CN109688097B - 网站防护方法、网站防护装置、网站防护设备及存储介质 - Google Patents
网站防护方法、网站防护装置、网站防护设备及存储介质 Download PDFInfo
- Publication number
- CN109688097B CN109688097B CN201811047681.1A CN201811047681A CN109688097B CN 109688097 B CN109688097 B CN 109688097B CN 201811047681 A CN201811047681 A CN 201811047681A CN 109688097 B CN109688097 B CN 109688097B
- Authority
- CN
- China
- Prior art keywords
- access
- user
- website
- log
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种网站防护方法、网站防护装置、网站防护设备及存储介质,该方法包括:日志分析平台响应于接收到的信息查询指令,提取信息查询指令中包含的查询时间参数;在预设索引中查找查询时间参数对应的目标网站访问日志,从目标网站访问日志中提取访问用户对应的访问行为数据;根据访问行为数据检测访问用户是否存在异常访问行为,若存在则按预设封堵策略对访问用户进行访问封堵,由于是日志分析平台根据用户的访问行为数据来进行判定用户访问是否为异常访问,从而避免了通过制定访问规则或防火墙策略引起的正常访问请求被误报,又或是异常访问请求被漏报情况的发生,提高了网站防护的灵活性及防入侵能力,保障了网站的信息安全及结构安全。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种网站防护方法、网站防护装置、网站防护设备及存储介质。
背景技术
目前,现有的网站防护多采用网络层防火墙策略,应用层防护,但这种防护方式在防护各个网站时往往会产生许多误报和漏报,例如某个网站的架构比较特殊,可能会导致某些终端设备发送的访问请求被误报为攻击行为,但实属正常请求;又或者某个网站要求对某种特殊的请求进行拦截,但是如果为该请求方式定制规则策略又会导致其它网站的请求被误报,现有的网站防护方式灵活性和适应能力远远不够,不能满足不同用户的需求。因此,如何准确高效地对网站进行安全防护,保证网站良好运行,成为一个亟待解决的问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供了一种网站防护方法、装置、设备及存储介质,旨在解决现有技术无法准确高效地对网站进行安全防护,正常访问请求容易被误报或误杀的技术问题。
为实现上述目的,本发明提供了一种网站防护方法,所述方法包括以下步骤:
日志分析平台响应于接收到的信息查询指令,提取所述信息查询指令中包含的查询时间参数;
在预设索引中查找所述查询时间参数对应的目标网站访问日志,从所述目标网站访问日志中提取访问用户对应的访问行为数据;
根据所述访问行为数据检测所述访问用户是否存在异常访问行为,若存在则按预设封堵策略对所述访问用户进行访问封堵。
优选地,所述根据所述访问行为数据检测所述访问用户是否存在异常访问行为,若存在则按预设封堵策略对所述访问用户进行访问封堵的步骤包括:
根据所述访问行为数据,检测所述访问用户在预设时段内对目标网站的访问次数是否超过预设次数;和/或所述访问用户输入的访问参数中是否携带SQL注入;
若所述访问用户在预设时间范围内对目标网站的访问次数超过预设次数;和/或所述访问用户输入的访问参数中携带SQL注入时,判定所述访问用户存在异常访问行为;
在所述访问用户存在异常访问行为时,按预设封堵策略对所述访问用户进行访问封堵。
优选地,所述在所述访问用户存在异常访问行为时,按预设封堵策略对所述访问用户进行访问封堵的步骤,包括:
在所述访问用户存在异常访问行为时,查询所述访问用户对应的互联网协议地址是否存在于预设数据库中;
若不存在,则将所述互联网协议地址添加至所述预设数据库以禁止所述访问用户通过所述互联网协议地址访问所述目标网站,并将所述互联网协议地址对应的封堵时长设置为第一预设数值。
优选地,所述在所述访问用户存在异常访问行为时,查询所述访问用户对应的互联网协议地址是否存在于预设数据库中的步骤之后,所述方法还包括:
若存在,则检测所述互联网协议地址被添加至所述预设数据库中时对应的添加时间是否属于当日时间;
若不属于,则将所述互联网协议地址对应的封堵时长设置为第二预设数值。
优选地,所述日志分析平台响应于接收到的信息查询指令,提取所述信息查询指令中包含的查询时间参数的步骤之前,所述方法还包括:
预设消息集群从Nginx服务器中读取所述访问用户对所述目标网站进行访问时的用户访问日志;
所述日志分析平台获取所述用户访问日志,对所述用户访问日志进行格式化处理获得网站访问日志;
所述日志分析平台提取所述网站访问日志中包含的时间参数,并根据所述时间参数建立时间参数与网站访问日志之间的索引。
优选地,所述日志分析平台获取所述用户访问日志,对所述用户访问日志进行格式化处理获得网站访问日志的步骤,包括:
所述日志分析平台向所述预设消息集群发送消息拉取请求,获取所述预设消息集群基于所述消息拉取请求反馈的消息消费序列;
所述日志分析平台根据所述消息消费序列从所述预设消息集群中获取所述用户访问日志,将所述用户访问日志中包含的原始时间参数格式化为ISO8601时间格式的时间参数,获得网站访问日志。
优选地,所述日志分析平台提取所述网站访问日志中包含的时间参数,并根据所述时间参数建立时间参数与网站访问日志之间的时间索引的步骤,包括:
所述日志分析平台提取所述网站访问日志中包含的时间参数,在本地数据库中查询是否存在包含有所述时间参数的目标索引;
若不存在,则根据所述时间参数建立所述时间参数与所述网站访问日志之间的索引。
此外,为实现上述目的,本发明还提出一种网站防护装置,所述装置包括:指令响应模块、数据获取模块和行为检测模块;
所述指令响应模块,用于响应于接收到的信息查询指令,提取所述信息查询指令中包含的查询时间参数;
所述数据获取模块,用于在预设索引中查找所述查询时间参数对应的目标网站访问日志,从所述目标网站访问日志中提取访问用户对应的访问行为数据;
所述行为检测模块,用于根据所述访问行为数据检测所述访问用户是否存在异常访问行为,若存在则按预设封堵策略对所述访问用户进行访问封堵。
此外,为实现上述目的,本发明还提出一种网站防护设备,所述网站防护设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网站防护程序,所述网站防护程序配置为实现如上文所述的网站防护方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有网站防护程序,所述网站防护程序被处理器执行时实现如上文所述的网站防护方法的步骤。
本发明日志分析平台响应于接收到的信息查询指令,提取信息查询指令中包含的查询时间参数;在预设索引中查找查询时间参数对应的目标网站访问日志,从目标网站访问日志中提取访问用户对应的访问行为数据;根据访问行为数据检测访问用户是否存在异常访问行为,若存在则按预设封堵策略对访问用户进行访问封堵,由于是日志分析平台根据用户的访问行为数据来进行判定用户访问是否为异常访问,从而避免了通过制定访问规则或防火墙策略引起的正常访问请求被误报或异常访问请求被漏报情况的发生,提高了网站防护的灵活性和适应及防入侵能力,保障了网站的信息安全及结构安全。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的网站防护设备的结构示意图;
图2为本发明网站防护方法第一实施例的流程示意图;
图3为本发明网站防护方法第二实施例的流程示意图;
图4为本发明网站防护方法第三实施例的流程示意图;
图5为本发明网站防护装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的网站防护设备结构示意图。
如图1所示,该网站防护设备可以包括:处理器1001,例如中央处理器(CentralProcessing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对网站防护设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及网站防护程序。
在图1所示的网站防护设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明网站防护设备中的处理器1001、存储器1005可以设置在网站防护设备中,所述网站防护设备通过处理器1001调用存储器1005中存储的网站防护程序,并执行本发明实施例提供的网站防护方法。
本发明实施例提供了一种网站防护方法,参照图2,图2为本发明网站防护方法第一实施例的流程示意图。
本实施例中,所述网站防护方法包括以下步骤:
步骤S10:日志分析平台响应于接收到的信息查询指令,提取所述信息查询指令中包含的查询时间参数;
需要说明的是,本实施例方法的执行主体可以是具有日志分析功能的平台,即所述日志分析平台,考虑到ELK日志分析平台在大规模、多维度的日志数据分析中优势明显,本实施例中所述日志分析平台优选为ELK日志分析平台(以下简称ELK平台),此外所述信息查询指令可以由用户手动输入,也可以由预设在ELK平台中的定时任务触发生成;所述查询时间参数即本次信息查询对应的查询时段,例如查询时段为在2018年6月1日12:30-12:35。
可理解的是,所述ELK平台是由Elasticsearch,Logstash,Kibana三种开源工具搭建而成的日志分析系统,其中,Elasticsearch是一个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能;Logstash则主要是用于日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式;Kibana可以为Logstash和ElasticSearch提供的日志分析友好的Web界面,帮助汇总、分析和搜索重要日志数据。
在具体实现中,ELK平台中的Kibana组件在接收到用户输入的信息查询指令时,解析所述信息查询指令,获取指令中携带的查询时间参数。
步骤S20:在预设索引中查找所述查询时间参数对应的目标网站访问日志,从所述目标网站访问日志中提取访问用户对应的访问行为数据;
需要说明的是,ELK平台中的Elasticsearch组件作为一个开源分布式搜索引擎,其具有搜集数据、分析数据以及存储数据的功能,且Elasticsearch组件在存储数据时可以通过数据信息中包含的时间参数,来建立时间参数与待存储的数据信息之间的索引,然后根据建立的索引来对数据信息进行相应保存。
在具体实现中,ELK平台中的Kibana组件在Elasticsearch组件预先建立的索引中查找所述查询时间参数对应的目标网站访问日志,然后从所述目标网站访问日志中提取访问用户对应的访问行为数据。
具体的,ELK平台中的Kibana组件先将所述查询时间参数格式化为ISO8601时间格式的目标查询时间参数,然后在预设索引中查找包含有所述目标查询时间参数的目标网站访问日志,再从所述目标网站访问日志中提取访问用户对应的访问行为数据。所述访问行为数据包括:访问用户的互联网协议(Internet Protocol,IP)地址、登录目标网站时所使用的浏览器的内核版本、目标网站对应的访问域名以及网页信息、对目标网站的访问次数、访问频率、页面返回时间、用户输入的访问参数或浏览时的操作痕迹等。
步骤S30:根据所述访问行为数据检测所述访问用户是否存在异常访问行为,若存在则按预设封堵策略对所述访问用户进行访问封堵。
需要说明的是,所述预设封堵策略可以是预先编写的对异常访问用户进行访问封堵的方式或手段(例如:在用户的访问频率高于某一阈值时,将访问用户对应的IP地址加入黑名单并设置相应的加入时长,或者在用户输入的访问参数中携带SQL注入时,禁止用户登录目标网站等),所述访问封堵可以是禁止用户登录目标网站、拒绝响应用户发送的网站访问请求或阻止用户对目标网站上的某些功能进行使用等操作。
在具体实现中,ELK平台中的Kibana组件先根据获取到的访问行为数据检测访问用户是否存在异常访问行为,若存在则按照预先设定的封堵策略对访问用户进行访问封堵,禁止访问用户对目标网站的恶意访问。
本实施例日志分析平台响应于接收到的信息查询指令,提取信息查询指令中包含的查询时间参数;在预设索引中查找查询时间参数对应的目标网站访问日志,从目标网站访问日志中提取访问用户对应的访问行为数据;根据访问行为数据检测访问用户是否存在异常访问行为,若存在则按预设封堵策略对访问用户进行访问封堵,由于是日志分析平台根据用户的访问行为数据来进行判定用户访问是否为异常访问,从而避免了通过制定访问规则或防火墙策略引起的正常访问请求被误报或异常访问请求被漏报情况的发生,提高了网站防护的灵活性和适应及防入侵能力,保障了网站的信息安全及结构安全。
参考图3,图3为本发明网站防护方法第二实施例的流程示意图。
基于上述第一实施例,在本实施例中,所述步骤S30包括:
步骤S301:根据所述访问行为数据,检测所述访问用户在预设时段内对目标网站的访问次数是否超过预设次数;和/或所述访问用户输入的访问参数中是否携带SQL注入;
需要说明的是,通常情况下正常用户在会网站进行访问时,短时间内其访问网站上某一页面的频率或次数都相对较低,且其输入的访问参数中一般不会携带SQL注入,因此本实施例通过检测用户是否存在以上两种访问操作来判断访问用户是否存在异常访问行为。
应理解的是,所谓SQL注入(SQL Inject),就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
在具体实现中,ELK平台中的Kibana组件可根据获取到的访问行为数据,提取所述访问行为数据中包含的,访问用户在预设时段内对目标网站的访问次数是否超过预设次数,例如在5分钟内,访问用户对应的IP地址对目标网站某一页面的访问次数是否超过500次;当然所述Kibana组件也可根据所述访问行为数据检测访问用户输入的访问参数中是否携带SQL注入。
步骤S302:若所述访问用户在预设时间范围内对目标网站的访问次数超过预设次数;和/或所述访问用户输入的访问参数中携带SQL注入时,判定所述访问用户存在异常访问行为;
在具体实现中,Kibana组件在检测到访问用户在预设时间范围内对目标网站或目标网站的某一页面的访问次数超过预设次数;和/或访问用户对目标网站或目标网站的某一页面的访问频率超过预设频率;和/或访问用户输入的访问参数中携带SQL注入时,即可判定访问用户存在异常访问行为。
步骤S303:在所述访问用户存在异常访问行为时,按预设封堵策略对所述访问用户进行访问封堵。
在具体实现中,Kibana组件在检测到访问用户存在异常访问行为时,查询所述访问用户对应的IP地址是否存在于预设数据库中;若不存在,则将所述IP地址添加至所述预设数据库以禁止所述访问用户通过所述IP地址访问所述目标网站,并将所述IP地址对应的封堵时长设置为第一预设数值;若存在则检测所述IP地址被添加至所述预设数据库中时对应的添加时间是否属于当日时间;若不属于,则将所述IP地址对应的封堵时长设置为第二预设数值。其中,所述预设数据库即用来存放异常访问用户对应的IP地址的黑名单数据库;所述第二预设数值=所述第一预设数值+预设时长(例如24小时)。
此处结合具体例子来对本实施例进行说明,例如:ELK平台中的Kibana组件在检测到访问用户A在5分钟内通过IP地址“58.19.103.179”对网站B的访问次数高达600次,超过了预先设定的正常/异常访问的标准次数500次,则判定该访问用户A存在异常访问行为,又例如ELK平台中的Kibana组件在检测到访问用户A输入的访问参数中携带有SQL注入,也可以判定该访问用户A存在异常访问行为。
当ELK平台中的Kibana组件在检测到访问用户A存在异常访问行为时,可先在预设数据库(即黑名单数据库)中查询IP地址“58.19.103.179”是否存在于其中,若存在则继续检测该IP地址在黑名单数据库中当天是否更新过(即该IP地址是否为当天被添加至所述黑名单数据库中);若未更新过,则将该IP地址在原有的封堵时间基础上,再增加一天封堵天数;若有更新过,则不进行操作;若不存在,则将该IP地址添加至所述黑名单数据库中,并设置封堵时间为一天。
当然,ELK平台中的Kibana组件还可以对黑名单数据库进行信息维护,例如,Kibana组件定时对黑名单数据库进行IP地址更新检测,在检测到黑名单数据中的IP地址超过预设时长(24小时)未更新,则将该IP地址对应的封堵天数减少一天。
本实施例日志分析平台根据访问行为数据,检测访问用户在预设时段内对目标网站的访问次数是否超过预设次数;和/或访问用户输入的访问参数中是否携带SQL注入;若访问用户在预设时间范围内对目标网站的访问次数超过预设次数;和/或访问用户输入的访问参数中携带SQL注入时,判定访问用户存在异常访问行为;在访问用户存在异常访问行为时,按预设封堵策略对访问用户进行访问封堵,从而能够高效准确地对网站进行安全防护,保证网站良好运行。
参考图4,图4为本发明网站防护方法第三实施例的流程示意图。
基于上述各实施例,在本实施例中,所述步骤S10之前,所述方法还包括:
步骤S01:预设消息集群从Nginx服务器中读取所述访问用户对所述目标网站进行访问时的用户访问日志;
需要说明的是,所述预设消息集群可以是具有高性能、高可靠以及高实时等优点的分布式开源消息中间件或服务器集群,例如RocketMQ集群或kafka集群等。在实际应用中,所述预设消息集群可通过生产者(Producer)对获取到的消息分类存储得到消息队列,然后由消费者(Consumer)根据消息队列进行消息的顺序消费,且消费者在对消息进行消费时可通过与消息集群建立长连接的方式,不断地从集群中拉取消息然后对这些消息进行消费。
进一步地,考虑到kafka作为一种高吞吐量的分布式发布订阅消息系统,其目的是通过Hadoop的并行加载机制来统一线上和离线的消息处理,即通过集群来提供实时的消息,本实施例中所述预设消息集群优选为kafka集群。
应理解的是,Nginx是一种高性能的超文本传输协议(HyperText TransferProtocol,HTTP)和反向代理服务器,其特点是占有内存少,并发能力强,在本实施例中工作人员可在对外网提供服务的Nginx应用或服务器中通过添加预先编写好的lua(一种脚本语言)插件来获取访问用户对目标网站进行访问时的用户访问日志,以实现将访问用户真实的访问信息实时传输到所述预设消息集群。
具体的,所述lua插件在访问用户通过Nginx服务器进行网站访问时记录用户的访问信息,从访问信息中提取出访问字段(即所述用户访问日志)然后将提取出的访问字段发送至预设消息集群。
步骤S02:所述日志分析平台获取所述用户访问日志,对所述用户访问日志进行格式化处理获得网站访问日志;
在具体实现中,日志分析平台中的Logstash组件向预设消息集群Kafka发送消息拉取请求获取所述用户访问日志,然后对所述用户访问日志进行格式化处理,得到所述访问用户对应的网站访问日志。具体的,所述日志分析平台向所述预设消息集群发送消息拉取请求,获取所述预设消息集群基于所述消息拉取请求反馈的消息消费序列;根据所述消息消费序列从所述预设消息集群中获取所述用户访问日志,将所述用户访问日志中包含的原始时间参数格式化为ISO8601时间格式的时间参数,获得网站访问日志,例如将北京时间2018年5月11日下午4点30分30秒,转换成ISO8601时间格式的时间参数则为:2018-05-11T16:30:30+08:00或20180511T163030+08。
步骤S03:所述日志分析平台提取所述网站访问日志中包含的时间参数,并根据所述时间参数建立时间参数与网站访问日志之间的索引。
在具体实现中,日志分析平台中的Elasticsearch组件从所述Logstash组件中获取网站访问日志,然后提取所述网站访问日志中包含的时间参数,再在本地数据库中查询是否存在包含有所述时间参数的目标索引;若不存在,则根据所述时间参数建立所述时间参数与所述网站访问日志之间的索引;若存在,则直接将所述网站访问日志保存至所述目标索引对应的存储区域,以便于后续通过Kibana组件来根据所述网站访问日志对访问用户进行访问检测。
本实施例预设消息集群从Nginx服务器中读取访问用户对目标网站进行访问时的用户访问日志;日志分析平台获取用户访问日志,对用户访问日志进行格式化处理获得网站访问日志,提取网站访问日志中包含的时间参数,并根据时间参数建立时间参数与网站访问日志之间的索引,实现了对用户访问日志的实时获取,进一步提高了网站防护的效率。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有网站防护程序,所述网站防护程序被处理器执行时实现如上文所述的网站防护方法的步骤。
参照图5,图5为本发明网站防护装置第一实施例的结构框图。
如图5所示,本发明实施例提出的网站防护装置包括:指令响应模块501、数据获取模块502和行为检测模块503;
所述指令响应模块501,用于响应于接收到的信息查询指令,提取所述信息查询指令中包含的查询时间参数;
需要说明的是,所述信息查询指令可以由用户手动输入,也可以由预设在网站防护装置中的定时任务触发生成;所述查询时间参数即本次信息查询对应的查询时段,例如查询时段为在2018年6月1日12:30-12:35。
在具体实现中,指令响应模块501在接收到用户输入的信息查询指令时,解析所述信息查询指令,获取指令中携带的查询时间参数。
所述数据获取模块502,用于在预设索引中查找所述查询时间参数对应的目标网站访问日志,从所述目标网站访问日志中提取访问用户对应的访问行为数据;
在具体实现中,数据获取模块502在预先建立的索引中查找所述查询时间参数对应的目标网站访问日志,然后从所述目标网站访问日志中提取访问用户对应的访问行为数据。
具体的,数据获取模块502先将所述查询时间参数格式化为ISO8601时间格式的目标查询时间参数,然后在预设索引中查找包含有所述目标查询时间参数的目标网站访问日志,再从所述目标网站访问日志中提取访问用户对应的访问行为数据。所述访问行为数据包括:访问用户的互联网协议(Internet Protocol,IP)地址、登录目标网站时所使用的浏览器的内核版本、目标网站对应的访问域名以及网页信息、对目标网站的访问次数、访问频率、页面返回时间、用户输入的访问参数或浏览时的操作痕迹等。
所述行为检测模块503,用于根据所述访问行为数据检测所述访问用户是否存在异常访问行为,若存在则按预设封堵策略对所述访问用户进行访问封堵。
需要说明的是,所述预设封堵策略可以是预先编写的对异常访问用户进行访问封堵的方式或手段(例如:在用户的访问频率高于某一阈值时,将访问用户对应的IP地址加入黑名单并设置相应的加入时长,或者在用户输入的访问参数中携带SQL注入时,禁止用户登录目标网站等),所述访问封堵可以是禁止用户登录目标网站、拒绝响应用户发送的网站访问请求或阻止用户对目标网站上的某些功能进行使用等操作。
在具体实现中,行为检测模块503先根据获取到的访问行为数据检测访问用户是否存在异常访问行为,若存在则按照预先设定的封堵策略对访问用户进行访问封堵,禁止访问用户对目标网站的恶意访问。
本实施例网站防护装置响应于接收到的信息查询指令,提取信息查询指令中包含的查询时间参数;在预设索引中查找查询时间参数对应的目标网站访问日志,从目标网站访问日志中提取访问用户对应的访问行为数据;根据访问行为数据检测访问用户是否存在异常访问行为,若存在则按预设封堵策略对访问用户进行访问封堵,由于是日志分析平台根据用户的访问行为数据来进行判定用户访问是否为异常访问,从而避免了通过制定访问规则或防火墙策略引起的正常访问请求被误报或异常访问请求被漏报情况的发生,提高了网站防护的灵活性和适应及防入侵能力,保障了网站的信息安全及结构安全。
基于本发明上述网站防护装置第一实施例,提出本发明网站防护装置的第二实施例。
在本实施例中,所述行为检测模块503,还用于根据所述访问行为数据,检测所述访问用户在预设时段内对目标网站的访问次数是否超过预设次数;和/或所述访问用户输入的访问参数中是否携带SQL注入;若所述访问用户在预设时间范围内对目标网站的访问次数超过预设次数;和/或所述访问用户输入的访问参数中携带SQL注入时,判定所述访问用户存在异常访问行为;在所述访问用户存在异常访问行为时,按预设封堵策略对所述访问用户进行访问封堵。
进一步地,所述行为检测模块503,还用于在所述访问用户存在异常访问行为时,查询所述访问用户对应的互联网协议地址是否存在于预设数据库中;若不存在,则将所述互联网协议地址添加至所述预设数据库以禁止所述访问用户通过所述互联网协议地址访问所述目标网站,并将所述互联网协议地址对应的封堵时长设置为第一预设数值。
进一步地,所述行为检测模块503,还用于在所述访问用户对应的互联网协议地址存在于预设数据库中时,检测所述互联网协议地址被添加至所述预设数据库中时对应的添加时间是否属于当日时间;在所述添加时间不属于当日时间时,将所述互联网协议地址对应的封堵时长设置为第二预设数值。
进一步地,本实施例中所述网站防护装置还包括:预设消息集群,所述预设消息集群,用于从Nginx服务器中读取所述访问用户对所述目标网站进行访问时的用户访问日志,相应地,所述数据获取模块502,还用于获取所述用户访问日志,对所述用户访问日志进行格式化处理获得网站访问日志,提取所述网站访问日志中包含的时间参数,并根据所述时间参数建立时间参数与网站访问日志之间的索引。
进一步地,所述数据获取模块502,还用于向所述预设消息集群发送消息拉取请求,获取所述预设消息集群基于所述消息拉取请求反馈的消息消费序列;根据所述消息消费序列从所述预设消息集群中获取所述用户访问日志,将所述用户访问日志中包含的原始时间参数格式化为ISO8601时间格式的时间参数,获得网站访问日志。
进一步地,所述数据获取模块502,还用于提取所述网站访问日志中包含的时间参数,在本地数据库中查询是否存在包含有所述时间参数的目标索引;若不存在,则根据所述时间参数建立所述时间参数与所述网站访问日志之间的索引。
本发明网站防护装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种网站防护方法,其特征在于,所述方法包括:
日志分析平台响应于接收到的信息查询指令,提取所述信息查询指令中包含的查询时间参数;
在预设索引中查找所述查询时间参数对应的目标网站访问日志,从所述目标网站访问日志中提取访问用户对应的访问行为数据;
根据所述访问行为数据检测所述访问用户是否存在异常访问行为,若存在则按预设封堵策略对所述访问用户进行访问封堵;
其中,所述日志分析平台响应于接收到的信息查询指令,提取所述信息查询指令中包含的查询时间参数的步骤之前,所述方法还包括:
预设消息集群通过预先设置在Nginx服务器中的lua插件从Nginx服务器中读取所述访问用户对目标网站进行访问时的用户访问日志,所述预设消息集群为分布式开源消息中间件或服务器集群;
所述日志分析平台获取所述用户访问日志,对所述用户访问日志进行格式化处理获得网站访问日志;
所述日志分析平台提取所述网站访问日志中包含的时间参数,并根据所述时间参数建立时间参数与网站访问日志之间的索引。
2.如权利要求1所述的方法,其特征在于,所述根据所述访问行为数据检测所述访问用户是否存在异常访问行为,若存在则按预设封堵策略对所述访问用户进行访问封堵的步骤包括:
根据所述访问行为数据,检测所述访问用户在预设时段内对目标网站的访问次数是否超过预设次数;和/或所述访问用户输入的访问参数中是否携带SQL注入;
若所述访问用户在预设时间范围内对目标网站的访问次数超过预设次数;和/或所述访问用户输入的访问参数中携带SQL注入时,判定所述访问用户存在异常访问行为;
在所述访问用户存在异常访问行为时,按预设封堵策略对所述访问用户进行访问封堵。
3.如权利要求2所述的方法,其特征在于,所述在所述访问用户存在异常访问行为时,按预设封堵策略对所述访问用户进行访问封堵的步骤,包括:
在所述访问用户存在异常访问行为时,查询所述访问用户对应的互联网协议地址是否存在于预设数据库中;
若不存在,则将所述互联网协议地址添加至所述预设数据库以禁止所述访问用户通过所述互联网协议地址访问所述目标网站,并将所述互联网协议地址对应的封堵时长设置为第一预设数值。
4.如权利要求3所述的方法,其特征在于,所述在所述访问用户存在异常访问行为时,查询所述访问用户对应的互联网协议地址是否存在于预设数据库中的步骤之后,所述方法还包括:
若存在,则检测所述互联网协议地址被添加至所述预设数据库中时对应的添加时间是否属于当日时间;
若不属于,则将所述互联网协议地址对应的封堵时长设置为第二预设数值。
5.如权利要求1所述的方法,其特征在于,所述日志分析平台获取所述用户访问日志,对所述用户访问日志进行格式化处理获得网站访问日志的步骤,包括:
所述日志分析平台向所述预设消息集群发送消息拉取请求,获取所述预设消息集群基于所述消息拉取请求反馈的消息消费序列;
所述日志分析平台根据所述消息消费序列从所述预设消息集群中获取所述用户访问日志,将所述用户访问日志中包含的原始时间参数格式化为ISO8601时间格式的时间参数,获得网站访问日志。
6.如权利要求5所述的方法,其特征在于,所述日志分析平台提取所述网站访问日志中包含的时间参数,并根据所述时间参数建立时间参数与网站访问日志之间的时间索引的步骤,包括:
所述日志分析平台提取所述网站访问日志中包含的时间参数,在本地数据库中查询是否存在包含有所述时间参数的目标索引;
若不存在,则根据所述时间参数建立所述时间参数与所述网站访问日志之间的索引。
7.一种网站防护装置,其特征在于,所述装置包括:指令响应模块、数据获取模块和行为检测模块;
所述指令响应模块,用于响应于接收到的信息查询指令,提取所述信息查询指令中包含的查询时间参数;
所述数据获取模块,用于在预设索引中查找所述查询时间参数对应的目标网站访问日志,从所述目标网站访问日志中提取访问用户对应的访问行为数据;
所述行为检测模块,用于根据所述访问行为数据检测所述访问用户是否存在异常访问行为,若存在则按预设封堵策略对所述访问用户进行访问封堵;
所述指令响应模块,还用于预设消息集群通过预先设置在Nginx服务器中的lua插件从Nginx服务器中读取所述访问用户对目标网站进行访问时的用户访问日志,所述预设消息集群为分布式开源消息中间件或服务器集群;日志分析平台获取所述用户访问日志,对所述用户访问日志进行格式化处理获得网站访问日志;所述日志分析平台提取所述网站访问日志中包含的时间参数,并根据所述时间参数建立时间参数与网站访问日志之间的索引。
8.一种网站防护设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网站防护程序,所述网站防护程序配置为实现如权利要求1至6中任一项所述的网站防护方法的步骤。
9.一种存储介质,其特征在于,所述存储介质上存储有网站防护程序,所述网站防护程序被处理器执行时实现如权利要求1至6任一项所述的网站防护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811047681.1A CN109688097B (zh) | 2018-09-07 | 2018-09-07 | 网站防护方法、网站防护装置、网站防护设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811047681.1A CN109688097B (zh) | 2018-09-07 | 2018-09-07 | 网站防护方法、网站防护装置、网站防护设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109688097A CN109688097A (zh) | 2019-04-26 |
| CN109688097B true CN109688097B (zh) | 2023-03-24 |
Family
ID=66184489
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811047681.1A Active CN109688097B (zh) | 2018-09-07 | 2018-09-07 | 网站防护方法、网站防护装置、网站防护设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109688097B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110210251A (zh) * | 2019-06-17 | 2019-09-06 | 阿里巴巴集团控股有限公司 | 数据查询方法、装置、设备及计算机可读存储介质 |
| CN110650126A (zh) * | 2019-09-06 | 2020-01-03 | 珠海格力电器股份有限公司 | 一种防网站流量攻击方法、装置以及智能终端、存储介质 |
| CN110780983A (zh) * | 2019-09-10 | 2020-02-11 | 中国平安财产保险股份有限公司 | 任务异常处理方法、装置、计算机设备以及存储介质 |
| CN111221722B (zh) * | 2019-09-23 | 2024-01-30 | 平安科技(深圳)有限公司 | 行为检测方法、装置、电子设备及存储介质 |
| CN111162932A (zh) * | 2019-12-12 | 2020-05-15 | 苏州博纳讯动软件有限公司 | 一种基于日志分析的api网关监控方法 |
| CN113037689A (zh) * | 2019-12-24 | 2021-06-25 | 中国移动通信集团河北有限公司 | 基于日志的病毒发现方法、装置、计算设备及存储介质 |
| CN111163097B (zh) * | 2019-12-31 | 2022-03-22 | 新浪网技术(中国)有限公司 | 一种Web应用防火墙的实现系统及方法 |
| CN111597157A (zh) * | 2020-04-08 | 2020-08-28 | 浙江工业大学 | 一种改进日志处理系统架构的方法 |
| CN112291258B (zh) * | 2020-11-12 | 2023-03-21 | 杭州比智科技有限公司 | 网关风险控制方法及装置 |
| CN112688939B (zh) * | 2020-12-23 | 2023-04-11 | 上海欣方智能系统有限公司 | 非法组织信息的确定方法、装置、电子设备及存储介质 |
| CN113301012B (zh) * | 2021-04-13 | 2023-02-24 | 新浪网技术(中国)有限公司 | 一种网络威胁的检测方法、装置、电子设备及存储介质 |
| CN113722479B (zh) * | 2021-08-10 | 2023-12-05 | 深圳开源互联网安全技术有限公司 | 一种日志的检测方法、装置及存储介质 |
| CN114095484B (zh) * | 2021-11-11 | 2024-04-09 | 中国建设银行股份有限公司 | 一种访问参数的处理方法、装置、设备及存储介质 |
| CN114912143B (zh) * | 2022-05-05 | 2023-04-18 | 微神马科技(大连)有限公司 | 一种基于大数据的计算机数据安全评估系统 |
| CN115314252B (zh) * | 2022-07-06 | 2023-06-13 | 北京神州慧安科技有限公司 | 应用于工业防火墙的防护方法、系统、终端及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105282047A (zh) * | 2015-09-25 | 2016-01-27 | 小米科技有限责任公司 | 访问请求处理方法及装置 |
| CN105306465A (zh) * | 2015-10-30 | 2016-02-03 | 新浪网技术(中国)有限公司 | 网站安全访问实现方法及装置 |
| CN106209781A (zh) * | 2016-06-27 | 2016-12-07 | 徐汕 | 一种基于统计学的异常接口访问识别方法 |
| CN107528749A (zh) * | 2017-08-28 | 2017-12-29 | 杭州安恒信息技术有限公司 | 基于云防护日志的网站可用性检测方法、装置及系统 |
| CN108156166A (zh) * | 2017-12-29 | 2018-06-12 | 百度在线网络技术(北京)有限公司 | 异常访问识别和接入控制方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180083990A1 (en) * | 2015-04-20 | 2018-03-22 | John Richard Abe | Network Security Device and Application |
-
2018
- 2018-09-07 CN CN201811047681.1A patent/CN109688097B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105282047A (zh) * | 2015-09-25 | 2016-01-27 | 小米科技有限责任公司 | 访问请求处理方法及装置 |
| CN105306465A (zh) * | 2015-10-30 | 2016-02-03 | 新浪网技术(中国)有限公司 | 网站安全访问实现方法及装置 |
| CN106209781A (zh) * | 2016-06-27 | 2016-12-07 | 徐汕 | 一种基于统计学的异常接口访问识别方法 |
| CN107528749A (zh) * | 2017-08-28 | 2017-12-29 | 杭州安恒信息技术有限公司 | 基于云防护日志的网站可用性检测方法、装置及系统 |
| CN108156166A (zh) * | 2017-12-29 | 2018-06-12 | 百度在线网络技术(北京)有限公司 | 异常访问识别和接入控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109688097A (zh) | 2019-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109688097B (zh) | 网站防护方法、网站防护装置、网站防护设备及存储介质 | |
| US10893068B1 (en) | Ransomware file modification prevention technique | |
| CN113515433B (zh) | 告警日志处理方法、装置、设备及存储介质 | |
| US10581879B1 (en) | Enhanced malware detection for generated objects | |
| CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
| CN107294982B (zh) | 网页后门检测方法、装置及计算机可读存储介质 | |
| US8201243B2 (en) | Backwards researching activity indicative of pestware | |
| CN111651757A (zh) | 攻击行为的监测方法、装置、设备及存储介质 | |
| CN109768992B (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
| CN103428186A (zh) | 一种检测钓鱼网站的方法及装置 | |
| CN105631312B (zh) | 恶意程序的处理方法及系统 | |
| CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
| CN105550593A (zh) | 一种基于局域网的云盘文件监控方法和装置 | |
| CN113810381B (zh) | 一种爬虫检测方法、web应用云防火墙、装置和存储介质 | |
| CN103401845A (zh) | 一种网址安全性的检测方法、装置 | |
| CN115348086B (zh) | 一种攻击防护方法及装置、存储介质及电子设备 | |
| CN111581637B (zh) | Sql注入检测方法、装置、设备及计算机存储介质 | |
| CN112784268A (zh) | 一种主机行为数据的分析方法、装置、设备及存储介质 | |
| CN111885061A (zh) | 一种网络攻击检测方法、装置、设备及介质 | |
| CN102664913B (zh) | 网页访问控制方法和装置 | |
| CN111131166B (zh) | 一种用户行为预判方法及相关设备 | |
| CN115878932A (zh) | 一种网站安全事件的处理方法、装置、设备及介质 | |
| CN116049822A (zh) | 应用程序的监管方法、系统、电子设备及存储介质 | |
| CN113965394B (zh) | 网络攻击信息获取方法、装置、计算机设备和介质 | |
| CN115118481A (zh) | 一种主机信息采集方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |