CN114826662A - 一种自定义规则防护方法、装置、设备及可读存储介质 - Google Patents
一种自定义规则防护方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN114826662A CN114826662A CN202210269845.5A CN202210269845A CN114826662A CN 114826662 A CN114826662 A CN 114826662A CN 202210269845 A CN202210269845 A CN 202210269845A CN 114826662 A CN114826662 A CN 114826662A
- Authority
- CN
- China
- Prior art keywords
- security
- protection
- rule
- probe
- self
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000001514 detection method Methods 0.000 claims abstract description 130
- 239000000523 sample Substances 0.000 claims abstract description 78
- 238000005516 engineering process Methods 0.000 claims abstract description 20
- 230000007123 defense Effects 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 10
- 230000000903 blocking effect Effects 0.000 claims description 7
- 230000008859 change Effects 0.000 abstract description 8
- 238000012360 testing method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000009472 formulation Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 229960005486 vaccine Drugs 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种自定义规则防护方法、装置、设备及可读存储介质,在web服务器中加载RASP探针;其中,RASP探针为基于实时应用程序自我保护技术的安全检测探针;通过Portal端向RASP探针发送自定义安全防护规则;根据自定义安全防护规则对web服务器的访问流量进行安全检测,并将安全检测信息进行汇总;根据汇总之后的所有所述安全检测信息对所述web服务器进行安全防护。通过本申请方案的实施,在Portal端将自定义安全防护规则发送至RASP探针中,通过自定义安全防护规则检测需要防护的安全漏洞,在防护web服务器的同时,根据多变的防护规则,提高防护漏洞攻击时的灵活变更能力,解决用户的个性化业务需求。
Description
技术领域
本申请涉及电子技术领域,尤其涉及一种自定义规则防护方法、装置、设备及可读存储介质。
背景技术
现在的web应用安全防护基本上都是基于单一的安全检测方法或技术,例如DAST(Dynamic Application Security Testing,动态应用程序安全测试),SAST(StaticApplication Security Testing,静态应用程序安全测试)和IAST(InteractiveApplication Security Testing,交互式应用程序安全测试),这些技术的缺点在于:只是应用在web应用的测试和开发阶段,没法在产线上进行应用实时防护有些检测方法如SAST还需要产品的源码,这样对知识产权的代码的机密保护上存在隐私保护的问题。
目前的基于RASP形成的专利基本上都是使用WAF(webapplication fire ware)的规则匹配和硬件相结合,如基于RASP的防火墙。这些技术大部分是基于硬件相结合,从分析网络流量的角度出发,没有真正的深入到应用的代码级别,这些技术的缺点在于:安全漏洞信息来源单一化,不能全面、及时的保护web应用的安全;误报率高也是这类技术的硬伤;没法解决用户的个性化业务逻辑的需求;防护规则单一,缺乏灵活变更能力,很难扩展从而形成对0day漏洞等新型安全漏洞的防护。
发明内容
本申请实施例提供了一种自定义规则防护方法、装置、设备及可读存储介质,至少能够解决相关技中防护规则单一,缺乏灵活变更能力,无法解决用户的个性化业务需求的问题。
本申请实施例第一方面提供了一种自定义规则防护方法,包括:
在web服务器中加载RASP探针;其中,所述RASP探针为基于实时应用程序自我保护技术的安全检测探针;
通过Portal端向所述RASP探针发送自定义安全防护规则;其中,所述Portal端用于配置所述自定义安全防护规则的终端;
根据所述自定义安全防护规则对所述web服务器的访问流量进行安全检测,并将安全检测信息进行汇总;
根据汇总之后的所有所述安全检测信息对所述web服务器进行安全防护。
本申请实施例第二方面提供了一种自定义规则防护装置,包括:
加载模块,用于在web服务器中加载RASP探针;其中,所述RASP探针为基于实时应用程序自我保护技术的安全检测探针;
发送模块,用于通过Portal端向所述RASP探针发送自定义安全防护规则;其中,所述Portal端为与所述RASP探针以及所述web服务器端连接,用于配置所述自定义安全防护规则的终端;
检测模块,用于根据所述自定义安全防护规则对所述web服务器的访问流量进行安全检测,并将安全检测信息进行汇总;
防护模块,用于根据汇总之后的所有所述安全检测信息对所述web服务器进行安全防护。
本申请实施例第三方面提供了一种电子设备,其特征在于,包括存储器及处理器,其中,所述处理器用于执行存储在所述存储器上的计算机程序,所述处理器执行所述计算机程序时上述本申请实施例第一方面提供的自定义规则防护方法中的各步骤。
本申请实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时,实现上述本申请实施例第一方面提供的自定义规则防护方法中的各步骤。
由上可见,根据本申请方案所提供的自定义规则防护方法、装置、设备及可读存储介质,在web服务器中加载RASP探针;其中,所述RASP探针为基于实时应用程序自我保护技术的安全检测探针;通过Portal端向所述RASP探针发送自定义安全防护规则;其中,所述Portal端用于配置所述自定义安全防护规则的终端;根据所述自定义安全防护规则对所述web服务器的访问流量进行安全检测,并将安全检测信息进行汇总;根据汇总之后的所有所述安全检测信息对所述web服务器进行安全防护。通过本申请方案的实施,在Portal端将自定义安全防护规则发送至RASP探针中,通过自定义安全防护规则检测需要防护的安全漏洞,在防护web服务器的同时,根据多变的防护规则,提高防护漏洞攻击时的灵活变更能力,解决用户的个性化业务需求。
附图说明
图1为本申请第一实施例提供的自定义规则防护方法的基本流程示意图;
图2为本申请第二实施例提供的自定义规则防护方法的细化流程示意图;
图3为本申请第三实施例提供的自定义规则防护装置的程序模块示意图;
图4为本申请第四实施例提供的电子设备的结构示意图。
具体实施方式
为使得本申请的发明目的、特征、优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而非全部实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了解决相关技术中防护规则单一,缺乏灵活变更能力,无法解决用户的个性化业务需求的问题,本申请第一实施例提供了一种自定义规则防护方法,如图1为本实施例提供的自定义规则防护方法的基本流程图,该自定义规则防护方法包括以下的步骤:
步骤101、在web服务器中加载RASP探针。
具体的,在本实施例中,RASP探针为基于实时应用程序自我保护(RASP,RuntimeApplication Self-Protection)技术的安全检测探针,RASP是一种新型应用安全保护技术,它将保护程序像疫苗一样注入到应用程序中,应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御,而不需要进行人工干预。RASP技术可以快速的将安全防御功能整合到正在运行的应用程序中,它拦截从应用程序到系统的所有调用,确保它们是安全的,并直接在应用程序内验证数据请求。Web和非Web应用程序都可以通过RASP进行保护。该技术不会影响应用程序的设计,因为RASP的检测和保护功能是在应用程序运行的系统上运行的。基于RASP技术,将RASP探针加载至web应用系统,确保RASP探针和web服务器在同一个服务器之中。传统的安全漏洞攻击防御技术通常是通过安装防火墙,而安装的防火墙不管是串联的部署模式,还是并联部署模式都需要用到用户的源代码,容易泄露保护应用的隐私,而通过RASP技术加载RASP探针则不需要使用客户源代码,能够保护私有应用的隐私。
步骤102、通过Portal端向RASP探针发送自定义安全防护规则。
具体的,在现有技术中,传统的安全漏洞攻击防护技术通常在安装的初始阶段编写防护规则,安装完成之后无法进行修改,或者需要将防护设备关掉之后进行规则修改,修改完成之后再重启设备,再此过程中存在较长的安防真空期,并且过程复杂。在本实施例中,Portal端与RASP探针以及web服务器端通信连接,用于配置自定义安全防护规则的终端,Portal端可以通过配置指令配置安全防护规则,该安全防护规则可以自定义配置,然后将配置好的安全防护规则发送到RASP探针中,基于此,RASP探针会根据相应的安全防护规则进行安全检测。
在本实施例一种可选的实施方式中,通过Portal端向RASP探针发送自定义安全防护规则的步骤之前,还包括:根据用户业务需求创建安全检测接口;通过安全检测接口配置对应于用户业务需求的自定义安全防护规则。
具体的,在本实施例中,Portal端设置有安全检测接口,初始状态下,Portal端的安全检测接口处于关闭状态,根据用户的业务需求不同,一些普通用户在安防方面并没有特殊要求,而有些用户对安防要求相对严格,或者有些用户专门开发安全漏洞防护方面的产品,同时需要向其客户展示相应功能,就需要从多维度对安全漏洞进行防护,或者直接放过某些安全漏洞,此时,根据用户的业务需求开通安全检测接口,并在安全检测接口中自定义安全防护规则,通过自定义安全防护规则,可以多维度的对安全漏洞进行防护。
在本实施例一种可选的实施方式中,通过安全检测接口配置对应于用户业务需求的自定义安全防护规则的步骤,包括:通过Portal端基于用户业务需求向安全检测接口发送自定义安全防护规则的配置指令;根据配置指令对不同安全检测接口配置不同自定义安全防护规则。
具体的,在本实施例中,当用户根据自身业务需求需要添加防护规则时,通过Portal端向安全检测接口发送自定义安全防护规则的配置指令,而在Portal端可以同时存在多个安全检测接口,不同的安全检测接口对应着不同的安全检测逻辑,也可以是不同的安全漏洞检测规则,根据配置指令对不同的安全检测接口配置不同的自定义安全防护规则,例如,检测Cookie中是否包含可执行恶意代码、进程安全检测、后台弱口令检测、数据库连接账号安全检测等,根据不同的自定义安全防护规则,可以选择是对这些安全漏洞在不同层次上进行防护。
应当说明的是,在本实施例中,当用户发现被保护产品存在安全漏洞且目前没有相应的应对措施时,可以及时通过Portal端配置与该安全漏洞相应的安全防护规则,并将相应安全防护规则发送到RASP探针中,通过检测指令控制RASP探针对该安全漏洞进行实时监测,可以有效的对0day漏洞进行阻拦,0day漏洞,是已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。
步骤103、根据自定义安全防护规则对web服务器的访问流量进行安全检测,并将安全检测信息进行汇总。
具体的,在本实施例中,Portal端通过与RASP探针的通信连接,将自定义安全防护规则发送到RASP探针中,在RASP探针对web服务器的访问流量进行实时监控分析时,根据自定义安全防护规则对访问流量进行相应的安全检测,并将安全检测信息进行汇总。
在本实施例一种可选的实施方式中,根据自定义安全防护规则对web服务器的访问流量进行安全检测的步骤,包括:根据自定义安全防护规则生成相应的检测指令;根据检测指令控制RASP探针,对web服务器的访问流量进行与自定义安全防护规则相应的安全检测。
具体的,在本实施例中,在将自定义安全防护规则发送的RASP探针之后,自定义安全防护规则会自动生成与之对应的检测指令,根据检测指令控制RASP探针对web服务器的访问流量进行与自定义安全防护规则相应的实时安全检测。应当说明的是,检测指令可以通过Portal端直接发送,即可以根据用户的实际业务需求,当需要通过自定义安全防护规则检测访问流量时,用户通过Portal端发送检测指令进行实时安全检测。
步骤104、根据汇总之后的所有安全检测信息对web服务器进行安全防护。
具体的,不管是传统的安防硬件设备还是软件设备,往往只能针对一种安全漏洞进行有效的防护。在本实施例中,在将安全检测信息汇总之后,根据所有的安全检测信息对web服务器进行安全防护。
在本实施例一种可选的实施方式中,根据汇总之后的所有安全检测信息对web服务器进行安全防护的步骤,包括:当根据自定义安全防护规则确定安全检测信息中存在相应的安全漏洞信息时,确定安全漏洞信息对应安全漏洞的漏洞特征;根据漏洞特征与国家信息安全漏洞库CVE和CNNVD进行特征匹配;当特征匹配一致时,获取匹配一致的漏洞特征相应的漏洞解决方案;根据漏洞解决方案对web服务器进行安全防护。
具体的,在本实施例中,RASP探针根据自定义安全防护规则确定安全检测信息中存在相应的安全漏洞信息,而此时还只能确定访问流量中存在需要防御的安全漏洞攻击,需要进一步确定安全漏洞信息对应安全漏洞的漏洞特征,根据漏洞特征与RASP探针中预设的国家信息安全漏洞库CVE和CNNVD进行特征匹配,其中,安全漏洞库也可以是根据用户业务需求预先设定的本地漏洞库,当特征匹配一致时,确定该安全漏洞的详细信息,并获取国家信息安全漏洞库CVE和CNNVD针对该安全漏洞提出的漏洞解决方案,根据漏洞解决方案对web服务器进行安全防护,提高对用户被保护应用的安全性。
应当说明的是,用户可以根据自身业务需求选择在安全漏洞的不同层次上进行安全防护,防护手段包括但不限于攻击阻断、攻击上报以及日志记录等,例如,从事网络安全防护设备的用户就需要查看对应安全漏洞攻击对被保护设备所造成的影响,所以在检测出存在该安全漏洞攻击时,只需要对安全漏洞攻击进行上报,时刻关注安全漏洞攻击的整个周期并记录到日志中,通过用户个性化需求选择安全漏洞的处理方式,能够更加灵活的进行安全防护。
进一步的,在本实施例一种可选的实施方式中,根据汇总之后的所有安全检测信息对web服务器进行安全防护的步骤之后,还包括:在安全漏洞信息中获取相应安全攻击在关键阶段的详细信息;将详细信息上传至后台服务器并分析安全攻击的生命周期;针对生命周期的各关键阶段,制定阻断安全攻击的防御策略。
具体的,在本实施例中,在RASP探针根据自定义安全防护规则检测出安全漏洞信息之后,首先通过Portal端收集对应安全攻击在关键阶段的详细信息,在将所收集到的安全攻击在关键阶段的详细信息上传至web服务器,并观察分析整个安全漏洞的生命周期,根据生命周期中各个关键阶段制定阻断安全攻击的防御策略。
在本实施例一种可选的实施方式中,针对生命周期的各关键阶段,制定阻断安全攻击的防御策略的步骤之后,还包括:将安全漏洞信息以及防御策略实时上传至Portal端;通过Portal端的配置指令,将安全漏洞信息以及防御策略通过安全检测接口配置到相应自定义安全防护规则中;在RASP探针根据检测指令检测时,若检测到与防御策略对应的安全漏洞攻击,则直接对安全漏洞攻击进行安全防护。
具体的,在本实施例中,在对web服务器进行有效的安全防护之后,将汇总的安全漏洞信息以及防御策略汇报给Portal端,Portal端通过安全检测接口的配置指令,将汇总的安全漏洞信息以及防御策略配置到相应的自定义安全防护规则中,RASP探针会根据重新配置后的自定义安全防护规则对web服务器进行实时检测,若检测到自定义安全防护规则中需要防护的安全漏洞攻击时,通过对应的防御策略直接对安全漏洞攻击进行安全防护,能够有效提高RASP探针的检测效率。
基于上述申请的实施例方案,在web服务器中加载RASP探针;其中,RASP探针为基于实时应用程序自我保护技术的安全检测探针;通过Portal端向RASP探针发送自定义安全防护规则;其中,Portal端用于配置自定义安全防护规则的终端;根据自定义安全防护规则对web服务器的访问流量进行安全检测,并将安全检测信息进行汇总;根据汇总之后的所有安全检测信息对web服务器进行安全防护。通过本申请方案的实施,在Portal端将自定义安全防护规则发送至RASP探针中,通过自定义安全防护规则检测需要防护的安全漏洞,在防护web服务器的同时,根据多变的防护规则,提高防护漏洞攻击时的灵活变更能力,解决用户的个性化业务需求。
图2中的方法为本申请第二实施例提供的一种细化的自定义规则防护方法,该自定义规则防护方法包括:
步骤201、在web服务器中加载RASP探针。
步骤202、根据用户服务器的安全等级设置Portal端。
步骤203、当根据用户业务需求需要针对不同的安全漏洞进行安全检测时,在Portal端创建安全检测接口,并通过Portal端向安全检测接口发送自定义安全防护规则的配置指令。
步骤204、根据配置指令对不同安全检测接口配置不同自定义安全防护规则。
步骤205、将配置完成的自定义安全防护规发送至RASP探针。
步骤206、根据与自定义安全防护规则相应的检测指令,控制RASP探针对web服务器的访问流量进行安全检测,并将安全检测信息进行汇总。
步骤207、根据汇总之后的所有安全检测信息对相应的安全漏洞进行不同层次的安全防护。
根据本申请方案所提供的自定义规则防护方法,在web服务器中加载RASP探针;根据用户服务器的安全等级设置Portal端;当根据用户业务需求需要针对不同的安全漏洞进行安全检测时,在Portal端创建安全检测接口,并通过Portal端向安全检测接口发送自定义安全防护规则的配置指令;根据配置指令对不同安全检测接口配置不同自定义安全防护规则;将配置完成的自定义安全防护规发送至RASP探针;根据与自定义安全防护规则相应的检测指令,控制RASP探针对web服务器的访问流量进行安全检测,并将安全检测信息进行汇总;根据汇总之后的所有安全检测信息对相应的安全漏洞进行不同层次的安全防护。通过本申请方案的实施,对Portal端上不同安全检测接口配置对应于用户业务需求的不同自定义安全防护规则,在防护web服务器的同时,根据多变的防护规则,提高防护漏洞攻击时的灵活变更能力,解决用户的个性化业务需求。
图3为本申请第三实施例提供的一种自定义规则防护装置,该自定义规则防护装置可用于实现前述实施例中的自定义规则防护方法。如图3所示,该自定义规则防护装置主要包括:
加载模块301,用于在web服务器中加载RASP探针;其中,RASP探针为基于实时应用程序自我保护技术的安全检测探针;
发送模块302,用于通过Portal端向RASP探针发送自定义安全防护规则;其中,Portal端为与RASP探针以及web服务器端连接,用于配置自定义安全防护规则的终端;
检测模块303,用于根据自定义安全防护规则对web服务器的访问流量进行安全检测,并将安全检测信息进行汇总;
防护模块304,用于根据安全检测信息对web服务器进行多维度安全防护。
在本实施例一种可选的实施方式中,该自定义规则防护装置还包括:创建模块、配置模块。创建模块用于:根据用户业务需求创建安全检测接口。配置模块用于:通过安全检测接口配置对应于用户业务需求的自定义安全防护规则。
进一步的,在本实施例一种可选的实施方式中,配置模块具体用于:通过Portal端基于用户业务需求向安全检测接口发送自定义安全防护规则的配置指令;根据配置指令对不同安全检测接口配置不同自定义安全防护规则。
在本实施例一种可选的实施方式中,检测模块具体用于:根据自定义安全防护规则生成相应的检测指令;根据检测指令控制RASP探针,对web服务器的访问流量进行与自定义安全防护规则相应的安全检测。
在本实施例一种可选的实施方式中,防护模块具体用于:当根据自定义安全防护规则确定安全检测信息中存在相应的安全漏洞信息时,确定安全漏洞信息对应安全漏洞的漏洞特征;根据漏洞特征与国家信息安全漏洞库CVE和CNNVD进行特征匹配;当特征匹配一致时,获取匹配一致的漏洞特征相应的漏洞解决方案;根据漏洞解决方案对web服务器进行安全防护。
进一步的,在本实施例一种可选的实施方式中,该自定义规则防护装置还包括:获取模块、上传模块、制定模块。获取模块用于:在安全漏洞信息中获取相应安全攻击在关键阶段的详细信息。上传模块用于:将详细信息上传至后台服务器并分析安全攻击的生命周期。制定模块用于:针对生命周期的各关键阶段,制定阻断安全攻击的防御策略。
再进一步的,在本实施例一种可选的实施方式中,上传模块还用于:将安全漏洞信息以及防御策略实时上传至Portal端。配置模块还用于:通过Portal端的配置指令,将安全漏洞信息以及防御策略通过安全检测接口配置到相应自定义安全防护规则中。防护模块还用于:在RASP探针根据检测指令检测时,若检测到与防御策略对应的安全漏洞攻击,则直接对安全漏洞攻击进行安全防护。
