CN111193700B - 一种安全防护方法、安全防护装置和存储介质 - Google Patents

一种安全防护方法、安全防护装置和存储介质 Download PDF

Info

Publication number
CN111193700B
CN111193700B CN201910796201.XA CN201910796201A CN111193700B CN 111193700 B CN111193700 B CN 111193700B CN 201910796201 A CN201910796201 A CN 201910796201A CN 111193700 B CN111193700 B CN 111193700B
Authority
CN
China
Prior art keywords
resource access
access request
request
preset
character unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910796201.XA
Other languages
English (en)
Other versions
CN111193700A (zh
Inventor
洪旭升
胡珀
马松松
陈剑
胡享梅
唐文辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201910796201.XA priority Critical patent/CN111193700B/zh
Publication of CN111193700A publication Critical patent/CN111193700A/zh
Application granted granted Critical
Publication of CN111193700B publication Critical patent/CN111193700B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例公开了一种安全防护方法、安全防护装置和存储介质;本发明实施例可以获取资源访问请求,当所述资源访问请求不为预设请求时,对所述资源访问请求进行解析,得到解析内容,所述解析内容包括字符单元,获取所述字符单元的属性信息,对所述属性信息进行安全校验,当校验不通过时,拒绝响应资源访问请求。该方案可以降低资源消耗。

Description

一种安全防护方法、安全防护装置和存储介质
技术领域
本发明涉及通信技术领域,具体涉及一种安全防护方法、安全防护装置和存储介质。
背景技术
随着通信技术和互联网技术的不断发展,万维网应用越来越丰富,但同时万维网服务器以其强大的计算能力、处理性能及蕴含的较高价值也逐渐成为主要攻击目标,网页篡改、网页挂马等安全事件频繁发生。为了能够解决万维网应用安全问题,相关技术中提供了一种入侵防御系统(Web Application Firewall,WAF)。
现有的WAF系统中,当处理大量的访问请求时,为了保证性能,通常需要耗费大量的服务器资源来提供支撑,导致WAF系统对服务器资源的占用率较高,进而影响其他业务对服务器资源的正常使用。
发明内容
本发明实施例提供一种安全防护方法、安全防护装置和存储介质,可以降低资源消耗。
本发明实施例提供一种安全防护方法,包括:
获取资源访问请求,当所述资源访问请求不为预设请求时,对所述资源访问请求进行解析,得到解析内容,所述解析内容包括字符单元;
获取所述字符单元的属性信息,对所述属性信息进行安全校验,当校验不通过时,拒绝响应所述资源访问请求。
相应的,本发明实施例还提供一种安全防护装置,包括:
解析单元,用于获取资源访问请求,当所述资源访问请求不为预设请求时,对所述资源访问请求进行解析,得到解析内容,所述解析内容包括字符单元;
校验单元,用于获取所述字符单元的属性信息,对所述属性信息进行安全校验,当校验不通过时,拒绝响应所述资源访问请求。
可选的,在一些实施例中,还包括统计单元和形成单元,
所述统计单元具体可以用于:对预设时间内正常访问的资源访问请求进行统计分析,得到统计结果;
所述形成单元具体可以用于:基于所述统计结果确定出带有标识的预设请求,将带有标识的预设请求形成预设请求集合。
可选的,在一些实施例中,所述形成单元,具体可以用于:
获取所述统计结果的参数格式,将带有所述参数格式的预设请求形成请求集合。
可选的,在一些实施例中,所述解析单元包括匹配单元和解析子单元,所述配单元具体可以用于:将所述资源访问请求与所述预设请求集合中预设请求进行匹配;
所述解析子单元具体可以用于:若所述资源访问请求与所述预设请求集合中的预设请求不匹配时,则所述资源访问请求进行解析。
可选的,在一些实施例中,所述解析子单元,具体可以用于:
对所述资源访问的请求参数进行参数拆解处理,得到参数值;
对所述参数值中经过编码的字符参数进行解码处理,得到解析内容。
可选的,在一些实施例中,所述校验单元,具体可以用于:
提取字符单元的长度和字符单元类型;
将所述字符单元的长度和字符单元类型与预设规则进行匹配;
若所述字符单元的长度和字符单元类型与所述预设规则匹配,则通过安全校验;
若所述字符单元的长度和字符单元类型与所述预设规则不匹配,则不通过安全校验。
可选的,在一些实施例中,所述解析单元包括获取子单元,所述获取子单元具体可以用于:
获取资源访问请求的参数数据,其中,所述参数数据包括所述资源访问请求对应的地址。
可选的,在一些实施例中,所述校验单元还包括执行子单元,具体可以用于:
对校验不通过的资源访问请求对应的地址进行屏蔽,通过屏蔽校验不通过的资源访问请求对应的地址实现拒绝响应校验不通过的资源访问请求。
相应的,本发明实施例还提供一种存储介质,所述存储介质存储有指令,所述指令被处理器执行时实现本发明实施例任一提供的方法中的步骤。
本发明实施例可以获取资源访问请求,当所述资源访问请求不为预设请求时,对所述资源访问请求进行解析,得到解析内容,所述解析内容包括字符单元,获取所述属性信息,对所述字符单元的属性信息进行安全校验,当校验不通过时,拒绝响应所述资源访问请求。本发明实施例可以降低资源消耗。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的安全防护系统的结构示意图。
图2是本发明实施例提供的安全防护系统的流程意图;
图3是本发明实施例提供的安全防护系统的另一个流程示意图;
图4是本发明实施例提供的电子设备的结构示意图;
图5是本发明实施例提供的电子设备的另一个结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例中,应理解,诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在,并且不欲排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。
本发明实施例提供一种安全防护方法、安全防护装置和存储介质。
请参阅图1,本发明实施例提供了一种安全防护系统,包括:提供资源访问请求的Web服务器、用于进行网络安全预防护的代理服务器、适用于WAF检测的WAF服务器以及用于响应资源访问请求的业务服务器。
其中,Web服务器用于将资源访问请求传输给代理服务器。可以理解的是,Web服务器不仅能够存储信息,还能在用户通过Web浏览器提供的信息的基础上运行脚本和程序。
其中,代理服务器可以为Nginx代理服务器,代理服务器可以用于对资源访问请求进行转发处理。本申请实施例中代理服务器可以获取资源访问请求,当所述资源访问请求不为预设请求时,对所述资源访问请求进行解析,得到解析内容,所述解析内容包括字符单元,获取所述字符单元的属性信息,对所述属性信息进行安全校验,当校验不通过时,拒绝响应所述资源访问请求。比如,在代理服务器内预先设置有一个预设请求的集合,该预设请求集合为资源访问请求顺利响应的白名单,代理服务器接收到Web服务器传输过来的资源访问请求时,代理服务器对资源访问请求与预设请求集合中的预设请求进行对比,当资源访问请求属于预设请求集合中的预设请求时,将资源访问请求通过代理服务器转发到业务服务器上以响应资源访问请求,当资源访问请求不属于预设请求集合中的预设请求时,则对资源访问请求进行解析,使得代理服务器对Web服务器传输过来的资源访问请求进行第一次筛选,筛选出恶意请求可能性比较高的第一类资源访问请求,对第一类资源访问请求进行解析,针对解析后得到字符单元进行安全校验,当安全校验不通过时,将第一类资源访问请求确定为第二类资源访问请求,第二类资源访问请求为疑似恶意请求,将第二类资源访问请求输送到WAF服务器进行检测,当安全校验通过时,将第一类资源访问请求输送到业务服务器影响第一类资源访问请求。
其中,WAF服务器用于进行运行入侵防御系统的服务器。WAF服务器可以最终确定资源访问请求是否为正常请求还是恶意请求。当WAF服务器检测到传输过来的资源访问请求是恶意请求时,将恶意请求进行拦截,防止恶意请求传输到业务服务器内,当WAF服务器检测到传输过来的资源访问请求是正常请求时,WAF服务器将资源访问请求为正常请求的结果输送给代理服务器,代理服务器将WAF确定为正常请求的资源访问请求转发给业务服务器。
业务服务器,业务服务器用于接收代理服务器转发过来的资源访问请求,并对资源访问请求进行响应。
以下分别进行详细说明。需说明的是,以下实施例的顺序不作为对实施例优选顺序的限定。
在一实施例中,将从安全防护装置的角度进行描述,该安全防护装置具体可以集成在网络设备,该网络设备可以包括终端或者服务器。
如图2所示,提供了一种安全防护方法,该安全防护方法可以由服务器执行,具体流程可以如下:
101、获取资源访问请求,当所述资源访问请求不为预设请求时,对所述资源访问请求进行解析,得到解析内容,所述解析内容包括字符单元。
需要说明的是,资源访问请求是外界发送的访问请求。比如,用户向终端设备提交的HTTP请求。HTTP(HyperText Transfer Protocol,超文本传输协议)是互联网上应用最为广泛的一种网络协议,用于从Web服务器传输超文本到本地浏览器。HTTP包括多种请求方法:GET-从指定的资源请求数据、POST-向指定的资源提交要被处理的数据、DELETE-删除指定资源及PUT-上传指定的URI表示等。在本实施例中,常用的是GET及POST。本申请实施例中对资源访问请求的具体方式不做过多赘述。
可以理解的是,资源访问请求可以包括具有恶意攻击倾向的恶意请求,以及没有恶意攻击倾向的正常请求,正常请求能够被业务服务器响应,而恶意请求不能被业务服务器响应。
其中,获取资源访问请求的具体方式可以包括。
(1)获取资源访问请求的参数数据,其中,所述参数数据包括所述资源访问请求对应的地址和文件格式。
需要说明的是,在本实施例的一个可选实现方式中,所述资源访问请求的参数可包括uri(地址)、arguments(参数的默认取法)、headers以及文件格式等。
其中,所述当所述资源访问请求不为预设请求时,对所述资源访问请求进行解析,具体可以包括:
(1)将资源访问请求与预设请求集合中预设请求进行匹配。
需要说明的是,预设请求为预先制定的符合规则的请求。预设请求集合为包含所有预设请求的集合。比如,将带有设定格式的请求设定为预设请求。设定的格式具体可以包括:'.jpg','.jpeg','.bmp','.gif','.png','.pic','.tif','.hpg','.css','.js','.doc','.docx','.txt','.rtf','.pdf','.xml','.rsc','.ini','.data','.rar','.zip','.arj','.gz','.z','.tgz','.bz2','.7z','.iso','.img','.apk','.iapk','.exe','.jad','.dll','.jar','.jwml','.alc','.sis','.sisx','.cab','.ipa','.xap','.bin','.pack','.rpg','.smi','.aif','.wav','.av','.mp3','.mp4','.mkv','.rm','.rmvb','.mpg','.avi','.mov','.qt','.3pg','.mpeg','.wmv','.wma','.ogg','.flv','.m4a','.m3u8','.ts','.ico','.webp','.gsa”.jpg','.jpeg','.bmp','.gif','.png','.pic','.tif','.hpg','.css','.js','.doc','.docx','.txt','.rtf','.pdf','.xml','.rsc','.ini','.data','.rar','.zip','.arj','.gz','.z','.tgz','.bz2','.7z','.iso','.img','.apk','.iapk','.exe','.jad','.dll','.jar','.jwml','.alc','.sis','.sisx','.cab','.ipa','.xap','.bin','.pack','.rpg','.smi','.aif','.wav','.av','.mp3','.mp4','.mkv','.rm','.rmvb','.mpg','.avi','.mov','.qt','.3pg','.mpeg','.wmv','.wma','.ogg','.flv','.m4a','.m3u8','.ts','.ico','.webp','.gsa'等。
可以理解的是,判断资源访问请求是不是与预设请求匹配,可以根据资源访问请求的文件格式是不是上述设定格式中的其中一种。比如,资源访问请求的格式为上述设定格式中的其中一种,那么该资源访问请求则与预设请求匹配。如果,资源访问请求的格式不为上述设定格式中的其中一种,那么该资源访问请求则不与预设请求匹配。当资源访问请求与预设请求匹配时,该资源访问请求可以被正常响应。
(2)若资源访问请求与预设请求集合中的预设请求不匹配时,则对所述资源访问请求进行解析。
需要说明的是,当资源访问请求不与预设请求匹配时,那么对资源访问请求的进行解析。
其中,对所述资源访问请求进行解析,得到解析内容具体可以包括:
(2.1)对获得的资源访问请求参数进行参数拆解处理,得到参数值。
需要说明的是,对资源访问请求的请求参数进行参数拆解处理,统一拆解成参数值的形式。其中,参数值包括存储的值的标识符以及存放的数据内容。例如,用户登录提交了密码(password)518000,参数值的标识符就是password,标识符对应存放的内容:518000。
(2.2)对所述参数值中经过编码的字符参数进行解码处理,得到解析内容。
参数值对中经过urlencode编码的值进行urldecode解码。HTTP中的参数如果有特殊字符、中文等,会被urlencode编码,如中文“异常检测”被编码成“%E5%BC%82%E5%B8%B8%E6%A3%80%E6%B5%8B”。由此,需要将参数中的经过编码的键值对进行urldecode解码处理,得到解析后的内容,所述解析内容,解析内容字符单元,所述字符单元为字符串,字符串或串(String)是由数字、字母、下划线组成的一串字符。一般记为s="a1a2···an"(n>=0)。它表示文本的数据类型。
102、获取所述字符单元的属性信息,对所述字符单元的属性信息进行安全校验,当校验不通过时,执行预设安全操作。
需要说明的是,字符单元的属性信息可以包括字符单元的长度范围和字符单元类型等。字符单元的长度范围可以为1个字节、两个字节、甚至多个字节等。所述字符单元的类型包括定长字符单元和变成字符单元,“定长字符单元”,它有固定的极大长度并且不管是否达到了这个极大值都使用同样数量的内存。而“变长字符串”,它的长度不是专断固定的并且依赖于实际的大小使用可变数量的内存。
其中,所述获取所述字符单元的属性信息,对所述字符单元的属性信息进行安全校验具体可以包括:
(1)提取所述字符单元的长度和字符单元类型。
需要说明的是,字符单元的长度可以为1、2甚至多个字节。字符单元的类型可以为定长字符单元和变成字符单元等。
(2)将所述字符单元的长度和字符单元类型与预设规则进行匹配。
需要说明的是,预设规则为与预先设定的规则。比如,预设规则为字符单元的限定长度范围为1至4个字节。字符单元类型确定为定长字符单元。将提取到的字符单元长度和字符类型与预设规则进行匹配,则可以得到匹配的结果。
(3)若所述字符单元的长度和字符单元类型与预设规则匹配,则通过安全校验。
需要说明的是,比如,获取的字符单元的长度为2个字节,字符单元的类型为定长型。如果预设规则字符单元的限定长度为范围为1至4个字节。字符单元类型确定为定长字符单元。那么将字符单元长度属于预设规则规定的字符单元长度范围内,且字符单元的类型也与预设规则的字符单元类型相同,则确定所述字符单元与预设规则匹配。
(4)若所述字符单元的长度范围和字符单元类型与预设规则不匹配,则不通过安全校验。
需要说明的是,比如,获取的字符单元的长度为5个字节,字符单元的类型为定长型字符单元。如果预设规则为字符单元限定长度范围为1至4个字节。字符单元类型确定为定长字符单元。那么字符单元的长度不属于预设规则规定的字符单元长度范围内,字符单元的类型与预设规则的字符单元类型相同,则确定所述字符单元与预设规则不匹配。又或者,获取的字符单元的长度为2个字节,字符单元的类型为变长型字符单元。那么字符单元的长度属于预设规则规定的字符单元长度范围内,字符单元的类型与预设规则的字符单元类型不相同,也确定所述字符单元与预设规则不匹配。
其中,所述拒绝响应所述资源访问请求。
需要说明的是,拒绝响应所述资源访问请求就是,屏蔽或者阻止资源访问请求与业务服务器的进行连接。这种方式对不能通过安全校验的资源访问请求进行有效的检测和自动拦截,增强了WAF对于不能通过安全校验的资源访问请求的识别和拦截能力,同时还提高了WAF的自动化程度,减少了人力成本的投入。
其中,所述拒绝响应所述资源访问请求具体可以包括:
(1)对校验不通过的资源访问请求对应的地址进行屏蔽,通过屏蔽校验不通过的资源访问请求对应的地址实现拒绝响应校验不通过的资源访问请求。
需要说明的是,对屏蔽的地址进行保存,并将屏蔽的地址记录为黑名单,被记录为黑名单的地址携带的资源访问请求不能够被响应。
另外的,还可以将不能通过安全校验的资源访问请求发送给WAF服务器进行检测,进一步的确认资源访问请求是否为恶意请求,从而在确保网络安全的清下,节省了资源消耗。
如图3所示,提供了另一种安全防护方法,该安全防护方法可以由服务器中执行,具体流程可以如下:
201、对预设时间内正常访问的资源访问请求进行统计分析,得到统计结果。
需要说明的是,所述预设时间为在预定的时长。预设时间可以为一天、两天或者10小时、5小时等。本申请实施例中预设时间的具体时长不做限定。比如,在5个小时内,资源访问请求能够正常响应,也就是不含有恶意攻击倾向的资源访问请求正常的访问业务服务器。那么,对于能够进行正常访问的资源访问请求进行统计分析,得到统计结果。
在一些实施例中,对能够进行正常访问的资源访问请求可以统计其文件格式,以及文件大小等。将所述统计的得到内容形成统计结果。
202、基于所述统计结果确定出带有标识的预设请求,将带有标识的预设请求形成预设请求集合。
需要说明的是,在统计结果中提取一些具有标识的资源访问请求作为预设请求。比如,提取能够正常访问业务服务器的具有设定标识的资源访问请求作为预设请求。可以理解的是,标识可以是文件格式和文件大小等。
203、获取所述统计结果的参数格式,将带有所述参数格式的预设请求形成预设请求集合。
需要说明的是,获取能够正常访问业务服务器的资源访问请求的文件格式,将带有上述文件格式的资源访问请求确定为预设请求集合。具体的,文件格式可以为:'.jpg','.jpeg','.bmp','.gif','.png','.pic','.tif','.hpg','.css','.js','.doc','.docx','.txt','.rtf','.pdf','.xml','.rsc','.ini','.data','.rar','.zip','.arj','.gz','.z','.tgz','.bz2','.7z','.iso','.img','.apk','.iapk','.exe','.jad','.dll','.jar','.jwml','.alc','.sis','.sisx','.cab','.ipa','.xap','.bin','.pack','.rpg','.smi','.aif','.wav','.av','.mp3','.mp4','.mkv','.rm','.rmvb','.mpg','.avi','.mov','.qt','.3pg','.mpeg','.wmv','.wma','.ogg','.flv','.m4a','.m3u8','.ts','.ico','.webp','.gsa”.jpg','.jpeg','.bmp','.gif','.png','.pic','.tif','.hpg','.css','.js','.doc','.docx','.txt','.rtf','.pdf','.xml','.rsc','.ini','.data','.rar','.zip','.arj','.gz','.z','.tgz','.bz2','.7z','.iso','.img','.apk','.iapk','.exe','.jad','.dll','.jar','.jwml','.alc','.sis','.sisx','.cab','.ipa','.xap','.bin','.pack','.rpg','.smi','.aif','.wav','.av','.mp3','.mp4','.mkv','.rm','.rmvb','.mpg','.avi','.mov','.qt','.3pg','.mpeg','.wmv','.wma','.ogg','.flv','.m4a','.m3u8','.ts','.ico','.webp','.gsa'等。
204、获取资源访问请求的参数数据,其中,所述参数数据包括所述资源访问请求对应的地址和文件格式。
需要说明的是,在本实施例的一个可选实现方式中,所述资源访问请求的参数可包括uri(地址)、arguments(参数的默认取法)、headers以及文件格式等。
205、将资源访问请求与预设请求集合中预设请求进行匹配。
需要说明的是,判断资源访问请求是不是与预设请求匹配,可以根据资源访问请求的文件格式是不是上述设定格式中的其中一种。比如,资源访问请求的格式为上述设定格式中的其中一种,那么该资源访问请求则与预设请求匹配。如果,资源访问请求的格式不为上述设定格式中的其中一种,那么该资源访问请求则不与预设请求匹配。当资源访问请求与预设请求匹配时,该资源访问请求可以被正常响应。
206、若资源访问请求与预设请求集合中的预设请求不匹配时,对获得的资源访问请求参数进行参数拆解处理,得到参数值。
需要说明的是,对资源访问请求的请求参数进行参数拆解处理,统一拆解成参数值的形式。其中,参数值包括存储的值的标识符以及存放的数据内容。例如,用户登录提交了密码(password)518000,参数值的标识符就是password,标识符对应存放的内容:518000。
207、对所述参数值中经过编码的字符参数进行解码处理,得到解析内容。
参数值对中经过urlencode编码的值进行urldecode解码。HTTP中的参数如果有特殊字符、中文等,会被urlencode编码,如中文“异常检测”被编码成“%E5%BC%82%E5%B8%B8%E6%A3%80%E6%B5%8B”。由此,需要将参数中的经过编码的键值对进行urldecode解码处理,得到解析后的内容,所述解析内容,解析内容字符单元,所述字符单元为字符串,字符串或串(String)是由数字、字母、下划线组成的一串字符。一般记为s="a1a2···an"(n>=0)。它表示文本的数据类型。
208、提取所述字符单元的长度和字符单元类型。
需要说明的是,字符单元的长度可以为1、2甚至多个字节。字符单元的类型可以为定长字符单元和变成字符单元等。
209、将所述字符单元的长度和字符单元类型与预设规则进行匹配。
需要说明的是,预设规则为与预先设定的规则。比如,预设规则为字符单元的限定长度为范围为1至4个字节。字符单元类型确定为定长字符单元。将提取到的字符单元长度和字符类型与预设规则进行匹配,则可以得到匹配的结果。
210、若所述字符单元的长度和字符单元类型与预设规则匹配,则通过安全校验。
需要说明的是,比如,获取的字符单元的长度为2个字节,字符单元的类型为定长型。如果预设规则字符单元的限定长度为范围为1至4个字节。字符单元类型确定为定长字符单元。那么将字符单元长度属于预设规则规定的字符单元长度范围内,且字符单元的类型也与预设规则的字符单元类型相同,则确定所述字符单元与预设规则匹配。
211、若所述字符单元的长度范围和字符单元类型与预设规则不匹配,则不通过安全校验,拒绝响应所述资源访问请求。
需要说明的是,比如,获取的字符单元的长度为5个字节,字符单元的类型为定长型字符单元。如果预设规则为字符单元限定长度范围为1至4个字节。字符单元类型确定为定长字符单元。那么字符单元的长度不属于预设规则规定的字符单元长度范围内,字符单元的类型与预设规则的字符单元类型相同,则确定所述字符单元与预设规则不匹配。又或者,获取的字符单元的长度为2个字节,字符单元的类型为变长型字符单元。那么字符单元的长度属于预设规则规定的字符单元长度范围内,字符单元的类型与预设规则的字符单元类型不相同,也确定所述字符单元与预设规则不匹配。
需要说明的是,拒绝响应所述资源访问请求就是,屏蔽或者阻止资源访问请求与业务服务器的进行连接。这种方式对不能通过安全校验的资源访问请求进行有效的检测和自动拦截,增强了WAF对于不能通过安全校验的资源访问请求的识别和拦截能力,同时还提高了WAF的自动化程度,减少了人力成本的投入。
本发明实施例可以获取资源访问请求,当所述资源访问请求不为预设请求时,对所述资源访问请求进行解析,得到解析内容,所述解析内容包括字符单元,获取所述字符单元的属性信息,对所述字符单元的属性信息进行安全校验,当校验不通过时,拒绝响应所述资源访问请求。本申请中将一部分资源访问请求进行过滤,只将一部分没办法通过安全校验的资源访问请求进行WAF检测,从而减轻WAF检测的检测数据,从而可以降低资源消耗。
为了便于更好的实施本发明实施例提供的安全防护方法实现,在一实施例中还提供了一种安全防护装置,该安全防护装置适用于服务器。其中名词的含义与上述安全防护方法中相同,具体实现细节可以参考方法实施例中的说明。
在一实施例中,还提供了一种显示装置,该显示装置具体可以应用于电子设备中,比如,可以以客户端的形式集成在客户端中,如图4所示,该安全防护装置可以包括:解析单元301和校验单元302,具体如下:
解析单元301用于获取资源访问请求,当所述资源访问请求不为预设请求时,对所述资源访问请求进行解析,得到解析内容,所述解析内容包括字符单元;
校验单元302用于获取所述字符单元的属性信息,对所述字符单元的属性信息进行安全校验,当校验不通过时,拒绝响应所述资源访问请求。
可选的,在一些实施例中,还包括统计单元303和形成单元304,
所述统计单元303具体可以用于:对预设时间内响应的资源访问请求进行统计分析,得到统计结果;
所述形成单元304具体可以用于:基于所述统计结果确定出带有标识的预设请求,将带有标识的预设请求形成预设请求集合。
可选的,在一些实施例中,所述形成单元304,具体可以用于:
获取所述统计结果的参数格式,将带有所述参数格式的预设请求形成请求集合。
可选的,在一些实施例中,所述解析单元包括匹配单元3011和解析子单元3012,所述匹配单元3011具体可以用于:将资源访问请求与预设请求集合中预设请求进行匹配;
所述解析子单元3012具体可以用于:若资源访问请求与预设请求集合中的预设请求不匹配时,则对所述资源访问请求进行解析。的
可选的,在一些实施例中,所述解析子单元3012,具体可以用于:
获取资源访问请求的参数;
对获得的资源访问请求的参数进行参数拆解处理,得到参数值;
对所述参数值中经过编码的字符参数进行解码处理,得到解析内容。
可选的,在一些实施例中,所述校验单元302,具体可以用于:
提取所述字符单元的长度范围和字符单元类型;
将所述字符单元的长度范围和字符单元类型与预设规则进行匹配;
若所述字符单元的长度范围和字符单元类型与预设规则匹配,则通过安全校验;
若所述字符单元的长度范围和字符单元类型与预设规则不匹配,则不通过安全校验。
可选的,在一些实施例中,所述解析单元301包括获取子单元3013,所述获取子单元具体可以用于:
获取网页中的地址,根据所述地址获取的所述地址对应的资源访问请求。
可选的,在一些实施例中,所述校验单元302还包括执行子单元3021,具体可以用于:
对校验不通过的资源访问请求对应的地址进行屏蔽,通过屏蔽校验不通过的资源访问请求对应的地址实现拒绝响应校验不通过的资源访问请求。
本发明实施例提供一种安全防护装置包括解析单元和校验单元,解析单元301用于获取资源访问请求,当所述资源访问请求不为预设请求时,对所述资源访问请求进行解析,得到解析内容,所述解析内容包括字符单元。校验单元302用于获取所述字符单元的属性信息,对所述字符单元的属性信息进行安全校验,当校验不通过时,拒绝响应所述资源访问请求。本申请中将一部分资源访问请求进行过滤,只将一部分没办法通过安全校验的资源访问请求进行WAF检测,从而减轻WAF检测的检测数据,从而可以降低资源消耗。。
本发明实施例还提供一种电子设备,该电子设备可以为终端或者服务器,比如,电子设备可以包括显示屏幕和处理器等等,又比如,电子可以为用户终端,如手机、平板电脑等等。如图5所示,其示出了本发明实施例所涉及的电子设备的结构示意图,具体来讲:
该电子设备可以包括一个或者一个以上处理核心的处理器401、一个或一个以上计算机可读存储介质的存储器402、电源403和输入单元404等部件。本领域技术人员可以理解,图4中示出的电子设备结构并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器401是该终端的控制中心,利用各种接口和线路连接整个终端的各个部分,通过运行或执行存储在存储器402内的软件程序和/或模块,以及调用存储在存储器402内的数据,执行终端的各种功能和处理数据,从而对终端进行整体监控。可选的,处理器401可包括一个或多个处理核心;优选的,处理器401可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器401中。
存储器402可用于存储软件程序以及模块,处理器401通过运行存储在存储器402的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器402还可以包括存储器控制器,以提供处理器401对存储器402的访问。
电子设备还包括给各个部件供电的电源403,优选的,电源403可以通过电源管理系统与处理器401逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源403还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该终端还可包括输入单元404,该输入单元404可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
尽管未示出,终端还可以包括显示单元等,在此不再赘述。具体在本实施例中,终端中的处理器401会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器402中,并由处理器401来运行存储在存储器402中的应用程序,从而实现各种功能,如下:
本发明实施例可以获取资源访问请求,当所述资源访问请求不为预设请求时,对所述资源访问请求进行解析,得到解析内容,所述解析内容包括字符单元;获取所述字符单元的属性信息,对所述字符单元的属性信息进行安全校验,当校验不通过时,拒绝响应资源访问请求。从降低资源损耗。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本发明实施例提供一种存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本发明实施例所提供的任一种安全防护方法中的步骤。比如:
获取资源访问请求,当所述资源访问请求不为预设请求时,对所述资源访问请求进行解析,得到解析内容,所述解析内容包括字符单元;获取所述字符单元的属性信息,对所述字符单元的属性信息进行安全校验,当校验不通过时,拒绝响应资源访问请求。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本发明实施例所提供的任一种方法中的步骤,因此,可以实现本发明实施例所提供的任一种方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上对本发明实施例所提供的一种安全防护方法、安全防护装置和存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (9)

1.一种安全防护方法,其特征在于,包括:
获取资源访问请求,所述资源访问请求包括文件格式;
当根据所述文件格式判定所述资源访问请求不为预设请求时,对所述资源访问请求进行解析,得到解析内容,所述解析内容包括字符单元;
获取所述字符单元的属性信息,对所述属性信息进行安全校验,当校验不通过时,拒绝响应资源访问请求;
所述对所述资源访问请求进行解析,得到解析内容,包括:
对所述资源访问请求的请求参数进行参数拆解处理,得到参数值;
对所述参数值中经过编码的字符参数进行解码处理,得到解析内容。
2.根据权利要求1所述的安全防护方法,其特征在于,所述获取资源访问请求之前包括:
对预设时间内正常访问的资源访问请求进行统计分析,得到统计结果;
基于所述统计结果确定出带有标识的预设请求,将带有标识的预设请求形成预设请求集合。
3.根据权利要求2所述的安全防护方法,其特征在于,所述基于所述统计结果确定出带有标识的预设请求,将带有标识的所述预设请求形成预设请求集合包括:
获取所述统计结果的参数格式,将带有所述参数格式的预设请求形成请求集合。
4.根据权利要求2所述的安全防护方法,其特征在于,所述当所述资源访问请求不为预设请求时,对所述资源访问请求进行解析,包括:
将所述资源访问请求与所述预设请求集合中预设请求进行匹配;
若所述资源访问请求与所述预设请求集合中的预设请求不匹配时,则所述资源访问请求进行解析。
5.根据权利要求1所述的安全防护方法,其特征在于,所述获取所述字符单元的属性信息,对所述字符单元的属性信息进行安全校验包括:
提取字符单元的长度和字符单元类型;
将所述字符单元的长度和字符单元类型与预设规则进行匹配;
若所述字符单元的长度和字符单元类型与所述预设规则匹配,则通过安全校验;
若所述字符单元的长度和字符单元类型与所述预设规则不匹配,则不通过安全校验。
6.根据权利要求1所述的安全防护方法,其特征在于,所述获取资源访问请求包括:
获取资源访问请求的参数数据,其中,所述参数数据包括所述资源访问请求对应的地址和文件格式。
7.根据权利要求6所述的安全防护方法,其特征在于,所述拒绝响应所述资源访问请求,包括:
对校验不通过的资源访问请求对应的地址进行屏蔽,通过屏蔽校验不通过的资源访问请求对应的地址实现拒绝响应校验不通过的资源访问请求。
8.一种安全防护装置,其特征在于,包括:
解析单元,用于获取资源访问请求,所述资源访问请求包括文件格式;当根据所述文件格式判定所述资源访问请求不为预设请求时,对所述资源访问请求进行解析,得到解析内容,所述解析内容包括字符单元;
校验单元,用于获取所述字符单元的属性信息,对所述属性信息进行安全校验,当校验不通过时,拒绝响应所述资源访问请求;
所述对所述资源访问请求进行解析,得到解析内容,包括:
对所述资源访问请求的请求参数进行参数拆解处理,得到参数值;
对所述参数值中经过编码的字符参数进行解码处理,得到解析内容。
9.一种存储介质,其特征在于,所述存储介质存储有多条指令,所述指令适于处理器进行加载,以执行权利要求1至7任一项所述的安全防护方法的步骤。
CN201910796201.XA 2019-08-27 2019-08-27 一种安全防护方法、安全防护装置和存储介质 Active CN111193700B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910796201.XA CN111193700B (zh) 2019-08-27 2019-08-27 一种安全防护方法、安全防护装置和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910796201.XA CN111193700B (zh) 2019-08-27 2019-08-27 一种安全防护方法、安全防护装置和存储介质

Publications (2)

Publication Number Publication Date
CN111193700A CN111193700A (zh) 2020-05-22
CN111193700B true CN111193700B (zh) 2021-10-08

Family

ID=70710703

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910796201.XA Active CN111193700B (zh) 2019-08-27 2019-08-27 一种安全防护方法、安全防护装置和存储介质

Country Status (1)

Country Link
CN (1) CN111193700B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115296844A (zh) * 2022-06-29 2022-11-04 武汉极意网络科技有限公司 一种安全防护方法和装置
CN116132502A (zh) * 2022-08-01 2023-05-16 马上消费金融股份有限公司 网页访问处理方法、装置及电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106101104A (zh) * 2016-06-15 2016-11-09 国家计算机网络与信息安全管理中心 一种基于域名解析的恶意域名检测方法及系统
CN107786545A (zh) * 2017-09-29 2018-03-09 中国平安人寿保险股份有限公司 一种网络攻击行为检测方法及终端设备
CN108234453A (zh) * 2017-12-12 2018-06-29 杭州安恒信息技术有限公司 一种基于规则的Java的web安全防御方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120151479A1 (en) * 2010-12-10 2012-06-14 Salesforce.Com, Inc. Horizontal splitting of tasks within a homogenous pool of virtual machines

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106101104A (zh) * 2016-06-15 2016-11-09 国家计算机网络与信息安全管理中心 一种基于域名解析的恶意域名检测方法及系统
CN107786545A (zh) * 2017-09-29 2018-03-09 中国平安人寿保险股份有限公司 一种网络攻击行为检测方法及终端设备
CN108234453A (zh) * 2017-12-12 2018-06-29 杭州安恒信息技术有限公司 一种基于规则的Java的web安全防御方法

Also Published As

Publication number Publication date
CN111193700A (zh) 2020-05-22

Similar Documents

Publication Publication Date Title
CN112468520B (zh) 一种数据检测方法、装置、设备及可读存储介质
CN110855676B (zh) 网络攻击的处理方法、装置及存储介质
CN108664793B (zh) 一种检测漏洞的方法和装置
CN111131221B (zh) 接口校验的装置、方法及存储介质
CN107528818B (zh) 媒体文件的数据处理方法和装置
US8661456B2 (en) Extendable event processing through services
CN106899549B (zh) 一种网络安全检测方法及装置
CN109862021B (zh) 威胁情报的获取方法及装置
US9779250B1 (en) Intelligent application wrapper
CN111193700B (zh) 一种安全防护方法、安全防护装置和存储介质
CN114254304A (zh) 容器安全入侵检测方法、装置、计算机设备及存储介质
CN114465741B (zh) 一种异常检测方法、装置、计算机设备及存储介质
CN112131002B (zh) 数据管理方法及装置
CN103036910B (zh) 一种用户Web访问行为控制方法及装置
CN113660250B (zh) 基于web应用防火墙的防御方法、装置、系统和电子装置
CN111756644A (zh) 热点限流方法、系统、设备及存储介质
CN112231711A (zh) 一种漏洞检测方法、装置、计算机设备及存储介质
CN113259429A (zh) 会话保持管控方法、装置、计算机设备及介质
CN112836160A (zh) 一种内容审核方法、装置和设备
CN112257065A (zh) 一种进程事件处理方法和装置
CN114760083B (zh) 一种攻击检测文件的发布方法、装置及存储介质
US11425092B2 (en) System and method for analytics based WAF service configuration
CN111209171B (zh) 安全风险的闭环处置方法、装置及存储介质
CN113596600A (zh) 直播嵌入程序的安全管理方法、装置、设备及存储介质
EP4274160A1 (en) System and method for machine learning based malware detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant