CN104348795A - 通用网关接口业务入侵防护的方法及装置 - Google Patents
通用网关接口业务入侵防护的方法及装置 Download PDFInfo
- Publication number
- CN104348795A CN104348795A CN201310326712.8A CN201310326712A CN104348795A CN 104348795 A CN104348795 A CN 104348795A CN 201310326712 A CN201310326712 A CN 201310326712A CN 104348795 A CN104348795 A CN 104348795A
- Authority
- CN
- China
- Prior art keywords
- characteristic information
- service request
- cgi
- cgi service
- feature storehouse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明适用于互联网技术领域,提供了一种通用网关接口业务入侵防护的方法及装置,该方法包括:创建CGI业务特征库,所述CGI业务特征库中包含有第一特征库和第二特征库;在接收到CGI业务请求时,获取该CGI业务的特征信息;将获取的所述特征信息与第一特征库中的恶意特征信息进行匹配;当第一特征库中不存在获取的所述特征信息时,与第二特征库中的非恶意特征信息进行匹配;当第二特征库中不存在获取的所述特征信息,或获取的所述特征信息不满足预设的匹配规则时,确定所述CGI业务请求为恶意请求,对所述CGI业务请求进行相应的处理,并将获取的特征信息添加到第一特征库中。通过本发明可有效提高恶意CGI业务请求判断的准确性。
Description
技术领域
本发明属于通用网关接口技术领域,尤其涉及通用网关接口业务入侵防护的方法及装置。
背景技术
通用网关接口(Common Gateway Interface,CGI)是运行在WEB服务器上的程序,由浏览器的输入触发,用于处理客户端的业务请求,并根据客户端的业务请求向客户端返回处理结果。
通常把通过CGI处理的业务请求称为CGI业务请求。现有CGI为避免某些恶意CGI业务的入侵,在处理所述CGI业务请求前,先对发送所述CGI业务请求的客户端进行身份验证,在验证通过后,再对所述CGI业务请求进行相应处理。然而,由于客户端身份容易泄露或伪装,导致现有技术对恶意CGI业务判断的准确性较低,从而入侵防护的有效性较低,严重影响到WEB服务器的安全。
发明内容
本发明实施例提供一种通用网关接口业务入侵防护的方法,以解决现有技术对恶意CGI业务判断的准确性较低,导致入侵防护的有效性较低,影响到WEB服务器安全的问题。
本发明实施例的第一方面,提供一种通用网关接口业务入侵防护的方法,所述方法包括:
创建通用网关接口CGI业务特征库,所述CGI业务特征库中包含有第一特征库和第二特征库,所述第一特征库中包含CGI业务的多个恶意特征信息,所述第二特征库中包含CGI业务的多个非恶意特征信息;
在接收到CGI业务请求时,获取该CGI业务的特征信息;
将获取的所述特征信息与所述第一特征库中的恶意特征信息进行匹配;
当所述第一特征库中不存在获取的所述特征信息时,将获取的所述特征信息与所述第二特征库中的非恶意特征信息进行匹配;
当所述第二特征库中不存在获取的所述特征信息,或获取的所述特征信息不满足预设的匹配规则时,确定所述CGI业务请求为恶意的CGI业务请求,对所述CGI业务请求进行相应的处理,并将获取的所述特征信息添加到所述第一特征库中。
本发明实施例的第二方面,提供一种通用网关接口业务入侵防护的装置,所述装置包括:
特征库创建单元,用于创建通用网关接口CGI业务特征库,所述CGI业务特征库中包含有第一特征库和第二特征库,所述第一特征库中包含CGI业务的多个恶意特征信息,所述第二特征库中包含CGI业务的多个非恶意特征信息;
第一信息获取单元,用于在接收到CGI业务请求时,获取该CGI业务的特征信息;
第一匹配单元,用于将获取的所述特征信息与所述第一特征库中的恶意特征信息进行匹配;
第二匹配单元,用于当所述第一特征库中不存在获取的所述特征信息时,将获取的所述特征信息与所述第二特征库中的非恶意特征信息进行匹配;
第一处理单元,用于当所述第二特征库中不存在获取的所述特征信息,或获取的所述特征信息不满足预设的匹配规则时,确定所述CGI业务请求为恶意的CGI业务请求,对所述CGI业务请求进行相应的处理,并将获取的所述特征信息添加到所述第一特征库中。
本发明实施例与现有技术相比存在的有益效果是:在接收到CGI业务请求时,获取该CGI业务的特征信息,通过将获取的所述特征信息与预先创建的包含有CGI业务多个恶意特征信息和多个非恶意特征信息的特征库进行匹配,来确定所述CGI业务请求是否为恶意的CGI业务请求。本发明实施例基于CGI业务请求自身的特征信息来确定所述CGI业务请求是否为恶意的CGI业务请求,可有效提高判断的准确性。而且,还可以对所述特征库进行实时的更新,进一步提高对CGI业务请求判断的准确性以及入侵防护的有效性,保证WEB服务器的安全。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的通用网关接口业务入侵防护方法的实现流程图;
图2是本发明实施例二提供的通用网关接口业务入侵防护装置的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
实施例一:
图1示出了第一实施例提供的通用网关接口业务入侵防护方法的实现流程,其过程详述如下:
在步骤S101中,创建通用网关接口CGI业务特征库,所述CGI业务特征库中包含有第一特征库和第二特征库,所述第一特征库中包含CGI业务的多个恶意特征信息,所述第二特征库中包含CGI业务的多个非恶意特征信息。
在本实施例中,CGI业务的特征信息包括CGI业务的访问类型、CGI业务的编码长度和/或CGI业务中参数的个数等。
其中,所述恶意特性信息是指对WEB服务器安全构成威胁的特征信息。包括非法访问类型、不在预设范围内的编码长度以及参数个数等。具体还包括1)whois_raw.cgi,允许入侵者能够以系统上启动http的用户的权限执行系统上任意的命令;2)faxsurvey,允许入侵者无须登录就能在服务器执行指令;3)pfdispaly.cgi,允许入侵者非法查看服务器上的文件等。
所述非恶意特征信息是指对WEB服务器安全不构成威胁的特征信息。包括正常的访问类型(例如页面请求、表达提交、搜索请求、登录请求等)、在预设范围内的编码长度以及参数个数等。具体还包括1)SERVER_INTERFACE:WWW服务器的类型;2)SERVER_PROTOCOL:通信协议,如HTTP/1.0;3)SERVER_PORT:TCP端口,一般WEB端口是80;4)HTTP_ACCEPT:HTTP定义的浏览器能够接受的数据类型等。
在步骤S102中,在接收到CGI业务请求时,获取该CGI业务的特征信息。
在本实施例中,在接收到CGI业务请求时,对该CGI业务请求进行解析,获取该CGI业务的特征信息,获取的特征信息包括但不限于CGI业务的访问类型、CGI业务的编码长度以及CGI业务中参数的个数等。
在步骤S103中,将获取的所述特征信息与所述第一特征库中的恶意特征信息进行匹配。
在本实施例中,当获取的特征信息中包含多个特征信息时,将每一个特征信息与所述第一特征库中的恶意特征信息进行匹配。
在步骤S104中,当所述第一特征库中不存在获取的所述特征信息时,将获取的所述特征信息与所述第二特征库中的非恶意特征信息进行匹配。
在本实施例中,当获取的特征信息中包含多个特征信息,且所述第一特征库中不存在所述多个特征信息中的任一个时,将获取的所述每一个特征信息与所述第二特征库中的非恶意特征信息进行匹配。
进一步的,本实施例还包括:
当所述第一特征库中存在获取的所述特征信息时,确定所述CGI业务请求为恶意的CGI业务请求。
更进一步,当获取的特征信息中包含多个特征信息时,
所述当所述第一特征库中存在获取的所述特征信息时,确定所述CGI业务请求为恶意的CGI业务请求包括:
当所述第一特征库中存在获取的所述特征信息中的任一特征信息时,确定所述CGI业务请求为恶意的CGI业务请求。
在步骤S105中,当所述第二特征库中不存在获取的所述特征信息,或获取的所述特征信息不满足预设的匹配规则时,确定所述CGI业务请求为恶意的CGI业务请求,对所述CGI业务请求进行相应的处理,并将获取的所述特征信息添加到所述第一特征库中。
在本实施例中,当获取的特征信息中包含多个特征信息时,所述当所述第二特征库中不存在获取的所述特征信息,或获取的所述特征信息不满足预设的匹配规则时,确定所述CGI业务请求为恶意的CGI业务请求包括:
当所述第二特征库中不存在所获取的特征信息中的任一特征信息,或所获取的特征信息中的任一特征信息不满足预设的匹配规则时,确定所述CGI业务请求为恶意的CGI业务请求。
示例性的,当获取的所述特征信息中包含CGI业务的编码长度、CGI业务的类型和CGI业务中参数的个数时,当所述CGI业务特征库中不存在所述CGI业务的编码长度或所述CGI业务的编码长度不满足预设的匹配规则(即所述CGI业务的编码长度不在预设的编码长度范围内)、或不存在所述CGI业务的类型或所述CGI业务的类型不满足预设的匹配规则、或不存在所述CGI业务中参数的个数或所述CGI业务中参数的个数不满足预设的匹配规则(即所述CGI业务中参数的个数不在预设范围内)时,确定所述CGI业务请求为恶意的CGI业务请求。
进一步的,本实施例还包括:
当所述第二特征库中存在获取的所述特征信息,或获取的所述特征信息满足预设的匹配规则时,确定所述CGI业务请求为非恶意的CGI业务请求。
更进一步的,当获取的特征信息中包含多个特征信息时,所述当所述第二特征库中存在获取的所述特征信息,或获取的所述特征信息满足预设的匹配规则时,确定所述CGI业务请求为非恶意的CGI业务请求包括:
当所述第二特征库中存在获取的所述多个特征信息,或获取的所述多个特征信息都满足预设的匹配规则时,确定所述CGI业务请求为非恶意的CGI业务请求。
示例性的,当获取的所述特征信息中包含CGI业务的编码长度、CGI业务的类型和CGI业务中参数的个数时,当所述CGI业务特征库中存在所述CGI业务的编码长度或所述CGI业务的编码长度满足预设的匹配规则、存在所述CGI业务的类型或所述CGI业务的类型满足预设的匹配规则、且存在所述CGI业务中参数的个数或所述CGI业务中参数的个数满足预设的匹配规则时,确定所述CGI业务请求为非恶意的CGI业务请求。
在本实施例中,对所述CGI业务请求进行的处理包括但不限于拒绝该CGI业务请求、丢弃该CGI业务请求、阻断该CGI业务请求、对该CGI业务请求进行审计或者通过报警的方式通知相关负责人。
优选的是,为了进一步提高判断的准确性或避免重复判断导致系统性能的消耗,所述CGI业务特征库中还包含有以下至少一项:
用于记录恶意的CGI业务请求的第一列表;
用于记录合法的CGI业务请求的第二列表;
用于记录可授权的CGI业务请求的第三列表。
本实施例,在确定所述CGI业务请求为恶意的CGI业务请求之前,还包括:
确定接收到的所述CGI业务请求是否在所述第一列表、第二列表或第三列表中。
需要说明的是,为了避免重复判断导致系统性能的消耗,本实施例可以在接收到CGI业务请求时,即判断该CGI业务请求是否在所述第一列表、第二列表或第三列表中,若存在,则进行相应的处理;若不存在,再获取该CGI业务请求中的特征信息,将获取的特性信息与与包含有CGI业务多个恶意特征信息和多个非恶意特征信息的特征库进行匹配。
另外,为了进一步提高判断的准确性,本实施例可以将所述CGI业务请求中的特征信息与第一特征库中的恶意特征信息或第二特征库中的非恶意特征信息进行匹配后,再判断该CGI业务请求是否在所述第一列表、第二列表或第三列表中,如果两者判断结果不一致(例如经过第二特征库匹配后发现该CGI业务请求为恶意的CGI业务请求,但该CGI业务请求又存在于第三列表(即可授权的CGI业务请求中)),则对该CGI业务请求进行审计以进一步确定该CGI业务请求是否对WEB服务器构成威胁,保证WEB服务器的安全。
在本实施例中,将不同的CGI业务请求记录到所述第一列表、第二列表或第三列表中具体包括:
获取某一时间段内历史CGI业务请求的特征信息;
将所述历史CGI业务请求的特征信息与所述第一特征库中的恶意特征信息和第二特征库中的非恶意特征信息进行匹配;
当所述第一特征库存在所述历史CGI业务请求的特征信息时,将该CGI业务请求记录到所述第一列表中;当所述第二特征库存在所述历史CGI业务请求的特征信息时,将该CGI业务请求记录到所述第二列表中;当所述第二特征库和第一特征库中都不存在所述历史CGI业务请求的特征信息时,将该CGI业务请求记录到所述第三列表中。
本发明实施例基于CGI业务请求自身的特征信息来确定所述CGI业务请求是否为恶意的CGI业务请求,可有效提高判断的准确性。而且,还可以对所述特征库进行实时的更新,进一步提高对CGI业务请求判断的准确性以及入侵防护的有效性,保证WEB服务器的安全。
实施例二:
图2示出了本发明第二实施例提供的通用网关接口业务入侵防护装置的组成结构,为了便于说明,仅示出了与本发明实施例相关的部分。
该通用网关接口业务入侵防护装置可以是运行于终端设备(如WEB服务器)内的软件单元、硬件单元或者软硬件相结合的单元,也可以作为独立的挂件集成到所述终端设备中或者运行于所述终端设备的应用系统中。
该通用网关接口业务入侵防护装置包括特征库创建单元21、第一信息获取单元22、第一匹配单元23、第二匹配单元24以及第一处理单元25。其中,各单元的具体功能如下:
特征库创建单元21,用于创建通用网关接口CGI业务特征库,所述CGI业务特征库中包含有第一特征库和第二特征库,所述第一特征库中包含CGI业务的多个恶意特征信息,所述第二特征库中包含CGI业务的多个非恶意特征信息;
第一信息获取单元22,用于在接收到CGI业务请求时,获取该CGI业务的特征信息;
第一匹配单元23,用于将获取的所述特征信息与所述第一特征库中的恶意特征信息进行匹配;
第二匹配单元24,用于当所述第一特征库中不存在获取的所述特征信息时,将获取的所述特征信息与所述第二特征库中的非恶意特征信息进行匹配;
第一处理单元25,用于当所述第二特征库中不存在获取的所述特征信息,或获取的所述特征信息不满足预设的匹配规则时,确定所述CGI业务请求为恶意的CGI业务请求,对所述CGI业务请求进行相应的处理,并将获取的所述特征信息添加到所述第一特征库中。
进一步的,所述第一处理单元25还用于:
当所述第一特征库中存在获取的所述特征信息时,确定所述CGI业务请求为恶意的CGI业务请求。
进一步的,当获取的特征信息中包含多个特征信息时,
所述第一处理单元25用于,当所述第一特征库中存在获取的所述特征信息中的任一特征信息时,确定所述CGI业务请求为恶意的CGI业务请求。
进一步的,当获取的特征信息中包含多个特征信息时,
所述第一处理单元25用于,当所述第二特征库中不存在所获取的特征信息中的任一特征信息,或所获取的特征信息中的任一特征信息不满足预设的匹配规则时,确定所述CGI业务请求为恶意的CGI业务请求。
进一步的,所述装置还包括:
第二处理单元26,用于当所述第二特征库中存在获取的所述特征信息,或获取的所述特征信息满足预设的匹配规则时,确定所述CGI业务请求为非恶意的CGI业务请求。
进一步的,当获取的特征信息中包含多个特征信息时,
第二处理单元26用于,当所述第二特征库中存在获取的所述多个特征信息,或获取的所述多个特征信息都满足预设的匹配规则时,确定所述CGI业务请求为非恶意的CGI业务请求。
进一步的,所述CGI业务特征库中还包含有以下至少一项:
用于记录恶意的CGI业务请求的第一列表;
用于记录合法的CGI业务请求的第二列表;
用于记录可授权的CGI业务请求的第三列表。
进一步的,所述第一处理单元25在确定所述CGI业务请求为恶意的CGI业务请求之前,还用于确定接收到的所述CGI业务请求是否在所述第一列表、第二列表或第三列表中。
进一步的,所述装置还包括:
第二信息获取单元27,用于获取某一时间段内历史CGI业务请求的特征信息;
第三匹配单元28,用于将所述历史CGI业务请求的特征信息与所述第一特征库中的恶意特征信息和第二特征库中的非恶意特征信息进行匹配;
记录单元29,用于当所述第一特征库存在所述历史CGI业务请求的特征信息时,将该CGI业务请求记录到所述第一列表中;当所述第二特征库存在所述历史CGI业务请求的特征信息时,将该CGI业务请求记录到所述第二列表中;当所述第二特征库和第一特征库中都不存在所述历史CGI业务请求的特征信息时,将该CGI业务请求记录到所述第三列表中。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元或模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元或模块既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述装置中单元、模块的具体工作过程,可以参考前述方法实施例一中的对应过程,在此不再赘述。
综上所述,本发明实施例基于CGI业务请求自身的特征信息与预先创建的包含有CGI业务多个恶意特征信息和多个非恶意特征信息的特征库和/或第一列表、第二列表和/或第三列表进行匹配,来确定所述CGI业务请求是否为恶意的CGI业务请求,可有效提高判断的准确性。而且,还可以对所述特征库进行实时的更新,进一步提高对CGI业务请求判断的准确性以及入侵防护的有效性,保证WEB服务器的安全。
本领域普通技术人员还可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以在存储于一计算机可读取存储介质中,所述的存储介质,包括ROM/RAM、磁盘、光盘等。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下做出若干等同替代或明显变型,而且性能或用途相同,都应当视为属于本发明由所提交的权利要求书确定的专利保护范围。
Claims (18)
1.一种通用网关接口业务入侵防护的方法,其特征在于,所述方法包括:
创建通用网关接口CGI业务特征库,所述CGI业务特征库中包含有第一特征库和第二特征库,所述第一特征库中包含CGI业务的多个恶意特征信息,所述第二特征库中包含CGI业务的多个非恶意特征信息;
在接收到CGI业务请求时,获取该CGI业务的特征信息;
将获取的所述特征信息与所述第一特征库中的恶意特征信息进行匹配;
当所述第一特征库中不存在获取的所述特征信息时,将获取的所述特征信息与所述第二特征库中的非恶意特征信息进行匹配;
当所述第二特征库中不存在获取的所述特征信息,或获取的所述特征信息不满足预设的匹配规则时,确定所述CGI业务请求为恶意的CGI业务请求,对所述CGI业务请求进行相应的处理,并将获取的所述特征信息添加到所述第一特征库中。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述第一特征库中存在获取的所述特征信息时,确定所述CGI业务请求为恶意的CGI业务请求。
3.如权利要求2所述的方法,其特征在于,当获取的特征信息中包含多个特征信息时,
所述当所述第一特征库中存在获取的所述特征信息时,确定所述CGI业务请求为恶意的CGI业务请求包括:
当所述第一特征库中存在获取的所述特征信息中的任一特征信息时,确定所述CGI业务请求为恶意的CGI业务请求。
4.如权利要求1所述的方法,其特征在于,当获取的特征信息中包含多个特征信息时,
所述当所述第二特征库中不存在获取的所述特征信息,或获取的所述特征信息不满足预设的匹配规则时,确定所述CGI业务请求为恶意的CGI业务请求包括:
当所述第二特征库中不存在所获取的特征信息中的任一特征信息,或所获取的特征信息中的任一特征信息不满足预设的匹配规则时,确定所述CGI业务请求为恶意的CGI业务请求。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述第二特征库中存在获取的所述特征信息,或获取的所述特征信息满足预设的匹配规则时,确定所述CGI业务请求为非恶意的CGI业务请求。
6.如权利要求5所述的方法,其特征在于,当获取的特征信息中包含多个特征信息时,
所述当所述第二特征库中存在获取的所述特征信息,或获取的所述特征信息满足预设的匹配规则时,确定所述CGI业务请求为非恶意的CGI业务请求包括:
当所述第二特征库中存在获取的所述多个特征信息,或获取的所述多个特征信息都满足预设的匹配规则时,确定所述CGI业务请求为非恶意的CGI业务请求。
7.如权利要求1所述的方法,其特征在于,所述CGI业务特征库中还包含有以下至少一项:
用于记录恶意的CGI业务请求的第一列表;
用于记录合法的CGI业务请求的第二列表;
用于记录可授权的CGI业务请求的第三列表。
8.如权利要求7所述的方法,其特征在于,在确定所述CGI业务请求为恶意的CGI业务请求之前,还包括:
确定接收到的所述CGI业务请求是否在所述第一列表、第二列表或第三列表中。
9.如权利要求7所述的方法,其特征在于,所述方法还包括:
获取某一时间段内历史CGI业务请求的特征信息;
将所述历史CGI业务请求的特征信息与所述第一特征库中的恶意特征信息和第二特征库中的非恶意特征信息进行匹配;
当所述第一特征库存在所述历史CGI业务请求的特征信息时,将该CGI业务请求记录到所述第一列表中;当所述第二特征库存在所述历史CGI业务请求的特征信息时,将该CGI业务请求记录到所述第二列表中;当所述第二特征库和第一特征库中都不存在所述历史CGI业务请求的特征信息时,将该CGI业务请求记录到所述第三列表中。
10.一种通用网关接口业务入侵防护的装置,其特征在于,所述装置包括:
特征库创建单元,用于创建通用网关接口CGI业务特征库,所述CGI业务特征库中包含有第一特征库和第二特征库,所述第一特征库中包含CGI业务的多个恶意特征信息,所述第二特征库中包含CGI业务的多个非恶意特征信息;
第一信息获取单元,用于在接收到CGI业务请求时,获取该CGI业务的特征信息;
第一匹配单元,用于将获取的所述特征信息与所述第一特征库中的恶意特征信息进行匹配;
第二匹配单元,用于当所述第一特征库中不存在获取的所述特征信息时,将获取的所述特征信息与所述第二特征库中的非恶意特征信息进行匹配;
第一处理单元,用于当所述第二特征库中不存在获取的所述特征信息,或获取的所述特征信息不满足预设的匹配规则时,确定所述CGI业务请求为恶意的CGI业务请求,对所述CGI业务请求进行相应的处理,并将获取的所述特征信息添加到所述第一特征库中。
11.如权利要求10所述的装置,其特征在于,所述第一处理单元还用于:
当所述第一特征库中存在获取的所述特征信息时,确定所述CGI业务请求为恶意的CGI业务请求。
12.如权利要求11所述的装置,其特征在于,当获取的特征信息中包含多个特征信息时,
所述第一处理单元用于,当所述第一特征库中存在获取的所述特征信息中的任一特征信息时,确定所述CGI业务请求为恶意的CGI业务请求。
13.如权利要求10所述的装置,其特征在于,当获取的特征信息中包含多个特征信息时,
所述第一处理单元用于,当所述第二特征库中不存在所获取的特征信息中的任一特征信息,或所获取的特征信息中的任一特征信息不满足预设的匹配规则时,确定所述CGI业务请求为恶意的CGI业务请求。
14.如权利要求10所述的方法,其特征在于,所述装置还包括:
第二处理单元,用于当所述第二特征库中存在获取的所述特征信息,或获取的所述特征信息满足预设的匹配规则时,确定所述CGI业务请求为非恶意的CGI业务请求。
15.如权利要求14所述的装置,其特征在于,当获取的特征信息中包含多个特征信息时,
第二处理单元用于,当所述第二特征库中存在获取的所述多个特征信息,或获取的所述多个特征信息都满足预设的匹配规则时,确定所述CGI业务请求为非恶意的CGI业务请求。
16.如权利要求10所述的装置,其特征在于,所述CGI业务特征库中还包含有以下至少一项:
用于记录恶意的CGI业务请求的第一列表;
用于记录合法的CGI业务请求的第二列表;
用于记录可授权的CGI业务请求的第三列表。
17.如权利要求16所述的装置,其特征在于,所述第一处理单元在确定所述CGI业务请求为恶意的CGI业务请求之前,还用于确定接收到的所述CGI业务请求是否在所述第一列表、第二列表或第三列表中。
18.如权利要求16所述的装置,其特征在于,所述装置还包括:
第二信息获取单元,用于获取某一时间段内历史CGI业务请求的特征信息;
第三匹配单元,用于将所述历史CGI业务请求的特征信息与所述第一特征库中的恶意特征信息和第二特征库中的非恶意特征信息进行匹配;
记录单元,用于当所述第一特征库存在所述历史CGI业务请求的特征信息时,将该CGI业务请求记录到所述第一列表中;当所述第二特征库存在所述历史CGI业务请求的特征信息时,将该CGI业务请求记录到所述第二列表中;当所述第二特征库和第一特征库中都不存在所述历史CGI业务请求的特征信息时,将该CGI业务请求记录到所述第三列表中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310326712.8A CN104348795B (zh) | 2013-07-30 | 2013-07-30 | 通用网关接口业务入侵防护的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310326712.8A CN104348795B (zh) | 2013-07-30 | 2013-07-30 | 通用网关接口业务入侵防护的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104348795A true CN104348795A (zh) | 2015-02-11 |
| CN104348795B CN104348795B (zh) | 2019-09-20 |
Family
ID=52503609
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310326712.8A Active CN104348795B (zh) | 2013-07-30 | 2013-07-30 | 通用网关接口业务入侵防护的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104348795B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107181785A (zh) * | 2016-03-10 | 2017-09-19 | 群晖科技股份有限公司 | 执行请求指令的方法及相关的服务器 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2412189A (en) * | 2004-03-16 | 2005-09-21 | Netcraft Ltd | Security component for use with an internet browser application |
| CN1695365A (zh) * | 2002-12-05 | 2005-11-09 | 国际商业机器公司 | 应对计算机入侵的方法及系统 |
| CN1707492A (zh) * | 2004-06-05 | 2005-12-14 | 腾讯科技(深圳)有限公司 | 一种反垃圾电子邮件的方法 |
| US20070136813A1 (en) * | 2005-12-08 | 2007-06-14 | Hsing-Kuo Wong | Method for eliminating invalid intrusion alerts |
| CN1996892A (zh) * | 2006-12-25 | 2007-07-11 | 杭州华为三康技术有限公司 | 网络攻击检测方法及装置 |
| CN101068204A (zh) * | 2006-05-05 | 2007-11-07 | 美国博通公司 | 通信架构中的中间网络节点及其执行的方法 |
| CN101136922A (zh) * | 2007-04-28 | 2008-03-05 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| CN101267357A (zh) * | 2007-03-13 | 2008-09-17 | 北京启明星辰信息技术有限公司 | 一种sql注入攻击检测方法及系统 |
| CN101719846A (zh) * | 2008-10-09 | 2010-06-02 | 中国移动通信集团天津有限公司 | 安全监控方法、装置及系统 |
| CN101727548A (zh) * | 2008-10-27 | 2010-06-09 | 联想(北京)有限公司 | 一种计算机安全监控系统、综合决策装置及方法 |
| CN102254120A (zh) * | 2011-08-09 | 2011-11-23 | 成都市华为赛门铁克科技有限公司 | 恶意代码的检测方法、系统及相关装置 |
| CN102902918A (zh) * | 2012-08-06 | 2013-01-30 | 厦门市美亚柏科信息股份有限公司 | 一种基于复合特征码的恶意文件检测方法 |
| CN103106365A (zh) * | 2013-01-25 | 2013-05-15 | 北京工业大学 | 一种移动终端上的恶意应用软件的检测方法 |
| CN103150506A (zh) * | 2013-02-17 | 2013-06-12 | 北京奇虎科技有限公司 | 一种恶意程序检测的方法和装置 |
-
2013
- 2013-07-30 CN CN201310326712.8A patent/CN104348795B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1695365A (zh) * | 2002-12-05 | 2005-11-09 | 国际商业机器公司 | 应对计算机入侵的方法及系统 |
| GB2412189A (en) * | 2004-03-16 | 2005-09-21 | Netcraft Ltd | Security component for use with an internet browser application |
| CN1707492A (zh) * | 2004-06-05 | 2005-12-14 | 腾讯科技(深圳)有限公司 | 一种反垃圾电子邮件的方法 |
| US20070136813A1 (en) * | 2005-12-08 | 2007-06-14 | Hsing-Kuo Wong | Method for eliminating invalid intrusion alerts |
| CN101068204A (zh) * | 2006-05-05 | 2007-11-07 | 美国博通公司 | 通信架构中的中间网络节点及其执行的方法 |
| CN1996892A (zh) * | 2006-12-25 | 2007-07-11 | 杭州华为三康技术有限公司 | 网络攻击检测方法及装置 |
| CN101267357A (zh) * | 2007-03-13 | 2008-09-17 | 北京启明星辰信息技术有限公司 | 一种sql注入攻击检测方法及系统 |
| CN101136922A (zh) * | 2007-04-28 | 2008-03-05 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| CN101719846A (zh) * | 2008-10-09 | 2010-06-02 | 中国移动通信集团天津有限公司 | 安全监控方法、装置及系统 |
| CN101727548A (zh) * | 2008-10-27 | 2010-06-09 | 联想(北京)有限公司 | 一种计算机安全监控系统、综合决策装置及方法 |
| CN102254120A (zh) * | 2011-08-09 | 2011-11-23 | 成都市华为赛门铁克科技有限公司 | 恶意代码的检测方法、系统及相关装置 |
| CN102902918A (zh) * | 2012-08-06 | 2013-01-30 | 厦门市美亚柏科信息股份有限公司 | 一种基于复合特征码的恶意文件检测方法 |
| CN103106365A (zh) * | 2013-01-25 | 2013-05-15 | 北京工业大学 | 一种移动终端上的恶意应用软件的检测方法 |
| CN103150506A (zh) * | 2013-02-17 | 2013-06-12 | 北京奇虎科技有限公司 | 一种恶意程序检测的方法和装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107181785A (zh) * | 2016-03-10 | 2017-09-19 | 群晖科技股份有限公司 | 执行请求指令的方法及相关的服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104348795B (zh) | 2019-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11184401B2 (en) | AI-driven defensive cybersecurity strategy analysis and recommendation system | |
| US11025674B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| US11848966B2 (en) | Parametric analysis of integrated operational technology systems and information technology systems | |
| US9990507B2 (en) | Adapting decoy data present in a network | |
| US20220224723A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| US20220201042A1 (en) | Ai-driven defensive penetration test analysis and recommendation system | |
| CN102647421B (zh) | 基于行为特征的web后门检测方法和装置 | |
| WO2015168203A1 (en) | Characterizing user behavior via intelligent identity analytics | |
| GB2507360A (en) | Threat detection through the accumulated detection of threat characteristics | |
| CN111064745A (zh) | 一种基于异常行为探测的自适应反爬方法和系统 | |
| US10445514B1 (en) | Request processing in a compromised account | |
| WO2021216163A2 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| CN112367338A (zh) | 恶意请求检测方法及装置 | |
| CN112511316B (zh) | 单点登录接入方法、装置、计算机设备及可读存储介质 | |
| US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
| CN107426196A (zh) | 一种识别web入侵的方法及系统 | |
| US20170270602A1 (en) | Object manager | |
| US20230308459A1 (en) | Authentication attack detection and mitigation with embedded authentication and delegation | |
| CN114138590A (zh) | Kubernetes集群的运维处理方法、装置及电子设备 | |
| WO2019018829A1 (en) | MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS | |
| CN104348795A (zh) | 通用网关接口业务入侵防护的方法及装置 | |
| US20220150241A1 (en) | Permissions for backup-related operations | |
| CN114567678A (zh) | 一种云安全服务的资源调用方法、装置及电子设备 | |
| WO2022046365A1 (en) | Advanced detection of identity-based attacks | |
| CN116578994B (zh) | 数据安全的操作方法、计算机设备及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |