CN110740132A - 一种探测网页应用防火墙的方法与装置 - Google Patents
一种探测网页应用防火墙的方法与装置 Download PDFInfo
- Publication number
- CN110740132A CN110740132A CN201910957821.7A CN201910957821A CN110740132A CN 110740132 A CN110740132 A CN 110740132A CN 201910957821 A CN201910957821 A CN 201910957821A CN 110740132 A CN110740132 A CN 110740132A
- Authority
- CN
- China
- Prior art keywords
- forwarding
- blocking
- response
- time
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0852—Delays
- H04L43/0864—Round trip delays
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种探测网页应用防火墙的方法与装置,包括:向启用了网页应用防火墙的服务器多次发送恶意请求,从服务器接收响应并记录多个阻断时间;向服务器多次发送正常数据包请求,从服务器接收响应并记录多个转发时间;根据多个阻断时间计算阻断时间偏差,并根据多个转发时间计算转发时间偏差;根据多个阻断时间、阻断时间偏差、多个转发时间、和转发时间偏差确定响应边界值;根据响应边界值来确定网页应用防火墙对任意请求执行的是阻断操作还是转发操作。本发明能够有效判断请求数据包是被阻断还是转发,大大提升探测网页应用防火墙的准确性。
Description
技术领域
本发明涉及网络传输领域,更具体地,特别是指一种探测网页应用防火墙的方法与装置。
背景技术
WEB(网页)应用防火墙是通过执行一系列针对HTTP/HTTPS(超文本传输协议/超文本传输安全协议)的安全策略,来专门为WEB应用提供保护的一款产品。WAF(网页应用防火墙)通常通过一组称为过滤规则的正则表达式来区分正常请求和恶意请求,用于阻止攻击者对WEB应用程序的攻击。
目前WAF探测多通过分析服务器响应数据包,如分析响应的HTTP头字段、cookie(网页缓存)字段,或者响应码、响应页面等等。实际上WAF针对恶意请求数据包的处理存在多种方式,包括识别恶意请求后进行阻断处理;针对WEB解析请求数据包时的出错信息隐藏(防止信息泄露),但是并未阻断请求;对请求恶意字段执行删除操作之后转发给WEB服务器。
服务器对于请求数据包处理是转发还是阻断,仅仅通过分析服务器响应数据包,并不能给出一个准确判断,因为不管是WAF拦截了恶意数据还是WEB报错,页面显示出来的响应页面都可能是一样的。
针对现有技术中单凭服务器响应信息无法判断WAF如何处理数据包的问题,目前尚无有效的解决方案。
发明内容
有鉴于此,本发明实施例的目的在于提出一种探测网页应用防火墙的方法与装置,能够有效判断请求数据包是被阻断还是转发,大大提升探测网页应用防火墙的准确性。
基于上述目的,本发明实施例的第一方面提供了一种探测网页应用防火墙的方法,包括执行以下步骤:
向启用了网页应用防火墙的服务器多次发送恶意请求,从服务器接收响应并记录多个阻断时间;
向服务器多次发送正常数据包请求,从服务器接收响应并记录多个转发时间;
根据多个阻断时间计算阻断时间偏差,并根据多个转发时间计算转发时间偏差;
根据多个阻断时间、阻断时间偏差、多个转发时间、和转发时间偏差确定响应边界值;
根据响应边界值来确定网页应用防火墙对任意请求执行的是阻断操作还是转发操作。
在一些实施方式中,根据多个阻断时间计算阻断时间偏差包括:将多个阻断时间的方差或标准差作为阻断时间偏差;根据多个转发时间计算转发时间偏差包括:将多个转发时间的方差或标准差作为转发时间偏差。
在一些实施方式中,根据多个阻断时间、阻断时间偏差、多个转发时间、和转发时间偏差确定响应边界值包括:
将多个阻断时间的最大值或平均值作为统一阻断时间,将多个转发时间的最小值或平均值作为统一转发时间;
将统一阻断时间与阻断时间偏差之和、与统一转发时间与转发时间偏差之和的平均值确定为响应边界值。
在一些实施方式中,根据响应边界值来确定网页应用防火墙对任意请求执行的是阻断操作还是转发操作包括:
确定服务器对任意请求的响应时间;
响应于响应时间大于响应边界值而确定网页应用防火墙执行的是转发操作;
响应于响应时间小于响应边界值而确定网页应用防火墙执行的是阻断操作。
在一些实施方式中,恶意请求和正常数据包请求均具有长统一资源定位符和大数据包。
本发明实施例的第二方面提供了一种探测网页应用防火墙的装置,包括:
处理器;和
存储器,存储有处理器可运行的程序代码,程序代码在被运行时执行以下步骤:
向启用了网页应用防火墙的服务器多次发送恶意请求,从服务器接收响应并记录多个阻断时间;
向服务器多次发送正常数据包请求,从服务器接收响应并记录多个转发时间;
根据多个阻断时间计算阻断时间偏差,并根据多个转发时间计算转发时间偏差;
根据多个阻断时间、阻断时间偏差、多个转发时间、和转发时间偏差确定响应边界值;
根据响应边界值来确定网页应用防火墙对任意请求执行的是阻断操作还是转发操作。
在一些实施方式中,根据多个阻断时间计算阻断时间偏差包括:将多个阻断时间的方差或标准差作为阻断时间偏差;根据多个转发时间计算转发时间偏差包括:将多个转发时间的方差或标准差作为转发时间偏差。
在一些实施方式中,根据多个阻断时间、阻断时间偏差、多个转发时间、和转发时间偏差确定响应边界值包括:
将多个阻断时间的最大值或平均值作为统一阻断时间,将多个转发时间的最小值或平均值作为统一转发时间;
将统一阻断时间与阻断时间偏差之和、与统一转发时间与转发时间偏差之和的平均值确定为响应边界值。
在一些实施方式中,根据响应边界值来确定网页应用防火墙对任意请求执行的是阻断操作还是转发操作包括:
确定服务器对任意请求的响应时间;
响应于响应时间大于响应边界值而确定网页应用防火墙执行的是转发操作;
响应于响应时间小于响应边界值而确定网页应用防火墙执行的是阻断操作。
在一些实施方式中,恶意请求和正常数据包请求均具有长统一资源定位符和大数据包。
本发明具有以下有益技术效果:本发明实施例提供的探测网页应用防火墙的方法与装置,通过向启用了网页应用防火墙的服务器多次发送恶意请求,从服务器接收响应并记录多个阻断时间;向服务器多次发送正常数据包请求,从服务器接收响应并记录多个转发时间;根据多个阻断时间计算阻断时间偏差,并根据多个转发时间计算转发时间偏差;根据多个阻断时间、阻断时间偏差、多个转发时间、和转发时间偏差确定响应边界值;根据响应边界值来确定网页应用防火墙对任意请求执行的是阻断操作还是转发操作的技术方案,能够有效判断请求数据包是被阻断还是转发,大大提升探测网页应用防火墙的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的探测网页应用防火墙的方法的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
基于上述目的,本发明实施例的第一个方面,提出了一种能够有效判断请求数据包是被阻断还是转发的探测网页应用防火墙的方法的一个实施例。图1示出的是本发明提供的探测网页应用防火墙的方法的流程示意图。
所述探测网页应用防火墙的方法,如图1所示,包括执行以下步骤:
步骤S101:向启用了网页应用防火墙的服务器多次发送恶意请求,从服务器接收响应并记录多个阻断时间;
步骤S103:向服务器多次发送正常数据包请求,从服务器接收响应并记录多个转发时间;
步骤S105:根据多个阻断时间计算阻断时间偏差,并根据多个转发时间计算转发时间偏差;
步骤S107:根据多个阻断时间、阻断时间偏差、多个转发时间、和转发时间偏差确定响应边界值;
步骤S109:根据响应边界值来确定网页应用防火墙对任意请求执行的是阻断操作还是转发操作。
现有技术WAF探测多通过分析服务器响应数据包,如分析响应的HTTP头字段、cookie字段,或者响应码、响应页面等等。服务器对于请求数据包处理是转发还是阻断,仅仅通过分析服务器响应数据包,并不能给出一个准确判断,因为不管是WAF拦截了恶意数据还是WEB报错,页面显示出来的响应页面都可能是一样的。本发明提出了一种通过分析服务器针对请求数据包的响应时间的差异探测WAF的方法,可有效判断请求数据包是被阻断还是转发。再结合常见WAF探测方法,可大大提升WAF探测的准确性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。所述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
根据本发明的一些实施例,上述恶意请求可以是易于识别的恶意请求。在一些实施方式中,根据多个阻断时间计算阻断时间偏差包括:将多个阻断时间的方差或标准差作为阻断时间偏差;根据多个转发时间计算转发时间偏差包括:将多个转发时间的方差或标准差作为转发时间偏差。
在一些实施方式中,根据多个阻断时间、阻断时间偏差、多个转发时间、和转发时间偏差确定响应边界值包括:
将多个阻断时间的最大值或平均值作为统一阻断时间,将多个转发时间的最小值或平均值作为统一转发时间;
将统一阻断时间与阻断时间偏差之和、与统一转发时间与转发时间偏差之和的平均值确定为响应边界值。
在一些实施方式中,根据响应边界值来确定网页应用防火墙对任意请求执行的是阻断操作还是转发操作包括:
确定服务器对任意请求的响应时间;
响应于响应时间大于响应边界值而确定网页应用防火墙执行的是转发操作;
响应于响应时间小于响应边界值而确定网页应用防火墙执行的是阻断操作。
在一些实施方式中,恶意请求和正常数据包请求均具有长统一资源定位符和大数据包。
根据本发明实施例公开的方法还可以被实现为由CPU执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被CPU执行时,执行本发明实施例公开的方法中限定的上述功能。上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
下面根据具体实施例进一步阐述本发明的实施方式。
实际中恶意请求被WAF转发给服务器后再响应给客户端所消耗的时间比被WAF阻断后直接反馈给客户端要多的多(以毫秒为单位),即被转发的请求比被阻断的请求耗时更多,通过计算转发请求和阻断请求所消耗的时间,并通过分析处理,即可得到一个响应边界值,大于边界值即为转发请求,反之即为阻断请求。
考虑到不同的场景,系统的响应时间本身存在差异,为提升响应边界值有效性,在执行WAF探测前,需进行模拟学习,确认响应边界值。
(1)阻断时间计算
构造n个包含含恶意负载字符串的请求,如<script>alert(1)</script>,WAF很容易就可以检测到它,并执行拦截。依次向服务器发起请求,得到服务器响应时间集合<Tdn=td1,td2,...tdn>,因为阻断时间相对于转发时间短很多,因此取集合中最大时间作为阻断时间,Td=max{Tdn}。
(2)转发时间计算
一个正常没有添加恶意负载的请求数据包,将顺利通过WAF并被转发给服务器,构造n个正常请求数据包,依次向服务器发起请求,得到服务器响应时间集合<Tpn=tp1,tp2,...tpn>,因为转发时间相对于阻断时间长很多,因此取集合中最小时间作为转发时间,Tp=min{Tpn}。
(3)干扰时间计算
由于网络等因素导致转发时间和阻断时间存在偏差,即存在干扰时间。采用阻断时间计算方法,测得多个阻断时间,计算方差可得到阻断时间偏差deltaTd,采用转发时间计算方法,测得多个转发时间,计算方差可得到转发时间偏差deltaTp。
(4)响应边界值计算
理论上,阻断时间和转发时间均可作为响应边界值,即高于阻断时间的即为转发时间,低于转发时间的即为阻断时间,但考虑到网络本身的一些噪音等因素,阻断时间和转发时间在不同是场景下无法重复使用,所以采用阻断时间和转发时间的均值作为响应边界值,Tf=mean([Td+deltaTd,Tp+deltaTp])。
由此,构造数据包向目标服务器发起请求探测,得到该请求的响应耗时T,若响应耗时Td大于响应边界值Tf,则可以认为WAF针对该请求执行转发操作;若响应耗时Td小于响应边界值Tf,则可以认为WAF针对该请求执行阻断操作。
另外,实际执行WAF探测过程中,由于网络噪声等因素影响,探测得到的网络耗时T有可能非常接近响应边界值Tf,此时既有可能是低噪声环境下的转发请求也有可能是高噪声环境下的阻断请求,在这种情况狂下,为提高探测准确度,需调整探测请求数据包。考虑到当客户端向服务器查询资源时,查询操作将由CPU来处理,查询到的结果的各个部分都会累积到一起,然后一起返回给客户端;因此在构造请求数据包时,选择URL路径中响应内容最大的一个,该请求将占用目标CPU更多的负载,服务器花费更多的时间处理该请求,从而减小网络噪声的影响。同理对于POST请求,可在查询框中提交体量更大的查询,发送包含大主体的POST数据包。请求处理的时间越长,网络噪声导致的负影响就越小。
从上述实施例可以看出,本发明实施例提供的探测网页应用防火墙的方法,通过向启用了网页应用防火墙的服务器多次发送恶意请求,从服务器接收响应并记录多个阻断时间;向服务器多次发送正常数据包请求,从服务器接收响应并记录多个转发时间;根据多个阻断时间计算阻断时间偏差,并根据多个转发时间计算转发时间偏差;根据多个阻断时间、阻断时间偏差、多个转发时间、和转发时间偏差确定响应边界值;根据响应边界值来确定网页应用防火墙对任意请求执行的是阻断操作还是转发操作的技术方案,能够有效判断请求数据包是被阻断还是转发,大大提升探测网页应用防火墙的准确性。
需要特别指出的是,上述探测网页应用防火墙的方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于探测网页应用防火墙的方法也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在所述实施例之上。
基于上述目的,本发明实施例的第二个方面,提出了一种能够有效判断请求数据包是被阻断还是转发的探测网页应用防火墙的装置的一个实施例。探测网页应用防火墙的装置包括:
处理器;和
存储器,存储有处理器可运行的程序代码,程序代码在被运行时执行以下步骤:
向启用了网页应用防火墙的服务器多次发送恶意请求,从服务器接收响应并记录多个阻断时间;
向服务器多次发送正常数据包请求,从服务器接收响应并记录多个转发时间;
根据多个阻断时间计算阻断时间偏差,并根据多个转发时间计算转发时间偏差;
根据多个阻断时间、阻断时间偏差、多个转发时间、和转发时间偏差确定响应边界值;
根据响应边界值来确定网页应用防火墙对任意请求执行的是阻断操作还是转发操作。
在一些实施方式中,根据多个阻断时间计算阻断时间偏差包括:将多个阻断时间的方差或标准差作为阻断时间偏差;根据多个转发时间计算转发时间偏差包括:将多个转发时间的方差或标准差作为转发时间偏差。
在一些实施方式中,根据多个阻断时间、阻断时间偏差、多个转发时间、和转发时间偏差确定响应边界值包括:
将多个阻断时间的最大值或平均值作为统一阻断时间,将多个转发时间的最小值或平均值作为统一转发时间;
将统一阻断时间与阻断时间偏差之和、与统一转发时间与转发时间偏差之和的平均值确定为响应边界值。
在一些实施方式中,根据响应边界值来确定网页应用防火墙对任意请求执行的是阻断操作还是转发操作包括:
确定服务器对任意请求的响应时间;
响应于响应时间大于响应边界值而确定网页应用防火墙执行的是转发操作;
响应于响应时间小于响应边界值而确定网页应用防火墙执行的是阻断操作。
在一些实施方式中,恶意请求和正常数据包请求均具有长统一资源定位符和大数据包。
从上述实施例可以看出,本发明实施例提供的探测网页应用防火墙的装置,通过向启用了网页应用防火墙的服务器多次发送恶意请求,从服务器接收响应并记录多个阻断时间;向服务器多次发送正常数据包请求,从服务器接收响应并记录多个转发时间;根据多个阻断时间计算阻断时间偏差,并根据多个转发时间计算转发时间偏差;根据多个阻断时间、阻断时间偏差、多个转发时间、和转发时间偏差确定响应边界值;根据响应边界值来确定网页应用防火墙对任意请求执行的是阻断操作还是转发操作的技术方案,能够有效判断请求数据包是被阻断还是转发,大大提升探测网页应用防火墙的准确性。
需要特别指出的是,上述探测网页应用防火墙的装置的实施例采用了所述探测网页应用防火墙的方法的实施例来具体说明各模块的工作过程,本领域技术人员能够很容易想到,将这些模块应用到所述探测网页应用防火墙的方法的其他实施例中。当然,由于所述探测网页应用防火墙的方法实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于所述探测网页应用防火墙的装置也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在所述实施例之上。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上所述的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (10)
1.一种探测网页应用防火墙的方法,其特征在于,包括以下步骤:
向启用了网页应用防火墙的服务器多次发送恶意请求,从服务器接收响应并记录多个阻断时间;
向所述服务器多次发送正常数据包请求,从服务器接收响应并记录多个转发时间;
根据所述多个阻断时间计算阻断时间偏差,并根据所述多个转发时间计算转发时间偏差;
根据所述多个阻断时间、所述阻断时间偏差、所述多个转发时间、和所述转发时间偏差确定响应边界值;
根据所述响应边界值来确定所述网页应用防火墙对任意请求执行的是阻断操作还是转发操作。
2.根据权利要求1所述的方法,其特征在于,根据所述多个阻断时间计算所述阻断时间偏差包括:将所述多个阻断时间的方差或标准差作为所述阻断时间偏差;
根据所述多个转发时间计算所述转发时间偏差包括:将所述多个转发时间的方差或标准差作为所述转发时间偏差。
3.根据权利要求1所述的方法,其特征在于,根据所述多个阻断时间、所述阻断时间偏差、所述多个转发时间、和所述转发时间偏差确定所述响应边界值包括:
将所述多个阻断时间的最大值或平均值作为统一阻断时间,将所述多个转发时间的最小值或平均值作为统一转发时间;
将所述统一阻断时间与所述阻断时间偏差之和、与所述统一转发时间与所述转发时间偏差之和的平均值确定为所述响应边界值。
4.根据权利要求1所述的方法,其特征在于,根据所述响应边界值来确定所述网页应用防火墙对任意请求执行的是阻断操作还是转发操作包括:
确定服务器对所述任意请求的响应时间;
响应于所述响应时间大于所述响应边界值而确定所述网页应用防火墙执行的是转发操作;
响应于所述响应时间小于所述响应边界值而确定所述网页应用防火墙执行的是阻断操作。
5.根据权利要求1所述的方法,其特征在于,所述恶意请求和所述正常数据包请求均具有长统一资源定位符和大数据包。
6.一种探测网页应用防火墙的装置,其特征在于,包括:
处理器;和
存储器,存储有处理器可运行的程序代码,所述程序代码在被运行时执行以下步骤:
向启用了网页应用防火墙的服务器多次发送恶意请求,从服务器接收响应并记录多个阻断时间;
向所述服务器多次发送正常数据包请求,从服务器接收响应并记录多个转发时间;
根据所述多个阻断时间计算阻断时间偏差,并根据所述多个转发时间计算转发时间偏差;
根据所述多个阻断时间、所述阻断时间偏差、所述多个转发时间、和所述转发时间偏差确定响应边界值;
根据所述响应边界值来确定所述网页应用防火墙对任意请求执行的是阻断操作还是转发操作。
7.根据权利要求6所述的装置,其特征在于,根据所述多个阻断时间计算所述阻断时间偏差包括:将所述多个阻断时间的方差或标准差作为所述阻断时间偏差;
根据所述多个转发时间计算所述转发时间偏差包括:将所述多个转发时间的方差或标准差作为所述转发时间偏差。
8.根据权利要求6所述的装置,其特征在于,根据所述多个阻断时间、所述阻断时间偏差、所述多个转发时间、和所述转发时间偏差确定所述响应边界值包括:
将所述多个阻断时间的最大值或平均值作为统一阻断时间,将所述多个转发时间的最小值或平均值作为统一转发时间;
将所述统一阻断时间与所述阻断时间偏差之和、与所述统一转发时间与所述转发时间偏差之和的平均值确定为所述响应边界值。
9.根据权利要求6所述的装置,其特征在于,根据所述响应边界值来确定所述网页应用防火墙对任意请求执行的是阻断操作还是转发操作包括:
确定服务器对所述任意请求的响应时间;
响应于所述响应时间大于所述响应边界值而确定所述网页应用防火墙执行的是转发操作;
响应于所述响应时间小于所述响应边界值而确定所述网页应用防火墙执行的是阻断操作。
10.根据权利要求6所述的装置,其特征在于,所述恶意请求和所述正常数据包请求均具有长统一资源定位符和大数据包。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910957821.7A CN110740132A (zh) | 2019-10-10 | 2019-10-10 | 一种探测网页应用防火墙的方法与装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910957821.7A CN110740132A (zh) | 2019-10-10 | 2019-10-10 | 一种探测网页应用防火墙的方法与装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110740132A true CN110740132A (zh) | 2020-01-31 |
Family
ID=69268633
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910957821.7A Pending CN110740132A (zh) | 2019-10-10 | 2019-10-10 | 一种探测网页应用防火墙的方法与装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110740132A (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104092665A (zh) * | 2014-06-19 | 2014-10-08 | 小米科技有限责任公司 | 访问请求过滤方法、装置及设备 |
CN106656920A (zh) * | 2015-10-30 | 2017-05-10 | 北京国双科技有限公司 | Http服务的处理方法及装置 |
US20180278581A1 (en) * | 2008-06-20 | 2018-09-27 | Arrayent, Inc. | Wireless Internet Product System |
-
2019
- 2019-10-10 CN CN201910957821.7A patent/CN110740132A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180278581A1 (en) * | 2008-06-20 | 2018-09-27 | Arrayent, Inc. | Wireless Internet Product System |
CN104092665A (zh) * | 2014-06-19 | 2014-10-08 | 小米科技有限责任公司 | 访问请求过滤方法、装置及设备 |
CN106656920A (zh) * | 2015-10-30 | 2017-05-10 | 北京国双科技有限公司 | Http服务的处理方法及装置 |
Non-Patent Citations (1)
Title |
---|
BACKCOVER7: "通过基于时间的侧信道攻击识别WAF规则", 《HTTPS://XZ.ALIYUN.COM/T/6175?PAGE=1》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11736499B2 (en) | Systems and methods for detecting injection exploits | |
US9900344B2 (en) | Identifying a potential DDOS attack using statistical analysis | |
US10326790B2 (en) | Reverse proxy computer: deploying countermeasures in response to detecting an autonomous browser executing on a client computer | |
US8515918B2 (en) | Method, system and computer program product for comparing or measuring information content in at least one data stream | |
Borders et al. | Quantifying information leaks in outbound web traffic | |
US9462009B1 (en) | Detecting risky domains | |
EP3026864B1 (en) | Method and device for identifying bot access | |
US9509714B2 (en) | Web page and web browser protection against malicious injections | |
US10944784B2 (en) | Identifying a potential DDOS attack using statistical analysis | |
US10771500B2 (en) | System and method of determining DDOS attacks | |
US7958559B2 (en) | Method, device and computer program product for determining a malicious workload pattern | |
US8166544B2 (en) | Network-based infection detection using host slowdown | |
EP3127301A1 (en) | Using trust profiles for network breach detection | |
CN105592017B (zh) | 跨站脚本攻击的防御方法及系统 | |
US20200134175A1 (en) | Chain of events representing an issue based on an enriched representation | |
JP2019523584A (ja) | ネットワーク攻撃防御システムおよび方法 | |
US20190044965A1 (en) | Systems and methods for discriminating between human and non-human interactions with computing devices on a computer network | |
JP2009223375A (ja) | 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム | |
US11451563B2 (en) | Dynamic detection of HTTP-based DDoS attacks using estimated cardinality | |
Khattak et al. | BotFlex: A community-driven tool for botnet detection | |
US11303670B1 (en) | Pre-filtering detection of an injected script on a webpage accessed by a computing device | |
US11063975B2 (en) | Malicious content detection with retrospective reporting | |
KR20150133370A (ko) | 웹서비스 접속제어 시스템 및 방법 | |
Catillo et al. | Measurement-based analysis of a DoS defense module for an open source web server | |
US20140101767A1 (en) | Systems and methods for testing and managing defensive network devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200131 |
|
RJ01 | Rejection of invention patent application after publication |