CN107580005A - 网站防护方法、装置、网站防护设备及可读存储介质 - Google Patents
网站防护方法、装置、网站防护设备及可读存储介质 Download PDFInfo
- Publication number
- CN107580005A CN107580005A CN201711057525.9A CN201711057525A CN107580005A CN 107580005 A CN107580005 A CN 107580005A CN 201711057525 A CN201711057525 A CN 201711057525A CN 107580005 A CN107580005 A CN 107580005A
- Authority
- CN
- China
- Prior art keywords
- access request
- rule set
- website
- protection
- protection rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供一种网站防护方法、装置、网站防护设备及可读存储介质。该方法包括:网站防护设备在检测到终端设备向目标网站服务器发送访问请求时,根据所述访问请求获得所述目标网站服务器对应的防护规则集;根据所述防护规则集读取对应的检测规则;基于所述检测规则对所述终端设备发起的访问请求进行匹配,若匹配成功,则拦截所述访问请求,否则将所述访问请求放行。基于此,能够为用户提供不同类型的防护规则集,使得用户可以根据不同网站的特点选择启用或禁用这些防护规则集,提高了安全防护产品的使用灵活性,更好地适应用户的业务场景。
Description
技术领域
本发明涉及网站安全技术领域,具体而言,涉及一种网站防护方法、装置、网站防护设备及可读存储介质。
背景技术
现有的安全防护产品在防护各个网站时往往会产生许多误报和漏报,例如某个网站的架构比较特殊,可能会导致某些终端设备发送的访问请求被误报为攻击行为,但实属正常请求。或者某个网站要求对某种特殊的请求进行拦截,但是如果为该请求方式定制规则又会导致其它网站的请求被误报。因此现有的安全防护产品灵活性和适应能力远远不够,不能满足不同用户的需求。
发明内容
为了克服现有技术中的上述不足,本发明的目的在于提供一种网站防护方法、装置、网站防护设备及可读存储介质,能够提高安全防护产品的使用灵活性,从而更好地适应用户的业务场景。
为了实现上述目的,本发明较佳实施例采用的技术方案如下:
本发明较佳实施例提供一种网站防护方法,应用于网站防护设备,所述网站防护设备中预先配置有适用于不同网站服务器的多个防护规则集及防护规则集与网站服务器之间的对应关系,所述方法包括:
在检测到终端设备向目标网站服务器发送访问请求时,根据所述访问请求获得所述目标网站服务器对应的防护规则集;
根据所述防护规则集读取对应的检测规则;
基于所述检测规则对所述终端设备发起的访问请求进行匹配,若匹配成功,则拦截所述访问请求,否则将所述访问请求放行。
在本发明较佳实施例中,所述根据所述访问请求获得所述目标网站服务器对应的防护规则集,包括:
获取所述访问请求中的所述目标网站服务器的地址信息;
根据所述地址信息从所述对应关系中获得所述目标网站服务器对应的防护规则集。
在本发明较佳实施例中,所述网站防护设备在检测到终端设备向目标网站服务器发送访问请求时,获取所述目标网站服务器配置的防护规则集之前,所述方法还包括:
接收所述目标网站服务器发送的防护规则集的配置请求,其中,所述配置请求中包括有需要开启的防护规则集的标识符以及需要禁用的防护规则集的标识符;
根据所述配置请求对所述目标网站服务器的防护规则集进行配置,生成对应的配置信息并将所述配置信息进行存储。
在本发明较佳实施例中,所述基于所述检测规则对所述终端设备发起的访问请求进行匹配,若匹配成功,则拦截所述访问请求,包括:
判断所述访问请求中是否包括有所述检测规则中的Web攻击行为;
在为是时,则判定所述访问请求为攻击请求,拦截所述访问请求。
在本发明较佳实施例中,所述防护规则集包括XSS防护规则集、SQL注入防护规则集、SQL注入高级防护规则集、命令执行防护规则集、代码执行防护规则集、恶意扫描防护规则集合、敏感文件防护规则集、针对POST XSS防护规则集中的至少一种或者多种组合。
本发明较佳实施例还提供一种网站防护装置,应用于网站防护设备,所述网站防护设备中预先配置有适用于不同网站服务器的多个防护规则集及防护规则集与网站服务器之间的对应关系,所述装置包括:
获得模块,用于在检测到终端设备向目标网站服务器发送访问请求时,根据所述访问请求获得所述目标网站服务器对应的防护规则集;
读取模块,用于根据所述防护规则集读取对应的检测规则;
匹配模块,用于基于所述检测规则对所述终端设备发起的访问请求进行匹配,若匹配成功,则拦截所述访问请求,否则将所述访问请求放行。
本发明较佳实施例还提供一种网站防护设备,所述网站防护设备包括:
存储介质;
处理器;以及
网站防护装置,所述装置存储于所述存储介质中并包括有由所述处理器执行的软件功能模块,所述装置包括:
获得模块,用于在检测到终端设备向目标网站服务器发送访问请求时,根据所述访问请求获得所述目标网站服务器对应的防护规则集;
读取模块,用于根据所述防护规则集读取对应的检测规则;
匹配模块,用于基于所述检测规则对所述终端设备发起的访问请求进行匹配,若匹配成功,则拦截所述访问请求,否则将所述访问请求放行。
本发明较佳实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序,所述计算机程序被执行时实现上述的网站防护方法。
相对于现有技术而言,本发明具有以下有益效果:
本发明实施例提供一种网站防护方法、装置、网站防护设备及可读存储介质,在检测到终端设备向目标网站服务器发送访问请求时,根据所述访问请求获得所述目标网站服务器对应的防护规则集,并根据所述防护规则集读取对应的检测规则,基于所述检测规则对所述终端设备发起的访问请求进行匹配,若匹配成功,则拦截所述访问请求,否则将所述访问请求放行。基于此,网站防护设备能够为用户提供不同类型的防护规则集,使得用户可以根据不同网站的特点选择启用或禁用这些防护规则集,通过对不同的网站服务器启用对应的防护规则集,以基于启用的防护规则集对对应的网站服务器进行防护,提高了安全防护产品的使用灵活性,更好地适应用户的业务场景。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它相关的附图。
图1为本发明较佳实施例提供的网站防护方法的一种流程示意图;
图2为本发明较佳实施例提供的网站防护方法的另一种流程示意图;
图3为本发明较佳实施例提供的网站防护装置的一种功能模块图;
图4为本发明较佳实施例提供的网站防护装置的另一种功能模块图;
图5为本发明较佳实施例提供的网站防护设备的一种结构示意框图。
图标:100-网站防护设备;110-总线;120-处理器;130-存储介质;140-总线接口;150-网络适配器;160-用户接口;200-网站防护装置;208-接收模块;209-配置模块;210-获得模块;220-读取模块;230-匹配模块。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
云WAF(Web Application Firewall)一般介于终端设备和网站服务器之间,用于充当网站流量的异常检测的角色,上述异常通常可以是指Web攻击行为。一个云WAF通常可以保护多个网站,当终端设备向受保护的网站发送访问请求时,访问请求的流量首先会到达云WAF,然后由云WAF来判断当前访问请求中是否包含有Web攻击行为,只有合法的访问请求才会转发到网站服务器,网站服务器根据访问请求返回相应的回应。
然而,经本申请发明人研究发现,云WAF检测HTTP访问请求是否包含Web攻击行为,目前主要是采用一套由厂商预先配置的检测规则,凡是不被规则匹配上的访问请求才作为合法请求。但是由于不同的网站一般架构和业务需求都不相同,同时对安全防护等级的要求也不同,同一种规则很难全部应用到所有网站上,存在很大的局限性。
鉴于上述问题,本申请发明人经过长期研究探索,提出以下实施例以解决上述问题。下面结合附图,对本发明实施例作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参阅图1,为本发明较佳实施例提供的网站防护方法的一种流程示意图,所述方法由安全防护设备执行。所应说明的是,本发明实施例提供的网站防护方法不以图1及以下所述的具体顺序为限制。所述方法的具体流程如下:
步骤S210,在检测到终端设备向目标网站服务器发送访问请求时,根据所述访问请求获得所述目标网站服务器对应的防护规则集。
本实施例中,当所述终端设备需要访问目标网站服务器(例如,百度,网易等)时,会向所述目标网站服务器发送访问请求,如果该目标网站服务器为受所述安全防护设备保护的网站服务器,那么所述访问请求的流量会首先到达所述安全防护设备,所述安全防护设备在接收到所述访问请求后,根据所述访问请求获得所述目标网站服务器对应的防护规则集。
具体地,所述安全防护设备中预先配置有适用于不同网站服务器的多个防护规则集及防护规则集与网站服务器之间的对应关系。进一步地,所述访问请求中可包括有所述目标网站服务器的地址信息,例如IP地址,所述安全防护设备首先获取所述访问请求中的所述目标网站服务器的地址信息,然后根据所述地址信息从所述对应关系中获得所述目标网站服务器的IP地址对应的防护规则集。
可以理解的,所述终端设备可以是包括硬体、软体或内嵌逻辑元件或者两个或多个此类元件的组合的电子装置,并能够执行由终端设备实施或支援的合适的功能。所述终端设备可以是一种具有无线收发功能的设备,包括室内或室外、手持、穿戴或车载设备。例如,所述终端设备可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(Virtual Reality,VR)终端设备、增强现实(Augmented Reality,AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。本申请的实施例对应用场景不做限定。
可选地,所述防护规则集可以包括但并不仅限于XSS防护规则集、SQL注入防护规则集、SQL注入高级防护规则集、命令执行防护规则集、代码执行防护规则集、恶意扫描防护规则集合、敏感文件防护规则集、针对POST XSS防护规则集中的至少一种或者多种组合。
可选地,请参阅图2,在所述步骤S210之前,所述方法还可以包括:
步骤S208,接收所述目标网站服务器发送的防护规则集的配置请求。
本实施例中,所述配置请求中包括有需要开启的防护规则集的标识符以及需要禁用的防护规则集的标识符,其中,每个防护规则集可以对应唯一一个标识符。具体地,各个网站的管理用户可以根据网站所需,通过所述网站防护设备100提供的管理界面进行授权登录,然后进入防护规则集的配置管理界面,并在所述配置管理界面中选择开启所述安全防护设备提供的不同的防护规则集,同时可以选择禁用所述安全防护设备提供的不需要防护规则集,然后将需要开启的防护规则集的标识符以及需要禁用的防护规则集的标识符的配置请求发送给所述。
步骤S209,根据所述配置请求对所述目标网站服务器的防护规则集进行配置,生成对应的配置信息并将所述配置信息进行存储。
所述网站防护设备100根据所述目标网站服务器发送的配置请求对所述目标网站服务器的防护规则集进行配置,例如,所述目标网站服务器发送的配置请求中包括了开启XSS防护规则集、SQL注入防护规则集、SQL注入高级防护规则集对应的标识符,那么所述网站防护设备100则根据所述标识符分别引用所述XSS防护规则集、SQL注入防护规则集、SQL注入高级防护规则集,从而为所述目标网站服务器配置开启XSS防护规则集、SQL注入防护规则集、SQL注入高级防护规则集。由此,可以让网站管理用户根据自身网站的特性定制需要的防护规则集,并可以根据自身网站特点选择启用或禁用这些防护规则集,提高了安全防护产品的使用灵活性,更好地适应用户的业务场景。
可选地,网站管理用户还可以根据防护等级需要对每个开启的防护规则集配置不同的防护等级,例如,所述防护等级可以分为高、中、低三个等级,用户可以根据实际的需求随时修改每个开启的防护规则集的防护等级,然后通过网站服务器向所述网站防护设备100发送配置请求,所述网站防护设备100根据所述配置请求修改该的防护规则集的防护等级,从而进一步地提升了使用灵活性,提升用户体验。
步骤S220,根据所述防护规则集读取对应的检测规则。
步骤S230,基于所述检测规则对所述终端设备发起的访问请求进行匹配,若匹配成功,则拦截所述访问请求,否则将所述访问请求放行。
本实施例中,首先判断所述访问请求中是否包括有所述检测规则中的Web攻击行为,如果存在有所述检测规则中的Web攻击行为,则判定所述访问请求为攻击请求,拦截所述访问请求。否则,将所述访问请求放行,以使所述目标网站服务器根据所述访问请求向所述终端设备返回对应的信息,以实现所述终端设备对所述目标网站服务器的访问。
进一步地,请参阅图3,本发明较佳实施例还提供一种网站防护装置200,所述装置包括:
获得模块210,用于在检测到终端设备向目标网站服务器发送访问请求时,根据所述访问请求获得所述目标网站服务器对应的防护规则集。
读取模块220,用于根据所述防护规则集读取对应的检测规则。
匹配模块230,用于基于所述检测规则对所述终端设备发起的访问请求进行匹配,若匹配成功,则拦截所述访问请求,否则将所述访问请求放行。
可选地,所述获得模块210,还用于获取所述访问请求中所述目标网站服务器的地址信息,并根据所述地址信息从所述对应关系中获得所述目标网站服务器对应的防护规则集。
可选地,请参阅图4,所述装置还可以包括:
接收模块208,用于接收所述目标网站服务器发送的防护规则集的配置请求,其中,所述配置请求中包括有需要开启的防护规则集的标识符以及需要禁用的防护规则集的标识符。
配置模块209,用于根据所述配置请求对所述目标网站服务器的防护规则集进行配置,生成对应的配置信息并将所述配置信息进行存储。
本实施例中的各功能模块的具体操作方法可参照上述方法实施例中相应步骤的详细描述,在此不再重复赘述。
进一步地,请参阅图5,为本发明较佳实施例提供的网站防护设备100的一种结构示意框图。本实施例中,所述网站防护设备100可以是云WAF(Web Application Firewall),云WAF是一种结合CDN技术实现的WAF,相对于传统的WAF而言,云WAF无需在网站服务器群中单独安装硬件WAF设备,同时无需在网站服务器系统中安装WAF软件。
如图5所示,所述网站防护设备100可以由总线110作一般性的总线体系结构来实现。根据网站防护设备100的具体应用和整体设计约束条件,总线110可以包括任意数量的互连总线和桥接。总线110将各种电路连接在一起,这些电路包括处理器120、存储介质130和总线接口140。可选地,网站防护设备100可以使用总线接口140将网络适配器150等经由总线110连接。网络适配器150可用于实现无线通信网络中物理层的信号处理功能,并通过天线实现射频信号的发送和接收。用户接口160可以连接外部设备,例如:键盘、显示器、鼠标或者操纵杆等。总线110还可以连接各种其它电路,如定时源、外围设备、电压调节器或者功率管理电路等,这些电路是本领域所熟知的,因此不再详述。
可以替换的,网站防护设备100也可配置成通用处理系统,例如通称为芯片,该通用处理系统包括:提供处理功能的一个或多个微处理器,以及提供存储介质130的至少一部分的外部存储器,所有这些都通过外部总线体系结构与其它支持电路连接在一起。
可替换的,网站防护设备100可以使用下述来实现:具有处理器120、总线接口140、用户接口160的ASIC(专用集成电路);以及集成在单个芯片中的存储介质130的至少一部分,或者,网站防护设备100可以使用下述来实现:一个或多个FPGA(现场可编程门阵列)、PLD(可编程逻辑器件)、控制器、状态机、门逻辑、分立硬件部件、任何其它适合的电路、或者能够执行本发明通篇所描述的各种功能的电路的任意组合。
其中,处理器120负责管理总线110和一般处理(包括执行存储在存储介质130上的软件)。处理器120可以使用一个或多个通用处理器和/或专用处理器来实现。处理器120的例子包括微处理器、微控制器、DSP处理器和能够执行软件的其它电路。应当将软件广义地解释为表示指令、数据或其任意组合,而不论是将其称作为软件、固件、中间件、微代码、硬件描述语言还是其它。
在图5中存储介质130被示为与处理器120分离,然而,本领域技术人员很容易明白,存储介质130或其任意部分可位于网站防护设备100之外。举例来说,存储介质130可以包括传输线、用数据调制的载波波形、和/或与无线节点分离开的计算机制品,这些介质均可以由处理器120通过总线接口140来访问。可替换地,存储介质130或其任意部分可以集成到处理器120中,例如,可以是高速缓存和/或通用寄存器。
所述处理器120可执行上述实施例,具体地,所述存储介质130中可以存储有所述网站防护装置200,所述网站防护装置200包括可以由所述处理器120执行的软件功能模块,所述处理器120可以用于执行所述网站防护装置200,从而实现上述的网站防护方法。
综上所述,本发明实施例提供一种网站防护方法、装置、网站防护设备100及可读存储介质,在检测到终端设备向目标网站服务器发送访问请求时,根据所述访问请求获得所述目标网站服务器对应的防护规则集,并根据所述防护规则集读取对应的检测规则,基于所述检测规则对所述终端设备发起的访问请求进行匹配,若匹配成功,则拦截所述访问请求,否则将所述访问请求放行。基于此,网站防护设备100能够为用户提供不同类型的防护规则集,使得用户可以根据不同网站的特点选择启用或禁用这些防护规则集,通过对不同的网站服务器启用对应的防护规则集,以基于启用的防护规则集对对应的网站服务器进行防护,提高了安全防护产品的使用灵活性,更好地适应用户的业务场景。
在本发明所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
可以替换的,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其它可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等
需要说明的是,在本文中,术语"包括"、"包含"或者其任何其它变体意在涵盖非排它性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句"包括一个……"限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其它的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (10)
1.一种网站防护方法,其特征在于,应用于网站防护设备,所述网站防护设备中预先配置有适用于不同网站服务器的多个防护规则集及防护规则集与网站服务器之间的对应关系,所述方法包括:
在检测到终端设备向目标网站服务器发送访问请求时,根据所述访问请求获得所述目标网站服务器对应的防护规则集;
根据所述防护规则集读取对应的检测规则;
基于所述检测规则对所述终端设备发起的访问请求进行匹配,若匹配成功,则拦截所述访问请求,否则将所述访问请求放行。
2.根据权利要求1所述的网站防护方法,其特征在于,所述根据所述访问请求获得所述目标网站服务器对应的防护规则集,包括:
获取所述访问请求中的所述目标网站服务器的地址信息;
根据所述地址信息从所述对应关系中获得所述目标网站服务器对应的防护规则集。
3.根据权利要求1所述的网站防护方法,其特征在于,所述网站防护设备在检测到终端设备向目标网站服务器发送访问请求时,获取所述目标网站服务器配置的防护规则集之前,所述方法还包括:
接收所述目标网站服务器发送的防护规则集的配置请求,其中,所述配置请求中包括有需要开启的防护规则集的标识符以及需要禁用的防护规则集的标识符;
根据所述配置请求对所述目标网站服务器的防护规则集进行配置,生成对应的配置信息并将所述配置信息进行存储。
4.根据权利要求1所述的网站防护方法,其特征在于,所述基于所述检测规则对所述终端设备发起的访问请求进行匹配,若匹配成功,则拦截所述访问请求,包括:
判断所述访问请求中是否包括有所述检测规则中的Web攻击行为;
在为是时,则判定所述访问请求为攻击请求,拦截所述访问请求。
5.根据权利要求1所述的网站防护方法,其特征在于,所述防护规则集包括XSS防护规则集、SQL注入防护规则集、SQL注入高级防护规则集、命令执行防护规则集、代码执行防护规则集、恶意扫描防护规则集合、敏感文件防护规则集、针对POST XSS防护规则集中的至少一种或者多种组合。
6.一种网站防护装置,其特征在于,应用于网站防护设备,所述网站防护设备中预先配置有适用于不同网站服务器的多个防护规则集及防护规则集与网站服务器之间的对应关系,所述装置包括:
获得模块,用于在检测到终端设备向目标网站服务器发送访问请求时,根据所述访问请求获得所述目标网站服务器对应的防护规则集;
读取模块,用于根据所述防护规则集读取对应的检测规则;
匹配模块,用于基于所述检测规则对所述终端设备发起的访问请求进行匹配,若匹配成功,则拦截所述访问请求,否则将所述访问请求放行。
7.根据权利要求6所述的网站防护装置,其特征在于:
所述获得模块,还用于获取所述访问请求中的所述目标网站服务器的地址信息,并根据所述地址信息从所述对应关系中获得所述目标网站服务器对应的防护规则集。
8.根据权利要求6所述的网站防护装置,其特征在于,所述装置还包括:
接收模块,用于接收所述目标网站服务器发送的防护规则集的配置请求,其中,所述配置请求中包括有需要开启的防护规则集的标识符以及需要禁用的防护规则集的标识符;
配置模块,用于根据所述配置请求对所述目标网站服务器的防护规则集进行配置,生成对应的配置信息并将所述配置信息进行存储。
9.一种网站防护设备,其特征在于,所述网站防护设备包括:
存储介质;
处理器;以及
网站防护装置,所述装置存储于所述存储介质中并包括有由所述处理器执行的软件功能模块,所述装置包括:
获得模块,用于在检测到终端设备向目标网站服务器发送访问请求时,根据所述访问请求获得所述目标网站服务器对应的防护规则集;
读取模块,用于根据所述防护规则集读取对应的检测规则;
匹配模块,用于基于所述检测规则对所述终端设备发起的访问请求进行匹配,若匹配成功,则拦截所述访问请求,否则将所述访问请求放行。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序,所述计算机程序被执行时实现权利要求1-5中任意一项所述的网站防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711057525.9A CN107580005A (zh) | 2017-11-01 | 2017-11-01 | 网站防护方法、装置、网站防护设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711057525.9A CN107580005A (zh) | 2017-11-01 | 2017-11-01 | 网站防护方法、装置、网站防护设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107580005A true CN107580005A (zh) | 2018-01-12 |
Family
ID=61041468
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711057525.9A Pending CN107580005A (zh) | 2017-11-01 | 2017-11-01 | 网站防护方法、装置、网站防护设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107580005A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108737387A (zh) * | 2018-04-25 | 2018-11-02 | 咪咕文化科技有限公司 | 网络请求的记录方法、服务器及计算机可读存储介质 |
| CN108846065A (zh) * | 2018-06-06 | 2018-11-20 | 郑州云海信息技术有限公司 | 一种业务请求拦截方法及相关装置 |
| CN109218336A (zh) * | 2018-11-16 | 2019-01-15 | 北京知道创宇信息技术有限公司 | 漏洞防御方法及系统 |
| CN110213375A (zh) * | 2019-06-04 | 2019-09-06 | 杭州安恒信息技术股份有限公司 | 一种基于云waf的ip访问控制的方法、装置及电子设备 |
| CN110933069A (zh) * | 2019-11-27 | 2020-03-27 | 上海明耿网络科技有限公司 | 网络防护的方法、装置以及存储介质 |
| CN111083165A (zh) * | 2019-12-31 | 2020-04-28 | 支付宝(杭州)信息技术有限公司 | 基于联合防撞库平台的登录拦截方法和系统 |
| CN111404898A (zh) * | 2020-03-06 | 2020-07-10 | 北京创世云科技有限公司 | 一种防盗链的方法、装置、存储介质及电子设备 |
| CN111416818A (zh) * | 2020-03-17 | 2020-07-14 | 北京金山云网络技术有限公司 | 网站的安全防护方法、装置和服务器 |
| CN112087455A (zh) * | 2020-09-10 | 2020-12-15 | 杭州安恒信息技术股份有限公司 | 一种waf站点防护规则生成方法、系统、设备及介质 |
| CN112351012A (zh) * | 2020-10-28 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种网络安全防护方法、装置及系统 |
| CN112351009A (zh) * | 2020-10-27 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种网络安全防护方法、装置、电子设备及可读存储介质 |
| CN113518055A (zh) * | 2020-04-09 | 2021-10-19 | 奇安信安全技术(珠海)有限公司 | 数据安全防护的处理方法及装置、存储介质、终端 |
| CN113783850A (zh) * | 2021-08-26 | 2021-12-10 | 新华三信息安全技术有限公司 | 一种网络防护方法、装置、设备及机器可读存储介质 |
| CN114726562A (zh) * | 2021-01-04 | 2022-07-08 | 中国移动通信有限公司研究院 | 一种流量过滤方法、装置、通信设备及可读存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101834760A (zh) * | 2010-05-20 | 2010-09-15 | 杭州华三通信技术有限公司 | 一种基于ips设备的攻击检测方法及ips设备 |
| CN102932370A (zh) * | 2012-11-20 | 2013-02-13 | 华为技术有限公司 | 一种安全扫描方法、设备及系统 |
| CN102957707A (zh) * | 2012-11-16 | 2013-03-06 | 北京星网锐捷网络技术有限公司 | 一种Web应用防火墙的防护方法及装置 |
| CN103095709A (zh) * | 2013-01-17 | 2013-05-08 | 深信服网络科技(深圳)有限公司 | 安全防护方法及装置 |
| CN103685274A (zh) * | 2013-12-16 | 2014-03-26 | 北京奇虎科技有限公司 | 网站防护方法及装置 |
| CN104079528A (zh) * | 2013-03-26 | 2014-10-01 | 北大方正集团有限公司 | 一种Web应用的安全防护方法及系统 |
| CN104144063A (zh) * | 2013-05-08 | 2014-11-12 | 朱烨 | 基于日志分析和防火墙安全矩阵的网站安全监控报警系统 |
| CN106161362A (zh) * | 2015-04-03 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种网络应用防护方法与设备 |
| CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
-
2017
- 2017-11-01 CN CN201711057525.9A patent/CN107580005A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101834760A (zh) * | 2010-05-20 | 2010-09-15 | 杭州华三通信技术有限公司 | 一种基于ips设备的攻击检测方法及ips设备 |
| CN102957707A (zh) * | 2012-11-16 | 2013-03-06 | 北京星网锐捷网络技术有限公司 | 一种Web应用防火墙的防护方法及装置 |
| CN102932370A (zh) * | 2012-11-20 | 2013-02-13 | 华为技术有限公司 | 一种安全扫描方法、设备及系统 |
| CN103095709A (zh) * | 2013-01-17 | 2013-05-08 | 深信服网络科技(深圳)有限公司 | 安全防护方法及装置 |
| CN104079528A (zh) * | 2013-03-26 | 2014-10-01 | 北大方正集团有限公司 | 一种Web应用的安全防护方法及系统 |
| CN104144063A (zh) * | 2013-05-08 | 2014-11-12 | 朱烨 | 基于日志分析和防火墙安全矩阵的网站安全监控报警系统 |
| CN103685274A (zh) * | 2013-12-16 | 2014-03-26 | 北京奇虎科技有限公司 | 网站防护方法及装置 |
| CN106161362A (zh) * | 2015-04-03 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种网络应用防护方法与设备 |
| CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108737387A (zh) * | 2018-04-25 | 2018-11-02 | 咪咕文化科技有限公司 | 网络请求的记录方法、服务器及计算机可读存储介质 |
| CN108846065A (zh) * | 2018-06-06 | 2018-11-20 | 郑州云海信息技术有限公司 | 一种业务请求拦截方法及相关装置 |
| CN109218336A (zh) * | 2018-11-16 | 2019-01-15 | 北京知道创宇信息技术有限公司 | 漏洞防御方法及系统 |
| CN110213375A (zh) * | 2019-06-04 | 2019-09-06 | 杭州安恒信息技术股份有限公司 | 一种基于云waf的ip访问控制的方法、装置及电子设备 |
| CN110933069A (zh) * | 2019-11-27 | 2020-03-27 | 上海明耿网络科技有限公司 | 网络防护的方法、装置以及存储介质 |
| CN111083165A (zh) * | 2019-12-31 | 2020-04-28 | 支付宝(杭州)信息技术有限公司 | 基于联合防撞库平台的登录拦截方法和系统 |
| CN111083165B (zh) * | 2019-12-31 | 2022-03-29 | 支付宝(杭州)信息技术有限公司 | 基于联合防撞库平台的登录拦截方法和系统 |
| CN111404898B (zh) * | 2020-03-06 | 2021-03-23 | 北京创世云科技有限公司 | 一种防盗链的方法、装置、存储介质及电子设备 |
| CN111404898A (zh) * | 2020-03-06 | 2020-07-10 | 北京创世云科技有限公司 | 一种防盗链的方法、装置、存储介质及电子设备 |
| CN111416818A (zh) * | 2020-03-17 | 2020-07-14 | 北京金山云网络技术有限公司 | 网站的安全防护方法、装置和服务器 |
| CN113518055A (zh) * | 2020-04-09 | 2021-10-19 | 奇安信安全技术(珠海)有限公司 | 数据安全防护的处理方法及装置、存储介质、终端 |
| CN112087455A (zh) * | 2020-09-10 | 2020-12-15 | 杭州安恒信息技术股份有限公司 | 一种waf站点防护规则生成方法、系统、设备及介质 |
| CN112087455B (zh) * | 2020-09-10 | 2022-10-21 | 杭州安恒信息技术股份有限公司 | 一种waf站点防护规则生成方法、系统、设备及介质 |
| CN112351009A (zh) * | 2020-10-27 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种网络安全防护方法、装置、电子设备及可读存储介质 |
| CN112351012A (zh) * | 2020-10-28 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种网络安全防护方法、装置及系统 |
| CN114726562A (zh) * | 2021-01-04 | 2022-07-08 | 中国移动通信有限公司研究院 | 一种流量过滤方法、装置、通信设备及可读存储介质 |
| CN113783850A (zh) * | 2021-08-26 | 2021-12-10 | 新华三信息安全技术有限公司 | 一种网络防护方法、装置、设备及机器可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107580005A (zh) | 网站防护方法、装置、网站防护设备及可读存储介质 | |
| US9742794B2 (en) | Method and apparatus for automating threat model generation and pattern identification | |
| CN108886483B (zh) | 用于自动装置检测的系统及方法 | |
| US10430592B2 (en) | Integrity checking for computing devices | |
| US11394739B2 (en) | Configurable event-based compute instance security assessments | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| US20130254895A1 (en) | Non-harmful insertion of data mimicking computer network attacks | |
| US20130097660A1 (en) | System and method for whitelisting applications in a mobile network environment | |
| US10176327B2 (en) | Method and device for preventing application in an operating system from being uninstalled | |
| US20160078221A1 (en) | Automated vulnerability and error scanner for mobile applications | |
| CN108293044A (zh) | 用于经由域名服务流量分析来检测恶意软件感染的系统和方法 | |
| CN109446819A (zh) | 越权漏洞检测方法及装置 | |
| WO2015090042A1 (en) | A validity verification method and intermediate server | |
| US20200092165A1 (en) | Honeypot asset cloning | |
| US20160269380A1 (en) | Vpn communication terminal compatible with captive portals, and communication control method and program therefor | |
| CN104954340A (zh) | 一种代理ip地址的检测方法及装置 | |
| CN106209918A (zh) | 一种网络安全性管理的方法及终端 | |
| US9230105B1 (en) | Detecting malicious tampering of web forms | |
| US9027106B2 (en) | Organizational attribution of user devices | |
| CN104683290A (zh) | 一种监控网络钓鱼的方法、装置和终端 | |
| CN106302519A (zh) | 一种网络安全性管理的方法及终端 | |
| CN106470203A (zh) | 信息获取方法及装置 | |
| CN111723163B (zh) | 一种信息处理方法、装置及系统 | |
| CN105373715A (zh) | 一种基于可穿戴设备的数据访问方法及装置 | |
| CN103441925B (zh) | 家庭网关设备及在家庭网关设备上挂载存储设备的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 311501, Unit 1, Building 5, Courtyard 1, Futong East Street, Chaoyang District, Beijing Applicant after: Beijing Zhichuangyu Information Technology Co., Ltd. Address before: Room 803, Jinwei Building, 55 Lanindichang South Road, Haidian District, Beijing Applicant before: Beijing Knows Chuangyu Information Technology Co.,Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180112 |