CN112350992A - 基于web白名单的安全防护方法、装置、设备及存储介质 - Google Patents
基于web白名单的安全防护方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112350992A CN112350992A CN202011043951.9A CN202011043951A CN112350992A CN 112350992 A CN112350992 A CN 112350992A CN 202011043951 A CN202011043951 A CN 202011043951A CN 112350992 A CN112350992 A CN 112350992A
- Authority
- CN
- China
- Prior art keywords
- link
- parameter
- access
- access request
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开一种基于web白名单的安全防护方法、装置、设备及存储介质,其中,基于web白名单的安全防护方法包括:收集若干URL链接的信息;根据若干URL链接的信息构建链接白名单并保存链接白名单;当接收一个访问请求时,解析获取访问请求所携带的请求参数;将访问请求所携带的请求参数与链接白名单进行比对,以判断述访问请求是否满足预设触发条件;当访问请求满足预设触发条件时,执行预设防护策略。本申请具有如下优点:收集URL和导入安全设备较为简单,易与实现。另一方面,通过安全设备的规则策略可以有效的杜绝绝对路径文件上传和访问,阻止路径嗅探或者目录嗅探行为,进而极大增加了攻击者的攻击成本,从而可以有效的对网站进行防护。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种基于web白名单的安全防护方法、装置、设备及存储介质。
背景技术
随着信息技术和网络技术的不断发展,企事业单位在构建内部业务应用系统和对外信息发布平台时,都不可避免的使用WEB应用技术。该技术不仅能为用户提供简单便捷的交互平台,还为信息服务商提供了构建信息系统的标准化技术,因此在各个领域得到了广泛的应用,伴随着web技术应用范围的不断扩大,针对该应用程序的攻击也越来越多,web应用技术的安全正在遭受前所未有的威胁与调整。
具体地,当万维网提供的服务升级到动态解析应用程序层面,即web应用程序,该程序能够为用户提供注册,登录,搜索交易等于用户身份密切相关的服务,这些服务需要在客户端和服务端之间进行双向的数据交互才能完成,而交互的数据可能包含用户的个人隐私或机密信息,但web程序在开发过程中可能存在的技术漏洞,就引发了各种安全问题,web站点上运行的程序不同,存在的漏洞也不一样。目前,常见的安全隐患主要有以下几种:1、对用户输入数据进行安全检测,防止恶意输入或输入非法数据;2、对web用户的访问权限进行检测,防止不良用户的恶意入侵;3、对攻击行为进行快速,准确的识别。
然而,这几种安全防护方法,技术难度较大,不易实施。不同的web应用程序攻击方法不一样,难以快速准确的识别攻击者的所有攻击行为,而且误报率较大,存在被绕过风险。
发明内容
本申请目的在于公开一种基于web白名单的安全防护方法、装置、设备及存储介质,其中,本申请具有如下优点:收集URL和导入安全设备较为简单,易与实现。另一方面,通过安全设备的规则策略可以有效的杜绝绝对路径文件上传和访问,阻止路径嗅探或者目录嗅探行为,进而极大增加了攻击者的攻击成本,从而可以有效的对网站进行防护。
为此,本申请第一方面公开一种基于web白名单的安全防护方法,所述方法包括步骤:
收集若干URL链接的信息;
根据所述若干URL链接的信息构建链接白名单并保存所述链接白名单;
当接收一个访问请求时,解析获取所述访问请求所携带的请求参数;
将所述访问请求所携带的请求参数与所述链接白名单进行比对,以判断所述述访问请求是否满足预设触发条件;
当所述访问请求满足预设触发条件时,执行预设防护策略。
本申请第一方面的方法,通过收集若干URL链接的信息,进而能够根据若干URL链接的信息构建链接白名单并保存链接白名单,进而当接收一个访问请求时,能够解析获取访问请求所携带的请求参数,进而能够将访问请求所携带的请求参数与链接白名单进行比对,以判断述访问请求是否满足预设触发条件,从而当访问请求满足预设触发条件时,执行预设防护策略。与现有技术相比,本申请第一方面的方法中的收集URL和导入安全设备较为简单,易与实现。另一方面,本申请第一方面的方法能够通过安全设备的规则策略可以有效的杜绝绝对路径文件上传和访问,阻止路径嗅探或者目录嗅探行为,进而极大增加了攻击者的攻击成本,从而可以有效的对网站进行防护。
在本申请第一方面中,作为一种可选的实施方式,所述收集若干URL链接的信息,包括:
当一所述URL链接为动态链接时,按照正则匹配规则将所述URL链接由动态链接转换为静态链接。
在本可选的实施方式中,当一URL链接为动态链接时,可按照正则匹配规则将URL链接由动态链接转换为静态链接。
在本申请第一方面中,作为一种可选的实施方式,一所述URL链接的信息至少包括:设备类型参数、IP地址参数、网站域名参数、目标访问路径参数;所述访问请求所携带的请求参数至少包括访问设备的设备类型参数、访问设备的IP地址参数、访问设备的网站域名参数、访问设备的目标访问路径参数;
进一步可选地,所述将所述访问请求所携带的请求参数与所述链接白名单进行比对,以判断所述述访问请求是否满足预设触发条件,包括:
将所述访问设备的设备类型参数、访问设备的IP地址参数、访问设备的网站域名参数、访问设备的目标访问路径参数依次与所述链接白名单中每个链接的设备类型参数、IP地址参数、网站域名参数、目标访问路径参数进行比对,并得到比对结果;
根据所述比对结果确定所述访问请求是否满足预设触发条件。
在本可选的实施方式中,将访问设备的设备类型参数、访问设备的IP地址参数、访问设备的网站域名参数、访问设备的目标访问路径参数依次与链接白名单中每个链接的设备类型参数、IP地址参数、网站域名参数、目标访问路径参数进行比对,可并得到比对结果,进而能够根据比对结果确定访问请求是否满足预设触发条件。
在本申请第一方面中,作为一种可选的实施方式,所述预设防护策略为拦截、重定向、放过、透传、插入JS和挑战。
在本可选的实施方式,能够为满足预设触发条件的链接执行不同的防滑策略。
本申请第二方面公开一种基于web白名单的安全防护装置,所述装置包括:
收集模块,用于收集若干URL链接的信息;
构建模块,用于根据所述若干URL链接的信息构建链接白名单并保存所述链接白名单;
解析模块,用于当接收一个访问请求时,解析获取所述访问请求所携带的请求参数;
比对模块,用于将所述访问请求所携带的请求参数与所述链接白名单进行比对,以判断所述述访问请求是否满足预设触发条件;
防护执行模块,用于当所述访问请求满足预设触发条件时,执行预设防护策略。
本申请第二方面的装置,通过收集若干URL链接的信息,进而能够根据若干URL链接的信息构建链接白名单并保存链接白名单,进而当接收一个访问请求时,能够解析获取访问请求所携带的请求参数,进而能够将访问请求所携带的请求参数与链接白名单进行比对,以判断述访问请求是否满足预设触发条件,从而当访问请求满足预设触发条件时,执行预设防护策略。与现有技术相比,本申请第二方面的装置中的收集URL和导入安全设备较为简单,易与实现。另一方面,本申请第二方面的装置能够通过安全设备的规则策略可以有效的杜绝绝对路径文件上传和访问,阻止路径嗅探或者目录嗅探行为,进而极大增加了攻击者的攻击成本,从而可以有效的对网站进行防护。
在本申请第二方面中,作为一种可选的实施方式,所述收集模块执行所述收集若干URL链接的信息的具体步骤,包括:
当一所述URL链接为动态链接时,按照正则匹配规则将所述URL链接由动态链接转换为静态链接。
在本可选的实施方式中,当一URL链接为动态链接时,可按照正则匹配规则将URL链接由动态链接转换为静态链接。
在本申请第二方面中,作为一种可选的实施方式,一所述URL链接的信息至少包括:设备类型参数、IP地址参数、网站域名参数、目标访问路径参数;所述访问请求所携带的请求参数至少包括访问设备的设备类型参数、访问设备的IP地址参数、访问设备的网站域名参数、访问设备的目标访问路径参数;
以及,比对模块执行所述将所述访问请求所携带的请求参数与所述链接白名单进行比对,以判断所述述访问请求是否满足预设触发条件的具体步骤包括:
将所述访问设备的设备类型参数、访问设备的IP地址参数、访问设备的网站域名参数、访问设备的目标访问路径参数依次与所述链接白名单中每个链接的设备类型参数、IP地址参数、网站域名参数、目标访问路径参数进行比对,并得到比对结果;
根据所述比对结果确定所述访问请求是否满足预设触发条件。
在本可选的实施方式中,将访问设备的设备类型参数、访问设备的IP地址参数、访问设备的网站域名参数、访问设备的目标访问路径参数依次与链接白名单中每个链接的设备类型参数、IP地址参数、网站域名参数、目标访问路径参数进行比对,可并得到比对结果,进而能够根据比对结果确定访问请求是否满足预设触发条件。
在本申请第二方面中,作为一种可选的实施方式,所述预设防护策略为拦截、重定向、放过、透传、插入JS和挑战。
在本可选的实施方式,能够为满足预设触发条件的链接执行不同的防滑策略。
本申请第三方面公开一种基于web白名单的安全防护设备所述设备包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行本申请第一方面的基于web白名单的安全防护方法。
本申请第三方面的设备,通过收集若干URL链接的信息,进而能够根据若干URL链接的信息构建链接白名单并保存链接白名单,进而当接收一个访问请求时,能够解析获取访问请求所携带的请求参数,进而能够将访问请求所携带的请求参数与链接白名单进行比对,以判断述访问请求是否满足预设触发条件,从而当访问请求满足预设触发条件时,执行预设防护策略。与现有技术相比,本申请第三方面的设备中的收集URL和导入安全设备较为简单,易与实现。另一方面,本申请第三方面的设备能够通过安全设备的规则策略可以有效的杜绝绝对路径文件上传和访问,阻止路径嗅探或者目录嗅探行为,进而极大增加了攻击者的攻击成本,从而可以有效的对网站进行防护。
本申请第四方面公开一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如本申请第一方面的基于web白名单的安全防护方法。
本申请第四方面的存储介质,通过收集若干URL链接的信息,进而能够根据若干URL链接的信息构建链接白名单并保存链接白名单,进而当接收一个访问请求时,能够解析获取访问请求所携带的请求参数,进而能够将访问请求所携带的请求参数与链接白名单进行比对,以判断述访问请求是否满足预设触发条件,从而当访问请求满足预设触发条件时,执行预设防护策略。与现有技术相比,本申请第四方面的存储介质中的收集URL和导入安全设备较为简单,易与实现。另一方面,本申请第四方面的存储介质能够通过安全设备的规则策略可以有效的杜绝绝对路径文件上传和访问,阻止路径嗅探或者目录嗅探行为,进而极大增加了攻击者的攻击成本,从而可以有效的对网站进行防护。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例一公开的一种基于web白名单的安全防护方法的流程示意图;
图2为本申请实施例二公开的一种基于web白名单的安全防护装置的结构示意图;
图3为本申请实施例三公开的一种基于web白名单的安全防护设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在此之前,需要说明的是,通过本申请的测量方法、电路及装置可测得一个目标点的设备坐标系的坐标,而测得的多个目标点的设备坐标系的坐标后,可根据多个目标点的设备坐标系的坐标进行三维建模。
实施例一
请参阅图1,图1是本申请实施例公开的一种基于web白名单的安全防护方法的流程示意图。如图1所示,本申请实施例的方法包括步骤:
101、收集若干URL链接的信息;
102、根据若干URL链接的信息构建链接白名单并保存链接白名单;
103、当接收一个访问请求时,解析获取访问请求所携带的请求参数;
104、将访问请求所携带的请求参数与链接白名单进行比对,以判断述访问请求是否满足预设触发条件;
105、当访问请求满足预设触发条件时,执行预设防护策略。
本申请实施例的方法,通过收集若干URL链接的信息,进而能够根据若干URL链接的信息构建链接白名单并保存链接白名单,进而当接收一个访问请求时,能够解析获取访问请求所携带的请求参数,进而能够将访问请求所携带的请求参数与链接白名单进行比对,以判断述访问请求是否满足预设触发条件,从而当访问请求满足预设触发条件时,执行预设防护策略。与现有技术相比,本申请实施例的方法中的收集URL和导入安全设备较为简单,易与实现。另一方面,本申请实施例的方法能够通过安全设备的规则策略可以有效的杜绝绝对路径文件上传和访问,阻止路径嗅探或者目录嗅探行为,进而极大增加了攻击者的攻击成本,从而可以有效的对网站进行防护。
在本申请实施例中,保存链接白名单是指将链接白名单导入安全设备中。
在本申请实施例中,作为一种可选的实施方式,步骤101:收集若干URL链接的信息包括子步骤:
当一URL链接为动态链接时,按照正则匹配规则将URL链接由动态链接转换为静态链接。
在本可选的实施方式中,当一URL链接为动态链接时,可按照正则匹配规则将URL链接由动态链接转换为静态链接。
在本申请实施例中,作为一种可选的实施方式,一URL链接的信息至少包括:设备类型参数、IP地址参数、网站域名参数、目标访问路径参数;访问请求所携带的请求参数至少包括访问设备的设备类型参数、访问设备的IP地址参数、访问设备的网站域名参数、访问设备的目标访问路径参数;
进一步可选地,步骤104:将访问请求所携带的请求参数与链接白名单进行比对,以判断述访问请求是否满足预设触发条件包括子步骤:
将访问设备的设备类型参数、访问设备的IP地址参数、访问设备的网站域名参数、访问设备的目标访问路径参数依次与链接白名单中每个链接的设备类型参数、IP地址参数、网站域名参数、目标访问路径参数进行比对,并得到比对结果;
根据比对结果确定访问请求是否满足预设触发条件。
在本可选的实施方式中,将访问设备的设备类型参数、访问设备的IP地址参数、访问设备的网站域名参数、访问设备的目标访问路径参数依次与链接白名单中每个链接的设备类型参数、IP地址参数、网站域名参数、目标访问路径参数进行比对,可并得到比对结果,进而能够根据比对结果确定访问请求是否满足预设触发条件。
在本申请实施例中,作为一种可选的实施方式,预设防护策略为拦截、重定向、放过、透传、插入JS和挑战。
在本可选的实施方式,能够为满足预设触发条件的链接执行不同的防滑策略。
实施例二
请参阅图2,图2是本申请实施例公开的一种基于web白名单的安全防护装置的结构示意图。如图2所示,本申请实施例的装置包括:
收集模块201,用于收集若干URL链接的信息;
构建模块202,用于根据若干URL链接的信息构建链接白名单并保存链接白名单;
解析模块203,用于当接收一个访问请求时,解析获取访问请求所携带的请求参数;
比对模块204,用于将访问请求所携带的请求参数与链接白名单进行比对,以判断述访问请求是否满足预设触发条件;
防护执行模块205,用于当访问请求满足预设触发条件时,执行预设防护策略。
本申请实施例的装置,通过收集若干URL链接的信息,进而能够根据若干URL链接的信息构建链接白名单并保存链接白名单,进而当接收一个访问请求时,能够解析获取访问请求所携带的请求参数,进而能够将访问请求所携带的请求参数与链接白名单进行比对,以判断述访问请求是否满足预设触发条件,从而当访问请求满足预设触发条件时,执行预设防护策略。与现有技术相比,本申请实施例的装置中的收集URL和导入安全设备较为简单,易与实现。另一方面,本申请实施例的装置能够通过安全设备的规则策略可以有效的杜绝绝对路径文件上传和访问,阻止路径嗅探或者目录嗅探行为,进而极大增加了攻击者的攻击成本,从而可以有效的对网站进行防护。
在本申请实施例中,作为一种可选的实施方式,收集模块201执行收集模块执行收集若干URL链接的信息的具体步骤的具体方式为:
当一URL链接为动态链接时,按照正则匹配规则将URL链接由动态链接转换为静态链接。
在本可选的实施方式中,当一URL链接为动态链接时,可按照正则匹配规则将URL链接由动态链接转换为静态链接。
在本申请实施例中,作为一种可选的实施方式,一URL链接的信息至少包括:设备类型参数、IP地址参数、网站域名参数、目标访问路径参数;访问请求所携带的请求参数至少包括访问设备的设备类型参数、访问设备的IP地址参数、访问设备的网站域名参数、访问设备的目标访问路径参数;
以及,比对模块204执行将访问请求所携带的请求参数与链接白名单进行比对,以判断述访问请求是否满足预设触发条件的具体方式为:
将访问设备的设备类型参数、访问设备的IP地址参数、访问设备的网站域名参数、访问设备的目标访问路径参数依次与链接白名单中每个链接的设备类型参数、IP地址参数、网站域名参数、目标访问路径参数进行比对,并得到比对结果;
根据比对结果确定访问请求是否满足预设触发条件。
在本可选的实施方式中,将访问设备的设备类型参数、访问设备的IP地址参数、访问设备的网站域名参数、访问设备的目标访问路径参数依次与链接白名单中每个链接的设备类型参数、IP地址参数、网站域名参数、目标访问路径参数进行比对,可并得到比对结果,进而能够根据比对结果确定访问请求是否满足预设触发条件。
在本申请实施例中,作为一种可选的实施方式,预设防护策略为拦截、重定向、放过、透传、插入JS和挑战。
在本可选的实施方式,能够为满足预设触发条件的链接执行不同的防滑策略。
实施例三
请参阅图3,图3是本申请实施例公开的一种基于web白名单的安全防护设备的结构示意图。如图3所示,本申请实施例的设备包括:
处理器301;以及
存储器302,配置用于存储机器可读指令,指令在由处理器执行时,执行本申请实施例一的基于web白名单的安全防护方法。
本申请实施例的设备,通过收集若干URL链接的信息,进而能够根据若干URL链接的信息构建链接白名单并保存链接白名单,进而当接收一个访问请求时,能够解析获取访问请求所携带的请求参数,进而能够将访问请求所携带的请求参数与链接白名单进行比对,以判断述访问请求是否满足预设触发条件,从而当访问请求满足预设触发条件时,执行预设防护策略。与现有技术相比,本申请实施例的设备中的收集URL和导入安全设备较为简单,易与实现。另一方面,本申请实施例的设备能够通过安全设备的规则策略可以有效的杜绝绝对路径文件上传和访问,阻止路径嗅探或者目录嗅探行为,进而极大增加了攻击者的攻击成本,从而可以有效的对网站进行防护。
实施例四
本申请实施例公开一种存储介质,该存储介质存储有计算机程序,计算机程序被处理器执行如本申请实施例一的基于web白名单的安全防护方法。
本申请实施例的存储介质,通过收集若干URL链接的信息,进而能够根据若干URL链接的信息构建链接白名单并保存链接白名单,进而当接收一个访问请求时,能够解析获取访问请求所携带的请求参数,进而能够将访问请求所携带的请求参数与链接白名单进行比对,以判断述访问请求是否满足预设触发条件,从而当访问请求满足预设触发条件时,执行预设防护策略。与现有技术相比,本申请第四方面的存储介质中的收集URL和导入安全设备较为简单,易与实现。另一方面,本申请第四方面的存储介质能够通过安全设备的规则策略可以有效的杜绝绝对路径文件上传和访问,阻止路径嗅探或者目录嗅探行为,进而极大增加了攻击者的攻击成本,从而可以有效的对网站进行防护。
在本申请所公开的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,定位基站,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种基于web白名单的安全防护方法,其特征在于,所述方法包括:
收集若干URL链接的信息;
根据所述若干URL链接的信息构建链接白名单并保存所述链接白名单;
当接收一个访问请求时,解析获取所述访问请求所携带的请求参数;
将所述访问请求所携带的请求参数与所述链接白名单进行比对,以判断所述述访问请求是否满足预设触发条件;
当所述访问请求满足预设触发条件时,执行预设防护策略。
2.如权利要求1所述的方法,其特征在于,所述收集若干URL链接的信息,包括:
当一所述URL链接为动态链接时,按照正则匹配规则将所述URL链接由动态链接转换为静态链接。
3.如权利要求1所述的方法,其特征在于,一所述URL链接的信息至少包括:设备类型参数、IP地址参数、网站域名参数、目标访问路径参数;所述访问请求所携带的请求参数至少包括访问设备的设备类型参数、访问设备的IP地址参数、访问设备的网站域名参数、访问设备的目标访问路径参数;
以及,所述将所述访问请求所携带的请求参数与所述链接白名单进行比对,以判断所述述访问请求是否满足预设触发条件,包括:
将所述访问设备的设备类型参数、访问设备的IP地址参数、访问设备的网站域名参数、访问设备的目标访问路径参数依次与所述链接白名单中每个链接的设备类型参数、IP地址参数、网站域名参数、目标访问路径参数进行比对,并得到比对结果;
根据所述比对结果确定所述访问请求是否满足预设触发条件。
4.如权利要求1所述的方法,其特征在于,所述预设防护策略为拦截、重定向、放过、透传、插入JS和挑战。
5.一种基于web白名单的安全防护装置,其特征在于,所述装置包括:
收集模块,用于收集若干URL链接的信息;
构建模块,用于根据所述若干URL链接的信息构建链接白名单并保存所述链接白名单;
解析模块,用于当接收一个访问请求时,解析获取所述访问请求所携带的请求参数;
比对模块,用于将所述访问请求所携带的请求参数与所述链接白名单进行比对,以判断所述述访问请求是否满足预设触发条件;
防护执行模块,用于当所述访问请求满足预设触发条件时,执行预设防护策略。
6.如权利要求5所述的装置,其特征在于,所述收集模块执行所述收集若干URL链接的信息的具体步骤,包括:
当一所述URL链接为动态链接时,按照正则匹配规则将所述URL链接由动态链接转换为静态链接。
7.如权利要求5所述的装置,其特征在于,一所述URL链接的信息至少包括:设备类型参数、IP地址参数、网站域名参数、目标访问路径参数;所述访问请求所携带的请求参数至少包括访问设备的设备类型参数、访问设备的IP地址参数、访问设备的网站域名参数、访问设备的目标访问路径参数;
以及,比对模块执行所述将所述访问请求所携带的请求参数与所述链接白名单进行比对,以判断所述述访问请求是否满足预设触发条件的具体步骤包括:
将所述访问设备的设备类型参数、访问设备的IP地址参数、访问设备的网站域名参数、访问设备的目标访问路径参数依次与所述链接白名单中每个链接的设备类型参数、IP地址参数、网站域名参数、目标访问路径参数进行比对,并得到比对结果;
根据所述比对结果确定所述访问请求是否满足预设触发条件。
8.如权利要求5所述的装置,其特征在于,所述预设防护策略为拦截、重定向、放过、透传、插入JS和挑战。
9.一种基于web白名单的安全防护设备,其特征在于,所述设备包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如权利要求1-4任一项所述的基于web白名单的安全防护方法。
10.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如权利要求1-4任一项所述的基于web白名单的安全防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011043951.9A CN112350992A (zh) | 2020-09-28 | 2020-09-28 | 基于web白名单的安全防护方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011043951.9A CN112350992A (zh) | 2020-09-28 | 2020-09-28 | 基于web白名单的安全防护方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112350992A true CN112350992A (zh) | 2021-02-09 |
Family
ID=74361221
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011043951.9A Pending CN112350992A (zh) | 2020-09-28 | 2020-09-28 | 基于web白名单的安全防护方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112350992A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113079165A (zh) * | 2021-04-02 | 2021-07-06 | 北京天空卫士网络安全技术有限公司 | 一种访问处理方法和装置 |
| CN113162909A (zh) * | 2021-03-10 | 2021-07-23 | 北京顶象技术有限公司 | 基于ai的白名单生成方法、装置、电子设备、可读介质 |
| CN114095210A (zh) * | 2021-10-28 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 基于安全网关自身防御外联的方法、系统以及存储介质 |
| CN114499962A (zh) * | 2021-12-24 | 2022-05-13 | 深圳开源互联网安全技术有限公司 | 文件检测方法、装置、计算机设备和存储介质 |
| CN114697397A (zh) * | 2022-02-24 | 2022-07-01 | 阿里巴巴(中国)有限公司 | 一种域名访问方法、装置、电子设备及计算机存储介质 |
| CN114978590A (zh) * | 2022-04-13 | 2022-08-30 | 网宿科技股份有限公司 | Api安全防护的方法、设备及可读存储介质 |
| CN115314244A (zh) * | 2022-06-27 | 2022-11-08 | 深圳开源互联网安全技术有限公司 | 一种白名单安全防护方法、装置、设备及可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607385A (zh) * | 2013-11-14 | 2014-02-26 | 北京奇虎科技有限公司 | 基于浏览器进行安全检测的方法和装置 |
| CN106657044A (zh) * | 2016-12-12 | 2017-05-10 | 杭州电子科技大学 | 一种用于提高网站系统安全防御的网页地址跳变方法 |
| CN106713266A (zh) * | 2016-11-14 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种防止信息泄露的方法、装置、终端及系统 |
| CN107046544A (zh) * | 2017-05-02 | 2017-08-15 | 深圳乐信软件技术有限公司 | 一种识别对网站的非法访问请求的方法和装置 |
| CN110210231A (zh) * | 2019-06-04 | 2019-09-06 | 深信服科技股份有限公司 | 一种安全防护方法、系统、设备及计算机可读存储介质 |
-
2020
- 2020-09-28 CN CN202011043951.9A patent/CN112350992A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607385A (zh) * | 2013-11-14 | 2014-02-26 | 北京奇虎科技有限公司 | 基于浏览器进行安全检测的方法和装置 |
| CN106713266A (zh) * | 2016-11-14 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种防止信息泄露的方法、装置、终端及系统 |
| CN106657044A (zh) * | 2016-12-12 | 2017-05-10 | 杭州电子科技大学 | 一种用于提高网站系统安全防御的网页地址跳变方法 |
| CN107046544A (zh) * | 2017-05-02 | 2017-08-15 | 深圳乐信软件技术有限公司 | 一种识别对网站的非法访问请求的方法和装置 |
| CN110210231A (zh) * | 2019-06-04 | 2019-09-06 | 深信服科技股份有限公司 | 一种安全防护方法、系统、设备及计算机可读存储介质 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113162909A (zh) * | 2021-03-10 | 2021-07-23 | 北京顶象技术有限公司 | 基于ai的白名单生成方法、装置、电子设备、可读介质 |
| CN113079165A (zh) * | 2021-04-02 | 2021-07-06 | 北京天空卫士网络安全技术有限公司 | 一种访问处理方法和装置 |
| CN114095210A (zh) * | 2021-10-28 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 基于安全网关自身防御外联的方法、系统以及存储介质 |
| CN114499962A (zh) * | 2021-12-24 | 2022-05-13 | 深圳开源互联网安全技术有限公司 | 文件检测方法、装置、计算机设备和存储介质 |
| CN114499962B (zh) * | 2021-12-24 | 2023-09-08 | 深圳开源互联网安全技术有限公司 | 文件检测方法、装置、计算机设备和存储介质 |
| CN114697397A (zh) * | 2022-02-24 | 2022-07-01 | 阿里巴巴(中国)有限公司 | 一种域名访问方法、装置、电子设备及计算机存储介质 |
| CN114978590A (zh) * | 2022-04-13 | 2022-08-30 | 网宿科技股份有限公司 | Api安全防护的方法、设备及可读存储介质 |
| CN115314244A (zh) * | 2022-06-27 | 2022-11-08 | 深圳开源互联网安全技术有限公司 | 一种白名单安全防护方法、装置、设备及可读存储介质 |
| CN115314244B (zh) * | 2022-06-27 | 2023-10-10 | 深圳开源互联网安全技术有限公司 | 一种白名单安全防护方法、装置、设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112350992A (zh) | 基于web白名单的安全防护方法、装置、设备及存储介质 | |
| CN109922052B (zh) | 一种结合多重特征的恶意url检测方法 | |
| KR101689299B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| US8024804B2 (en) | Correlation engine for detecting network attacks and detection method | |
| KR101070184B1 (ko) | 멀티스레드 사이트 크롤러를 이용한 악성코드 자동수집, 자동분석시스템과 보안장비 연동을 통한 악성코드접근차단시스템 및 방법 | |
| CN103634317A (zh) | 基于云安全对恶意网址信息进行安全鉴定的方法及系统 | |
| KR100894331B1 (ko) | 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법 | |
| CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
| CN103297394B (zh) | 网站安全检测方法和装置 | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN108154029A (zh) | 入侵检测方法、电子设备和计算机存储介质 | |
| CN101895516A (zh) | 一种跨站脚本攻击源的定位方法及装置 | |
| CN102664876A (zh) | 网络安全检测方法及系统 | |
| CN113542279A (zh) | 一种网络安全风险评估方法、系统及装置 | |
| CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
| CN113177205B (zh) | 一种恶意应用检测系统及方法 | |
| CN108337269A (zh) | 一种WebShell检测方法 | |
| CN104967628A (zh) | 一种保护web应用安全的诱骗方法 | |
| Gupta et al. | An infrastructure-based framework for the alleviation of JavaScript worms from OSN in mobile cloud platforms | |
| Sanchez-Rola et al. | Dirty clicks: A study of the usability and security implications of click-related behaviors on the web | |
| SatheeshKumar et al. | A lightweight and proactive rule-based incremental construction approach to detect phishing scam | |
| KR101345740B1 (ko) | 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템 | |
| Roopak et al. | On effectiveness of source code and SSL based features for phishing website detection | |
| KR101464736B1 (ko) | 정보보호 관리 시스템 및 이를 통한 홈페이지 위변조 탐지 방법 | |
| KR20140011518A (ko) | 악성코드를 차단하기 위한 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 510000 room 509, No. 808, Dongfeng East Road, Yuexiu District, Guangzhou City, Guangdong Province Applicant after: China Southern Power Grid Digital Enterprise Technology (Guangdong) Co.,Ltd. Address before: 510000 room 509, No. 808, Dongfeng East Road, Yuexiu District, Guangzhou City, Guangdong Province Applicant before: Guangdong Electric Power Information Technology Co.,Ltd. |
|
| CB02 | Change of applicant information |