CN113271305B - 一种攻击检测方法、装置及网站应用级入侵防护系统waf - Google Patents
一种攻击检测方法、装置及网站应用级入侵防护系统waf Download PDFInfo
- Publication number
- CN113271305B CN113271305B CN202110536874.9A CN202110536874A CN113271305B CN 113271305 B CN113271305 B CN 113271305B CN 202110536874 A CN202110536874 A CN 202110536874A CN 113271305 B CN113271305 B CN 113271305B
- Authority
- CN
- China
- Prior art keywords
- message
- detected
- matching engine
- connector
- attack detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Abstract
本申请实施例提供了一种攻击检测方法、装置及网站应用级入侵防护系统WAF,WAF包括代理服务器、连接器和匹配引擎,方法包括:代理服务器接收待检测报文,并将待检测报文传输至连接器;连接器通过匹配引擎的注册接口,将待检测报文传输至匹配引擎;匹配引擎对待检测报文进行攻击检测,确定待检测报文的检测结果。应用本申请实施例提供的技术方案,能够提高WAF的扩展性,解决因攻击检测出现断流,带来的网络中的安全隐患的问题。
Description
技术领域
本申请涉及网络安全防护技术领域,特别是涉及一种攻击检测方法、装置及网站应用级入侵防护系统WAF。
背景技术
随着互联网技术的发展,网站(Web)应用越来越受到业务系统的重视。与此同时,具有强大的计算能力、处理性能以及蕴含较高价值的Web服务器逐渐成为主要攻击对象。
为维护Web服务器的安全,目前常用的网站应用级入侵防护系统(WebApplication Firewall,WAF)为基于Nginx的ModSecurity防护系统。该WAF中,Nginx代理服务器与ModSecurity检测引擎连接,该ModSecurity检测引擎内置了核心规则集。Nginx代理服务器将接收的报文转发至ModSecurity检测引擎,ModSecurity检测引擎对报文进行解析,并将解析结果与核心规则集中的规则进行匹配,确定该报文是否为攻击报文。
上述基于Nginx的ModSecurity防护系统只能与ModSecurity检测引擎进行对接,无法接入其他检测引擎,扩展性差。此外,ModSecurity检测引擎中的规则为静态加载规则,当需要对规则进行调整时,需要重启防护系统,这导致攻击检测出现断流,防护系统失效,给网络带来了安全隐患。
发明内容
本申请实施例的目的在于提供一种攻击检测方法、装置及网站应用级入侵防护系统WAF,以提高WAF的扩展性,解决因攻击检测出现断流,带来的网络中的安全隐患的问题。具体技术方案如下:
第一方面,本申请实施例提供了一种攻击检测方法,应用于WAF,所述WAF包括代理服务器、连接器和匹配引擎,所述方法包括:
所述代理服务器接收待检测报文,并将所述待检测报文传输至所述连接器;
所述连接器通过所述匹配引擎的注册接口,将所述待检测报文传输至所述匹配引擎;
所述匹配引擎对所述待检测报文进行攻击检测,确定所述待检测报文的检测结果。
可选的,所述WAF还包括解析器;
所述连接器通过所述匹配引擎的注册接口,将所述待检测报文传输至所述匹配引擎的步骤,包括:
所述连接器通过解析器接口,将所述待检测报文传输至所述解析器;
所述解析器按照预设协议格式,解析所述待检测报文,得到所述预设协议格式的解析结果;
所述连接器通过所述匹配引擎的注册接口,将所述解析结果传输至所述匹配引擎。
可选的,所述方法还包括:
所述连接器接收所述匹配引擎反馈的所述检测结果,并将所述检测结果传输至所述代理服务器;
所述代理服务器在所述检测结果指示所述待检测报文为攻击报文的情况下,则丢弃所述待检测报文;
所述代理服务器在所述检测结果指示所述待检测报文为正常报文的情况下,转发所述待检测报文。
可选的,所述方法还包括:
所述代理服务器在接收所述待检测报文前,向所述连接器传输规则存储路径;
所述连接器从所述规则存储路径处,获取规则集合;利用所述规则集合构建所述匹配引擎,并注册所述匹配引擎的注册接口。
可选的,所述方法还包括:
所述匹配引擎接收用户输入的新配置规则;若所述待检测报文的攻击检测未结束,则利用所述匹配引擎的原配置规则,继续对所述待检测报文进行攻击检测;当所述待检测报文的攻击检测结束后,释放所述原配置规则;当接收到新待检测报文时,利用所述新配置规则,对所述新待检测报文进行攻击检测。
可选的,所述方法还包括:
所述匹配引擎在接收到所述新配置规则后,对所述新配置规则进行离线保存。
第二方面,本申请实施例提供了一种网站应用级入侵防护系统WAF,包括代理服务器、连接器和匹配引擎;
所述代理服务器,用于接收待检测报文,并将所述待检测报文传输至所述连接器;
所述连接器,用于通过所述匹配引擎的注册接口,将所述待检测报文传输至所述匹配引擎;
所述匹配引擎,用于对所述待检测报文进行攻击检测,确定所述待检测报文的检测结果。
可选的,所述WAF还包括解析器;
所述连接器,还用于通过解析器接口,将所述待检测报文传输至所述解析器;
所述解析器,还用于按照预设协议格式,解析所述待检测报文,得到所述预设协议格式的解析结果;
所述连接器,具体用于通过所述匹配引擎的注册接口,将所述解析结果传输至所述匹配引擎。
可选的,所述连接器,还用于接收所述匹配引擎反馈的所述检测结果;
所述代理服务器,还用于在所述检测结果指示所述待检测报文为攻击报文的情况下,则丢弃所述待检测报文;
所述代理服务器,还用于在所述检测结果指示所述待检测报文为正常报文的情况下,转发所述待检测报文。
可选的,所述代理服务器,还用于在接收所述待检测报文前,向所述连接器传输规则存储路径;
所述连接器,还用于从所述规则存储路径处,获取规则集合;利用所述规则集合构建所述匹配引擎,并注册所述匹配引擎的注册接口。
可选的,所述匹配引擎,还用于接收用户输入的新配置规则;若所述待检测报文的攻击检测未结束,则利用所述匹配引擎的原配置规则,继续对所述待检测报文进行攻击检测;当所述待检测报文的攻击检测结束后,释放所述原配置规则;当接收到新待检测报文时,利用所述新配置规则,对所述新待检测报文进行攻击检测。
可选的,所述匹配引擎,还用于在接收到所述新配置规则后,对所述新配置规则进行离线保存。
第三方面,本申请实施例提供了一种攻击检测方法,应用于WAF包括的连接器,所述WAF还包括代理服务器和匹配引擎,所述方法包括:
接收所述代理服务器传输的待检测报文;
通过所述匹配引擎的注册接口,将所述待检测报文传输至所述匹配引擎,以使所述匹配引擎对所述待检测报文进行攻击检测,确定所述待检测报文的检测结果。
可选的,所述WAF还包括解析器;
所述通过所述匹配引擎的注册接口,将所述待检测报文传输至所述匹配引擎的步骤,包括:
通过解析器接口,将所述待检测报文传输至所述解析器,以使所述解析器按照预设协议格式,解析所述待检测报文,得到所述预设协议格式的解析结果;
通过所述匹配引擎的注册接口,将所述解析结果传输至所述匹配引擎。
可选的,所述方法还包括:
接收所述匹配引擎反馈的所述检测结果,并将所述检测结果传输至所述代理服务器,以使所述代理服务器在所述检测结果指示所述待检测报文为攻击报文的情况下,则丢弃所述待检测报文;在所述检测结果指示所述待检测报文为正常报文的情况下,转发所述待检测报文。
可选的,所述方法还包括:
接收所述代理服务器传输的规则存储路径;
从所述规则存储路径处,获取规则集合;
利用所述规则集合构建所述匹配引擎,并注册所述匹配引擎的注册接口。
第四方面,本申请实施例提供了一种攻击检测方法,应用于WAF包括的匹配引擎,所述WAF还包括代理服务器和连接器,所述方法包括:
接收所述连接器通过所述匹配引擎的注册接口传输的待检测报文,所述待检测报文为所述代理服务器传输至所述连接器的;
对所述待检测报文进行攻击检测,确定所述待检测报文的检测结果。
可选的,所述方法还包括:
接收用户输入的新配置规则;
若所述待检测报文的攻击检测未结束,则利用所述匹配引擎的原配置规则,继续对所述待检测报文进行攻击检测;
当所述待检测报文的攻击检测结束后,释放所述原配置规则;
当接收到新待检测报文时,利用所述新配置规则,对所述新待检测报文进行攻击检测。
可选的,所述方法还包括:
在接收到所述新配置规则后,对所述新配置规则进行离线保存。
第五方面,本申请实施例提供了一种攻击检测装置,应用于WAF包括的连接器,所述WAF还包括代理服务器和匹配引擎,所述装置包括:
第一接收单元,用于接收所述代理服务器传输的待检测报文;
传输单元,用于通过所述匹配引擎的注册接口,将所述待检测报文传输至所述匹配引擎,以使所述匹配引擎对所述待检测报文进行攻击检测,确定所述待检测报文的检测结果。
可选的,所述WAF还包括解析器;
所述传输单元,具体用于:
通过解析器接口,将所述待检测报文传输至所述解析器,以使所述解析器按照预设协议格式,解析所述待检测报文,得到所述预设协议格式的解析结果;
通过所述匹配引擎的注册接口,将所述解析结果传输至所述匹配引擎。
可选的,所述装置还包括:
第二接收单元,用于接收所述匹配引擎反馈的所述检测结果,并将所述检测结果传输至所述代理服务器,以使所述代理服务器在所述检测结果指示所述待检测报文为攻击报文的情况下,则丢弃所述待检测报文;在所述检测结果指示所述待检测报文为正常报文的情况下,转发所述待检测报文。
可选的,所述装置还包括:
第三接收单元,用于接收所述代理服务器传输的规则存储路径;
获取单元,用于从所述规则存储路径处,获取规则集合;
注册单元,用于利用所述规则集合构建所述匹配引擎,并注册所述匹配引擎的注册接口。
第六方面,本申请实施例提供了一种攻击检测装置,应用于WAF包括的匹配引擎,所述WAF还包括代理服务器和连接器,所述装置包括:
第一接收单元,用于接收所述连接器通过所述匹配引擎的注册接口传输的待检测报文,所述待检测报文为所述代理服务器传输至所述连接器的;
检测单元,用于对所述待检测报文进行攻击检测,确定所述待检测报文的检测结果。
可选的,所述装置还包括:
第二接收单元,用于接收用户输入的新配置规则;
所述检测单元,具体用于若所述待检测报文的攻击检测未结束,则利用所述匹配引擎的原配置规则,继续对所述待检测报文进行攻击检测;当所述待检测报文的攻击检测结束后,释放所述原配置规则;当接收到新待检测报文时,利用所述新配置规则,对所述新待检测报文进行攻击检测。
可选的,所述装置还包括:
保存单元,用于在接收到所述新配置规则后,对所述新配置规则进行离线保存。
第七方面,本申请实施例提供了一种连接器,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第三方面提供的任一攻击检测方法步骤。
第八方面,本申请实施例提供了一种匹配引擎,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第四方面提供的任一攻击检测方法步骤。
第九方面,本申请实施例提供了一种机器可读存储介质,所述机器可读存储介质存储有能够被处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第三方面提供的任一攻击检测方法步骤。
第十方面,本申请实施例提供了一种机器可读存储介质,所述机器可读存储介质存储有能够被处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第四方面提供的任一攻击检测方法步骤。
第十一方面,本申请实施例提供了一种计算机程序,当其在计算机上运行时,使得计算机执行第三方面提供的任一攻击检测方法步骤。
第十二方面,本申请实施例提供了一种计算机程序,当其在计算机上运行时,使得计算机执行第四方面提供的任一攻击检测方法步骤。
本申请实施例有益效果:
本申请实施例提供的技术方案中,在WAF中增加连接器,匹配引擎只需要在连接器上注册相应的接口,即可实现对报文的攻击检测。因此,可以基于用户需要,在WAF中接入其他检测引擎,只要在连接器上注册相应的接口,即可实现WAF可以融合多个匹配引擎,提高了WAF的扩展性。另外,由于匹配引擎只是在连接器上注册相应的接口,无论匹配引擎中的规则如何变化,连接器上的注册接口不会改变,连接器不会感知到匹配引擎中的规则的变化。因此,WAF不需要重启,可连续的进行攻击检测,降低了网络中的安全隐患。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的实施例。
