CN113630417B - 基于waf的数据发送方法、装置、电子装置和存储介质 - Google Patents
基于waf的数据发送方法、装置、电子装置和存储介质 Download PDFInfo
- Publication number
- CN113630417B CN113630417B CN202110922452.5A CN202110922452A CN113630417B CN 113630417 B CN113630417 B CN 113630417B CN 202110922452 A CN202110922452 A CN 202110922452A CN 113630417 B CN113630417 B CN 113630417B
- Authority
- CN
- China
- Prior art keywords
- message
- preset
- unknown
- http
- waf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本申请涉及一种基于WAF的数据发送方法,其中,该基于WAF的数据发送方法包括:获取数据发送端发送的流量报文;基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文;对所述已知报文和所述未知HTTP报文进行攻击报文检测,将通过所述攻击报文检测的所述已知报文和所述未知HTTP报文发送到数据接收端。通过本申请,解决了现有技术中存在由于对一些未知报文无法识别,导致数据无法正常传输、网络无法连接的问题,实现了不仅可以对已知报文进行识别以及数据传输,对于未知报文同样可以进行识别和数据传输,在保证流量报文安全的同时,还可以保证网络的正常连接。
Description
技术领域
本申请涉及计算机网络技术领域,特别是涉及一种基于WAF的数据发送方法、装置、电子装置和存储介质。
背景技术
目前,随着技术的发展以及人们对网络的依赖,Web(万维网)应用越来越丰富,由于Web具有强大的计算能力、处理性能以及较高的应用价值,逐渐成为不法分子攻击以及破解的目标,例如结构化程序语言注入、网页篡改、网络木马等威胁以及攻击方式经常发生,基于此,人们发明了一种网站应用级入侵防御系统(Web应用防火墙,简称WAF)作为识别异常攻击流量的方法,通常是通过与异常流量规则集进行匹配来识别异常流量。
由于需要与异常流量规则集进行匹配,以保证对异常流量进行识别,基于此,不同的制造商对于不同的WAF都配备有不同的流量匹配规则,也就是配备不同的已知报文匹配规则,用于识别已知应用的报文,从而对其进行防护,而对于无法匹配的未知流量报文,则可能会被认为是恶意数据从而直接隔离,导致数据无法正常发送的问题,因此,当不同的WAF用于防护时,会存在对于无法识别的未知报文不会进行防护,不进行传输,可能会出现断网的问题。基于此,现有技术中存在由于对一些未知报文无法识别,导致数据无法正常传输、网络无法连接的问题,目前还没有提出有效的解决方案。
发明内容
在本实施例中提供了一种基于WAF的数据发送方法、装置、电子装置和存储介质,以解决相关技术中存在由于对一些未知报文无法识别,导致数据无法正常传输、网络无法连接的问题。
第一个方面,在本实施例中提供了一种基于WAF的数据发送方法,包括:获取数据发送端发送的流量报文;基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文;对所述已知报文和所述未知HTTP报文进行攻击报文检测,将通过所述攻击报文检测的所述已知报文和所述未知HTTP报文发送到数据接收端。
在其中一个实施例中,所述基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文包括:基于预设TCP报文匹配规则提取所述流量报文中的所述TCP报文;基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述TCP报文中的已知报文以及未知HTTP报文。
在另一个实施例中,所述基于预设TCP报文匹配规则提取所述流量报文中的所述TCP报文之后还包括:将提取所述TCP报文后的流量报文发送到所述数据接收端。
在其中一个实施例中,基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文之后还包括:对所述提取已知报文后的流量报文进行SSL报文提取,得到SSL报文;判断所述SSL报文中是否存在SNI信息,所述SNI信息包括服务器名称指示信息;若存在,则将所述SSL报文中的报文信息添加到所述预设已知报文匹配规则中。
在另一个实施例中,所述基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文之后还括:将所述未知HTTP报文的报文信息添加到所述预设已知报文匹配规则中,所述报文信息包括报文IP、端口信息以及域名信息。
在其中一个实施例中,所述对所述已知报文和所述未知HTTP报文进行攻击报文检测包括:检测所述已知报文和所述未知HTTP报文中是否存在攻击报文;提取所述已知报文和所述未知HTTP报文中的所述攻击报文,并将所述攻击报文进行丢弃处理。
在另一个实施例中,所述方法还包括:将提取所述已知报文和所述未知HTTP报文后的流量报文发送到所述数据接收端。
第二个方面,在本实施例中提供了一种基于WAF的数据发送装置,包括:流量报文获取模块:用于获取数据发送端发送的流量报文;报文提取模块:用于基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文;报文发送模块:用于对所述已知报文和所述未知HTTP报文进行攻击报文检测,将通过所述攻击报文检测的所述已知报文和所述未知HTTP报文发送到数据接收端。
第三个方面,在本实施例中提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一个方面所述的基于WAF的数据发送方法。
第四个方面,在本实施例中提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一个方面所述的基于WAF的数据发送方法。
与相关技术相比,在本实施例中提供的基于WAF的数据发送方法,通过获取数据发送端发送的流量报文;基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文;对所述已知报文和所述未知HTTP报文进行攻击报文检测,将通过所述攻击报文检测的所述已知报文和所述未知HTTP报文发送到数据接收端。解决了现有技术中存在由于对一些未知报文无法识别,导致数据无法正常传输、网络无法连接的问题,实现了不仅可以对已知报文进行识别以及数据传输,对于未知报文同样可以进行识别和数据传输,在保证流量报文安全的同时,还可以保证网络的正常连接。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本方法一实施例的基于WAF的数据发送方法的终端的硬件结构框图。
图2是本申请一实施例的基于WAF的数据发送方法的流程图。
图3是本申请另一个实施例的基于WAF的数据发送方法的流程图。
图4是本申请一实施例的基于WAF的数据发送装置的结构框图。
具体实施方式
为更清楚地理解本申请的目的、技术方案和优点,下面结合附图和实施例,对本申请进行了描述和说明。
除另作定义外,本申请所涉及的技术术语或者科学术语应具有本申请所属技术领域具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制,它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体,其目的是涵盖不排他的包含;例如,包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元),而可包括未列出的步骤或模块(单元),或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接,而可以包括电气连接,无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。通常情况下,字符“/”表示前后关联的对象是一种“或”的关系。在本申请中所涉及的术语“第一”、“第二”、“第三”等,只是对相似对象进行区分,并不代表针对对象的特定排序。
在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行,图1是本方法一实施例的基于WAF的数据发送方法的终端的硬件结构框图。如图1所示,终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104,其中,处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限制。例如,终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示出的不同配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如在本实施例中的基于WAF的数据发送方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(NetworkInterface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种基于WAF的数据发送方法,图2是本申请一实施例的基于WAF的数据发送方法的流程图,如图2所示,该流程包括如下步骤:
步骤S201,获取数据发送端发送的流量报文。
本实施例是一种数据发送方法,可以是从服务器端将数据发送到客户端,还可以是从客户端将数据发送到服务器端,可以理解的,只要是将数据发送出的端口,都可以作为数据发送端,进一步的,首先获取从数据发送端发送到WAF设备中的流量报文,可以理解的,网络连接以及数据发送都是基于流量报文的发送和接收进行的,基于此,本申请中的基于WAF的数据发送方法,也是对流量进行检测并将对接收端并不存在威胁的流量报文发送给报文数据接收端,主要的处理目标也就是流量报文,因此,在将数据基于WAF发送到数据接收端时,首先需要获取流量报文,才可以保证完成数据发送。
步骤S202,基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文。
可以理解的,WAP作为网络防火墙,是用于对数据接收端进行安全防护的,但将全部流量报文直接全部进行网络安全监测对于WAF来说计算量过大,会影响防护效率以及防护准确率,基于此,只需筛选出在数据报文中易被攻击者作为攻击报文发送的报文,并只对其进行攻击报文识别即可;因此,在本实施例中,首先根据预设已知报文匹配规则以及预设HTTP报文匹配规则,提取出流量报文中的已知报文以及其余未知报文中的HTTP报文,也就是未知HTTP报文,其中,预设已知报文匹配规则即经过技术人员配置可以直接识别出已知Web应用数据报文的报文匹配规则,其中包括报文服务器IP地址、端口信息以及域名信息等,本实施例中不做具体限定,只需要保证可以通过已知报文匹配规则识别以及提取已知Web应用对应的报文即可;另外,在提取已知报文之后,流量报文中可能还存在其他未知报文,其中同样存在需要进行攻击报文识别的报文,基于此,在本实施例中,在提取已知报文后,接着基于预设HTTP报文匹配规则,提取未知报文中HTTP报文,其中,预设HTTP报文匹配规则至少包括HTTP报文协议格式,在本实施例中不做具体限定,只需要保证可以从未知报文中提取需要检测的HTTP报文即可。
步骤S203,对所述已知报文和所述未知HTTP报文进行攻击报文检测,将通过所述攻击报文检测的所述已知报文和所述未知HTTP报文发送到数据接收端。
通过步骤S202已经提取出流量报文中需要进行攻击报文识别的已知报文以及未知HTTP报文,因此,在本步骤中,对已知报文以及未知HTTP报文进行攻击报文检测,可以理解的,在WAP中安装有防护引擎,基于此,可以对需要检测的报文进行攻击报文检测,检测已知报文和未知HTTP报文中是否存在攻击报文,若不存在,则将通过攻击报文检测的已知报文和未知HTTP报文发送到数据接收端,以完成数据发送。
通过上述步骤,首先获取基于数据发送端发送的流量报文,接着基于已知报文匹配规则以及预设HTTP报文匹配规则对流量报文中的已知报文以及未知HTTP报文进行提取,并对已知报文以及未知HTTP报文进行攻击报文检测,将通过攻击报文检测的已知报文和未知HTTP报文发送到数据接收端。解决了现有技术中存在由于对一些未知报文无法识别,导致数据无法正常传输、网络无法连接的问题,实现了不仅可以对已知报文进行识别以及数据传输,对于未知报文同样可以进行识别和数据传输,在保证流量报文安全的同时,还可以保证网络的正常连接。
在其中一个实施例中,所述基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文包括:基于预设TCP报文匹配规则提取所述流量报文中的所述TCP报文;基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述TCP报文中的已知报文以及未知HTTP报文。
在本实施例中,首先获取到了数据发送端发送的流量报文,接着需要对流量报文中需要检测的报文进行提取,但已知报文以及未知HTTP报文都是存在于流量报文中的TCP报文之内的,相对于直接对流量报文进行已知报文和未知HTTP报文的提取来说,对TCP报文进行已知报文以及未知HTTP报文进行提取可以提高对报文提取的效率,因此,在本实施例中,首先基于TCP报文匹配规则提取流量报文中的TCP报文,再通过预设已知报文匹配规则以及预设HTTP报文匹配规则提取TCP报文中的已知报文以及未知HTTP报文,可以减少匹配范围,也就是说可以使提取报文的范围变小,提高了对报文提取以及基于WAP对数据发送的效率。
在另一个实施例中,所述基于预设TCP报文匹配规则提取所述流量报文中的所述TCP报文之后还包括:将提取所述TCP报文后的流量报文发送到所述数据接收端。
可以理解的,在通过预设TCP报文匹配规则匹配到流量报文中的TCP报文之后,流量报文中除了TCP报文以外还存在其他类的报文,而其他类型的报文中也存在可以进行数据交互的必要内容,因此,对于提取TCP报文之后的流量报文,也需要将其发送到数据接收端,以保证数据发送的完整性。
在其中一个实施例中,基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文之后还包括:对所述提取已知报文后的流量报文进行SSL报文提取,得到SSL报文;判断所述SSL报文中是否存在SNI信息,所述SNI信息包括服务器名称指示信息;若存在,则将所述SSL报文中的报文信息添加到所述预设已知报文匹配规则中。
在本实施例中,在流量报文中除了已知报文以及未知HTTP报文还存在其他可能存在攻击报文风险的报文,其中,具有SNI信息(服务器名称指示信息)的SSL报文,即为本实施例中需要进行攻击报文检测的报文,因此,在提取流量报文中的已知报文以及未知HTTP报文之后,首先提取其余报文中的SSL报文,接着判断SSL报文中是否存在SNI信息,若存在SNI信息,则该SSL报文为需要进行攻击报文检测的报文,将其添加到预设已知报文匹配规则中,待下次重新对已知报文进行匹配时,则可以自动匹配该SSL报文,之后无需提取SSL报文并检测SNI信息即可以对其进行攻击检测,相对于仅对已知报文以及未知HTTP报文进行攻击报文检测来说,提高了对攻击报文的防护能力。
在另一个实施例中,所述基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文之后还括:将所述未知HTTP报文的报文信息添加到所述预设已知报文匹配规则中,所述报文信息包括报文IP、端口信息以及域名信息。
在本实施例中,在提取到流量报文中的已知报文以及未知报文之后提取未知HTTP报文的报文信息,并将报文信息添加到预设已知报文匹配规则中,可以理解的,在将报文信息添加到预设已知报文匹配规则之后,当下一次同样的未知报文存在于流量数据中,则可以直接通过预设已知报文匹配规则将其提取,无需通过匹配未知HTTP报文即可得到,可以理解的,通过已知匹配规则进行提取时,是通过报文服务器IP地址或报文内容进行提取的,而对未知HTTP报文进行提取是基于报文格式进行提取的,因此基于已知报文匹配规则对已知报文匹配的准确性以及效率要高于通过报文格式特征进行全遍历匹配未知HTTP报文的效率以及准确性,可以理解的,报文信息中应当包括报文IP、端口信息以及域名信息,基于此,将其添加到预设已知报文匹配信息中,保证成功对已知报文进行识别。可以理解的,现有技术中不同的WAF用于防护时,对于未知报文无法识别以及读取的主要原因是由于配置报文种类不足或配置更新不及时导致已知报文匹配规则中的已知报文数量不足,基于本实施例中的方式,可以无需进行维护,即可自动将未知报文的报文信息添加到已知报文匹配信息中,解决了配置报文种类不足以及配置更新不及时的问题,节省了维护成本,提高了下次对报文进行识别的识别效率。
在其中一个实施例中,所述对所述已知报文和所述未知HTTP报文进行攻击报文检测包括:检测所述已知报文和所述未知HTTP报文中是否存在攻击报文;提取所述已知报文和所述未知HTTP报文中的所述攻击报文,并将所述攻击报文进行丢弃处理。
可以理解的,对已知报文以及未知HTTP报文进行攻击报文检测,是首先通过防护引擎中预设的规则,检测已知报文以及未知HTTP报文中是否存在攻击报文,若存在攻击报文,则应当将攻击报文提取出来,并将其进行丢弃处理,使得无法发送到数据接收端,另外,若是不存在攻击报文,或是通过攻击报文检测后,则无需进行处理,可以将其发送到数据接收端,基于此,保证了数据接收端的网络安全,并且,只将攻击报文提取出来进行丢弃,还可以保证报文数据的完整性,提高网络连接的稳定性。
在另一个实施例中,所述方法还包括:将提取所述已知报文和所述未知HTTP报文后的流量报文发送到所述数据接收端。
在本实施例中,在将已知报文和未知HTTP报文进行提取后,剩余的流量报文则为无需检测的报文,为了使数据的正常发送以及网络的正常传输,则将剩余的流量报文发送到数据接收端,保证了数据接收端接收到的数据是完整的,也就是提高了数据发送的稳定性以及传输效率。
在本实施例中还提供了一种基于WAF的数据发送方法。图3是本申请另一个实施例的基于WAF的数据发送方法的流程图,如图3所示,该流程包括如下步骤:
首先,接收基于数据发送端发送的流量报文,接着基于预设TCP报文匹配规则,匹配流量报文中符合预设TCP报文匹配规则的TCP报文,提取TCP报文,并将提取后TCP报文后的流量报文发送到数据转发流程中,也就是直接发送至数据接收端。
基于预设已知报文匹配规则提取TCP报文中的已知报文,也就是基于TCP报文中的报文ID以及端口,确认是否满足匹配已知应用列表的要求,将符合预设已知报文匹配规则的已知报文提取;将不符合预设已知报文匹配规则的TCP报文中的未知报文,基于预设HTTP报文匹配规则,提取未知报文中的未知HTTP报文,接着将不满足预设HTTP报文匹配规则的未知报文发送到数据转发流程中。
提取基于预设HTTP报文匹配规则提取到的未知HTTP报文的报文IP以及端口,并将其添加至已知应用列表,也就是预设已知报文匹配规则,待下次数据发送时可以直接基于预设已知报文匹配规则提取为已知报文;接着将已知报文和HTTP报文发送至防护流程,也就是发送至防护引擎中,基于防护引擎可以判断报文中是否存在攻击报文,并将未检测出存在攻击报文的报文发送至数据接收端,以完成数据发送。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中还提供了一种基于WAF的数据发送装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是本申请一实施例的基于WAF的数据发送装置的结构框图,如图4所示,该装置包括:流量报文获取模块10、报文提取模块20、报文发送模块30。
流量报文获取模块10:用于获取数据发送端发送的流量报文。
报文提取模块20:用于基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文。
报文提取模块20:还用于基于预设TCP报文匹配规则提取所述流量报文中的所述TCP报文;基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述TCP报文中的已知报文以及未知HTTP报文。
报文提取模块20:还用于对所述提取已知报文后的流量报文进行SSL报文提取,得到SSL报文;判断所述SSL报文中是否存在SNI信息,所述SNI信息包括服务器名称指示信息;若存在,则将所述SSL报文中的报文信息添加到所述预设已知报文匹配规则中。
报文提取模块20:还用于将所述未知HTTP报文的报文信息添加到所述预设已知报文匹配规则中,所述报文信息包括报文IP、端口信息以及域名信息。
报文发送模块30:用于对所述已知报文和所述未知HTTP报文进行攻击报文检测,将通过所述攻击报文检测的所述已知报文和所述未知HTTP报文发送到数据接收端。
报文发送模块30:还用于将提取所述TCP报文后的流量报文发送到所述数据接收端。
报文发送模块30:还用于检测所述已知报文和所述未知HTTP报文中是否存在攻击报文;提取所述已知报文和所述未知HTTP报文中的所述攻击报文,并将所述攻击报文进行丢弃处理。
报文发送模块30:还用于将提取所述已知报文和所述未知HTTP报文后的流量报文发送到所述数据接收端。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
在本实施例中还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取数据发送端发送的流量报文。
S2,基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文。
S3,对所述已知报文和所述未知HTTP报文进行攻击报文检测,将通过所述攻击报文检测的所述已知报文和所述未知HTTP报文发送到数据接收端。
需要说明的是,在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,在本实施例中不再赘述。
此外,结合上述实施例中提供的基于WAF的数据发送方法,在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种基于WAF的数据发送方法。
应该明白的是,这里描述的具体实施例只是用来解释这个应用,而不是用来对它进行限定。根据本申请提供的实施例,本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例,均属本申请保护范围。
显然,附图只是本申请的一些例子或实施例,对本领域的普通技术人员来说,也可以根据这些附图将本申请适用于其他类似情况,但无需付出创造性劳动。另外,可以理解的是,尽管在此开发过程中所做的工作可能是复杂和漫长的,但是,对于本领域的普通技术人员来说,根据本申请披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段,不应被视为本申请公开的内容不足。
“实施例”一词在本申请中指的是结合实施例描述的具体特征、结构或特性可以包括在本申请的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例,也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是,本申请中描述的实施例在没有冲突的情况下,可以与其它实施例结合。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对专利保护范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于WAF的数据发送方法,其特征在于,包括:
获取数据发送端发送的流量报文;
基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文;
对所述已知报文和所述未知HTTP报文进行攻击报文检测,将通过所述攻击报文检测的所述已知报文和所述未知HTTP报文发送到数据接收端;
将所述未知HTTP报文的报文信息添加到所述预设已知报文匹配规则中,所述报文信息包括报文IP、端口信息以及域名信息。
2.根据权利要求1所述的基于WAF的数据发送方法,其特征在于,所述基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文包括:
基于预设TCP报文匹配规则提取所述流量报文中的所述TCP报文;
基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述TCP报文中的已知报文以及未知HTTP报文。
3.根据权利要求2所述的基于WAF的数据发送方法,其特征在于,所述基于预设TCP报文匹配规则提取所述流量报文中的所述TCP报文之后还包括:
将提取所述TCP报文后的流量报文发送到所述数据接收端。
4.根据权利要求1所述的基于WAF的数据发送方法,其特征在于,基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文之后还包括:
对所述提取已知报文后的流量报文进行SSL报文提取,得到SSL报文;
判断所述SSL报文中是否存在SNI信息,所述SNI信息包括服务器名称指示信息;
若存在,则将所述SSL报文中的报文信息添加到所述预设已知报文匹配规则中。
5.根据权利要求1所述的基于WAF的数据发送方法,其特征在于,所述对所述已知报文和所述未知HTTP报文进行攻击报文检测包括:
检测所述已知报文和所述未知HTTP报文中是否存在攻击报文;
提取所述已知报文和所述未知HTTP报文中的所述攻击报文,并将所述攻击报文进行丢弃处理。
6.根据权利要求1所述的基于WAF的数据发送方法,其特征在于,所述方法还包括:
将提取所述已知报文和所述未知HTTP报文后的流量报文发送到所述数据接收端。
7.一种基于WAF的数据发送装置,其特征在于,包括:
流量报文获取模块:用于获取数据发送端发送的流量报文;
报文提取模块:用于基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述流量报文中的已知报文以及未知HTTP报文;
报文发送模块:用于对所述已知报文和所述未知HTTP报文进行攻击报文检测,将通过所述攻击报文检测的所述已知报文和所述未知HTTP报文发送到数据接收端;
其中,所述报文提取模块还用于将所述未知HTTP报文的报文信息添加到所述预设已知报文匹配规则中,所述报文信息包括报文IP、端口信息以及域名信息。
8.根据权利要求7所述的装置,其特征在于,所述报文提取模块,还用于基于预设TCP报文匹配规则提取所述流量报文中的所述TCP报文;
基于预设已知报文匹配规则以及预设HTTP报文匹配规则提取所述TCP报文中的已知报文以及未知HTTP报文。
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至6中任一项所述的基于WAF的数据发送方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的基于WAF的数据发送方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110922452.5A CN113630417B (zh) | 2021-08-12 | 2021-08-12 | 基于waf的数据发送方法、装置、电子装置和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110922452.5A CN113630417B (zh) | 2021-08-12 | 2021-08-12 | 基于waf的数据发送方法、装置、电子装置和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113630417A CN113630417A (zh) | 2021-11-09 |
CN113630417B true CN113630417B (zh) | 2023-09-26 |
Family
ID=78384770
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110922452.5A Active CN113630417B (zh) | 2021-08-12 | 2021-08-12 | 基于waf的数据发送方法、装置、电子装置和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113630417B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114553513A (zh) * | 2022-02-15 | 2022-05-27 | 北京华圣龙源科技有限公司 | 一种通信检测方法、装置及设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103607399A (zh) * | 2013-11-25 | 2014-02-26 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
CN106470214A (zh) * | 2016-10-21 | 2017-03-01 | 杭州迪普科技股份有限公司 | 攻击检测方法和装置 |
CN111541682A (zh) * | 2020-04-17 | 2020-08-14 | 北京天融信网络安全技术有限公司 | 一种数据安全检测方法、装置、存储介质和电子设备 |
CN112165447A (zh) * | 2020-08-21 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 基于waf设备的网络安全监测方法、系统和电子装置 |
-
2021
- 2021-08-12 CN CN202110922452.5A patent/CN113630417B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103607399A (zh) * | 2013-11-25 | 2014-02-26 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
CN106470214A (zh) * | 2016-10-21 | 2017-03-01 | 杭州迪普科技股份有限公司 | 攻击检测方法和装置 |
CN111541682A (zh) * | 2020-04-17 | 2020-08-14 | 北京天融信网络安全技术有限公司 | 一种数据安全检测方法、装置、存储介质和电子设备 |
CN112165447A (zh) * | 2020-08-21 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 基于waf设备的网络安全监测方法、系统和电子装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113630417A (zh) | 2021-11-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109617885B (zh) | 攻陷主机自动判定方法、装置、电子设备及存储介质 | |
CN108551446B (zh) | 防攻击的syn报文处理方法、装置、防火墙及存储介质 | |
US8789184B2 (en) | Mobile device having self-defense function against virus and network-based attacks and self-defense method using the same | |
CN106936791B (zh) | 拦截恶意网址访问的方法和装置 | |
CN111010409B (zh) | 加密攻击网络流量检测方法 | |
EP2136526A1 (en) | Method, device for identifying service flows and method, system for protecting against a denial of service attack | |
CN112468488A (zh) | 工业异常监测方法、装置、计算机设备及可读存储介质 | |
CN110519265B (zh) | 一种防御攻击的方法及装置 | |
US20220263823A1 (en) | Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium | |
CN115632878B (zh) | 基于网络隔离的数据传输方法、装置、设备及存储介质 | |
CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
CN111314328A (zh) | 网络攻击防护方法、装置、存储介质及电子设备 | |
CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
CN113630417B (zh) | 基于waf的数据发送方法、装置、电子装置和存储介质 | |
CN108270783B (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
CN108737344B (zh) | 一种网络攻击防护方法和装置 | |
CN110912907B (zh) | Ssl握手阶段的攻击防护方法和装置 | |
CN110830487A (zh) | 物联网终端的异常状态识别方法、装置及电子设备 | |
CN108418844B (zh) | 一种应用层攻击的防护方法及攻击防护端 | |
CN111181967B (zh) | 数据流识别方法、装置、电子设备及介质 | |
CN114697088B (zh) | 一种确定网络攻击的方法、装置及电子设备 | |
CN115022034B (zh) | 攻击报文识别方法、装置、设备和介质 | |
EP3985920A1 (en) | Network traffic analysis | |
CN112087464B (zh) | SYN Flood攻击清洗方法、装置、电子设备和可读存储介质 | |
CN113660134B (zh) | 端口探测方法、装置、电子装置和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |