(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210686954.7 (22)申请日 2022.06.16 (71)申请人 公安部第三研究所 地址 200031 上海市徐汇区岳阳路76号 申请人 上海嘉韦思信息技 术有限公司 (72)发明人 陆臻　宋好好　俞优　舒首衡　 黄震中　田荣　 (74)专利代理 机构 上海天翔 知识产权代理有限 公司 312 24 专利代理师 刘常宝 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/06(2006.01) H04L 9/32(2006.01) (54)发明名称 针对WEB应用自动化攻击行为的防御系统及 动态防御方法 (57)摘要 本发明公开了一种针对WEB应用自动化攻击 行为的防御系统及动态防御方法， 本方案搜集发 起WEB访问的客户端的访问特征信息， 对收集达 到的访问特征信息进行拼装混淆， 并将拼装混淆 后的访问特征信息插入访 问cookie中选定的字 段中； 对WEB访问进行防御分析， 对异常访问进行 阻断， 对正 常访问形成原始WEB访问请求， 并透明 传至WEB服务端； 针对WEB服务端相应返回的明文 数据进行加扰处理后再传递给 发起WEB访问的客 户端； 对经过后端加扰的WEB服务端响应数据进 行动态解扰， 并将动态解扰后的数据反馈给发起 WEB访问的客户端。 本发明提供的主动防御方案， 可有效防范完全防范当前网络中普遍存在数据 爬虫、 Web扫描和自动化工 具攻击； 同时针对于黑 客的人工渗透和深度攻击， 也可起到极大的阻碍 作用。 权利要求书3页 说明书10页 附图2页 CN 115065537 A 2022.09.16 CN 115065537 A 1.针对WEB应用自动化攻击行为的防御系统， 其特征在于， 所述防护系统包括： 前端特 征信息搜集模块、 前端混淆及自解扰模块、 后端加扰及阻断模块以及后端分析模块； 所述前端特征信息搜集模块搜集发起WEB访问的客户端的访问特征信息， 对收集达到 的访问特征信息调用前端混淆及自解扰模块进行拼装混淆， 并将拼装混淆后的访问特征信 息插入访问co okie中选定的字段中； 所述前端混淆及自解扰模块与所述前端特征信息搜集模块以及后端加扰及阻断模块 进行数据 交互， 对后端加扰及阻断模块反馈的经过后端加扰的WEB服务端响应数据进行动 态解扰， 并将动态解扰后的数据反馈给发起WEB访问的客户端； 所述前端混淆及自解扰模块 可对前端特 征信息搜集模块采集到的特 征信息进行拼装混淆处 理； 所述后端加扰及阻断模块与 前端混淆及自解扰模块以及后端分析模块进行数据交互， 对WEB服务端相应返回的明文 数据进行加扰处理后再传递到发起WEB访问的客户端； 所述后 端加扰及阻断模块可对WEB 访问行为进行阻断处 理； 所述后端分析模块与后端加扰及阻断模块以及前端特征信 息搜集模块进行数据交互； 所述后端分析模块基于前端特征信息搜集模块采集并处理的访问特征信息对WEB访问进 行 防御分析， 对异常访问调用后端加扰及阻断模块进 行阻断， 对正常访问形成原始 WEB访问请 求， 并透明传至WEB服 务端。 2.根据权利要求1所述的针对WEB应用自动化攻击行为的防御系统， 其特征在于， 所述 前端特征信息搜集模块调用随时间变化动态抽取的混淆方式对访问特征信息进行拼装混 淆， 调用cookie添加方法插入 “HKIIUU9O618PPTHP ”字段， 字段的值为拼装混淆后的特征数 据， 每次插 入会覆盖掉该字段原有的数据。 3.根据权利要求1所述的针对WEB应用自动化攻击行为的防御系统， 其特征在于， 所述 前端特征信息搜集模块由预设事 件触发调用运行或定时调用运行。 4.根据权利要求1所述的针对WEB应用自动化攻击行为的防御系统， 其特征在于， 所述 前端混淆及自解扰模块包括混淆 单元与动态解扰单 元， 所述混淆 单元可对前段采集到的特 征信息进行拼装混淆； 所述动态解扰单 元可对加扰的页面元 素进行动态解扰。 5.根据权利要求4所述的针对WEB应用自动化攻击行为的防御系统， 其特征在于， 所述 前端混淆及自解扰模块中还包括页面链接元素动态隐藏单元， 所述页面链接元素动态隐藏 单元在页面加载完向用户展现前， 将页面DOM树中的所有链接元素摘下、 记录位置并保存在 临时内存区域， 只有在对应位置的页面 点击事件发生时， 再将该 元素插回。 6.根据权利要求4所述的针对WEB应用自动化攻击行为的防御系统， 其特征在于， 所述 前端混淆及自解扰模块中还包括数据提交单元， 所述数据提交单元用于对提交的表单数据 进行Hook数据提交， 对提交数据进行哈希计算， 生成唯一指纹插 入表单数据进行共同提交。 7.根据权利要求4所述的针对WEB应用自动化攻击行为的防御系统， 其特征在于， 所述 前端混淆及自解扰模块对前端特征信息 收集模块中实现特征搜集算法进行自混淆并实现 反断点调试。 8.根据权利要求1所述的针对WEB应用自动化攻击行为的防御系统， 其特征在于， 所述 后端加扰及阻断模块包括后端加扰单 元以及访问阻断单 元， 所述后端加扰单 元可对Web服 务端返回的明文数据， 对 对应的页面元 素进行加扰处 理；权　利　要　求　书 1/3 页 2 CN 115065537 A 2所述访问阻断单 元用于对相应的WEB 访问行为进行阻断。 9.根据权利要求1所述的针对WEB应用自动化攻击行为的防御系统， 其特征在于， 所述 后端分析模块包括访问数据处 理单元以及访问行为分析 单元； 所述访问数据处理单元针对每个面向WEB服务端的新访 问对象， 分别生成对象指纹和 token， 所述新访问对象为无对象指纹的新访问客户端， 所述对象指纹表 示访问对象的唯一 身份， 所述token在每次数据传输中承载回传的混淆后前端采集的访问特征信息； 所述访问 数据处理单元针对接收到的WEB访问剥离相应的对象指纹、 t oken、 数据提交指纹， 并将剥离 后的数据再回传WEB服 务端； 所述访问行为分析单元基于所述访问数据处理单元所剥离出来的数据分析对应的WEB 访问行为。 10.根据权利要求9所述的针对WEB应用自动化攻击行为的防御系统， 其特征在于， 所述 访问行为分析单元采用特征数据完整性校验、 特征数据一致性校验、 提交数据完整性校验 中的至少一种校验方式来分析对应的WEB 访问行为。 11.根据权利要求10所述的针对WEB应用自动化攻击行为的防御系统， 其特征在于， 所 述访问行为分析 单元还通过分析发起 WEB访问的客户端的客户端时序来分析WEB 访问行为。 12.根据权利要求10所述的针对WEB应用自动化攻击行为的防御系统， 其特征在于， 所 述访问行为分析单元还针对访问客户端建立滑动分析窗口， 并通过分析特征数据 滑动窗口 行为来分析WEB 访问行为。 13.根据权利要求11所述的针对WEB应用自动化攻击行为的防御系统， 其特征在于， 所 述访问行为分析单元还通过模拟浏览器特征分析、 搜索引擎识别、 对 象历史访问行为聚类 中一种或多种方式来分析WEB 访问行为。 14.针对WEB应用自动化 攻击行为的防御方法， 其特 征在于， 包括： 搜集发起WEB访 问的客户端的访 问特征信息， 对收集达到的访问特征信息进行拼装混 淆， 并将拼装混淆后的访问特 征信息插 入访问co okie中选定的字段中； 基于采集并处理的访问特征信息对WEB访问进行防御分析， 对异常访问进行阻断， 对正 常访问形成原 始WEB访问请求， 并透明传至WEB服 务端； 针对WEB服 务端相应返回的明文数据进行加扰处 理后再传递给发起 WEB访问的客户端； 对经过后端加扰的WEB服务端响应数据进行动态解扰， 并将动态解扰后的数据反馈给 发起WEB访问的客户端。 15.根据权利要求14所述的针对WEB应用自动化攻击行为的防御方法， 其特征在于， 所 述防御方法还包括在页面加载完向用户展现前， 将页面DOM树中的所有链接元素摘下、 记录 位置并保存在临时内存区域， 只有在对应位置的页面 点击事件发生时， 再将该 元素插回。 16.根据权利要求14所述的针对WEB应用自动化攻击行为的防御方法， 其特征在于， 所 述防御方法还包括针对提交的表单数据进行Hook数据提交， 对提交数据进行哈希计算， 生 成唯一指纹插 入表单数据进行共同提交。 17.根据权利要求14所述的针对WEB应用自动化攻击行为的防御方法， 其特征在于， 所 述防御方法针对Web服务端返回的明文数据进行加扰处理， 针对对应的页面元素进行加扰 处理。 18.根据权利要求14所述的针对WEB应用自动化攻击行为的防御方法， 其特征在于， 所权　利　要　求　书 2/3 页 3 CN 115065537 A 3