CN107360162A - 一种网络应用防护方法和装置 - Google Patents
一种网络应用防护方法和装置 Download PDFInfo
- Publication number
- CN107360162A CN107360162A CN201710566142.8A CN201710566142A CN107360162A CN 107360162 A CN107360162 A CN 107360162A CN 201710566142 A CN201710566142 A CN 201710566142A CN 107360162 A CN107360162 A CN 107360162A
- Authority
- CN
- China
- Prior art keywords
- service request
- lightweight
- waf
- filtering rule
- clusters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络应用防护方法和装置,涉及网络安全技术领域。所述方法,包括:接收客户端用户发送的业务请求;根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则;利用所述轻量级过滤规则检查所述业务请求是否存在异常;如果所述业务请求存在异常,则将所述业务请求转发至重量级WAF集群;如果所述业务请求不存在异常,则将所述业务请求发送至所述业务请求对应的业务服务集群。解决了现有的网络应用防护方法的检测性能不佳,不能满足大请求量的业务需求的技术问题。取得了提高网络应用防护的检测性能,满足对大请求量的业务需求的有益效果。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种网络应用防护方法和装置。
背景技术
当Web(网络)应用越来越为丰富的同时,Web服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL(Structured Query Language,结构化查询语言)注入、网页篡改、网页挂马等安全事件,频繁发生。网络安全,尤其是Internet(互联网)安全正在面临前所未有的挑战。由此产生了WAF(Web Application Firewall,网络应用防护系统)。WAF代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
但是传统的WAF基本上是提供一体硬件盒子,这类WAF服务器通常不利于扩展,随着业务的访问量增大,必须通过不断采购增加WAF服务器来实现扩容,扩容方案不够弹性。在超高访问量的业务中,如果对所有的业务请求都经过传统的重量级Web攻击规则检测,则会耗时较长,容易导致检测性能受到一定影响,不能满足大请求量的业务需求。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种网络应用防护方法和相应的一种网络应用防护装置。
依据本发明的一个方面,提供了一种网络应用防护方法,包括:
接收客户端用户发送的业务请求;
根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则;
利用所述轻量级过滤规则检查所述业务请求是否存在异常;如果所述业务请求存在异常,则将所述业务请求转发至重量级WAF集群;如果所述业务请求不存在异常,则将所述业务请求发送至所述业务请求对应的业务服务集群。
可选地,所述轻量级过滤规则包括基础黑名单过滤规则、基于全局日志的攻击源黑名单过滤规则、粗放的传统网络攻击检测规则。
可选地,所述利用所述轻量级过滤规则检查所述业务请求是否存在异常的步骤,包括:
判断所述业务请求是否与所述基础黑名单过滤规则对应的基础黑名单匹配,如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单匹配,则拦截所述业务请求;
如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单不匹配,则判断所述业务请求是否与基于全局日志的攻击源黑名单匹配;如果所述业务请求与基于全局日志的攻击源黑名单匹配,则拦截所述业务请求;
如果所述业务请求与基于全局日志的攻击源黑名单不匹配,则利用所述粗放的传统网络攻击检测规则检测所述业务请求是否存在异常。
可选地,所述根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则的步骤,包括:
将所述业务请求对应的业务域名经由传输层负载均衡器提供的虚拟IP入口发送至应用层的轻量级WAF集群;
根据所述业务域名从所述轻量级WAF集群获取与所述业务域名匹配的轻量级过滤规则;所述轻量级过滤规则由所述轻量级WAF集群通过WAF规则推送集群从WAF后台服务器拉取得到。
可选地,所述将所述业务请求转发至重量级WAF集群的步骤,包括:
获取所述业务服务集群中一业务后端服务器的IP,根据所述IP对所述业务请求增加请求头;
将增加所述请求头的业务请求发送至重量级WAF集群。
进一步地,在所述将所述业务请求转发至重量级WAF集群的步骤之后,还包括:
利用所述重量级WAF集群对应的重量级WAF检测规则检测所述业务请求是否存在异常;
如果所述业务请求存在异常,则拦截所述业务请求;
如果所述业务请求不存在异常,则根据所述业务请求对应的所述请求头将所述业务请求发送至所述IP对应的业务后端服务器。
可选地,在所述根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则的步骤之前,还包括:
从所述轻量级WAF集群中获取日志数据;
对所述日志数据进行分析并获取新攻击源黑名单以更新所述WAF后台服务器中对应所述业务请求的轻量级过滤规则。
可选地,在所述根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则的步骤之前,还包括:
检测所述轻量级WAF集群中与所述业务请求对应的轻量级过滤规则的版本号是否与所述WAF后台服务器中对应所述业务请求的最新轻量级过滤规则的最新版本号一致;
如果所述轻量级过滤规则的版本号与所述WAF后台服务器中对应所述业务请求的最新轻量级过滤规则的最新版本号不一致,则将所述最新轻量级过滤规则拉取至所轻量级WAF集群,以更新所述轻量级WAF集群中的轻量级过滤规则。
根据本发明的另一方面,提供了一种网络应用防护装置,包括:
业务请求接收模块,用于接收客户端用户发送的业务请求;
轻量级过滤规则获取模块,用于根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则;
轻量级异常检查模块,用于利用所述轻量级过滤规则检查所述业务请求是否存在异常;
业务请求转发模块,用于如果所述业务请求存在异常,则将所述业务请求转发至重量级WAF集群;
第一业务请求发送模块,用于如果所述业务请求不存在异常,则将所述业务请求发送至所述业务请求对应的业务服务集群。
可选地,所述轻量级过滤规则包括基础黑名单过滤规则、基于全局日志的攻击源黑名单过滤规则、粗放的传统网络攻击检测规则。
可选地,所述轻量级异常检查模块,包括:
第一黑名单判断子模块,用于判断所述业务请求是否与所述基础黑名单过滤规则对应的基础黑名单匹配,如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单匹配,则进入拦截子模块;
第二黑名单判断子模块,用于如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单不匹配,则判断所述业务请求是否与基于全局日志的攻击源黑名单匹配;如果所述业务请求与基于全局日志的攻击源黑名单匹配,则进入拦截子模块;
拦截子模块,用于拦截所述业务请求;
轻量级异常检查子模块,用于如果所述业务请求与基于全局日志的攻击源黑名单不匹配,则利用所述粗放的传统网络攻击检测规则检测所述业务请求是否存在异常。
可选地,所述轻量级过滤规则获取模块,包括:
业务请求传输子模块,用于将所述业务请求对应的业务域名经由传输层负载均衡器提供的虚拟IP入口发送至应用层的轻量级WAF集群;
轻量级过滤规则获取子模块,用于根据所述业务域名从所述轻量级WAF集群获取与所述业务域名匹配的轻量级过滤规则;所述轻量级过滤规则由所述轻量级WAF集群通过WAF规则推送集群从WAF后台服务器拉取得到。
可选地,所述业务请求转发模块,包括:
请求头添加子模块,用于获取所述业务服务集群中一业务后端服务器的IP,根据所述IP对所述业务请求增加请求头;
业务请求转发子模块,用于将增加所述请求头的业务请求发送至重量级WAF集群。
进一步地,所述网络应用防护装置,还包括:
重量级异常检查模块,用于利用所述重量级WAF集群对应的重量级WAF检测规则检测所述业务请求是否存在异常;
业务请求拦截模块,用于如果所述业务请求存在异常,则拦截所述业务请求;
第二业务请求发送模块,用于如果所述业务请求不存在异常,则根据所述业务请求对应的所述请求头将所述业务请求发送至所述IP对应的业务后端服务器。
可选地,还包括:
日志数据获取模块,用于从所述轻量级WAF集群中获取日志数据;
新攻击源黑名单获取模块,用于对所述日志数据进行分析并获取新攻击源黑名单以更新所述WAF后台服务器中对应所述业务请求的轻量级过滤规则。
可选地,还包括:
版本号检测模块,用于检测所述轻量级WAF集群中与所述业务请求对应的轻量级过滤规则的版本号是否与所述WAF后台服务器中对应所述业务请求的最新轻量级过滤规则的最新版本号一致;
轻量级过滤规则更新模块,用于如果所述轻量级过滤规则的版本号与所述WAF后台服务器中对应所述业务请求的最新轻量级过滤规则的最新版本号不一致,则将所述最新轻量级过滤规则拉取至所轻量级WAF集群,以更新所述轻量级WAF集群中的轻量级过滤规则。
根据本发明的一种网络应用防护方法,可以接收客户端用户发送的业务请求;根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则;利用所述轻量级过滤规则检查所述业务请求是否存在异常;如果所述业务请求存在异常,则将所述业务请求转发至重量级WAF集群;如果所述业务请求不存在异常,则将所述业务请求发送至所述业务请求对应的业务服务集群。由此解决了现有的网络应用防护方法的检测性能不佳,不能满足大请求量的业务需求的技术问题。取得了提高网络应用防护的检测性能,满足对大请求量的业务需求的有益效果。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的一种网络应用防护方法的步骤流程图;
图2示出了根据本发明一个实施例的一种网络应用防护方法的步骤流程图;以及
图3示出了根据本发明一个实施例的一种网络应用防护装置的结构示意图;以及
图4示出了根据本发明一个实施例的一种网络应用防护装置的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
实施例一
详细介绍本发明实施例提供的一种网络应用防护方法。
参照图1,示出了本发明实施例中一种网络应用防护方法的步骤流程图。
步骤110,接收客户端用户发送的业务请求。
步骤120,根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则。
如前述,如果业务需要接入WAF功能,那么现有的传统WAF可以针对该业务下的每个业务请求进行重度WAF检测,也即每一个业务请求都必须经过CC攻击的规则检测和很重的传统Web攻击的规则检测,从而导致检测过程耗费过多时间。因此,在本申请实施例中,为了减少对时间的耗费,提高检测性能,可以先利用轻量级过滤规则对业务请求进行检测,对于存在异常的业务请求再利用包括前述的CC攻击的规则检测和很重的传统Web攻击规则检测的重量级WAF检测规则对其进行检测,从而可以有效的提高检测性能。
因此,在本申请实施例中,在接收到客户端发送的业务请求之后,进而可以根据该业务请求获取与该业务请求匹配的轻量级过滤规则。相对于传统WAF的重量级WAF检测规则而言,轻量级过滤规则所包含的判断规则更简单。例如,轻量级过滤规则可以包括粗放的传统web攻击检测规则,并且还可以包括基础黑名单过滤规则,基于全局日志的攻击源黑名单过滤规则。其中,传统web攻击检测规则相对于传统的重量级WAF检测规则更简单。而且,如果轻量级过滤规则中包含基础黑名单过滤规则,和/或基于全局日志的攻击源黑名单过滤规则,那么可以先利用基础黑名单过滤规则,和/或基于全局日志的攻击源黑名单过滤规则对业务请求进行过滤,如果业务请求与上述的任一黑名单匹配,则可以直接拦截该业务请求,而如果业务请求与上述的两个黑名单均不匹配,则可以进一步利用粗放的传统web攻击检测规则检测该业务请求是否存在异常。
当然,在本申请实施例中,轻量级过滤规则可以包括任何可用过滤规则,具体的可以根据需求在本步骤之前,或者是本步骤之前的任一步骤之前进行设定,对此本申请实施例不加以限定。
另外,需要说明的是,在本申请实施例中,针对不同业务的轻量级过滤规则可以所有不同,那么则需要获取与该业务请求匹配的轻量级过滤规则。
步骤130,利用所述轻量级过滤规则检查所述业务请求是否存在异常。
在获得了与当前接收到的业务请求匹配的轻量级过滤规则之后,则可以利用该轻量级过滤规则检查该业务请求是否存在异常。例如,如果轻量级过滤规则中包含某些SQL(Structured Query Language,结构化查询语言)关键字或是脚本关键字,那么如果该业务请求中包含同样的关键字,则可以确定该业务请求存在异常。
步骤140,如果所述业务请求存在异常,则将所述业务请求转发至重量级WAF集群。
那么如果业务请求存在异常,那么为了进一步确认是否准确,则可以将所述业务请求转发至重量级WAF集群,以利用重量级WAF集群的重量级WAF检测规则进一步检测该业务请求存在异常的情况是否属实。
步骤150,如果所述业务请求不存在异常,则将所述业务请求发送至所述业务请求对应的业务服务集群。
而如果业务请求不存在异常,则无须利用重量级WAF检测规则对该业务请求进行进一步检测,则可以直接将其发送至该业务请求对应的业务服务集群。
在本申请实施例中,可以接收客户端用户发送的业务请求;根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则;利用所述轻量级过滤规则检查所述业务请求是否存在异常;如果所述业务请求存在异常,则将所述业务请求转发至重量级WAF集群;如果所述业务请求不存在异常,则将所述业务请求发送至所述业务请求对应的业务服务集群。由此提高了网络应用防护的检测性能,从而能够满足对大请求量的业务需求。
实施例二
详细介绍本发明实施例提供的一种网络应用防护方法。
参照图2,示出了本发明实施例中一种网络应用防护方法的步骤流程图。
步骤210,接收客户端用户发送的业务请求。
步骤220,将所述业务请求对应的业务域名经由传输层负载均衡器提供的虚拟IP入口发送至应用层的轻量级WAF集群。
在实际应用中,在未接入WAF的时候,在接收到客户端用户发送的业务请求之后,可以将业务请求对应的业务域名(例如www.example.com)解析到四层LB(Load Balancer,负载均衡器)提供的入口VIP(virtual Internet Protocol,虚拟IP)。例如VIP1,然后上行(upstream)用户的业务请求到七层LB并由七层LB再upstream到真实的业务后端服务集群,或者直接从四层LB直接upstream到真实的业务后端服务集群。其中,四层LB可以使用LVS(Linux Virtual Server,Linux虚拟服务器)或者F5(一种负载均衡器)等各类软硬件LoadBalancer来实现,七层LB可以使用nginx(engine x,一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器)等软件Load Balancer来实现。在实际应用中,网络协议在OSI(Open System Interconnection,开放式系统互联)模型下是分层协议。这个模型把网络通信的工作分为七层,分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。其中的传输层即为本申请实施例中的四层,应用层即为本申请实施例中的七层。
那么如果针对当前业务接入WAF,而且WAF还包括了轻量级WAF检测和重量级WAF检测,那么此时在接收到客户端用户发送的业务请求之后,可以将业务请求对应的业务域名经由传输层负载均衡器提供的虚拟IP入口发送至应用层的轻量级WAF集群。
在本申请实施例中,轻量级WAF集群可以分为两种情况,一种是和7层LB直接集成的轻量级WAF模块,另外一种是独立部署的7层轻量级WAF集群。那么针对上述两种情况的轻量级WAF集群,利用四层LB提供两个虚拟IP入口,例如VIP2和VIP3,分别对应于上述两种情况的轻量级WAF集群。当然,如果在本申请实施例中的轻量级WAF集群只为上述的两种情况中的任意一种,那么此时四层LB可以只提供一个虚拟IP入口,对此本申请实施例不加以限定。
步骤230,根据所述业务域名从所述轻量级WAF集群获取与所述业务域名匹配的轻量级过滤规则;所述轻量级过滤规则由所述轻量级WAF集群通过WAF规则推送集群从WAF后台服务器拉取得到;所述轻量级过滤规则包括基础黑名单过滤规则、基于全局日志的攻击源黑名单过滤规则、粗放的传统网络攻击检测规则。
在实际应用中,用户可以通过客户端发送针对不同业务的业务请求,而且针对不同业务请求的轻量级过滤规则可能有所不同。因此,在本申请实施例中,在布置轻量级WAF集群时,可以针对不同的业务布置不同的轻量级WAF集群,那么对于针对某一业务的轻量级WAF集群,则可以通过WAF规则推送集群从WAF后台服务器拉取得到针对该业务的轻量级过滤规则即可,而无需获取针对全部业务的轻量级过滤规则。
另外,在本申请实施例中,可以预先针对不同的业务请求在WAF后台服务器中登记针对各业务请求的轻量级过滤规则,而且WAF规则推送集群可以将WAF后台服务器中的针对不同业务的轻量级过滤规则预先推送至相应业务对应的轻量级WAF集群。例如,轻量级WAF集群在每次初始化时,都可以经由WAF规则推送集群与WAF后台服务器进行通信,并经由WAF规则推送集群从WAF后台服务器中获取相应业务对应的最新轻量级过滤规则。
例如,假设有业务A、B、C,轻量级WAF集群M、N、L,在WAF后台服务器中登记有gz1、gz2、gz3、gz4、gz5、gz6、gz7一共七条过滤规则,其中gz1对应于业务请求a1,gz2对应于业务请求a2,gz3对应于业务请求b1,gz4对应于业务请求b2,gz5对应于业务请求b3,gz6对应于业务请求c1,gz7对应于业务请求c2。而且,a1和a2对应于业务A,b1、b2和b3对应于业务B,c1和c2对应于业务C。
假设轻量级WAF集群M对应于业务A,轻量级WAF集群N对应于业务B,轻量级WAF集群L对应于业务C,那么WAF规则推送集群可以将WAF后台服务器中过滤规则gz1、gz2推送至轻量级WAF集群M,将WAF后台服务器中过滤规则gz3、gz4、gz5推送至轻量级WAF集群N,将WAF后台服务器中过滤规则gz6、gz7推送至轻量级WAF集群L。
当然,在本申请实施例中,也可以不预先通过WAF规则推送集群将轻量级过滤规则从WAF后台服务器拉取到轻量级WAF集群,而是在接收到客户端发送的业务请求之后,再从WAF后台服务器中查找并拉取对应该业务请求的轻量级过滤规则。但是很明显,预先拉取的方式的效率更高,从而运行效率也更高。
而且,在本申请实施例中的轻量级过滤规则具体可以包括基础黑名单过滤规则、基于全局日志的攻击源黑名单过滤规则、粗放的传统网络攻击检测规则。其中的基础黑名单过滤规则对应的基础黑名单是由相关技术人员预先设置的,例如可以包括禁止访问的URL(Uniform Resource Locator,统一资源定位符)、IP地址、IP请求头等等,对此本申请实施例不加以限定。基于全局日志的攻击源黑名单过滤规则对应的攻击源黑名单则是根据全局访问日志分析得到的攻击源黑名单,具体也可以包括基于全局访问日志分析得到的URL(Uniform Resource Locator,统一资源定位符)、IP地址、IP请求头等等,对此本申请实施例不加以限定。粗放的传统网络攻击检测规则对应的相对于现有的传统WAF具备的传统网络攻击检测规则更简单,例如,粗放的传统网络攻击检测规则中可以包括对业务请求进行相对简单的正则匹配,检测其中是否存在SQL(Structured Query Language,结构化查询语言)关键字、脚本关键字等等。
在本申请实施例中,在WAF系统中还可以分别设置一访问日志收集服务集群和访问分析服务集群,然后即可以利用访问日志收集服务集群从轻量级WAF集群处收集访问日志,并利用访问分析服务集群对收集得到的访问日志进行分析,进而得到初始的攻击源黑名单,并且还可以周期性的执行上述步骤以对初始的攻击源黑名单进行更新以及补充。
步骤240,判断所述业务请求是否与所述基础黑名单过滤规则对应的基础黑名单匹配;如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单匹配,则进入步骤260。
如前述,基础黑名单过滤规则对应的黑名单中存在的是禁止访问的黑名单信息,那么如果业务请求与基础黑名单过滤规则对应的黑名单匹配,则可以直接将该业务请求进行拦截。
步骤250,如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单不匹配,则判断所述业务请求是否与基于全局日志的攻击源黑名单匹配;如果所述业务请求与基于全局日志的攻击源黑名单匹配,则进入步骤260。
同样,如果业务请求与基于全局日志的攻击源黑名单匹配,则同样可以直接将该业务请求进行拦截。
需要说明的是,在本申请实施例中,步骤250也可以在步骤240之前执行,或者是与步骤240同时执行,对此本申请实施例不加以限定。而如果业务请求与前述的基础黑名单以及攻击源黑名单都不匹配,那么则可以利用粗放的传统网络攻击检测规则检测所述业务请求是否存在异常。
步骤260,拦截所述业务请求。
步骤270,如果所述业务请求与基于全局日志的攻击源黑名单不匹配,则利用所述粗放的传统网络攻击检测规则检测所述业务请求是否存在异常。
例如,如果粗放的传统网络攻击检测规则中包括前述的业务请求进行相对简单的正则匹配,检测其中是否存在SQL(Structured Query Language,结构化查询语言)关键字、脚本关键字等等。那么如果检测到业务请求中存在与粗放的传统网络攻击检测规则进行相对简单的正则匹配后,检测到其中存在粗放的传统网络攻击检测规则所包含的SQL关键字或者是脚本关键字等等。那么则可以确定该业务请求存在异常,否则可以判定该业务请求不存在异常。
当然,在本申请实施例中,粗放的传统网络攻击检测规则的具体内容可以根据需求在本步骤之前,或者是本步骤之前的任一步骤之前进行设定,对此本申请实施例不加以限定。
步骤280,如果所述业务请求存在异常,获取所述业务服务集群中一业务后端服务器的IP,根据所述IP对所述业务请求增加请求头。
如果业务请求存在异常,则需要将该业务请求转发至重量级WAF集群以进行进一步的确认。在实际应用中,如果直接将原始的业务请求转发至重量级WAF集群,那么如果确认该业务请求无异常而将其发送至相应的业务服务集群时,容易将业务请求错发。因此,在本申请实施例中,在将业务请求发送至重量级WAF集群之前,可以先获取该业务请求对应的业务服务集群中一业务后端服务器的IP,然后根据该IP对该业务请求增加请求头。其中请求头的格式可以为任意可用格式,可以根据需求在本步骤之前,或者是本步骤之前的任一步骤之前进行设定,对此本申请实施例不加以限定。
步骤290,将增加所述请求头的业务请求发送至重量级WAF集群。
将对业务请求增加了请求头之后,则可以将增加了请求头的业务请求发送至重量级WAF集群。
步骤2110,如果所述业务请求不存在异常,则将所述业务请求发送至所述业务请求对应的业务服务集群。
很明显,如果利用轻量级过滤规则判定业务请求不存在异常,那么则无需将其再转发至重量级WAF集群,而可以直接将该业务请求发送至其对应的业务服务集群。
可选地,在本申请实施例中,在所述步骤230之前,还可以包括:在WAF后台服务器登记对应所述业务请求的轻量级过滤规则。
如前述,在本申请实施例中,可以预先在WAF后台服务器登记对应业务请求的轻量级过滤规则。具体的可以在根据所述业务域名从所述轻量级WAF集群获取与所述业务域名匹配的轻量级过滤规则的步骤之前,在WAF后台服务器登记对应所述业务请求的轻量级过滤规则。
可选地,在本申请实施例中,在所述步骤290之后,还可以包括:
步骤2120,利用所述重量级WAF集群对应的重量级WAF检测规则检测所述业务请求是否存在异常;如果所述业务请求存在异常,则执行步骤260;如果所述业务请求不存在异常,则执行步骤2130。
在本申请实施例中,如果将业务请求转发至重量级WAF集群,那么则可以进一步利用重量级WAF集群对应的重量级WAF检测规则检测该业务请求是否存在异常。其中,重量级WAF检测规则相对于前述粗放的传统网络攻击检测规则更精确,当然在本申请实施例中,也可以在本步骤之前,或者是本步骤之前的任一步骤之前根据需求设定重量级WAF检测规则的具体内容,对此本申请不加以限定。
步骤2130,拦截所述业务请求。
而如果利用重量级WAF检测规则检测业务请求仍然存在异常,那么则可以拦截该业务请求。
而且,在本申请实施例中,还可以将所有被拦截的业务请求记录至拦截日志,当然也可以不记录,具体的可以根据需求预先进行设定,对此本申请实施例不加以限定。
步骤2130,根据所述业务请求对应的所述请求头将所述业务请求发送至所述IP对应的业务后端服务器。
而如果利用重量级WAF检测规则检测业务请求不存在异常,那么则可以将该业务请求发送至对应的业务后端服务器。如前述,在将业务请求转发至重量级WAF集群之前,可以获取该业务请求对应的业务服务集群中一业务后端服务器的IP,并根据该IP对该业务请求增加请求头。那么此时,则可以根据业务请求中增加的请求头中的该IP地址,将该业务请求发送至该IP对应的业务后端服务器。
可选地,在本申请实施例中,还可以包括:
步骤2140,从所述轻量级WAF集群中获取日志数据。
步骤2150,对所述日志数据进行分析并获取新攻击源黑名单以更新所述WAF后台服务器中对应所述业务请求的轻量级过滤规则。
另外,在实际应用中,日志数据是不断新增的,那么则需要实时从轻量级WAF集群中获取日志数据,然后对获取的日志数据进行分析并获取新攻击源黑名单以更新WAF后台服务器中对应相应业务请求的轻量级过滤规则。具体的可以预设时间段为间隔,周期性地执行上述的步骤2140-2150;也可以在步骤230之前执行上述的2140-2150,从而可以实现对轻量级过滤规则中的攻击源黑名单进行周期性更新,从而可以进一步提高轻量级检测规则的准确度。
在本申请实施例中,可以利用日志收集服务集群收集日志数据,利用日志分析服务集群对获取的日志数据进行分析。那么轻量级WAF集群还应该和日志收集服务集群对接,例如可以通过UDP(User Datagram Protocol,用户数据报协议)协议投递到日志收集服务集群,日志数据收集后,可以存储到日志分析服务集群,进而可以使用Spark Streaming(Spark Streaming是spark核心API的扩展,可实现对实时数据流的高吞吐量、容错的流处理)或者Flink(Flink是一个针对流数据和批数据的分布式处理引擎)等大数据分析工具以及CC攻击建模,一方面识别CC攻击,另一方面获得攻击源来源。其中具体的攻击检测算法可以使用常见的CC攻击检测算法,攻击的检测时间取决于采用的检测分析工具和算法。
日志分析服务集群可以向WAF后台服务器发送攻击报警以及提交新增的攻击源黑名单,然后可以由WAF后台服务器通过规则推动服务。
步骤2160,检测所述轻量级WAF集群中与所述业务请求对应的轻量级过滤规则的版本号是否与所述WAF后台服务器中对应所述业务请求的最新轻量级过滤规则的最新版本号一致。
步骤2170,如果所述轻量级过滤规则的版本号与所述WAF后台服务器中对应所述业务请求的最新轻量级过滤规则的最新版本号不一致,则将所述最新轻量级过滤规则拉取至所轻量级WAF集群,以更新所述轻量级WAF集群中的轻量级过滤规则。
在本申请实施例中,可以根据日志数据对轻量级过滤规则进行更新,而且相关技术人员也可以根据需求调整轻量级过滤规则的版本。如前述,轻量级过滤规则是登记在WAF后台服务器,那么在版本更新是也是在WAF后台服务器中进行,在本申请实施例中,在WAF后台服务器中存储的轻量级过滤规则可以同时登记各轻量级过滤规则对应的业务以及版本号等信息,而如果对针对某一业务的轻量级过滤规则进行了更新,那么则可以增加一针对该业务的新轻量级过滤规则,并且可以按照预设的版本号更新规则设置该新轻量级过滤规则对应版本号。例如,如果预设的版本号更新规则是版本号越高则轻量级过滤规则越新,那么则可以将新轻量级过滤规则的版本号设置为对应同一业务的前一版本的轻量级过滤规则的版本号加1。例如,假设当前对应某一业务的轻量级过滤规则的版本号为0001,那么如果对该同一业务的轻量级过滤进行更新,那么更新后的新轻量级过滤规则的版本号则可以为0002。
如前述,在本申请实施例中,可以根据业务请求在轻量级WAF集群中查找相应的轻量级过滤规则,那么如果WAF后台服务器中对应某一业务请求的过滤规则存在版本更新,为了保证该业务对应的轻量级WAF集群中的轻量级过滤规则始终为最新版本,那么则需要根据WAF后台服务器的最新轻量级过滤规则的最新版本对轻量级WAF集群中的轻量级过滤规则进行更新。因此,在本申请实施例中,可以检测所述轻量级WAF集群中与所述业务请求对应的轻量级过滤规则的版本号是否与所述WAF后台服务器中对应所述业务请求的最新轻量级过滤规则的最新版本号一致。而如果所述轻量级过滤规则的版本号与所述WAF后台服务器中对应所述业务请求的最新轻量级过滤规则的最新版本号不一致,则将所述最新轻量级过滤规则拉取至所轻量级WAF集群,以更新所述轻量级WAF集群中的轻量级过滤规则。
例如,在本申请实施例中,可以利用轻量级WAF提供心跳pingback(自动引用通知)到规则推送服务集群,该pingback可以记录业务+规则版本号,如果该业务的版本号显示需要升级规则,则规则推送服务集群会调用轻量级WAF集群提供的规则升级提醒接口,那么所有被提醒的轻量级WAF集群则会调用规则推送服务集群的规则更新接口,并制定要拉取的规则版本号进行更新替换轻量级WAF集群的本地规则。
而重量级WAF集群的规则更新通常是由安全工程师在WAF后台服务器变更传统WEB攻击的检测规则,并通过WAF后台服务器和规则推送服务集群通知重量级WAF集群进行拉取更新。
在本申请实施例中,可以接收客户端用户发送的业务请求;根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则;利用所述轻量级过滤规则检查所述业务请求是否存在异常;如果所述业务请求存在异常,则将所述业务请求转发至重量级WAF集群;如果所述业务请求不存在异常,则将所述业务请求发送至所述业务请求对应的业务服务集群。由此提高了网络应用防护的检测性能,从而能够满足对大请求量的业务需求。
而且,在本申请实施例中,还可以判断所述业务请求是否与所述基础黑名单过滤规则对应的基础黑名单匹配,如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单匹配,则拦截所述业务请求;如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单不匹配,则判断所述业务请求是否与基于全局日志的攻击源黑名单匹配;如果所述业务请求与基于全局日志的攻击源黑名单匹配,则拦截所述业务请求;如果所述业务请求与基于全局日志的攻击源黑名单不匹配,则利用所述粗放的传统网络攻击检测规则检测所述业务请求是否存在异常。从而可以进一步提高轻量级过滤规则的准确性。
另外,在本申请实施例中,还可以将所述业务请求对应的业务域名经由传输层负载均衡器提供的虚拟IP入口发送至应用层的轻量级WAF集群;根据所述业务域名从所述轻量级WAF集群获取与所述业务域名匹配的轻量级过滤规则;所述轻量级过滤规则由所述轻量级WAF集群通过WAF规则推送集群从WAF后台服务器拉取得到。并且可以预先在WAF后台服务器登记对应所述业务请求的轻量级过滤规则。从而可以进一步提高获取轻量级过滤规则的效率。
进一步地,在本申请实施例中,还可以获取所述业务服务集群中一业务后端服务器的IP,根据所述IP对所述业务请求增加请求头;将增加所述请求头的业务请求发送至重量级WAF集群。从而可以方便在确认业务请求无异常时准确讲业务请求由重量级WAF集群发送至业务服务集群。
对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
实施例三
详细介绍本发明实施例提供的一种网络应用防护装置。
参照图3,示出了本发明实施例中一种网络应用防护装置的结构示意图。
业务请求接收模块310,用于接收客户端用户发送的业务请求。
轻量级过滤规则获取模块320,用于根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则。
轻量级异常检查模块330,用于利用所述轻量级过滤规则检查所述业务请求是否存在异常。
业务请求转发模块340,用于如果所述业务请求存在异常,则将所述业务请求转发至重量级WAF集群。
第一业务请求发送模块350,用于如果所述业务请求不存在异常,则将所述业务请求发送至所述业务请求对应的业务服务集群。
在本申请实施例中,可以接收客户端用户发送的业务请求;根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则;利用所述轻量级过滤规则检查所述业务请求是否存在异常;如果所述业务请求存在异常,则将所述业务请求转发至重量级WAF集群;如果所述业务请求不存在异常,则将所述业务请求发送至所述业务请求对应的业务服务集群。由此提高了网络应用防护的检测性能,从而能够满足对大请求量的业务需求。
实施例四
详细介绍本发明实施例提供的一种网络应用防护装置。
参照图4,示出了本发明实施例中一种网络应用防护装置的结构示意图。
业务请求接收模块410,用于接收客户端用户发送的业务请求。
轻量级过滤规则获取模块420,用于根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则。所述轻量级过滤规则包括基础黑名单过滤规则、基于全局日志的攻击源黑名单过滤规则、粗放的传统网络攻击检测规则。
可选地,在本申请实施例中,所述轻量级过滤规则获取模块420进一步可以包括:
业务请求传输子模块421,用于将所述业务请求对应的业务域名经由传输层负载均衡器提供的虚拟IP入口发送至应用层的轻量级WAF集群。
轻量级过滤规则获取子模块422,用于根据所述业务域名从所述轻量级WAF集群获取与所述业务域名匹配的轻量级过滤规则;所述轻量级过滤规则由所述轻量级WAF集群通过WAF规则推送集群从WAF后台服务器拉取得到。
可选地,在本申请实施例中,所述轻量级过滤规则获取模块420进一步还可以包括:
轻量级过滤规则登记子模块,用于在WAF后台服务器登记对应所述业务请求的轻量级过滤规则。
轻量级异常检查模块430,用于利用所述轻量级过滤规则检查所述业务请求是否存在异常。
可选地,在本申请实施例中,所述轻量级异常检查模块430,进一步可以包括:
第一黑名单判断子模块431,用于判断所述业务请求是否与所述基础黑名单过滤规则对应的基础黑名单匹配,如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单匹配,则进入拦截子模块。
第二黑名单判断子模块432,用于如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单不匹配,则判断所述业务请求是否与基于全局日志的攻击源黑名单匹配;如果所述业务请求与基于全局日志的攻击源黑名单匹配,则进入拦截子模块。
拦截子模块433,用于拦截所述业务请求。
轻量级异常检查子模块434,用于如果所述业务请求与基于全局日志的攻击源黑名单不匹配,则利用所述粗放的传统网络攻击检测规则检测所述业务请求是否存在异常。
业务请求转发模块440,用于如果所述业务请求存在异常,则将所述业务请求转发至重量级WAF集群。
可选地,在本申请实施例中,所述业务请求转发模块440,进一步可以包括:
请求头添加子模块441,用于获取所述业务服务集群中一业务后端服务器的IP,根据所述IP对所述业务请求增加请求头。
业务请求转发子模块442,用于将增加所述请求头的业务请求发送至重量级WAF集群。
第一业务请求发送模块450,用于如果所述业务请求不存在异常,则将所述业务请求发送至所述业务请求对应的业务服务集群。
可选地,在本申请实施例中,还可以包括:
重量级异常检查模块460,用于利用所述重量级WAF集群对应的重量级WAF检测规则检测所述业务请求是否存在异常。
业务请求拦截模块470,用于如果所述业务请求存在异常,则拦截所述业务请求。
第二业务请求发送模块480,用于如果所述业务请求不存在异常,则根据所述业务请求对应的所述请求头将所述业务请求发送至所述IP对应的业务后端服务器。
可选地,在本申请实施例中,还可以包括:
日志数据获取模块,用于从所述轻量级WAF集群中获取日志数据。
新攻击源黑名单获取模块,用于对所述日志数据进行分析并获取新攻击源黑名单以更新所述WAF后台服务器中对应所述业务请求的轻量级过滤规则。
可选地,在本申请实施例中,还可以包括:
版本号检测模块,用于检测所述轻量级WAF集群中与所述业务请求对应的轻量级过滤规则的版本号是否与所述WAF后台服务器中对应所述业务请求的最新轻量级过滤规则的最新版本号一致。
轻量级过滤规则更新模块,用于如果所述轻量级过滤规则的版本号与所述WAF后台服务器中对应所述业务请求的最新轻量级过滤规则的最新版本号不一致,则将所述最新轻量级过滤规则拉取至所轻量级WAF集群,以更新所述轻量级WAF集群中的轻量级过滤规则。
在本申请实施例中,可以接收客户端用户发送的业务请求;根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则;利用所述轻量级过滤规则检查所述业务请求是否存在异常;如果所述业务请求存在异常,则将所述业务请求转发至重量级WAF集群;如果所述业务请求不存在异常,则将所述业务请求发送至所述业务请求对应的业务服务集群。由此提高了网络应用防护的检测性能,从而能够满足对大请求量的业务需求。
而且,在本申请实施例中,还可以判断所述业务请求是否与所述基础黑名单过滤规则对应的基础黑名单匹配,如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单匹配,则拦截所述业务请求;如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单不匹配,则判断所述业务请求是否与基于全局日志的攻击源黑名单匹配;如果所述业务请求与基于全局日志的攻击源黑名单匹配,则拦截所述业务请求;如果所述业务请求与基于全局日志的攻击源黑名单不匹配,则利用所述粗放的传统网络攻击检测规则检测所述业务请求是否存在异常。从而可以进一步提高轻量级过滤规则的准确性。
另外,在本申请实施例中,还可以将所述业务请求对应的业务域名经由传输层负载均衡器提供的虚拟IP入口发送至应用层的轻量级WAF集群;根据所述业务域名从所述轻量级WAF集群获取与所述业务域名匹配的轻量级过滤规则;所述轻量级过滤规则由所述轻量级WAF集群通过WAF规则推送集群从WAF后台服务器拉取得到。并且可以预先在WAF后台服务器登记对应所述业务请求的轻量级过滤规则。从而可以进一步提高获取轻量级过滤规则的效率。
进一步地,在本申请实施例中,还可以获取所述业务服务集群中一业务后端服务器的IP,根据所述IP对所述业务请求增加请求头;将增加所述请求头的业务请求发送至重量级WAF集群。从而可以方便在确认业务请求无异常时准确讲业务请求由重量级WAF集群发送至业务服务集群。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网络应用防护设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (14)
1.一种网络应用防护方法,其特征在于,所述方法包括:
接收客户端用户发送的业务请求;
根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则;
利用所述轻量级过滤规则检查所述业务请求是否存在异常;
如果所述业务请求存在异常,则将所述业务请求转发至重量级WAF集群;
如果所述业务请求不存在异常,则将所述业务请求发送至所述业务请求对应的业务服务集群。
2.根据权利要求1所述的方法,其特征在于,所述轻量级过滤规则包括基础黑名单过滤规则、基于全局日志的攻击源黑名单过滤规则、粗放的传统网络攻击检测规则。
3.根据权利要求要求2所述的方法,其特征在于,所述利用所述轻量级过滤规则检查所述业务请求是否存在异常的步骤,包括:
判断所述业务请求是否与所述基础黑名单过滤规则对应的基础黑名单匹配,如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单匹配,则拦截所述业务请求;
如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单不匹配,则判断所述业务请求是否与基于全局日志的攻击源黑名单匹配;如果所述业务请求与基于全局日志的攻击源黑名单匹配,则拦截所述业务请求;
如果所述业务请求与基于全局日志的攻击源黑名单不匹配,则利用所述粗放的传统网络攻击检测规则检测所述业务请求是否存在异常。
4.根据权利要求1所述的方法,其特征在于,所述根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则的步骤,包括:
将所述业务请求对应的业务域名经由传输层负载均衡器提供的虚拟IP入口发送至应用层的轻量级WAF集群;
根据所述业务域名从所述轻量级WAF集群获取与所述业务域名匹配的轻量级过滤规则;所述轻量级过滤规则由所述轻量级WAF集群通过WAF规则推送集群从WAF后台服务器拉取得到。
5.根据权利要求1所述的方法,其特征在于,所述将所述业务请求转发至重量级WAF集群的步骤,包括:
获取所述业务服务集群中一业务后端服务器的IP,根据所述IP对所述业务请求增加请求头;
将增加所述请求头的业务请求发送至重量级WAF集群;
进一步地,在所述将所述业务请求转发至重量级WAF集群的步骤之后,还包括:
利用所述重量级WAF集群对应的重量级WAF检测规则检测所述业务请求是否存在异常;
如果所述业务请求存在异常,则拦截所述业务请求;
如果所述业务请求不存在异常,则根据所述业务请求对应的所述请求头将所述业务请求发送至所述IP对应的业务后端服务器。
6.根据权利要求4所述的方法,其特征在于,在所述根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则的步骤之前,还包括:
从所述轻量级WAF集群中获取日志数据;
对所述日志数据进行分析并获取新攻击源黑名单以更新所述WAF后台服务器中对应所述业务请求的轻量级过滤规则。
7.根据权利要求4所述的方法,其特征在于,在所述根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则的步骤之前,还包括:
检测所述轻量级WAF集群中与所述业务请求对应的轻量级过滤规则的版本号是否与所述WAF后台服务器中对应所述业务请求的最新轻量级过滤规则的最新版本号一致;
如果所述轻量级过滤规则的版本号与所述WAF后台服务器中对应所述业务请求的最新轻量级过滤规则的最新版本号不一致,则将所述最新轻量级过滤规则拉取至所轻量级WAF集群,以更新所述轻量级WAF集群中的轻量级过滤规则。
8.一种网络应用防护装置,其特征在于,所述装置包括:
业务请求接收模块,用于接收客户端用户发送的业务请求;
轻量级过滤规则获取模块,用于根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则;
轻量级异常检查模块,用于利用所述轻量级过滤规则检查所述业务请求是否存在异常;
业务请求转发模块,用于如果所述业务请求存在异常,则将所述业务请求转发至重量级WAF集群;
第一业务请求发送模块,用于如果所述业务请求不存在异常,则将所述业务请求发送至所述业务请求对应的业务服务集群。
9.根据权利要求8所述的装置,其特征在于,所述轻量级过滤规则包括基础黑名单过滤规则、基于全局日志的攻击源黑名单过滤规则、粗放的传统网络攻击检测规则。
10.根据权利要求要求9所述的装置,其特征在于,所述轻量级异常检查模块,包括:
第一黑名单判断子模块,用于判断所述业务请求是否与所述基础黑名单过滤规则对应的基础黑名单匹配,如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单匹配,则进入拦截子模块;
第二黑名单判断子模块,用于如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单不匹配,则判断所述业务请求是否与基于全局日志的攻击源黑名单匹配;如果所述业务请求与基于全局日志的攻击源黑名单匹配,则进入拦截子模块;
拦截子模块,用于拦截所述业务请求;
轻量级异常检查子模块,用于如果所述业务请求与基于全局日志的攻击源黑名单不匹配,则利用所述粗放的传统网络攻击检测规则检测所述业务请求是否存在异常。
11.根据权利要求8所述的装置,其特征在于,所述轻量级过滤规则获取模块,包括:
业务请求传输子模块,用于将所述业务请求对应的业务域名经由传输层负载均衡器提供的虚拟IP入口发送至应用层的轻量级WAF集群;
轻量级过滤规则获取子模块,用于根据所述业务域名从所述轻量级WAF集群获取与所述业务域名匹配的轻量级过滤规则;所述轻量级过滤规则由所述轻量级WAF集群通过WAF规则推送集群从WAF后台服务器拉取得到。
12.根据权利要求8所述的装置,其特征在于,所述业务请求转发模块,包括:
请求头添加子模块,用于获取所述业务服务集群中一业务后端服务器的IP,根据所述IP对所述业务请求增加请求头;
业务请求转发子模块,用于将增加所述请求头的业务请求发送至重量级WAF集群;
进一步地,所述网络应用防护装置,还包括:
重量级异常检查模块,用于利用所述重量级WAF集群对应的重量级WAF检测规则检测所述业务请求是否存在异常;
业务请求拦截模块,用于如果所述业务请求存在异常,则拦截所述业务请求;
第二业务请求发送模块,用于如果所述业务请求不存在异常,则根据所述业务请求对应的所述请求头将所述业务请求发送至所述IP对应的业务后端服务器。
13.根据权利要求11所述的装置,其特征在于,还包括:
日志数据获取模块,用于从所述轻量级WAF集群中获取日志数据;
新攻击源黑名单获取模块,用于对所述日志数据进行分析并获取新攻击源黑名单以更新所述WAF后台服务器中对应所述业务请求的轻量级过滤规则。
14.根据权利要求11所述的装置,其特征在于,还包括:
版本号检测模块,用于检测所述轻量级WAF集群中与所述业务请求对应的轻量级过滤规则的版本号是否与所述WAF后台服务器中对应所述业务请求的最新轻量级过滤规则的最新版本号一致;
轻量级过滤规则更新模块,用于如果所述轻量级过滤规则的版本号与所述WAF后台服务器中对应所述业务请求的最新轻量级过滤规则的最新版本号不一致,则将所述最新轻量级过滤规则拉取至所轻量级WAF集群,以更新所述轻量级WAF集群中的轻量级过滤规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710566142.8A CN107360162B (zh) | 2017-07-12 | 2017-07-12 | 一种网络应用防护方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710566142.8A CN107360162B (zh) | 2017-07-12 | 2017-07-12 | 一种网络应用防护方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107360162A true CN107360162A (zh) | 2017-11-17 |
| CN107360162B CN107360162B (zh) | 2020-01-21 |
Family
ID=60292952
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710566142.8A Active CN107360162B (zh) | 2017-07-12 | 2017-07-12 | 一种网络应用防护方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107360162B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108377222A (zh) * | 2018-01-15 | 2018-08-07 | 顺丰科技有限公司 | 基于软件的负载均衡实现方法、装置、设备及存储介质 |
| CN109660523A (zh) * | 2018-12-03 | 2019-04-19 | 顺丰科技有限公司 | Waf导流装置、系统和方法 |
| CN110210231A (zh) * | 2019-06-04 | 2019-09-06 | 深信服科技股份有限公司 | 一种安全防护方法、系统、设备及计算机可读存储介质 |
| CN110430213A (zh) * | 2019-08-15 | 2019-11-08 | 北京奇艺世纪科技有限公司 | 业务请求处理方法、装置及系统 |
| CN111049842A (zh) * | 2019-12-17 | 2020-04-21 | 紫光云(南京)数字技术有限公司 | 利用动态黑名单提高waf防护效率的方法 |
| CN111447169A (zh) * | 2019-01-17 | 2020-07-24 | 中国科学院信息工程研究所 | 一种在网关上的实时恶意网页识别方法及系统 |
| CN112187735A (zh) * | 2020-09-10 | 2021-01-05 | 中信银行股份有限公司 | 一种PaaS容器云平台环境下的结合WAF的防护方法 |
| CN112187737A (zh) * | 2020-09-10 | 2021-01-05 | 中信银行股份有限公司 | 一种PaaS容器云平台环境下的结合WAF的防护方法 |
| CN112615813A (zh) * | 2020-11-23 | 2021-04-06 | 杭州朗澈科技有限公司 | kubernetes集群应用的防护方法和系统 |
| CN113472901A (zh) * | 2021-09-02 | 2021-10-01 | 深圳市信润富联数字科技有限公司 | 负载均衡方法、装置、设备、存储介质及程序产品 |
| CN114070596A (zh) * | 2021-11-10 | 2022-02-18 | 上海钧正网络科技有限公司 | Web应用防护系统的性能优化方法、系统、终端及介质 |
| CN115065726A (zh) * | 2022-06-10 | 2022-09-16 | 北京天融信网络安全技术有限公司 | 协议格式控制方法、装置、控制器、服务器及存储介质 |
| CN115529164A (zh) * | 2022-08-30 | 2022-12-27 | 中电云数智科技有限公司 | 一种waf旁路部署系统和方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594623A (zh) * | 2011-12-31 | 2012-07-18 | 成都市华为赛门铁克科技有限公司 | 防火墙的数据检测方法及装置 |
| CN103095778A (zh) * | 2011-11-07 | 2013-05-08 | 北京知道创宇信息技术有限公司 | Web应用防火墙和web应用安全防护方法 |
| US20140282816A1 (en) * | 2013-03-14 | 2014-09-18 | Fortinet, Inc. | Notifying users within a protected network regarding events and information |
| US20160359809A1 (en) * | 2014-12-22 | 2016-12-08 | Verizon Digital Media Services Inc. | Real-Time Reconfigurable Web Application Firewall For a Distributed Platform |
| CN106470214A (zh) * | 2016-10-21 | 2017-03-01 | 杭州迪普科技股份有限公司 | 攻击检测方法和装置 |
| CN106789981A (zh) * | 2016-12-07 | 2017-05-31 | 北京奇虎科技有限公司 | 基于waf的流量控制方法、装置及系统 |
-
2017
- 2017-07-12 CN CN201710566142.8A patent/CN107360162B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103095778A (zh) * | 2011-11-07 | 2013-05-08 | 北京知道创宇信息技术有限公司 | Web应用防火墙和web应用安全防护方法 |
| CN102594623A (zh) * | 2011-12-31 | 2012-07-18 | 成都市华为赛门铁克科技有限公司 | 防火墙的数据检测方法及装置 |
| US20140282816A1 (en) * | 2013-03-14 | 2014-09-18 | Fortinet, Inc. | Notifying users within a protected network regarding events and information |
| US20160359809A1 (en) * | 2014-12-22 | 2016-12-08 | Verizon Digital Media Services Inc. | Real-Time Reconfigurable Web Application Firewall For a Distributed Platform |
| CN106470214A (zh) * | 2016-10-21 | 2017-03-01 | 杭州迪普科技股份有限公司 | 攻击检测方法和装置 |
| CN106789981A (zh) * | 2016-12-07 | 2017-05-31 | 北京奇虎科技有限公司 | 基于waf的流量控制方法、装置及系统 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108377222A (zh) * | 2018-01-15 | 2018-08-07 | 顺丰科技有限公司 | 基于软件的负载均衡实现方法、装置、设备及存储介质 |
| CN109660523A (zh) * | 2018-12-03 | 2019-04-19 | 顺丰科技有限公司 | Waf导流装置、系统和方法 |
| CN111447169B (zh) * | 2019-01-17 | 2021-06-08 | 中国科学院信息工程研究所 | 一种在网关上的实时恶意网页识别方法及系统 |
| CN111447169A (zh) * | 2019-01-17 | 2020-07-24 | 中国科学院信息工程研究所 | 一种在网关上的实时恶意网页识别方法及系统 |
| CN110210231A (zh) * | 2019-06-04 | 2019-09-06 | 深信服科技股份有限公司 | 一种安全防护方法、系统、设备及计算机可读存储介质 |
| CN110210231B (zh) * | 2019-06-04 | 2023-07-14 | 深信服科技股份有限公司 | 一种安全防护方法、系统、设备及计算机可读存储介质 |
| CN110430213A (zh) * | 2019-08-15 | 2019-11-08 | 北京奇艺世纪科技有限公司 | 业务请求处理方法、装置及系统 |
| CN111049842A (zh) * | 2019-12-17 | 2020-04-21 | 紫光云(南京)数字技术有限公司 | 利用动态黑名单提高waf防护效率的方法 |
| CN112187737A (zh) * | 2020-09-10 | 2021-01-05 | 中信银行股份有限公司 | 一种PaaS容器云平台环境下的结合WAF的防护方法 |
| CN112187735A (zh) * | 2020-09-10 | 2021-01-05 | 中信银行股份有限公司 | 一种PaaS容器云平台环境下的结合WAF的防护方法 |
| CN112615813A (zh) * | 2020-11-23 | 2021-04-06 | 杭州朗澈科技有限公司 | kubernetes集群应用的防护方法和系统 |
| CN113472901A (zh) * | 2021-09-02 | 2021-10-01 | 深圳市信润富联数字科技有限公司 | 负载均衡方法、装置、设备、存储介质及程序产品 |
| CN114070596A (zh) * | 2021-11-10 | 2022-02-18 | 上海钧正网络科技有限公司 | Web应用防护系统的性能优化方法、系统、终端及介质 |
| CN115065726A (zh) * | 2022-06-10 | 2022-09-16 | 北京天融信网络安全技术有限公司 | 协议格式控制方法、装置、控制器、服务器及存储介质 |
| CN115529164A (zh) * | 2022-08-30 | 2022-12-27 | 中电云数智科技有限公司 | 一种waf旁路部署系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107360162B (zh) | 2020-01-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107360162A (zh) | 一种网络应用防护方法和装置 | |
| US11757945B2 (en) | Collaborative database and reputation management in adversarial information environments | |
| US20240163253A1 (en) | Network security analysis system with reinforcement learning for selecting domains to scan | |
| US9954822B2 (en) | Distributed traffic management system and techniques | |
| CN104509034B (zh) | 模式合并以识别恶意行为 | |
| US20160028758A1 (en) | System and Method for Predicting Impending Cyber Security Events Using Multi Channel Behavioral Analysis in a Distributed Computing Environment | |
| JP2019153336A (ja) | 電子メッセージベースのセキュリティ脅威の自動軽減 | |
| CN113302609A (zh) | 用人工智能检测存在未认证的api请求时的不当活动 | |
| US20130007882A1 (en) | Methods of detecting and removing bidirectional network traffic malware | |
| CN104753730B (zh) | 一种漏洞检测的方法及装置 | |
| Zheng et al. | Cybersecurity research datasets: Taxonomy and empirical analysis | |
| US11968239B2 (en) | System and method for detection and mitigation of data source compromises in adversarial information environments | |
| CN104396220A (zh) | 用于安全内容检索的方法和设备 | |
| CN105229597A (zh) | 分布式特征收集与关联引擎 | |
| EP2692119B1 (en) | Non-existent domain names traffic analysis | |
| CN105577799B (zh) | 一种数据库集群的故障检测方法和装置 | |
| US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
| Matic et al. | Pythia: a framework for the automated analysis of web hosting environments | |
| CN110032872A (zh) | 一种业务逻辑漏洞检测方法及装置 | |
| US20240171614A1 (en) | System and method for internet activity and health forecasting and internet noise analysis | |
| US20230353587A1 (en) | Contextual relationship graph based on user's network transaction patterns for investigating attacks | |
| Sharma et al. | A Graph Database-Based Method for Network Log File Analysis | |
| RU2791824C1 (ru) | Способ и вычислительное устройство для выявления целевого вредоносного веб-ресурса | |
| TWI820961B (zh) | 基於微服務及公雲元件處理情資的電子裝置及方法 | |
| Alghfeli et al. | Bayyinah, A Log Analysis Forensics Tool |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |