[发明专利]一种保护web应用安全的诱骗方法

摘要

本发明公开了一种保护web应用安全的诱骗方法，本发明在发现有攻击者尝试攻击web服务器时，把攻击流量都引入诱骗系统，然后在诱骗系统中分析攻击类型，模拟出攻击者希望从web服务器得到的内容并将该内容返回给攻击者。同时，记录攻击者的IP地址及行为以备以后分析。应用该方法能够欺骗攻击者，诱敌深入，让攻击者误以为达成目的，从而保护真正的资源不被破坏。

主权项

一种保护web应用安全的诱骗方法，其特征在于，该方法包括以下步骤：步骤1：当客户端请求web服务器上的资源时，在web服务器返回的页面内容中插入一个假的URL；步骤2：分析客户端向web服务器发起的请求，该步骤包括以下子步骤：(2.1)取出发起这个请求的客户端的IP地址，判断该IP地址是否被标记；(2.2)如果该IP地址被标记，则转到步骤(2.4)；(2.3)判断请求的URL是否为我们插入页面中的URL；如果不是，则把该请求转发到后台真实的web服务器上；否则，转到步骤(2.4)；(2.4)标记该IP，更新该IP访问后台web应用的时间；把该请求转发到诱骗系统中；步骤3：诱骗系统处理请求；(3.1)分析该请求中是否包含攻击代码；(3.1.1)分析该请求的查询字符串中是否包含有<script>或alert字符串；如果有，则认为包含跨站攻击代码；(3.1.2)分析该请求的查询字符串中是否包含http或者https字符串，如果有，则认为是远程文件包含攻击；(3.1.3)分析请求的查询字符串中是否包含select、and、1＝1、or字符串，如果有，则认为是sql注入攻击；(3.2)根据步骤(3.1)中检测出的攻击类型，分析构造出对应于该类型攻击，攻击者期望从服务器得到的响应内容并将该内容返回给攻击者；(3.2.1)如果是跨站攻击，则把请求的查询字符串中包含攻击代码的内容直接返回给客户端；(3.2.2)如果是sql注入攻击，则构造数据库执行错误的提示信息返回给攻击者；(3.2.3)如果是远程文件包含攻击，则在本地沙箱中执行该文件，并且把文件的输出内容去掉一些字符串后返回给客户端；(3.3)记录该攻击者的攻击方式；步骤4：如果被标记的IP地址在一段时间内没有再次被标记，则取消对该IP的标记。