一些优秀的waf开发攻防测试方案

本文引自知道创宇公开的web安全专利方法,旨在向安全从业人员提供学习交流,如有商业行为后果自负。

 

一种WAF安全规则的快速匹配方法

本发明公开了一种WAF安全规则的快速匹配方法,包括以下步骤:将现有规则按照逻辑原子化原则转换成一条逻辑语句,所述逻辑语句由多个逻辑子条件以及逻辑运算符组成;将由逻辑语句组成的规则集合转换为规则图;对数据包进行预处理,包括数据格式处理、数据解码处理;使用规则图对已经处理好的数据包进行分层匹配,看是否包含结束节点被匹配到;统计拦截数据,根据拦截比例,调整规则图的分层,拦截比例高的规则整体向下调整,拦截比例低的规则整体向上调整。本发明匹配方法更高效,且可根据攻击态势,周期性地调整规则图的分层,达到保持高效匹配的目的。

一种WAF安全规则的快速匹配方法,其特征在于,包括以下步骤:步骤1:将现有规则按照逻辑原子化原则转换成一条逻辑语句,所述逻辑语句由多个逻辑子条件以及逻辑运算符组成,所述现有规则为一个或多个正则表达式及多个复杂逻辑运算组成;步骤2:将由逻辑语句组成的规则集合转换为规则图;步骤3:对数据包进行预处理,包括数据格式处理、数据解码处理;步骤4:使用规则图对已经处理好的数据包进行分层匹配,看是否包含结束节点被匹配到;具体关系是:若包含,匹配结束,判定此条数据包为攻击数据,结束节点所属的规则为匹配到的规则;若不包含,根据这一层的匹配结果,获取规则树下一层需要匹配的子节点集合,然后进行匹配,依次递归匹配,若都没有匹配到结束节点,或下一层无子节点需要匹配,匹配结束,判定此条数据包为正常数据;若父节点匹配结果为未匹配到,子节点无需匹配,若父节点匹配结果为匹配到true,子节点需要匹配;步骤5:统计拦截数据,根据拦截比例,调整规则图的分层,拦截比例高的规则整体向下调整,拦截比例低的规则整体向上调整。

 

一种Web应用的插件化构建方法、系统及服务器

本发明公开了一种Web应用的插件化构建方法及系统,该方法包括:扫描插件目录,为插件目录中的各插件安装对应的依赖库;初始化Web服务器端服务,注册通用组件并创建Web应用对应的服务器应用实例,通用组件包括静态资源服务;对于各插件中的每个插件,若其插件代码包括服务器端代码,则获取并解析该插件的服务器端注册代码,以便将该插件的服务器端执行代码注入到服务器应用实例中;初始化Web客户端服务,提供Web应用对应的客户端入口;对于各插件中的每个插件,若其插件代码包括客户端代码,则将客户端代码打包,并作为静态资源放入静态资源目录中以便通过静态资源服务来提供给客户端,以完成Web应用的构建。

 

一种防破解的验证码生成方法

本发明公开一种防破解的验证码生成方法,将验证码的问题题干的字符重新进行随机排列,生成图片序列P;并通过随机数R与编号ID进行异或操作,得到加密后的问题编号EID;将所述备选答案组A,问题编号EID,以及图片序列P发送到请求端;再将随机数R与请求端返回的问题编号EID进行异或操作,得到真实的问题编号ID,查找问题编号ID对应的准确答案a,将查找到的准确答案a与请求端返回的选择的答案a1进行对比,得到验证结果。本发明极大的增加了计算机的自动识别难度,极大的增加了验证码的破解难度,有效的达到了验证码的防破解的目的,增加了web系统的安全性。

1.一种防破解的验证码生成方法,其特征在于,包括以下步骤:
步骤1:在服务端创建验证码题库;
步骤2:将验证码题库中的所有问题用到的字符分别制作成图片;
步骤3:将验证码题库中问题的题干、备选答案、准确答案存储到问题数据库中,并生成唯一的问题编号ID;
步骤4:将问题用到的字符和其对应的字符图片,以及二者之间的对应关系存储到问题数据库中;
步骤5:生成验证码:
步骤51:从所述问题数据库中,随机选择一个问题Q,以及对应的备选答案组A,问题Q的编号ID;
步骤52:将问题Q题干的字符重新进行随机排列;
步骤53:生成一个随机数R,将随机数R与问题Q的编号ID进行异或操作,得到加密后的问题编号EID,然后将随机数R保存到会话中;
步骤54:对上述随机排列后的题干,依次查找字符对应的图片,生成图片序列P;
步骤55:将所述备选答案组A,加密后的问题编号EID,以及图片序列P发送到请求端;
步骤6:检验请求端返回的验证码答案:
步骤61:请求端将加密后的问题编号EID、选择的答案a1发送给服务端进行验证;
步骤62:服务端从当前会话中取出步骤53生成的随机数R,并将随机数R与请求端返回的问题编号EID进行异或操作,得到真实的问题编号ID;
步骤63:从所述问题数据库中,查找所述问题编号ID对应的准确答案a;
步骤64:将查找到的准确答案a与请求端返回的选择的答案a1进行对比;相同则认为验证通过,否则,验证失败。

 

漏洞检测方法及装置

本申请公开了一种漏洞检测方法及装置,所述方法应用于漏洞检测设备,漏洞检测设备与目标设备相互通信,漏洞检测设备存储有用于检测接收到的数据包的预设规则,预设规则包括目标设备的通信特征数据,所述方法包括:向所述目标设备发送用于检测漏洞的第一数据包;接收包括通信特征数据的第二数据包;根据所述第二数据包的通信特征数据判断所述第二数据包是否符合所述预设规则;如果所述第二数据包符合预设规则,则解析所述第二数据包。本申请实施例中,通过设置预设规则,使得在对目标设备进行检测时,漏洞检测设备只对满足预设规则的第二数据包进行解析,这样,就可以避免检测过程中,其他设备访问漏洞检测设备,进而提高了漏洞检测设备的安全性。

1.一种漏洞检测方法,其特征在于,应用于漏洞检测设备,所述漏洞检测设备与目标设备相互通信,所述漏洞检测设备存储有用于检测接收到的数据包的预设规则,所述预设规则包括目标设备的通信特征数据,所述方法包括:向所述目标设备发送用于检测漏洞的第一数据包;接收包括通信特征数据的第二数据包;根据所述第二数据包的通信特征数据判断所述第二数据包是否符合所述预设规则;如果所述第二数据包符合预设规则,则解析所述第二数据包。

 

数据处理方法及装置

本发明提供数据处理方法及装置。所述数据处理方法包括:获取预先存储的自定义字符;使用所述自定义字符替换目标页面的源代码中的目标数据,并存储所述自定义字符与其替换的目标数据的对应关系,其中,在显示所述目标页面时,根据所述对应关系将所述目标数据显示在所述目标页面上。所述方法使爬虫用户获取到的数据是替换后的自定义字符,如果不知道其中的对应关系,就无法得知正确的目标数据,有效的保护核心数据。

1.一种数据处理方法,其特征在于,包括:
获取预先存储的自定义字符;
使用所述自定义字符替换目标页面的源代码中的目标数据,并存储所述自定义字符与其替换的目标数据的对应关系,其中,在显示所述目标页面时,根据所述对应关系将所述目标数据显示在所述目标页面上。
 

一种基于CNN和海量日志的SQL注入识别方法

本发明提供一种基于CNN和海量日志的SQL注入识别方法,包括以下步骤:步骤1:从网站日志中提取URL访问记录,提取URL中的查询参数部分;步骤2:对步骤1中提取的数据进行预处理;步骤3:搭建CNN网络,根据步骤2得到的数据对CNN网络进行训练,得到CNN模型;步骤4:根据步骤3得到的模型进行实时检测基于查询语句的SQL注入攻击;本发明能自动提取SQL注入的隐藏共有特征,对SQL注入检测效果好,速度快,漏报率和误报率低。

1.一种基于CNN和海量日志的SQL注入识别方法,其特征在于,包括以下步骤:
步骤1:从网站日志中提取URL访问记录,提取URL中的查询参数部分;
步骤2:对步骤1中提取的数据进行预处理;
步骤3:搭建CNN网络,根据步骤2得到的数据对CNN网络进行训练,得到CNN模型;
步骤4:根据步骤3得到的模型进行实时检测基于查询语句的SQL注入攻击。

 

一种基于访问日志IP分析的网络爬虫检测方法

本发明公开了一种基于访问日志IP分析的网络爬虫检测方法,具体步骤是:使用特征检测法检测访问请求数据包中的特征来判断是否为普通爬虫;使用访问行为检测法检测IP访问静态资源和动态资源的比例来判断该IP是否为高级爬虫;使用特殊爬虫检测法检测网站接口的访问量来判断是否为爬虫;输出判定结果;本发明通过三种检测方法对IP进行识别,可以覆盖普通爬虫、高级爬虫和特殊爬虫,能够从更大范围内进行有效爬虫识别,在检测过程中还可以通过调节参数控制误报率,更加符合实际工作需要。

1.一种基于访问日志IP分析的网络爬虫检测方法,其特征在于,包括以下步骤:
(1)、使用特征检测法检测访问请求数据包中的特征来判断是否为普通爬虫,如果识别成功则判定该IP属于网络爬虫,否则进入下一步;
(2)、使用访问行为检测法检测IP访问静态资源和动态资源的比例来判断该IP是否为高级爬虫,如果识别成功则判定该IP属于网络爬虫,否则进入下一步;
(3)、使用特殊爬虫检测法检测网站接口的访问量来判断是否为爬虫,如果识别成功则判定该IP属于网络爬虫,否则判定为非爬虫IP;
(4)、输出判定结果。

 

一种欺诈账号检测方法、装置及其存储介质

本发明提供了一种欺诈账号检测方法、装置及其存储介质,涉及反欺诈检测技术领域。该欺诈账号检测方法包括:基于每个账号的关联设备特征和账号行为特征确定所述账号为欺诈账号的初始置信度;基于每个账号与其他账号的关联关系确定网络账号关系图,所述网络账号关系图包括每个账号与其他账号在不同关联关系下为欺诈账号的转移概率;基于置信度传播算法获得所述网络账号关系图中每个账号为欺诈账号的稳定置信度,基于账号的稳定置信度确定每个账号是否为欺诈账号。该方法结合账号的固有特征、登录行为特征和置信度传播算法判断账号是否为欺诈账号,提高了欺诈预测的效率、准确度和泛化能力。

1.一种欺诈账号检测方法,其特征在于,所述方法包括:
基于每个账号的关联设备特征和账号行为特征确定所述账号为欺诈账号的初始置信度,所述关联设备特征为登录账号的设备的固有特征,所述账号行为特征为账号的登录行为特征;
基于每个账号与其他账号的关联关系确定网络账号关系图,所述网络账号关系图包括每个账号与其他账号在不同关联关系下为欺诈账号的转移概率;
基于置信度传播算法获得所述网络账号关系图中每个账号为欺诈账号的稳定置信度,基于账号的稳定置信度确定每个账号是否为欺诈账号。

 

网络安全防护方法、装置及嵌入式系统

本发明提供一种网络安全防护方法、装置及嵌入式系统,涉及网络安全技术领域。方法可以包括:获取待检测报文,并确定与待检测报文对应的行为特征;判断预存的黑名单、预设恶意特征检测库中是否存在与行为特征对应的表征攻击行为的第一预设特征;在黑名单、预设恶意特征检测库中存在与行为特征对应的第一预设特征时,将待检测报文发送至隐藏IP地址的蜜罐系统中,以使蜜罐系统响应与待检测报文对应的操作。本方案可以将具有攻击行为的报文发送至蜜罐系统,因为蜜罐系统隐藏了IP地址,所以攻击报文不易探测出蜜罐系统,能够改善现有技术中因攻击报文容易探测出蜜罐系统而避开蜜罐系统进行网络攻击的技术问题。

1.一种网络安全防护方法,其特征在于,应用于嵌入式系统,所述嵌入式系统与隐藏IP地址的蜜罐系统通信连接,所述方法包括:
获取待检测报文,并确定与所述待检测报文对应的行为特征;
判断预存的黑名单、预设恶意特征检测库中是否存在与所述行为特征对应的表征攻击行为的第一预设特征;
在所述黑名单或所述预设恶意特征检测库中存在与所述行为特征对应的所述第一预设特征时,将所述待检测报文发送至隐藏IP地址的所述蜜罐系统中,以使所述蜜罐系统响应与所述待检测报文对应的操作。

 

渗透测试方法及装置

本申请实施例提供一种渗透测试方法及装置,测试终端生成攻击链,该攻击链包括一个以上待使用攻击面,该待使用攻击面包括一个以上可用攻击插件;加载攻击链中的可用攻击插件;按照攻击链中的各待使用攻击面的优先级,依次运行各待使用攻击面中的可用攻击插件,直至达到用户指定的渗透目标;对得到的渗透测试结果进行展示。通过上述设计,可以实现自动化渗透测试,缩短渗透测试所需的时间和人力成本。

1.一种渗透测试方法,其特征在于,应用于测试终端,所述方法包括:
生成攻击链,所述攻击链包括一个以上待使用攻击面,所述待使用攻击面包括一个以上可用攻击插件;
加载所述可用攻击插件;
按照所述攻击链中的各所述待使用攻击面的优先级,依次运行各所述待使用攻击面中的所述可用攻击插件,直至达到用户指定的渗透目标;
对得到的渗透测试结果进行展示。

 

一种基于朴素贝叶斯算法的网页内容篡改检测方法

本发明公开了一种基于朴素贝叶斯算法的网页内容篡改检测方法,用于检测网页是否被恶意篡改。对于同一个网站,虽然网页的结构可能不断变化,但是网站显示内容的关键词总是相似的,因此在网页篡改前与被篡改后的关键词内容发生了较大的变化。根据以上的思想,本发明首先建立正常与被篡改网页的样本关键词库,然后使用朴素贝叶斯算法分别计算该网页被篡改与未被篡改的概率,并判断二者的大小,最后得出网页是否被篡改的概率。本发明提高了检测的准确率与稳定性。
1.一种基于朴素贝叶斯算法的网页内容篡改检测方法,其特征在于,包括以下步骤:
步骤1:使用爬虫动态解析、爬取待提取页面内容;
步骤2:除去步骤1里获取到的页面内容中的html标签、css代码、JavaScript代码;
步骤3:分词,即将网站内容中的句子分解为词语;
步骤4:使用TF-IDF根据某个词的词频和该词在文档中出现的次数来对词语的重要程度进行衡量,将所有词语按照TF-IDF指数从大到小排序,按顺序选取一定数量词语作为该文档的特征词;
步骤5:对一定数量网站得到的特征词进行人工标注;即如果该网页为正常网页,则从该网页提取的特征词标注为正常;若该网页已经被篡改,则从篡改页面提取的特征词注为被篡改;
步骤6:将步骤5所得标注的特征词及其标注存入数据库中,作为样本特征词库;
步骤7:根据步骤1至步骤4的方法提取待检测网站的特征词,并使用朴素贝叶斯算法结合步骤6得到的样本特征词库进行分类,判断待检测网站内容是否被篡改。

 

网页篡改监控方法、装置、监控设备及可读存储介质

本发明实施例提供一种网页篡改监控方法、装置、监控设备及可读存储介质。该方法包括:定期获取被监控网页的网页快照;检测当前网页快照与上一张网页快照之间是否存在变更区域;若存在,则提取该变更区域对应的变更区域图像;判断所述变更区域图像是否为篡改嫌疑图像,得到第一判断结果;所述第一判断结果包括:所述变更区域图像为篡改嫌疑图像;或者所述变更区域图像不为篡改嫌疑图像。本发明提供的网页篡改监控方法、装置、监控设备及可读存储介质,无需用户了解被监控网页的设计实现就能够对大量网页进行篡改监控,极大提高了监控易用性,降低用户的工作量。
1.一种网页篡改监控方法,其特征在于,应用于监控设备,所述方法包括:
定期获取被监控网页的网页快照;
检测当前网页快照与上一张网页快照之间是否存在变更区域;
若存在,则提取该变更区域对应的变更区域图像;
判断所述变更区域图像是否为篡改嫌疑图像,得到第一判断结果;
所述第一判断结果包括:
所述变更区域图像为篡改嫌疑图像;或者
所述变更区域图像不为篡改嫌疑图像。

 

一种Web漏洞检测方法、装置、电子设备及存储介质

本发明涉及一种Web漏洞检测方法、装置、电子设备及存储介质,属于漏洞检测技术领域。该Web漏洞检测方法应用于网络设备,方法包括:获取目标URL清单;获得与目标URL清单相对应的所有Web应用;对所有Web应用进行漏洞检测,得到Web漏洞检测结果。该方法通过获取内容更全面、完整性更高的目标URL清单,再基于该目标URL清单获得与目标URL清单相对应的所有Web应用,然后再对所有Web应用进行漏洞检测。而不再是通过爬虫技术直接去获取Web网站或Web系统的URL清单,解决了传统Web漏洞扫描器的爬虫效率低下,无法获取孤岛链接或者隐藏很深的链接的问题,进而能高效和准确地找到更多的潜在漏洞。

1.一种Web漏洞检测方法,其特征在于,应用于网络设备,所述方法包括:
获取目标URL清单;
获得与所述目标URL清单相对应的所有Web应用;
对所述所有Web应用进行漏洞检测,得到Web漏洞检测结果。

 

基于WordPress的漏洞分析方法及装置

本发明提供了一种基于WordPress的漏洞分析方法及装置,涉及漏洞检测领域。基于WordPress的漏洞分析方法应用于服务端,该包括获得公共平台上WordPress的目标漏洞信息;调用WordPress的API接口,按照使用率获得多个组件、模板和插件的数据信息;将目标漏洞信息与多个数据信息进行关联分析,得到每个目标漏洞信息的漏洞分析结果;依据每个目标漏洞信息的漏洞分析结果生成漏洞分析报告,并将漏洞分析报告推送给预配置的用户终端。本发明提供的基于WordPress的漏洞分析方法及装置能全面收集互联网中关于WordPress的漏洞信息,并能够提醒用户更新补丁或更新版本,以修复漏洞。

1.一种基于WordPress的漏洞分析方法,应用于服务端,其特征在于,包括:
获得公共平台上所述WordPress的目标漏洞信息;
调用所述WordPress的API接口,按照使用率获得多个组件、模板和插件的数据信息;
将所述目标漏洞信息与多个所述数据信息进行关联分析,得到每个所述目标漏洞信息的漏洞分析结果;
依据每个所述目标漏洞信息的漏洞分析结果生成漏洞分析报告,并将所述漏洞分析报告推送给预配置的用户终端。

 

疑似SQL注入类型的检测方法及装置

本发明提供了一种疑似SQL注入类型的检测方法及装置,涉及网络安全技术领域。疑似SQL注入类型的检测方法用于对http请求的疑似SQL注入类型进行检测,该方法包括获得未知类型的疑似注入点;将未知类型的疑似注入点对应的http请求量化得到输入向量;将输入向量作为预先建立的训练模型的输入进行运算,并依据输出结果得到未知类型的疑似注入点的疑似SQL注入类型。本发明提供的疑似SQL注入类型的检测方法及装置可以较准确地识别疑似注入点的疑似SQL注入类型,以便后续对SQL注入检测时根据识别出的疑似SQL注入类型针对性的进行检测,提升SQL注入检测的检测质量。

 

基于URI的分类模型的构建方法和Webshell攻击网站的检测方法

本发明公开了一种基于URI的分类模型的构建方法,在计算设备中执行,包括:分别获取多条已确认为正常访问网站和Webshell攻击网站的访问日志作为正样本数据和负样本数据,其中每条访问日志中包括请求资源的URI及与该URI关联的访问数据;分别从正样本数据和负样本数据中提取针对同一URI的多条访问日志,根据该多条访问日志的访问数据计算该URI的多个URI特征值,并将该多个URI特征值构造为一条URI特征向量;分别根据正/负样本数据中各URI的URI特征向量及其对应的正样本标识生成第一正/负样本集,并根据这两个样本集生成第一训练集;以该第一训练集中各样本的URI特征向量为输入,以其样本标识为输出,采用预定算法对第一训练集进行训练,得到基于URI的分类模型。

1.一种基于URI的分类模型的构建方法,在计算设备中执行,适于区分正常访问网站的URI和疑似被Webshell攻击网站的URI,该方法包括:
分别获取多条已确认为正常访问网站的访问日志作为正样本数据,以及多条已确认为Webshell攻击网站的访问日志作为负样本数据,其中每条访问日志中包括请求资源的URI以及与该URI相关联的访问数据;
分别从正样本数据和负样本数据中提取针对同一URI的多条访问日志,根据该多条访问日志的访问数据计算该URI的多个URI特征值,并将该多个URI特征值构造为一条URI特征向量;
根据正样本数据中各URI的URI特征向量及其对应的正样本标识生成第一正样本集,以及根据负样本数据中各URI的URI特征向量及其对应的负样本标识生成第一负样本集;以及
根据所述第一正样本集和第一负样本集生成第一训练集,并以该第一训练集中各样本的URI特征向量为输入,以其样本标识为输出,采用预定算法对所述第一训练集进行训练,得到所述基于URI的分类模型。

 

一种基于访问行为特征的WebShell挖掘方法

本发明公开一种基于访问行为特征的WebShell挖掘方法,包括数据清洗:提取出网站日志中对动态页面的访问记录;过滤掉URI长度大于指定值的访问记录;过滤掉常见扫描器访问的URI的记录;行为特征过滤:过滤掉单个IP对同一网站访问次数超过指定值的记录;过滤掉单个IP访问网站个数超过另一指定值的记录;过滤掉同一URL超过指定IP个数访问的记录;输出结果:按照IP出现的频率从小到大进行排序;规范化日志格式并保存到文件,供人工复查。本发明通过分析攻击者在访问WebShell时的行为特征可以过滤掉绝大多数无意义的访问记录,并按照可疑度进行排序,可有效的减少最终分析结果的数量,并大大提高WebShell的识别精准度,从而减少人工分析成本,极大的方便了人工复查。

 

一种基于客户端识别的一句话WebShell拦截方法

本发明公开了一种基于客户端识别的一句话WebShell拦截方法,包括以下步骤:步骤1:服务器接收到HTTP请求后,检测Cookie中是否有AccessToken值,如没有则转入步骤2;如有,则检测其是否与Session中的AccessToken值一致,如一致则放行,如不一致则忽略该请求;步骤2:服务器检查客户端是否传递了指定Cookie,如否则进行验证,如有则检测Cookie值是否合法;如合法则忽略本次请求,如合法则转入步骤3;步骤3:对比HTTP请求中的Referer值,如Referer值不等于当前访问的URL则忽略本次请求,如Referer值等于当前URL则转入步骤4;步骤4:服务器生成一个随机字符串作为AccessToken存入Session中,将AccessTtoken设置为网站Cookie,访问成功;本发明匹配精准度高,且不影响正常用户使用,可极大的减少漏报率和误报率。

 

一种结合爬虫的日志分析方法

本发明提供了一种结合爬虫的日志分析方法,包括以下步骤:步骤1:对指定的网站进行可正常访问的链接爬取,将整个网站的结构记录下来;步骤2:将爬取的结果存入数据库中;步骤3:依据数据库中爬虫爬取的URL列表对Web日志进行筛选;步骤4:将各种异常日志自动标记出它的攻击类型,再将这些攻击日志进一步细化分析,包括通过特征区分攻击成功或者攻击不成功的Webshell,最后将分析结果进行UI展示等等。本发明在分析单个网站的海量日志时,能够提高分析的准确性,同时也减少人力投入的成本。

一种结合爬虫的日志分析方法,其特征在于,包括以下步骤:步骤1:对指定的网站进行可正常访问的链接爬取,将整个网站的结构记录下来;步骤2:将步骤1中爬取的结果存入数据库中;步骤3:依据数据库中爬虫爬取的URL列表对Web日志进行筛选;即:1)从数据库中将爬取的轨迹URL列表加载到内存中,2)对Web日志进行逐行处理,对每一行日志都从中提取出URL,然后判断该URL是否存在于爬取的列表中,如果存在于列表中,则该访问是正常访问,否则将该行判断为异常日志;步骤4:将各种异常日志自动标记出它的攻击类型,再将这些攻击日志进一步细化分析,包括通过特征区分攻击成功或者攻击不成功的Webshell,最后将分析结果进行UI展示、高危的进行告警、辅助人工分析。

 

一种检测网络服务器中敏感文件泄露的方法及计算设备

本发明公开了一种检测网络服务器中敏感文件泄露的方法,包括:对网络服务器进行应用识别,以获取网络服务器的应用特征;创建压缩类敏感文件的第一列表和非压缩类敏感文件的第二列表;根据所获取网络服务器的应用特征,生成与该应用特征对应的压缩类敏感文件的文件名,并将该文件名添加到所述第一列表中,生成与该应用特征对应的非压缩类敏感文件的文件名与正则表达式,并将该文件名和正则表达式相关联的添加到所述第二列表中;对第一列表和第二列表中的每个文件名,逐个向网络服务器发起请求,根据网络服务器的响应结果,判断该网络服务器是否存在敏感文件泄露。本发明还一并公开了用于执行该方法的计算设备。
一种检测网络服务器中敏感文件泄露的方法,在计算设备中执行,并包括如下步骤:对网络服务器进行应用识别,以获取网络服务器的应用特征;创建压缩类敏感文件的第一列表和非压缩类敏感文件的第二列表,所述第一列表的每个数据条目为压缩类敏感文件的文件名;所述第二列表的每个数据条目为非压缩类敏感文件的文件名与正则表达式的关联关系,其中根据所述正则表达式能够匹配出具有该文件名的敏感文件对应的敏感信息;根据所获取网络服务器的应用特征,生成与该应用特征对应的压缩类敏感文件的文件名,并将该文件名添加到所述第一列表中,和/或,生成与该应用特征对应的非压缩类敏感文件的文件名与正则表达式,并将该文件名和正则表达式相关联的添加到所述第二列表中;以及对第一列表和第二列表中的每个文件名,逐个向网络服务器发起请求,根据网络服务器的响应结果,判断该网络服务器是否存在敏感文件泄露。

 

一种面向海量日志的WebShell挖掘方法

本发明提供了一种面向海量日志的WebShell挖掘方法,包括以下步骤:步骤1:收集单一入口类型的网站名单;步骤2:对日志进行检测,得到满足条件的URL,进而判断高度疑似WebShell;步骤3:检测可访问性,包括获取步骤2中URL对应域名的404页面内容和URL的页面内容,比较两次请求页面内容的莱文斯坦比,排除掉自定义404页面,以此判断该URL是否真实存在,若该URL真实存在则判断该URL为WebShell。本发明基于单一入口类型网站特殊的网站结构,配合自动化检测过滤掉自定义404页面,缩小嫌疑范围,大大提高识别WebShell的精准度,从而降低人工分析的成本。

一种面向海量日志的WebShell挖掘方法,其特征在于,包括以下步骤:步骤1:收集单一入口类型的网站名单;步骤2:对日志进行检测,即:步骤2.1:收集步骤1中确定的单一入口类型网站的访问日志;步骤2.2:在步骤2.1提取的日志中,提取出HTTP状态码仅为200的URL;步骤2.3:将步骤2.2中得到的URL去掉参数,并取出动态脚本类型的URL;步骤2.4:比较步骤2.3得到中的URL是否与步骤1中收集的与此URL对应域名的URL一致,如果一致则判断为正常访问;如果所比较的两个URL不一致则判断为高度疑似WebShell;步骤3:检测可访问性,即:步骤3.1:获取步骤2.3中URL对应域名的404页面内容;步骤3.2:获取步骤2.3中URL的页面内容;步骤3.3:比较两次请求页面内容的莱文斯坦比,排除掉自定义404页面,以此判断该URL是否真实存在;步骤3.4:如果该URL真实存在则判断该URL为WebShell。

 

一种报错型SQL注入的检测方法和代理服务器

本发明公开了一种报错型SQL注入的检测方法,在代理服务器中执行,该服务器中存储有第一模型库和第二模型库,第一模型检测网络请求是否为报错型SQL注入请求,第二模型检测网络响应是否为报错型SQL注入响应,方法包括:从客户端的网络请求中提取请求参数值,将请求参数值与第一模型库进行第一匹配;若第一匹配不成功,则放行该网络请求;接收网络服务器返回的网络响应,提取其中的响应内容并将该内容与第二模型库进行第二匹配;若第二匹配成功,则对请求参数值建模后添加到第一模型库中;以及从网络响应中删除匹配到的响应内容后放行该网络响应,并将网络请求中的URL与匹配到的响应内容关联存储,作为存在报错型SQL注入漏洞的URL和对应的漏洞泄露信息。

一种报错型SQL注入的检测方法,在代理服务器中执行,所述代理服务器中存储有第一模型库和第二模型库,所述第一模型库中包括多个第一模型,所述第一模型适于检测网络请求是否为报错型SQL注入请求,所述第二模型库中包括多个第二模型,所述第二模型适于检测网络响应是否为报错型SQL注入响应,所述方法包括:接收客户端发送的网络请求,提取所述网络请求中的请求参数值,并将请求参数值与第一模型库进行第一匹配;当第一匹配的结果为未匹配到第一模型库中的第一模型时,将该网络请求作为第一类型网络请求放行;接收网络服务器根据第一类型网络请求所返回的网络响应,提取所述网络响应中的响应内容,并将响应内容与第二模型库进行第二匹配;当第二匹配的结果为匹配到第二模型库中的第二模型时,对所述请求参数值进行建模得到第一模型,并将该第一模型添加到第一模型库中;以及从网络响应中删除匹配到的响应内容后放行该网络响应,并将该网络响应对应的网络请求中的URL与匹配到的响应内容进行关联存储,作为存在报错型SQL注入漏洞的URL和对应的漏洞泄露信息。

 

一种基于HTTP DNS的DDoS攻击防御及溯源方法

本发明提供了一种基于HTTP DNS的DDoS攻击防御及溯源方法,包括以下步骤:步骤1:客户端通过HTTP DNS向服务器HTTP DNS server发起域名解析请求;步骤2:获取客户端的IP地址,以均分的方式分配后台服务器地址,记录客户端IP地址与分配的后台服务器地址的映射关系;步骤3:防御DDoS攻击防御并溯源。本发明在攻击到来时,无需大量资源进行防御,迅速通过HTTP DNS切走流量;经过有限次迭代处理,可以迅速发现可疑攻击者并阻断攻击;针对攻击者IP定位准确,极大地减少了合法客户端IP的误拦和误报。

一种基于HTTP DNS的DDoS攻击防御及溯源方法,其特征在于,包括以下步骤:步骤1:客户端通过HTTP DNS向服务器HTTP DNS server发起域名解析请求;步骤2:服务器HTTP DNS server接受客户端的请求后,进行以下处理:a、获取客户端的IP地址;b、以均分的方式分配后台服务器地址;c、记录步骤a中客户端IP地址与步骤b中分配的后台服务器地址的映射关系;步骤3:攻击到来时,后台服务器进行以下处理:d、找到被攻击的后台服务器;e、通过步骤c中记录的映射关系,找到被攻击后台服务器对应的客户端IP地址的集合;f、在HTTP DNS server中更新步骤e中IP集合对应的解析,将集合中的IP的解析均匀地分配到其他后台服务器上;g、更新步骤c中的映射关系,只记录步骤f中产生的映射关系;h、当前被攻击的服务器不再处理业务请求;i、等待攻击的目标后台服务器变化后,继续从步骤d开始处理,直至在步骤g中获得的映射关系中的客户端IP数量小于指定的值;j、在HTTP DNS server中更新步骤i获得的所有客户端IP对应的解析为黑洞IP,实现防御;k、在步骤i得到的客户端IP为可疑攻击者。

 

一种浏览器的鼠标指针定位方法及计算设备

本发明公开了一种浏览器的鼠标指针定位方法,该方法适于在计算设备的浏览器中执行,计算设备的浏览器与服务器相连,包括步骤:响应于用户对浏览页面上显示元素的点击操作,发送显示元素的元素标识给服务器,以便服务器统计每个显示元素被点击次数;当监测到页面刷新请求时,发送刷新指令给服务器,其中刷新指令中包含待浏览页面上的至少一个显示元素的元素标识;接收由服务器返回的所述待浏览页面上至少一个显示元素的被点击次数;以及在待浏览页面显示时,根据被点击次数控制鼠标指针移动到相应显示元素所处位置。本发明一并公开了相应的计算设备。

一种浏览器的鼠标指针定位方法,所述方法适于在计算设备的浏览器中执行,所述计算设备的浏览器与服务器相连,所述方法包括步骤:响应于用户对浏览页面上显示元素的点击操作,发送所述显示元素的元素标识给所述服务器,以便所述服务器统计每个显示元素被点击次数;当监测到页面刷新请求时,发送刷新指令给所述服务器,其中所述刷新指令中包含待浏览页面上的至少一个显示元素的元素标识;接收由所述服务器返回的所述待浏览页面上至少一个显示元素的被点击次数;以及在所述待浏览页面显示时,根据被点击次数控制鼠标指针移动到相应显示元素所处位置。


 

 

 

 

 

 

 

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值