CN114422206A - 一种java web动态配置安全防御方法 - Google Patents

一种java web动态配置安全防御方法 Download PDF

Info

Publication number
CN114422206A
CN114422206A CN202111641184.6A CN202111641184A CN114422206A CN 114422206 A CN114422206 A CN 114422206A CN 202111641184 A CN202111641184 A CN 202111641184A CN 114422206 A CN114422206 A CN 114422206A
Authority
CN
China
Prior art keywords
request
data object
security
request data
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111641184.6A
Other languages
English (en)
Other versions
CN114422206B (zh
Inventor
王勋
胡守云
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Seeyon Internet Software Corp
Original Assignee
Beijing Seeyon Internet Software Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Seeyon Internet Software Corp filed Critical Beijing Seeyon Internet Software Corp
Priority to CN202111641184.6A priority Critical patent/CN114422206B/zh
Publication of CN114422206A publication Critical patent/CN114422206A/zh
Application granted granted Critical
Publication of CN114422206B publication Critical patent/CN114422206B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种JAVA WEB动态配置安全防御方法,包括以下步骤:A、设置“安全配置规则”,并定时同步配置修改;B、根据客户端发送的协议请求,获取“请求数据对象”;C、将“请求数据对象”与“安全规则模板”进行匹配和替换,并生成“脱敏后的请求数据对象”;D、触发安全事件响应链;E、将“安全脱敏的请求数据对象”传递给JAVA WEB应用,本发明通过设置报文拦截规则和数据替换规则,对存在XSS、SQL注入的请求参数的攻击请求进行信息安全脱敏,从而阻止攻击的发生。当出现新的HTTP安全攻击漏洞时,也只需要创建或修改安全规则模板,应用服务器可以自动同步配置修改,实现安全防护。

Description

一种JAVA WEB动态配置安全防御方法
技术领域
本发明涉及JAVA WEB应用技术领域,具体为一种JAVA WEB动态配置安全防御方法。
背景技术
安全防御系统,以维护社会公共安全为目的,运用安全防范技术和其他相关产品所构成的系统,或由这些系统为子系统组合或集成的系统。
基于配置的动态安全防御系统是旨在帮助我们更高效的进行拦截处理,它通常不是只对一种过滤规则进行拦截,而是支持多种过滤规则,功能灵活。
随着互联网在各个领域应用的越来越广泛,各种网络攻击也在不断变化。对于各种企事业单位来说,一旦受到网络攻击,将会造成较大的经济损失。受到网络攻击主要是由于安全防御能力不强或者系统本身存在漏洞。国家对安全问题的关注度不断提升,每半年会进行一次护网行动,使得客户经常会委托第三方安全公司对我公司产品进行检测,因此上报的安全问题占很大比例。而安全始终是重中之重,以最高优先级处理。但是,目前通常的解决方案是通过打补丁的方式进行安全防范,这种方案需要重启服务,解决周期较长,且容易对现有功能产生影响。
发明内容
本发明的目的在于提供一种JAVA WEB动态配置安全防御方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种JAVA WEB动态配置安全防御方法,包括以下步骤:
A、设置“安全配置规则”,并定时同步配置修改;
B、根据客户端发送的协议请求,获取“请求数据对象”;
C、将“请求数据对象”与“安全规则模板”进行匹配和替换,并生成“脱敏后的请求数据对象”;
D、触发安全事件响应链;
E、将“安全脱敏的请求数据对象”传递给JAVA WEB应用。
优选的,所述步骤A中设置“安全配置规则”,安全配置规则结构有:配置规则所属类别、配置规协议请求类型、请求方法名称、请求URL规则、请求参数规则、扩展属性规则几个特性,通过定时任务,对“安全配置规则”定时更新,同步配置信息。
优选的,所述步骤B根据客户端发送的协议请求,获取“请求数据对象”,“请求数据对象”结构有:当前协议所属类别、协议方法名称、请求的URI、请求参数值、扩展属性值几个特性。
优选的,所述步骤C将“请求数据对象”与“安全规则模板”进行匹配和替换,并生成“脱敏后的请求数据对象”具体如下:
a、将“请求数据对象”的“当前协议所属类别”与“安全规则模板”的“配置规则所属类别”进行匹配;
b、将“请求数据对象”的“协议方法名称”与“安全规则模板”的“请求方法名称”进行匹配;
c、将“请求数据对象”的“请求URI”与“安全规则模板”的“请求URL规则”进行正则表达式匹配和OGNL语法匹配;
d、将“请求数据对象”的“请求参数值”与“安全规则模板”的“请求参数规则”进行正则表达式匹配和OGNL语法匹配;
e、将“请求数据对象”的“扩展属性值”与“安全规则模板”的“扩展属性规则”进行匹配;
f、如果步骤a、步骤b、步骤c、步骤d、步骤e均匹配成功,则请求中的参数值按照匹配命中的“安全规则模板”中替换规则进行脱敏处理,生成“脱敏后的请求数据对象”。
优选的,所述步骤D触发安全事件响应链,具体如下:在生成“脱敏后的请求数据对象”后,业务系统触发安全事件,进行事件通知等业务逻辑处理。
优选的,所述步骤E将“安全脱敏的请求数据对象”传递给JAVA WEB应用。
与现有技术相比,本发明的有益效果是:本发明中,将请求报文转化为“请求数据对象”,并提前预制“安全配置规则”。通过正则表达式(或OGNL等其他匹配方式)对“请求数据对象”进行快速匹配。有助于提升攻击请求判定效率;通过将“请求数据对象”转化为“安全脱敏的请求数据对象”,有助提升系统安全级别;通过同步配置修改,提升发发生安全事件后,快速将安全策略运用到系统中;通过触发安全事件响应链,在JAVA WEB系统发生安全问题时,可以提前实现时候通知机制。达到安全事件发生前进行防范,安全事件发生发生时及时处理,安全事件发生发生后通知和统计分析等功能。
附图说明
图1为本发明安全防御的方法及组件整体流程图;
图2为本发明安全防御的方法及组件工作示意图;
图3为本发明安全防御的方法及组件类图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-2,本发明提供如下技术方案:一种JAVA WEB动态配置安全防御方法,包括以下步骤:
A、设置“安全配置规则”,并定时同步配置修改;
B、根据客户端发送的协议请求,获取“请求数据对象”;
C、将“请求数据对象”与“安全规则模板”进行匹配和替换,并生成“脱敏后的请求数据对象”;
D、触发安全事件响应链;
E、将“安全脱敏的请求数据对象”传递给JAVA WEB应用。
本发明中,步骤A中设置“安全配置规则”,安全配置规则结构有:配置规则所属类别、配置规协议请求类型、请求方法名称、请求URL规则、请求参数规则、扩展属性规则几个特性,通过定时任务,对“安全配置规则”定时更新,同步配置信息。
本发明中,步骤B根据客户端发送的协议请求,获取“请求数据对象”,“请求数据对象”结构有:当前协议所属类别、协议方法名称、请求的URI、请求参数值、扩展属性值几个特性。
本发明中,步骤C将“请求数据对象”与“安全规则模板”进行匹配和替换,并生成“脱敏后的请求数据对象”具体如下:
a、将“请求数据对象”的“当前协议所属类别”与“安全规则模板”的“配置规则所属类别”进行匹配;
b、将“请求数据对象”的“协议方法名称”与“安全规则模板”的“请求方法名称”进行匹配;
c、将“请求数据对象”的“请求URI”与“安全规则模板”的“请求URL规则”进行正则表达式匹配和OGNL语法匹配;
d、将“请求数据对象”的“请求参数值”与“安全规则模板”的“请求参数规则”进行正则表达式匹配和OGNL语法匹配;
e、将“请求数据对象”的“扩展属性值”与“安全规则模板”的“扩展属性规则”进行匹配;
f、如果步骤a、步骤b、步骤c、步骤d、步骤e均匹配成功,则请求中的参数值按照匹配命中的“安全规则模板”中替换规则进行脱敏处理,生成“脱敏后的请求数据对象”。
本发明中,步骤D触发安全事件响应链,具体如下:在生成“脱敏后的请求数据对象”后,业务系统触发安全事件,进行事件通知等业务逻辑处理。
本发明中,步骤E将“安全脱敏的请求数据对象”传递给JAVA WEB应用。
综上所述,本发明中,将请求报文转化为“请求数据对象”,并提前预制“安全配置规则”。通过正则表达式(或OGNL等其他匹配方式)对“请求数据对象”进行快速匹配。有助于提升攻击请求判定效率;通过将“请求数据对象”转化为“安全脱敏的请求数据对象”,有助提升系统安全级别;通过同步配置修改,提升发发生安全事件后,快速将安全策略运用到系统中;通过触发安全事件响应链,在JAVA WEB系统发生安全问题时,可以提前实现时候通知机制。达到安全事件发生前进行防范,安全事件发生发生时及时处理,安全事件发生发生后通知和统计分析等功能。
需要说明的是,在本文中,诸如术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

Claims (6)

1.一种JAVA WEB动态配置安全防御方法,其特征在于:包括以下步骤:
A、设置“安全配置规则”,并定时同步配置修改;
B、根据客户端发送的协议请求,获取“请求数据对象”;
C、将“请求数据对象”与“安全规则模板”进行匹配和替换,并生成“脱敏后的请求数据对象”;
D、触发安全事件响应链;
E、将“安全脱敏的请求数据对象”传递给JAVA WEB应用。
2.根据权利要求1所述的一种JAVA WEB动态配置安全防御方法,其特征在于:所述步骤A中设置“安全配置规则”,安全配置规则结构有:配置规则所属类别、配置规协议请求类型、请求方法名称、请求URL规则、请求参数规则、扩展属性规则几个特性,通过定时任务,对“安全配置规则”定时更新,同步配置信息。
3.根据权利要求1所述的一种JAVA WEB动态配置安全防御方法,其特征在于:所述步骤B根据客户端发送的协议请求,获取“请求数据对象”,“请求数据对象”结构有:当前协议所属类别、协议方法名称、请求的URI、请求参数值、扩展属性值几个特性。
4.根据权利要求1所述的一种JAVA WEB动态配置安全防御方法,其特征在于:所述步骤C将“请求数据对象”与“安全规则模板”进行匹配和替换,并生成“脱敏后的请求数据对象”具体如下:
a、将“请求数据对象”的“当前协议所属类别”与“安全规则模板”的“配置规则所属类别”进行匹配;
b、将“请求数据对象”的“协议方法名称”与“安全规则模板”的“请求方法名称”进行匹配;
c、将“请求数据对象”的“请求URI”与“安全规则模板”的“请求URL规则”进行正则表达式匹配和OGNL语法匹配;
d、将“请求数据对象”的“请求参数值”与“安全规则模板”的“请求参数规则”进行正则表达式匹配和OGNL语法匹配;
e、将“请求数据对象”的“扩展属性值”与“安全规则模板”的“扩展属性规则”进行匹配;
f、如果步骤a、步骤b、步骤c、步骤d、步骤e均匹配成功,则请求中的参数值按照匹配命中的“安全规则模板”中替换规则进行脱敏处理,生成“脱敏后的请求数据对象”。
5.根据权利要求1所述的一种JAVA WEB动态配置安全防御方法,其特征在于:所述步骤D触发安全事件响应链,具体如下:在生成“脱敏后的请求数据对象”后,业务系统触发安全事件,进行事件通知等业务逻辑处理。
6.根据权利要求1所述的一种JAVA WEB动态配置安全防御方法,其特征在于:所述步骤E将“安全脱敏的请求数据对象”传递给JAVA WEB应用。
CN202111641184.6A 2021-12-29 2021-12-29 一种java web动态配置安全防御方法 Active CN114422206B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111641184.6A CN114422206B (zh) 2021-12-29 2021-12-29 一种java web动态配置安全防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111641184.6A CN114422206B (zh) 2021-12-29 2021-12-29 一种java web动态配置安全防御方法

Publications (2)

Publication Number Publication Date
CN114422206A true CN114422206A (zh) 2022-04-29
CN114422206B CN114422206B (zh) 2024-02-02

Family

ID=81268996

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111641184.6A Active CN114422206B (zh) 2021-12-29 2021-12-29 一种java web动态配置安全防御方法

Country Status (1)

Country Link
CN (1) CN114422206B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140317740A1 (en) * 2013-04-22 2014-10-23 Imperva, Inc. Community-based defense through automatic generation of attribute values for rules of web application layer attack detectors
CN105338017A (zh) * 2014-06-30 2016-02-17 北京新媒传信科技有限公司 一种web防御方法和系统
CN107644166A (zh) * 2017-09-22 2018-01-30 成都知道创宇信息技术有限公司 一种基于自动学习的web应用安全防护方法
CN108111466A (zh) * 2016-11-24 2018-06-01 北京金山云网络技术有限公司 一种攻击检测方法及装置
CN108737458A (zh) * 2017-04-14 2018-11-02 苏宁云商集团股份有限公司 一种用于控制流量的方法及装置
US20190394233A1 (en) * 2018-10-12 2019-12-26 Beijing Baidu Netcom Science And Technology Co., Ltd. Method and apparatus for analyzing cyberattack
CN110753127A (zh) * 2019-10-29 2020-02-04 浪潮云信息技术有限公司 基于Kong的API网关实现请求参数转换的方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140317740A1 (en) * 2013-04-22 2014-10-23 Imperva, Inc. Community-based defense through automatic generation of attribute values for rules of web application layer attack detectors
CN105338017A (zh) * 2014-06-30 2016-02-17 北京新媒传信科技有限公司 一种web防御方法和系统
CN108111466A (zh) * 2016-11-24 2018-06-01 北京金山云网络技术有限公司 一种攻击检测方法及装置
CN108737458A (zh) * 2017-04-14 2018-11-02 苏宁云商集团股份有限公司 一种用于控制流量的方法及装置
CN107644166A (zh) * 2017-09-22 2018-01-30 成都知道创宇信息技术有限公司 一种基于自动学习的web应用安全防护方法
US20190394233A1 (en) * 2018-10-12 2019-12-26 Beijing Baidu Netcom Science And Technology Co., Ltd. Method and apparatus for analyzing cyberattack
CN110753127A (zh) * 2019-10-29 2020-02-04 浪潮云信息技术有限公司 基于Kong的API网关实现请求参数转换的方法

Also Published As

Publication number Publication date
CN114422206B (zh) 2024-02-02

Similar Documents

Publication Publication Date Title
CN110677380B (zh) 用于网络威胁指示符提取和响应的方法和相关设备
US8752178B2 (en) Blacklisting and whitelisting of security-related events
US9544295B2 (en) Login method for client application and corresponding server
EP2729895B1 (en) Syntactical fingerprinting
US20110145435A1 (en) Reputation Based Redirection Service
CN104424277B (zh) 举报信息的处理方法及装置
WO2017196815A1 (en) Searchable investigation history for event data store
US20130318536A1 (en) Dynamic scheduling of tasks for collecting and processing data from external sources
US20040054741A1 (en) System and method for automatically limiting unwanted and/or unsolicited communication through verification
JP2019530033A5 (zh)
JP2014516183A (ja) 外部リンク処理
WO2019076014A1 (zh) 网页生成方法、装置、终端设备及介质
CN107360198A (zh) 可疑域名检测方法及系统
CN108259319B (zh) 一种未读信息提醒方法及装置
US7480651B1 (en) System and method for notification of group membership changes in a directory service
US9985976B1 (en) Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof
CN114422206A (zh) 一种java web动态配置安全防御方法
WO2016037489A1 (zh) Rcs垃圾消息的监控方法、装置及系统
US11258768B2 (en) Optimization of the isolation and disabling of unauthorized applications by detection of false positives
US20220021655A1 (en) Optimization of redundant usage patterns based on historical data and security constraints
CN113778709B (zh) 接口调用方法、装置、服务器及存储介质
CN113965385B (zh) 一种异常网站的监控处理方法、装置、设备和介质
CN114301696A (zh) 恶意域名检测方法、装置、计算机设备及存储介质
WO2016127634A1 (zh) 一种应用程序业务处理的方法、设备、系统及存储介质
CN116074202B (zh) 一种切片信息处理方法、设备及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant