CN106341406B - 基于http响实体正文html dom树变化的准确攻击识别方法 - Google Patents
基于http响实体正文html dom树变化的准确攻击识别方法 Download PDFInfo
- Publication number
- CN106341406B CN106341406B CN201610831667.5A CN201610831667A CN106341406B CN 106341406 B CN106341406 B CN 106341406B CN 201610831667 A CN201610831667 A CN 201610831667A CN 106341406 B CN106341406 B CN 106341406B
- Authority
- CN
- China
- Prior art keywords
- attack
- dom tree
- http
- entity text
- html dom
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于HTTP响实体正文HTML DOM树变化的准确攻击识别方法,包括以下步骤:接收客户端HTTP请求并进行预判,若预判结果为疑似攻击,则将该请求拦截,将客户端请求数据替换为普通内容后发送给服务器;记录服务器发送的HTTP响应实体正文并绘制HTML DOM树;将客户端原始请求数据发送给服务器,记录服务器发送的HTTP响应实体正文并绘制HTML DOM树;对比两次HTTP响应实体正文HTML DOM树是否发生变化;若发生变化,判断本次客户端请求为攻击,若对比结果未发生变化,判断本次客户端请求为非攻击。本发明对疑似攻击行为准确识别,识别出其为攻击还是非攻击;准确判定攻击是否生效,误报率低。
Description
技术领域
本发明涉及Web攻击识别领域,具体涉及一种基于HTTP响实体正文HTML DOM树变化的准确攻击识别方法。
背景技术
目前Web攻击识别技术几乎都是根据HTTP请求进行检测的。检测方法是,客户端请求到达服务器前对客户端请求数据进行攻击特征匹配例如客户端请求为http://www.example.com/?id=1and 1=1,如果and 1=1匹配了攻击特征,就识别为攻击,如果没有匹配攻击特征就识别为非攻击。此检测方法有几项缺点:首先,攻击识别是在客户端请求到达服务器前,导致攻击是否生效不能判别;其次,不同服务器对请求数据的处理方式不同产生很高的误报率;最后,识别方法是依据攻击特征的,当有新的攻击手法时,需要及时的进行特征分析和补充。
相关术语解释
HTTP:超文本传输协议(Hyper Text Transfer Protocol),是互联网上应用最为广泛的一种网络协议。
HTTP响应实体正文:HTTP服务器发送给请求客户端的,HTTP响应头后的内容。
HTML DOM树:依据页面中HTML标签关系描绘的HTML标签树。
发明内容
本发明所要解决的技术问题是提供一种基于HTTP响实体正文HTML DOM树变化的准确攻击识别方法,解决现有Web攻击识别技术中不能判定攻击是否生效、高误报率、新的攻击方法出现后要进行攻击特征分析和补充等问题。
为解决上述技术问题,本发明采用的技术方案是:
一种基于HTTP响实体正文HTML DOM树变化的准确攻击识别方法,包括以下步骤:
步骤1:接收客户端HTTP请求并进行预判,若预判结果为疑似攻击,则将该请求拦截,将客户端请求数据替换为普通内容后发送给服务器;
步骤2:记录服务器发送的HTTP响应实体正文并绘制HTML DOM树;
步骤3:将客户端原始请求数据发送给服务器,记录服务器发送的HTTP响应实体正文并绘制HTML DOM树;
步骤4:对比两次HTTP响应实体正文HTML DOM树是否发生变化;若发生变化,判断本次客户端请求为攻击,若对比结果未发生变化,判断本次客户端请求为非攻击。
根据上述方案,若步骤1的预判结果为非攻击,则断定本次客户端请求为非攻击。
与现有技术相比,本发明的有益效果是:对疑似攻击行为准确识别,识别出其为攻击还是非攻击;准确判定攻击是否生效,误报率低;此外,在新的攻击方法出现后,不需要进行攻击特征分析和补充。
附图说明
图1是服务器响应实体正文HTML DOM树示意图。
图2是本发明基于HTTP响实体正文HTML DOM树变化的准确攻击识别方法流程图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步的说明。本发明提供的一种基于HTTP响应实体正文HTML DOM树变化的准确Web攻击识别方法,包括客户端请求初步判断、客户端请求拦截、客户端提交数据替换、客户端请求数据发送、HTTP响应实体正文HTML DOM树对比、依据HTTP响应实体正文HTML DOM树对比结果来判断客户端请求是否为攻击等内容,详述如下。
S101、收到客户端HTTP请求进行预判;
S102、如果步骤S101预判结果为疑似攻击;
S103、首先将该请求拦截,将客户端请求数据(通过参数提交的内容)替换为普通内容后发送给服务器;
S104、记录服务器发送的HTTP响应实体正文并绘制HTML DOM树;
S105、将客户端请求数据(没有替换请求数据,客户端原始请求)发送给服务器;
S106、记录服务器发送的HTTP响应实体正文并绘制HTML DOM树;
S107、对比步骤S104与S106结果,看两次Http响应实体正文HTML DOM数是否发生变化;
S108、若发生变化(这里可以设定为一个变化阈值),判断本次客户端请求为攻击;
S109、若步骤107对结果未发生变化,判断本次客户端请求为非攻击;
如果步骤S102判断为非攻击,本次客户端请求为非攻击。
例如客户端请求
http://example.com/viewSource.action?method:%23_memberAccess%3d@ ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23context[%23parameters.obj[0]] .getWriter().print(%23para meters.content[0]%2b201%2b20702),1?%23xx:% 23request.toString&obj=com.opensymphony.xwo rk2.dispatcher.HttpServletRespo nse&content=14998,
先将请求替换为http://example.com/viewSource.action?view,发送到服务器,服务器响应实体正文HTML DOM树如图1所示。
再发送客户端请求
http://example.com/viewSource.action?method:%23_memberAccess%3d@ ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23context[%23parameters.obj[0]] .getWriter().print(%23para meters.content[0]%2b201%2b20702),1?%23xx:% 23request.toString&obj=com.opensymphony.xwo rk2.dispatcher.HttpServletRespo nse&content=14998,发送到服务器,服务器响应实体正文HTML DOM树为空(没有HMTL标签),发现两次请求服务器发送的响应实体正文HTML DOM树发生了变化,判断该请求为攻击。
Claims (2)
1.一种基于HTTP响实体正文HTML DOM树变化的准确攻击识别方法,其特征在于,包括以下步骤:
步骤1:接收客户端HTTP请求并进行预判,若预判结果为疑似攻击,则将该请求拦截,将客户端请求数据替换为普通内容后发送给服务器;
步骤2:记录服务器发送的HTTP响应实体正文并绘制HTML DOM树;
步骤3:将客户端原始请求数据发送给服务器,记录服务器发送的HTTP响应实体正文并绘制HTML DOM树;
步骤4:对比两次HTTP响应实体正文HTML DOM树是否发生变化;若发生变化,判断本次客户端请求为攻击,若对比结果未发生变化,判断本次客户端请求为非攻击。
2.如权利要求1所述的基于HTTP响实体正文HTML DOM树变化的准确攻击识别方法,其特征在于,若步骤1的预判结果为非攻击,则断定本次客户端请求为非攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610831667.5A CN106341406B (zh) | 2016-09-19 | 2016-09-19 | 基于http响实体正文html dom树变化的准确攻击识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610831667.5A CN106341406B (zh) | 2016-09-19 | 2016-09-19 | 基于http响实体正文html dom树变化的准确攻击识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106341406A CN106341406A (zh) | 2017-01-18 |
| CN106341406B true CN106341406B (zh) | 2019-07-16 |
Family
ID=57838946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610831667.5A Active CN106341406B (zh) | 2016-09-19 | 2016-09-19 | 基于http响实体正文html dom树变化的准确攻击识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106341406B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107749835B (zh) * | 2017-09-11 | 2020-11-20 | 哈尔滨工程大学 | 一种基于预测的点击劫持攻击的渗透测试方法 |
| CN107864048B (zh) * | 2017-10-16 | 2021-02-05 | 北京易讯通信息技术股份有限公司 | 一种基于dom对象高效绘制网络拓扑图的方法 |
| CN115296932B (zh) * | 2022-09-30 | 2023-01-06 | 北京知其安科技有限公司 | 检测waf拦截有效性的方法、装置以及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101888312A (zh) * | 2009-05-15 | 2010-11-17 | 北京启明星辰信息技术股份有限公司 | 一种web网页攻击检测和响应方法及装置 |
| CN102541674A (zh) * | 2011-12-26 | 2012-07-04 | 运软网络科技(上海)有限公司 | 自主元素模型控制***、方法及服务器受侵保护检测*** |
| CN104766014A (zh) * | 2015-04-30 | 2015-07-08 | 安一恒通(北京)科技有限公司 | 用于检测恶意网址的方法和*** |
| EP3021550A1 (en) * | 2014-11-13 | 2016-05-18 | Nicolo Pastore | System and method for identifying internet attacks |
-
2016
- 2016-09-19 CN CN201610831667.5A patent/CN106341406B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101888312A (zh) * | 2009-05-15 | 2010-11-17 | 北京启明星辰信息技术股份有限公司 | 一种web网页攻击检测和响应方法及装置 |
| CN102541674A (zh) * | 2011-12-26 | 2012-07-04 | 运软网络科技(上海)有限公司 | 自主元素模型控制***、方法及服务器受侵保护检测*** |
| EP3021550A1 (en) * | 2014-11-13 | 2016-05-18 | Nicolo Pastore | System and method for identifying internet attacks |
| CN104766014A (zh) * | 2015-04-30 | 2015-07-08 | 安一恒通(北京)科技有限公司 | 用于检测恶意网址的方法和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106341406A (zh) | 2017-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10333953B1 (en) | Anomaly detection in dynamically evolving data and systems | |
| CN106161478B (zh) | 基于http响应头变化的准确攻击识别方法 | |
| US9935967B2 (en) | Method and device for detecting malicious URL | |
| CN106341406B (zh) | 基于http响实体正文html dom树变化的准确攻击识别方法 | |
| CN106850333A (zh) | 一种基于反馈聚类的网络设备识别方法及*** | |
| US9379952B2 (en) | Monitoring NAT behaviors through URI dereferences in web browsers | |
| US10079770B2 (en) | Junk information filtering method and apparatus | |
| CN106603734B (zh) | Cdn服务ip检测方法和*** | |
| CN109597972B (zh) | 一种基于网页框架的网页动态变化和篡改检测方法 | |
| CN112929390B (zh) | 一种基于多策略融合的网络智能监控方法 | |
| WO2023207548A1 (zh) | 一种流量检测方法、装置、设备及存储介质 | |
| CN102436564A (zh) | 一种识别被篡改网页的方法及装置 | |
| CN109194677A (zh) | 一种sql注入攻击检测方法、装置及设备 | |
| CN108881138A (zh) | 一种网页请求识别方法及装置 | |
| CN108063833A (zh) | Http dns解析报文处理方法及装置 | |
| CN103634284B (zh) | 一种网络flood攻击的侦测方法及装置 | |
| CN101764840A (zh) | Web页面数据的提供方法、web服务器及web应用*** | |
| CN108197465B (zh) | 一种网址检测方法及装置 | |
| US11916942B2 (en) | Automated identification of false positives in DNS tunneling detectors | |
| CN107040532A (zh) | 一种使用在校验码验证的数据评估装置 | |
| CN109190412A (zh) | 网页篡改的检测方法和装置 | |
| CN106101117B (zh) | 一种钓鱼网站阻断方法、装置和*** | |
| US20150019466A1 (en) | System and method for automated generation of web decoding templates | |
| CN103297480A (zh) | 一种应用服务自动检测***和方法 | |
| CN106447369A (zh) | 网络访问数据的处理方法、终端设备及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: 9/F, Building C, No. 28, North Tianfu Avenue, China (Sichuan) Pilot Free Trade Zone, Hi tech Zone, Chengdu, 610000, Sichuan Patentee after: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. Address before: 8th Floor, Building 5, No. 801, Middle Section of Tianfu Avenue, High tech Zone, Chengdu City, Sichuan Province, 610000 Patentee before: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. |