CN110933069A - 网络防护的方法、装置以及存储介质 - Google Patents
网络防护的方法、装置以及存储介质 Download PDFInfo
- Publication number
- CN110933069A CN110933069A CN201911181713.1A CN201911181713A CN110933069A CN 110933069 A CN110933069 A CN 110933069A CN 201911181713 A CN201911181713 A CN 201911181713A CN 110933069 A CN110933069 A CN 110933069A
- Authority
- CN
- China
- Prior art keywords
- request
- network
- information
- access
- matching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网络防护的方法、装置以及存储介质。其中,该方法包括:接收网络请求,确定网络请求的业务请求顺序,业务请求顺序用于说明访问过程中的访问流程;利用规则引擎将业务请求顺序与预设的规则信息进行匹配,确定不符合规则信息的业务请求顺序所对应的违规网络请求;以及对违规网络请求进行防护。解决了现有技术中存在的网络防护系统缺乏针对业务流请求顺序的防护,因此还存在安全隐患的技术问题。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种网络防护的方法、装置以及存储介质。
背景技术
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
传统防火墙对于3、4层数据进行过滤从而进行访问控制,不对应用层数据进行分析,无法防范大多数的基于Web的攻击。而WAF通过检测应用层的数据来进行访问控制或者对应用进行控制,因此现有的Web应用防火墙产品提供的功能重点关注在网络请求和应用层数据的防护上。但是,现有的网关缺乏对业务流请求顺序的防护,因此很容易受到爬虫技术等网络攻击,存在安全隐患。
针对上述的现有技术中存在的网络防护系统缺乏针对业务流请求顺序的防护,因此还存在安全隐患的技术问题,目前尚未提出有效的解决方案。
发明内容
本公开的实施例提供了一种网络防护的方法、装置以及存储介质,以至少解决现有技术中存在的网络防护系统缺乏针对业务流请求顺序的防护,因此还存在安全隐患的技术问题。
根据本公开实施例的一个方面,提供了一种网络防护的方法,包括:接收网络请求,确定网络请求的业务请求顺序,业务请求顺序用于说明访问过程中的访问流程;利用规则引擎将业务请求顺序与预设的规则信息进行匹配,确定不符合规则信息的业务请求顺序所对应的违规网络请求;以及对违规网络请求进行防护。
根据本公开实施例的另一个方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时由处理器执行以上任意一项所述的方法。
根据本公开实施例的另一个方面,还提供了一种网络防护的装置,包括:接收模块,用于接收网络请求,确定网络请求的业务请求顺序,业务请求顺序用于说明访问过程中的访问流程;第一匹配模块,用于利用规则引擎将业务请求顺序与预设的规则信息进行匹配,确定不符合规则信息的业务请求顺序所对应的违规网络请求;以及防护模块,用于对违规网络请求进行防护。
根据本公开实施例的另一个方面,还提供了一种网络防护的装置,包括:处理器;以及存储器,与处理器连接,用于为处理器提供处理以下处理步骤的指令:接收网络请求,确定网络请求的业务请求顺序,业务请求顺序用于说明访问过程中的访问流程;利用规则引擎将业务请求顺序与预设的规则信息进行匹配,确定不符合规则信息的业务请求顺序所对应的违规网络请求;以及对违规网络请求进行防护。
在本公开实施例中,网关系统首先接收网络请求,然后从网络请求中确定业务请求顺序。进一步地,利用规则引擎将业务请求顺序与预先设定的规则信息进行匹配,确定不符合规则的违规网络请求。最终,对违规网络请求进行防护。从而,实现了针对业务请求顺序对网络请求进行防护的技术效果,解决了现有技术中存在的网络防护系统缺乏针对业务流请求顺序的防护,因此还存在安全隐患的技术问题。
附图说明
此处所说明的附图用来提供对本公开的进一步理解,构成本申请的一部分,本公开的示意性实施例及其说明用于解释本公开,并不构成对本公开的不当限定。在附图中:
图1是用于实现根据本公开实施例1所述的方法的计算设备的硬件结构框图;
图2是根据本公开实施例1的第一个方面所述的网络防护的方法的流程示意图;
图3是根据本公开实施例1所述的网关系统结构的示意图;
图4是根据本公开实施例2所述的网络防护的装置的示意图;以及
图5是根据本公开实施例3所述的网络防护的装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本公开的技术方案,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本公开一部分的实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本公开保护的范围。
需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
根据本实施例,还提供了一种网络防护的方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的计算设备中执行。图1示出了一种用于实现网络防护的方法的计算设备的硬件结构框图。如图1所示,计算设备可以包括一个或多个处理器(处理器可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器、以及用于通信功能的传输装置。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算设备还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算设备中的其他元件中的任意一个内。如本公开实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器可用于存储应用软件的软件程序以及模块,如本公开实施例中的网络防护的方法对应的程序指令/数据存储装置,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的网络防护的方法。存储器可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至计算设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算设备的通信供应商提供的无线网络。在一个实例中,传输装置包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算设备的用户界面进行交互。
此处需要说明的是,在一些可选实施例中,上述图1所示的计算设备可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是,图1仅为特定具体实例的一个实例,并且旨在示出可存在于上述计算设备中的部件的类型。
在上述运行环境下,根据本实施例的第一个方面,提供了一种网络防护的方法,该方法可应用到网关系统中,并且图2示出了该方法的流程示意图,参考图2所示,该方法包括:
S202:接收网络请求,确定网络请求的业务请求顺序,业务请求顺序用于说明访问过程中的访问流程;
S204:利用规则引擎将业务请求顺序与预设的规则信息进行匹配,确定不符合规则信息的业务请求顺序所对应的违规网络请求;以及
S206:对违规网络请求进行防护。
正如背景技术中所述的,传统防火墙对于3、4层数据进行过滤从而进行访问控制,不对应用层数据进行分析,无法防范大多数的基于Web的攻击。而WAF通过检测应用层的数据来进行访问控制或者对应用进行控制,因此现有的Web应用防火墙产品提供的功能重点关注在网络请求和应用层数据的防护上。但是,现有的网关缺乏对业务流请求顺序的防护,因此很容易受到爬虫技术等网络攻击,存在安全隐患。
针对背景技术中存在的技术问题,本实施例技术方案首先接收网络请求,然后确定网络请求的业务请求顺序,进一步地将业务请求顺序与预先设定的规则信息进行匹配,确定不符合规则的违规网络请求,最终对违规网络请求进行防护。从而,实现了针对业务请求顺序对网络请求进行防护的技术效果,解决了现有技术中存在的网络防护系统缺乏针对业务流请求顺序的防护,因此还存在安全隐患的技术问题。
具体地,在步骤S202中,网关系统首先接收网络请求(例如:HTTP请求),确定网络请求的业务请求顺序。其中,业务请求顺序用于说明访问过程中的访问流程。例如:在一个具体实例中,用户首先访问web应用的首页,然后访问首页中的列表页面,最终根据列表页访问详情页面,其具体的业务请求顺序依次是:主页、列表页、详情页。具体的业务请求顺序与实际的应用场景对应,此处对业务请求顺序不做具体限定。
进一步地,在步骤S204中,网关系统利用规则引擎将业务请求顺序与预设的规则信息进行匹配,确定不符合规则信息的业务请求顺序所对应的违规网络请求。其中,规则信息为预先设定的并且包含多种规则,例如:访问顺序的规则、访问参数的规则、路由信息等规则,此处不作具体限定。在具体应用中,网关系统在接收到网络请求后首先读取规则信息,然后利用规则引擎将网络请求中的业务请求顺序与规则信息进行匹配,将不符合规则信息的业务请求顺序对应的网络请求确定违规网络请求。例如:没有经过列表页直接访问详情页的网络请求为违规网络请求。此外,匹配的方式可以采用精准匹配或者正则匹配等方式,根据实际应用场景定义匹配方式的优先级,选择适当的匹配方式。
最终,在步骤S206中,对违规网络请求进行防护。例如:禁止该网络请求的访问、或者提示用户重新操作。
从而通过这种方式,网关系统首先接收网络请求,然后从网络请求中确定业务请求顺序。进一步地,利用规则引擎将业务请求顺序与预先设定的规则信息进行匹配,确定不符合规则的违规网络请求。最终,对违规网络请求进行防护。从而,实现了针对业务请求顺序对网络请求进行防护的技术效果,解决了现有技术中存在的网络防护系统缺乏针对业务流请求顺序的防护,因此还存在安全隐患的技术问题。
可选地,对违规网络请求进行防护,包括:将违规网络请求发送至蜜罐系统。具体地,对违规网络请求进行防护的操作中,网关系统将违规网络请求发送至蜜罐系统,进而将违规网络请求诱导至其他的主机或者网络服务,给攻击者造成攻击结果假象,增加攻击者成本,保障了本身应用的安全。
可选地,接收网络请求之后,还包括:确定网络请求中包含的参数信息,参数信息包括以下至少一项:请求主机、请求路径、请求协议、请求方法、请求头信息、请求源地址以及请求参数,并对参数信息进行标准化处理。
众所周知的,网络请求中包含了多个参数,在接收到网络请求之后,网关系统对网络请求进行解析确定请求中包含的多个参数信息,例如:请求主机、请求路径、请求协议、请求方法、请求头信息、请求源地址以及请求参数,然后对上述参数信息进行标准化处理,例如:删除空格、大小写统一化处理等。从而,在匹配的过程中可以节省匹配时间,并且提高准确性。
可选地,还包括:将请求参数的数值长度、请求参数的内容范围、请求参数的访问次数以及请求参数的访问频率与规则信息进行匹配,确定违规网络请求。
具体地,在确定违规网络请求的操作中,本技术方案还将请求参数与规则信息进行匹配,匹配的具体操作包括将请求参数的数值长度、请求参数的内容范围、请求参数的访问次数以及请求参数的访问频率与规则信息进行匹配。其中,将请求参数的数值长度与规则信息进行匹配,例如:用户名(请求参数)为11位的手机号,将请求参数的数值长度(即,手机号的位数)与规则信息进行匹配,例如:规则信息中的参数的数值长度规定为11位,则该网络请求正常,若是接收到的网络请求中的用户名不为11位与规则信息不匹配,则判定为违规网络请求。在将请求参数的内容范围与规则信息匹配的过程中,例如:规则信息中规定了手机号的前三位数字有固定的范围,因此将手机号前三位不符合该范围的请求参数对应的网络请求确定为违规网络请求。此外,在匹配的过程中还包括对请求参数的访问次数以及访问频率进行匹配,例如:在一个实例中规则信息中规定了请求参数在一段时间内的访问次数为5次,访问频率为十分钟每次,则将不符合规则信息的请求参数对应的网络请求判定为违规网络请求。从而通过这种方式,网关系统可以针对具体的业务逻辑参数进行防护,并且从请求参数的多个角度判断网络请求是否符合规定,覆盖范围更加广,因此防护效果更加明显。
可选地,还包括:统计预定时间内的访问信息,其中访问信息包括页面输入点个数、页面输入点的输入数据类型以及页面之间转换的时间间隔;根据页面输入点个数、输入数据类型以及时间间隔,建立访问模型,访问模型用于表示正常的访问状态;以及根据访问模型,更新规则信息。
本方案还可以自动的学习更新规则信息。具体地,统计预定时间内(例如:3天)的访问信息,其中访问信息包括输入点个数、输入点对应的输入数据类型以及页面之间转换的时间间隔。其中,输入点为用户在界面的输入位置,例如:用户名、密码、验证码等输入框,输入点数据类型为每个输入点的所输入的数值类型。在一个实施例中,用户名(手机号)的数值类型为数字,密码的数值类型为字母。页面之间的时间间隔为两个页面直接转换的时间,例如:A页面跳转到B页面的时间为0.5秒。
进一步地,根据页面输入点个数、输入数据类型以及时间间隔,建立访问模型。例如:3天接收到的访问信息为10000条,将10000条访问信息建立模型,其中9000条访问信息的输入点个数为3个,则模型中的输入点个数为3个占大部分比例,则3个输入点为正常的访问状态。输入类型和时间间隔的统计方式同理于输入点的统计方式,此处不再赘述。最终,根据创建的模型,更新规则信息,即将模型中占比大的访问状态更新到规则信息中。其中,例如但不限于在网关系统中内嵌Lua语言解析器,从配置文件中读取规则信息和Lua代码,用Lua语言对Web应用程序的请求参数和输出结果做复杂规则处理,从而可以灵活更新规则信息。从而,使得规则信息可以进行不断的完善,并且在更改程序逻辑后,也可以主动学习更新规则信息,保证了网关系统的正常运行,并且节省了大量的资源占用。此外,网关系统还可以自动调整属性阈值,每个运行实例都将调整结果分享到其他所有运行中的服务安全网关,最大化数据样本采样范围。
可选地,还包括:将请求主机、请求路径、请求协议以及请求方法与规则信息中的路由表进行匹配,确定违规网络请求。
具体地,规则信息中还规定了路由表,并且网关系统还利用规则引擎将请求主机、请求路径、请求协议以及请求方法(即,网络请求的路由)与规则信息中的路由表进行匹配,将不符合路由表中不存在的网络请求确定为违规网络请求。从而,可以防止利用路由信息对系统的攻击。
可选地,还包括:将请求源地址与规则信息中的地址名单进行匹配,确定违规网络请求。
具体地,规则信息中还规定了地址名单(IP地址黑名单),利用规则引擎将网络请求中的源地址与规则信息中的IP地址黑名单进行匹配,将位于黑名单的网络请求确定为违规网络请求。从而,可以从IP黑名单的角度完成了对系统的防护。
可选地,还包括:将请求头信息与规则信息中的设备特征库进行匹配,确定违规网络请求。
具体地,规则信息中还规定了设备特征库,网关系统利用规则引擎将网络请求中的请求头信息与规则信息中的设备特征库进行匹配,其中请求信息头包含浏览器头的设备静态信息标识和浏览器计算设备指纹信息的设备动态信息标识,在匹配过程中分别对设备静态信息标识和设备动态信息标识进行匹配,进而确定违规网络请求。从而,可以通过网络请求中的请求头信息,对网络请求进行防护。
可选地,还包括:将请求参数与规则信息中的攻击特征库进行匹配,确定违规网络请求,其中攻击特征库包括脚本攻击特征库、数据库攻击特征库以及恶意代码攻击特征库。
具体地,规则信息中还包含多种攻击特征库,例如:脚本攻击(WebShell)特征库、数据库攻击(sql注入)特征库以及恶意代码(XSS代码)攻击特征库,利用规则引擎将请求参数与攻击特征库进行匹配,确定违规网络请求。从而,可以防止脚本攻击、sql注入攻击以及恶意代码攻击,大大提升了系统的安全性能。
可选地,还包括:将请求参数中包含的上传信息与规则信息中的可上传文件列表进行匹配,确定违规网络请求。
具体地,规则信息中还规定了可上传文件列表,利用规则引擎将网络请求中的上传文件信息与规则信息中的可上传文件列表进行匹配,将可上传列表之外的上传文件信息对应的网络请求确定为违规网络请求。从而,可以防止上传文件的攻击。
可选地,还包括:将请求参数中包含的会话控制信息与规则信息中的会话控制信息进行匹配,确定违规网络请求。
具体地,在系统接收到网络请求后,检查当前请求是否包含Session令牌(即,会话控制信息),如不存在,则生成新的随机Session令牌和业务流次序代码。检查当前请求是否有需要提交的表单,如有需要提交的表单,则在当前响应的表单代码中插入Session令牌值。在接收到的当前请求是表单提交请求,网关系统检查请求头信息中Referer值是否是在规则信息的域名之内,然后检查所提交的表单Session令牌值是否与应用系统服务器中存储的令牌值一致,如网络请求不符合上述的两个规则,则判定为违规网络请求。并且在匹配完成之后更新Session令牌值和业务流次序代码。从而通过这种方式,可以防止CSRF攻击。
此外,图3示出了该网关系统的结构示意图,参考图3所示,该系统包括:反向代理模块,用于接收网络请求并从中确定所包含的各项参数。配置管理,用于存储多种规则信息。规则引擎,用于将网络请求中的各项参数分别与规则信息进行匹配,确定违规网络请求。在匹配完成之后将结果进行保存,并将违规网络请求发送至蜜罐系统,对违规网络请求进行防护。
此外需要补充说明的是,该服务安全网关实例运行占极少的内存,可以为每个需要保护的Web应用程序独立运行一个服务安全网关实例,并且该实例可以在云环境下运行,避免单点故障的产生。此外,在系统启动、进程意外退出时自动重启服务安全网关,因此具有高稳定性的优点。并且,服务安全网关还可以实现热更新机制,在不停机的情况下可对服务安全网关实现升级。在web应用向客户端返回信息时,还对敏感信息进行过滤代替。
此外,参考图1所示,根据本实施例的第二个方面,提供了一种存储介质。所述存储介质包括存储的程序,其中,在所述程序运行时由处理器执行以上任意一项所述的方法。
从而根据本实施例,网关系统首先接收网络请求,然后从网络请求中确定业务请求顺序。进一步地,利用规则引擎将业务请求顺序与预先设定的规则信息进行匹配,确定不符合规则的违规网络请求。最终,将违规网络请求发送至蜜罐系统进行防护。从而,实现了针对业务请求顺序对网络请求进行防护的技术效果。此外,本方案还提供了对其他攻击手段的防护,从而进一步地保证了网关系统的防护性能。解决了现有技术中存在的网络防护系统缺乏针对业务流请求顺序的防护,因此还存在安全隐患的技术问题。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
图4示出了根据本实施例所述的网络防护的装置400,该装置400与根据实施例1的第一个方面所述的方法相对应。参考图4所示,该装置400包括:接收模块410,用于接收网络请求,确定网络请求的业务请求顺序,业务请求顺序用于说明访问过程中的访问流程;第一匹配模块420,用于利用规则引擎将业务请求顺序与预设的规则信息进行匹配,确定不符合规则信息的业务请求顺序所对应的违规网络请求;以及防护模块430,用于对违规网络请求进行防护。
可选地,防护模块430,包括:防护子模块,用于将违规网络请求发送至蜜罐系统。
可选地,装置400还包括:参数分解模块,用于在接收网络请求之后,确定网络请求中包含的参数信息,参数信息包括以下至少一项:请求主机、请求路径、请求协议、请求方法、请求头信息、请求源地址以及请求参数,并对参数信息进行标准化处理。
可选地,装置400还包括:第二匹配模块,用于将请求参数的数值长度、请求参数的内容范围、请求参数的访问次数以及请求参数的访问频率与规则信息进行匹配,确定违规网络请求。
可选地,装置400还包括:统计模块,用于统计预定时间内的访问信息,其中访问信息包括页面输入点个数、页面输入点的输入数据类型以及页面之间转换的时间间隔;建模模块,用于根据页面输入点个数、输入数据类型以及时间间隔,建立访问模型,访问模型用于表示正常的访问状态;以及更新模块,用于根据访问模型,更新规则信息。
可选地,装置400还包括:第三匹配模块,用于将请求主机、请求路径、请求协议以及请求方法与规则信息中的路由表进行匹配,确定违规网络请求。
可选地,装置400还包括:第四匹配模块,用于将请求源地址与规则信息中的地址名单进行匹配,确定违规网络请求。
可选地,装置400还包括:第五匹配模块,用于将请求头信息与规则信息中的设备特征库进行匹配,确定违规网络请求。
可选地,装置400还包括:第六匹配模块,用于将请求参数与规则信息中的攻击特征库进行匹配,确定违规网络请求,其中攻击特征库包括脚本攻击特征库、数据库攻击特征库以及恶意代码攻击特征库。
可选地,装置400还包括:第七匹配模块,用于将请求参数中包含的上传信息与规则信息中的可上传文件列表进行匹配,确定违规网络请求。
可选地,装置400还包括:第八匹配模块,用于将请求参数中包含的会话控制信息与规则信息中的会话控制信息进行匹配,确定违规网络请求。
从而根据本实施例,网络防护的装置400首先接收网络请求,然后从网络请求中确定业务请求顺序。进一步地,利用规则引擎将业务请求顺序与预先设定的规则信息进行匹配,确定不符合规则的违规网络请求。最终,将违规网络请求发送至蜜罐系统进行防护。从而,实现了针对业务请求顺序对网络请求进行防护的技术效果。此外,本方案还提供了对其他攻击手段的防护,从而进一步地保证了网关系统的防护性能。解决了现有技术中存在的网络防护系统缺乏针对业务流请求顺序的防护,因此还存在安全隐患的技术问题。
实施例3
图5示出了根据本实施例所述的网络防护的装置500,该装置500与根据实施例1的第一个方面所述的方法相对应。参考图5所示,该装置500包括:处理器510;以及存储器520,与处理器510连接,用于为处理器510提供处理以下处理步骤的指令:接收网络请求,确定网络请求的业务请求顺序,业务请求顺序用于说明访问过程中的访问流程;利用规则引擎将业务请求顺序与预设的规则信息进行匹配,确定不符合规则信息的业务请求顺序所对应的违规网络请求;以及对违规网络请求进行防护。
可选地,对违规网络请求进行防护,包括:将违规网络请求发送至蜜罐系统。
可选地,接收网络请求之后,还包括:确定网络请求中包含的参数信息,参数信息包括以下至少一项:请求主机、请求路径、请求协议、请求方法、请求头信息、请求源地址以及请求参数,并对参数信息进行标准化处理。
可选地,存储器520还用于为处理器510提供处理以下处理步骤的指令:将请求参数的数值长度、请求参数的内容范围、请求参数的访问次数以及请求参数的访问频率与规则信息进行匹配,确定违规网络请求。
可选地,存储器520还用于为处理器510提供处理以下处理步骤的指令:统计预定时间内的访问信息,其中访问信息包括页面输入点个数、页面输入点的输入数据类型以及页面之间转换的时间间隔;根据页面输入点个数、输入数据类型以及时间间隔,建立访问模型,访问模型用于表示正常的访问状态;以及根据访问模型,更新规则信息。
可选地,存储器520还用于为处理器510提供处理以下处理步骤的指令:将请求主机、请求路径、请求协议以及请求方法与规则信息中的路由表进行匹配,确定违规网络请求。
可选地,存储器520还用于为处理器510提供处理以下处理步骤的指令:将请求源地址与规则信息中的地址名单进行匹配,确定违规网络请求。
可选地,存储器520还用于为处理器510提供处理以下处理步骤的指令:将请求头信息与规则信息中的设备特征库进行匹配,确定违规网络请求。
可选地,存储器520还用于为处理器510提供处理以下处理步骤的指令:将请求参数与规则信息中的攻击特征库进行匹配,确定违规网络请求,其中攻击特征库包括脚本攻击特征库、数据库攻击特征库以及恶意代码攻击特征库。
可选地,存储器520还用于为处理器510提供处理以下处理步骤的指令:将请求参数中包含的上传信息与规则信息中的可上传文件列表进行匹配,确定违规网络请求。
可选地,存储器520还用于为处理器510提供处理以下处理步骤的指令:将请求参数中包含的会话控制信息与规则信息中的会话控制信息进行匹配,确定违规网络请求。
从而根据本实施例,网络防护的装置500首先接收网络请求,然后从网络请求中确定业务请求顺序。进一步地,利用规则引擎将业务请求顺序与预先设定的规则信息进行匹配,确定不符合规则的违规网络请求。最终,将违规网络请求发送至蜜罐系统进行防护。从而,实现了针对业务请求顺序对网络请求进行防护的技术效果。此外,本方案还提供了对其他攻击手段的防护,从而进一步地保证了网关系统的防护性能。解决了现有技术中存在的网络防护系统缺乏针对业务流请求顺序的防护,因此还存在安全隐患的技术问题。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种网络防护的方法,应用于应用程序的网关,其特征在于,包括:
接收网络请求,确定所述网络请求的业务请求顺序,所述业务请求顺序用于说明访问过程中的访问流程;
利用规则引擎将所述业务请求顺序与预设的规则信息进行匹配,确定不符合所述规则信息的业务请求顺序所对应的违规网络请求;以及
对所述违规网络请求进行防护。
2.根据权利要求1所述的方法,其特征在于,对所述违规网络请求进行防护,包括:将所述违规网络请求发送至蜜罐系统。
3.根据权利要求2所述的方法,其特征在于,接收所述网络请求之后,还包括:确定所述网络请求中包含的参数信息,所述参数信息包括以下至少一项:请求主机、请求路径、请求协议、请求方法、请求头信息、请求源地址以及请求参数,并对所述参数信息进行标准化处理。
4.根据权利要求3所述的方法,其特征在于,还包括:
将所述请求参数的数值长度、所述请求参数的内容范围、所述请求参数的访问次数以及所述请求参数的访问频率与所述规则信息进行匹配,确定所述违规网络请求。
5.根据权利要求1所述的方法,其特征在于,还包括:
统计预定时间内的访问信息,其中所述访问信息包括页面输入点个数、页面输入点的输入数据类型以及页面之间转换的时间间隔;
根据所述页面输入点个数、所述输入数据类型以及所述时间间隔,建立访问模型,所述访问模型用于表示正常的访问状态;以及
根据所述访问模型,更新所述规则信息。
6.根据权利要求3所述的方法,其特征在于,还包括:将所述请求主机、所述请求路径、所述请求协议以及所述请求方法与所述规则信息中的路由表进行匹配,确定所述违规网络请求。
7.根据权利要求3所述的方法,其特征在于,还包括:将所述请求源地址与所述规则信息中的地址名单进行匹配,确定所述违规网络请求。
8.根据权利要求3所述的方法,其特征在于,还包括:将所述请求头信息与所述规则信息中的设备特征库进行匹配,确定所述违规网络请求。
9.根据权利要求3所述的方法,其特征在于,还包括:将所述请求参数与所述规则信息中的攻击特征库进行匹配,确定所述违规网络请求,其中所述攻击特征库包括脚本攻击特征库、数据库攻击特征库以及恶意代码攻击特征库。
10.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时由处理器执行权利要求1至9中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911181713.1A CN110933069A (zh) | 2019-11-27 | 2019-11-27 | 网络防护的方法、装置以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911181713.1A CN110933069A (zh) | 2019-11-27 | 2019-11-27 | 网络防护的方法、装置以及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110933069A true CN110933069A (zh) | 2020-03-27 |
Family
ID=69852226
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911181713.1A Pending CN110933069A (zh) | 2019-11-27 | 2019-11-27 | 网络防护的方法、装置以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110933069A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111953668A (zh) * | 2020-07-30 | 2020-11-17 | 中国工商银行股份有限公司 | 网络安全信息处理方法及装置 |
| CN113949560A (zh) * | 2021-10-15 | 2022-01-18 | 海尔数字科技(青岛)有限公司 | 网络安全的识别方法、装置、服务器及存储介质 |
| CN114422252A (zh) * | 2022-01-21 | 2022-04-29 | 中国农业银行股份有限公司 | 一种身份认证方法及装置 |
| CN115514548A (zh) * | 2022-09-16 | 2022-12-23 | 北京易诚互动网络技术股份有限公司 | 一种保障互联网应用安全的方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106027577A (zh) * | 2016-08-04 | 2016-10-12 | 四川无声信息技术有限公司 | 一种异常访问行为检测方法及装置 |
| CN107580005A (zh) * | 2017-11-01 | 2018-01-12 | 北京知道创宇信息技术有限公司 | 网站防护方法、装置、网站防护设备及可读存储介质 |
| CN108156141A (zh) * | 2017-12-14 | 2018-06-12 | 北京奇艺世纪科技有限公司 | 一种实时数据识别方法、装置及电子设备 |
| US20190007373A1 (en) * | 2017-06-28 | 2019-01-03 | Sap Se | Web application security with service worker |
| CN109167754A (zh) * | 2018-07-26 | 2019-01-08 | 北京计算机技术及应用研究所 | 一种网络应用层安全防护系统 |
| CN109428870A (zh) * | 2017-08-31 | 2019-03-05 | 阿里巴巴集团控股有限公司 | 基于物联网的网络攻击处理方法、装置及系统 |
| CN110290148A (zh) * | 2019-07-16 | 2019-09-27 | 深圳乐信软件技术有限公司 | 一种web防火墙的防御方法、装置、服务器及存储介质 |
-
2019
- 2019-11-27 CN CN201911181713.1A patent/CN110933069A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106027577A (zh) * | 2016-08-04 | 2016-10-12 | 四川无声信息技术有限公司 | 一种异常访问行为检测方法及装置 |
| US20190007373A1 (en) * | 2017-06-28 | 2019-01-03 | Sap Se | Web application security with service worker |
| CN109428870A (zh) * | 2017-08-31 | 2019-03-05 | 阿里巴巴集团控股有限公司 | 基于物联网的网络攻击处理方法、装置及系统 |
| CN107580005A (zh) * | 2017-11-01 | 2018-01-12 | 北京知道创宇信息技术有限公司 | 网站防护方法、装置、网站防护设备及可读存储介质 |
| CN108156141A (zh) * | 2017-12-14 | 2018-06-12 | 北京奇艺世纪科技有限公司 | 一种实时数据识别方法、装置及电子设备 |
| CN109167754A (zh) * | 2018-07-26 | 2019-01-08 | 北京计算机技术及应用研究所 | 一种网络应用层安全防护系统 |
| CN110290148A (zh) * | 2019-07-16 | 2019-09-27 | 深圳乐信软件技术有限公司 | 一种web防火墙的防御方法、装置、服务器及存储介质 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111953668A (zh) * | 2020-07-30 | 2020-11-17 | 中国工商银行股份有限公司 | 网络安全信息处理方法及装置 |
| CN113949560A (zh) * | 2021-10-15 | 2022-01-18 | 海尔数字科技(青岛)有限公司 | 网络安全的识别方法、装置、服务器及存储介质 |
| CN113949560B (zh) * | 2021-10-15 | 2023-10-27 | 卡奥斯数字科技(青岛)有限公司 | 网络安全的识别方法、装置、服务器及存储介质 |
| CN114422252A (zh) * | 2022-01-21 | 2022-04-29 | 中国农业银行股份有限公司 | 一种身份认证方法及装置 |
| CN115514548A (zh) * | 2022-09-16 | 2022-12-23 | 北京易诚互动网络技术股份有限公司 | 一种保障互联网应用安全的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110933069A (zh) | 网络防护的方法、装置以及存储介质 | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| Unger et al. | Shpf: Enhancing http (s) session security with browser fingerprinting | |
| RU2446459C1 (ru) | Система и способ проверки веб-ресурсов на наличие вредоносных компонент | |
| CN107645478B (zh) | 网络攻击防御系统、方法及装置 | |
| EP3641265B1 (en) | Method, apparatus, and network system for identifying website | |
| US20110167474A1 (en) | Systems and methods for mobile application security classification and enforcement | |
| CN111817845B (zh) | 反爬虫方法及计算机存储介质 | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| KR20110124208A (ko) | 네트워크 자원들에 대한 건강 기반 액세스 | |
| CA3159619C (en) | Packet processing method and apparatus, device, and computer-readable storage medium | |
| CN103634786A (zh) | 一种无线网络的安全检测和修复的方法与系统 | |
| US20170032147A1 (en) | Obscuring user web usage patterns | |
| CN109861968A (zh) | 资源访问控制方法、装置、计算机设备及存储介质 | |
| US9608973B2 (en) | Security management system including multiple relay servers and security management method | |
| CN107454040B (zh) | 应用的登录方法和装置 | |
| CN108234516B (zh) | 一种网络泛洪攻击的检测方法及装置 | |
| CN112311722B (zh) | 一种访问控制方法、装置、设备及计算机可读存储介质 | |
| CN110768947B (zh) | 渗透测试的口令发送方法及装置、存储介质、电子装置 | |
| CN113596014A (zh) | 访问漏洞检测方法及其装置、电子设备 | |
| KR101910496B1 (ko) | 광역망 인터넷 프로토콜(wan ip) 검증을 통한 네트워크 기반 프록시 설정 탐지 시스템 및 그를 이용한 유해 사이트 접속 차단 방법 | |
| CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
| CN109302381B (zh) | Radius属性扩展方法、装置、电子设备和计算机可读介质 | |
| CN114244555A (zh) | 一种安全策略的调整方法 | |
| CN107463840B (zh) | 一种基于网站网页名称加密的防御cc攻击的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200327 |
|
| RJ01 | Rejection of invention patent application after publication |