CN111988280A - 服务器与请求处理方法 - Google Patents
服务器与请求处理方法 Download PDFInfo
- Publication number
- CN111988280A CN111988280A CN202010725354.8A CN202010725354A CN111988280A CN 111988280 A CN111988280 A CN 111988280A CN 202010725354 A CN202010725354 A CN 202010725354A CN 111988280 A CN111988280 A CN 111988280A
- Authority
- CN
- China
- Prior art keywords
- user request
- request
- server
- module
- service module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 16
- 238000001514 detection method Methods 0.000 claims abstract description 168
- 230000004044 response Effects 0.000 claims description 108
- 230000002159 abnormal effect Effects 0.000 claims description 22
- 238000000034 method Methods 0.000 claims description 19
- 230000006870 function Effects 0.000 abstract description 5
- 230000008569 process Effects 0.000 description 10
- 230000001133 acceleration Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000004927 fusion Effects 0.000 description 6
- 230000003993 interaction Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000002347 injection Methods 0.000 description 4
- 239000007924 injection Substances 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例涉及网络安全技术领域,公开了一种服务器与请求处理方法。服务器,包括:相互连接的业务模块与安全防护模块;业务模块用于在接收到的用户请求需要安全检测时,将用户请求发送到安全防护模块;安全防护模块用于对用户请求进行攻击检测,并将得到的攻击检测结果发送到业务模块;业务模块用于根据攻击检测结果,对用户请求进行响应。本发明中,将安全防护模块作为业务模块的子服务,来提供安全防护功能;并且安全防护模块仅用于进行攻击检测,减小了安全防护模块对服务器内存的消耗,降低了安全防护模块与业务模块之间的相互影响,使得同一服务器能够同时提供多种服务。
Description
技术领域
本发明实施例涉及网络安全技术领域,特别涉及一种服务器与请求处理方法。
背景技术
Web应用防火墙(Web Application Firewall,简称WAF)系统主要用于对Web服务中遇到的入侵和攻击进行防护,例如DDOS防护、SQL注入、XML注入、XSS防护等。WAF系统在提供防护服务时是按域名粒度来进行安全防护,将各域名的配置文件加载到内存中,每个域名的配置文件中包括对应设置的防护策略。
然而,发明人发现现有技术至少存在以下技术问题:若将WAF系统部署到单独的WAF服务集群,该WAF防护集群仅用于提供WAF服务,则会造成大量的服务器资源浪费,服务成本较高;若将WAF系统同其他业务系统(例如CDN网络中的缓存加速系统)部署到同一服务器,由于WAF系统需要针对每个域名设置对应的防护策略,服务器会将所有域名的配置文件到加载到内存中,导致WAF系统在进行安全防护时消耗大量的服务器内存与CPU,此时服务器所提供的其他业务服务会受到影响,可能会导致服务器瘫痪,造成重大故障与经济损失。
发明内容
本发明实施方式的目的在于提供一种服务器与请求处理方法,将安全防护模块作为业务模块的子服务,来提供安全防护功能;并且安全防护模块仅用于进行攻击检测,减小了安全防护模块对服务器内存的消耗,降低了安全防护模块与业务模块之间的相互影响,使得同一服务器能够同时提供多种服务。
为解决上述技术问题,本发明的实施方式提供了一种服务器,包括:相互连接的业务模块与安全防护模块;业务模块用于在接收到的用户请求需要安全检测时,将用户请求发送到安全防护模块;安全防护模块用于对用户请求进行攻击检测,并将得到的攻击检测结果发送到业务模块;业务模块用于根据攻击检测结果,对用户请求进行响应。
本发明的实施方式还提供了一种请求处理方法,应用于服务器中的业务模块,服务器还包括连接于业务模块的安全防护模块;方法包括:在接收到的用户请求需要安全检测时,将用户请求发送到安全防护模块;接收安全防护模块返回的对用户请求进行攻击检测后得到的攻击检测结果;根据攻击检测结果,对用户请求进行响应。
本发明实施方式相对于现有技术而言,提供一种融合业务模块与安全防护模块的融合服务器,该融合服务器的业务模块能够在接收到的用户请求需要安全检测时,将用户请求发送到安全防护模块,安全防护模块则能够对用户请求进行攻击检测,并将得到的攻击检测结果发送到业务模块,从而业务模块可以根据攻击检测结果,对用户请求进行响应,即在融合服务器中,将安全防护模块作为业务模块的子服务,来提供安全防护功能;并且安全防护模块仅用于进行攻击检测,减小了安全防护模块对服务器内存的消耗,降低了安全防护模块与业务模块之间的相互影响,使得同一服务器能够同时提供多种服务;并且,由业务模块负责用户请求与响应内容的转发,避免了多处流程的重复处理。
另外,业务模块用于对用户请求进行复制,并将复制的用户请求发送到安全防护模块。本实施方式提供了一种业务模块将用户请求发送到安全防护模块的方式。
另外,业务模块用于生成包括用户请求的请求头的子请求,并将子请求发送到安全防护模块;安全防护模块用于对子请求进行攻击检测,并将得到的攻击检测结果发送到业务模块。本实施方式中,业务模块通过子请求的方式将用户请求发送到安全防护模块,子请求对内存占用较少,并且不会一直占据进程资源,进一步减小了对服务器资源的占用。
另外,业务模块用于在攻击检测结果表征用户请求为正常状态时,将用户请求转发到目标服务器,并将接收到的目标服务器返回的响应内容作为用户请求的响应;业务模块用于在攻击检测结果表征用户请求为异常状态时,将预设的拦截页面作为用户请求的响应。本实施方式提供了一种根据攻击检测结果,对用户请求进行响应。
另外,业务模块还用于在接收到目标服务器返回的响应内容时,对响应内容进行安全检测,得到安全检测结果;业务模块还用于在安全检测结果表征响应内容为正常状态时,将响应内容作为用户请求的响应;业务模块还用于在安全检测结果表征响应内容为异常状态时,将预设的拦截页面作为用户请求的响应。本实施方式中,利用业务模块对响应内容进行安全检测,即业务模块无需通过安全防护模块便能够直接进行响应内容的安全检测,减少了响应内容的转发操作,简化了安全检测流程。
另外,业务模块与安全防护模块均为基于nginx的模块。
另外,业务模块用于在接收到用户请求时,获取用户请求包含的目标域名的配置信息;业务模块用于根据目标域名的配置信息,判断用户请求是否需要安全检测。本实施方式提供了业务模块判断用户请求是否需要安全检测的一种具体实现方式。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1是已知的一种共同服务模式服务器的方框示意图;
图2是根据本发明第一实施方式中的服务器的方框示意图;
图3是根据本发明第一实施方式中的服务器、客户端以及目标服务器之间的交互时序图;
图4是根据本发明第二实施方式中的服务器、客户端以及目标服务器之间的交互时序图;
图5是根据本发明第三实施方式中的请求处理方法的具体流程图;
图6是图5中步骤103的具体流程图;
图7是根据本发明第四实施方式中的请求处理方法的具体流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。
请参考图1,为已知的WAF系统同其他业务系统(图中以CDN网络中的缓存加速系统为例)部署到同一服务器的方式,形成了一个共同服务模式服务器,该服务器中缓存加速系统能够判断用户侧的客户端发送的用户请求是否需要安全检测,若用户请求需要安全检测,再将用户请求转交到WAF系统,由WAF系统对其进行安全检测。WAF系统在判定安全检测通过时,将该用户请求转发给web服务器,并接收web服务器返回的响应内容,然后对响应内容进行检测,若响应内容通过检测,将响应内容转交给缓存加速系统,由缓存加速系统发送响应内容给客户端。但是,缓存加速系统在判断是否需要安全检测、WAF系统在进行安全检测时,均需加载完整的域名的配置信息,即需要加载两份域名的配置信息,导致服务器内存与CPU占用过大,影响缓存加速系统提供正常服务,严重时甚至会导致服务器瘫痪;另外,WAF系统在进行安全防护时,需要WAF系统转发用户请求与响应内容,导致了多处流程的重复处理,例如头文件解析、响应内容转发等。基于此,发明人提出了本申请的技术方案。
本发明的第一实施方式涉及一种服务器,服务器可以为CDN网络中的边缘节点,请参考图2,服务器包括相互连接的业务模块1与安全防护模块2,业务模块1用于为用户提供加速缓存服务,为业务系统软件;安全防护模块2用于为用户提供安全防护服务,例如为WAF系统软件,这两个软件融合后部署在同一个服务器中,从而可以同时为用户提供多种服务;其中,业务模块1与安全防护模块2可以均为基于nginx的模块,即业务系统软件与WAF系统软件均为基于nginx的软件,适用于用户请求并发数较大的场景。
业务模块1用于在接收到的用户请求需要安全检测时,将用户请求发送到安全防护模块2。
具体的,服务器的内存中预先加载有各域名的配置信息,配置信息包括各域名是否需要安全检测的设置,业务模块1接收到用户通过客户端3发送的目标域名的用户请求时,可以读取该目标域名的配置信息,并能够根据该目标域名的配置信息,来判断用户请求是否需要安全检测。
当目标域名的配置信息表征该域名处于监控状态时,判定该用户请求需要进行安全检测,此时业务模块1将用户请求发送到安全防护模块2,由安全防护模块2对该用户请求进行安全过滤。
当目标域名的配置信息表征该域名处于拦截状态时,业务模块1则可以直接响应预设的拦截页面到客户端3。
当目标域名的配置信息表征该域名处于正常状态时,判定该用户请求不需要进行安全检测,此时将用户请求发送到目标服务器4,并将接收到的目标服务器4返回的响应内容转发到客户端3,其中目标服务器4可以为业务模块1所在服务器的父节点或目标域名的源站。
在一个例子中,业务模块1将用户请求发送到客户端3的方式包括以下两种:第一种,业务模块1在判定用户请求需要进行安全检测时,缓存原始用户请求,复制该用户请求,并将复制的用户请求发送到安全防护模块2;第二种,业务模块1在判定用户请求需要进行安全检测时,生成包括用户请求的请求头的子请求,并将子请求发送到安全防护模块2,从而安全防护模块2则直接对该子请求进行攻击检测,并将得到攻击检测结果发送到业务模块1,其中子请求可以为nginx内部的非标准的HTTP请求,专用于nginx服务器内部进行处理,子请求对内存占用较少,并且不会一直占据进程资源,进一步减小了对服务器资源的占用。在一个例子中,对于包括请求体的用户请求(例如POST请求),子请求还可以包括用户请求的请求体,具体的可以根据服务器中的配置来设定,例如服务器可以配置是否转发请求体、支持转发的方法、以及请求体大小的限制等等。
安全防护模块2用于对用户请求进行攻击检测,并将得到的攻击检测结果发送到业务模块1。安全防护模块2作为WAF系统,在接收到业务模块1发送的用户请求时,对该用户请求进行攻击检测,检测方式包括URL的正则匹配、请求头的检验等等,从而能够检测出该用户请求中是否存在SQL注入、XSS攻击、WEBSHELL攻击等等,并生成相应的攻击检测结果,并将该攻击检测结果返回到业务模块1。其中,攻击检测结果可以表征用户请求处于正常状态或者是异常状态,正常状态表示该用户请求中未包含攻击内容、异常状态表示该用户请求中包含攻击内容。其中,安全防护模块2可以在攻击检测结果表征用户请求处于异常状态时,生成攻击记录日志,该日志中包含完整的用户请求包、用户请求时间、请求IP、命中规则ID、攻击类型、规则库匹配到的攻击内容等信息,以便于后续对受到的攻击进行分析防范。
业务模块1用于根据攻击检测结果,对用户请求进行响应。具体的,业务模块1在攻击检测结果表征用户请求处于正常状态时,将用户请求发送到目标服务器4,并将接收到的目标服务器4返回的响应内容作为用户请求的响应,即将该响应内容转发给客户端3;业务模块1在攻击检测结果表征用户请求处于异常状态时,将预设的拦截页面作为用户请求的响应,即将该拦截页面发送到客户端3,其中拦截页面上可以包括http状态码403。
以业务模块1为基于nginx的业务系统软件、安全防护模块2为基于nginx的WAF系统软件为例,本实施例中服务器在利用业务系统软件提供基础的业务服务时,将WAF系统软件作为业务系统软件的子服务。其中,由于业务系统软件来判断用户请求是否需要进行安全检测,WAF系统软件仅用于提供安全攻击检测,从而仅需加载一份各域名的配置信息到服务器的内存中,WAF系统软件则无需加载各域名的配置信息到服务器的内存中,减少了对服务器内存的消耗,减小了部署在同一服务器中的WAF系统软件与业务系统软件之间的相互影响。
请参考图3,为服务器与客户端3以及目标服务器4之间的交互时序图,本实施例中,用户通过客户端3向业务系统软件发起请求,将用户请求发送到业务系统软件,业务系统软件在接收到用户请求后读取用户请求中包含的目标域名的配置信息,并根据该配置信息,判断用户请求是否需要进行安全检测。若配置信息表征用户请求处于正常状态,则判定用户请求不需要进行安全检测,将用户请求转发到目标服务器4,目标服务器4获取用户请求对应的响应内容,并将该响应内容发送到业务系统软件,业务系统软件则将该响应内容发送给客户端3;若配置信息表征用户请求处于监控状态,则判定用户请求需要进行安全检测,将用户请求发送到WAF系统软件,WAF系统软件则对该用户请求进行攻击检测,得到攻击检测结果,并将该攻击检测结果发送到业务系统软件。
业务系统软件在该攻击检测结果表征用户请求处于正常状态时,将该用户请求转发给目标服务器4,目标服务器4获取用户请求对应的响应内容,并将该响应内容发送到业务系统软件,业务系统软件则将该响应内容发送给客户端3;业务系统软件在该攻击检测结果表征用户请求处于异常状态时,将预设的拦截页面作为用户请求的响应发送到客户端3。
本实施例相对于现有技术而言,提供一种融合业务模块与安全防护模块的融合服务器,该融合服务器的业务模块能够在接收到的用户请求需要安全检测时,将用户请求发送到安全防护模块,安全防护模块则能够对用户请求进行攻击检测,并将得到的攻击检测结果发送到业务模块,从而业务模块可以根据攻击检测结果,对用户请求进行响应,即在融合服务器中,将安全防护模块作为业务模块的子服务,来提供安全防护功能;并且安全防护模块仅用于进行攻击检测,减小了安全防护模块对服务器内存的消耗,降低了安全防护模块与业务模块之间的相互影响,使得同一服务器能够同时提供多种服务;并且,由业务模块负责用户请求与响应内容的转发,避免了多处流程的重复处理。
本发明的第二实施方式涉及一种服务器,本实施方式相对于第一实施方式来说,主要区别之处在于:请参考图2与图4,在业务模块1中增加了对响应内容的安全检测。
业务模块1还用于在接收到目标服务器4返回的响应内容时,对响应内容进行安全检测,得到安全检测结果。
业务模块1还用于在安全检测结果表征响应内容为正常状态时,将响应内容作为用户请求的响应。
业务模块1还用于在安全检测结果表征响应内容为异常状态时,将预设的拦截页面作为用户请求的响应。
具体的,可以在业务模块1中部署有基于nginx动态模块机制的waflib库,业务模块1可以调用该waflib库对响应内容进行安全检测;请参考图5的服务器与客户端3以及目标服务器4之间的交互时序图,业务模块1在攻击检测结果表征用户请求处于正常状态时,将该用户请求发送到目标服务器4,并接收目标服务器4返回的响应内容,并调用waflib库对该响应内容进行安全检测,得到安全检测结果,安全检测结果表征响应内容为正常状态或异常状态。其中,安全检测内容包括:响应内容响应头以及响应体的增删改操作、web服务器响应错误信息(如服务器的版本等信息)、数据库名称等敏感信息、web程序异常抛出的敏感信息等等。
业务模块1在安全检测结果表征响应内容为正常状态时,将该响应内容作为用户请求的响应,即将该响应内容发送到客户端3;在安全检测结果表征响应内容为异常状态时,业务模块1则将预设的拦截页面发送到客户端3,并记录该响应内容的检测日志。
本实施方式相对于第一实施方式而言,利用业务模块对响应内容进行安全检测,即业务模块无需通过安全防护模块便能够直接进行响应内容的安全检测,减少了响应内容的转发操作,简化了安全检测流程。
本发明的第三实施方式涉及一种请求处理方法,应用于第一或第二实施方式中服务器的业务模块,服务器的示意图请参见图2,本实施方式的请求处理方法的具体流程如图5所示。
步骤101,在接收到的用户请求需要安全检测时,将用户请求发送到安全防护模块。
具体而言,服务器的内存中预先加载有各域名的配置信息,配置信息包括各域名是否需要安全检测的设置,业务模块1接收到用户通过客户端3发送的目标域名的用户请求时,可以读取该目标域名的配置信息,并能够根据该目标域名的配置信息,来判断用户请求是否需要安全检测。
当目标域名的配置信息表征该域名处于监控状态时,判定该用户请求需要进行安全检测,此时业务模块1将用户请求发送到安全防护模块2,由安全防护模块2对该用户请求进行安全过滤。
当目标域名的配置信息表征该域名处于拦截状态时,业务模块1则可以直接响应预设的拦截页面到客户端3。
当目标域名的配置信息表征该域名处于正常状态时,判定该用户请求不需要进行安全检测,此时将用户请求发送到目标服务器4,并将接收到的目标服务器4返回的响应内容转发到客户端3,其中目标服务器4可以为业务模块1所在服务器的父节点或目标域名的源站。
在一个例子中,业务模块1将用户请求发送到客户端3的方式包括以下两种:第一种,业务模块1在判定用户请求需要进行安全检测时,缓存原始用户请求,复制该用户请求,并将复制的用户请求发送到安全防护模块2;第二种,业务模块1在判定用户请求需要进行安全检测时,生成包括用户请求的请求头的子请求,并将子请求发送到安全防护模块2,从而安全防护模块2则直接对该子请求进行攻击检测,并将得到攻击检测结果发送到业务模块1,其中子请求对内存占用较少,并且不会一直占据进程资源,进一步减小了对服务器资源的占用。在一个例子中,对于包括请求体的用户请求(例如POST请求),子请求还可以包括用户请求的请求体,具体的可以根据服务器中的配置来设定,例如服务器可以配置是否转发请求体、支持转发的方法、以及请求体大小的限制等等。
步骤102,接收安全防护模块返回的对用户请求进行攻击检测后得到的攻击检测结果。
具体而言,安全防护模块2作为WAF系统,在接收到业务模块1发送的用户请求时,对该用户请求进行攻击检测,检测方式包括URL的正则匹配、请求头的检验等等,从而能够检测出该用户请求中是否存在SQL注入、XSS攻击、WEBSHELL攻击等等,并生成相应的攻击检测结果,并将该攻击检测结果返回到业务模块1。其中,攻击检测结果可以表征用户请求处于正常状态或者是异常状态,正常状态表示该用户请求中未包含攻击内容、异常状态表示该用户请求中包含攻击内容。其中,安全防护模块2可以在攻击检测结果表征用户请求处于异常状态时,生成攻击记录日志,该日志中包含完整的用户请求包、用户请求时间、请求IP、命中规则ID、攻击类型、规则库匹配到的攻击内容等信息,以便于后续对受到的攻击进行分析防范。
步骤103,根据攻击检测结果,对用户请求进行响应。
请参考图6,步骤103包括以下子步骤:
子步骤1031,在攻击检测结果表征用户请求为正常状态时,将用户请求转发到目标服务器,并将接收到的目标服务器返回的响应内容作为用户请求的响应。
子步骤1032,在攻击检测结果表征用户请求为异常状态时,将预设的拦截页面作为用户请求的响应。
具体而言,业务模块1在攻击检测结果表征用户请求处于正常状态时,将用户请求发送到目标服务器4,并将接收到的目标服务器4返回的响应内容作为用户请求的响应,即将该响应内容转发给客户端3;业务模块1在攻击检测结果表征用户请求处于异常状态时,将预设的拦截页面作为用户请求的响应,即将该拦截页面发送到客户端3,其中拦截页面上可以包括http状态码403。
以业务模块1为基于nginx的业务系统软件、安全防护模块2为基于nginx的WAF系统软件为例,本实施例中服务器在利用业务系统软件提供基础的业务服务时,将WAF系统软件作为业务系统软件的子服务。其中,由于业务系统软件来判断用户请求是否需要进行安全检测,WAF系统软件仅用于提供安全攻击检测,从而仅需加载一份各域名的配置信息到服务器的内存中,WAF系统软件则无需加载各域名的配置信息到服务器的内存中,减少了对服务器内存的消耗,减小了部署在同一服务器中的WAF系统软件与业务系统软件之间的相互影响。
由于第一实施例与本实施例相互对应,因此本实施例可与第一实施例互相配合实施。第一实施例中提到的相关技术细节在本实施例中依然有效,在第一实施例中所能达到的技术效果在本实施例中也同样可以实现,为了减少重复,这里不再赘述。相应地,本实施例中提到的相关技术细节也可应用在第一实施例中。
本实施方式相对于现有技术而言,融合服务器融合业务模块与安全防护模块,该融合服务器的业务模块能够在接收到的用户请求需要安全检测时,将用户请求发送到安全防护模块,安全防护模块则能够对用户请求进行攻击检测,并将得到的攻击检测结果发送到业务模块,从而业务模块可以根据攻击检测结果,对用户请求进行响应,即在融合服务器中,将安全防护模块作为业务模块的子服务,来提供安全防护功能;并且安全防护模块仅用于进行攻击检测,减小了安全防护模块对服务器内存的消耗,降低了安全防护模块与业务模块之间的相互影响,使得同一服务器能够同时提供多种服务;并且,由业务模块负责用户请求与响应内容的转发,避免了多处流程的重复处理。
本发明的第四实施方式涉及一种请求处理方法,本实施方式相对于第三实施方式来说,主要区别之处在于:增加了对响应内容的安全检测。
本实施方式的请求处理方法的具体流程如图7所示。
其中,步骤201、步骤202与步骤101、步骤102大致相同,在此不再赘述,主要不同之处在于,步骤203包括:
子步骤2031,对接收到的目标服务器返回的响应内容进行安全检测,得到安全检测结果。
具体而言,可以在业务模块1中部署有基于nginx动态模块机制的waflib库,业务模块1可以调用该waflib库对响应内容进行安全检测;请参考图5的服务器与客户端3以及目标服务器4之间的交互时序图,业务模块1在攻击检测结果表征用户请求处于正常状态时,将该用户请求发送到目标服务器4,并接收目标服务器4返回的响应内容,并调用waflib库对该响应内容进行安全检测,得到安全检测结果,安全检测结果表征响应内容为正常状态或异常状态。其中,安全检测内容包括:响应内容响应头以及响应体的增删改操作、web服务器响应错误信息(如服务器的版本等信息)、数据库名称等敏感信息、web程序异常抛出的敏感信息等等。
子步骤2032,在安全检测结果表征响应内容为正常状态时,将响应内容为用户请求的响应。
子步骤2033,在安全检测结果表征响应内容为异常状态时,将预设的拦截页面作为用户请求的响应。
具体而言,业务模块1在安全检测结果表征响应内容为正常状态时,将该响应内容作为用户请求的响应,即将该响应内容发送到客户端3;在安全检测结果表征响应内容为异常状态时,业务模块1则将预设的拦截页面发送到客户端3,并记录该响应内容的检测日志。
由于第二实施例与本实施例相互对应,因此本实施例可与第二实施例互相配合实施。第二实施例中提到的相关技术细节在本实施例中依然有效,在第二实施例中所能达到的技术效果在本实施例中也同样可以实现,为了减少重复,这里不再赘述。相应地,本实施例中提到的相关技术细节也可应用在第二实施例中。
本实施方式相对于第三实施方式而言,利用业务模块对响应内容进行安全检测,即业务模块无需通过安全防护模块便能够直接进行响应内容的安全检测,减少了响应内容的转发操作,简化了安全检测流程。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (13)
1.一种服务器,其特征在于,包括:相互连接的业务模块与安全防护模块;
所述业务模块用于在接收到的用户请求需要安全检测时,将所述用户请求发送到所述安全防护模块;
所述安全防护模块用于对所述用户请求进行攻击检测,并将得到的攻击检测结果发送到所述业务模块;
所述业务模块用于根据所述攻击检测结果,对所述用户请求进行响应。
2.根据权利要求1所述的服务器,其特征在于,所述业务模块用于对所述用户请求进行复制,并将复制的所述用户请求发送到所述安全防护模块。
3.根据权利要求1所述的服务器,其特征在于,所述业务模块用于生成包括所述用户请求的请求头的子请求,并将所述子请求发送到所述安全防护模块;
所述安全防护模块用于对所述子请求进行攻击检测,并将得到的攻击检测结果发送到所述业务模块。
4.根据权利要求1所述的服务器,其特征在于,所述业务模块用于在所述攻击检测结果表征所述用户请求为正常状态时,将所述用户请求转发到目标服务器,并将接收到的所述目标服务器返回的响应内容作为所述用户请求的响应;
所述业务模块用于在所述攻击检测结果表征所述用户请求为异常状态时,将预设的拦截页面作为所述用户请求的响应。
5.根据权利要求4所述的服务器,其特征在于,所述业务模块还用于在接收到所述目标服务器返回的响应内容时,对所述响应内容进行安全检测,得到安全检测结果;
所述业务模块还用于在所述安全检测结果表征所述响应内容为正常状态时,将所述响应内容作为所述用户请求的响应;
所述业务模块还用于在所述安全检测结果表征所述响应内容为异常状态时,将预设的拦截页面作为所述用户请求的响应。
6.根据权利要求1所述的服务器,其特征在于,所述业务模块与所述安全防护模块均为基于nginx的模块。
7.根据权利要求1所述的服务器,其特征在于,所述业务模块用于在接收到所述用户请求时,获取所述用户请求包含的目标域名的配置信息;
所述业务模块用于根据所述目标域名的配置信息,判断所述用户请求是否需要安全检测。
8.一种请求处理方法,其特征在于,应用于服务器中的业务模块,所述服务器还包括连接于所述业务模块的安全防护模块;所述方法包括:
在接收到的用户请求需要安全检测时,将所述用户请求发送到所述安全防护模块;
接收所述安全防护模块返回的对所述用户请求进行攻击检测后得到的攻击检测结果;
根据所述攻击检测结果,对所述用户请求进行响应。
9.根据权利要求8所述的请求处理方法,其特征在于,所述将所述用户请求发送到所述安全防护模块,包括:对所述用户请求进行复制,并将复制的所述用户请求发送到所述安全防护模块。
10.根据权利要求8所述的请求处理方法,其特征在于,所述将所述用户请求发送到所述安全防护模块,包括:生成包括所述用户请求的请求头的子请求,并将所述子请求发送到所述安全防护模块;
所述接收所述安全防护模块返回的对所述用户请求进行攻击检测后得到的攻击检测结果,包括:
接收所述安全防护模块返回的对所述用户请求的所述子请求进行攻击检测后得到的攻击检测结果。
11.根据权利要求8所述的请求处理方法,其特征在于,所述根据所述攻击检测结果,对所述用户请求进行响应,包括:
在所述攻击检测结果表征所述用户请求为正常状态时,将所述用户请求转发到目标服务器,并将接收到的所述目标服务器返回的响应内容作为所述用户请求的响应;
在所述攻击检测结果表征所述用户请求为异常状态时,将预设的拦截页面作为所述用户请求的响应。
12.根据权利要求8所述的请求处理方法,其特征在于,所述将接收到的所述目标服务器返回的响应内容作为所述用户请求的响应,包括:
对接收到的所述目标服务器返回的响应内容进行安全检测,得到安全检测结果;
在所述安全检测结果表征所述响应内容为正常状态时,将所述响应内容为所述用户请求的响应;
在所述安全检测结果表征所述响应内容为异常状态时,将预设的拦截页面作为所述用户请求的响应。
13.根据权利要求8所述的请求处理方法,其特征在于,判断所述用户请求是否需要安全检测的方式为:
在接收到所述用户请求时,获取所述用户请求包含的目标域名的配置信息;
根据所述目标域名的配置信息,判断所述用户请求是否需要安全检测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010725354.8A CN111988280A (zh) | 2020-07-24 | 2020-07-24 | 服务器与请求处理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010725354.8A CN111988280A (zh) | 2020-07-24 | 2020-07-24 | 服务器与请求处理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111988280A true CN111988280A (zh) | 2020-11-24 |
Family
ID=73438172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010725354.8A Pending CN111988280A (zh) | 2020-07-24 | 2020-07-24 | 服务器与请求处理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111988280A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113452689A (zh) * | 2021-06-24 | 2021-09-28 | 北京丁牛科技有限公司 | 一种攻击模拟方法、系统、存储介质和电子设备 |
| CN114285835A (zh) * | 2021-12-30 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种http请求数据的处理方法及系统 |
| CN115296932A (zh) * | 2022-09-30 | 2022-11-04 | 北京知其安科技有限公司 | 检测waf拦截有效性的方法、装置以及存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902456A (zh) * | 2010-02-09 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种Web网站安全防御系统 |
| CN102291394A (zh) * | 2011-07-22 | 2011-12-21 | 网宿科技股份有限公司 | 基于网络加速设备的安全防御系统 |
| US20120124661A1 (en) * | 2010-07-05 | 2012-05-17 | Penta Security Systems, Inc. | Method for detecting a web application attack |
| CN104394163A (zh) * | 2014-12-05 | 2015-03-04 | 浪潮电子信息产业股份有限公司 | 一种基于Web应用的安全检测方法 |
| CN105208026A (zh) * | 2015-09-29 | 2015-12-30 | 努比亚技术有限公司 | 一种防止恶意攻击方法及网络系统 |
| CN106453299A (zh) * | 2016-09-30 | 2017-02-22 | 北京奇虎科技有限公司 | 网络安全监控方法、装置及云端web应用防火墙 |
| CN108965348A (zh) * | 2018-10-12 | 2018-12-07 | 深圳前海微众银行股份有限公司 | 网络安全防护方法、设备及计算机可读存储介质 |
| CN109905410A (zh) * | 2019-04-17 | 2019-06-18 | 北京搜狐新媒体信息技术有限公司 | Web应用安全防护方法与Web应用防火墙系统 |
| CN111327615A (zh) * | 2020-02-21 | 2020-06-23 | 浙江德迅网络安全技术有限公司 | 一种cc攻击防护方法及其系统 |
| CN111385270A (zh) * | 2018-12-29 | 2020-07-07 | 北京奇虎科技有限公司 | 基于waf的网络攻击检测方法及装置 |
-
2020
- 2020-07-24 CN CN202010725354.8A patent/CN111988280A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902456A (zh) * | 2010-02-09 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种Web网站安全防御系统 |
| US20120124661A1 (en) * | 2010-07-05 | 2012-05-17 | Penta Security Systems, Inc. | Method for detecting a web application attack |
| CN102291394A (zh) * | 2011-07-22 | 2011-12-21 | 网宿科技股份有限公司 | 基于网络加速设备的安全防御系统 |
| CN104394163A (zh) * | 2014-12-05 | 2015-03-04 | 浪潮电子信息产业股份有限公司 | 一种基于Web应用的安全检测方法 |
| CN105208026A (zh) * | 2015-09-29 | 2015-12-30 | 努比亚技术有限公司 | 一种防止恶意攻击方法及网络系统 |
| CN106453299A (zh) * | 2016-09-30 | 2017-02-22 | 北京奇虎科技有限公司 | 网络安全监控方法、装置及云端web应用防火墙 |
| CN108965348A (zh) * | 2018-10-12 | 2018-12-07 | 深圳前海微众银行股份有限公司 | 网络安全防护方法、设备及计算机可读存储介质 |
| CN111385270A (zh) * | 2018-12-29 | 2020-07-07 | 北京奇虎科技有限公司 | 基于waf的网络攻击检测方法及装置 |
| CN109905410A (zh) * | 2019-04-17 | 2019-06-18 | 北京搜狐新媒体信息技术有限公司 | Web应用安全防护方法与Web应用防火墙系统 |
| CN111327615A (zh) * | 2020-02-21 | 2020-06-23 | 浙江德迅网络安全技术有限公司 | 一种cc攻击防护方法及其系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113452689A (zh) * | 2021-06-24 | 2021-09-28 | 北京丁牛科技有限公司 | 一种攻击模拟方法、系统、存储介质和电子设备 |
| CN113452689B (zh) * | 2021-06-24 | 2022-09-27 | 丁牛信息安全科技(江苏)有限公司 | 一种攻击模拟方法、系统、存储介质和电子设备 |
| CN114285835A (zh) * | 2021-12-30 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种http请求数据的处理方法及系统 |
| CN114285835B (zh) * | 2021-12-30 | 2024-04-19 | 北京天融信网络安全技术有限公司 | 一种http请求数据的处理方法及系统 |
| CN115296932A (zh) * | 2022-09-30 | 2022-11-04 | 北京知其安科技有限公司 | 检测waf拦截有效性的方法、装置以及存储介质 |
| CN115296932B (zh) * | 2022-09-30 | 2023-01-06 | 北京知其安科技有限公司 | 检测waf拦截有效性的方法、装置以及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111988280A (zh) | 服务器与请求处理方法 | |
| CN110365793B (zh) | 违规外联监测方法、装置、系统及存储介质 | |
| US9578045B2 (en) | Method and apparatus for providing forensic visibility into systems and networks | |
| US10812314B2 (en) | Methods and apparatuses for pushing a message | |
| CN108667799B (zh) | 一种针对浏览器缓存投毒的防御方法及系统 | |
| US7451209B1 (en) | Improving reliability and availability of a load balanced server | |
| US20130275595A1 (en) | Network element failure detection | |
| CN112149105A (zh) | 数据处理系统、方法、相关设备及存储介质 | |
| US20220038495A1 (en) | Security mechanisms for preventing retry or replay attacks | |
| CN109361574B (zh) | 基于JavaScript脚本的NAT检测方法、系统、介质和设备 | |
| CN113835836A (zh) | 动态发布容器服务的系统、方法、计算机设备及介质 | |
| GB2562535A (en) | Method for privacy protection | |
| CN116582365B (zh) | 网络流量的安全控制方法、装置及计算机设备 | |
| US20210136038A1 (en) | Method and system for web filtering implementation consisting of integrated web extension and connected hardware device | |
| CN112039845A (zh) | 请求处理方法与安全防护系统 | |
| US20180316697A1 (en) | Method of aiding the detection of infection of a terminal by malware | |
| CN111786940A (zh) | 一种数据处理方法及装置 | |
| CN113098727A (zh) | 一种数据包检测处理方法与设备 | |
| CN116260650A (zh) | 一种基于ai高速正则匹配的接口交互数据安全防护方法 | |
| CN112039846B (zh) | 请求处理方法与安全防护系统 | |
| CN112769731B (zh) | 一种进程控制方法、装置、服务器及存储介质 | |
| CN115913583A (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
| CN114205403B (zh) | 通信连接方法、通信系统、计算机设备及可读存储介质 | |
| CN114697380B (zh) | 访问请求的重定向方法、系统、装置以及存储介质 | |
| CN110941838B (zh) | 一种数据库访问的方法、装置以及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201124 |
|
| RJ01 | Rejection of invention patent application after publication |