本文引自知道創宇公開的web安全專利方法,旨在向安全從業人員提供學習交流,如有商業行爲後果自負。
一種WAF安全規則的快速匹配方法
本發明公開了一種WAF安全規則的快速匹配方法,包括以下步驟:將現有規則按照邏輯原子化原則轉換成一條邏輯語句,所述邏輯語句由多個邏輯子條件以及邏輯運算符組成;將由邏輯語句組成的規則集合轉換爲規則圖;對數據包進行預處理,包括數據格式處理、數據解碼處理;使用規則圖對已經處理好的數據包進行分層匹配,看是否包含結束節點被匹配到;統計攔截數據,根據攔截比例,調整規則圖的分層,攔截比例高的規則整體向下調整,攔截比例低的規則整體向上調整。本發明匹配方法更高效,且可根據攻擊態勢,週期性地調整規則圖的分層,達到保持高效匹配的目的。
一種WAF安全規則的快速匹配方法,其特徵在於,包括以下步驟:步驟1:將現有規則按照邏輯原子化原則轉換成一條邏輯語句,所述邏輯語句由多個邏輯子條件以及邏輯運算符組成,所述現有規則爲一個或多個正則表達式及多個複雜邏輯運算組成;步驟2:將由邏輯語句組成的規則集合轉換爲規則圖;步驟3:對數據包進行預處理,包括數據格式處理、數據解碼處理;步驟4:使用規則圖對已經處理好的數據包進行分層匹配,看是否包含結束節點被匹配到;具體關係是:若包含,匹配結束,判定此條數據包爲攻擊數據,結束節點所屬的規則爲匹配到的規則;若不包含,根據這一層的匹配結果,獲取規則樹下一層需要匹配的子節點集合,然後進行匹配,依次遞歸匹配,若都沒有匹配到結束節點,或下一層無子節點需要匹配,匹配結束,判定此條數據包爲正常數據;若父節點匹配結果爲未匹配到,子節點無需匹配,若父節點匹配結果爲匹配到true,子節點需要匹配;步驟5:統計攔截數據,根據攔截比例,調整規則圖的分層,攔截比例高的規則整體向下調整,攔截比例低的規則整體向上調整。
一種Web應用的插件化構建方法、系統及服務器
本發明公開了一種Web應用的插件化構建方法及系統,該方法包括:掃描插件目錄,爲插件目錄中的各插件安裝對應的依賴庫;初始化Web服務器端服務,註冊通用組件並創建Web應用對應的服務器應用實例,通用組件包括靜態資源服務;對於各插件中的每個插件,若其插件代碼包括服務器端代碼,則獲取並解析該插件的服務器端註冊代碼,以便將該插件的服務器端執行代碼注入到服務器應用實例中;初始化Web客戶端服務,提供Web應用對應的客戶端入口;對於各插件中的每個插件,若其插件代碼包括客戶端代碼,則將客戶端代碼打包,並作爲靜態資源放入靜態資源目錄中以便通過靜態資源服務來提供給客戶端,以完成Web應用的構建。
一種防破解的驗證碼生成方法
本發明公開一種防破解的驗證碼生成方法,將驗證碼的問題題乾的字符重新進行隨機排列,生成圖片序列P;並通過隨機數R與編號ID進行異或操作,得到加密後的問題編號EID;將所述備選答案組A,問題編號EID,以及圖片序列P發送到請求端;再將隨機數R與請求端返回的問題編號EID進行異或操作,得到真實的問題編號ID,查找問題編號ID對應的準確答案a,將查找到的準確答案a與請求端返回的選擇的答案a1進行對比,得到驗證結果。本發明極大的增加了計算機的自動識別難度,極大的增加了驗證碼的破解難度,有效的達到了驗證碼的防破解的目的,增加了web系統的安全性。
1.一種防破解的驗證碼生成方法,其特徵在於,包括以下步驟:
步驟1:在服務端創建驗證碼題庫;
步驟2:將驗證碼題庫中的所有問題用到的字符分別製作成圖片;
步驟3:將驗證碼題庫中問題的題幹、備選答案、準確答案存儲到問題數據庫中,並生成唯一的問題編號ID;
步驟4:將問題用到的字符和其對應的字符圖片,以及二者之間的對應關係存儲到問題數據庫中;
步驟5:生成驗證碼:
步驟51:從所述問題數據庫中,隨機選擇一個問題Q,以及對應的備選答案組A,問題Q的編號ID;
步驟52:將問題Q題乾的字符重新進行隨機排列;
步驟53:生成一個隨機數R,將隨機數R與問題Q的編號ID進行異或操作,得到加密後的問題編號EID,然後將隨機數R保存到會話中;
步驟54:對上述隨機排列後的題幹,依次查找字符對應的圖片,生成圖片序列P;
步驟55:將所述備選答案組A,加密後的問題編號EID,以及圖片序列P發送到請求端;
步驟6:檢驗請求端返回的驗證碼答案:
步驟61:請求端將加密後的問題編號EID、選擇的答案a1發送給服務端進行驗證;
步驟62:服務端從當前會話中取出步驟53生成的隨機數R,並將隨機數R與請求端返回的問題編號EID進行異或操作,得到真實的問題編號ID;
步驟63:從所述問題數據庫中,查找所述問題編號ID對應的準確答案a;
步驟64:將查找到的準確答案a與請求端返回的選擇的答案a1進行對比;相同則認爲驗證通過,否則,驗證失敗。
漏洞檢測方法及裝置
本申請公開了一種漏洞檢測方法及裝置,所述方法應用於漏洞檢測設備,漏洞檢測設備與目標設備相互通信,漏洞檢測設備存儲有用於檢測接收到的數據包的預設規則,預設規則包括目標設備的通信特徵數據,所述方法包括:向所述目標設備發送用於檢測漏洞的第一數據包;接收包括通信特徵數據的第二數據包;根據所述第二數據包的通信特徵數據判斷所述第二數據包是否符合所述預設規則;如果所述第二數據包符合預設規則,則解析所述第二數據包。本申請實施例中,通過設置預設規則,使得在對目標設備進行檢測時,漏洞檢測設備只對滿足預設規則的第二數據包進行解析,這樣,就可以避免檢測過程中,其他設備訪問漏洞檢測設備,進而提高了漏洞檢測設備的安全性。
1.一種漏洞檢測方法,其特徵在於,應用於漏洞檢測設備,所述漏洞檢測設備與目標設備相互通信,所述漏洞檢測設備存儲有用於檢測接收到的數據包的預設規則,所述預設規則包括目標設備的通信特徵數據,所述方法包括:向所述目標設備發送用於檢測漏洞的第一數據包;接收包括通信特徵數據的第二數據包;根據所述第二數據包的通信特徵數據判斷所述第二數據包是否符合所述預設規則;如果所述第二數據包符合預設規則,則解析所述第二數據包。
數據處理方法及裝置
本發明提供數據處理方法及裝置。所述數據處理方法包括:獲取預先存儲的自定義字符;使用所述自定義字符替換目標頁面的源代碼中的目標數據,並存儲所述自定義字符與其替換的目標數據的對應關係,其中,在顯示所述目標頁面時,根據所述對應關係將所述目標數據顯示在所述目標頁面上。所述方法使爬蟲用戶獲取到的數據是替換後的自定義字符,如果不知道其中的對應關係,就無法得知正確的目標數據,有效的保護核心數據。
1.一種數據處理方法,其特徵在於,包括:
獲取預先存儲的自定義字符;
使用所述自定義字符替換目標頁面的源代碼中的目標數據,並存儲所述自定義字符與其替換的目標數據的對應關係,其中,在顯示所述目標頁面時,根據所述對應關係將所述目標數據顯示在所述目標頁面上。
一種基於CNN和海量日誌的SQL注入識別方法
本發明提供一種基於CNN和海量日誌的SQL注入識別方法,包括以下步驟:步驟1:從網站日誌中提取URL訪問記錄,提取URL中的查詢參數部分;步驟2:對步驟1中提取的數據進行預處理;步驟3:搭建CNN網絡,根據步驟2得到的數據對CNN網絡進行訓練,得到CNN模型;步驟4:根據步驟3得到的模型進行實時檢測基於查詢語句的SQL注入攻擊;本發明能自動提取SQL注入的隱藏共有特徵,對SQL注入檢測效果好,速度快,漏報率和誤報率低。
1.一種基於CNN和海量日誌的SQL注入識別方法,其特徵在於,包括以下步驟:
步驟1:從網站日誌中提取URL訪問記錄,提取URL中的查詢參數部分;
步驟2:對步驟1中提取的數據進行預處理;
步驟3:搭建CNN網絡,根據步驟2得到的數據對CNN網絡進行訓練,得到CNN模型;
步驟4:根據步驟3得到的模型進行實時檢測基於查詢語句的SQL注入攻擊。
一種基於訪問日誌IP分析的網絡爬蟲檢測方法
本發明公開了一種基於訪問日誌IP分析的網絡爬蟲檢測方法,具體步驟是:使用特徵檢測法檢測訪問請求數據包中的特徵來判斷是否爲普通爬蟲;使用訪問行爲檢測法檢測IP訪問靜態資源和動態資源的比例來判斷該IP是否爲高級爬蟲;使用特殊爬蟲檢測法檢測網站接口的訪問量來判斷是否爲爬蟲;輸出判定結果;本發明通過三種檢測方法對IP進行識別,可以覆蓋普通爬蟲、高級爬蟲和特殊爬蟲,能夠從更大範圍內進行有效爬蟲識別,在檢測過程中還可以通過調節參數控制誤報率,更加符合實際工作需要。
1.一種基於訪問日誌IP分析的網絡爬蟲檢測方法,其特徵在於,包括以下步驟:
(1)、使用特徵檢測法檢測訪問請求數據包中的特徵來判斷是否爲普通爬蟲,如果識別成功則判定該IP屬於網絡爬蟲,否則進入下一步;
(2)、使用訪問行爲檢測法檢測IP訪問靜態資源和動態資源的比例來判斷該IP是否爲高級爬蟲,如果識別成功則判定該IP屬於網絡爬蟲,否則進入下一步;
(3)、使用特殊爬蟲檢測法檢測網站接口的訪問量來判斷是否爲爬蟲,如果識別成功則判定該IP屬於網絡爬蟲,否則判定爲非爬蟲IP;
(4)、輸出判定結果。
一種欺詐賬號檢測方法、裝置及其存儲介質
本發明提供了一種欺詐賬號檢測方法、裝置及其存儲介質,涉及反欺詐檢測技術領域。該欺詐賬號檢測方法包括:基於每個賬號的關聯設備特徵和賬號行爲特徵確定所述賬號爲欺詐賬號的初始置信度;基於每個賬號與其他賬號的關聯關係確定網絡賬號關係圖,所述網絡賬號關係圖包括每個賬號與其他賬號在不同關聯關係下爲欺詐賬號的轉移概率;基於置信度傳播算法獲得所述網絡賬號關係圖中每個賬號爲欺詐賬號的穩定置信度,基於賬號的穩定置信度確定每個賬號是否爲欺詐賬號。該方法結合賬號的固有特徵、登錄行爲特徵和置信度傳播算法判斷賬號是否爲欺詐賬號,提高了欺詐預測的效率、準確度和泛化能力。
1.一種欺詐賬號檢測方法,其特徵在於,所述方法包括:
基於每個賬號的關聯設備特徵和賬號行爲特徵確定所述賬號爲欺詐賬號的初始置信度,所述關聯設備特徵爲登錄賬號的設備的固有特徵,所述賬號行爲特徵爲賬號的登錄行爲特徵;
基於每個賬號與其他賬號的關聯關係確定網絡賬號關係圖,所述網絡賬號關係圖包括每個賬號與其他賬號在不同關聯關係下爲欺詐賬號的轉移概率;
基於置信度傳播算法獲得所述網絡賬號關係圖中每個賬號爲欺詐賬號的穩定置信度,基於賬號的穩定置信度確定每個賬號是否爲欺詐賬號。
網絡安全防護方法、裝置及嵌入式系統
本發明提供一種網絡安全防護方法、裝置及嵌入式系統,涉及網絡安全技術領域。方法可以包括:獲取待檢測報文,並確定與待檢測報文對應的行爲特徵;判斷預存的黑名單、預設惡意特徵檢測庫中是否存在與行爲特徵對應的表徵攻擊行爲的第一預設特徵;在黑名單、預設惡意特徵檢測庫中存在與行爲特徵對應的第一預設特徵時,將待檢測報文發送至隱藏IP地址的蜜罐系統中,以使蜜罐系統響應與待檢測報文對應的操作。本方案可以將具有攻擊行爲的報文發送至蜜罐系統,因爲蜜罐系統隱藏了IP地址,所以攻擊報文不易探測出蜜罐系統,能夠改善現有技術中因攻擊報文容易探測出蜜罐系統而避開蜜罐系統進行網絡攻擊的技術問題。
1.一種網絡安全防護方法,其特徵在於,應用於嵌入式系統,所述嵌入式系統與隱藏IP地址的蜜罐系統通信連接,所述方法包括:
獲取待檢測報文,並確定與所述待檢測報文對應的行爲特徵;
判斷預存的黑名單、預設惡意特徵檢測庫中是否存在與所述行爲特徵對應的表徵攻擊行爲的第一預設特徵;
在所述黑名單或所述預設惡意特徵檢測庫中存在與所述行爲特徵對應的所述第一預設特徵時,將所述待檢測報文發送至隱藏IP地址的所述蜜罐系統中,以使所述蜜罐系統響應與所述待檢測報文對應的操作。
滲透測試方法及裝置
本申請實施例提供一種滲透測試方法及裝置,測試終端生成攻擊鏈,該攻擊鏈包括一個以上待使用攻擊面,該待使用攻擊面包括一個以上可用攻擊插件;加載攻擊鏈中的可用攻擊插件;按照攻擊鏈中的各待使用攻擊面的優先級,依次運行各待使用攻擊面中的可用攻擊插件,直至達到用戶指定的滲透目標;對得到的滲透測試結果進行展示。通過上述設計,可以實現自動化滲透測試,縮短滲透測試所需的時間和人力成本。
1.一種滲透測試方法,其特徵在於,應用於測試終端,所述方法包括:
生成攻擊鏈,所述攻擊鏈包括一個以上待使用攻擊面,所述待使用攻擊面包括一個以上可用攻擊插件;
加載所述可用攻擊插件;
按照所述攻擊鏈中的各所述待使用攻擊面的優先級,依次運行各所述待使用攻擊面中的所述可用攻擊插件,直至達到用戶指定的滲透目標;
對得到的滲透測試結果進行展示。
一種基於樸素貝葉斯算法的網頁內容篡改檢測方法
本發明公開了一種基於樸素貝葉斯算法的網頁內容篡改檢測方法,用於檢測網頁是否被惡意篡改。對於同一個網站,雖然網頁的結構可能不斷變化,但是網站顯示內容的關鍵詞總是相似的,因此在網頁篡改前與被篡改後的關鍵詞內容發生了較大的變化。根據以上的思想,本發明首先建立正常與被篡改網頁的樣本關鍵詞庫,然後使用樸素貝葉斯算法分別計算該網頁被篡改與未被篡改的概率,並判斷二者的大小,最後得出網頁是否被篡改的概率。本發明提高了檢測的準確率與穩定性。
1.一種基於樸素貝葉斯算法的網頁內容篡改檢測方法,其特徵在於,包括以下步驟:
步驟1:使用爬蟲動態解析、爬取待提取頁面內容;
步驟2:除去步驟1裏獲取到的頁面內容中的html標籤、css代碼、JavaScript代碼;
步驟3:分詞,即將網站內容中的句子分解爲詞語;
步驟4:使用TF-IDF根據某個詞的詞頻和該詞在文檔中出現的次數來對詞語的重要程度進行衡量,將所有詞語按照TF-IDF指數從大到小排序,按順序選取一定數量詞語作爲該文檔的特徵詞;
步驟5:對一定數量網站得到的特徵詞進行人工標註;即如果該網頁爲正常網頁,則從該網頁提取的特徵詞標註爲正常;若該網頁已經被篡改,則從篡改頁面提取的特徵詞注爲被篡改;
步驟6:將步驟5所得標註的特徵詞及其標註存入數據庫中,作爲樣本特徵詞庫;
步驟7:根據步驟1至步驟4的方法提取待檢測網站的特徵詞,並使用樸素貝葉斯算法結合步驟6得到的樣本特徵詞庫進行分類,判斷待檢測網站內容是否被篡改。
網頁篡改監控方法、裝置、監控設備及可讀存儲介質
本發明實施例提供一種網頁篡改監控方法、裝置、監控設備及可讀存儲介質。該方法包括:定期獲取被監控網頁的網頁快照;檢測當前網頁快照與上一張網頁快照之間是否存在變更區域;若存在,則提取該變更區域對應的變更區域圖像;判斷所述變更區域圖像是否爲篡改嫌疑圖像,得到第一判斷結果;所述第一判斷結果包括:所述變更區域圖像爲篡改嫌疑圖像;或者所述變更區域圖像不爲篡改嫌疑圖像。本發明提供的網頁篡改監控方法、裝置、監控設備及可讀存儲介質,無需用戶瞭解被監控網頁的設計實現就能夠對大量網頁進行篡改監控,極大提高了監控易用性,降低用戶的工作量。
1.一種網頁篡改監控方法,其特徵在於,應用於監控設備,所述方法包括:
定期獲取被監控網頁的網頁快照;
檢測當前網頁快照與上一張網頁快照之間是否存在變更區域;
若存在,則提取該變更區域對應的變更區域圖像;
判斷所述變更區域圖像是否爲篡改嫌疑圖像,得到第一判斷結果;
所述第一判斷結果包括:
所述變更區域圖像爲篡改嫌疑圖像;或者
所述變更區域圖像不爲篡改嫌疑圖像。
一種Web漏洞檢測方法、裝置、電子設備及存儲介質
本發明涉及一種Web漏洞檢測方法、裝置、電子設備及存儲介質,屬於漏洞檢測技術領域。該Web漏洞檢測方法應用於網絡設備,方法包括:獲取目標URL清單;獲得與目標URL清單相對應的所有Web應用;對所有Web應用進行漏洞檢測,得到Web漏洞檢測結果。該方法通過獲取內容更全面、完整性更高的目標URL清單,再基於該目標URL清單獲得與目標URL清單相對應的所有Web應用,然後再對所有Web應用進行漏洞檢測。而不再是通過爬蟲技術直接去獲取Web網站或Web系統的URL清單,解決了傳統Web漏洞掃描器的爬蟲效率低下,無法獲取孤島鏈接或者隱藏很深的鏈接的問題,進而能高效和準確地找到更多的潛在漏洞。
1.一種Web漏洞檢測方法,其特徵在於,應用於網絡設備,所述方法包括:
獲取目標URL清單;
獲得與所述目標URL清單相對應的所有Web應用;
對所述所有Web應用進行漏洞檢測,得到Web漏洞檢測結果。
基於WordPress的漏洞分析方法及裝置
本發明提供了一種基於WordPress的漏洞分析方法及裝置,涉及漏洞檢測領域。基於WordPress的漏洞分析方法應用於服務端,該包括獲得公共平臺上WordPress的目標漏洞信息;調用WordPress的API接口,按照使用率獲得多個組件、模板和插件的數據信息;將目標漏洞信息與多個數據信息進行關聯分析,得到每個目標漏洞信息的漏洞分析結果;依據每個目標漏洞信息的漏洞分析結果生成漏洞分析報告,並將漏洞分析報告推送給預配置的用戶終端。本發明提供的基於WordPress的漏洞分析方法及裝置能全面收集互聯網中關於WordPress的漏洞信息,並能夠提醒用戶更新補丁或更新版本,以修復漏洞。
1.一種基於WordPress的漏洞分析方法,應用於服務端,其特徵在於,包括:
獲得公共平臺上所述WordPress的目標漏洞信息;
調用所述WordPress的API接口,按照使用率獲得多個組件、模板和插件的數據信息;
將所述目標漏洞信息與多個所述數據信息進行關聯分析,得到每個所述目標漏洞信息的漏洞分析結果;
依據每個所述目標漏洞信息的漏洞分析結果生成漏洞分析報告,並將所述漏洞分析報告推送給預配置的用戶終端。
疑似SQL注入類型的檢測方法及裝置
本發明提供了一種疑似SQL注入類型的檢測方法及裝置,涉及網絡安全技術領域。疑似SQL注入類型的檢測方法用於對http請求的疑似SQL注入類型進行檢測,該方法包括獲得未知類型的疑似注入點;將未知類型的疑似注入點對應的http請求量化得到輸入向量;將輸入向量作爲預先建立的訓練模型的輸入進行運算,並依據輸出結果得到未知類型的疑似注入點的疑似SQL注入類型。本發明提供的疑似SQL注入類型的檢測方法及裝置可以較準確地識別疑似注入點的疑似SQL注入類型,以便後續對SQL注入檢測時根據識別出的疑似SQL注入類型針對性的進行檢測,提升SQL注入檢測的檢測質量。
基於URI的分類模型的構建方法和Webshell攻擊網站的檢測方法
本發明公開了一種基於URI的分類模型的構建方法,在計算設備中執行,包括:分別獲取多條已確認爲正常訪問網站和Webshell攻擊網站的訪問日誌作爲正樣本數據和負樣本數據,其中每條訪問日誌中包括請求資源的URI及與該URI關聯的訪問數據;分別從正樣本數據和負樣本數據中提取針對同一URI的多條訪問日誌,根據該多條訪問日誌的訪問數據計算該URI的多個URI特徵值,並將該多個URI特徵值構造爲一條URI特徵向量;分別根據正/負樣本數據中各URI的URI特徵向量及其對應的正樣本標識生成第一正/負樣本集,並根據這兩個樣本集生成第一訓練集;以該第一訓練集中各樣本的URI特徵向量爲輸入,以其樣本標識爲輸出,採用預定算法對第一訓練集進行訓練,得到基於URI的分類模型。
1.一種基於URI的分類模型的構建方法,在計算設備中執行,適於區分正常訪問網站的URI和疑似被Webshell攻擊網站的URI,該方法包括:
分別獲取多條已確認爲正常訪問網站的訪問日誌作爲正樣本數據,以及多條已確認爲Webshell攻擊網站的訪問日誌作爲負樣本數據,其中每條訪問日誌中包括請求資源的URI以及與該URI相關聯的訪問數據;
分別從正樣本數據和負樣本數據中提取針對同一URI的多條訪問日誌,根據該多條訪問日誌的訪問數據計算該URI的多個URI特徵值,並將該多個URI特徵值構造爲一條URI特徵向量;
根據正樣本數據中各URI的URI特徵向量及其對應的正樣本標識生成第一正樣本集,以及根據負樣本數據中各URI的URI特徵向量及其對應的負樣本標識生成第一負樣本集;以及
根據所述第一正樣本集和第一負樣本集生成第一訓練集,並以該第一訓練集中各樣本的URI特徵向量爲輸入,以其樣本標識爲輸出,採用預定算法對所述第一訓練集進行訓練,得到所述基於URI的分類模型。
一種基於訪問行爲特徵的WebShell挖掘方法
本發明公開一種基於訪問行爲特徵的WebShell挖掘方法,包括數據清洗:提取出網站日誌中對動態頁面的訪問記錄;過濾掉URI長度大於指定值的訪問記錄;過濾掉常見掃描器訪問的URI的記錄;行爲特徵過濾:過濾掉單個IP對同一網站訪問次數超過指定值的記錄;過濾掉單個IP訪問網站個數超過另一指定值的記錄;過濾掉同一URL超過指定IP個數訪問的記錄;輸出結果:按照IP出現的頻率從小到大進行排序;規範化日誌格式並保存到文件,供人工複查。本發明通過分析攻擊者在訪問WebShell時的行爲特徵可以過濾掉絕大多數無意義的訪問記錄,並按照可疑度進行排序,可有效的減少最終分析結果的數量,並大大提高WebShell的識別精準度,從而減少人工分析成本,極大的方便了人工複查。
一種基於客戶端識別的一句話WebShell攔截方法
本發明公開了一種基於客戶端識別的一句話WebShell攔截方法,包括以下步驟:步驟1:服務器接收到HTTP請求後,檢測Cookie中是否有AccessToken值,如沒有則轉入步驟2;如有,則檢測其是否與Session中的AccessToken值一致,如一致則放行,如不一致則忽略該請求;步驟2:服務器檢查客戶端是否傳遞了指定Cookie,如否則進行驗證,如有則檢測Cookie值是否合法;如合法則忽略本次請求,如合法則轉入步驟3;步驟3:對比HTTP請求中的Referer值,如Referer值不等於當前訪問的URL則忽略本次請求,如Referer值等於當前URL則轉入步驟4;步驟4:服務器生成一個隨機字符串作爲AccessToken存入Session中,將AccessTtoken設置爲網站Cookie,訪問成功;本發明匹配精準度高,且不影響正常用戶使用,可極大的減少漏報率和誤報率。
一種結合爬蟲的日誌分析方法
本發明提供了一種結合爬蟲的日誌分析方法,包括以下步驟:步驟1:對指定的網站進行可正常訪問的鏈接爬取,將整個網站的結構記錄下來;步驟2:將爬取的結果存入數據庫中;步驟3:依據數據庫中爬蟲爬取的URL列表對Web日誌進行篩選;步驟4:將各種異常日誌自動標記出它的攻擊類型,再將這些攻擊日誌進一步細化分析,包括通過特徵區分攻擊成功或者攻擊不成功的Webshell,最後將分析結果進行UI展示等等。本發明在分析單個網站的海量日誌時,能夠提高分析的準確性,同時也減少人力投入的成本。
一種結合爬蟲的日誌分析方法,其特徵在於,包括以下步驟:步驟1:對指定的網站進行可正常訪問的鏈接爬取,將整個網站的結構記錄下來;步驟2:將步驟1中爬取的結果存入數據庫中;步驟3:依據數據庫中爬蟲爬取的URL列表對Web日誌進行篩選;即:1)從數據庫中將爬取的軌跡URL列表加載到內存中,2)對Web日誌進行逐行處理,對每一行日誌都從中提取出URL,然後判斷該URL是否存在於爬取的列表中,如果存在於列表中,則該訪問是正常訪問,否則將該行判斷爲異常日誌;步驟4:將各種異常日誌自動標記出它的攻擊類型,再將這些攻擊日誌進一步細化分析,包括通過特徵區分攻擊成功或者攻擊不成功的Webshell,最後將分析結果進行UI展示、高危的進行告警、輔助人工分析。
一種檢測網絡服務器中敏感文件泄露的方法及計算設備
本發明公開了一種檢測網絡服務器中敏感文件泄露的方法,包括:對網絡服務器進行應用識別,以獲取網絡服務器的應用特徵;創建壓縮類敏感文件的第一列表和非壓縮類敏感文件的第二列表;根據所獲取網絡服務器的應用特徵,生成與該應用特徵對應的壓縮類敏感文件的文件名,並將該文件名添加到所述第一列表中,生成與該應用特徵對應的非壓縮類敏感文件的文件名與正則表達式,並將該文件名和正則表達式相關聯的添加到所述第二列表中;對第一列表和第二列表中的每個文件名,逐個向網絡服務器發起請求,根據網絡服務器的響應結果,判斷該網絡服務器是否存在敏感文件泄露。本發明還一併公開了用於執行該方法的計算設備。
一種檢測網絡服務器中敏感文件泄露的方法,在計算設備中執行,幷包括如下步驟:對網絡服務器進行應用識別,以獲取網絡服務器的應用特徵;創建壓縮類敏感文件的第一列表和非壓縮類敏感文件的第二列表,所述第一列表的每個數據條目爲壓縮類敏感文件的文件名;所述第二列表的每個數據條目爲非壓縮類敏感文件的文件名與正則表達式的關聯關係,其中根據所述正則表達式能夠匹配出具有該文件名的敏感文件對應的敏感信息;根據所獲取網絡服務器的應用特徵,生成與該應用特徵對應的壓縮類敏感文件的文件名,並將該文件名添加到所述第一列表中,和/或,生成與該應用特徵對應的非壓縮類敏感文件的文件名與正則表達式,並將該文件名和正則表達式相關聯的添加到所述第二列表中;以及對第一列表和第二列表中的每個文件名,逐個向網絡服務器發起請求,根據網絡服務器的響應結果,判斷該網絡服務器是否存在敏感文件泄露。
一種面向海量日誌的WebShell挖掘方法
本發明提供了一種面向海量日誌的WebShell挖掘方法,包括以下步驟:步驟1:收集單一入口類型的網站名單;步驟2:對日誌進行檢測,得到滿足條件的URL,進而判斷高度疑似WebShell;步驟3:檢測可訪問性,包括獲取步驟2中URL對應域名的404頁面內容和URL的頁面內容,比較兩次請求頁面內容的萊文斯坦比,排除掉自定義404頁面,以此判斷該URL是否真實存在,若該URL真實存在則判斷該URL爲WebShell。本發明基於單一入口類型網站特殊的網站結構,配合自動化檢測過濾掉自定義404頁面,縮小嫌疑範圍,大大提高識別WebShell的精準度,從而降低人工分析的成本。
一種面向海量日誌的WebShell挖掘方法,其特徵在於,包括以下步驟:步驟1:收集單一入口類型的網站名單;步驟2:對日誌進行檢測,即:步驟2.1:收集步驟1中確定的單一入口類型網站的訪問日誌;步驟2.2:在步驟2.1提取的日誌中,提取出HTTP狀態碼僅爲200的URL;步驟2.3:將步驟2.2中得到的URL去掉參數,並取出動態腳本類型的URL;步驟2.4:比較步驟2.3得到中的URL是否與步驟1中收集的與此URL對應域名的URL一致,如果一致則判斷爲正常訪問;如果所比較的兩個URL不一致則判斷爲高度疑似WebShell;步驟3:檢測可訪問性,即:步驟3.1:獲取步驟2.3中URL對應域名的404頁面內容;步驟3.2:獲取步驟2.3中URL的頁面內容;步驟3.3:比較兩次請求頁面內容的萊文斯坦比,排除掉自定義404頁面,以此判斷該URL是否真實存在;步驟3.4:如果該URL真實存在則判斷該URL爲WebShell。
一種報錯型SQL注入的檢測方法和代理服務器
本發明公開了一種報錯型SQL注入的檢測方法,在代理服務器中執行,該服務器中存儲有第一模型庫和第二模型庫,第一模型檢測網絡請求是否爲報錯型SQL注入請求,第二模型檢測網絡響應是否爲報錯型SQL注入響應,方法包括:從客戶端的網絡請求中提取請求參數值,將請求參數值與第一模型庫進行第一匹配;若第一匹配不成功,則放行該網絡請求;接收網絡服務器返回的網絡響應,提取其中的響應內容並將該內容與第二模型庫進行第二匹配;若第二匹配成功,則對請求參數值建模後添加到第一模型庫中;以及從網絡響應中刪除匹配到的響應內容後放行該網絡響應,並將網絡請求中的URL與匹配到的響應內容關聯存儲,作爲存在報錯型SQL注入漏洞的URL和對應的漏洞泄露信息。
一種報錯型SQL注入的檢測方法,在代理服務器中執行,所述代理服務器中存儲有第一模型庫和第二模型庫,所述第一模型庫中包括多個第一模型,所述第一模型適於檢測網絡請求是否爲報錯型SQL注入請求,所述第二模型庫中包括多個第二模型,所述第二模型適於檢測網絡響應是否爲報錯型SQL注入響應,所述方法包括:接收客戶端發送的網絡請求,提取所述網絡請求中的請求參數值,並將請求參數值與第一模型庫進行第一匹配;當第一匹配的結果爲未匹配到第一模型庫中的第一模型時,將該網絡請求作爲第一類型網絡請求放行;接收網絡服務器根據第一類型網絡請求所返回的網絡響應,提取所述網絡響應中的響應內容,並將響應內容與第二模型庫進行第二匹配;當第二匹配的結果爲匹配到第二模型庫中的第二模型時,對所述請求參數值進行建模得到第一模型,並將該第一模型添加到第一模型庫中;以及從網絡響應中刪除匹配到的響應內容後放行該網絡響應,並將該網絡響應對應的網絡請求中的URL與匹配到的響應內容進行關聯存儲,作爲存在報錯型SQL注入漏洞的URL和對應的漏洞泄露信息。
一種基於HTTP DNS的DDoS攻擊防禦及溯源方法
本發明提供了一種基於HTTP DNS的DDoS攻擊防禦及溯源方法,包括以下步驟:步驟1:客戶端通過HTTP DNS向服務器HTTP DNS server發起域名解析請求;步驟2:獲取客戶端的IP地址,以均分的方式分配後臺服務器地址,記錄客戶端IP地址與分配的後臺服務器地址的映射關係;步驟3:防禦DDoS攻擊防禦並溯源。本發明在攻擊到來時,無需大量資源進行防禦,迅速通過HTTP DNS切走流量;經過有限次迭代處理,可以迅速發現可疑攻擊者並阻斷攻擊;針對攻擊者IP定位準確,極大地減少了合法客戶端IP的誤攔和誤報。
一種基於HTTP DNS的DDoS攻擊防禦及溯源方法,其特徵在於,包括以下步驟:步驟1:客戶端通過HTTP DNS向服務器HTTP DNS server發起域名解析請求;步驟2:服務器HTTP DNS server接受客戶端的請求後,進行以下處理:a、獲取客戶端的IP地址;b、以均分的方式分配後臺服務器地址;c、記錄步驟a中客戶端IP地址與步驟b中分配的後臺服務器地址的映射關係;步驟3:攻擊到來時,後臺服務器進行以下處理:d、找到被攻擊的後臺服務器;e、通過步驟c中記錄的映射關係,找到被攻擊後臺服務器對應的客戶端IP地址的集合;f、在HTTP DNS server中更新步驟e中IP集合對應的解析,將集合中的IP的解析均勻地分配到其他後臺服務器上;g、更新步驟c中的映射關係,只記錄步驟f中產生的映射關係;h、當前被攻擊的服務器不再處理業務請求;i、等待攻擊的目標後臺服務器變化後,繼續從步驟d開始處理,直至在步驟g中獲得的映射關係中的客戶端IP數量小於指定的值;j、在HTTP DNS server中更新步驟i獲得的所有客戶端IP對應的解析爲黑洞IP,實現防禦;k、在步驟i得到的客戶端IP爲可疑攻擊者。
一種瀏覽器的鼠標指針定位方法及計算設備
本發明公開了一種瀏覽器的鼠標指針定位方法,該方法適於在計算設備的瀏覽器中執行,計算設備的瀏覽器與服務器相連,包括步驟:響應於用戶對瀏覽頁面上顯示元素的點擊操作,發送顯示元素的元素標識給服務器,以便服務器統計每個顯示元素被點擊次數;當監測到頁面刷新請求時,發送刷新指令給服務器,其中刷新指令中包含待瀏覽頁面上的至少一個顯示元素的元素標識;接收由服務器返回的所述待瀏覽頁面上至少一個顯示元素的被點擊次數;以及在待瀏覽頁面顯示時,根據被點擊次數控制鼠標指針移動到相應顯示元素所處位置。本發明一併公開了相應的計算設備。
一種瀏覽器的鼠標指針定位方法,所述方法適於在計算設備的瀏覽器中執行,所述計算設備的瀏覽器與服務器相連,所述方法包括步驟:響應於用戶對瀏覽頁面上顯示元素的點擊操作,發送所述顯示元素的元素標識給所述服務器,以便所述服務器統計每個顯示元素被點擊次數;當監測到頁面刷新請求時,發送刷新指令給所述服務器,其中所述刷新指令中包含待瀏覽頁面上的至少一個顯示元素的元素標識;接收由所述服務器返回的所述待瀏覽頁面上至少一個顯示元素的被點擊次數;以及在所述待瀏覽頁面顯示時,根據被點擊次數控制鼠標指針移動到相應顯示元素所處位置。