CN109474644B - 安全防护方法、装置、设备、waf及可读存储介质 - Google Patents
安全防护方法、装置、设备、waf及可读存储介质 Download PDFInfo
- Publication number
- CN109474644B CN109474644B CN201910035005.0A CN201910035005A CN109474644B CN 109474644 B CN109474644 B CN 109474644B CN 201910035005 A CN201910035005 A CN 201910035005A CN 109474644 B CN109474644 B CN 109474644B
- Authority
- CN
- China
- Prior art keywords
- waf
- regular expression
- access request
- merged
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本发明公开了一种安全防护方法,包括:当监测到访问请求不命中第一WAF策略中的IP名单时,依据所述第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式;判断所述访问请求是否命中所述第一合并正则表达式或所述第二合并正则表达式;若是,则将所述访问请求与各正则表达式进行匹配,以确定所述访问请求的第一验证结果,否则确定所述访问请求的第一验证结果为正常。本发明还公开了一种安全防护装置、设备、Web应用防护系统WAF及计算机可读存储介质。本发明能够提高WAF对请求安全性和合法性的验证效率。
Description
技术领域
本发明涉及网络安全的技术领域,尤其涉及一种安全防护方法、装置、设备、WAF及可读存储介质。
背景技术
随着网络技术的快速发展,越来越多的企业通过WEB服务器开发实现企业系统和网站,为了保证WEB服务器的安全,人们提出WAF(Web Application Firewall,Web应用防护系统),基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
目前,主要通过将WAF策略写到XML文件中,在WAF启动时解析XML文件,从而生成对应的WAF策略,WAF策略通常由多条正则表达式或字符串匹配函数,通过一系列的与或操作组成。在WAF监测到请求时,将WAF策略中的正则表达式或字符串匹配函数与请求进行逐一对比,直至发现恶意请求或对比完所有WAF策略。
然而,WAF主要采用将WAF策略与请求进行逐一对比的方式,对请求进行安全性和合法性验证时,对比的正则表达式或字符串匹配函数较多,需要耗费较多的时间,安全性和合法性的验证效率较低,因此,如何提高WAF对请求安全性和合法性的验证效率是目前亟待解决的问题。
发明内容
本发明的主要目的在于提供一种安全防护方法、装置、设备、WAF及可读存储介质,旨在提高WAF对请求安全性和合法性的验证效率。
为实现上述目的,本发明提供一种安全防护方法,应用于Web应用防护系统WAF,所述安全防护方法包括以下步骤:
当监测到访问请求不命中第一WAF策略中的IP名单时,依据所述第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式;
判断所述访问请求是否命中所述第一合并正则表达式或所述第二合并正则表达式;
若是,则将所述访问请求与各正则表达式进行匹配,以确定所述访问请求的第一验证结果,否则确定所述访问请求的第一验证结果为正常。
进一步地,依据所述第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式的步骤包括:
获取第一WAF策略中各正则表达式的布尔属性参数,并将所述布尔属性参数相同的正则表达式划分为一组,得到第一正则表达式组和第二正则表达式组;
将所述第一正则表达式组中的各正则表达式合并,以形成第一合并正则表达式,并将所述第二正则表达式组中的各正则表达式合并,以形成第二合并正则表达式。
进一步地,所述当监测到访问请求不命中第一WAF策略中的IP名单时,依据第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式的步骤之前,还包括:
当所述WAF启动时,通过所述WAF的主进程创建处理进程,并建立所述WAF的主进程与WAF策略管理设备之间的长连接;
通过所述主进程从所述WAF策略管理设备中获取全量的第一WAF策略,并将所述第一WAF策略同步至所述处理进程的内存中。
进一步地,将所述第一WAF策略同步至所述处理进程的内存中的步骤之后,还包括:
当接收到访问请求时,通过所述处理进程将所述访问请求转发至部署有第二WAF策略的服务器,以供所述服务器将所述访问请求与所述第二WAF策略中的IP名单和正则表达式进行匹配,以确定所述访问请求的第二验证结果,并将所述第二验证结果发送至所述WAF;
当所述WAF接收到所述服务器发送的第二验证结果时,获取所述访问请求的第一验证结果,并依据所述第一验证结果和所述第二验证结果,确定所述访问请求的目标验证结果。
进一步地,将所述第一WAF策略同步至所述处理进程的内存中的步骤之后,还包括:
通过所述主进程以间隔预设时间从所述WAF策略管理设备中获取第一WAF策略的最新版本号;
判断所述最新版本号与所述主进程的内存中的第一WAF策略的当前版本号是否相同;
若所述最新版本号与所述主进程的内存中的第一WAF策略的当前版本号不同,则通过所述主进程从所述WAF策略管理设备中获取最新版本的第一WAF策略,并更新所述主进程的内存中的第一WAF策略。
进一步地,更新所述主进程的内存中的第一WAF策略的步骤之后,还包括:
从所述主进程的内存中获取更新后的第一WAF策略,并通过所述主进程将更新后的第一WAF策略同步至所述处理进程的内存中,以更新所述处理进程的内存中的第一WAF策略。
此外,为实现上述目的,本发明还提供一种Web应用防护系统WAF,所述WAF包括:
正则合并模块,用于当监测到访问请求不命中第一WAF策略中的IP名单时,依据所述第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式;
正则匹配模块,用于判断所述访问请求是否命中所述第一合并正则表达式或所述第二合并正则表达式
结果确定模块,用于若是,则将所述访问请求与各正则表达式进行匹配,以确定所述访问请求的第一验证结果,否则确定所述访问请求的第一验证结果为正常。
进一步地,所述正则合并模块还用于:
获取第一WAF策略中各正则表达式的布尔属性参数,并将所述布尔属性参数相同的正则表达式划分为一组,得到第一正则表达式组和第二正则表达式组;
将所述第一正则表达式组中的各正则表达式合并,以形成第一合并正则表达式,并将所述第二正则表达式组中的各正则表达式合并,以形成第二合并正则表达式。
进一步地,所述WAF还包括:
进程创建模块,用于当所述WAF启动时,通过所述WAF的主进程创建处理进程;
长连接建立模块,用于建立所述WAF的主进程与WAF策略管理设备之间的长连接;
WAF策略同步模块,用于通过所述主进程从所述WAF策略管理设备中获取全量的第一WAF策略,并将所述第一WAF策略同步至所述处理进程的内存中。
此外,为实现上述目的,本发明还提供一种安全防护装置,应用于Web应用防护系统WAF,所述安全防护装置包括:
合并模块,用于当监测到访问请求不命中第一WAF策略中的IP名单时,依据所述第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式;
判断模块,用于判断所述访问请求是否命中所述第一合并正则表达式或所述第二合并正则表达式;
确定模块,用于若是,则将所述访问请求与各正则表达式进行匹配,以确定所述访问请求的第一验证结果,否则确定所述访问请求的第一验证结果为正常。
进一步地,所述合并模块还用于:
获取第一WAF策略中各正则表达式的布尔属性参数,并将所述布尔属性参数相同的正则表达式划分为一组,得到第一正则表达式组和第二正则表达式组;
将所述第一正则表达式组中的各正则表达式合并,以形成第一合并正则表达式,并将所述第二正则表达式组中的各正则表达式合并,以形成第二合并正则表达式。
进一步地,所述安全防护装置还包括:
创建模块,用于当所述WAF启动时,通过所述WAF的主进程创建处理进程;
连接模块,用于建立所述WAF的主进程与WAF策略管理设备之间的长连接;
策略同步模块,用于通过所述主进程从所述WAF策略管理设备中获取全量的第一WAF策略,并将所述第一WAF策略同步至所述处理进程的内存中。
进一步地,所述安全防护装置还包括:
转发模块,用于当接收到访问请求时,通过所述处理进程将所述访问请求转发至部署有第二WAF策略的服务器,以供所述服务器将所述访问请求与所述第二WAF策略中的IP名单和正则表达式进行匹配,以确定所述访问请求的第二验证结果,并将所述第二验证结果发送至所述WAF;
所述确定模块,还用于当所述WAF接收到所述服务器发送的第二验证结果时,获取所述访问请求的第一验证结果,并依据所述第一验证结果和所述第二验证结果,确定所述访问请求的目标验证结果。
进一步地,所述安全防护装置还包括:
获取模块,用于通过所述主进程以间隔预设时间从所述WAF策略管理设备中获取第一WAF策略的最新版本号;
所述判断模块,还用于判断所述最新版本号与所述主进程的内存中的第一WAF策略的当前版本号是否相同;
策略更新模块,用于若所述最新版本号与所述主进程的内存中的第一WAF策略的当前版本号不同,则通过所述主进程从所述WAF策略管理设备中获取最新版本的第一WAF策略,并更新所述主进程的内存中的第一WAF策略。
此外,为实现上述目的,本发明还提供一种安全防护设备,所述安全防护设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的安全防护程序,所述安全防护程序被所述处理器执行时实现如上所述的安全防护方法的步骤。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有安全防护程序,所述安全防护程序被处理器执行时实现如上所述的安全防护方法的步骤。
本发明提供一种安全防护方法、装置、设备、WAF及可读存储介质,本发明在将访问请求与WAF策略中的各正则表达式进行匹配之前,对WAF策略中的各正则表达式执行合并操作,得到第一合并正则表达式和第二合并正则表达式,然后再将访问请求与第一合并正则表达式和第二合并正则表达式进行匹配,以判断访问请求是否命中第一合并正则表达式或第二合并正则表达式,在该访问请求不命中第一合并正则表达式和第二合并正则表达式时,则不需要再将访问请求与各正则表达式进行匹配即可确定该访问请求是安全的,而在该访问请求命中第一合并正则表达式或第二合并正则表达式时,才需要将访问请求与各正则表达式进行匹配,以确定访问请求是否安全,有效的提高WAF对请求安全性和合法性的验证效率。
附图说明
图1为本发明安全防护方法第一实施例的流程示意图;
图2为本发明安全防护方法第二实施例的流程示意图;
图3为本发明Web应用防护系统WAF第一实施例的的功能模块示意图;
图4为本发明安全防护装置第一实施例的功能模块示意图;
图5为本发明实施例方案涉及的硬件运行环境的设备结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种安全防护方法。
参照图1,图1为本发明安全防护方法第一实施例的流程示意图。
本实施例中,该安全防护方法包括:
步骤S101,当监测到访问请求不命中第一WAF策略中的IP名单时,依据第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式;
本实施例中,该安全防护方法应用于Web应用防护系统WAF,该Web应用防护系统WAF通过实时核心数据保护插件,即RTCDS插件与nginx服务器连接,RTCDS插件可以将nginx服务器的访问请求转发至Web应用防护系统WAF,由WAF对请求的安全性进行验证。当WAF接收到RTCDS插件发送的访问请求时,将该访问请求与WAF策略中的IP名单进行匹配,以监测该访问请求是否命中WAF策略中的IP名单,当监测到该访问请求不命中WAF策略中的IP名单时,该WAF依据该WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式。其中,上述布尔属性参数在代码中通常用bool_case表示,布尔属性参数为True或False,当正则表达式的布尔属性参数为True时,表示该正则表达式与访问请求匹配成功算作命中,而当正则表达式的布尔属性参数为False时,表示该正则表达式与访问请求匹配失败算作命中。
具体地,该WAF获取WAF策略中各正则表达式的布尔属性参数,并将该布尔属性参数相同的正则表达式划分为一组,即将布尔属性参数为True的正则表达式划分为一组,而将将布尔属性参数为False的正则表达式划分为另一组,得到第一正则表达式组和第二正则表达式组,然后将第一正则表达式组中的各正则表达式合并,以形成第一合并正则表达式,并将第二正则表达式组中的各正则表达式合并,以形成第二合并正则表达式。其中,正则表达式的合并方式具体为通过或符号“|”串联同一组的正则表达式,而对各正则表达式的串联顺序不限定,例如,正则表达式分别为R1、R2、R3、R4、R5、R6、R7和R8,则合并后得到的合并正则表达式为[R1|R2|R3|R4|R5|R6|R7|R8],也可以为[R6|R4|R3|R2|R5|R1|R7|R8]。
需要说明的是,WAF策略分为四大类型:IP白名单、IP黑名单、策略白名单和策略黑名单,其中,IP黑白名单包含来源IP、访问域名、访问url和关键字这四个层级,且这四个层级的IP黑白名单采用多级哈希的方式存储,最终形成树形结构,可以更精细的验证请求的安全性。例如,IP黑名单存储的来源IP、访问域名、访问url和关键字分别为1.1.1.1、webank.com、/hello和house,则对来自1.1.1.1、访问webank.com/hello且包含house关键字的请求进行拦截。其中,策略黑白名单包含policy(策略)、rule(规则)和match(正则表达式)这三个层级,match代表一条正则表达式,rule包含一系列match,即正则表达式,rule具备属性union_case,当union_case为and时,表示rule包含的所有match,即正则表达式都命中时算作rule命中,而当union_case为or时表示rule所包含的所有match,即正则表达式只要有一个match,即正则表达式命中就算作rule命中;policy包含一系列rule,policy也具备属性union_case,当union_case为and时,表示policy包含的所有rule都命中时算作policy命中,而当union_case为or时表示policy所包含的所有rule只要有一个rule命中就算作policy命中。通过树形结构存储policy,即一个policy即为一颗策略树。
步骤S102,判断访问请求是否命中第一合并正则表达式或第二合并正则表达式;
步骤S103,若是,则将访问请求与各正则表达式进行匹配,以确定访问请求的第一验证结果,否则确定访问请求的第一验证结果为正常。
本实施例中,在合并得到第一合并正则表达式和第二合并正则表达式之后,该Web应用防护系统WAF将该访问请求与第一合并正则表达式和第二合并正则表达式进行匹配,以判断该访问请求是否命中第一合并正则表达式或第二合并正则表达式,即将该访问请求携带的全部数据与第一合并正则表达式或第二合并正则表达式进行匹配。如果该访问请求命中第一合并正则表达式或第二合并正则表达式,则需要将访问请求与WAF策略中的各正则表达式进行匹配,以确定该访问请求的验证结果,如果该访问请求未命中第一合并正则表达式和第二合并正则表达式,则不需要再将访问请求与WAF策略中的各正则表达式进行匹配即可确定该访问请求的验证结果为正常,即该访问请求为安全的访问请求。
本实施例中,本发明在将访问请求与WAF策略中的各正则表达式进行匹配之前,对WAF策略中的各正则表达式执行合并操作,得到第一合并正则表达式和第二合并正则表达式,然后再将访问请求与第一合并正则表达式和第二合并正则表达式进行匹配,以判断访问请求是否命中第一合并正则表达式或第二合并正则表达式,在该访问请求不命中第一合并正则表达式和第二合并正则表达式时,则不需要再将访问请求与各正则表达式进行匹配即可确定该访问请求是安全的,而在该访问请求命中第一合并正则表达式或第二合并正则表达式时,才需要将访问请求与各正则表达式进行匹配,以确定访问请求是否安全,有效的提高WAF对请求安全性和合法性的验证效率。
进一步地,参照图2,基于上述第一实施,提出了本发明安全防护方法的第二实施例,与前述实施例的区别在于,步骤S101之前,还包括:
步骤S104,当WAF启动时,通过WAF的主进程创建处理进程,并建立WAF的主进程与WAF策略管理设备之间的长连接;
本实施例中,当WAF启动时,该WAF通过WAF的主进程创建处理进程,即由主进程fork出处理进程,并建立该WAF的主进程与WAF策略管理设备之间的长连接。其中,WAF通过实时核心数据保护插件,即RTCDS插件与nginx服务器连接,RTCDS插件可以将nginx服务器的访问请求转发至Web应用防护系统WAF,由WAF对请求的安全性进行验证;该WAF策略管理设备存储有WAF策略,开发人员可基于WAF策略管理设备实现WAF策略的编辑与同步。具体实施中,在WAF启动时,该主进程还创建配置进程和上报进程,该配置进程用于接收RTCDS插件的配置信息获取请求,并将WAF的当前配置信息返回给RTCDS插件,使得RTCDS插件对应调节自己的配置;该上报进程用于收集RTCDS插件运行时产生的各种异常信息,此外,该WAF还与告警系统连接,该上报进程还用于将异常信息同步至告警系统,由告警系统执行对应的告警操作(短信提醒、邮箱提醒或微信提醒)。
步骤S105,通过主进程从WAF策略管理设备中获取全量的第一WAF策略,并将第一WAF策略同步至处理进程的内存中。
本实施例中,在主进程与WAF策略管理设备之间的长连接建立后,该WAF通过主进程从该WAF策略管理设备中获取全量的WAF策略,并将该WAF策略同步至该处理进程的内存中,即通过进程间通信的方式将该WAF策略同步至该处理进程的内存中。
进一步地,通过该主进程以间隔预设时间从该WAF策略管理设备中获取WAF策略的最新版本号,并判断最新版本号与该主进程的内存中的WAF策略的当前版本号是否相同,如果最新版本号与该主进程的内存中的WAF策略的当前版本号相同,则不需要更新主进程内存中的WAF策略,而如果最新版本号与该主进程的内存中的WAF策略的当前版本号不同,则需要更新主进程内存中的WAF策略,因此通过该主进程从该WAF策略管理设备中获取最新版本的WAF策略,并更新该主进程的内存中的WAF策略,即将该主进程的内存中的WAF策略替换为最新版本的WAF策略。该主进程中的WAF策略更新后,该WAF从该主进程的内存中获取更新后的WAF策略,并通过该主进程将更新后的WAF策略同步至处理进程的内存中,以更新处理进程的内存中的WAF策略。具体实施中,该WAF策略管理设备检测到WAF策略发生变更(包括WAF策略的增加、更新和删除等)时,该WAF策略管理设备向该主进程发送变更后的WAF策略,再由主进程通过进程间通信将变更后的WAF策略同步给处理进程,以变更处理进程的内存中的WAF策略。
本实施例中,本发明WAF的主进程创建处理进程,并在主进程和处理进程的内存中均存储有WAF策略,可以通过进程间通信的方式实现WAF策略的更新,不需要重启WAF,可以动态灵活的配置和更新WAF策略。
进一步地,基于上述第一或第二实施例,提出了本发明安全防护方法的第三实施例,与前述实施例的区别在于,在WAF策略较多时,为了保持低时延,可以将一部分WAF策略分离部署在另外的服务器中,机器之间通过网络交互,具体为,当WAF接收到访问请求时,通过该处理进程将该访问请求转发至部署有第二WAF策略的服务器,由该服务器将该访问请求与第二WAF策略中的IP名单和正则表达式进行匹配,以确定访问请求的第二验证结果,并将第二验证结果发送至WAF,即该服务器将该访问请求与第二WAF策略中的IP名单进行匹配,以监测该访问请求是否命中第二WAF策略中的IP名单,当监测到该访问请求不命中第二WAF策略中的IP名单时,该WAF依据该第二WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第三合并正则表达式和第四合并正则表达式,并判断访问请求是否命中第三合并正则表达式或第四合并正则表达式,如果该访问请求命中第三合并正则表达式或第四合并正则表达式,则需要将访问请求与第二WAF策略中的各正则表达式进行匹配,以确定该访问请求的第二验证结果,如果该访问请求未命中第三合并正则表达式和第四合并正则表达式,则不需要再将访问请求与第二WAF策略中的各正则表达式进行匹配即可确定该访问请求的第二验证结果为正常;
在服务器将该访问请求与第二WAF策略中的IP名单和正则表达式进行匹配,以确定访问请求的第二验证结果的同时,该WAF将该访问请求与第一WAF策略中的IP名单和正则表达式进行匹配,以确定访问请求的第一验证结果,即该WAF将该访问请求与第一WAF策略中的IP名单进行匹配,以监测该访问请求是否命中第一WAF策略中的IP名单,当监测到该访问请求不命中第一WAF策略中的IP名单时,该WAF依据该第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式,并判断访问请求是否命中第一合并正则表达式或第二合并正则表达式,如果该访问请求命中第一合并正则表达式或第二合并正则表达式,则需要将访问请求与第一WAF策略中的各正则表达式进行匹配,以确定该访问请求的第一验证结果,如果该访问请求未命中第一合并正则表达式和第二合并正则表达式,则不需要再将访问请求与第一WAF策略中的各正则表达式进行匹配即可确定该访问请求的第一验证结果为正常;
当WAF接收到服务器发送的第二验证结果时,获取该访问请求的第一验证结果,并依据该第一验证结果和第二验证结果,确定该访问请求的目标验证结果,即当第一验证结果或第二验证结果中的一个验证结果为恶意请求时,则目标验证结果为访问请求为恶意的请求,而当第一验证结果和第二验证结果均为正常时,目标验证结果为访问请求为正常的请求。
本实施例中,本发明在WAF策略较多时,分离部署WAF策略,由WAF和其余部署有WAF策略的服务器同时执行请求与WAF策略的匹配,可以进一步地提高WAF对请求安全性和合法性的验证效率。
本发明还提供一种Web应用防护系统WAF。
参照图3,图3为本发明Web应用防护系统WAF第一实施例的功能模块示意图。
本实施例中,该Web应用防护系统WAF包括:
正则合并模块101,用于当监测到访问请求不命中第一WAF策略中的IP名单时,依据所述第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式;
正则匹配模块102,用于判断所述访问请求是否命中所述第一合并正则表达式或所述第二合并正则表达式
结果确定模块103,用于若是,则将所述访问请求与各正则表达式进行匹配,以确定所述访问请求的第一验证结果,否则确定所述访问请求的第一验证结果为正常。
进一步地,所述正则合并模块101还用于:
获取第一WAF策略中各正则表达式的布尔属性参数,并将所述布尔属性参数相同的正则表达式划分为一组,得到第一正则表达式组和第二正则表达式组;
将所述第一正则表达式组中的各正则表达式合并,以形成第一合并正则表达式,并将所述第二正则表达式组中的各正则表达式合并,以形成第二合并正则表达式。
进一步地,所述WAF还包括:
进程创建模块,用于当所述WAF启动时,通过所述WAF的主进程创建处理进程;
长连接建立模块,用于建立所述WAF的主进程与WAF策略管理设备之间的长连接;
WAF策略同步模块,用于通过所述主进程从所述WAF策略管理设备中获取全量的第一WAF策略,并将所述第一WAF策略同步至所述处理进程的内存中。
进一步地,所述WAF还包括:
转发模块,用于当接收到访问请求时,通过所述处理进程将所述访问请求转发至部署有第二WAF策略的服务器;
所述服务器将所述访问请求与所述第二WAF策略中的IP名单和正则表达式进行匹配,以确定所述访问请求的第二验证结果,并将所述第二验证结果发送至所述WAF;
所述结果确定模块103,还用于当所述WAF接收到所述服务器发送的第二验证结果时,获取所述访问请求的第一验证结果,并依据所述第一验证结果和所述第二验证结果,确定所述访问请求的目标验证结果。
进一步地,所述WAF还包括WAF策略更新模块,所述WAF策略更新模块用于:
通过所述主进程以间隔预设时间从所述WAF策略管理设备中获取第一WAF策略的最新版本号;
判断所述最新版本号与所述主进程的内存中的第一WAF策略的当前版本号是否相同;
若所述最新版本号与所述主进程的内存中的第一WAF策略的当前版本号不同,则通过所述主进程从所述WAF策略管理设备中获取最新版本的第一WAF策略,并更新所述主进程的内存中的第一WAF策略。
进一步地,所述WAF策略更新模块还用于:
从所述主进程的内存中获取更新后的第一WAF策略,并通过所述主进程将更新后的第一WAF策略同步至所述处理进程的内存中,以更新所述处理进程的内存中的第一WAF策略。
其中,本发明Web应用防护系统WAF的各具体实施例与上述安全防护方法的各具体实施例基本相同,在此不作赘述。
本发明还提供一种安全防护装置。
参照图4,图4为本发明安全防护装置第一实施例的功能模块示意图。
本实施例中,该安全防护装置包括:
合并模块201,用于当监测到访问请求不命中第一WAF策略中的IP名单时,依据所述第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式;
判断模块202,用于判断所述访问请求是否命中所述第一合并正则表达式或所述第二合并正则表达式;
确定模块203,用于若是,则将所述访问请求与各正则表达式进行匹配,以确定所述访问请求的第一验证结果,否则确定所述访问请求的第一验证结果为正常。
进一步地,所述合并模块201还用于:
获取第一WAF策略中各正则表达式的布尔属性参数,并将所述布尔属性参数相同的正则表达式划分为一组,得到第一正则表达式组和第二正则表达式组;
将所述第一正则表达式组中的各正则表达式合并,以形成第一合并正则表达式,并将所述第二正则表达式组中的各正则表达式合并,以形成第二合并正则表达式。
进一步地,所述安全防护装置还包括:
创建模块,用于当所述WAF启动时,通过所述WAF的主进程创建处理进程;
连接模块,用于建立所述WAF的主进程与WAF策略管理设备之间的长连接;
策略同步模块,用于通过所述主进程从所述WAF策略管理设备中获取全量的第一WAF策略,并将所述第一WAF策略同步至所述处理进程的内存中。
进一步地,所述安全防护装置还包括:
转发模块,用于当接收到访问请求时,通过所述处理进程将所述访问请求转发至部署有第二WAF策略的服务器,以供所述服务器将所述访问请求与所述第二WAF策略中的IP名单和正则表达式进行匹配,以确定所述访问请求的第二验证结果,并将所述第二验证结果发送至所述WAF;
所述确定模块,还用于当所述WAF接收到所述服务器发送的第二验证结果时,获取所述访问请求的第一验证结果,并依据所述第一验证结果和所述第二验证结果,确定所述访问请求的目标验证结果。
进一步地,所述安全防护装置还包括:
获取模块,用于通过所述主进程以间隔预设时间从所述WAF策略管理设备中获取第一WAF策略的最新版本号;
所述判断模块,还用于判断所述最新版本号与所述主进程的内存中的第一WAF策略的当前版本号是否相同;
策略更新模块,用于若所述最新版本号与所述主进程的内存中的第一WAF策略的当前版本号不同,则通过所述主进程从所述WAF策略管理设备中获取最新版本的第一WAF策略,并更新所述主进程的内存中的第一WAF策略。
进一步地,所述策略更新模块,还用于:
从所述主进程的内存中获取更新后的第一WAF策略,并通过所述主进程将更新后的第一WAF策略同步至所述处理进程的内存中,以更新所述处理进程的内存中的第一WAF策略。
其中,本发明安全防护装置的具体实施例与上述安全防护方法的各具体实施例基本相同,在此不作赘述。
本发明还提供一种安全防护设备。
如图5所示,图5是本发明实施例方案涉及的硬件运行环境的设备结构示意图。
如图4所示,该安全防护设备可以包括:处理器1001,例如CPU,通信总线1002,用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选的用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的安全防护设备结构并不构成对安全防护设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及安全防护程序。
在图1所示的安全防护设备中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的安全防护程序,并执行以下步骤:
当监测到访问请求不命中第一WAF策略中的IP名单时,依据所述第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式;
判断所述访问请求是否命中所述第一合并正则表达式或所述第二合并正则表达式;
若是,则将所述访问请求与各正则表达式进行匹配,以确定所述访问请求的第一验证结果,否则确定所述访问请求的第一验证结果为正常。
进一步地,处理器1001可以用于调用存储器1005中存储的安全防护程序,还执行以下步骤:
获取第一WAF策略中各正则表达式的布尔属性参数,并将所述布尔属性参数相同的正则表达式划分为一组,得到第一正则表达式组和第二正则表达式组;
将所述第一正则表达式组中的各正则表达式合并,以形成第一合并正则表达式,并将所述第二正则表达式组中的各正则表达式合并,以形成第二合并正则表达式。
进一步地,处理器1001可以用于调用存储器1005中存储的安全防护程序,还执行以下步骤:
当所述WAF启动时,通过所述WAF的主进程创建处理进程,并建立所述WAF的主进程与WAF策略管理设备之间的长连接;
通过所述主进程从所述WAF策略管理设备中获取全量的第一WAF策略,并将所述第一WAF策略同步至所述处理进程的内存中。
进一步地,处理器1001可以用于调用存储器1005中存储的安全防护程序,还执行以下步骤:
当接收到访问请求时,通过所述处理进程将所述访问请求转发至部署有第二WAF策略的服务器,以供所述服务器将所述访问请求与所述第二WAF策略中的IP名单和正则表达式进行匹配,以确定所述访问请求的第二验证结果,并将所述第二验证结果发送至所述WAF;
当所述WAF接收到所述服务器发送的第二验证结果时,获取所述访问请求的第一验证结果,并依据所述第一验证结果和所述第二验证结果,确定所述访问请求的目标验证结果。
进一步地,处理器1001可以用于调用存储器1005中存储的安全防护程序,还执行以下步骤:
通过所述主进程以间隔预设时间从所述WAF策略管理设备中获取第一WAF策略的最新版本号;
判断所述最新版本号与所述主进程的内存中的第一WAF策略的当前版本号是否相同;
若所述最新版本号与所述主进程的内存中的第一WAF策略的当前版本号不同,则通过所述主进程从所述WAF策略管理设备中获取最新版本的第一WAF策略,并更新所述主进程的内存中的第一WAF策略。
进一步地,处理器1001可以用于调用存储器1005中存储的安全防护程序,还执行以下步骤:
从所述主进程的内存中获取更新后的第一WAF策略,并通过所述主进程将更新后的第一WAF策略同步至所述处理进程的内存中,以更新所述处理进程的内存中的第一WAF策略。
其中,本发明安全防护设备的具体实施例与上述安全防护方法的各具体实施例基本相同,在此不作赘述。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有安全防护程序,所述安全防护程序被处理器执行时,执行以下步骤:
当监测到访问请求不命中第一WAF策略中的IP名单时,依据所述第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式;
判断所述访问请求是否命中所述第一合并正则表达式或所述第二合并正则表达式;
若是,则将所述访问请求与各正则表达式进行匹配,以确定所述访问请求的第一验证结果,否则确定所述访问请求的第一验证结果为正常。
进一步地,所述安全防护程序被处理器执行时,还执行以下步骤:
获取第一WAF策略中各正则表达式的布尔属性参数,并将所述布尔属性参数相同的正则表达式划分为一组,得到第一正则表达式组和第二正则表达式组;
将所述第一正则表达式组中的各正则表达式合并,以形成第一合并正则表达式,并将所述第二正则表达式组中的各正则表达式合并,以形成第二合并正则表达式。
进一步地,所述安全防护程序被处理器执行时,还执行以下步骤:
当所述WAF启动时,通过所述WAF的主进程创建处理进程,并建立所述WAF的主进程与WAF策略管理设备之间的长连接;
通过所述主进程从所述WAF策略管理设备中获取全量的第一WAF策略,并将所述第一WAF策略同步至所述处理进程的内存中。
进一步地,所述安全防护程序被处理器执行时,还执行以下步骤:
当接收到访问请求时,通过所述处理进程将所述访问请求转发至部署有第二WAF策略的服务器,以供所述服务器将所述访问请求与所述第二WAF策略中的IP名单和正则表达式进行匹配,以确定所述访问请求的第二验证结果,并将所述第二验证结果发送至所述WAF;
当所述WAF接收到所述服务器发送的第二验证结果时,获取所述访问请求的第一验证结果,并依据所述第一验证结果和所述第二验证结果,确定所述访问请求的目标验证结果。
进一步地,所述安全防护程序被处理器执行时,还执行以下步骤:
通过所述主进程以间隔预设时间从所述WAF策略管理设备中获取第一WAF策略的最新版本号;
判断所述最新版本号与所述主进程的内存中的第一WAF策略的当前版本号是否相同;
若所述最新版本号与所述主进程的内存中的第一WAF策略的当前版本号不同,则通过所述主进程从所述WAF策略管理设备中获取最新版本的第一WAF策略,并更新所述主进程的内存中的第一WAF策略。
进一步地,所述安全防护程序被处理器执行时,还执行以下步骤:
从所述主进程的内存中获取更新后的第一WAF策略,并通过所述主进程将更新后的第一WAF策略同步至所述处理进程的内存中,以更新所述处理进程的内存中的第一WAF策略。
其中,本发明计算机可读存储介质的具体实施例与上述安全防护方法各实施例基本相同,在此不作赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (13)
1.一种安全防护方法,其特征在于,应用于Web应用防护系统WAF,所述安全防护方法包括以下步骤:
当监测到访问请求不命中第一WAF策略中的IP名单时,依据所述第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式;
判断所述访问请求是否命中所述第一合并正则表达式或所述第二合并正则表达式;
若是,则将所述访问请求与各正则表达式进行匹配,以确定所述访问请求的第一验证结果,否则确定所述访问请求的第一验证结果为正常;
其中,依据所述第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式的步骤包括:
获取第一WAF策略中各正则表达式的布尔属性参数,并将所述布尔属性参数相同的正则表达式划分为一组,得到第一正则表达式组和第二正则表达式组;
将所述第一正则表达式组中的各正则表达式合并,以形成第一合并正则表达式,并将所述第二正则表达式组中的各正则表达式合并,以形成第二合并正则表达式。
2.如权利要求1所述的安全防护方法,其特征在于,所述当监测到访问请求不命中第一WAF策略中的IP名单时,依据第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式的步骤之前,还包括:
当所述WAF启动时,通过所述WAF的主进程创建处理进程,并建立所述WAF的主进程与WAF策略管理设备之间的长连接;
通过所述主进程从所述WAF策略管理设备中获取全量的第一WAF策略,并将所述第一WAF策略同步至所述处理进程的内存中。
3.如权利要求2所述的安全防护方法,其特征在于,将所述第一WAF策略同步至所述处理进程的内存中的步骤之后,还包括:
当接收到访问请求时,通过所述处理进程将所述访问请求转发至部署有第二WAF策略的服务器,以供所述服务器将所述访问请求与所述第二WAF策略中的IP名单和正则表达式进行匹配,以确定所述访问请求的第二验证结果,并将所述第二验证结果发送至所述WAF;
当所述WAF接收到所述服务器发送的第二验证结果时,获取所述访问请求的第一验证结果,并依据所述第一验证结果和所述第二验证结果,确定所述访问请求的目标验证结果。
4.如权利要求2所述的安全防护方法,其特征在于,将所述第一WAF策略同步至所述处理进程的内存中的步骤之后,还包括:
通过所述主进程以间隔预设时间从所述WAF策略管理设备中获取第一WAF策略的最新版本号;
判断所述最新版本号与所述主进程的内存中的第一WAF策略的当前版本号是否相同;
若所述最新版本号与所述主进程的内存中的第一WAF策略的当前版本号不同,则通过所述主进程从所述WAF策略管理设备中获取最新版本的第一WAF策略,并更新所述主进程的内存中的第一WAF策略。
5.如权利要求4所述的安全防护方法,其特征在于,更新所述主进程的内存中的第一WAF策略的步骤之后,还包括:
从所述主进程的内存中获取更新后的第一WAF策略,并通过所述主进程将更新后的第一WAF策略同步至所述处理进程的内存中,以更新所述处理进程的内存中的第一WAF策略。
6.一种Web应用防护系统WAF,其特征在于,所述WAF包括:
正则合并模块,用于当监测到访问请求不命中第一WAF策略中的IP名单时,依据所述第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式;
正则匹配模块,用于判断所述访问请求是否命中所述第一合并正则表达式或所述第二合并正则表达式
结果确定模块,用于若是,则将所述访问请求与各正则表达式进行匹配,以确定所述访问请求的第一验证结果,否则确定所述访问请求的第一验证结果为正常;
所述正则合并模块还用于:
获取第一WAF策略中各正则表达式的布尔属性参数,并将所述布尔属性参数相同的正则表达式划分为一组,得到第一正则表达式组和第二正则表达式组;
将所述第一正则表达式组中的各正则表达式合并,以形成第一合并正则表达式,并将所述第二正则表达式组中的各正则表达式合并,以形成第二合并正则表达式。
7.如权利要求6所述的WAF,其特征在于,所述WAF还包括:
进程创建模块,用于当所述WAF启动时,通过所述WAF的主进程创建处理进程;
长连接建立模块,用于建立所述WAF的主进程与WAF策略管理设备之间的长连接;
WAF策略同步模块,用于通过所述主进程从所述WAF策略管理设备中获取全量的第一WAF策略,并将所述第一WAF策略同步至所述处理进程的内存中。
8.一种安全防护装置,其特征在于,应用于Web应用防护系统WAF,所述安全防护装置包括:
合并模块,用于当监测到访问请求不命中第一WAF策略中的IP名单时,依据所述第一WAF策略中各正则表达式的布尔属性参数,对各正则表达式执行合并操作,以获取第一合并正则表达式和第二合并正则表达式;
判断模块,用于判断所述访问请求是否命中所述第一合并正则表达式或所述第二合并正则表达式;
确定模块,用于若是,则将所述访问请求与各正则表达式进行匹配,以确定所述访问请求的第一验证结果,否则确定所述访问请求的第一验证结果为正常;
所述合并模块还用于:
获取第一WAF策略中各正则表达式的布尔属性参数,并将所述布尔属性参数相同的正则表达式划分为一组,得到第一正则表达式组和第二正则表达式组;
将所述第一正则表达式组中的各正则表达式合并,以形成第一合并正则表达式,并将所述第二正则表达式组中的各正则表达式合并,以形成第二合并正则表达式。
9.如权利要求8所述的安全防护装置,其特征在于,所述安全防护装置还包括:
创建模块,用于当所述WAF启动时,通过所述WAF的主进程创建处理进程;
连接模块,用于建立所述WAF的主进程与WAF策略管理设备之间的长连接;
策略同步模块,用于通过所述主进程从所述WAF策略管理设备中获取全量的第一WAF策略,并将所述第一WAF策略同步至所述处理进程的内存中。
10.如权利要求9所述的安全防护装置,其特征在于,所述安全防护装置还包括:
转发模块,用于当接收到访问请求时,通过所述处理进程将所述访问请求转发至部署有第二WAF策略的服务器,以供所述服务器将所述访问请求与所述第二WAF策略中的IP名单和正则表达式进行匹配,以确定所述访问请求的第二验证结果,并将所述第二验证结果发送至所述WAF;
所述确定模块,还用于当所述WAF接收到所述服务器发送的第二验证结果时,获取所述访问请求的第一验证结果,并依据所述第一验证结果和所述第二验证结果,确定所述访问请求的目标验证结果。
11.如权利要求9所述的安全防护装置,其特征在于,所述安全防护装置还包括:
获取模块,用于通过所述主进程以间隔预设时间从所述WAF策略管理设备中获取第一WAF策略的最新版本号;
所述判断模块,还用于判断所述最新版本号与所述主进程的内存中的第一WAF策略的当前版本号是否相同;
策略更新模块,用于若所述最新版本号与所述主进程的内存中的第一WAF策略的当前版本号不同,则通过所述主进程从所述WAF策略管理设备中获取最新版本的第一WAF策略,并更新所述主进程的内存中的第一WAF策略。
12.一种安全防护设备,其特征在于,所述安全防护设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的安全防护程序,所述安全防护程序被所述处理器执行时实现如权利要求1至5中任一项所述的安全防护方法的步骤。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有安全防护程序,所述安全防护程序被处理器执行时实现如权利要求1至5中任一项所述的安全防护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910035005.0A CN109474644B (zh) | 2019-01-11 | 2019-01-11 | 安全防护方法、装置、设备、waf及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910035005.0A CN109474644B (zh) | 2019-01-11 | 2019-01-11 | 安全防护方法、装置、设备、waf及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109474644A CN109474644A (zh) | 2019-03-15 |
| CN109474644B true CN109474644B (zh) | 2021-04-23 |
Family
ID=65678714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910035005.0A Active CN109474644B (zh) | 2019-01-11 | 2019-01-11 | 安全防护方法、装置、设备、waf及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109474644B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7689530B1 (en) * | 2003-01-10 | 2010-03-30 | Cisco Technology, Inc. | DFA sequential matching of regular expression with divergent states |
| CN103259793A (zh) * | 2013-05-02 | 2013-08-21 | 东北大学 | 基于后缀自动机正则引擎构造的深度包检测方法 |
| CN103957012A (zh) * | 2014-04-18 | 2014-07-30 | 华为技术有限公司 | 一种dfa矩阵的压缩方法及装置 |
| CN108681554A (zh) * | 2018-04-03 | 2018-10-19 | 阿里巴巴集团控股有限公司 | 一种利用正则表达式的匹配方法、装置及设备 |
-
2019
- 2019-01-11 CN CN201910035005.0A patent/CN109474644B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7689530B1 (en) * | 2003-01-10 | 2010-03-30 | Cisco Technology, Inc. | DFA sequential matching of regular expression with divergent states |
| CN103259793A (zh) * | 2013-05-02 | 2013-08-21 | 东北大学 | 基于后缀自动机正则引擎构造的深度包检测方法 |
| CN103957012A (zh) * | 2014-04-18 | 2014-07-30 | 华为技术有限公司 | 一种dfa矩阵的压缩方法及装置 |
| CN108681554A (zh) * | 2018-04-03 | 2018-10-19 | 阿里巴巴集团控股有限公司 | 一种利用正则表达式的匹配方法、装置及设备 |
Non-Patent Citations (2)
| Title |
|---|
| Fast and Memory-efficient Regular Expression Matching for Deep Packet Inspection;Fang Yu等;《Proceedings of the 2006 ACM/IEEE symposium on Architecture for networking and communications systems》;20061231;第93-102页 * |
| 面向高效深度包检测的启发式正则表达式分组算法;赵超等;《计算机应用研究》;20180731;第2163-2167页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109474644A (zh) | 2019-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9634989B2 (en) | Systems and methods for detecting undesirable network traffic content | |
| US10326781B2 (en) | Cloud-based gateway security scanning | |
| CN112019575B (zh) | 数据包处理方法、装置、计算机设备以及存储介质 | |
| US7464407B2 (en) | Attack defending system and attack defending method | |
| EP1702449B1 (en) | Method for identifying the content of files in a network | |
| US8739287B1 (en) | Determining a security status of potentially malicious files | |
| CN108881101B (zh) | 一种基于文档对象模型的跨站脚本漏洞防御方法、装置以及客户端 | |
| US8732835B2 (en) | System, method, and computer program product for interfacing a plurality of related applications | |
| CN114008977B (zh) | 用于渗漏事件数据的siem系统和方法 | |
| US7539871B1 (en) | System and method for identifying message propagation | |
| US8122498B1 (en) | Combined multiple-application alert system and method | |
| CN113709129A (zh) | 一种基于流量学习的白名单生成方法、装置和系统 | |
| CN114826790B (zh) | 一种区块链监测方法、装置、设备及存储介质 | |
| CN109474644B (zh) | 安全防护方法、装置、设备、waf及可读存储介质 | |
| CN115118504B (zh) | 知识库更新方法、装置、电子设备及存储介质 | |
| CN116016174A (zh) | 规则库升级方法、装置、电子设备和存储介质 | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| CN110958267B (zh) | 一种虚拟网络内部威胁行为的监测方法及系统 | |
| CN114491661A (zh) | 基于区块链的日志防篡改方法及系统 | |
| CN103152371B (zh) | P2sp下载监管方法及系统 | |
| CN112217770A (zh) | 一种安全检测方法、装置、计算机设备及存储介质 | |
| CN117640166A (zh) | 名单构造方法、装置、存储介质及电子设备 | |
| CN115952541A (zh) | 一种请求发送方法、装置、设备及存储介质 | |
| CN117857209A (zh) | 一种邮件安全检测方法、装置和系统 | |
| CN114417297A (zh) | 一种设备管理方法、系统和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |