CN107666471A - 用于防护网站的方法和装置 - Google Patents
用于防护网站的方法和装置 Download PDFInfo
- Publication number
- CN107666471A CN107666471A CN201610617044.8A CN201610617044A CN107666471A CN 107666471 A CN107666471 A CN 107666471A CN 201610617044 A CN201610617044 A CN 201610617044A CN 107666471 A CN107666471 A CN 107666471A
- Authority
- CN
- China
- Prior art keywords
- website
- malicious requests
- safety regulation
- history
- protected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了用于防护网站的方法和装置。所述方法的一具体实施方式包括:获取待防护网站的指纹信息;从预设的安全规则库中选取与所述指纹信息匹配的安全规则;将所选取的安全规则部署到所述待防护网站上,运行所述所选取的安全规则,并利用所述所选取的安全规则检测对所述待防护网站的请求。该实施方式避免了将现有的所有安全规则部署到网站上,造成对网站资源浪费的现象,提高了处理速度。
Description
技术领域
本申请涉及网络安全技术领域,具体涉及网站安全技术领域,尤其涉及用于防护网站的方法和装置。
背景技术
随着信息技术的发展,Web服务称为互联网产业的重要载体,当前暴露的Web安全隐患也层出不穷,如何保护Web服务不受攻击成为安全领域研究的热点。传统的网络安全设备如防火墙(Firewall)、入侵检测系统(Intrusion Detection System,IDS)、入侵防御系统(Intrusion Prevention System,IPS)等,但都是基于包过滤的方法,其防御的侧重点和深度各不相同,很难对基于应用层面的web服务进行有效防护。因此,人们提出了一种基于网络应用层的Web应用防火墙(Web Application Firewall,WAF),通过为网站部署安全规则,对进出Web服务器的数据进行检查,从而实现对网站的防护。但其部署的安全规则通常基于已知的漏洞和威胁,尽量全面的将这些已知的漏洞和威胁对应的安全规则部署到网站上。
这种情况存在的问题主要有:有些网站并不存在某些漏洞或威胁,针对这些漏洞或威胁的安全规则不能起到防护作用,反而浪费网站资源。
发明内容
本申请的目的在于提出一种用于防护网站的方法和装置,来解决以上背景技术部分提到的技术问题。
第一方面,本申请提供了一种用于防护网站的方法,所述方法包括:获取待防护网站的指纹信息;从预设的安全规则库中选取与所述指纹信息匹配的安全规则;将所选取的安全规则部署到所述待防护网站上,运行所述所选取的安全规则,并利用所述所选取的安全规则检测对所述待防护网站的请求。
在一些实施例中,所述方法还包括:利用所述所选取的安全规则检测对所述待防护网站的请求过程中,生成安全防护日志;对所述安全防护日志进行数据挖掘,确定对所述待防护网站的恶意请求。
在一些实施例中,所述对所述安全防护日志进行数据挖掘,确定对所述待防护网站的恶意请求,包括:提取所述安全防护日志中的特征信息,所述特征信息包括以下至少一项:发送所述请求的终端的标识、所述请求的消息头、所述请求的消息体、所述请求的大小;利用提取的特征信息训练预设的检测模型;利用训练好的检测模型检测对所述待防护网站的请求,确定对所述待防护网站的恶意请求。
在一些实施例中,所述方法还包括:获取对网站的历史恶意请求信息,所述历史恶意请求信息包括以下至少一项:历史恶意请求的形式、发送所述历史恶意请求的终端标识;对确定的恶意请求的信息与所述历史恶意请求信息进行比较分析,所述恶意请求的信息包括以下至少一项:确定的恶意请求的形式、发送所述确定的恶意请求的终端标识;当所述确定的恶意请求的形式与所述历史恶意请求的形式相同和/或发送所述确定的恶意请求的终端标识与所述发送所述历史恶意请求的终端标识满足预设条件时,确定所述确定的恶意请求与所述历史恶意请求关联。
在一些实施例中,所述方法还包括:确定用于防御与所述确定的恶意请求关联的历史恶意请求的历史安全规则;利用机器学习算法学习所述历史安全规则的防御特征;基于所述防御特征,生成用于防护所述确定的恶意请求的补充安全规则。
在一些实施例中,所述方法还包括:利用所述安全防护日志对所述补充安全规则进行验证;确定所述补充安全规则满足预设条件后,将所述补充安全规则加入所述预设的安全规则库。
在一些实施例中,所述方法还包括:确定所述补充安全规则满足预设条件后,将所述补充安全规则部署到所述待防护网站上,并运行所述补充安全规则。
第二方面,本申请提供了一种用于防护网站的装置,所述装置包括:第一获取单元,用于获取待防护网站的指纹信息;匹配单元,用于从预设的安全规则库中选取与所述指纹信息匹配的安全规则;第一部署单元,用于将所选取的安全规则部署到所述待防护网站上,运行所述所选取的安全规则,并利用所述所选取的安全规则检测对所述待防护网站的请求。
在一些实施例中,所述装置还包括:日志生成单元,用于利用所述所选取的安全规则检测对所述待防护网站的请求过程中,生成安全防护日志;数据挖掘单元,用于对所述安全防护日志进行数据挖掘,确定对所述待防护网站的恶意请求。
在一些实施例中,所述数据挖掘单元包括:特征提取模块,用于提取所述安全防护日志中的特征信息,所述特征信息包括以下至少一项:发送所述请求的终端的标识、所述请求的消息头、所述请求的消息体、所述请求的大小;模型训练模块,用于利用提取的特征信息训练预设的检测模型;恶意请求确定模块,用于利用训练好的检测模型检测对所述待防护网站的请求,确定对所述待防护网站的恶意请求。
在一些实施例中,所述装置还包括:第二获取单元,用于获取对网站的历史恶意请求信息,所述历史恶意请求信息包括以下至少一项:历史恶意请求的形式、发送所述历史恶意请求的终端标识;分析比较单元,用于对确定的恶意请求的信息与所述历史恶意请求信息进行比较分析,所述恶意请求的信息包括以下至少一项:确定的恶意请求的形式、发送所述确定的恶意请求的终端标识;关联确定单元,用于当所述确定的恶意请求的形式与所述历史恶意请求的形式相同和/或发送所述确定的恶意请求的终端标识与所述发送所述历史恶意请求的终端标识满足预设条件时,确定所述确定的恶意请求与所述历史恶意请求关联。
在一些实施例中,所述装置还包括:历史安全规则确定单元,用于确定用于防御与所述确定的恶意请求关联的历史恶意请求的历史安全规则;防御特征学习单元,用于利用机器学习算法学习所述历史安全规则的防御特征;规则生成单元,用于基于所述防御特征,生成用于防护所述确定的恶意请求的补充安全规则。
在一些实施例中,所述装置还包括:规则验证单元,用于利用所述安全防护日志对所述补充安全规则进行验证;规则加入单元,用于确定所述补充安全规则满足预设条件后,将所述补充安全规则加入所述预设的安全规则库。
在一些实施例中,所述装置还包括:第二部署单元,用于确定所述补充安全规则满足预设条件后,将所述补充安全规则部署到所述待防护网站上,并运行所述补充安全规则。
本申请提供的用于防护网站的方法和装置,通过获取待防护网站的指纹信息,根据获取的指纹信息为待防护网站匹配安全规则,然后将上述安全规则部署到待防护网站上并运行,能够针对不同网站的不同特征为其部署针对性的安全规则,从而避免了将现有的所有安全规则部署到网站上,造成对网站资源浪费的现象;在检测对网站的请求时,也无需利用所有的安全规则对上述请求进行检测,从而提高了防火墙的处理速度。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请可以应用于其中的示例性系统架构图;
图2是根据本申请的用于防护网站的方法的一个实施例的流程图;
图3是根据本申请的用于防护网站的方法的又一个实施例的流程图;
图4是根据本申请的用于防护网站的方法的一个应用场景的示意图;
图5是根据本申请的用于防护网站的装置的一个实施例的结构示意图;
图6是根据本申请的用于防护网站的装置的又一个实施例的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请的用于防护网站的方法或用于防护网站的装置的实施例的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101、网络102、防火墙103和服务器104。网络102用以在终端设备101和防火墙103、服务器104之间提供通信链路的介质。网络102可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101通过网络102经防火墙103后与服务器105交互,以接收或发送消息等。终端设备101上可以安装有各种通讯客户端应用,例如网页浏览器应用、购物类应用、搜索类应用等。
终端设备101可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture Experts Group AudioLayer III,动态影像专家压缩标准音频层面3)、MP4(Moving Picture Experts GroupAudio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
防火墙103可以是用于防护服务器104的各种防火墙,例如对服务器104防护的web应用防火墙。web应用防火墙可以对终端设备101发送的请求进行检测,以过滤对服务器104的恶意请求。
服务器104可以是提供各种服务的服务器,例如对终端设备101上显示的网页提供支持的后台网页服务器。后台网页服务器可以对接收到的请求等数据进行分析等处理,并将处理结果反馈给终端设备。
需要说明的是,本申请实施例所提供的用于防护网站的方法一般由防火墙103执行,相应地,用于防护网站的装置一般设置于防火墙103中。
应该理解,图1中的终端设备、网络、防火墙和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络、防火墙和服务器。
继续参考图2,示出了根据本申请的用于防护网站的方法的一个实施例的流程200。本实施例的用于防护网站的方法,包括以下步骤:
步骤201,获取待防护网站的指纹信息。
在本实施例中,用于防护网站的方法运行于其上的电子设备(例如图1所示的防火墙)可以通过各种方式获取待防护网站的指纹信息。每个网站都有自己的独一无二的目录名称或者文件名称。本实施例中,网站的指纹信息可以包括:网站的硬件平台(如虚拟主机、伺服器租用、伺服器托管等)、web服务器的硬件信息(如web服务器的品牌型号等)、网站所使用的脚本语言、所使用的建站程序等。防火墙可以通过网页源代码中的标识获取上述指纹信息,例如源代码中包含的“Powered By”信息就可以得到网站所使用的建站程序。
步骤202,从预设的安全规则库中选取与指纹信息匹配的安全规则。
本实施例中,上述预设的安全规则库可以是防火墙提供厂商维护的安全规则库,还可以是人工设置的安全规则所组成的集合。待防护网站的指纹信息可以表明待防护网站可能会接触的文件或接收的请求,从而可以表明上述待防护网站可能存在的漏洞以及该待防护网站不可能存在的漏洞。对于可能存在的漏洞,从上述预设的安全规则库中选取可以防护上述漏洞的安全规则,对于不可能存在的漏洞,则不会选取对应的安全规则。
以struts2(Struts2是一个基于MVC设计模式的Web应用框架)的远程执行漏洞为例来具体说明,当待防护网站的框架为struts2且存在上述远程执行漏洞时,会为上述待防护网站部署其对应的安全规则,但如果框架不为struts2且不存在上述远程执行漏洞时,则不会为上述待防护网站部署其对应的安全规则。
步骤203,将所选取的安全规则部署到待防护网站上,并运行所选取的安全规则。
将针对待防护网站的指纹信息选取的安全规则部署到待防护网站上,并运行上述安全规则,可以利用上述安全规则对进出待防护网站的web服务器的数据进行检测,实现对待防护网站的防护。
本申请的上述实施例提供的用于防护网站的方法,通过获取待防护网站的指纹信息,根据获取的指纹信息为待防护网站匹配安全规则,然后将上述安全规则部署到待防护网站上并运行,能够针对不同网站的不同特征为其部署针对性的安全规则,从而避免了将现有的所有安全规则部署到网站上,造成对网站资源浪费的现象;在检测对网站的请求时,也无需利用所有的安全规则对上述请求进行检测,从而提高了防火墙的处理速度。
图3示出了根据本申请的用于防护网站的方法的又一个实施例的流程图300。如图3所示,本实施例的用于防护网站的方法包括以下步骤:
步骤301,获取待防护网站的指纹信息。
步骤302,从预设的安全规则库中选取与指纹信息匹配的安全规则。
步骤303,将所选取的安全规则部署到待防护网站上,并运行所选取的安全规则。
步骤304,生成安全防护日志,并提取安全防护日志中的特征信息。
本实施例中,web应用防火墙在利用部署在待防护网站上的安全规则检测对待防护网站的请求的过程中,可以生成安全防护日志。其中,上述安全防护日志中可以包括:HTTP请求的消息头和消息体、发送上述HTTP请求的终端的标识信息(例如可以是IP地址信息)、对上述请求进行检测的时间、请求的报文的大小等信息。可以理解的是,上述安全防护日志中还可以包括其它与检测的请求相关的信息。
在得到上述安全防护日志后,对安全防护日志进行数据挖掘,可以确定对待防护网站的恶意请求。本实施例中,在数据挖掘的过程中,首先要提取上述安全防护日志中的特征信息。在实践中,可以利用现有的算法,提取上述安全防护日志中的特征信息,上述特征信息可以包括:HTTP请求的消息头和消息体、发送上述HTTP请求的终端的标识信息、所述请求的大小等。
步骤305,利用提取的特征信息训练预设的检测模型,利用训练好的检测模型检测对待防护网站的请求,确定对待防护网站的恶意请求。
本实施例中,预设的检测模型可以是根据各种分类算法或聚类算法构建的算法模型。其中,上述分类算法可以包括支持向量机(Support Vector Machine,SVM)、人工神经网络(Artificial Neural Networks,ANN)等,聚类算法可以包括k-近邻(kNN,k-NearestNeighbors)算法等。
利用上述提取的特征信息对上述检测模型进行训练,直到检测模型的误差满足预设条件后,确定此检测模型已被训练好。利用上述训练好的模型去检测对待防护网站的请求,可以确定对待防护网站的恶意请求。恶意请求可以包括攻击待防护网站的漏洞的请求或恶意刷取待防护网站的流量的请求等。
步骤306,获取对网站的历史恶意请求信息,对确定的恶意请求的信息与历史恶意请求信息进行比较分析。
本实施例中,防火墙还可以获取对其它网站的历史恶意请求信息,上述历史恶意请求信息可以是存储在防火墙设备本地的,或者是存储在与防火墙相连的存储设备中的。上述历史恶意请求信息可以包括:恶意请求的目的网站、该网站的域名、注册该域名的注册人的信息、发送上述历史恶意请求的终端的IP地址、历史恶意请求的形式等。在获取了上述历史恶意请求信息后,将步骤305中确定的恶意请求的信息与历史恶意请求信息进行比较。
步骤307,当确定的恶意请求的形式与历史恶意请求的形式相同和/或发送确定的恶意请求的终端标识与发送历史恶意请求的终端标识满足预设条件时,则确定的恶意请求与历史恶意请求关联。
当二者的攻击形式相同或者发送上述确定的恶意请求的终端的标识和发送历史恶意请求的终端的标识类似,则认定二者相关联。此处,终端的标识可以是IP地址。上述标识类似可包括:二者的IP地址相同、IP地址位于同一局域网内等等。
步骤308,确定用于防御与确定的恶意请求关联的历史恶意请求的历史安全规则,利用机器学习算法学习历史安全规则的防护特征。
确定了与确定的恶意请求关联的历史恶意请求后,可以利用机器学习算法学习用于防御这些相关联的历史恶意请求的安全规则的防御特征。上述机器学习算法可以是决策树算法、k均值算法等。
步骤309,基于上述防御特征,生成用于防护确定的恶意请求的补充安全规则。
机器学习算法可以将上述学习到的防御特征进行多种组合,得到多个新的安全规则,这些新的安全规则用于防护步骤305中确定的恶意请求,称为补充安全规则。
步骤310,利用安全防护日志对补充安全规则进行验证,当补充安全规则满足预设条件后,将其加入预设的安全规则库中。
本实施例中,可以利用安全防护日志中的恶意请求对上述补充安全规则进行验证,确定其能够正确拦截上述恶意请求的比例,当正确率满足预设条件后,认为此补充安全规则为有效的安全规则。将其加入预设的安全规则库中,以供以后为其它网站部署安全规则时提供参考。
步骤311,确定上述补充安全规则满足预设条件后,将其部署到待防护网站上,并运行。
本实施例中,在确定上述补充安全规则为有效的安全规则后,会将其部署到上述待防护网站上,并运行,以使其对防御确定的恶意请求。
结合图4,图4示出了本实施例的用于防护网站的方法的一个应用场景的示意图400。在图4所示的应用场景中,仍以struts2的远程执行漏洞为例来具体说明,防护此漏洞的规则之一如下所示:
<PR ID="xxx"T="HEADER"P="ARGV"
R="new.+java\.lang|\.dispatcher\.HttpServletRequest|getServletContext.+getRealPath"
SN="Apache Struts2 Vulnerability"S="1"/>
其中,ID为此规则的标识;T表示此规则的匹配类型(T="HEADER"表示此规则匹配HTTP请求的消息头字段);P表示此规则的匹配位置(P="ARGV"表示此规则匹配HTTP请求的QueryString,其中,利用QueryString集合可检索HTTP查询字符串中变量的值。),即HTTP协议头中"index.php HTTP/1.1"中"/index.php"部分,对GET方法和POST方法均有效;R部分为此规则的具体内容,其使用正则描述;SN为漏洞名;S=1表示该规则生效。
采集待防护网站的指纹信息后,当待防护网站的框架为struts2且存在上述远程执行漏洞时,会为上述待防护网站部署此安全规则。将此安全规则部署到网站后,并运行,得到了安全日志。通过对安全日志的进行数据挖掘,确定上述待防护网站的恶意请求,上述恶意请求是针对待防护网站的漏洞0day的。结合历史恶意请求,利用机器学习算法,学习用于防护0day的安全规则的防御特征,并生成新的安全规则。在利用上面得到的安全日志对新的安全规则进行验证,确定其检测出恶意请求的概率,当上述概率满足一个阈值时,则认为新的安全规则是有效的,可以将其部署到待防护网站并加入预设的安全规则库中。
本申请的上述实施例提供的用于防护网站的方法,可以为待防护网站的潜在漏洞或威胁,并自动为上述潜在的漏洞或威胁生成相应的安全规则。在验证上述生成的安全规则有效后,将其加入安全规则库以及部署到待防护网站上,提升了防御恶意攻击或请求的能力,提高了待防护网站的安全性。
进一步参考图5,作为对上述各图所示方法的实现,本申请提供了一种网页生成装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于防火墙中。
如图5所示,本实施例的用于防护网站的装置500包括:第一获取单元501、匹配单元502以及第一部署单元503。
第一获取单元501,用于获取待防护网站的指纹信息。
匹配单元502,用于从预设的安全规则库中选取与第一获取单元501获取的指纹信息匹配的安全规则。
第一部署单元503,用于将匹配单元502所选取的安全规则部署到待防护网站上,并运行所选取的安全规则,以利用所选取的安全规则检测对待防护网站的请求。
本申请的上述实施例提供的用于防护网站的装置,通过第一获取单元获取待防护网站的指纹信息,根据获取的指纹信息,匹配单元为待防护网站匹配安全规则,然后第一部署单元将上述安全规则部署到待防护网站上并运行,从而避免了将现有的所有安全规则部署到网站上,造成对网站资源浪费的现象,提高了处理速度。
图6示出了根据本申请的用于防护网站的装置600的又一个实施例的结构示意图。如图6所示,本实施例的用于防护网站的装置600包括:第一获取单元601、匹配单元602、第一部署单元603、日志生成单元604、数据挖掘单元605、第二获取单元606、分析比较单元607、关联确定单元608、历史安全规则确定单元609、防御特征学习单元610、规则生成单元611、规则验证单元612、规则加入单元613以及第二部署单元614。
其中,第一获取单元601、匹配单元602、第一部署单元603与图4中的第一获取单元501、匹配单元502以及第一部署单元503作用相同,此处不再赘述。
日志生成单元604,用于在利用匹配单元602所选取的安全规则检测对所述待防护网站的请求过程中,生成安全防护日志。
本实施例中,用于防护网站的装置600可以对检测的每一个请求都生成一条日志记录,以记录HTTP请求的消息头和消息体、发送上述HTTP请求的终端的标识信息(例如可以是IP地址信息)、对上述请求进行检测的时间、请求的报文的大小等信息。
数据挖掘单元605,用于对日志生成单元604生成的安全防护日志进行数据挖掘,确定对待防护网站的恶意请求。
在本实施例的一些可选的实现方式中,上述数据挖掘单元605可以进一步包括图6中未示出的特征提取模块、模型训练模块、恶意请求确定模块。
特征提取模块,用于提取日志生成单元604生成的安全防护日志中的特征信息。
其中,上述特征信息可以包括:发送所述请求的终端的标识、所述请求的消息头、所述请求的消息体、所述请求的大小。
模型训练模块,用于利用特征提取模块提取的特征信息训练预设的检测模型。
预设的检测模型可以是根据各种分类算法或聚类算法构建的算法模型。
恶意请求确定模块,用于利用模型训练模块训练好的检测模型检测对待防护网站的请求,确定对待防护网站的恶意请求。
第二获取单元606,用于获取对网站的历史恶意请求信息。
其中,历史恶意请求信息可以包括以下至少一项:历史恶意请求的形式、发送历史恶意请求的终端标识。
分析比较单元607,用于对数据挖掘单元605确定的恶意请求的信息与第二获取单元606获取的历史恶意请求信息进行比较分析。
其中,上述恶意请求的信息可以包括以下至少一项:确定的恶意请求的形式、发送确定的恶意请求的终端标识。
关联确定单元608,用于当数据挖掘单元605确定的恶意请求的形式与第二获取单元606获取的历史恶意请求的形式相同和/或发送数据挖掘单元605确定的恶意请求的终端标识与发送历史恶意请求的终端标识满足预设条件时,确定二者关联。
历史安全规则确定单元609,用于确定用于防御与确定的恶意请求关联的历史恶意请求的历史安全规则。
防御特征学习单元610,用于利用机器学习算法学习历史安全规则确定单元609确定的历史安全规则的防御特征。
规则生成单元611,用于基于防御特征学习单元610学习到的防御特征,生成用于防护数据挖掘单元605确定的恶意请求的补充安全规则。
规则验证单元612,用于利用日志生成单元604生成的安全防护日志对规则生成单元611生成的补充安全规则进行验证;
规则加入单元613,用于规则生成单元611生成的补充安全规则满足预设条件后,将补充安全规则加入预设的安全规则库。
第二部署单元614,用于确定规则生成单元611生成的补充安全规则满足预设条件后,将补充安全规则部署到待防护网站上,并运行补充安全规则。
本申请的上述实施例提供的用于防护网站的装置,可以为待防护网站的潜在漏洞或威胁,并自动为上述潜在的漏洞或威胁生成相应的安全规则。在验证上述生成的安全规则有效后,将其加入安全规则库以及部署到待防护网站上,提升了防御恶意攻击或请求的能力,提高了待防护网站的安全性。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,所述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括第一获取单元、匹配单元以及第一部署单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,第一获取单元还可以被描述为“获取待防护网站的指纹信息的单元”。
作为另一方面,本申请还提供了一种非易失性计算机存储介质,该非易失性计算机存储介质可以是上述实施例中所述装置中所包含的非易失性计算机存储介质;也可以是单独存在,未装配入终端中的非易失性计算机存储介质。上述非易失性计算机存储介质存储有一个或者多个程序,当所述一个或者多个程序被一个设备执行时,使得所述设备:第一获取单元,用于获取待防护网站的指纹信息;匹配单元,用于从预设的安全规则库中选取与所述指纹信息匹配的安全规则;第一部署单元,用于将所选取的安全规则部署到所述待防护网站上,并运行所述所选取的安全规则,以利用所述所选取的安全规则检测对所述待防护网站的请求。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (14)
1.一种用于防护网站的方法,其特征在于,所述方法包括:
获取待防护网站的指纹信息;
从预设的安全规则库中选取与所述指纹信息匹配的安全规则;
将所选取的安全规则部署到所述待防护网站上,运行所述所选取的安全规则,并利用所述所选取的安全规则检测对所述待防护网站的请求。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
利用所述所选取的安全规则检测对所述待防护网站的请求过程中,生成安全防护日志;
对所述安全防护日志进行数据挖掘,确定对所述待防护网站的恶意请求。
3.根据权利要求2所述的方法,其特征在于,所述对所述安全防护日志进行数据挖掘,确定对所述待防护网站的恶意请求,包括:
提取所述安全防护日志中的特征信息,所述特征信息包括以下至少一项:发送所述请求的终端的标识、所述请求的消息头、所述请求的消息体、所述请求的大小;
利用提取的特征信息训练预设的检测模型;
利用训练好的检测模型检测对所述待防护网站的请求,确定对所述待防护网站的恶意请求。
4.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
获取对网站的历史恶意请求信息,所述历史恶意请求信息包括以下至少一项:历史恶意请求的形式、发送所述历史恶意请求的终端标识;
对确定的恶意请求的信息与所述历史恶意请求信息进行比较分析,所述恶意请求的信息包括以下至少一项:确定的恶意请求的形式、发送所述确定的恶意请求的终端标识;
当所述确定的恶意请求的形式与所述历史恶意请求的形式相同和/或发送所述确定的恶意请求的终端标识与所述发送所述历史恶意请求的终端标识满足预设条件时,确定所述确定的恶意请求与所述历史恶意请求关联。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
确定用于防御与所述确定的恶意请求关联的历史恶意请求的历史安全规则;
利用机器学习算法学习所述历史安全规则的防御特征;
基于所述防御特征,生成用于防护所述确定的恶意请求的补充安全规则。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
利用所述安全防护日志对所述补充安全规则进行验证;
确定所述补充安全规则满足预设条件后,将所述补充安全规则加入所述预设的安全规则库。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
确定所述补充安全规则满足预设条件后,将所述补充安全规则部署到所述待防护网站上,并运行所述补充安全规则。
8.一种用于防护网站的装置,其特征在于,所述装置包括:
第一获取单元,用于获取待防护网站的指纹信息;
匹配单元,用于从预设的安全规则库中选取与所述指纹信息匹配的安全规则;
第一部署单元,用于将所选取的安全规则部署到所述待防护网站上,运行所述所选取的安全规则,并利用所述所选取的安全规则检测对所述待防护网站的请求。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
日志生成单元,用于利用所述所选取的安全规则检测对所述待防护网站的请求过程中,生成安全防护日志;
数据挖掘单元,用于对所述安全防护日志进行数据挖掘,确定对所述待防护网站的恶意请求。
10.根据权利要求9所述的装置,其特征在于,所述数据挖掘单元包括:
特征提取模块,用于提取所述安全防护日志中的特征信息,所述特征信息包括以下至少一项:发送所述请求的终端的标识、所述请求的消息头、所述请求的消息体、所述请求的大小;
模型训练模块,用于利用提取的特征信息训练预设的检测模型;
恶意请求确定模块,用于利用训练好的检测模型检测对所述待防护网站的请求,确定对所述待防护网站的恶意请求。
11.根据权利要求9或10所述的装置,其特征在于,所述装置还包括:
第二获取单元,用于获取对网站的历史恶意请求信息,所述历史恶意请求信息包括以下至少一项:历史恶意请求的形式、发送所述历史恶意请求的终端标识;
分析比较单元,用于对确定的恶意请求的信息与所述历史恶意请求信息进行比较分析,所述恶意请求的信息包括以下至少一项:确定的恶意请求的形式、发送所述确定的恶意请求的终端标识;
关联确定单元,用于当所述确定的恶意请求的形式与所述历史恶意请求的形式相同和/或发送所述确定的恶意请求的终端标识与所述发送所述历史恶意请求的终端标识满足预设条件时,确定所述确定的恶意请求与所述历史恶意请求关联。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
历史安全规则确定单元,用于确定用于防御与所述确定的恶意请求关联的历史恶意请求的历史安全规则;
防御特征学习单元,用于利用机器学习算法学习所述历史安全规则的防御特征;
规则生成单元,用于基于所述防御特征,生成用于防护所述确定的恶意请求的补充安全规则。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:
规则验证单元,用于利用所述安全防护日志对所述补充安全规则进行验证;
规则加入单元,用于确定所述补充安全规则满足预设条件后,将所述补充安全规则加入所述预设的安全规则库。
14.根据权利要求13所述的装置,其特征在于,所述装置还包括:
第二部署单元,用于确定所述补充安全规则满足预设条件后,将所述补充安全规则部署到所述待防护网站上,并运行所述补充安全规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610617044.8A CN107666471A (zh) | 2016-07-29 | 2016-07-29 | 用于防护网站的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610617044.8A CN107666471A (zh) | 2016-07-29 | 2016-07-29 | 用于防护网站的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107666471A true CN107666471A (zh) | 2018-02-06 |
Family
ID=61114715
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610617044.8A Pending CN107666471A (zh) | 2016-07-29 | 2016-07-29 | 用于防护网站的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107666471A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600197A (zh) * | 2018-04-04 | 2018-09-28 | 四川长虹电器股份有限公司 | 可自动学习更新的特征码阻断文件上传防御系统及方法 |
| CN108810025A (zh) * | 2018-07-19 | 2018-11-13 | 平安科技(深圳)有限公司 | 一种暗网的安全性评估方法、服务器及计算机可读介质 |
| CN111416818A (zh) * | 2020-03-17 | 2020-07-14 | 北京金山云网络技术有限公司 | 网站的安全防护方法、装置和服务器 |
| CN112087455A (zh) * | 2020-09-10 | 2020-12-15 | 杭州安恒信息技术股份有限公司 | 一种waf站点防护规则生成方法、系统、设备及介质 |
| CN112202776A (zh) * | 2020-09-29 | 2021-01-08 | 中移(杭州)信息技术有限公司 | 源站防护方法和网络设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120169593A1 (en) * | 2011-01-05 | 2012-07-05 | Research In Motion Limited | Definition and handling of user input events in a web browser |
| CN103595732A (zh) * | 2013-11-29 | 2014-02-19 | 北京奇虎科技有限公司 | 一种网络攻击取证的方法及装置 |
| CN103632100A (zh) * | 2013-11-08 | 2014-03-12 | 北京奇虎科技有限公司 | 一种网站漏洞检测方法及装置 |
| CN103685274A (zh) * | 2013-12-16 | 2014-03-26 | 北京奇虎科技有限公司 | 网站防护方法及装置 |
| CN105653444A (zh) * | 2015-12-23 | 2016-06-08 | 北京大学 | 基于互联网日志数据的软件缺陷故障识别方法和系统 |
-
2016
- 2016-07-29 CN CN201610617044.8A patent/CN107666471A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120169593A1 (en) * | 2011-01-05 | 2012-07-05 | Research In Motion Limited | Definition and handling of user input events in a web browser |
| CN103632100A (zh) * | 2013-11-08 | 2014-03-12 | 北京奇虎科技有限公司 | 一种网站漏洞检测方法及装置 |
| CN103595732A (zh) * | 2013-11-29 | 2014-02-19 | 北京奇虎科技有限公司 | 一种网络攻击取证的方法及装置 |
| CN103685274A (zh) * | 2013-12-16 | 2014-03-26 | 北京奇虎科技有限公司 | 网站防护方法及装置 |
| CN105653444A (zh) * | 2015-12-23 | 2016-06-08 | 北京大学 | 基于互联网日志数据的软件缺陷故障识别方法和系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600197A (zh) * | 2018-04-04 | 2018-09-28 | 四川长虹电器股份有限公司 | 可自动学习更新的特征码阻断文件上传防御系统及方法 |
| CN108600197B (zh) * | 2018-04-04 | 2021-08-06 | 四川长虹电器股份有限公司 | 可自动学习更新的特征码阻断文件上传防御系统及方法 |
| CN108810025A (zh) * | 2018-07-19 | 2018-11-13 | 平安科技(深圳)有限公司 | 一种暗网的安全性评估方法、服务器及计算机可读介质 |
| CN111416818A (zh) * | 2020-03-17 | 2020-07-14 | 北京金山云网络技术有限公司 | 网站的安全防护方法、装置和服务器 |
| CN112087455A (zh) * | 2020-09-10 | 2020-12-15 | 杭州安恒信息技术股份有限公司 | 一种waf站点防护规则生成方法、系统、设备及介质 |
| CN112087455B (zh) * | 2020-09-10 | 2022-10-21 | 杭州安恒信息技术股份有限公司 | 一种waf站点防护规则生成方法、系统、设备及介质 |
| CN112202776A (zh) * | 2020-09-29 | 2021-01-08 | 中移(杭州)信息技术有限公司 | 源站防护方法和网络设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107666471A (zh) | 用于防护网站的方法和装置 | |
| US10721245B2 (en) | Method and device for automatically verifying security event | |
| CN106789939B (zh) | 一种钓鱼网站检测方法和装置 | |
| Alrwais et al. | Understanding the dark side of domain parking | |
| CN104935605B (zh) | 钓鱼网站的检测方法、装置及系统 | |
| CN103634317A (zh) | 基于云安全对恶意网址信息进行安全鉴定的方法及系统 | |
| JP2012527691A (ja) | アプリケーションレベルセキュリティのためのシステムおよび方法 | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN111385270A (zh) | 基于waf的网络攻击检测方法及装置 | |
| CN106850687A (zh) | 用于检测网络攻击的方法和装置 | |
| CN104135467B (zh) | 识别恶意网站的方法及装置 | |
| CN104994104A (zh) | 基于web安全网关的服务器指纹拟态和敏感信息拟态方法 | |
| CN106549980A (zh) | 一种恶意c&c服务器确定方法及装置 | |
| CN107948199B (zh) | 一种对终端共享接入进行快速检测的方法及装置 | |
| CN107038784A (zh) | 安全验证方法和装置 | |
| CN107979581A (zh) | 僵尸特征的检测方法和装置 | |
| US20180302437A1 (en) | Methods of identifying and counteracting internet attacks | |
| CN111209601A (zh) | 一种用于反欺诈的人机识别系统 | |
| CN107800670A (zh) | 用于预警网站安全的方法和装置 | |
| Djanali et al. | SQL injection detection and prevention system with raspberry Pi honeypot cluster for trapping attacker | |
| US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
| Feng et al. | Cj-sniffer: Measurement and content-agnostic detection of cryptojacking traffic | |
| Begou et al. | Exploring the Dark Side of AI: Advanced Phishing Attack Design and Deployment Using ChatGPT | |
| CN111385272A (zh) | 弱口令的检测方法及装置 | |
| CN108418844A (zh) | 一种应用层攻击的防护方法及攻击防护端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180206 |
|
| RJ01 | Rejection of invention patent application after publication |