图1为本申请实施例提供的WAF的一种结构示意图;
图2为本申请实施例提供的WAF的另一种结构示意图;
图3为本申请实施例提供的攻击检测方法的第一种信令示意图;
图4为本申请实施例提供的攻击检测方法的第二种信令示意图;
图5为本申请实施例提供的攻击检测方法的第三种信令示意图;
图6为本申请实施例提供的攻击检测方法的第四种信令示意图;
图7为本申请实施例提供的攻击检测方法的第五种信令示意图;
图8为本申请实施例提供的引擎配置方法的第一种流程示意图;
图9为本申请实施例提供的引擎配置方法的第二种流程示意图;
图10为本申请实施例提供的攻击检测方法的第一种流程示意图;
图11为本申请实施例提供的攻击检测方法的第二种流程示意图;
图12为本申请实施例提供的攻击检测装置的第一种结构示意图;
图13为本申请实施例提供的攻击检测装置的第二种结构示意图;
图14为本申请实施例提供的连接器的一种结构示意图;
图15为本申请实施例提供的匹配引擎的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员基于本申请所获得的所有其他实施例,都属于本申请保护的范围。
为便于理解,下面对本申请实施例中出现的词语进行解释说明。
Nginx:一种轻量级的Web服务器。该Nginx的特点是:占用内存少,并发能力强。Nginx的并发能力在同类型的Web服务器中表现良好,具有良好的超文本传送协议(Hypertext Transport Protocol,HTTP)处理能力以及反向代理能力。
目前,常用的网站应用级入侵防护系统(Web Application Firewall,WAF)为基于Nginx的ModSecurity防护系统。该基于Nginx的ModSecurity防护系统只能与ModSecurity检测引擎进行对接,无法接入其他检测引擎,扩展性差。此外,ModSecurity检测引擎中的规则为静态加载规则,当需要对规则进行调整时,需要重启防护系统,这导致攻击检测出现断流,防护系统失效,给网络带来了安全隐患。
为解决上述问题,本申请实施例提供了一种WAF,如图1所示,包括代理服务器11、连接器12和匹配引擎13。
其中,代理服务器11,用于接收待检测报文,并将待检测报文传输至连接器12;连接器12,用于通过匹配引擎的注册接口,将待检测报文传输至匹配引擎13;匹配引擎13,用于对待检测报文进行攻击检测,确定待检测报文的检测结果。
本申请实施例中,WAF可以包括多个匹配引擎13,图1中仅以一个匹配引擎13为例进行说明,并不起限定作用。上述代理服务器11可以采用Nginx,以充分利用Nginx的优势,提高攻击检测效率。代理服务器11也可以采用其他具有代理功能的服务器,本申请实施例对此不进行限定。
匹配引擎13可以包括但不限于ModSecurity检测引擎、第三方检测引擎和用户自定义匹配引擎等。
在本申请的一个实施例中,为便于用户动态调整匹配引擎13中规则,即动态调整匹配引擎13的配置,本申请实施例还提供了一种WAF,如图2所示,该WAF中还可以包括解析器14。
连接器12,还用于通过解析器接口,将待检测报文传输至解析器14;解析器14,还用于按照预设协议格式,解析待检测报文,得到预设协议格式的解析结果;连接器12,具体用于通过匹配引擎13的注册接口,将解析结果传输至匹配引擎13。
本申请实施例中,对待检测报文的解析由解析器完成,将报文解析工作从检测引擎中独立出来。用户只需要对匹配引擎中的规则进行编辑,即可实现动态的调整匹配引擎的配置,以及在WAF中接入新匹配引擎,或切断原匹配引擎,进一步提高了WAF的扩展性。
基于上述WAF,本申请实施例提供了一种攻击检测方法,如图3所示,该攻击检测方法应用于如图1或2所示的WAF,该WAF包括代理服务器、连接器和匹配引擎。该方法包括如下步骤。
步骤S31,代理服务器接收待检测报文,并将待检测报文传输至连接器。
本申请实施例中,代理服务器位于用户与后台服务器之间。待检测报文可以为用户向后台服务器发送的HTTP请求报文,也可以为后台服务器向用户回复的HTTP响应报文,对此不限定。
代理服务器接收用户向后台服务器发送的HTTP请求报文,作为待检测报文;或者代理服务器接收后台服务器向用户回复的HTTP响应报文,作为待检测报文。代理服务器在接收到待检测报文后,将待检测报文传输至连接器。
步骤S32,连接器通过匹配引擎的注册接口,将待检测报文传输至匹配引擎。
本申请实施例中,连接器上预先注册了匹配引擎的接口,即注册接口。连接器接收到代理服务器传输来的待检测报文后,调用匹配引擎的注册接口,进而通过匹配引擎的注册接口,将待检测报文传输至匹配引擎。
本申请实施例中,若WAF包括多个匹配引擎,这多个匹配引擎可以分配不同的优先级。连接器可以调用当前优先级的匹配引擎的注册接口,将待检测报文传输至当前优先级的匹配引擎;若当前优先级的匹配引擎反馈的检测结果指示待检测报文为正常报文,则按照匹配引擎的优先级从高到低的顺序,连接器将下一优先级作为当前优先级,进而调用当前优先级的匹配引擎的注册接口,将待检测报文传输至当前优先级的匹配引擎。若当前优先级的匹配引擎反馈的检测结果指示待检测报文为攻击报文,则结束调用当前优先级的匹配引擎的注册接口的流程。这有效降低了WAF的计算量,降低了WAF的负担。
若WAF包括一个匹配引擎,则连接器直接调用该匹配引擎的注册接口,将待检测报文传输至该匹配引擎。
本申请实施例中,匹配引擎的注册接口可以为HTTP整个阶段的注册接口。HTTP整个阶段主要有连接阶段、同一资源定位符(Uniform Resource Locator,URL)阶段、请求阶段、请求体阶段、响应头阶段、响应体阶段接口。这样,可以实现对HTTP整个阶段进行检测。
为了降低WAF的计算量,匹配引擎的注册接口可以为HTTP某个阶段的注册接口。HTTP某个阶段可以根据实际需求进行设定。对此不进行限定。
步骤S33,匹配引擎对待检测报文进行攻击检测,确定待检测报文的检测结果。
本申请实施例中,匹配引擎具有防护功能。匹配引擎获取到待检测报文后,将待检测报文与匹配引擎中的规则进行匹配,检测待检测报文是否为攻击报文,进而生成待检测报文的检测结果。检测结果指示待检测报文是否为攻击报文。
一个示例中,检测结果包括对待检测报文需要执行的动作类型。基于动作类型,可知待检测报文是否为攻击报文。
例如,动作类型包括放行、阻断、丢弃、重定向和重置。若动作类型为阻断或丢弃,则可确定待检测报文为攻击报文。否则,确定待检测报文为正常报文。
本申请实施例提供的技术方案中,在WAF中增加连接器,匹配引擎只需要在连接器上注册相应的接口,即可实现对报文攻击检测。因此,可以基于用户需要,在WAF中接入其他检测引擎,只要在连接器上注册相应的接口,即可实现WAF可以融合多个匹配引擎,提高了WAF的扩展性。另外,由于匹配引擎只是在连接器上注册相应的接口,无论匹配引擎中的规则如何变化,连接器上的注册接口不会改变,连接器不会感知到匹配引擎中的规则的变化。因此,WAF不需要重启,可连续的进行攻击检测,降低了网络中的安全隐患。
基于上述WAF,本申请实施例提供了一种攻击检测方法,如图4所示,该攻击检测方法应用于如图1或2所示的WAF,该WAF还可以包括解析器。该方法中上述步骤S32可以细化为步骤S321、S322和S323。
步骤S321,连接器通过解析器接口,将待检测报文传输至解析器。
本申请实施例中,连接器上设置了解析器接口。连接器调用解析器接口,进而通过解析器接口,将待检测报文传输至解析器,以对待检测报文进行解析。
步骤S322,解析器按照预设协议格式,解析待检测报文,得到预设协议格式的解析结果。
本申请实施例中,解析器是WAF的基础,可以根据业务需求,对报文做指定格式的特征提取,即按照预设协议格式,解析待检测报文,得到解析结果,便于后续业务处理。
步骤S323,连接器通过匹配引擎的注册接口,将解析结果传输至匹配引擎。
本申请实施例中,解析器得到解析结果后,将解析结果传输至连接器。进而,连接器通过匹配引擎的注册接口,将解析结果传输至匹配引擎。
本申请实施例中,对待检测报文的解析由解析器完成,将报文解析工作从检测引擎中独立出来。用户只需要对匹配引擎中的规则进行编辑,即可实现动态的调整匹配引擎的配置,以及在WAF中接入新匹配引擎,或切断原匹配引擎,进一步提高了WAF的扩展性。
在本申请的一个实施例中,本申请实施例提供了一种攻击检测方法,如图5所示,还可以包括步骤S34、S35和S36。
步骤S34,连接器接收匹配引擎反馈的检测结果,并将检测结果传输至代理服务器。
本申请实施例中,连接器模块起到承上启下的作用,首先透传报文信息,然后又将匹配引擎的检测结果反馈给代理服务器。具体为,匹配引擎获得检测结果后,将检测结果反馈给连接器,进而将检测结果传输给代理服务器。
步骤S35,代理服务器在检测结果指示待检测报文为攻击报文的情况下,则丢弃待检测报文。
代理服务器接收到检测结果后,根据检测结果,判断待检测报文是否为攻击报文,例如,判断检测结果包括的动作类型是否为丢弃或阻断。若待检测报文为攻击报文,例如,动作类型为丢弃或阻断,则代理服务器丢弃待检测报文,提高网络安全性。
步骤S36,代理服务器在检测结果指示待检测报文为正常报文的情况下,转发待检测报文。
代理服务器接收到检测结果后,根据检测结果,判断待检测报文是否为攻击报文,例如,判断检测结果包括的动作类型是否为丢弃或阻断。若待检测报文为正常报文,例如,动作类型不是丢弃,且不是阻断,则代理服务器转发待检测报文,实现用户与后台服务器间的通信。
在本申请的一个实施例中,基于图3,本申请实施例还提供了一种攻击检测方法,如图6所示,该方法中在步骤S31之前,还可以包括步骤S61和S62。
步骤S61,代理服务器在接收待检测报文前,向连接器传输规则存储路径。
代理服务器在接收待检测报文前,可调用连接器接口,并附上参数,即规则存储路径。
本申请实施例中,用户可以通过HTTP配置下发的规则存储路径,也可以采用其他协议配置下发的规则存储路径,例如采用传输控制协议(Transmission ControlProtocol,TCP)配置下发的规则存储路径,对此不进行限定。
步骤S62,连接器从规则存储路径处,获取规则集合;利用规则集合构建匹配引擎,并注册匹配引擎的注册接口。
连接器读取代理服务器配置的规则存储路径,进而从规则存储路径处,获取规则集合。连接器可以调用防护引擎库的初始化接口,初始化防护引擎库,即将获取的规则集合写入防护引擎库,实现匹配引擎的构建。在构建匹配引擎后,即初始化防护引擎库后,连接器注册匹配引擎的注册接口。
本申请实施例中,匹配引擎的接口定义可以根据公共的头文件约定。
下面结合图7所示的攻击检测的信令图,对本申请实施例提供的攻击检测方法进行详细说明。
步骤S71,代理服务器调用连接器接口,向连接器下发规则存储路径。
步骤S72,连接器初始化匹配引擎。
步骤S73,匹配引擎在初始完成后,向连接器反馈初始化结果。
步骤S74,连接器注册匹配引擎的注册接口。
步骤S75,匹配引擎在注册完成后,向连接器反馈注册结果。
步骤S76,代理服务器接收来自用户的HTTP请求报文。
步骤S77,代理服务器调用连接器接口,向连接器透传HTTP请求报文。
步骤S78,连接器调用解析器接口,将HTTP请求报文传输至解析器。
步骤S79,解析器对HTTP请求报文进行解析,并向连接器反馈解析结果。
步骤S710,连接器调用匹配引擎的注册接口,以使匹配引擎对HTTP请求报文进行攻击检测,获得检测结果。
步骤S711,连接器向代理服务器反馈检测结果。
步骤S712,代理服务器判断检测结果包括的动作类型是否为丢弃或阻断。若是,则执行步骤S713。若否,则执行步骤S714。
步骤S713,代理服务器丢弃HTTP请求报文。
步骤S714,代理服务器向后台服务器转发HTTP请求报文。
步骤S715,代理服务器接收来自后台服务器的HTTP响应报文。
步骤S716,代理服务器调用连接器接口,向连接器透传HTTP响应报文。
步骤S717,连接器调用解析器接口,将HTTP响应报文传输至解析器。
步骤S718,解析器对HTTP响应报文进行解析,并向连接器反馈解析结果。
步骤S719,连接器调用匹配引擎的注册接口,以使匹配引擎对HTTP响应报文进行攻击检测,获得检测结果。
步骤S720,连接器向代理服务器反馈检测结果。
步骤S721,代理服务器判断检测结果包括的动作类型是否为丢弃或阻断。若是,则执行步骤S722。若否,则执行步骤S723。
步骤S722,代理服务器丢弃HTTP响应报文。
步骤S723,代理服务器向用户转发HTTP响应报文。
上述步骤S71-S723部分的描述相对简单,具体可参见上述图1-图6部分的描述。
在本申请的一个实施例中,本申请实施例提供了一种引擎配置方法,如图8所示,该方法可以包括步骤S81和S82。
步骤S81,匹配引擎接收用户输入的新配置规则。
本申请实施例中,配置规则指的是匹配引擎中存储的规则。用户根据配置需求,配置新的规则,即新配置规则,并输入后端的匹配引擎。匹配引擎接收用户输入的新配置规则。
为避免配置出错,一个可选的实施例中,匹配引擎接收到新配置规则后,校验新配置规则是否为有效规则。若有效,则匹配引擎继续执行后续步骤S82和S83。若无效,则匹配引擎可输出提示信息,以提示用户相关的错误,指导用户调整配置规则。
本申请实施例中,匹配引擎在接收到新配置规则后,将新配置规则加载至内存后,执行步骤S84。
一个示例中,为便于下一次WAF重启后新配置规则能生效,匹配引擎对新配置规则进行离线保存。
步骤S82,若待检测报文的攻击检测未结束,则匹配引擎利用匹配引擎的原配置规则,继续对待检测报文进行攻击检测。
在接收到新配置规则后,若待检测报文的攻击检测未结束,即匹配引擎正在利用原配置规则对待检测报文进行攻击检测,则原配置规则有效,利用匹配引擎的原配置规则,继续对待检测报文进行攻击检测。这样,可以进一步避免攻击检测出现断流。
步骤S83,当待检测报文的攻击检测结束后,匹配引擎释放原配置规则。
当待检测报文的攻击检测结束后,原配置规则失效,匹配引擎对原配置规则进行释放操作,以释放原配置规则,避免内存泄露的问题。。
步骤S84,当接收到新待检测报文时,匹配引擎利用新配置规则,对新待检测报文进行攻击检测。
在接收到新配置规则后,若接收到新待检测报文,即使原配置规则有效,仍利用新配置规则,对新待检测报文进行攻击检测,以满足用户的攻击检测需求。
本申请实施例中,用户配置规则不仅仅局限于某个具体匹配引擎中的配置,也可以针对所有匹配引擎中的使能操作,即将某个匹配引擎的开关打开,或将某个匹配引擎的关闭,不进行该匹配引擎的防护功能,提高了WAF攻击检测的灵活性。
下面结合图9所示的引擎配置方法的流程示意图,对本申请实施例提供的引擎配置方法进行详细说明。
步骤S91,用户向匹配引擎输入的新配置规则。
步骤S92,匹配引擎检测新配置规则是否有效。若否,则执行步骤S93。若是,则执行步骤S94。
步骤S93,匹配引擎输出提示信息,以提示用户相关的错误。
步骤S94,匹配引擎将新配置规则加载至内存,并离线保存。
步骤S95,匹配引擎利用新配置规则,对新待检测报文进行攻击检测。
步骤S96,匹配引擎检测原配置规则是否有效。若否,则执行步骤S97,若是,则结束本次处理。
步骤S97,匹配引擎释放原配置规则占用的资源。
基于上述攻击检测方法,本申请实施例还提供了一种攻击检测方法,如图10所示,该方法应用于上述WAF的连接器,该WAF还可以包括代理服务器和连接器。基于此,该攻击检测方法包括如下步骤:
步骤S101,接收代理服务器传输的待检测报文;
步骤S102,通过匹配引擎的注册接口,将待检测报文传输至匹配引擎,以使匹配引擎对待检测报文进行攻击检测,确定待检测报文的检测结果。
一个可选的实施例中,上述WAF还可以包括解析器;
上述步骤S102具体可以为:通过解析器接口,将待检测报文传输至解析器,以使解析器按照预设协议格式,解析待检测报文,得到预设协议格式的解析结果;通过匹配引擎的注册接口,将解析结果传输至匹配引擎。
一个可选的实施例中,上述攻击检测方法还可以包括:
接收匹配引擎反馈的检测结果,并将检测结果传输至代理服务器,以使代理服务器在检测结果指示待检测报文为攻击报文的情况下,则丢弃待检测报文;在检测结果指示待检测报文为正常报文的情况下,转发待检测报文。
一个可选的实施例中,上述攻击检测方法还可以包括:
接收代理服务器传输的规则存储路径;
从规则存储路径处,获取规则集合;
利用规则集合构建匹配引擎,并注册匹配引擎的注册接口。
应用本申请实施例提供的技术方案,在WAF中增加连接器,匹配引擎只需要在连接器上注册相应的接口,即可实现对报文的攻击检测。因此,可以基于用户需要,在WAF中接入其他检测引擎,只要在连接器上注册相应的接口,即可实现WAF可以融合多个匹配引擎,提高了WAF的扩展性。另外,由于匹配引擎只是在连接器上注册相应的接口,无论匹配引擎中的规则如何变化,连接器上的注册接口不会改变,连接器不会感知到匹配引擎中的规则的变化。因此,WAF不需要重启,可连续的进行攻击检测,降低了网络中的安全隐患。
基于上述攻击检测方法,本申请实施例还提供了一种攻击检测方法,如图11所示,该方法应用于上述WAF的匹配引擎,该WAF还可以包括代理服务器和连接器。基于此,该攻击检测方法包括如下步骤:
步骤S111,接收连接器通过匹配引擎的注册接口传输的待检测报文,待检测报文为代理服务器传输至连接器的;
步骤S112,对待检测报文进行攻击检测,确定待检测报文的检测结果。
一个可选的实施例中,上述攻击检测方法还可以包括:
接收用户输入的新配置规则;
若待检测报文的攻击检测未结束,则利用匹配引擎的原配置规则,继续对待检测报文进行攻击检测;
当待检测报文的攻击检测结束后,释放原配置规则;
当接收到新待检测报文时,利用新配置规则,对新待检测报文进行攻击检测。
一个可选的实施例中,上述攻击检测方法还可以包括:
在接收到新配置规则后,对新配置规则进行离线保存。
应用本申请实施例提供的技术方案,在WAF中增加连接器,匹配引擎只需要在连接器上注册相应的接口,即可实现对报文的攻击检测。因此,可以基于用户需要,在WAF中接入其他检测引擎,只要在连接器上注册相应的接口,即可实现WAF可以融合多个匹配引擎,提高了WAF的扩展性。另外,由于匹配引擎只是在连接器上注册相应的接口,无论匹配引擎中的规则如何变化,连接器上的注册接口不会改变,连接器不会感知到匹配引擎中的规则的变化。因此,WAF不需要重启,可连续的进行攻击检测,降低了网络中的安全隐患。
与上述应用于连接器的攻击检测方法对应,本申请实施例还提供了一种攻击检测装置,如图12所示,应用于WAF包括的连接器,WAF还包括代理服务器和匹配引擎,该装置包括:
第一接收单元121,用于接收代理服务器传输的待检测报文;
传输单元122,用于通过匹配引擎的注册接口,将待检测报文传输至匹配引擎,以使匹配引擎对待检测报文进行攻击检测,确定待检测报文的检测结果。
可选的,WAF还可以包括解析器;
传输单元122,具体可以用于:
通过解析器接口,将待检测报文传输至解析器,以使解析器按照预设协议格式,解析待检测报文,得到预设协议格式的解析结果;
通过匹配引擎的注册接口,将解析结果传输至匹配引擎。
可选的,上述攻击检测装置还可以包括:
第二接收单元,用于接收匹配引擎反馈的检测结果,并将检测结果传输至代理服务器,以使代理服务器在检测结果指示待检测报文为攻击报文的情况下,则丢弃待检测报文;在检测结果指示待检测报文为正常报文的情况下,转发待检测报文。
可选的,上述攻击检测装置还可以包括:
第三接收单元,用于接收代理服务器传输的规则存储路径;
获取单元,用于从规则存储路径处,获取规则集合;
注册单元,用于利用规则集合构建匹配引擎,并注册匹配引擎的注册接口。
应用本申请实施例提供的技术方案,在WAF中增加连接器,匹配引擎只需要在连接器上注册相应的接口,即可实现对报文的攻击检测。因此,可以基于用户需要,在WAF中接入其他检测引擎,只要在连接器上注册相应的接口,即可实现WAF可以融合多个匹配引擎,提高了WAF的扩展性。另外,由于匹配引擎只是在连接器上注册相应的接口,无论匹配引擎中的规则如何变化,连接器上的注册接口不会改变,连接器不会感知到匹配引擎中的规则的变化。因此,WAF不需要重启,可连续的进行攻击检测,降低了网络中的安全隐患。
与上述应用于匹配引擎的攻击检测方法对应,本申请实施例还提供了一种攻击检测装置,如图13所示,应用于WAF包括的匹配引擎,WAF还包括代理服务器和连接器,该装置包括:
第一接收单元131,用于接收连接器通过匹配引擎的注册接口传输的待检测报文,待检测报文为代理服务器传输至连接器的;
检测单元132,用于对待检测报文进行攻击检测,确定待检测报文的检测结果。
可选的,上述攻击检测装置还可以包括:
第二接收单元,用于接收用户输入的新配置规则;
检测单元132,具体可以用于若待检测报文的攻击检测未结束,则利用匹配引擎的原配置规则,继续对待检测报文进行攻击检测;当待检测报文的攻击检测结束后,释放原配置规则;当接收到新待检测报文时,利用新配置规则,对新待检测报文进行攻击检测。
可选的,上述攻击检测装置还可以包括:
保存单元,用于在接收到新配置规则后,对新配置规则进行离线保存。
应用本申请实施例提供的技术方案,在WAF中增加连接器,匹配引擎只需要在连接器上注册相应的接口,即可实现对报文的攻击检测。因此,可以基于用户需要,在WAF中接入其他检测引擎,只要在连接器上注册相应的接口,即可实现WAF可以融合多个匹配引擎,提高了WAF的扩展性。另外,由于匹配引擎只是在连接器上注册相应的接口,无论匹配引擎中的规则如何变化,连接器上的注册接口不会改变,连接器不会感知到匹配引擎中的规则的变化。因此,WAF不需要重启,可连续的进行攻击检测,降低了网络中的安全隐患。
本申请实施例提供了一种连接器,如图14所示,包括处理器141和机器可读存储介质142,机器可读存储介质142存储有能够被处理器141执行的机器可执行指令,处理器141被机器可执行指令促使:实现上述应用于连接器的任一攻击检测方法步骤。
本申请实施例提供了一种匹配引擎,如图15所示,包括处理器151和机器可读存储介质152,机器可读存储介质152存储有能够被处理器151执行的机器可执行指令,处理器151被机器可执行指令促使:实现上述应用于匹配引擎的任一攻击检测方法步骤。
第九方面,本申请实施例提供了一种机器可读存储介质,所述机器可读存储介质存储有能够被处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述应用于连接器的任一攻击检测方法步骤。
第十方面,本申请实施例提供了一种机器可读存储介质,所述机器可读存储介质存储有能够被处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述应用于匹配引擎的任一攻击检测方法步骤。
第十一方面,本申请实施例提供了一种计算机程序,当其在计算机上运行时,使得计算机执行上述应用于连接器的任一攻击检测方法步骤。
第十二方面,本申请实施例提供了一种计算机程序,当其在计算机上运行时,使得计算机执行上述应用于匹配引擎的任一攻击检测方法步骤。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统、应用于连接器的攻击检测方法及装置、应用于匹配引擎的攻击检测方法及装置、连接器、匹配引擎、机器可读存储介质、计算机程序实施例而言,由于其基本相似于应用于WAF的攻击检测方法实施例,所以描述的比较简单,相关之处参见应用于WAF的攻击检测方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (10)
1.一种攻击检测方法,其特征在于,应用于网站应用级入侵防护系统WAF包括的连接器,所述WAF还包括代理服务器和匹配引擎,所述方法包括:
接收所述代理服务器传输的待检测报文;
通过所述匹配引擎的注册接口,将所述待检测报文传输至所述匹配引擎,以使所述匹配引擎对所述待检测报文进行攻击检测,确定所述待检测报文的检测结果。
2.根据权利要求1所述的方法,其特征在于,所述WAF还包括解析器;
所述通过所述匹配引擎的注册接口,将所述待检测报文传输至所述匹配引擎的步骤,包括:
通过解析器接口,将所述待检测报文传输至所述解析器,以使所述解析器按照预设协议格式,解析所述待检测报文,得到所述预设协议格式的解析结果;
通过所述匹配引擎的注册接口,将所述解析结果传输至所述匹配引擎。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
接收所述匹配引擎反馈的所述检测结果,并将所述检测结果传输至所述代理服务器,以使所述代理服务器在所述检测结果指示所述待检测报文为攻击报文的情况下,则丢弃所述待检测报文;在所述检测结果指示所述待检测报文为正常报文的情况下,转发所述待检测报文。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述代理服务器传输的规则存储路径;
从所述规则存储路径处,获取规则集合;
利用所述规则集合构建所述匹配引擎,并注册所述匹配引擎的注册接口。
5.一种攻击检测方法,其特征在于,应用于网站应用级入侵防护系统WAF包括的匹配引擎,所述WAF还包括代理服务器和连接器,所述方法包括:
接收所述连接器通过所述匹配引擎的注册接口传输的待检测报文,所述待检测报文为所述代理服务器传输至所述连接器的;
对所述待检测报文进行攻击检测,确定所述待检测报文的检测结果。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
接收用户输入的新配置规则;
若所述待检测报文的攻击检测未结束,则利用所述匹配引擎的原配置规则,继续对所述待检测报文进行攻击检测;
当所述待检测报文的攻击检测结束后,释放所述原配置规则;
当接收到新待检测报文时,利用所述新配置规则,对所述新待检测报文进行攻击检测。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
在接收到所述新配置规则后,对所述新配置规则进行离线保存。
8.一种网站应用级入侵防护系统WAF,其特征在于,包括代理服务器、连接器和匹配引擎;
所述代理服务器,用于接收待检测报文,并将所述待检测报文传输至所述连接器;
所述连接器,用于通过所述匹配引擎的注册接口,将所述待检测报文传输至所述匹配引擎;
所述匹配引擎,用于对所述待检测报文进行攻击检测,确定所述待检测报文的检测结果。
9.一种攻击检测装置,其特征在于,应用于网站应用级入侵防护系统WAF包括的连接器,所述WAF还包括代理服务器和匹配引擎,所述装置包括:
接收单元,用于接收所述代理服务器传输的待检测报文;
传输单元,用于通过所述匹配引擎的注册接口,将所述待检测报文传输至所述匹配引擎,以使所述匹配引擎对所述待检测报文进行攻击检测,确定所述待检测报文的检测结果。
10.一种攻击检测装置,其特征在于,应用于网站应用级入侵防护系统WAF包括的匹配引擎,所述WAF还包括代理服务器和连接器,所述装置包括:
接收单元,用于接收所述连接器通过所述匹配引擎的注册接口传输的待检测报文,所述待检测报文为所述代理服务器传输至所述连接器的;
检测单元,用于对所述待检测报文进行攻击检测,确定所述待检测报文的检测结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110536874.9A CN113271305B (zh) | 2021-05-17 | 2021-05-17 | 一种攻击检测方法、装置及网站应用级入侵防护系统waf |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110536874.9A CN113271305B (zh) | 2021-05-17 | 2021-05-17 | 一种攻击检测方法、装置及网站应用级入侵防护系统waf |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113271305A CN113271305A (zh) | 2021-08-17 |
| CN113271305B true CN113271305B (zh) | 2022-04-22 |
Family
ID=77231282
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110536874.9A Active CN113271305B (zh) | 2021-05-17 | 2021-05-17 | 一种攻击检测方法、装置及网站应用级入侵防护系统waf |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113271305B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107026821A (zh) * | 2016-02-01 | 2017-08-08 | 阿里巴巴集团控股有限公司 | 报文的处理方法及装置 |
| CN107342968A (zh) * | 2016-05-03 | 2017-11-10 | 阿里巴巴集团控股有限公司 | 网页服务器的攻击检测方法、装置及系统 |
| CN107409126A (zh) * | 2015-02-24 | 2017-11-28 | 思科技术公司 | 用于保护企业计算环境安全的系统和方法 |
| CN110868380A (zh) * | 2018-12-19 | 2020-03-06 | 北京安天网络安全技术有限公司 | 网络流量安全监测方法、装置、电子设备及存储介质 |
| CN111641652A (zh) * | 2020-05-29 | 2020-09-08 | 北京中超伟业信息安全技术股份有限公司 | 一种基于云计算的应用安全服务平台 |
| CN112151105A (zh) * | 2019-06-26 | 2020-12-29 | 美光科技公司 | 使用测试垫实时监测的存储器系统测试仪 |
| CN112165447A (zh) * | 2020-08-21 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 基于waf设备的网络安全监测方法、系统和电子装置 |
| CN112751900A (zh) * | 2019-10-31 | 2021-05-04 | 北京京东尚科信息技术有限公司 | 一种网络请求处理方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8522348B2 (en) * | 2009-07-29 | 2013-08-27 | Northwestern University | Matching with a large vulnerability signature ruleset for high performance network defense |
| US20150358343A1 (en) * | 2014-06-09 | 2015-12-10 | Akamai Technologies, Inc. | Detection and classification of malicious clients based on message alphabet analysis |
-
2021
- 2021-05-17 CN CN202110536874.9A patent/CN113271305B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107409126A (zh) * | 2015-02-24 | 2017-11-28 | 思科技术公司 | 用于保护企业计算环境安全的系统和方法 |
| CN107026821A (zh) * | 2016-02-01 | 2017-08-08 | 阿里巴巴集团控股有限公司 | 报文的处理方法及装置 |
| CN107342968A (zh) * | 2016-05-03 | 2017-11-10 | 阿里巴巴集团控股有限公司 | 网页服务器的攻击检测方法、装置及系统 |
| CN110868380A (zh) * | 2018-12-19 | 2020-03-06 | 北京安天网络安全技术有限公司 | 网络流量安全监测方法、装置、电子设备及存储介质 |
| CN112151105A (zh) * | 2019-06-26 | 2020-12-29 | 美光科技公司 | 使用测试垫实时监测的存储器系统测试仪 |
| CN112751900A (zh) * | 2019-10-31 | 2021-05-04 | 北京京东尚科信息技术有限公司 | 一种网络请求处理方法和装置 |
| CN111641652A (zh) * | 2020-05-29 | 2020-09-08 | 北京中超伟业信息安全技术股份有限公司 | 一种基于云计算的应用安全服务平台 |
| CN112165447A (zh) * | 2020-08-21 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 基于waf设备的网络安全监测方法、系统和电子装置 |
Non-Patent Citations (1)
| Title |
|---|
| Web应用防火墙关于gzip文件的检测研究;张林;《电子设计工程》;20201005(第19期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113271305A (zh) | 2021-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109067914B (zh) | Web服务的代理方法、装置、设备及存储介质 | |
| US20170244792A1 (en) | Power-Line Carrier Terminal Control Apparatus, System, and Method | |
| US20190229982A1 (en) | Fault detection method and node device | |
| CN111193773B (zh) | 负载均衡方法、装置、设备及存储介质 | |
| CN113489652A (zh) | 一种数据流放大方法、装置、汇聚分流器以及存储介质 | |
| CN111541662B (zh) | 一种基于二进制通信协议的通信方法、电子设备及存储介质 | |
| CN112104640A (zh) | 网关的数据处理方法、装置、设备及可读存储介质 | |
| CN112131014B (zh) | 决策引擎系统及其业务处理方法 | |
| CN112532714B (zh) | 一种数据处理方法、处理装置、服务器及存储介质 | |
| US10608889B2 (en) | High-level interface to analytics engine | |
| CN113271305B (zh) | 一种攻击检测方法、装置及网站应用级入侵防护系统waf | |
| CN113111005A (zh) | 应用程序测试方法和装置 | |
| WO2024060408A1 (zh) | 网络攻击检测方法和装置、设备及存储介质 | |
| CN110933188A (zh) | 远程服务的调用方法、系统、服务器及存储介质 | |
| CN110661850A (zh) | 一种边缘计算方法、系统、计算机设备和存储介质 | |
| US9866644B2 (en) | Terminal, message distribution system, message distribution method, and computer-readable medium | |
| CN115967575A (zh) | Http请求夹带检测方法、装置、电子设备及存储介质 | |
| CN111404827B (zh) | 一种数据包处理方法、装置及电子设备和存储介质 | |
| CN113079055B (zh) | 一种agv运行数据的动态采集方法和装置 | |
| US9559890B2 (en) | Routing device as a command client | |
| CN114025005A (zh) | 一种数据通讯方法、系统、电子设备及存储介质 | |
| CN113452754A (zh) | 一种基于CoAP协议的配电物联网网络通信系统 | |
| CN113765972A (zh) | 数据请求响应方法、装置、系统、服务器和存储介质 | |
| CN111988221A (zh) | 数据传输方法、数据传输装置、存储介质与电子设备 | |
| CN113904980B (zh) | 一种信道切换方法、装置、交换机及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |