一種Web應用入侵防御方法、裝置、網絡設備及系統的制作方法

專利名稱：一種Web應用入侵防御方法、裝置、網絡設備及系統的制作方法
技術領域：
本發明涉及通信領域，尤其涉及一種Web應用入侵防御方法、裝置、網絡設備及系統。
背景技術：
隨著互聯網的廣泛使用，網絡(Web)應用已經融入到日常生·活中的各個方面，例如網上購物、網絡銀行應用、證券股票交易、政府行政審批、高校門戶網站、運營商增值服務等等。Web應用已成為主流的業務系統的載體。面對參差不齊的Web應用技術，安全漏洞的存在無法避免，對于廣泛的Web運用提出了更高的要求，這就需要一種特殊的Web應用來保證其他Web應用的安全運行。這種特殊的Web應用就是Web應用防火墻。Web應用防火墻是Web應用入侵防御系統，其工作原理就是內部的防護引擎通過對超文本傳輸協定(HTTP,HyperText Transfer Protocol)/基于安全數據包層的超文本傳輸協定(HTTPS, HyperText Transfer Protocol over Secure Socket Layer)流量進行一系列安全策略檢查來保護Web應用的安全。但是，Web應用防火墻并不能夠防御所有的Web應用的安全漏洞，這就使得攻擊者有機會能夠繞過Web應用防火墻的防御，進而肆意篡改Web服務器的網頁文件。目前的解決這一問題的辦法是，在防護引擎的基礎上增加網頁防篡改組件，用于識別被篡改的網頁文件并對被篡改的網頁文件進行恢復，作為一種事后機制對Web服務器進行深層次的保護。作為處于中間位置(Web用戶和Web服務器之間)的Web應用防火墻,其承載的網頁防篡改組件一般通過輪詢機制檢測Web服務器上的網頁文件是否被篡改。目前，網頁防篡改組件與防護引擎各自獨立運行，互不影響。因此，即使網頁防篡改組件識別出攻擊者篡改的網頁文件并進行了恢復，攻擊者在網頁防篡改組件輪詢間隔時間里仍可以對網頁文件再次進行相同的篡改，而防護引擎仍將無法防御本次篡改，在網頁防篡改組件下一次輪詢到該網頁文件之前，被篡改的網頁文件能被Web用戶訪問得到，導致入侵防御失效。為了解決由于網頁防篡改組件輪詢周期的存在導致的入侵防御失效的問題，目前可以利用網頁防篡改組件實時地檢測Web服務器上的網頁文件是否被篡改的方式來解決該問題，具體的，包括以下兩種方案方案一、網頁防篡改組件直接部署在Web服務器上，進行驅動級的防護這種方案脫離了 Web應用防火墻，直接在Web服務器上進行驅動級的防護。由于實時檢測占用系統資源較多，本方案會造成Web服務器的負擔，同時影響其穩定性。方案一的示意圖可以如圖I所示。方案二、網頁防篡改組件承載在Web應用防火墻之上，實時檢測響應體這種方案下，網頁防篡改組件也是運行在Web應用防火墻之上。方案二的示意圖可以如圖2所示。在本方案中，實時檢測相對于輪詢檢測必然會造成系統資源的占用，導致系統性能的下降。且為了實現對響應體的實時檢測，需要對響應體進行基準的備份，而由于網站中可以包括動態網頁和靜態網頁，因此動態網頁響應體的內容非常多變。對經常發生變化的動態網頁響應體進行基準備份的可行性不高，由此導致實時檢測的準確率無法得到保證。

發明內容
本發明實施例提供一種Web應用入侵防御方法、裝置、網絡設備及系統，用于加強入侵防御的同時，減少系統資源的占用。一種網絡Web應用入侵防御方法，所述方法包括
通過輪詢方式確定Web服務器上被篡改的網頁文件，并確定網頁文件被篡改的結果;根據所述網頁文件被篡改的結果，確定對應的入侵防御策略；根據所述入侵防御策略，進行超文本傳輸協定HTTP/基于安全數據包層的超文本傳輸協定HTTPS流檢測。一種網絡Web應用入侵防御裝置，所述裝置包括輪詢模塊，用于通過輪詢方式確定Web服務器上被篡改的網頁文件，并確定網頁文件被篡改的結果；確定模塊，用于根據所述網頁文件被篡改的結果，確定對應的入侵防御策略；防御模塊，用于根據所述入侵防御策略，進行超文本傳輸協定HTTP/基于安全數據包層的超文本傳輸協定HTTPS流檢測。一種網絡設備，所述網絡設備包括上述的網絡Web應用入侵防御裝置。一種網絡系統，所述網絡系統包括上述的網絡設備、網頁Web服務器和Web客戶端。根據本發明實施例提供的方案，通過輪詢方式來確定Web服務器上被篡改的網頁文件，并根據網頁文件被篡改的結果來確定入侵防御策略，從而可以根據確定出的入侵防御策略來進行Web應用入侵防御，使得在進行Web應用入侵防御時，可以結合網頁文件被篡改的結果來進行。在輪詢間隔周期內，可以結合網頁文件被篡改的結果進行Web應用入侵防御，從而實現Web應用入侵防御的加強。同時，無需實時檢測網頁文件是否被篡改，還可以減少系統資源的占用，減輕系統的負擔，避免系統性能的下降。


圖I為現有技術提供的方案一的不意圖；圖2為現有技術提供的方案二的示意圖；圖3為本發明實施例一提供的Web應用入侵防御方法的步驟流程示意圖；圖4為本發明實施例三提供的Web應用入侵防御裝置的結構示意圖；圖5為本發明實施例三提供的Web應用入侵防御裝置的結構示意圖；圖6為本發明實施例五提供的Web應用入侵防御系統的結構示意圖。
具體實施例方式在本發明各實施例中，針對現有技術中網頁防篡改組件與防護引擎各自獨立運行，互不影響，導致網頁防篡改組件采用輪詢方式進行網頁文件篡改檢測與恢復時，雖然對被篡改的網頁文件進行了恢復，但在輪詢間隔周期內網頁文件可能會被再次篡改，而防護引擎無法察覺本次篡改，被篡改的網頁文件會被Web用戶訪問得到的問題，本發明實施例提出可以實現網頁防篡改組件與防護引擎的聯動，即可以根據網頁防篡改組件得到的網頁文件被篡改的結果來確定入侵防御策略，使得防護引擎可以根據確定出的入侵防御策略進行入侵防御，利用防護引擎來實現Web應用入侵防御的增強，從而可以避免在輪詢間隔周期內被篡改的網頁文件被Web用戶訪問。同時，本發明提供的方案中，網頁防篡改組件仍然采用輪詢檢測的方式，無需進行實時檢測，從而減少系統資源的占用，減輕系統的負擔，避免系統性能的下降。下面結合說明書附圖和各實施例對本發明方案進行說明。實施例一、 本發明實施例一提供一種Web應用入侵防御方法，該方法的步驟流程可以如圖3所示，包括步驟101、確定網頁文件被篡改的結果。在本實施例中，仍采用輪詢方式來確定Web服務器上是否存在被篡改的網頁文件。在本步驟中，可以通過輪詢方式確定Web服務器上被篡改的網頁文件，并確定網頁文件被篡改的結果。在本實施例中，以網頁文件被篡改的結果為添加、刪除和修改為例進行說明。具體的，在本步驟中，可以通過以下方式確定Web服務器上是否存在被篡改的網頁文件，并確定網頁文件被篡改的結果確定所述Web服務器中每個網頁文件的標識是否屬于第一標識集合，第一標識集合為備份的網頁文件中每個網頁文件的標識集合，該備份的網頁文件為本次輪詢之前備份的所述Web服務器中的網頁文件在確定所述Web服務器中一個網頁文件的標識不屬于所述第一標識集合時，確定該網頁文件被篡改，且網頁文件被篡改的結果為新添文件。即，在確定輪詢到的Web服務器中的網頁文件未曾備份時，可以確定該網頁文件為攻擊者在Web服務器上增加的網頁文件。在確定所述Web服務器中一個網頁文件的標識屬于所述第一標識集合時，確定該網頁文件與所述備份的網頁文件中該標識對應的網頁文件是否相同，在不相同時，確定該網頁文件被篡改，且網頁文件被篡改的結果為修改文件。即，在確定輪詢到的Web服務器中的網頁文件有備份時，可以進一步確定輪詢到的網頁文件與該網頁文件的備份是否一致，若不一致，則說明該網頁文件被攻擊者進行了修改。當然，若一致，可以認為該網頁文件沒有被攻擊者篡改，是合法的網頁文件。在本實施例中，除了可以在輪詢時，根據預先備份的網頁文件，檢測輪詢到的Web服務器中的網頁文件是否被篡改，確定Web服務器中被添加和修改的網頁文件之外，還可以進一步通過確定備份的網頁文件是否仍存在于本次輪詢時的Web服務器上，確定攻擊者是否刪除了 Web服務器上的網頁文件。具體的，可以確定備份的網頁文件中每個網頁文件的標識是否屬于第二標識集合，第二標識集合為本次輪詢確定出的Web服務器中每個網頁文件的標識集合。在確定備份的網頁文件中一個網頁文件的標識不屬于所述第二標識集合時，確定該網頁文件被篡改，且網頁文件被篡改的結果為刪除文件。步驟102、確定入侵防御策略。在本步驟中，根據網頁文件被篡改的結果，可以確定對應的入侵防御策略。在本實施例中，以避免被篡改的網頁文件被Web用戶訪問為目的為例，說明如何確定對應的入侵防御策略。如，在確定網頁文件被篡改的結果為刪除文件時，由于被刪除的文件無法被Web用戶訪問，因此，對應的入侵防御策略可以為空。網頁文件被篡改的結果為新添文件時，根據所述網頁文件被篡改的結果，確定出 的入侵防御策略可以但不限于為攔截文件名為指定文件名的網頁文件。所述指定文件名為相對于備份的網頁文件，Web服務器上被攻擊者增加的網頁文件的名稱。即所述指定文件名可以理解為所述Web服務器中，標識不屬于所述第一標識集合的網頁文件的文件名。如果網頁文件被篡改的結果為修改文件，在確定對應的入侵防御策略之前，還可以進一步根據所述網頁文件被篡改的結果，進行被篡改的網頁文件的篡改特征提取，以被修改的網頁文件為HTML文件為例，則可以以HTML文件的標簽為篡改特征，進行篡改特征的提取。并可以根據提取出的網頁文件篡改特征，來確定對應的入侵防御策略。確定出的入侵防御策略可以但不限于為攔截包含所述網頁文件篡改特征的網頁文件。當然，在網頁文件被篡改的結果為新添文件時，也可以在確定對應的入侵防御策略之前，進行被篡改的網頁文件的篡改特征提取，并根據提取出的網頁文件篡改特征，來確定對應的入侵防御策略。步驟103、進行Web應用入侵防御。在確定出入侵防御策略后，可以根據該入侵防御策略進行Web應用入侵防御。本步驟可以具體包括，根據所述入侵防御策略，進行HTTP/HTTPS流檢測，從而實現Web應用入侵防御。若確定出的入侵防御策略是為了避免被篡改的網頁文件被Web用戶訪問，則根據確定出入侵防御策略進行Web應用入侵防御，可以避免被篡改的網頁文件被Web用戶訪問。如果入侵防御策略為攔截文件名為指定文件名的網頁文件，則在本步驟中可以攔截Web用戶訪問的統一資源定位符(URL)中包含文件名為指定文件名的HTTP/HTTPS流。如果入侵防御策略為攔截包含所述網頁文件篡改特征的網頁文件，則在本步驟中可以攔截Web用戶訪問的響應體中包含所述網頁文件篡改特征的HTTP/HTTPS流。下面通過實施例二對本發明實施例一的方案進行說明。實施例二、下面以網頁文件被篡改的結果為修改文件，且被篡改的網頁文件為HTML文件為例，對篡改特征提取的過程進行說明。例如，Web應用防火墻的磁盤空間備份的網頁文件包含如下內容<a href = ^httpi/Aww. w3school. com. cn///>Click me〈/a>攻擊者繞過防護引擎篡改Web服務器上的該網頁文件，并把上述內容篡改成<a href = ^http://www. heikediguo. com. cOClick me〈/a>該網頁文件中包含一個標簽〈a hrefX/a〉，攻擊者將該標簽中嵌入的網址鏈接http://www. w3school. com. cn/ 篡改為 http://www. heikediguo. com. cn/ 來實現攻擊，因此可以將被篡改后的標簽確定為篡改特征。為了避免Web用戶訪問到被篡改的網頁文件，可以提取該網頁文件的標簽特征〈a >Click me〈/a>,從而可以通過攔截 Web 用戶訪問的響應體中包含 <a href = 〃http://www. heikediguo. com. cn/〃>Click me〈/a> 這個標簽特征的HTTP/HTTPS流，來避免Web用戶訪問到被篡改的網頁文件。本實施例中僅以HTML文件為例進行說明，針對其他類型的網頁文件，則可以提取對應的網頁文件篡改特征，以確定對應的入侵防御策略，避免Web用戶訪問到被篡改的網頁文件。與本發明實施例一和實施例二基于同一發明構思，提供以下的裝置。實施例三、本發明實施例三提供一種Web應用入侵防御裝置，該裝置可以理解為集成了網頁防篡改組件和防護引擎，并實現了二者的聯動，該裝置可以應用于Web應用防火墻，該裝置的結構可以如圖4所示,包括輪詢模塊11用于通過輪詢方式確定Web服務器上被篡改的網頁文件，并確定網頁文件被篡改的結果；確定模塊12用于根據所述網頁文件被篡改的結果，確定對應的入侵防御策略；防御模塊13用于根據所述入侵防御策略，進行超文本傳輸協定HTTP/基于安全數據包層的超文本傳輸協定HTTPS流檢測。輪詢模塊11具體用于確定所述Web服務器中一個網頁文件的標識不屬于所述第一標識集合，則確定該網頁文件被篡改，且網頁文件被篡改的結果為新添文件；或者，確定所述Web服務器中一個網頁文件的標識屬于所述第一標識集合，則確定該網 頁文件與所述備份的網頁文件中該標識對應的網頁文件是否相同，在不相同時，確定該網頁文件被篡改，且網頁文件被篡改的結果為修改文件；或者，確定備份的網頁文件中一個網頁文件的標識不屬于所述第二標識集合，則確定該網頁文件被篡改，且網頁文件被篡改的結果為刪除文件；其中，第一標識集合為備份的網頁文件中每個網頁文件的標識集合，該備份的網頁文件為本次輪詢之前備份的所述Web服務器中的網頁文件，第二標識集合為本次輪詢確定出的Web服務器中每個網頁文件的標識集合。確定模塊12具體用于在輪詢模塊確定出的網頁文件被篡改的結果為新添文件時，根據所述網頁文件被篡改的結果，確定對應的入侵防御策略為攔截文件名為指定文件名的網頁文件；或者，在輪詢模塊確定出的網頁文件被篡改的結果為新添文件時，根據所述網頁文件被篡改的結果，提取網頁文件篡改特征；根據所述網頁文件篡改特征，確定對應的入侵防御策略為攔截文件名為指定文件名的網頁文件；防御模塊13具體用于在確定模塊確定出的入侵防御策略為攔截文件名為指定文件名的網頁文件時，攔截Web用戶訪問的統一資源定位符URL中包含文件名為指定文件名的HTTP/HTTPS流；在確定模塊確定出的入侵防御策略為攔截包含所述網頁文件篡改特征的網頁文件時，攔截Web用戶訪問的響應體中包含所述網頁文件篡改特征的HTTP/HTTPS流；其中所述指定文件名為所述Web服務器中，標識不屬于所述第一標識集合的網頁文件的文件名。確定模塊12具體用于在輪詢模塊確定出的網頁文件被篡改的結果為修改文件時，根據所述網頁文件被篡改的結果，提取網頁文件篡改特征，根據所述網頁文件篡改特征，確定對應的入侵防御策略為攔截包含所述網頁文件篡改特征的網頁文件；防御模塊13具體用于在確定模塊確定出的入侵防御策略為攔截包含所述網頁文件篡改特征的網頁文件時，攔截Web用戶訪問的響應體中包含所述網頁文件篡改特征的HTTP/HTTPS 流。在本實施例中，輪詢模塊11可以理解為包括網頁防篡改組件的功能，并可以與Web服務器和Web用戶(Web客戶端)進行交互。防御模塊13可以理解為包括防護引擎的功能，并可以與Web服務器進行交互。確定模塊12可以理解為實現網頁防篡改組件和防護引擎聯動的聯動裝置。則，網頁防篡改組件21、防護引擎23、聯動裝置22之間的連接關系 示意圖可以如圖5所示。根據本發明實施例一 實施例三提供的方案，雖然防護引擎無法避免攻擊者對網頁文件的篡改，但可以根據網頁文件的網頁文件被篡改的結果，來進行Web應用入侵防御，從而可以防止被篡改的網頁文件能被Web用戶訪問得到，實現入侵防御的增強。即通過防護引擎與網頁防篡改組件的聯動，增強了防護引擎的功能，彌補了網頁防篡改組件定時輪詢固有的缺陷。實施例四、本發明實施例四提供一種網絡設備，該網絡設備可以理解為包括如實施例三所述的Web應用入侵防御裝置。實施例五、進一步的，本發明實施例五提供一種網絡系統，該網絡系統可以理解為包括如實施例四所述的網絡設備31、Web客戶端32和Web服務器33，該系統的結構可以如圖6所示。本領域內的技術人員應明白，本申請的實施例可提供為方法、系統、或計算機程序產品。因此，本申請可采用完全硬件實施例、完全軟件實施例、或結合軟件和硬件方面的實施例的形式。而且，本申請可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限于磁盤存儲器、CD-ROM、光學存儲器等)上實施的計算機程序產品的形式。本申請是參照根據本申請實施例的方法、設備(系統)、和計算機程序產品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合。可提供這些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數據處理設備的處理器以產生一個機器，使得通過計算機或其他可編程數據處理設備的處理器執行的指令產生用于實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。這些計算機程序指令也可存儲在能引導計算機或其他可編程數據處理設備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產生包括指令裝置的制造品，該指令裝置實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
這些計算機程序指令也可裝載到計算機或其他可編程數據處理設備上，使得在計算機或其他可編程設備上執行一系列操作步驟以產生計算機實現的處理，從而在計算機或其他可編程設備上執行的指令提供用于實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。盡管已描述了本申請的優選實施例，但本領域內的技術人員一旦得知了基本創造性概念，則可對這些實施例做出另外的變更和修改。所以，所附權利要求意欲解釋為包括優選實施例以及落入本申請范圍的所有變更和修改。顯然，本領域的技術人員可以對本申請進行各種改動和變型而不脫離本申請的精 神和范圍。這樣，倘若本申請的這些修改和變型屬于本申請權利要求及其等同技術的范圍之內，則本申請也意圖包含這些改動和變型在內。
權利要求
1.一種網絡Web應用入侵防御方法，其特征在于，所述方法包括 通過輪詢方式確定Web服務器上被篡改的網頁文件，并確定網頁文件被篡改的結果； 根據所述網頁文件被篡改的結果，確定對應的入侵防御策略； 根據所述入侵防御策略，進行超文本傳輸協定HTTP/基于安全數據包層的超文本傳輸協定HTTPS流檢測。
2.如權利要求I所述的方法，其特征在于，通過輪詢方式確定Web服務器上被篡改的網頁文件，并確定網頁文件被篡改的結果，具體包括 確定所述Web服務器中一個網頁文件的標識不屬于所述第一標識集合，則確定該網頁文件被篡改，且網頁文件被篡改的結果為新添文件；或者， 確定所述Web服務器中一個網頁文件的標識屬于所述第一標識集合，則確定該網頁文件與所述備份的網頁文件中該標識對應的網頁文件是否相同，在不相同時，確定該網頁文件被篡改，且網頁文件被篡改的結果為修改文件；或者， 確定備份的網頁文件中一個網頁文件的標識不屬于所述第二標識集合，則確定該網頁文件被篡改，且網頁文件被篡改的結果為刪除文件； 其中，第一標識集合為備份的網頁文件中每個網頁文件的標識集合，該備份的網頁文件為本次輪詢之前備份的所述Web服務器中的網頁文件，第二標識集合為本次輪詢確定出的Web服務器中每個網頁文件的標識集合。
3.如權利要求2所述的方法，其特征在于，網頁文件被篡改的結果為修改文件時，根據所述網頁文件被篡改的結果，確定對應的入侵防御策略，具體包括 網頁文件被篡改的結果為新添文件時，根據所述網頁文件被篡改的結果，確定對應的入侵防御策略為攔截文件名為指定文件名的網頁文件；或者， 網頁文件被篡改的結果為新添文件時，根據所述網頁文件被篡改的結果，提取網頁文件篡改特征；根據所述網頁文件篡改特征，確定對應的入侵防御策略為攔截包含所述網頁文件篡改特征的網頁文件； 確定出的對應的入侵防御策略為攔截文件名為指定文件名的網頁文件時，根據所述入侵防御策略，進行HTTP/HTTPS流檢測，具體包括 攔截Web用戶訪問的統ー資源定位符URL中包含文件名為指定文件名的HTTP/HTTPS流； 確定出的對應的入侵防御策略為攔截包含所述網頁文件篡改特征的網頁文件時，根據所述入侵防御策略，進行HTTP/HTTPS流檢測，具體包括 攔截Web用戶訪問的響應體中包含所述網頁文件篡改特征的HTTP/HTTPS流； 其中所述指定文件名為所述Web服務器中，標識不屬于所述第一標識集合的網頁文件的文件名。
4.如權利要求2所述的方法，其特征在于，網頁文件被篡改的結果為修改文件時，根據所述網頁文件被篡改的結果，確定對應的入侵防御策略，具體包括 根據所述網頁文件被篡改的結果，提取網頁文件篡改特征； 根據所述網頁文件篡改特征，確定對應的入侵防御策略為攔截包含所述網頁文件篡改特征的網頁文件； 貝丨J，根據所述入侵防御策略，進行HTTP/HTTPS流檢測，具體包括攔截Web用戶訪問的響應體中包含所述網頁文件篡改特征的HTTP/HTTPS流。
5.一種網絡Web應用入侵防御裝置，其特征在于，所述裝置包括 輪詢模塊，用于通過輪詢方式確定Web服務器上被篡改的網頁文件，并確定網頁文件被篡改的結果； 確定模塊，用于根據所述網頁文件被篡改的結果，確定對應的入侵防御策略； 防御模塊，用于根據所述入侵防御策略，進行超文本傳輸協定HTTP/基于安全數據包層的超文本傳輸協定HTTPS流檢測。
6.如權利要求5所述的裝置，其特征在于，輪詢模塊，具體用于確定所述Web服務器中一個網頁文件的標識不屬于所述第一標識集合，則確定該網頁文件被篡改，且網頁文件被篡改的結果為新添文件；或者， 確定所述Web服務器中一個網頁文件的標識屬于所述第一標識集合，則確定該網頁文件與所述備份的網頁文件中該標識對應的網頁文件是否相同，在不相同時，確定該網頁文件被篡改，且網頁文件被篡改的結果為修改文件；或者， 確定備份的網頁文件中一個網頁文件的標識不屬于所述第二標識集合，則確定該網頁文件被篡改，且網頁文件被篡改的結果為刪除文件； 其中，第一標識集合為備份的網頁文件中每個網頁文件的標識集合，該備份的網頁文件為本次輪詢之前備份的所述Web服務器中的網頁文件，第二標識集合為本次輪詢確定出的Web服務器中每個網頁文件的標識集合。
7.如權利要求6所述的裝置，其特征在干， 確定模塊，具體用于在輪詢模塊確定出的網頁文件被篡改的結果為新添文件時，根據所述網頁文件被篡改的結果，確定對應的入侵防御策略為攔截文件名為指定文件名的網頁文件；或者， 在輪詢模塊確定出的網頁文件被篡改的結果為新添文件時，根據所述網頁文件被篡改的結果，提取網頁文件篡改特征；根據所述網頁文件篡改特征，確定對應的入侵防御策略為攔截文件名為指定文件名的網頁文件； 防御模塊，具體用于在確定模塊確定出的入侵防御策略為攔截文件名為指定文件名的網頁文件時，攔截Web用戶訪問的統ー資源定位符URL中包含文件名為指定文件名的HTTP/HTTPS流；在確定模塊確定出的入侵防御策略為攔截包含所述網頁文件篡改特征的網頁文件時，攔截Web用戶訪問的響應體中包含所述網頁文件篡改特征的HTTP/HTTPS流；其中所述指定文件名為所述Web服務器中，標識不屬于所述第一標識集合的網頁文件的文件名。
8.如權利要求6所述的裝置，其特征在于，確定模塊，具體用于在輪詢模塊確定出的網頁文件被篡改的結果為修改文件時，根據所述網頁文件被篡改的結果，提取網頁文件篡改特征，根據所述網頁文件篡改特征，確定對應的入侵防御策略為攔截包含所述網頁文件篡改特征的網頁文件； 防御模塊，具體用于在確定模塊確定出的入侵防御策略為攔截包含所述網頁文件篡改特征的網頁文件時，攔截Web用戶訪問的響應體中包含所述網頁文件篡改特征的HTTP/HTTPS 流。
9.ー種網絡設備，其特征在于，所述網絡設備包括如權利要求51任一所述的裝置。
10.ー種網絡系統，其特征在于，所述網絡系統包括如權利要求9所述的網絡設備、網頁Web服務器和Web客戶端。
全文摘要
本發明實施例提供一種Web應用入侵防御方法、裝置、網絡設備及系統，包括通過輪詢方式來確定Web服務器上被篡改的網頁文件，并根據網頁文件被篡改的結果來確定入侵防御策略，從而可以根據確定出的入侵防御策略來進行Web應用入侵防御，使得在進行Web應用入侵防御時，可以結合網頁文件被篡改的結果來進行。在輪詢間隔周期內，可以結合網頁文件被篡改的結果進行Web應用入侵防御，從而實現Web應用入侵防御的加強。同時，無需實時檢測網頁文件是否被篡改，還可以減少系統資源的占用，減輕系統的負擔，避免系統性能的下降。
文檔編號H04L29/06GK102710652SQ20121019366
公開日2012年10月3日 申請日期2012年6月12日 優先權日2012年6月12日
發明者張望鵬 申請人:北京星網銳捷網絡技術有限公司