CN111614630A - 一种网络安全监控方法、装置及云端web应用防火墙 - Google Patents

一种网络安全监控方法、装置及云端web应用防火墙 Download PDF

Info

Publication number
CN111614630A
CN111614630A CN202010356136.1A CN202010356136A CN111614630A CN 111614630 A CN111614630 A CN 111614630A CN 202010356136 A CN202010356136 A CN 202010356136A CN 111614630 A CN111614630 A CN 111614630A
Authority
CN
China
Prior art keywords
data
flow
abnormal
web application
detection module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010356136.1A
Other languages
English (en)
Inventor
叶德望
曹明选
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Dexun Network Security Technology Co ltd
Original Assignee
Zhejiang Dexun Network Security Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Dexun Network Security Technology Co ltd filed Critical Zhejiang Dexun Network Security Technology Co ltd
Priority to CN202010356136.1A priority Critical patent/CN111614630A/zh
Publication of CN111614630A publication Critical patent/CN111614630A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络安全监控方法,属于网络安全技术领域,包括:在WEB服务器端配置WEB应用防火墙客户端;通过WEB应用防火墙客户端抓取在线请求数据包;本发明设有异常流量数据的数据库,接收模块接收到WEB应用防火墙客户端上传的数据流量时,先将数据流量发送至异常流量数据的数据库中进行对比分析,若存在相同的异常数据流量行为,则直接返回相应告警提示,若不存在相同的异常数据流量行为,再将数据流量发送至异常检测模块,由异常检测模块根据预设请求数据裁决规则对流量数据进行异常检测,检测到流量数据存在异常时,返回相应告警提示,可以快速有效地识别异常流量数据,同时减轻异常检测模块的工作强度。

Description

一种网络安全监控方法、装置及云端WEB应用防火墙
技术领域
本发明属于网络安全技术领域,具体涉及一种网络安全监控方法、装置及云端WEB应用防火墙。
背景技术
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
中国专利申请号为201610875928.3公开了网络安全监控方法、装置及云端WEB应用防火墙,在流量采集过程中无需添加硬件设备,设备部署成本低、运维方便,而且业务无感知、灵活配置,不会影响WEB服务器的性能以及用户业务体验。
上述专利的在线请求数据包均需要异常检测模块进行异常检测,才能返回相应告警提示,导致异常检测模块的计算量非常的大,检测起来非常困难。
发明内容
为解决上述背景技术中提出的问题。本发明提供了一种网络安全监控方法、装置及云端WEB应用防火墙,具有减轻异常检测模块的工作强度以及加快识别异常数据流量速度的特点。
为实现上述目的,本发明提供如下技术方案:一种网络安全监控方法,包括:
(1)在WEB服务器端配置WEB应用防火墙客户端;
(2)通过WEB应用防火墙客户端的流量检测模块抓取在线请求数据包;
(3)流量监测模块将抓取的数据流量进行复制,将复制得到的流量数据发送到云端WEB应用防火墙,云端WEB应用防火墙对流量数据进行异常检测,并在监控到流量数据存在异常时,返回相应告警提示。
优选的,所述步骤(3)中,流量数据异常检测的方法包括:
1)接收模块接收WEB应用防火墙客户端上传的数据流量,并发送至异常流量数据的数据库中;
2)异常流量数据的数据库对接收的数据流量进行对比分析,若存在相同的异常数据流量行为,则直接返回相应告警提示,若不存在相同的异常数据流量行为,将数据流量发送至异常检测模块;
3)异常检测模块根据预设请求数据裁决规则对流量数据进行异常检测,并在检测到流量数据存在异常时,返回相应告警提示;
4)异常检测模块会同步将检测到的异常数据流量存储到异常流量数据的数据库中,从而实现异常流量数据的数据库的实时更新。
一种网络安全监控装置,包括:
(1)配置模块:用于在WEB服务器端配置WEB应用防火墙客户端;
(2)流量检测模块:用于抓取在线请求数据包,并将抓取的数据流量进行复制,将复制得到的流量数据发送到云端WEB应用防火墙,以供云端WEB应用防火墙对流量数据进行异常检测。
一种云端WEB应用防火墙,包括:
(1)接收模块:用于接收流量检测模块上传的流量数据;
(2)异常流量数据的数据库:用于对比分析流量数据,若存在相同的异常数据流量行为,则直接返回相应告警提示,无需经过异常检测模块检测,若不存在相同的异常数据流量行为,将数据流量发送至异常检测模块;
(3)异常检测模块:用于根据预设请求数据裁决规则对流量数据进行异常检测,并在检测到流量数据存在异常时,返回相应告警提示,同时将检测到的异常数据流量同步存储到异常流量数据的数据库中,从而实现异常流量数据的数据库的实时更新。
与现有技术相比,本发明的有益效果是:
1、本发明设有异常流量数据的数据库,接收模块接收到WEB应用防火墙客户端上传的数据流量时,先将数据流量发送至异常流量数据的数据库中进行对比分析,若存在相同的异常数据流量行为,则直接返回相应告警提示,若不存在相同的异常数据流量行为,再将数据流量发送至异常检测模块,由异常检测模块根据预设请求数据裁决规则对流量数据进行异常检测,并在检测到流量数据存在异常时,返回相应告警提示,这样可以快速有效地识别异常流量数据,同时减轻异常检测模块的工作强度。
2、本发明异常检测模块检测到流量数据存在异常并返回相应告警提示时,会同步将检测到的异常数据流量存储到异常流量数据的数据库中,进而实现异常流量数据的数据库的实时更新,从而使异常流量数据的数据库不断充实,实现后期能够直接对比分析出异常数据流量,无需进行异常检测,简化操作步骤,加快识别异常数据流量的速度。
附图说明
图1为本发明网络安全监控方法的流程图;
图2为本发明网络安全监控方法异常检测的细分流程图;
图3为本发明网络安全监控装置的结构示意图;
图4为本发明云端WEB应用防火墙的结构示意图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-4,本发明提供以下技术方案:一种网络安全监控方法,包括:
(1)在WEB服务器端配置WEB应用防火墙客户端;
(2)通过WEB应用防火墙客户端的流量检测模块抓取在线请求数据包;
(3)流量监测模块将抓取的数据流量进行复制,将复制得到的流量数据发送到云端WEB应用防火墙,云端WEB应用防火墙对流量数据进行异常检测,并在监控到流量数据存在异常时,返回相应告警提示。
具体的,步骤(3)中,流量数据异常检测的方法包括:
1)接收模块接收WEB应用防火墙客户端上传的数据流量,并发送至异常流量数据的数据库中;
2)异常流量数据的数据库对接收的数据流量进行对比分析,若存在相同的异常数据流量行为,则直接返回相应告警提示,若不存在相同的异常数据流量行为,将数据流量发送至异常检测模块;
3)异常检测模块根据预设请求数据裁决规则对流量数据进行异常检测,并在检测到流量数据存在异常时,返回相应告警提示;
4)异常检测模块会同步将检测到的异常数据流量存储到异常流量数据的数据库中,从而实现异常流量数据的数据库的实时更新。
一种网络安全监控装置,包括:
(1)配置模块:用于在WEB服务器端配置WEB应用防火墙客户端;
(2)流量检测模块:用于抓取在线请求数据包,并将抓取的数据流量进行复制,将复制得到的流量数据发送到云端WEB应用防火墙,以供云端WEB应用防火墙对流量数据进行异常检测。
一种云端WEB应用防火墙,包括:
(1)接收模块:用于接收流量检测模块上传的流量数据;
(2)异常流量数据的数据库:用于对比分析流量数据,若存在相同的异常数据流量行为,则直接返回相应告警提示,无需经过异常检测模块检测,若不存在相同的异常数据流量行为,将数据流量发送至异常检测模块;
(3)异常检测模块:用于根据预设请求数据裁决规则对流量数据进行异常检测,并在检测到流量数据存在异常时,返回相应告警提示,同时将检测到的异常数据流量同步存储到异常流量数据的数据库中,从而实现异常流量数据的数据库的实时更新。
本发明中网络安全监控方法、装置及云端WEB应用防火墙的结构与原理在中国专利申请号为201610875928.3公开的网络安全监控方法、装置及云端WEB应用防火墙中已经公开。
本发明的工作原理及使用流程:(1)在WEB服务器端配置WEB应用防火墙客户端;(2)通过WEB应用防火墙客户端的流量检测模块抓取在线请求数据包;(3)流量监测模块将抓取的数据流量进行复制,将复制得到的流量数据发送到云端WEB应用防火墙,接收模块接收WEB应用防火墙客户端上传的数据流量,并发送至异常流量数据的数据库中;异常流量数据的数据库对接收的数据流量进行对比分析,若存在相同的异常数据流量行为,则直接返回相应告警提示,若不存在相同的异常数据流量行为,将数据流量发送至异常检测模块;异常检测模块根据预设请求数据裁决规则对流量数据进行异常检测,并在检测到流量数据存在异常时,返回相应告警提示;异常检测模块会同步将检测到的异常数据流量存储到异常流量数据的数据库中,从而实现异常流量数据的数据库的实时更新。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (4)

1.一种网络安全监控方法,包括:
(1)在WEB服务器端配置WEB应用防火墙客户端;
(2)通过WEB应用防火墙客户端的流量检测模块抓取在线请求数据包;
(3)流量监测模块将抓取的数据流量进行复制,将复制得到的流量数据发送到云端WEB应用防火墙,云端WEB应用防火墙对流量数据进行异常检测,并在监控到流量数据存在异常时,返回相应告警提示。
2.根据权利要求1所述的一种网络安全监控方法、装置及云端WEB应用防火墙,其特征在于:所述步骤(3)中,流量数据异常检测的方法包括:
1)接收模块接收WEB应用防火墙客户端上传的数据流量,并发送至异常流量数据的数据库中;
2)异常流量数据的数据库对接收的数据流量进行对比分析,若存在相同的异常数据流量行为,则直接返回相应告警提示,若不存在相同的异常数据流量行为,将数据流量发送至异常检测模块;
3)异常检测模块根据预设请求数据裁决规则对流量数据进行异常检测,并在检测到流量数据存在异常时,返回相应告警提示;
4)异常检测模块会同步将检测到的异常数据流量存储到异常流量数据的数据库中,从而实现异常流量数据的数据库的实时更新。
3.一种网络安全监控装置,包括:
(1)配置模块:用于在WEB服务器端配置WEB应用防火墙客户端;
(2)流量检测模块:用于抓取在线请求数据包,并将抓取的数据流量进行复制,将复制得到的流量数据发送到云端WEB应用防火墙,以供云端WEB应用防火墙对流量数据进行异常检测。
4.一种云端WEB应用防火墙,包括:
(1)接收模块:用于接收流量检测模块上传的流量数据;
(2)异常流量数据的数据库:用于对比分析流量数据,若存在相同的异常数据流量行为,则直接返回相应告警提示,无需经过异常检测模块检测,若不存在相同的异常数据流量行为,将数据流量发送至异常检测模块;
(3)异常检测模块:用于根据预设请求数据裁决规则对流量数据进行异常检测,并在检测到流量数据存在异常时,返回相应告警提示,同时将检测到的异常数据流量同步存储到异常流量数据的数据库中,从而实现异常流量数据的数据库的实时更新。
CN202010356136.1A 2020-04-29 2020-04-29 一种网络安全监控方法、装置及云端web应用防火墙 Pending CN111614630A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010356136.1A CN111614630A (zh) 2020-04-29 2020-04-29 一种网络安全监控方法、装置及云端web应用防火墙

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010356136.1A CN111614630A (zh) 2020-04-29 2020-04-29 一种网络安全监控方法、装置及云端web应用防火墙

Publications (1)

Publication Number Publication Date
CN111614630A true CN111614630A (zh) 2020-09-01

Family

ID=72201279

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010356136.1A Pending CN111614630A (zh) 2020-04-29 2020-04-29 一种网络安全监控方法、装置及云端web应用防火墙

Country Status (1)

Country Link
CN (1) CN111614630A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113794774A (zh) * 2021-09-15 2021-12-14 厦门畅合赢文化传媒有限公司 一种基于网络视听新媒体的流量监测系统
CN113852591A (zh) * 2021-06-08 2021-12-28 天翼智慧家庭科技有限公司 基于改进四分位差法的摄像头异常访问识别与告警方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140366118A1 (en) * 2013-06-05 2014-12-11 Fortinet, Inc. Cloud based logging service
CN106453299A (zh) * 2016-09-30 2017-02-22 北京奇虎科技有限公司 网络安全监控方法、装置及云端web应用防火墙
CN107070889A (zh) * 2017-03-10 2017-08-18 中国电建集团成都勘测设计研究院有限公司 一种基于云平台的统一安全防御系统
CN109510803A (zh) * 2017-09-15 2019-03-22 中国联合网络通信集团有限公司 一种调整防火墙防护策略的方法及设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140366118A1 (en) * 2013-06-05 2014-12-11 Fortinet, Inc. Cloud based logging service
CN106453299A (zh) * 2016-09-30 2017-02-22 北京奇虎科技有限公司 网络安全监控方法、装置及云端web应用防火墙
CN107070889A (zh) * 2017-03-10 2017-08-18 中国电建集团成都勘测设计研究院有限公司 一种基于云平台的统一安全防御系统
CN109510803A (zh) * 2017-09-15 2019-03-22 中国联合网络通信集团有限公司 一种调整防火墙防护策略的方法及设备

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113852591A (zh) * 2021-06-08 2021-12-28 天翼智慧家庭科技有限公司 基于改进四分位差法的摄像头异常访问识别与告警方法
CN113852591B (zh) * 2021-06-08 2023-09-22 天翼数字生活科技有限公司 基于改进四分位差法的摄像头异常访问识别与告警方法
CN113794774A (zh) * 2021-09-15 2021-12-14 厦门畅合赢文化传媒有限公司 一种基于网络视听新媒体的流量监测系统

Similar Documents

Publication Publication Date Title
CN101350745B (zh) 一种入侵检测方法及装置
CN108881265B (zh) 一种基于人工智能的网络攻击检测方法及系统
CN108471429B (zh) 一种网络攻击告警方法及系统
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US9967169B2 (en) Detecting network conditions based on correlation between trend lines
CN101217377B (zh) 基于改进的序列尺度调整的分布式拒绝服务攻击检测方法
CN108664793B (zh) 一种检测漏洞的方法和装置
KR20140088340A (ko) 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
CN104038466B (zh) 用于云计算环境的入侵检测系统、方法及设备
CN112866185B (zh) 网络流量监控设备和异常流量检测方法
US20170295068A1 (en) Logical network topology analyzer
CN107204965B (zh) 一种密码破解行为的拦截方法及系统
CN107241304B (zh) 一种DDoS攻击的检测方法及装置
CN104243408A (zh) 域名解析服务dns系统中监控报文的方法、装置及系统
CN111756720B (zh) 针对性攻击检测方法及其装置和计算机可读存储介质
CN111614630A (zh) 一种网络安全监控方法、装置及云端web应用防火墙
CN107302534A (zh) 一种基于大数据平台的DDoS网络攻击检测方法及装置
CN111726342B (zh) 一种提升蜜罐系统告警输出精准性的方法及系统
CN111049786A (zh) 一种网络攻击的检测方法、装置、设备及存储介质
CN106250290A (zh) 异常信息的分析方法及装置
CN112350854A (zh) 一种流量故障定位方法、装置、设备及存储介质
CN114039900A (zh) 一种高效网络数据包协议分析方法和系统
CN104243192B (zh) 故障处理方法及系统
CN115484047A (zh) 云平台中的泛洪攻击的识别方法、装置、设备及存储介质
RU2630415C2 (ru) Способ обнаружения аномальной работы сетевого сервера (варианты)

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200901

RJ01 Rejection of invention patent application after publication