[发明专利]一种基于网页资源地址动态跳变的防御方法

说明书

本发明涉及一种基于网页资源地址动态跳变的防御方法，包括以下步骤：步骤S1：进行网页资源地址即URL检测；步骤S2：进行网页资源地址动态替换；步骤S3：进行URL虚拟化约束条件构建；步骤S4：进行URL动态虚拟化安全策略设定；步骤S5：完成基于网页资源地址动态跳变防御策略。本发明通过虚拟化URL的方式，将静态的URL动态化，实现在一定时间内URL的动态跳变，从而干扰、阻断攻击者的攻击尝试，提升Web系统的安全性。

技术领域

本发明涉及电力信息安全领域，特别是一种基于网页资源地址动态跳变的防御方法。

背景技术

网页资源地址，即URL(Universal Resource Locator，同意资源定位符)，是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示，是互联网上标准资源的地址。互联网上的每个文件都有一个唯一的URL，它包含的信息指出文件的位置以及浏览器应该怎么处理它。通过对一个Web应用返回的URL分析，能够获得该Web应用的目录结构和所采用的关键技术，帮助攻击者寻找Web应用的潜在攻击点。此外URL还是外界同Web服务器交互的唯一方式，包括获取Web服务器上的资源，向Web服务器提交输入及资源等。实际上，Web应用面对的最大威胁就来自外界的输入。当前，由于Web应用的URL都是静态不变的，攻击者就很容易将某个特定的URL作为攻击入口，通过构造不同的恶意输入来测试Web应用是否存在漏洞，并利用漏洞发起进一步攻击。

发明内容

针对Web系统发起的网络攻击通常都以URL为攻击入口，由于URL的唯一性和确定性，当攻击者获知目标URL后，目标Web系统仅能被动防御攻击者的各种攻击尝试，有鉴于此，本发明的目的是提供一种基于网页资源地址动态跳变的防御方法，通过虚拟化URL的方式，将静态的URL动态化，实现在一定时间内URL的动态跳变，从而干扰、阻断攻击者的攻击尝试，提升Web系统的安全性。

本发明采用以下方案实现：一种基于网页资源地址动态跳变的防御方法，包括以下步骤：

步骤S1：网页资源地址检测即URL检测：网页资源地址检测遍历Web服务器返回的响应，查找响应中包括的a或link标签，将标签中包含的URL取出，等待进一步的处理；

步骤S2：进行网页资源地址动态替换；

步骤S3：进行URL虚拟化约束条件构建；

步骤S4：进行URL动态虚拟化安全策略设定；

步骤S5：完成基于网页资源地址动态跳变防御策略。

进一步地，所述步骤S2具体包括以下步骤：

步骤S21：获取服务器返回的响应；

步骤S22：通过网页资源地址检测技术获取待替换的URL；

步骤S23：判断待替换的URL是否为绝对地址；如果待替换的URL是绝对地址，则直接通过网页资源地址动态替换将其替换为虚拟URL；如果待替换的URL为相对地址，则先通过语义分析将其替换为绝对地址，再通过网页资源地址动态替换得到虚拟URL，最后设定虚拟URL的可用次数。

步骤S25：将包含替换后的虚拟URL的响应返回给用户；

步骤S26：当接收到用户访问虚拟URL的请求时，判断请求的虚拟URL是否超过了设定的使用次数；

步骤S27：如果请求的虚拟URL没有超过设定的使用次数，则将虚拟URL还原为真实的URL并交由后台服务器处理；如果请求的虚拟URL超过了设定的使用次数，则拒绝请求。

进一步地，所述步骤S3的具体内容为：