CN111786959B - 安全防护方法、waf系统、电子设备及存储介质 - Google Patents
安全防护方法、waf系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111786959B CN111786959B CN202010522785.4A CN202010522785A CN111786959B CN 111786959 B CN111786959 B CN 111786959B CN 202010522785 A CN202010522785 A CN 202010522785A CN 111786959 B CN111786959 B CN 111786959B
- Authority
- CN
- China
- Prior art keywords
- rule
- matching
- semaphore
- access request
- fields
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/41—Compilation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- General Business, Economics & Management (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供一种安全防护方法、WAF系统、电子设备及存储介质,安全防护方法应用于WAF系统,所述WAF系统至少包括OpenResty服务器,所述OpenResty服务器基于Hyperscan匹配库搭建;包括:接收访问请求,所述访问请求的表头中具有至少一个类型的字段;利用所述OpenResty服务器,基于所述字段的类型对应的防护规则,采用所述Hyperscan匹配库编译生成与每一类型的所述字段对应的规则库,同一所述规则库对应至少一个所述防护规则;遍历所有所述字段,将所述字段与对应的所述规则库进行匹配;基于所述匹配的匹配结果,对所述访问请求进行拦截处理或者放行处理。本发明有利于提高对访问请求的安全防护效果。
Description
技术领域
本发明实施例涉及安全领域,特别涉及一种安全防护方法、WAF系统、电子设备及存储介质。
背景技术
WAF(Web Application Firewall),即Web应用防火墙系统,其功能是防御Web系统免受应用层攻击,如SQL注入、跨站攻击、CC攻击等。与传统硬件防火墙处置网络层攻击不同,WAF工作在应用层,能更精准的获取业务请求内容,更容易进行攻击特征匹配,进而进行攻击行为的识别。
在WAF系统进行恶意攻击识别的所有方法中,基于正则规则的方法是最直接和最有效的防御手段,根据攻击特征形成防护规则,再进行PCRE规则匹配,能防御大部分OWASPTOP 10攻击,且规则更新方便。此外,WAF系统常基于Nginx代理或其他代理软件实现。
目前,在的WAF系统运行过程中,主要占据CPU资源的是字段与防护规则的正则匹配。现有的正则匹配存在匹配效率较低以及资源消耗大的问题,进而导致WAF系统的性能较低。
发明内容
本发明实施例提供一种安全防护方法、WAF系统、电子设备及存储介质,以解决安全防护效率低以及资源消耗大的问题。
为解决上述问题,本发明实施例提供一种安全防护方法,应用于WAF系统,所述WAF系统至少包括OpenResty服务器,所述OpenResty服务器基于Hyperscan匹配库搭建;包括:接收访问请求,所述访问请求的表头中具有至少一个类型的字段;利用所述OpenResty服务器,基于所述字段的类型对应的防护规则,采用所述Hyperscan匹配库编译生成与每一类型的所述字段对应的规则库,同一所述规则库对应多个所述防护规则;遍历所有所述字段,将所述字段与对应的所述规则库进行匹配;基于所述匹配的匹配结果,对所述访问请求进行拦截处理或者放行处理。
另外,所述基于所述匹配的匹配结果,对所述访问请求进行拦截处理或者放行处理,包括:若任一所述字段与对应的所述规则库匹配成功,对所述访问请求进行拦截处理,并停止遍历剩余字段;若任一所述字段与对应的所述规则库匹配失败,进行下一所述字段的匹配,直至所有所述字段完成匹配,所有所述字段完成匹配且全部匹配失败时,对所述访问请求进行放行处理。
另外,所述基于所述匹配的结果,对所述访问请求进行拦截处理或者放行处理,包括:若所述字段与所述规则库所对应的任一所述防护规则匹配成功,则根据匹配成功的所述防护规则的属性信息对所述访问请求进行拦截处理或放行处理;其中,所述属性信息至少包括危险等级。
另外,获取匹配成功的所述防护规则的属性信息,包括:采用所述Hyperscan匹配库获取匹配成功的所述防护规则的位置编号;根据所述位置编号从状态数据文件中获取所述防护规则的属性信息,所述状态数据文件包含所有所述规则库中的所述防护规则的属性信息。
另外,对所述访问请求进行放行处理后,还包括:将所述访问请求发送至所述访问请求指向的目标资源站点;接收所述目标资源站点响应于所述访问请求而返回的内容;对所述内容进行正则匹配,并根据所述正则匹配的内容匹配结果,对所述内容进行放行处理,或者,修改所述内容并对修改后内容进行放行处理。
另外,所述对所述内容进行正则匹配,包括:识别所述内容是否包含敏感信息;若所述内容包括所述敏感信息,则对所述内容中的所述敏感信息进行替换并对替换后内容进行放行处理;若所述内容不包括所述敏感信息,则对所述内容进行放行处理。
另外,所述WAF系统还包括Redis库,所述Redis库用于获取更新后规则库和更新信号量,所述信号量为所述规则库的更新次数计数值,所述OpenResty服务器内具有信号量和可存储规则库的本地内存,所述OpenResty服务器在重启时将所述本地内存存储的规则库作为所述规则库的初始化配置;还包括:利用所述Redis库获取更新后规则库,并在获取到所述更新后规则库后更新所述信号量;对比所述Redis库内的信号量和所述OpenResty服务器内的信号量,若所述OpenResty服务器内的信号量小于所述Redis库内的信号量,则将所述更新后规则库写入所述本地内存中、并将所述Redis库内的信号量设置为所述OpenResty服务器内的信号量。
另外,所述OpenResty服务器具有共享内存和多个相互独立的工作线程,每一所述工作线程具有独占内存,所述共享内存和所述独占内存用于存储所述规则库和所述信号量,所述工作线程在重启时将所述独占内存中原有的所述规则库替换为所述本地内存存储的所述规则库,所述工作线程从所述共享内存读取数据的速率大于所述从所述Redis库读取数据的速度;所述对比所述Redis库内的信号量和所述OpenResty服务器内的信号量,包括:将所述Redis库内的所述信号量写入所述共享内存中;对比所述共享内存内的信号量和所述独占内存内的信号量,若所述独占内存内的信号量小于所述共享内存内的信号量,将所述Redis库内的所述规则库写入所述共享内存中,并将所述共享内存内的规则库写入所述本地内存中,以及将所述独占内存内的信号量设置为所述共享内存内的信号量。
相应地,本发明实施例还提供一种WAF系统,包括:OpenResty服务器,所述OpenResty服务器至少包括处置模块和规则模块,所述规则模块基于Hyperscan匹配库搭建;所述处置模块用于接收访问请求,所述访问请求的表头中具有至少一个类型的字段;所述规则模块存储有基于所述字段的类型对应的防护规则,编译生成的与每一类型的所述字段对应的规则库,同一所述规则库对应至少一个所述防护规则,且用于遍历所有所述字段,将所述字段与对应的所述规则库进行匹配;所述处置模块还用于基于所述匹配的匹配结果,对所述访问请求进行拦截处理或者放行处理。
相应地,本发明实施例还提供一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述安全防护方法。
相应地,本发明实施例还提供一种存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述安全防护方法。
与现有技术相比,本发明实施例提供的技术方案具有以下优点:
本发明实施例提供的技术方案中,基于字段类型对应的防护规则编译生成每一类型的字段对应的规则库,且字段与对应的规则库进行匹配,如此,任一字段仅需要与对应的规则库中的防护规则进行匹配即可,而无需与所有的防护规则进行匹配,有利于减少匹配次数,降低对CPU资源的消耗;此外,采用调用规则库的方式实现与字段对应的多个防护规则的同时调用,有利于减少调用次数,降低数据调用对CPU资源的消耗;同时,防护规则数量的增加不会增加规则库的调用次数,有利于降低规则调用对CPU资源的消耗。
另外,可以通过设置防护规则的属性信息,定义不同类型的字段匹配成功后对访问请求的防护方法,提高安全防护方法的灵活性。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1为本发明一实施例提供的安全防护方法的流程示意图;
图2为本发明一实施例提供的安全防护方法的另一流程示意图;
图3为本发明一实施例提供的安全防护方法的又一流程示意图;
图4为本发明另一实施例提供的安全防护方法的流程示意图;
图5为本发明又一实施例提供的WAF系统的结构示意图;
图6为本发明再一实施例提供的WAF系统的结构示意图;
图7为本发明一实施例提供的一种电子设备结构示意图。
具体实施方式
由背景技术可知,现有的正则匹配存在匹配效率较低以及资源消耗大的问题。具体原因至少包括以下三点:
第一,现有的WAF系统通常是基于Nginx服务器,Nginx服务器所使用的匹配库为PCRE,PCRE匹配库所进行的字段与防护规则的匹配,对CPU资源消耗较大。
第二,现有的匹配规则是将每一字段与所有的防护规则进行匹配,而实际上字段具有类型,每一类型的字段具有对应的防护规则,将某一类型的字段与另一类型的字段对应的防护规则进行匹配没有实际防护意义,也就是说,现有的部分正则匹配是多余的,增加了不必要的匹配耗时和资源消耗。
第三,由于WAF系统的安全防护效果依赖于防护规则的新增,而随着防护规则的新增,字段与防护规则的匹配次数也会相应增加,这使得具有较多防护规则的WAF系统在进行正则匹配时需要较长的匹配时间以及需要消耗大量的CPU资源,进而导致WAF系统的性能受到影响。
为解决上述问题,本发明实施提供一种安全防护方法,该方法采用Hyperscan匹配库进行正则匹配,有利于降低单次匹配对CPU资源的消耗;任一字段仅需要与对应的防护规则进行匹配即可,有利于减少匹配次数,进而缩短匹配耗时以及降低CPU资源消耗;同时,Hyperscan匹配库通过调用规则库的方式调用与字段对应的防护规则,防护规则数量的增加不会改变规则库的调用次数,有利于降低对CPU资源的消耗。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施例进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施例中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施例的种种变化和修改,也可以实现本申请所要求保护的技术方案。
本实施例中,WAF系统采用OpenResty作为代理,相对于Nginx的C模块开发,OpenResty整合了Nginx和Lua,可以利用Lua的规范开发实现各种业务,解决了基于Nginx开发需要对Nginx源码熟悉的难处。Lua通过FFI库就可以调用外部C函数,使用C数据结构,把开发者从开发和拓展C函数库的繁重工作中释放出来。同时,由于访问请求在LuaVM模块中独占线程的特性,保证了WAF系统具有高并发的处理能力。
OpenResty将Nginx的11个请求处理阶段抽象成了四个阶段:初始化阶段完成OpenResty服务器中工作线程的初始化配置工作,写入阶段完成对访问请求中字段的正则匹配,内容获取阶段将访问请求转发至其指向的目标资源站点和对目标资源站点反馈的内容进行正则匹配,日志阶段完成日志的处理。通过以上划分,降低了开发复杂度。
图1为本发明一实施例提供的安全防护方法的流程示意图。参考图1,安全防护方法包含以下步骤:
步骤101:接收访问请求。
在接收访问请求之前,启动OpenResty服务器,并加载初始化配置,即从本地内存中获取规则库,以用于进行字段与规则库的正则匹配。
由客户端发出的访问请求至少包括表头,而表头中具有至少一个字段。表头中的每一字段都具有对应的类型,类型用于表征字段的意义,类型包括但不限于“账号”和“密码”。
不同的字段可能具有不同的类型,而字段的类型不同防护方式也不同,因此,针对不同类型的字段的防护规则也不同。也就是说,防护规则是与字段的类型对应的,只有将某一类型的字段与对应的防护规则进行正则匹配,才能检测出某一类型的字段中是否包含有恶意攻击;相应地,将某一类型的字段与不对应的防护规则进行正则匹配,无法检测出恶意攻击。
WAF系统通常连接于客户端和目标资源站点之间,用于对由客户端发出的访问请求中的字段进行恶意攻击识别,避免包含有恶意攻击的访问请求对访问请求所指向的目标资源站点造成破坏,从而保证目标资源站点中的内容能够被其他无恶意的访问请求正常获取。
本实施例中,WAF系统至少包括OpenResty服务器,OpenResty服务器基于Hyperscan匹配库搭建。由于在OpenResty服务器可以通过Lua脚本语言调用Hyperscan匹配库,以进行字段与对应的防护规则的正则匹配,无需在运行过程中加载需要进行正则匹配的防护规则,因此,采用Hyperscan匹配库搭建的OpenResty服务器进行恶意攻击识别,有利于缩短字段与防护规则进行单次正则匹配的耗时,以及降低单次匹配所需要消耗的CPU资源。
步骤102:遍历访问请求表头中所有字段,将字段与对应的规则库进行匹配。
本实施例中,利用OpenResty服务器,基于字段的类型的防护规则,采用Hyperscan匹配库编译生成与每一类型的字段对应的规则库,同一规则库对应至少一个防护规则。如此,当对字段进行恶意攻击识别时,某一类型的字段仅与对应的防护规则进行正则匹配,无需与所有的防护规则进行正则匹配,如此,有利于减少正则匹配的次数,缩短整体的正则匹配耗时以及降低正则匹配对CPU资源的消耗,从而提高WAF系统的性能。
Hyperscan匹配库的工作流程主要包括编译期和运行期,编译期的运行原理如图2所示,具体包括:向Hyperscan匹配库所包含的编译器203输入规则集合201和模式&标记202,规则集合201包括至少一个正则表达式,每一正则表达式可表征一防护规则;“模式”指的是编译模式,编译模式包括块模式和流模式两种,由于本实施例需要将对应的多个防护规则编译为同一规则库,因此需要选择“块模式”;“标记”指的是对编译后的各个规则库204进行标记,由于编译器203会将正则表达式所表征的防护规则按照对应的字段类型进行分类编译,以形成对应不同字段类型的规则库204,因此需要对编译形成的规则库204进行标记,以保证后续Hyperscan匹配库能够将字段与对应的规则库进行匹配。
需要说明的是,编译期生成的规则库是只读的,用户可以在多个CPU核心或者多线程场景下并发读取规则库中的数据,以提高正则匹配的匹配效率。
本实施例中,在将字段与对应的多个防护规则进行正则匹配时,仅需要调用一次对应的规则库即可,无需逐一调用规则库对应的每一防护规则;此外,由于同一类型的字段对应的防护规则对应同一规则库,因此防护规则数量的增加只会增加同一规则库内的防护规则数量,不会增加规则库的调用次数。如此,有利于通过减少调用次数,降低正则匹配对CPU资源的消耗。
步骤103:判断是否匹配成功;若成功,执行步骤104和步骤110;若不成功,执行步骤105。
本实施例中,“遍历”指的是对表头内的多个字段逐一进行正则匹配,即在上一字段的正则匹配完成,且根据匹配结果表征还需要对下一字段进行正则匹配时,对下一字段进行正则匹配。
其中,多个字段的正则匹配排序既可以是表头中字段的实际位置排序,也可以是根据预设的字段排序规则得到的排序。举例来说,根据字段类型进行字段排序,某一类型的字段包含有恶意攻击的可能性较大时,优先对该类型的字段进行正则匹配;此外,还可以根据字段长度进行排序,由于字段越长包含有恶意攻击的可能性越高,因此可先对字段长度较长的字段进行正则匹配。如此,有利于在访问请求包含有恶意攻击时,更快检测到该恶意攻击,减少匹配到恶意攻击所需的正则匹配次数,进而降低正则匹配的CPU消耗以及提高WAF系统的性能。
本实施例中,Hyperscan匹配库在运行期的运行原理如图3所示,具体包括:向编译器203输入访问请求200和规则库204,以将访问请求200表头内的字段与对应的规则库204进行匹配,并且通过回调函数来自定义匹配发生后采取的行为。其中,回调函数包括:若任一字段与对应的规则库中的任一防护规则匹配成功,停止遍历剩余字段,且对访问请求进行拦截处理;若任一所述字段与对应的所述规则库匹配失败,进行下一所述字段的匹配,直至所有所述字段完成匹配,所有所述字段完成匹配且全部匹配失败时,对所述访问请求进行放行处理。
Hyperscan匹配库在进入运行期之前,还包括:申请一段内存,且在申请到内存之后,将编译期生成的规则库204读取到内存;在读取规则库204之后,调用Hyperscan匹配库内部的匹配引擎(NFA,DFA等)对输入的访问请求200进行模式匹配,即将访问请求200设置为块模式,以使访问请求200能够与规则库204进行匹配。
此外,若OpenResty服务器使用Intel处理器,Hyperscan匹配库在匹配引擎中可使用Intel处理器所具有的SIMD指令对正则匹配进行加速。
步骤104:对访问请求进行拦截处理。
拦截处理指的是,阻拦访问请求发送至指向的目标资源站点。拦截处理还可以包括:向发送访问请求的客户端发送拦截通知,拦截通知用于告知访问请求中包含有恶意攻击,无法访问目标资源站点,以便于客户端及时进行调整。
本实施例中,当任一字段与对应的规则库中任一防护规则匹配成功时,直接对访问请求进行拦截处理,并停止遍历剩余字段。如此,有利于提高WAF系统对访问请求的处理效率。
步骤105:是否完成遍历;若未完成,继续执行步骤102,若已完成,执行步骤106。
为保证发送至目标资源站点的访问请求中不包含恶意攻击,需要对表头内的所有字段进行正则匹配。具体地,当任一字段与对应的规则库匹配失败时,进入下一字段的匹配,直到所有字段与对应的规则库完成匹配且全部匹配失败时,对访问请求进行放行处理,即将访问请求发送至目标资源站点。
步骤106:将访问请求发送至目标资源站点,并获取返回的内容,对内容进行正则匹配。
在WAF系统将访问请问转发至目标资源站点之后,目标资源站点会响应于访问请求的而返回相应的内容,WAF系统获取该返回的内容,并在将该内容转发至客户端之前,对内容进行正则匹配,识别内容中是否包含允许范围之外的信息。
本实施例中,允许范围之外的信息包括敏感信息,敏感信息的内容可以根据需要进行设定,例如涉及黄赌毒的内容,涉及暴力的内容,涉及国家安全的内容等。
步骤107:判断是否匹配成功;若成功,执行步骤108和步骤110,若不成功,执行步骤109和步骤110。
若匹配成功,说明返回的内容中包含敏感信息,需要对返回的内容进行修改;若不成功,则说明返回的内容中不包含敏感信息,可以直接将返回的内容转发给客户端。
步骤108:修改内容。
具体地,可采用空格、模糊词(如“敏感”、“xx”)以及警示语(如“[此处涉及敏感内容]”)等内容替换掉敏感内容,并在进行替换之后,执行步骤步骤109。
步骤109:返回内容。
具体地,在确认不包含敏感信息的情况下,直接进行放行处理,将返回的内容转发至客户端;在包含敏感信息的条件下,对内容中的敏感信息进行替换并对替换后的内容进行放行处理,将替换后的内容转发至客户端。
步骤110:记录日志。
本实施例中,若访问请求的表头字段与对应的规则库匹配成功,则记录下该访问请求包括恶意攻击;在对返回的内容进行正则匹配后,对正则匹配的结果进行记录,正则匹配的结果包括内容不包含敏感信息或包含敏感信息。
本实施例中,通过模拟高并发环境对WAF系统的性能进行测试,以评估性能提升效果。测试条件为:测试用客户端一台,一个无业务逻辑的简单接口服务以及具有较高性能的目标资源站点,其中,目标资源站点具有较高性能能够使得WAF系统性能受目标资源站点性能限制的影响降到最低。
具体测试内容包括:压测服务器三台,模拟高并发请求,通过增加并发用户数进行压力测试得到最高TPS(TransactionPerSecond,每秒事物处理量)。对比测试分为三组,第一组基于纯净的OpenResty代理,第二组基于PCRE匹配库的匹配规则,第三组基于Hyperscan匹配库的匹配规则,第二组和第三组的防护规则相同。模拟的访问请求表头覆盖大多数请求头,请求头大小500字节。压测结果如下:
并发用户数 | CPU均值 | 最高TPS | 平均时延(ms) | |
无WAF | 800 | 10% | 70612 | 8 |
PCRE WAF | 400 | 95% | 3632 | 122 |
Hyperscan WAF | 600 | 90% | 313512 | 16 |
从以上结果可以看出,不进行安全防护时,CPU消耗很低,源站性能很高,不影响第二组和第三组测试,该性能瓶颈在带宽。基于PCRE或Hyperscan的WAF均对CPU资源消耗大。基于Hyperscan的WAF性能较PCRE的性能高将接近10倍,时延增加从平均114ms降低到8ms,对用户体验提升效果很明显。综上所述,基于Hyperscan的WAF系统在性能方面提升很大。
本实施例中,任一字段仅需要与对应的规则库中的防护规则进行匹配即可,而无需与所有的防护规则进行匹配,有利于减少匹配次数,降低对CPU资源的消耗;此外,采用调用规则库的方式实现与字段对应的多个防护规则的同时调用,有利于减少调用次数,降低数据调用对CPU资源的消耗;同时,防护规则数量的增加不会增加规则库的调用次数,有利于降低规则调用对CPU资源的消耗。
本发明另一实施例还提供一种安全防护方法,与前一实施例不同的是,本实施例中,在字段与防护规则匹配成功后,根据防护规则的属性信息对访问请求进行拦截处理或放行处理。以下将结合图4进行详细说明,图4为本发明另一实施例提供的安全防护方法的流程示意图。与上一方法实施例相同或者相应的步骤,可参考上一方法实施例的相应说明,以下不做赘述。
本实施例中,在步骤401之后,若字段与规则库中的任一防护规则匹配成功,则执行步骤402:查询状态数据文件,确认危险等级是否为高。
具体地,在字段与规则库中的任一防护规则匹配成功后,采用Hyperscan匹配库获取匹配成功的防护规则的位置编号;根据位置编号从状态数据文件中获取规则的属性信息,状态数据文件包含所有规则库中的防护规则的属性信息。
由于现有的Hyperscan匹配库仅能获取匹配成功的防护规则处于规则库中的哪一行,不具备根据匹配成功的防护规则解析并反馈具体攻击类型、攻击级别等攻击信息的能力,而为了记录日志和审计,需要上述攻击信息。因此,可在Hyperscan匹配库的编译期对防护规则的编排规范进行定义,以实现通过行数信息获取防护规则的属性信息。
举例来说,防护规则的编排规范可包括以下形式:
${正则规则}${分隔符}${规则类型}${分隔符}${危险等级}${分隔符}${规则唯一编号}${分隔符}${是否区分大小写}
其中,${}表示一个占位符。
本实施例中,将所有的防护规则(用于匹配表头和匹配内容的防护规则)按照上述规范进行逐行编排,在逐行编排完成之后就可以形成状态数据文件,状态数据文件包括所有的防护规则及其属性信息;通过从状态数据文件中按行提取防护规则的正则规则,并使用编译器进行编译可生成规则库。如此,当获取到匹配成功的防护规则的行数时,可通过行数从状态数据文件中获取防护规则的属性信息。
需要说明的是,在其他实施例中,反馈的位置信息还可以是列数等信息,位置信息的内容与状态数据文件的编排方式有关。若防护规则按行编排,则反馈的位置信息为行数;若防护规则按列编排,则反馈的位置信息为列数。
本实施例中,属性信息至少包括危险等级。若匹配成功的防护规则的危险等级为高,则执行步骤403;若匹配成功的防护规则的位线等级为中或低,则执行步骤404。在只有危险等级较高的恶意攻击才能对目标资源站点造成破坏时,对包含有较低危险等级的恶意攻击的访问请求进行放行处理(同时也可以进行告警提示),能够在实现安全防护效果的同时,允许更多的访问请求获取目标资源站点的内容,从而实现安全防护的自定义化。
本实施例中,在执行步骤405之后,若内容中的字段与对应的规则库匹配成功,则执行步骤406:查询状态数据文件。
具体地,若字段与对应的规则库匹配成功,则根据匹配成功的防护规则的位置编号查询状态数据文件,从而获取匹配成功的防护规则的属性信息。
步骤407:记录日志。
本实施例中,在执行步骤402和执行步骤406之后,即获取匹配成功的防护规则的属性信息之后记录日志,如此,日志中的内容不仅包含访问请求的匹配结果以及匹配成功的防护规则,还包括匹配成功的防护规则的属性信息。防护规则的属性信息可用于分析访问请求的特点和模式,以便于制定更好的安全防护策略。
本实施例中,在表头字段与防护规则匹配成功之后,根据匹配成功的防护规则的属性信息对访问请求进行拦截处理和放行处理,如此,以通过设置防护规则的属性信息,定义不同类型的字段匹配成功后对访问请求的防护方法,提高安全防护方法的灵活性。
本发明又一实施例还提供一种安全防护方法,与前一实施例不同的是,本实施例中,WAF系统还包括Redis库,Redis库用于获取更新后规则库和更新信号量,信号量为规则库的更新次数计数值。以下将结合图5进行详细说明,图5为本发明又一实施例提供的WAF系统的结构示意图。与上一方法实施例相同或者相应的内容,可参考上一方法实施例的相应说明,以下不做赘述。
参考图5,WAF系统501包括Redis库502和OpenResty服务器503,Redis库502用于获取更新后规则库更新信号量,信号量为规则库的更新次数计数值;OpenResty服务器内具有信号量和可存储规则库的本地内存505,OpenResty服务器503在重启时将本地内存505内存储的规则库作为规则库的初始化配置。
Redis库502被设置于OpenResty服务器503的一个集群环境中,例如一间机房中,该机房内具有多个OpenResty服务器503以及一个Redis库502,不同集群环境之间的OpenResty服务器503是相互独立的。
Redis库502可以通过http接口主动或被动地远程获取更新后规则库,且在获取更新后规则库之后,采用更新后规则库替换原有规则库;Redis库502的内部规则库每进行一次更新,信号量的数值加1,信号量可表征规则库的版本。OpenResty服务器503具有某一版本的规则库和与规则库版本对应的信号量。
本实施例中,定时对比Redis库502内的信号量和OpenResty服务器503内的信号量,若OpenResty服务器503内的信号量小于Redis库502内的信号量,则说明OpenResty服务器503内的规则库需要更新;此时,OpenResty服务器503读取Redis库502内的更新后规则库,并将更新后规则库写入本地内存505中,以及将OpenResty服务器503内的信号量设置为Redis库502内的信号量。其中,“定时对比”包括每隔一固定时间进行对比,或者,根据预设时间规划进行对比。
如此,由于更新后规则库是预存于本地内存505中,等待OpenResty服务器503的重新启动,而不是直接中断OpenResty服务器503的当前进程并替换OpenResty服务器503中规则库,因此,不会打断OpenResty服务器503的运行进程;不同进程的OpenResty服务器503可以根据实际运行情况进行重启,以实现规则库更新。也就是说,通过上述手段,可实现规则库的跨进程更新。
此外,由于不同集群环境之间的OpenResty服务器503是相互独立的,因此不同集群(机房)的OpenResty服务器503可以根据各自的时间安排进行信号量对比,以将更新后规则库存于本地内存505中。也就是说,不同集群环境之间的OpenResty服务器503无需同时进行规则更新,以及无需同时将规则库存于本地内存505中,如此,可实现规则库的跨集群更新。
本实施例中,每台OpenResty服务器503包括共享内存504和多个工作线程506,每个工作线程506具有独立的独占内存507,共享内存504和独占内存507都可以用于存储规则库和信号量,工作线程506在实际运行过程中使用独占内存507中存储的规则库。WAF系统501的运行原理如下:
1)WAF系统501启动并进行初始化。此时Redis库502和OpenResty服务器503内的信号量都为零;
2)工作线程506开启定时任务,以将Redis库502中的信号量写入共享内存504中。由于存在并发写的冲突问题,因此该写入动作仅需要一个工作线程506执行即可;
3)对比共享内存504内的信号量和独占内存507内的信号量。若独占内存507内的信号量小于共享内存504内的信号量,说明独占内存507内的规则库需要更新,则采用共享内存504内的信号量替换独占内存507内的原有信号量,并将Redis库502内的规则库通过共享内存504写入本地内存505中;若独占内存507内的信号量等于共享内存504内的信号量,说明独占内存507内的规则库不需要更新,则等待下一次信号量对比。
本实施例中,工作线程506从共享内存504中读取数据的速度大于从Redis库502中读取数据的速率,当OpenResty服务器503内具有多个工作线程506时,先将Redis库502中的信息拉入共享内存504,再从共享内存504内读取数据,有利于缩短数据读取耗时,降低数据读取对CPU资源的消耗。
本实施例中,通过在集群环境下设置获取更新后规则库的Redis库502,以及设置可用于存储规则库的本地内存505,实现了处于不同位置和不同进程的OpenResty服务器503的跨位置、跨进程更新,适合当前云WAF系统多节点部署的场景。
相应地,本发明实施例还提供一种WAF系统,用于执行上述安全防护方法。
参照图6,WAF系统601包括OpenResty服务器602,OpenResty服务器602至少包括处置模块604和规则模块605,规则模块605基于Hyperscan匹配库搭建;处置模块604用于接收访问请求,访问请求的表头中具有至少一个类型的字段;规则模块605存储有基于字段的类型对应的防护规则,编译生成的与每一类型的字段对应的规则库,同一规则库对应至少一个防护规则,且用于遍历所有字段,将字段与对应的规则库进行匹配;迟滞模块604还用于基于匹配的匹配结果,对访问请求进行拦截处理或者放行处理。
为了清楚描述WAF系统中各个模块的功能及其作用,以下通过WAF系统601的工作流程介绍各个模块的功能。
具体地,处置模块604通过流量接口603接收客户端600发送的访问请求,处置模块604在接收到访问请求之后对访问请求表头中的字段进行解析,并将解析得到的所有字段发送至规则模块605以进行正则匹配。
通信接口606在接收到规则管理模块608发送的带有属性信息的多个防护规则后,对多个防护规则进行规范化编排,以形成状态数据文件607;且将状态数据文件607发送至规则模块605,以使规则模块605能够提取出正则规则并编译生成与字段类型对应的规则库。
规则模块605在接收到字段信息后,遍历所有字段,将字段与对应的规则库进行匹配;若字段与任一规则库中的防护规则匹配成功,规则模块605向处置模块发送匹配成功的防护规则在规则库中的位置信息,处置模块604根据位置信息从状态数据文件607中获取匹配成功的防护规则的属性信息,属性信息至少包括危险等级,危险等级包括高中低三级。
若危险等级为高,处置模块604对访问请求进行拦截处理,并向客户端600反馈拦截信息;若危险等级为低或中,处置模块604向规则模块605发送继续遍历剩余字段的指令,规则模块605在接收到指令后继续遍历剩余字段,在所有字段完成匹配且全部匹配失败后,规则模块605向处置模块发送匹配结果。处置模块604根据匹配结果对访问请求进行放行处理,即将访问请求发送至其指向的目标资源站点609。
处置模块604在转发访问请求至目标资源站点609之后,还用于接收目标资源站点609响应于访问请求所返回的内容,并将内容发送至规则模块605,以使规则模块605对内容进行正则匹配,以确认返回的内容中是否包含敏感信息。
在规则模块605将正则匹配的匹配结果发送至处置模块604后,若匹配结果表征内容中包含敏感信息,则替换掉敏感信息,并向客户端600转发替换后的内容;若匹配结果表征内容中不包含敏感信息,则直接将内容转发至客户端600。
本实施例中,基于字段类型对应的防护规则编译生成每一类型的字段对应的规则库,且字段与对应的规则库进行匹配,如此,任一字段仅需要与对应的规则库中的防护规则进行匹配即可,而无需与所有的防护规则进行匹配,有利于减少匹配次数,降低对CPU资源的消耗;此外,采用调用规则库的方式实现与字段对应的多个防护规则的同时调用,有利于减少调用次数,降低数据调用对CPU资源的消耗;同时,防护规则数量的增加不会增加规则库的调用次数,有利于降低规则调用对CPU资源的消耗。
参考图7,图7为本发明一实施例提供的一种电子设备结构示意图,包括至少一个处理器701;以及,与所述至少一个处理器701通信连接的存储器702;其中,所述存储器702存储有可被所述至少一个处理器701执行的指令,所述指令被所述至少一个处理器701执行,以使所述至少一个处理器701能够执行上述的视频剪辑方法。
其中,存储器702和处理器701采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器701和存储器702的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器701处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器。
处理器701负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器702可以被用于存储处理器701在执行操作时所使用的数据。
本发明再一实施例涉及一种存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。
即,本领域技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。任何本领域技术人员,在不脱离本发明的精神和范围内,均可作各自更动与修改,因此本发明的保护范围应当以权利要求限定的范围为准。
Claims (11)
1.一种安全防护方法,其特征在于,应用于WAF系统,所述WAF系统至少包括OpenResty服务器,所述OpenResty服务器基于Hyperscan匹配库搭建;包括:
接收访问请求,所述访问请求的表头中具有至少一个类型的字段;
利用所述OpenResty服务器,基于所述字段的类型对应的防护规则,采用所述Hyperscan匹配库编译生成与每一类型的所述字段对应的规则库,同一所述规则库对应多个所述防护规则;
遍历所有所述字段,将所述字段与对应的所述规则库进行匹配;
基于所述匹配的匹配结果,对所述访问请求进行拦截处理或者放行处理。
2.根据权利要求1所述的安全防护方法,其特征在于,所述基于所述匹配的匹配结果,对所述访问请求进行拦截处理或者放行处理,包括:若任一所述字段与对应的所述规则库匹配成功,对所述访问请求进行拦截处理,并停止遍历剩余字段;若任一所述字段与对应的所述规则库匹配失败,进行下一所述字段的匹配,直至所有所述字段完成匹配,所有所述字段完成匹配且全部匹配失败时,对所述访问请求进行放行处理。
3.根据权利要求1所述的安全防护方法,其特征在于,所述基于所述匹配的结果,对所述访问请求进行拦截处理或者放行处理,包括:若所述字段与所述规则库所对应的任一所述防护规则匹配成功,则根据匹配成功的所述防护规则的属性信息对所述访问请求进行拦截处理或放行处理;其中,所述属性信息至少包括危险等级。
4.根据权利要求3所述的安全防护方法,其特征在于,获取匹配成功的所述防护规则的属性信息,包括:采用所述Hyperscan匹配库获取匹配成功的所述防护规则的位置编号;根据所述位置编号从状态数据文件中获取所述防护规则的属性信息,所述状态数据文件包含所有所述规则库中的所述防护规则的属性信息。
5.根据权利要求1所述的安全防护方法,其特征在于,对所述访问请求进行放行处理后,还包括:将所述访问请求发送至所述访问请求指向的目标资源站点;接收所述目标资源站点响应于所述访问请求而返回的内容;对所述内容进行正则匹配,并根据所述正则匹配的内容匹配结果,对所述内容进行放行处理,或者,修改所述内容并对修改后内容进行放行处理。
6.根据权利要求5所述的安全防护方法,其特征在于,所述对所述内容进行正则匹配,包括:识别所述内容是否包含敏感信息;若所述内容包括所述敏感信息,则对所述内容中的所述敏感信息进行替换并对替换后内容进行放行处理;若所述内容不包括所述敏感信息,则对所述内容进行放行处理。
7.根据权利要求1所述的安全防护方法,其特征在于,所述WAF系统还包括Redis库,所述Redis库用于获取更新后规则库和更新信号量,所述信号量为所述规则库的更新次数计数值,所述OpenResty服务器内具有信号量和可存储规则库的本地内存,所述OpenResty服务器在重启时将所述本地内存存储的规则库作为所述规则库的初始化配置;还包括:
利用所述Redis库获取更新后规则库,并在获取到所述更新后规则库后更新所述信号量;
对比所述Redis库内的信号量和所述OpenResty服务器内的信号量,若所述OpenResty服务器内的信号量小于所述Redis库内的信号量,则将所述更新后规则库写入所述本地内存中、并将所述Redis库内的信号量设置为所述OpenResty服务器内的信号量。
8.根据权利要求7所述的安全防护方法,其特征在于,所述OpenResty服务器具有共享内存和多个相互独立的工作线程,每一所述工作线程具有独占内存,所述共享内存和所述独占内存用于存储所述规则库和所述信号量,所述工作线程在重启时将所述独占内存中原有的所述规则库替换为所述本地内存存储的所述规则库,所述工作线程从所述共享内存读取数据的速率大于所述从所述Redis库读取数据的速率;所述对比所述Redis库内的信号量和所述OpenResty服务器内的信号量,包括:
将所述Redis库内的所述信号量写入所述共享内存中;
对比所述共享内存内的信号量和所述独占内存内的信号量,若所述独占内存内的信号量小于所述共享内存内的信号量,将所述Redis库内的所述规则库写入所述共享内存中,并将所述共享内存内的规则库写入所述本地内存中,以及将所述独占内存内的信号量设置为所述共享内存内的信号量。
9.一种WAF系统,其特征在于,包括:OpenResty服务器,所述OpenResty服务器至少包括处置模块和规则模块,所述规则模块基于Hyperscan匹配库搭建;
所述处置模块用于接收访问请求,所述访问请求的表头中具有至少一个类型的字段;
所述规则模块存储有基于所述字段的类型对应的防护规则,编译生成的与每一类型的所述字段对应的规则库,同一所述规则库对应至少一个所述防护规则,且用于遍历所有所述字段,将所述字段与对应的所述规则库进行匹配;所述处置模块还用于基于所述匹配的匹配结果,对所述访问请求进行拦截处理或者放行处理。
10.一种电子设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至8中任一所述的安全防护方法。
11.一种存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的安全防护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010522785.4A CN111786959B (zh) | 2020-06-10 | 2020-06-10 | 安全防护方法、waf系统、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010522785.4A CN111786959B (zh) | 2020-06-10 | 2020-06-10 | 安全防护方法、waf系统、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111786959A CN111786959A (zh) | 2020-10-16 |
CN111786959B true CN111786959B (zh) | 2022-09-06 |
Family
ID=72755895
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010522785.4A Active CN111786959B (zh) | 2020-06-10 | 2020-06-10 | 安全防护方法、waf系统、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111786959B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112182590A (zh) * | 2020-11-16 | 2021-01-05 | 中国银联股份有限公司 | 一种Web应用的漏洞更新方法及装置 |
CN112615874B (zh) * | 2020-12-23 | 2022-11-15 | 北京天融信网络安全技术有限公司 | 一种网络防护方法及装置 |
CN112671618B (zh) * | 2021-03-15 | 2021-06-15 | 北京安帝科技有限公司 | 深度报文检测方法和装置 |
CN113596043B (zh) * | 2021-08-03 | 2023-03-24 | 中国电信股份有限公司 | 攻击检测方法、攻击检测装置、存储介质与电子设备 |
CN114039778A (zh) * | 2021-11-09 | 2022-02-11 | 深信服科技股份有限公司 | 一种请求处理方法、装置、设备及可读存储介质 |
CN114070596A (zh) * | 2021-11-10 | 2022-02-18 | 上海钧正网络科技有限公司 | Web应用防护系统的性能优化方法、系统、终端及介质 |
CN114726650B (zh) * | 2022-05-17 | 2022-08-23 | 北京航天驭星科技有限公司 | 任务请求处理方法、装置、电子设备及计算机可读介质 |
CN115208657A (zh) * | 2022-07-11 | 2022-10-18 | 阿里云计算有限公司 | 日志安全检测方法、装置、电子设备及存储介质 |
CN115242535A (zh) * | 2022-07-28 | 2022-10-25 | 深圳奇迹智慧网络有限公司 | 基于OpenResty的防火墙防御方法、装置、计算机设备和存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108111466A (zh) * | 2016-11-24 | 2018-06-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
CN109413108A (zh) * | 2018-12-18 | 2019-03-01 | 杭州安恒信息技术股份有限公司 | 一种基于安全的waf检测方法和系统 |
CN110213286A (zh) * | 2019-06-12 | 2019-09-06 | 四川长虹电器股份有限公司 | 一种基于双引擎的高效waf设计方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9237128B2 (en) * | 2013-03-15 | 2016-01-12 | International Business Machines Corporation | Firewall packet filtering |
US10645122B2 (en) * | 2018-05-22 | 2020-05-05 | Appviewx Inc. | System for monitoring and managing firewall devices and firewall management platforms |
-
2020
- 2020-06-10 CN CN202010522785.4A patent/CN111786959B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108111466A (zh) * | 2016-11-24 | 2018-06-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
CN109413108A (zh) * | 2018-12-18 | 2019-03-01 | 杭州安恒信息技术股份有限公司 | 一种基于安全的waf检测方法和系统 |
CN110213286A (zh) * | 2019-06-12 | 2019-09-06 | 四川长虹电器股份有限公司 | 一种基于双引擎的高效waf设计方法 |
Non-Patent Citations (2)
Title |
---|
OpenResty在腾讯游戏营销技术中的应用和实践;开涛的博客;《搜狐》;20190329;第1,5-6页 * |
软件定义网络控制器安全策略部署;王明芬;《电信快报》;20191210(第12期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111786959A (zh) | 2020-10-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111786959B (zh) | 安全防护方法、waf系统、电子设备及存储介质 | |
US9053319B2 (en) | Context-sensitive taint processing for application security | |
US20200120082A1 (en) | Techniques for securing credentials used by functions | |
US8739280B2 (en) | Context-sensitive taint analysis | |
KR101109393B1 (ko) | 소프트웨어 취약성의 이용을 방지하기 위한 통신 메시지 필터링 방법 및 시스템 | |
CN110941528B (zh) | 一种基于故障的日志埋点设置方法、装置及系统 | |
KR101806090B1 (ko) | 멀웨어 검출을 위한 애플리케이션들의 제네릭 언패킹 | |
US20210014251A1 (en) | Systems and methods for protecting devices from malware | |
CA2485062A1 (en) | Security-related programming interface | |
US8799923B2 (en) | Determining relationship data associated with application programs | |
US20240020131A1 (en) | Isolating applications at the edge | |
US10986112B2 (en) | Method for collecting cyber threat intelligence data and system thereof | |
US10878105B2 (en) | System and method for identifying vulnerabilities of applications by intercepting function calls | |
EP3361407B1 (en) | System and method for performing antivirus scan of a web page | |
CN104252594B (zh) | 病毒检测方法和装置 | |
US10540154B2 (en) | Safe loading of dynamic user-defined code | |
CN110048932A (zh) | 邮件监控功能的有效性检测方法、装置、设备及存储介质 | |
CN111800490A (zh) | 获取网络行为数据的方法、装置及终端设备 | |
US10635516B2 (en) | Intelligent logging | |
CN114297630A (zh) | 恶意数据的检测方法、装置、存储介质及处理器 | |
KR101458930B1 (ko) | 멀티 노드를 이용하는 스마트 단말 퍼징 장치 및 그 방법 | |
CN112800474B (zh) | 一种数据脱敏方法、装置、存储介质及电子装置 | |
US20230053322A1 (en) | Script Classification on Computing Platform | |
KR102426889B1 (ko) | 대용량 이벤트 로그에 대한 로그 타입별 데이터 분석 처리 장치, 방법 및 프로그램 | |
CN117574389A (zh) | 一种可重入攻击向量的生成方法、装置和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |