CN114422206B - 一种java web动态配置安全防御方法 - Google Patents
一种java web动态配置安全防御方法 Download PDFInfo
- Publication number
- CN114422206B CN114422206B CN202111641184.6A CN202111641184A CN114422206B CN 114422206 B CN114422206 B CN 114422206B CN 202111641184 A CN202111641184 A CN 202111641184A CN 114422206 B CN114422206 B CN 114422206B
- Authority
- CN
- China
- Prior art keywords
- request
- security
- rule
- data object
- request data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000007123 defense Effects 0.000 title claims abstract description 13
- 230000004044 response Effects 0.000 claims abstract description 9
- 230000001360 synchronised effect Effects 0.000 claims abstract description 9
- 238000000586 desensitisation Methods 0.000 claims abstract description 4
- 230000014509 gene expression Effects 0.000 claims description 8
- 230000008569 process Effects 0.000 abstract description 4
- 230000004048 modification Effects 0.000 abstract description 3
- 238000012986 modification Methods 0.000 abstract description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种JAVA WEB动态配置安全防御方法,包括以下步骤:A、设置“安全配置规则”,并定时同步配置修改;B、根据客户端发送的协议请求,获取“请求数据对象”;C、将“请求数据对象”与“安全规则模板”进行匹配和替换,并生成“脱敏后的请求数据对象”;D、触发安全事件响应链;E、将“安全脱敏的请求数据对象”传递给JAVA WEB应用,本发明通过设置报文拦截规则和数据替换规则,对存在XSS、SQL注入的请求参数的攻击请求进行信息安全脱敏,从而阻止攻击的发生。当出现新的HTTP安全攻击漏洞时,也只需要创建或修改安全规则模板,应用服务器可以自动同步配置修改,实现安全防护。
Description
技术领域
本发明涉及JAVA WEB应用技术领域,具体为一种JAVAWEB动态配置安全防御方法。
背景技术
安全防御系统,以维护社会公共安全为目的,运用安全防范技术和其他相关产品所构成的系统,或由这些系统为子系统组合或集成的系统。
基于配置的动态安全防御系统是旨在帮助我们更高效的进行拦截处理,它通常不是只对一种过滤规则进行拦截,而是支持多种过滤规则,功能灵活。
随着互联网在各个领域应用的越来越广泛,各种网络攻击也在不断变化。对于各种企事业单位来说,一旦受到网络攻击,将会造成较大的经济损失。受到网络攻击主要是由于安全防御能力不强或者系统本身存在漏洞。国家对安全问题的关注度不断提升,每半年会进行一次护网行动,使得客户经常会委托第三方安全公司对我公司产品进行检测,因此上报的安全问题占很大比例。而安全始终是重中之重,以最高优先级处理。但是,目前通常的解决方案是通过打补丁的方式进行安全防范,这种方案需要重启服务,解决周期较长,且容易对现有功能产生影响。
发明内容
本发明的目的在于提供一种JAVAWEB动态配置安全防御方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种JAVAWEB动态配置安全防御方法,包括以下步骤:
A、设置“安全配置规则”,并定时同步配置修改;
B、根据客户端发送的协议请求,获取“请求数据对象”;
C、将“请求数据对象”与“安全规则模板”进行匹配和替换,并生成“脱敏后的请求数据对象”;
D、触发安全事件响应链;
E、将“安全脱敏的请求数据对象”传递给JAVA WEB应用;
所述步骤A中设置“安全配置规则”,安全配置规则结构有:配置规则所属类别、配置规协议请求类型、请求方法名称、请求URL规则、请求参数规则、扩展属性规则几个特性,通过定时任务,对“安全配置规则”定时更新,同步配置信息;
所述步骤B根据客户端发送的协议请求,获取“请求数据对象”,“请求数据对象”结构有:当前协议所属类别、协议方法名称、请求的URI、请求参数值、扩展属性值几个特性;
所述步骤C将“请求数据对象”与“安全规则模板”进行匹配和替换,并生成“脱敏后的请求数据对象”具体如下:
a、将“请求数据对象”的“当前协议所属类别”与“安全规则模板”的“配置规则所属类别”进行匹配;
b、将“请求数据对象”的“协议方法名称”与“安全规则模板”的“请求方法名称”进行匹配;
c、将“请求数据对象”的“请求URI”与“安全规则模板”的“请求URL规则”进行正则表达式匹配 和 OGNL语法匹配;
d、将“请求数据对象”的“请求参数值”与“安全规则模板”的“请求参数规则”进行正则表达式匹配 和 OGNL语法匹配;
e、将“请求数据对象”的“扩展属性值”与“安全规则模板”的“扩展属性规则”进行匹配;
f、如果步骤a、步骤b、步骤c、步骤d、步骤e均匹配成功,则请求中的参数值按照匹配命中的“安全规则模板”中替换规则进行脱敏处理,生成“脱敏后的请求数据对象”;
所述步骤D触发安全事件响应链,具体如下:在生成“脱敏后的请求数据对象”后,业务系统触发安全事件,进行事件通知业务逻辑处理。
与现有技术相比,本发明的有益效果是:本发明中,将请求报文转化为“请求数据对象”,并提前预制“安全配置规则”。通过正则表达式(或OGNL等其他匹配方式)对“请求数据对象”进行快速匹配。有助于提升攻击请求判定效率;通过将“请求数据对象”转化为“安全脱敏的请求数据对象”,有助提升系统安全级别;通过同步配置修改,提升发发生安全事件后,快速将安全策略运用到系统中;通过触发安全事件响应链,在JAVA WEB系统发生安全问题时,可以提前实现时候通知机制。达到 安全事件发生前进行防范,安全事件发生时及时处理,安全事件发生后通知和统计分析等功能。
附图说明
图1为本发明安全防御的方法及组件整体流程图;
图2为本发明安全防御的方法及组件工作示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-2,本发明提供如下技术方案:一种JAVAWEB动态配置安全防御方法,包括以下步骤:
A、设置“安全配置规则”,并定时同步配置修改;
B、根据客户端发送的协议请求,获取“请求数据对象”;
C、将“请求数据对象”与“安全规则模板”进行匹配和替换,并生成“脱敏后的请求数据对象”;
D、触发安全事件响应链;
E、将“安全脱敏的请求数据对象”传递给JAVA WEB应用。
本发明中,步骤A中设置“安全配置规则”,安全配置规则结构有:配置规则所属类别、配置规协议请求类型、请求方法名称、请求URL规则、请求参数规则、扩展属性规则几个特性,通过定时任务,对“安全配置规则”定时更新,同步配置信息。
本发明中,步骤B根据客户端发送的协议请求,获取“请求数据对象”,“请求数据对象”结构有:当前协议所属类别、协议方法名称、请求的URI、请求参数值、扩展属性值几个特性。
本发明中,步骤C将“请求数据对象”与“安全规则模板”进行匹配和替换,并生成“脱敏后的请求数据对象”具体如下:
a、将“请求数据对象”的“当前协议所属类别”与“安全规则模板”的“配置规则所属类别”进行匹配;
b、将“请求数据对象”的“协议方法名称”与“安全规则模板”的“请求方法名称”进行匹配;
c、将“请求数据对象”的“请求URI”与“安全规则模板”的“请求URL规则”进行正则表达式匹配 和 OGNL语法匹配;
d、将“请求数据对象”的“请求参数值”与“安全规则模板”的“请求参数规则”进行正则表达式匹配 和 OGNL语法匹配;
e、将“请求数据对象”的“扩展属性值”与“安全规则模板”的“扩展属性规则”进行匹配;
f、如果步骤a、步骤b、步骤c、步骤d、步骤e均匹配成功,则请求中的参数值按照匹配命中的“安全规则模板”中替换规则进行脱敏处理,生成“脱敏后的请求数据对象”。
本发明中,步骤D触发安全事件响应链,具体如下:在生成“脱敏后的请求数据对象”后,业务系统触发安全事件,进行事件通知业务逻辑处理。
本发明中,步骤E将“安全脱敏的请求数据对象”传递给JAVA WEB应用。
综上所述,本发明中,将请求报文转化为“请求数据对象”,并提前预制“安全配置规则”。通过正则表达式(或OGNL等其他匹配方式)对“请求数据对象”进行快速匹配。有助于提升攻击请求判定效率;通过将“请求数据对象”转化为“安全脱敏的请求数据对象”,有助提升系统安全级别;通过同步配置修改,提升发发生安全事件后,快速将安全策略运用到系统中;通过触发安全事件响应链,在JAVA WEB系统发生安全问题时,可以提前实现时候通知机制。达到 安全事件发生前进行防范,安全事件发生时及时处理,安全事件发生后通知和统计分析等功能。
需要说明的是,在本文中,诸如术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (1)
1.一种JAVAWEB动态配置安全防御方法,其特征在于:包括以下步骤:
A、设置“安全配置规则”,并定时同步配置修改;
B、根据客户端发送的协议请求,获取“请求数据对象”;
C、将“请求数据对象”与“安全规则模板”进行匹配和替换,并生成“脱敏后的请求数据对象”;
D、触发安全事件响应链;
E、将“安全脱敏的请求数据对象”传递给JAVA WEB应用;
所述步骤A中设置“安全配置规则”,安全配置规则结构有:配置规则所属类别、配置规协议请求类型、请求方法名称、请求URL规则、请求参数规则、扩展属性规则几个特性,通过定时任务,对“安全配置规则”定时更新,同步配置信息;
所述步骤B根据客户端发送的协议请求,获取“请求数据对象”,“请求数据对象”结构有:当前协议所属类别、协议方法名称、请求的URI、请求参数值、扩展属性值几个特性;
所述步骤C将“请求数据对象”与“安全规则模板”进行匹配和替换,并生成“脱敏后的请求数据对象”具体如下:
a、将“请求数据对象”的“当前协议所属类别”与“安全规则模板”的“配置规则所属类别”进行匹配;
b、将“请求数据对象”的“协议方法名称”与“安全规则模板”的“请求方法名称”进行匹配;
c、将“请求数据对象”的“请求URI”与“安全规则模板”的“请求URL规则”进行正则表达式匹配 和 OGNL语法匹配;
d、将“请求数据对象”的“请求参数值”与“安全规则模板”的“请求参数规则”进行正则表达式匹配 和 OGNL语法匹配;
e、将“请求数据对象”的“扩展属性值”与“安全规则模板”的“扩展属性规则”进行匹配;
f、如果步骤a、步骤b、步骤c、步骤d、步骤e均匹配成功,则请求中的参数值按照匹配命中的“安全规则模板”中替换规则进行脱敏处理,生成“脱敏后的请求数据对象”;
所述步骤D触发安全事件响应链,具体如下:在生成“脱敏后的请求数据对象”后,业务系统触发安全事件,进行事件通知业务逻辑处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111641184.6A CN114422206B (zh) | 2021-12-29 | 2021-12-29 | 一种java web动态配置安全防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111641184.6A CN114422206B (zh) | 2021-12-29 | 2021-12-29 | 一种java web动态配置安全防御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114422206A CN114422206A (zh) | 2022-04-29 |
CN114422206B true CN114422206B (zh) | 2024-02-02 |
Family
ID=81268996
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111641184.6A Active CN114422206B (zh) | 2021-12-29 | 2021-12-29 | 一种java web动态配置安全防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114422206B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105338017A (zh) * | 2014-06-30 | 2016-02-17 | 北京新媒传信科技有限公司 | 一种web防御方法和系统 |
CN107644166A (zh) * | 2017-09-22 | 2018-01-30 | 成都知道创宇信息技术有限公司 | 一种基于自动学习的web应用安全防护方法 |
CN108111466A (zh) * | 2016-11-24 | 2018-06-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
CN108737458A (zh) * | 2017-04-14 | 2018-11-02 | 苏宁云商集团股份有限公司 | 一种用于控制流量的方法及装置 |
CN110753127A (zh) * | 2019-10-29 | 2020-02-04 | 浪潮云信息技术有限公司 | 基于Kong的API网关实现请求参数转换的方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9027136B2 (en) * | 2013-04-22 | 2015-05-05 | Imperva, Inc. | Automatic generation of attribute values for rules of a web application layer attack detector |
CN109167797B (zh) * | 2018-10-12 | 2022-03-01 | 北京百度网讯科技有限公司 | 网络攻击分析方法和装置 |
-
2021
- 2021-12-29 CN CN202111641184.6A patent/CN114422206B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105338017A (zh) * | 2014-06-30 | 2016-02-17 | 北京新媒传信科技有限公司 | 一种web防御方法和系统 |
CN108111466A (zh) * | 2016-11-24 | 2018-06-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
CN108737458A (zh) * | 2017-04-14 | 2018-11-02 | 苏宁云商集团股份有限公司 | 一种用于控制流量的方法及装置 |
CN107644166A (zh) * | 2017-09-22 | 2018-01-30 | 成都知道创宇信息技术有限公司 | 一种基于自动学习的web应用安全防护方法 |
CN110753127A (zh) * | 2019-10-29 | 2020-02-04 | 浪潮云信息技术有限公司 | 基于Kong的API网关实现请求参数转换的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114422206A (zh) | 2022-04-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10637888B2 (en) | Automated lifecycle system operations for threat mitigation | |
EP2729895B1 (en) | Syntactical fingerprinting | |
CN107395570B (zh) | 基于大数据管理分析的云平台审计系统 | |
US11463459B2 (en) | Network security intrusion detection | |
EP2542996B1 (en) | Input parameter filtering for web application security | |
JP2021503142A5 (zh) | ||
CN104424277B (zh) | 举报信息的处理方法及装置 | |
CN110012005B (zh) | 识别异常数据的方法、装置、电子设备及存储介质 | |
US11470042B2 (en) | Discovering email account compromise through assessments of digital activities | |
CN109962927B (zh) | 基于威胁情报的防攻击方法 | |
CN111147489B (zh) | 一种面向链接伪装的鱼叉攻击邮件发现方法及装置 | |
WO2017019717A1 (en) | Dynamic attachment delivery in emails for advanced malicious content filtering | |
CN106953874B (zh) | 网站防篡改方法及装置 | |
CN114422206B (zh) | 一种java web动态配置安全防御方法 | |
US11258768B2 (en) | Optimization of the isolation and disabling of unauthorized applications by detection of false positives | |
US20220021655A1 (en) | Optimization of redundant usage patterns based on historical data and security constraints | |
US11134062B1 (en) | Isolating and disabling unauthorized applications | |
CN108810032A (zh) | 一种基于代理的Web跨站安全处理方法 | |
Ali et al. | Deceptive phishing detection system: from audio and text messages in instant messengers using data mining approach | |
CN111770097A (zh) | 一种基于白名单的内容锁防火墙方法及系统 | |
US20230094119A1 (en) | Scanning of Content in Weblink | |
US11425092B2 (en) | System and method for analytics based WAF service configuration | |
Rongzhou et al. | Web protection scheme based on a cloud computing platform | |
KR102674440B1 (ko) | 지능형 화이트리스트를 이용한 이상행위 탐지 방법 및 장치 | |
Palka et al. | Dynamic phishing content using generative grammars |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |