荷达到绕过WAF的效果，从而达到攻击Web服务的目的。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何在现有Web防御的技术上更进一步地阻碍攻击者的恶意行为。

(二)技术方案

为了解决上述技术问题，本发明提供了一种主动干扰策略的Web攻击防御方法，包括以下步骤：

步骤1、确定客户端脚本的影响范围

通过客户端访问各种Web服务、执行各种函数时，监控设备的性能指标，确定其中一些性能指标为目标影响范围，作为客户端脚本的影响范围；

步骤2、采集客户端API函数

采集会对设备造成影响的API函数，并进行筛选、验证，获取最终符合要求的API函数；

步骤3、编码部署

将采集到的API函数部署到服务端，这些函数可以以单一形式或组合形式被利用，调试好对应的参数，在确定攻击者在对Web服务进行攻击时，将调试好脚本代码嵌入到正常Web页面中，最终即可影响到攻击者的设备；

步骤4、攻击者触发后，执行以下步骤：

(1)攻击者的确认

初次攻击的确认机制为匹配特征载荷或敏感文件访问检测；

在确认为攻击者后，记录攻击者的特征，特征包括客户端访问请求头中的参数；在服务端，还记录下客户端的远程IP作为特征；另外，服务端还向客户端返回Token，设置LocalStorage，以确定攻击者的唯一身份；

(2)主动干扰策略防御的启动

在防御触发后，记录攻击者的特征，之后向匹配该特征的任何访问请求中嵌入对应的脚本代码，最终攻击者客户端设备的性能相应下降。

优选地，步骤1中所确定的目标影响范围包括以下几个指标：CPU占用率、内存占用率、磁盘占用率、网络吞吐占用率。

优选地，步骤2具体为：

收集客户端API函数：在客户端所开放的所有API函数中，对与数值计算、资源访问相关的函数均进行收集，具体是与计算资源、存储资源、内存资源、网络资源相关的函数；