CN114363023A - 一种Web安全防护系统实施及策略调优方法、系统 - Google Patents
一种Web安全防护系统实施及策略调优方法、系统 Download PDFInfo
- Publication number
- CN114363023A CN114363023A CN202111589091.3A CN202111589091A CN114363023A CN 114363023 A CN114363023 A CN 114363023A CN 202111589091 A CN202111589091 A CN 202111589091A CN 114363023 A CN114363023 A CN 114363023A
- Authority
- CN
- China
- Prior art keywords
- web
- attack
- client
- module
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明属于信息安全防护技术领域,公开了一种Web安全防护系统实施及策略调优方法及系统,所述Web安全防护系统实施及策略调优系统包括:访问请求获取模块、访问请求检测模块、主动校验识别模块、中央控制模块、Web攻击行为识别模块、用户流量检测分析模块、语义分析模块、防御策略构建模块、数据存储模块、更新显示模块。本发明能够高效识别Web攻击行为,通过安全风险的智能检测识别和分析,发现并阻断安全威胁;通过用户流量分析检测,阻断不符合业务特征的流量访问,防范非正常访问;支持灵活的Web访问控制机制;限制相关源的访问行为,满足用户的访问控制需求;支持依据不同业务采取不同的灵活防御策略,保证对外网站安全。
Description
技术领域
本发明属于信息安全防护技术领域,尤其涉及一种Web安全防护系统实施及策略调优方法、系统。
背景技术
目前,现有的Web安全防护系统都是依据传统安全规则库进行防护,这种模式后期运维工作量较大。同时,现有信息网络架构、安全防护策略、规则库防御方式复杂,给网络安全监控运维带来巨大压力,无法满足公司信息安全实际情况,需要对公司整个信息安全技术、规则库防御技术进行优化和完善,确保公司网络与信息安全。因此,亟需进行基于语义分析的Web安全防护系统实施及策略调优,以弥补现有Web安全防护系统存在的技术缺陷。
通过上述分析,现有技术存在的问题及缺陷为:
(1)现有的Web安全防护系统都是依据传统安全规则库进行防护,这种模式后期运维工作量较大。
(2)现有信息网络架构、安全防护策略、规则库防御方式复杂,给网络安全监控运维带来巨大压力,无法满足公司信息安全实际情况。
发明内容
针对现有技术存在的问题,本发明提供了一种Web安全防护系统实施及策略调优方法、系统,尤其涉及一种基于语义分析的Web安全防护系统实施及策略调优方法、系统。
本发明是这样实现的,一种Web安全防护系统实施及策略调优方法,包括以下步骤:
S1,利用请求获取设备获取客户端对所述Web安全防护系统的访问请求;利用检测程序利用代理模式实现对所有访问请求的检测;
S2,利用解析识别检测访问请求内容中的攻击行为以及客户端的超频异常访问行为,针对发起请求的客户端进行多种主动校验识别,统一管理BOT请求;
S3,通利用识别程序识别Web攻击行为,通过安全风险的智能检测识别和分析,获取并阻断安全威胁信息;利用防护引擎对API流量进行安全检测,阻断攻击行为;
S4,利用语义分析程序对攻击Payload进行语义分析、识别和防御,实现运行状态和告警信息的自动上报以及Web安全防护,识别各种恶意攻击行为,变被动防御为主动防御;
S5,利用中央处理器协调控制Web安全防护系统实施;利用策略构建程序根据语义分析结果构建防御策略,并依据不同业务采取不同的灵活防御策略;
S6,利用存储器存储获取的客户端对所述Web安全防护系统的访问请求、访问请求检测结果、主动校验识别结果、Web攻击行为识别结果、用户流量检测分析结果、语义分析结果以及防御策略;
S7,利用显示器对获取的客户端对所述Web安全防护系统的访问请求、访问请求检测结果、主动校验识别结果、Web攻击行为识别结果、用户流量检测分析结果、语义分析结果以及防御策略的实时数据进行更新显示。
本发明的另一目的在于提供一种Web安全防护系统实施及策略调优系统,包括:
访问请求获取模块,与中央控制模块连接,用于通过请求获取设备获取客户端对所述Web安全防护系统的访问请求;
访问请求检测模块,与中央控制模块连接,用于通过检测程序利用代理模式实现对所有访问请求的检测;
主动校验识别模块,与中央控制模块连接,用于通过解析识别检测访问请求内容中的攻击行为以及客户端的超频异常访问行为,针对发起请求的客户端进行多种主动校验识别,统一管理BOT请求;
中央控制模块,与访问请求获取模块、访问请求检测模块、主动校验识别模块、Web攻击行为识别模块、用户流量检测分析模块、语义分析模块、防御策略构建模块、数据存储模块、更新显示模块连接,用于通过中央处理器协调控制所述Web安全防护系统实施及策略调优系统各个模块的正常运行;
Web攻击行为识别模块,与中央控制模块连接,用于通过识别程序识别Web攻击行为,通过安全风险的智能检测识别和分析,发现并阻断安全威胁;
用户流量检测分析模块,与中央控制模块连接,用于通过防护引擎对API流量进行安全检测,阻断攻击行为;
语义分析模块,与中央控制模块连接,用于通过语义分析程序对攻击Payload进行语义分析、识别和防御,实现运行状态和告警信息的自动上报以及Web安全防护,识别各种恶意攻击行为,变被动防御为主动防御;
防御策略构建模块,与中央控制模块连接,用于通过策略构建程序根据语义分析结果构建防御策略,并依据不同业务采取不同的灵活防御策略;
数据存储模块,与中央控制模块连接,用于通过存储器存储获取的客户端对所述Web安全防护系统的访问请求、访问请求检测结果、主动校验识别结果、Web攻击行为识别结果、用户流量检测分析结果、语义分析结果以及防御策略;
更新显示模块,与中央控制模块连接,用于通过显示器对获取的客户端对所述Web安全防护系统的访问请求、访问请求检测结果、主动校验识别结果、Web攻击行为识别结果、用户流量检测分析结果、语义分析结果以及防御策略的实时数据进行更新显示。
进一步,访问请求检测模块中,所述通过利用检测程序利用代理模式实现对所有访问请求的检测包括:
(1)在检测到客户端对所述Web安全防护系统的访问请求时,获取所述客户端在设定时段内访问所述Web安全防护系统的业务访问请求信息;
(2)对所述客户端在设定时段内访问所述Web安全防护系统的业务访问请求信息进行内容检测,确定所述客户端的攻击行为特征和攻击频率特征;
(3)根据所述业务访问请求信息、攻击行为特征和攻击频率特征确定是否允许所述客户端对所述Web安全防护系统的访问请求。
进一步,所述确定所述客户端的攻击频率特征包括:
1)基于所述客户端在各子时段的业务访问请求次数,确定所述客户端对应的第一攻击频率;
2)基于所述客户端在各子时段的业务访问请求次数以及所述第一攻击频率,确定所述客户端对应的第二攻击频率;
3)根据所述第一攻击频率和所述第二攻击频率,确定所述客户端对所述Web安全防护系统的攻击频率特征。
进一步,所述第一攻击频率用于表征所述客户端访问所述Web安全防护系统的访问行为集中趋势程度;所述第二攻击频率用于表征所述客户端访问所述Web安全防护系统的访问行为离散程度。
进一步,所述所述第二攻击频率满足下述形式:
式中,vari表示客户端对应的第二攻击频率,meani表示客户端对应的第一攻击频率,an表示第n天客户端的总业务访问请求次数,Wd表示设定窗口时段;
所述客户端对应的攻击频率特征满足下述形式:
式中,γi表示客户端对应的攻击频率特征,Fi表示运算中间结果值。
进一步,Web攻击行为识别模块中,所述通过利用识别程序识别Web攻击行为,通过安全风险的智能检测识别和分析包括:
(1)获取访问请求中的攻击行为以及客户端的超频异常访问行为数据;
(2)利用预设的正则表达式对所述访问请求中的攻击行为以及客户端的超频异常访问行为数据进行匹配,得出第一恶意DNS数据;
(3)删除所述访问请求中的攻击行为以及客户端的超频异常访问行为数据中的所述第一恶意DNS数据,得到剩余的行为数据;
(4)将所述剩余的行为数据输入至预先训练出的网络攻击识别模型中,得出第二恶意DNS数据;
(5)结合所述第一恶意DNS数据和所述第二恶意DNS数据确定出所述Web安全防护系统是否存在网络攻击行为。
进一步,所述利用预设的正则表达式对所述访问请求中的攻击行为以及客户端的超频异常访问行为数据进行匹配包括:
获取预先确定出的威胁情报库,并将所述威胁情报库中的所述恶意域名和/或所述恶意IP进行MD5加密,得到第一MD5加密数据;将所述访问请求中的攻击行为以及客户端的超频异常访问行为数据的DNS数据进行MD5加密,得到第二MD5加密数据;
利用所述正则表达式对所述第一MD5加密数据与所述第二MD5加密数据进行匹配,并将匹配的所述第二MD5加密数据对应的访问请求中的攻击行为以及客户端的超频异常访问行为数据确定为所述第一恶意DNS数据。
本发明的另一目的在于提供一种存储在计算机可读介质上的计算机程序产品,包括计算机可读程序,供于电子装置上执行时,提供用户输入接口以应用所述Web安全防护系统实施及策略调优系统。
本发明的另一目的在于提供一种计算机可读存储介质,储存有指令,当所述指令在计算机上运行时,使得计算机应用所述Web安全防护系统实施及策略调优系统。
本发明的另一目的在于提供一种信息数据处理终端,其特征在于,所述信息数据处理终端用于实现所述Web安全防护系统实施及策略调优系统。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:本发明提供的Web安全防护系统实施及策略调优系统,能够高效识别Web攻击行为,通过安全风险的智能检测识别和分析,发现和阻断安全威胁;通过用户流量分析,对业务流量进行检测,阻断不符合业务特征的流量访问,防范非正常的访问;支持灵活的Web访问控制机制;限制相关源的访问行为,满足用户的访问控制需求;支持依据不同业务采取不同的灵活防御策略,保证对外网站的安全;支持通过代理模式实现对所有访问请求的检测。另外,本发明将web流量统一管理进行集中控制,与现有安全防控体系实现有效联动。
本发明支持对攻击Payload进行语义分析,识别、防御,实现运行状态和告警信息的自动上报,实时Web安全防护,提升安全运维管理效率,准确识别各种恶意攻击行为,变被动防御为主动防御;支持解析识别检测请求内容中的攻击行为,以及客户端的超频异常访问行为,针对发起请求的客户端进行多种主动校验识别,统一管理BOT请求,提高恶意BOT的攻击成本,防御模拟正常业务的攻击行为,有效保护业务的正常运营以及数据安全。
同时,本发明还支持针对API的防护,通过防护引擎对API流量进行安全检测,阻断攻击行为,有效提供安全防护。本发明具备全功能开放接口,可通过接口实现调取检测日志、下发安全策略,能够提供基于REST-ful的标准API接口,可快速融入用户安全运维体系,且支持IPv4与IPv6双协议栈技术。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的Web安全防护系统实施及策略调优系统结构图;
图中:1、访问请求获取模块;2、访问请求检测模块;3、主动校验识别模块;4、中央控制模块;5、Web攻击行为识别模块;6、用户流量检测分析模块;7、语义分析模块;8、防御策略构建模块;9、数据存储模块;10、更新显示模块。
图2是本发明实施例提供的Web安全防护系统实施及策略调优方法流程图。
图3是本发明实施例提供的通过访问请求检测模块利用检测程序利用代理模式实现对所有访问请求的检测方法流程图。
图4是本发明实施例提供的确定所述客户端的攻击频率特征的方法流程图。
图5是本发明实施例提供的通过Web攻击行为识别模块利用识别程序识别Web攻击行为,通过安全风险的智能检测识别和分析的方法流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种Web安全防护系统实施及策略调优方法、系统,下面结合附图对本发明作详细的描述。
如图1所示,本发明实施例提供的Web安全防护系统实施及策略调优系统包括:访问请求获取模块1、访问请求检测模块2、主动校验识别模块3、中央控制模块4、Web攻击行为识别模块5、用户流量检测分析模块6、语义分析模块7、防御策略构建模块8、数据存储模块9、更新显示模块10。
访问请求获取模块1,与中央控制模块4连接,用于通过请求获取设备获取客户端对所述Web安全防护系统的访问请求;
访问请求检测模块2,与中央控制模块4连接,用于通过检测程序利用代理模式实现对所有访问请求的检测;
主动校验识别模块3,与中央控制模块4连接,用于通过解析识别检测访问请求内容中的攻击行为以及客户端的超频异常访问行为,针对发起请求的客户端进行多种主动校验识别,统一管理BOT请求;
中央控制模块4,与访问请求获取模块1、访问请求检测模块2、主动校验识别模块3、Web攻击行为识别模块5、用户流量检测分析模块6、语义分析模块7、防御策略构建模块8、数据存储模块9、更新显示模块10连接,用于通过中央处理器协调控制所述Web安全防护系统实施及策略调优系统各个模块的正常运行;
Web攻击行为识别模块5,与中央控制模块4连接,用于通过识别程序识别Web攻击行为,通过安全风险的智能检测识别和分析,发现并阻断安全威胁;
用户流量检测分析模块6,与中央控制模块4连接,用于通过防护引擎对API流量进行安全检测,阻断攻击行为;
语义分析模块7,与中央控制模块4连接,用于通过语义分析程序对攻击Payload进行语义分析、识别和防御,实现运行状态和告警信息的自动上报以及Web安全防护,识别各种恶意攻击行为,变被动防御为主动防御;
防御策略构建模块8,与中央控制模块4连接,用于通过策略构建程序根据语义分析结果构建防御策略,并依据不同业务采取不同的灵活防御策略;
数据存储模块9,与中央控制模块4连接,用于通过存储器存储获取的客户端对所述Web安全防护系统的访问请求、访问请求检测结果、主动校验识别结果、Web攻击行为识别结果、用户流量检测分析结果、语义分析结果以及防御策略;
更新显示模块10,与中央控制模块4连接,用于通过显示器对获取的客户端对所述Web安全防护系统的访问请求、访问请求检测结果、主动校验识别结果、Web攻击行为识别结果、用户流量检测分析结果、语义分析结果以及防御策略的实时数据进行更新显示。
如图2所示,本发明实施例提供的Web安全防护系统实施及策略调优方法包括以下步骤:
S101,通过访问请求获取模块利用请求获取设备获取客户端对所述Web安全防护系统的访问请求;通过访问请求检测模块利用检测程序利用代理模式实现对所有访问请求的检测;
S102,通过主动校验识别模块利用解析识别检测访问请求内容中的攻击行为以及客户端的超频异常访问行为,针对发起请求的客户端进行多种主动校验识别,统一管理BOT请求;
S103,通过Web攻击行为识别模块利用识别程序识别Web攻击行为,通过安全风险的智能检测识别和分析,发现并阻断安全威胁;通过用户流量检测分析模块利用防护引擎对API流量进行安全检测,阻断攻击行为;
S104,通过语义分析模块利用语义分析程序对攻击Payload进行语义分析、识别和防御,实现运行状态和告警信息的自动上报以及Web安全防护,识别各种恶意攻击行为,变被动防御为主动防御;
S105,通过中央控制模块利用中央处理器协调控制Web安全防护系统实施及策略调优系统各模块正常运行;通过防御策略构建模块利用策略构建程序根据语义分析结果构建防御策略,并依据不同业务采取不同的灵活防御策略;
S106,通过数据存储模块利用存储器存储获取的客户端对所述Web安全防护系统的访问请求、访问请求检测结果、主动校验识别结果、Web攻击行为识别结果、用户流量检测分析结果、语义分析结果以及防御策略;
S107,通过更新显示模块利用显示器对获取的客户端对所述Web安全防护系统的访问请求、访问请求检测结果、主动校验识别结果、Web攻击行为识别结果、用户流量检测分析结果、语义分析结果以及防御策略的实时数据进行更新显示。
如图3所示,本发明实施例提供的步骤S101中的通过访问请求检测模块利用检测程序利用代理模式实现对所有访问请求的检测包括:
S201,在检测到客户端对所述Web安全防护系统的访问请求时,获取所述客户端在设定时段内访问所述Web安全防护系统的业务访问请求信息;
S202,对所述客户端在设定时段内访问所述Web安全防护系统的业务访问请求信息进行内容检测,确定所述客户端的攻击行为特征和攻击频率特征;
S203,根据所述业务访问请求信息、攻击行为特征和攻击频率特征确定是否允许所述客户端对所述Web安全防护系统的访问请求。
如图4所示,本发明实施例提供的确定所述客户端的攻击频率特征包括:
S301,基于所述客户端在各子时段的业务访问请求次数,确定所述客户端对应的第一攻击频率;
S302,基于所述客户端在各子时段的业务访问请求次数以及所述第一攻击频率,确定所述客户端对应的第二攻击频率;
S303,根据所述第一攻击频率和所述第二攻击频率,确定所述客户端对所述Web安全防护系统的攻击频率特征。
本发明实施例提供的第一攻击频率用于表征所述客户端访问所述Web安全防护系统的访问行为集中趋势程度;所述第二攻击频率用于表征所述客户端访问所述Web安全防护系统的访问行为离散程度;
其中,所述第二攻击频率满足下述形式:
式中,vari表示客户端对应的第二攻击频率,meani表示客户端对应的第一攻击频率,an表示第n天客户端的总业务访问请求次数,Wd表示设定窗口时段。
所述客户端对应的攻击频率特征满足下述形式:
式中,γi表示客户端对应的攻击频率特征,Fi表示运算中间结果值。
如图5所示,本发明实施例提供的通过Web攻击行为识别模块利用识别程序识别Web攻击行为,通过安全风险的智能检测识别和分析包括:
S401,获取访问请求中的攻击行为以及客户端的超频异常访问行为数据;
S402,利用预设的正则表达式对所述访问请求中的攻击行为以及客户端的超频异常访问行为数据进行匹配,得出第一恶意DNS数据;
S403,删除所述访问请求中的攻击行为以及客户端的超频异常访问行为数据中的所述第一恶意DNS数据,得到剩余的行为数据;
S404,将所述剩余的行为数据输入至预先训练出的网络攻击识别模型中,得出第二恶意DNS数据;
S405,结合所述第一恶意DNS数据和所述第二恶意DNS数据确定出所述Web安全防护系统是否存在网络攻击行为。
本发明实施例提供的利用预设的正则表达式对所述访问请求中的攻击行为以及客户端的超频异常访问行为数据进行匹配包括:
获取预先确定出的威胁情报库,并将所述威胁情报库中的所述恶意域名和/或所述恶意IP进行MD5加密,得到第一MD5加密数据;将所述访问请求中的攻击行为以及客户端的超频异常访问行为数据的DNS数据进行MD5加密,得到第二MD5加密数据;
利用所述正则表达式对所述第一MD5加密数据与所述第二MD5加密数据进行匹配,并将匹配的所述第二MD5加密数据对应的访问请求中的攻击行为以及客户端的超频异常访问行为数据确定为所述第一恶意DNS数据。
下面结合具体实施例对本发明的技术方案作进一步的描述。
本发明实施例提供的Web安全防护系统实施及策略调优系统的功能包括:
(1)高效识别Web攻击行为,通过安全风险的智能检测识别和分析,发现和阻断安全威胁。
(2)通过用户流量分析,对业务流量进行检测,阻断不符合业务特征的流量访问,防范非正常的访问。
(3)支持灵活的Web访问控制机制。限制相关源的访问行为,满足用户的访问控制需求。
(4)支持依据不同业务采取不同的灵活防御策略,保证对外网站的安全。
(5)支持通过代理模式实现对所有访问请求的检测。将web流量统一管理进行集中控制,与现有安全防控体系实现有效联动。
(6)支持对攻击Payload进行语义分析,识别、防御,实现运行状态和告警信息的自动上报,实时Web安全防护,提升安全运维管理效率,准确识别各种恶意攻击行为,变被动防御为主动防御。
(7)支持解析识别检测请求内容中的攻击行为,以及客户端的超频异常访问行为,针对发起请求的客户端进行多种主动校验识别,统一管理BOT请求,提高恶意BOT的攻击成本,防御模拟正常业务的攻击行为,有效保护业务的正常运营以及数据安全。
(8)支持针对API的防护,通过防护引擎对API流量进行安全检测,阻断攻击行为,有效提供安全防护。
(9)具备全功能开放接口,可通过接口实现调取检测日志、下发安全策略。
(10)提供基于REST-ful的标准API接口,可快速融入用户安全运维体系。
(11)支持IPv4与IPv6双协议栈技术。
在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上;术语“上”、“下”、“左”、“右”、“内”、“外”、“前端”、“后端”、“头部”、“尾部”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”等仅用于描述目的,而不能理解为指示或暗示相对重要性。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用全部或部分地以计算机程序产品的形式实现,所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输)。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如软盘、硬盘、磁带)、光介质(例如DVD)、或者半导体介质(例如固态硬盘Solid StateDisk(SSD))等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种Web安全防护系统实施及策略调优方法,其特征在于,所述Web安全防护系统实施及策略调优方法包括以下步骤:
S1,利用请求获取设备获取客户端对所述Web安全防护系统的访问请求;利用检测程序利用代理模式实现对所有访问请求的检测;
S2,利用解析识别检测访问请求内容中的攻击行为以及客户端的超频异常访问行为,针对发起请求的客户端进行多种主动校验识别,统一管理BOT请求;
S3,通利用识别程序识别Web攻击行为,通过安全风险的智能检测识别和分析,获取并阻断安全威胁信息;利用防护引擎对API流量进行安全检测,阻断攻击行为;
S4,利用语义分析程序对攻击Payload进行语义分析、识别和防御,实现运行状态和告警信息的自动上报以及Web安全防护,识别各种恶意攻击行为,变被动防御为主动防御;
S5,利用中央处理器协调控制Web安全防护系统实施;利用策略构建程序根据语义分析结果构建防御策略,并依据不同业务采取不同的灵活防御策略;
S6,利用存储器存储获取的客户端对所述Web安全防护系统的访问请求、访问请求检测结果、主动校验识别结果、Web攻击行为识别结果、用户流量检测分析结果、语义分析结果以及防御策略;
S7,利用显示器对获取的客户端对所述Web安全防护系统的访问请求、访问请求检测结果、主动校验识别结果、Web攻击行为识别结果、用户流量检测分析结果、语义分析结果以及防御策略的实时数据进行更新显示。
2.一种实施权利要求1所述Web安全防护系统实施及策略调优方法的Web安全防护系统实施及策略调优系统,其特征在于,所述Web安全防护系统实施及策略调优系统包括:
访问请求获取模块,与中央控制模块连接,用于通过请求获取设备获取客户端对所述Web安全防护系统的访问请求;
访问请求检测模块,与中央控制模块连接,用于通过检测程序利用代理模式实现对所有访问请求的检测;
主动校验识别模块,与中央控制模块连接,用于通过解析识别检测访问请求内容中的攻击行为以及客户端的超频异常访问行为,针对发起请求的客户端进行多种主动校验识别,统一管理BOT请求;
中央控制模块,与访问请求获取模块、访问请求检测模块、主动校验识别模块、Web攻击行为识别模块、用户流量检测分析模块、语义分析模块、防御策略构建模块、数据存储模块、更新显示模块连接,用于通过中央处理器协调控制所述Web安全防护系统实施及策略调优系统各个模块的正常运行;
Web攻击行为识别模块,与中央控制模块连接,用于通过识别程序识别Web攻击行为,通过安全风险的智能检测识别和分析,发现并阻断安全威胁;
用户流量检测分析模块,与中央控制模块连接,用于通过防护引擎对API流量进行安全检测,阻断攻击行为;
语义分析模块,与中央控制模块连接,用于通过语义分析程序对攻击Payload进行语义分析、识别和防御,实现运行状态和告警信息的自动上报以及Web安全防护,识别各种恶意攻击行为,变被动防御为主动防御;
防御策略构建模块,与中央控制模块连接,用于通过策略构建程序根据语义分析结果构建防御策略,并依据不同业务采取不同的灵活防御策略;
数据存储模块,与中央控制模块连接,用于通过存储器存储获取的客户端对所述Web安全防护系统的访问请求、访问请求检测结果、主动校验识别结果、Web攻击行为识别结果、用户流量检测分析结果、语义分析结果以及防御策略;
更新显示模块,与中央控制模块连接,用于通过显示器对获取的客户端对所述Web安全防护系统的访问请求、访问请求检测结果、主动校验识别结果、Web攻击行为识别结果、用户流量检测分析结果、语义分析结果以及防御策略的实时数据进行更新显示。
3.如权利要求2所述Web安全防护系统实施及策略调优系统,其特征在于,访问请求检测模块中,所述通过利用检测程序利用代理模式实现对所有访问请求的检测包括:
(1)在检测到客户端对所述Web安全防护系统的访问请求时,获取所述客户端在设定时段内访问所述Web安全防护系统的业务访问请求信息;
(2)对所述客户端在设定时段内访问所述Web安全防护系统的业务访问请求信息进行内容检测,确定所述客户端的攻击行为特征和攻击频率特征;
(3)根据所述业务访问请求信息、攻击行为特征和攻击频率特征确定是否允许所述客户端对所述Web安全防护系统的访问请求。
4.如权利要求3所述Web安全防护系统实施及策略调优系统,其特征在于,所述确定所述客户端的攻击频率特征包括:
1)基于所述客户端在各子时段的业务访问请求次数,确定所述客户端对应的第一攻击频率;
2)基于所述客户端在各子时段的业务访问请求次数以及所述第一攻击频率,确定所述客户端对应的第二攻击频率;
3)根据所述第一攻击频率和所述第二攻击频率,确定所述客户端对所述Web安全防护系统的攻击频率特征。
5.如权利要求4所述Web安全防护系统实施及策略调优系统,其特征在于,所述第一攻击频率用于表征所述客户端访问所述Web安全防护系统的访问行为集中趋势程度;所述第二攻击频率用于表征所述客户端访问所述Web安全防护系统的访问行为离散程度。
6.如权利要求5所述Web安全防护系统实施及策略调优系统,其特征在于,所述第二攻击频率满足下述形式:
式中,vari表示客户端对应的第二攻击频率,meani表示客户端对应的第一攻击频率,an表示第n天客户端的总业务访问请求次数,Wd表示设定窗口时段;
所述客户端对应的攻击频率特征满足下述形式:
式中,γi表示客户端对应的攻击频率特征,Fi表示运算中间结果值。
7.如权利要求2所述Web安全防护系统实施及策略调优系统,其特征在于,Web攻击行为识别模块中,所述通过利用识别程序识别Web攻击行为,通过安全风险的智能检测识别和分析包括:
(1)获取访问请求中的攻击行为以及客户端的超频异常访问行为数据;
(2)利用预设的正则表达式对所述访问请求中的攻击行为以及客户端的超频异常访问行为数据进行匹配,得出第一恶意DNS数据;
(3)删除所述访问请求中的攻击行为以及客户端的超频异常访问行为数据中的所述第一恶意DNS数据,得到剩余的行为数据;
(4)将所述剩余的行为数据输入至预先训练出的网络攻击识别模型中,得出第二恶意DNS数据;
(5)结合所述第一恶意DNS数据和所述第二恶意DNS数据确定出所述Web安全防护系统是否存在网络攻击行为。
8.如权利要求7所述Web安全防护系统实施及策略调优系统,其特征在于,所述利用预设的正则表达式对所述访问请求中的攻击行为以及客户端的超频异常访问行为数据进行匹配包括:
获取预先确定出的威胁情报库,并将所述威胁情报库中的所述恶意域名和/或所述恶意IP进行MD5加密,得到第一MD5加密数据;将所述访问请求中的攻击行为以及客户端的超频异常访问行为数据的DNS数据进行MD5加密,得到第二MD5加密数据;
利用所述正则表达式对所述第一MD5加密数据与所述第二MD5加密数据进行匹配,并将匹配的所述第二MD5加密数据对应的访问请求中的攻击行为以及客户端的超频异常访问行为数据确定为所述第一恶意DNS数据。
9.一种计算机可读存储介质,储存有指令,当所述指令在计算机上运行时,使得计算机应用如权利要求1所述Web安全防护系统实施及策略调优方法。
10.一种信息数据处理终端,其特征在于,所述信息数据处理终端用于实现如权利要求1所述Web安全防护系统实施及策略调优方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111589091.3A CN114363023A (zh) | 2021-12-23 | 2021-12-23 | 一种Web安全防护系统实施及策略调优方法、系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111589091.3A CN114363023A (zh) | 2021-12-23 | 2021-12-23 | 一种Web安全防护系统实施及策略调优方法、系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114363023A true CN114363023A (zh) | 2022-04-15 |
Family
ID=81102194
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111589091.3A Pending CN114363023A (zh) | 2021-12-23 | 2021-12-23 | 一种Web安全防护系统实施及策略调优方法、系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114363023A (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20140078329A (ko) * | 2012-12-17 | 2014-06-25 | (주)나루씨큐리티 | 내부망 타겟 공격 대응 장치 및 방법 |
| CN107404473A (zh) * | 2017-06-06 | 2017-11-28 | 西安电子科技大学 | 基于Mshield机器学习多模式Web应用防护方法 |
| CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
| WO2019207574A1 (en) * | 2018-04-27 | 2019-10-31 | Dcoya Ltd. | System and method for securing electronic correspondence |
| CN110855697A (zh) * | 2019-11-20 | 2020-02-28 | 国网湖南省电力有限公司 | 电力行业网络安全的主动防御方法 |
| CN111193719A (zh) * | 2019-12-14 | 2020-05-22 | 贵州电网有限责任公司 | 一种网络入侵防护系统 |
| CN111526109A (zh) * | 2019-02-01 | 2020-08-11 | 北京数安鑫云信息技术有限公司 | 自动检测web威胁识别防御系统的运行状态的方法及装置 |
| CN112769840A (zh) * | 2021-01-15 | 2021-05-07 | 杭州安恒信息技术股份有限公司 | 一种基于强化学习Dyna框架的网络攻击行为识别方法 |
| CN113014598A (zh) * | 2021-03-20 | 2021-06-22 | 北京长亭未来科技有限公司 | 对机器人恶意攻击的防护方法、防火墙、电子设备和存储介质 |
| CN113347205A (zh) * | 2021-06-30 | 2021-09-03 | 深圳前海微众银行股份有限公司 | 一种检测业务访问请求的方法及装置 |
| CN113645224A (zh) * | 2021-08-09 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种网络攻击检测方法、装置、设备及存储介质 |
-
2021
- 2021-12-23 CN CN202111589091.3A patent/CN114363023A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20140078329A (ko) * | 2012-12-17 | 2014-06-25 | (주)나루씨큐리티 | 내부망 타겟 공격 대응 장치 및 방법 |
| CN107404473A (zh) * | 2017-06-06 | 2017-11-28 | 西安电子科技大学 | 基于Mshield机器学习多模式Web应用防护方法 |
| WO2019207574A1 (en) * | 2018-04-27 | 2019-10-31 | Dcoya Ltd. | System and method for securing electronic correspondence |
| CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
| CN111526109A (zh) * | 2019-02-01 | 2020-08-11 | 北京数安鑫云信息技术有限公司 | 自动检测web威胁识别防御系统的运行状态的方法及装置 |
| CN110855697A (zh) * | 2019-11-20 | 2020-02-28 | 国网湖南省电力有限公司 | 电力行业网络安全的主动防御方法 |
| CN111193719A (zh) * | 2019-12-14 | 2020-05-22 | 贵州电网有限责任公司 | 一种网络入侵防护系统 |
| CN112769840A (zh) * | 2021-01-15 | 2021-05-07 | 杭州安恒信息技术股份有限公司 | 一种基于强化学习Dyna框架的网络攻击行为识别方法 |
| CN113014598A (zh) * | 2021-03-20 | 2021-06-22 | 北京长亭未来科技有限公司 | 对机器人恶意攻击的防护方法、防火墙、电子设备和存储介质 |
| CN113347205A (zh) * | 2021-06-30 | 2021-09-03 | 深圳前海微众银行股份有限公司 | 一种检测业务访问请求的方法及装置 |
| CN113645224A (zh) * | 2021-08-09 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种网络攻击检测方法、装置、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 张相依;胡威;张书林;郭邯;程杰: "网络安全态势实时监控平台的 设计与实现", 《电力信息与通信技术》, pages 28 - 34 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11089045B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| US10609079B2 (en) | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management | |
| CN110213199B (zh) | 一种撞库攻击监控方法、装置、系统及计算机存储介质 | |
| US9047463B2 (en) | Method and system for protecting data flow at a mobile device | |
| US20220060497A1 (en) | User and entity behavioral analysis with network topology enhancements | |
| US20220201042A1 (en) | Ai-driven defensive penetration test analysis and recommendation system | |
| US20160127417A1 (en) | Systems, methods, and devices for improved cybersecurity | |
| EP2866411A1 (en) | Method and system for detecting unauthorized access to and use of network resources with targeted analytics | |
| US20200076799A1 (en) | Device aware network communication management | |
| US9032478B2 (en) | Managing security in a network | |
| US11824878B2 (en) | Malware detection at endpoint devices | |
| US20080183603A1 (en) | Policy enforcement over heterogeneous assets | |
| US20210021637A1 (en) | Method and system for detecting and mitigating network breaches | |
| US11381587B2 (en) | Data segmentation | |
| US11481478B2 (en) | Anomalous user session detector | |
| US11381972B2 (en) | Optimizing authentication and management of wireless devices in zero trust computing environments | |
| US20230412620A1 (en) | System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation | |
| US9356932B2 (en) | Dynamically applying a control policy to a network | |
| KR101494329B1 (ko) | 악성 프로세스 검출을 위한 시스템 및 방법 | |
| CN114363023A (zh) | 一种Web安全防护系统实施及策略调优方法、系统 | |
| CN112769815B (zh) | 一种智能工控安全监控与防护方法和系统 | |
| CN113824748B (zh) | 一种资产特征主动探测对抗方法、装置、电子设备及介质 | |
| CN115987637A (zh) | 一种Webshell文件检测方法、装置、设备及存储介质 | |
| CN111316268A (zh) | 用于银行间金融交易的高级网络安全威胁抑制 | |
| CN115801305A (zh) | 一种网络攻击的检测识别方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |