[发明专利]基于WEB安全网关的服务器指纹拟态和敏感信息拟态方法有效
| 申请号: | 201510398932.0 | 申请日: | 2015-07-06 |
| 公开(公告)号: | CN104994104B | 公开(公告)日: | 2018-03-16 |
| 发明(设计)人: | 吴春明;曹魏 | 申请(专利权)人: | 浙江大学;上海红神信息技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08 |
| 代理公司: | 杭州求是专利事务所有限公司33200 | 代理人: | 邱启旺 |
| 地址: | 310058 浙江*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于WEB安全网关的服务器指纹拟态和敏感信息拟态方法。该方法在攻击者扫描Web服务器指纹信息、漏洞信息时实现返回信息拟态,混淆攻击者获取的有效信息。在攻击者通过漏洞完成攻击之后,也可以通过敏感信息拟态对攻击者获取的敏感信息进行拟态替换,防止敏感信息泄露。本发明与传统Web安全网关相比,既可以在攻击发生之前混淆攻击者的视听,也可以在攻击完成之后干扰敏感信息的获取,而且可灵活配置,面向正常用户透明,具有良好的可扩展性、可移植性。 | ||
| 搜索关键词: | 基于 web 安全网关 服务器 指纹 拟态 敏感 信息 方法 | ||
【主权项】:
一种基于WEB安全网关的服务器指纹拟态和敏感信息拟态方法,其特征在于,包括以下步骤:步骤1:在Web服务器与用户之间搭建一个反向代理服务器,该反向代理服务器基于Nginx实现;在反向代理服务器上实现消息转发和路由规则,之后用户和Web服务器之间的消息传递都经由反向代理服务器处理和转发,而对于用户和服务器来说反向代理服务器是透明不可见的;步骤2:在反向代理服务器上配置拟态安全网关的功能模块,包括Web服务器指纹信息拟态模块和敏感信息拟态模块两个部分;修改配置文件,确定作用域、功能模块及执行指令;完成编译安装;功能模块添加完成之后,重新启动反向代理服务器,让拟态安全网关生效;步骤3:攻击者向服务器发起请求或使用漏洞扫描工具进行嗅探或攻击,HTTP请求经过拟态安全网关;拟态安全网关获取请求内容,将请求转发给后方服务器;后方服务器根据HTTP请求构造响应内容,包括响应包头和包体,发送给反向代理服务器;步骤4:反向代理服务器上的拟态安全网关获取HTTP响应包内容,完成Web服务器指纹信息拟态,该步骤通过以下子步骤来实现:(4.1)查看服务器配置文件,确定此次请求是否在Web服务器指纹拟态模块作用域内,如果不在,跳到步骤5;(4.2)如果此次请求在Web服务器指纹拟态模块作用域内,则启动Web服务器指纹拟态模块,将此请求交由Web服务器指纹拟态模块处理;(4.3)Web服务器指纹拟态模块首先读取配置文件中的配置项,即指定的指纹信息设置目标、内容和匹配模式;然后检索并处理HTTP响应包头和包体,完成服务器指纹拟态功能,此步骤分为以下几个子步骤:(4.3.1)解析并存储配置文件中的配置项,包括指纹信息设置目标、设置内容和匹配模式;可能有多个配置项,依次存储;(4.3.2)解析并存储HTTP响应包头中的信息,包括HTTP协议版本、服务器版本名称、WEB容器版本名称、网站编程语言、开发框架、COOKIE、SESSION字段;(4.3.3)依次循环处理配置文件中的指纹信息设置目标,此步骤包括以下几个子步骤:(4.3.3.1)依次循环校验HTTP响应包头中的指纹信息,如果与设置目标匹配,按照配置文件中此设置项的设置方式处理;此步骤包括以下几个子步骤:(4.3.3.1.1)如果指定模式为"set"模式,则将此目标项的属性值设为配置文件中的设置目标值;(4.3.3.1.2)如果指定模式为"clear"模式,则将此目标项的名称和属性值都删除;(4.3.3.2)如果一直到循环结束也没有找到与此目标项匹配的项,则在HTTP相应包头指纹信息中的最后添加此目标项,值即设定为配置文件中的目标值;(4.3.4)配置文件中所有服务器指纹信息拟态指令都解析执行完毕后,按照HTTP框架中的顺序执行将HTTP响应包头和包体转发给下一个HTTP过滤模块;步骤5:反向代理服务器上的拟态安全网关中的敏感信息拟态模块获取HTTP响应包内容,完成Web服务器敏感信息拟态,该步骤通过以下子步骤来实现:(5.1)查看服务器配置文件,确定此次请求是否在敏感信息拟态模块作用域内,如果不在,跳到步骤6;(5.2)如果此次请求在敏感信息拟态模块作用域内,则启动Web服务器敏感信息拟态模块,将此请求交由敏感信息拟态模块处理;(5.3)Web服务器敏感拟态模块首先读取配置文件中的配置项,即指定的敏感信息替换目标、替换内容和匹配模式;然后检索并处理HTTP响应包头和包体,完成服务器敏感信息拟态功能;此步骤分为以下几个子步骤:(5.3.1)解析并存储配置文件中的配置项,包括敏感信息替换目标、替换内容和匹配模式;可能有多条配置项,依次存储;(5.3.2)依次循环处理配置文件中的敏感信息替换目标,此步骤包括以下几个子步骤:(5.3.2.1)如果此配置项的匹配模式为普通字符串匹配模式,则采用memmem字符串匹配方法查找HTTP响应包体中的敏感信息;如果与替换目标匹配,则将目标子串替换为配置项中的替换子串;(5.3.2.2)如果此配置项的匹配模式为正则表达式匹配模式,则使用regex库进行正则表示匹配替换;如果与目标正则表达式匹配,则将查找到的子串替换为配置项中的替换子串;(5.3.3)配置文件中所有服务器敏感信息信息拟态指令都解析执行完毕后,按照HTTP框架中的顺序执行将HTTP响应包头和包体转发给下一个HTTP过滤模块;步骤6:所有HTTP过滤模块执行完毕后,将HTTP响应包头和响应包体发送给用户,用户收到的是经过指纹信息拟态和敏感信息拟态模块处理过的响应消息,从而实现Web服务器指纹信息拟态和敏感信息拟态,达到有效保护服务器信息的目的。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于浙江大学;上海红神信息技术有限公司,未经浙江大学;上海红神信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510398932.0/,转载请声明来源钻瓜专利网。