根据本申请方案所提供的自定义规则防护装置,在web服务器中加载RASP探针;其中,RASP探针为基于实时应用程序自我保护技术的安全检测探针;通过Portal端向RASP探针发送自定义安全防护规则;其中,Portal端用于配置自定义安全防护规则的终端;根据自定义安全防护规则对web服务器的访问流量进行安全检测,并将安全检测信息进行汇总;根据汇总之后的所有安全检测信息对web服务器进行安全防护。通过本申请方案的实施,在Portal端将自定义安全防护规则发送至RASP探针中,通过自定义安全防护规则检测需要防护的安全漏洞,在防护web服务器的同时,根据多变的防护规则,提高防护漏洞攻击时的灵活变更能力,解决用户的个性化业务需求。
图4为本申请第四实施例提供的一种电子设备。该电子设备可用于实现前述实施例中的自定义规则防护方法,主要包括:
存储器401、处理器402及存储在存储器401上并可在处理器402上运行的计算机程序403,存储器401和处理器402通过通信连接。处理器402执行该计算机程序403时,实现前述实施例中的自定义规则防护方法。其中,处理器的数量可以是一个或多个。
存储器401可以是高速随机存取记忆体(RAM,Random Access Memory)存储器,也可为非不稳定的存储器(non-volatile memory),例如磁盘存储器。存储器401用于存储可执行程序代码,处理器402与存储器401耦合。
进一步的,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质可以是设置于上述各实施例中的电子设备中,该计算机可读存储介质可以是前述图4所示实施例中的存储器。
该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现前述实施例中的自定义规则防护方法。进一步的,该计算机可存储介质还可以是U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的可读存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本申请所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上为对本申请所提供的自定义规则防护方法、装置、设备及可读存储介质的描述,对于本领域的技术人员,依据本申请实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种自定义规则防护方法,其特征在于,包括:
在web服务器中加载RASP探针;其中,所述RASP探针为基于实时应用程序自我保护技术的安全检测探针;
通过Portal端向所述RASP探针发送自定义安全防护规则;其中,所述Portal端用于配置所述自定义安全防护规则的终端;
根据所述自定义安全防护规则对所述web服务器的访问流量进行安全检测,并将安全检测信息进行汇总;
根据汇总之后的所有所述安全检测信息对所述web服务器进行安全防护。
2.根据权利要求1所述的自定义规则防护方法,其特征在于,所述通过Portal端向所述RASP探针发送自定义安全防护规则的步骤之前,还包括:
根据用户业务需求创建安全检测接口;
通过所述安全检测接口配置对应于用户业务需求的所述自定义安全防护规则。
3.根据权利要求2所述的自定义规则防护方法,其特征在于,所述通过所述安全检测接口配置对应于用户业务需求的所述自定义安全防护规则的步骤,包括:
通过所述Portal端基于用户业务需求向所述安全检测接口发送所述自定义安全防护规则的配置指令;
根据所述配置指令对不同所述安全检测接口配置不同所述自定义安全防护规则。
4.根据权利要求1所述的自定义规则防护方法,其特征在于,所述根据所述自定义安全防护规则对所述web服务器的访问流量进行安全检测的步骤,包括:
根据所述自定义安全防护规则生成相应的检测指令;
根据所述检测指令控制所述RASP探针,对所述web服务器的访问流量进行与所述自定义安全防护规则相应的安全检测。
5.根据权利要求1所述的自定义规则防护方法,其特征在于,所述根据汇总之后的所有所述安全检测信息对所述web服务器进行安全防护的步骤,包括:
当根据所述自定义安全防护规则确定所述安全检测信息中存在相应的安全漏洞信息时,确定所述安全漏洞信息对应安全漏洞的漏洞特征;
根据所述漏洞特征与国家信息安全漏洞库CVE和CNNVD进行特征匹配;
当特征匹配一致时,获取匹配一致的漏洞特征相应的漏洞解决方案;
根据所述漏洞解决方案对所述web服务器进行安全防护。
6.根据权利要求5所述的自定义规则防护方法,其特征在于,所述根据汇总之后的所有所述安全检测信息对所述web服务器进行安全防护的步骤之后,还包括:
在所述安全漏洞信息中获取相应安全攻击在关键阶段的详细信息;
将所述详细信息上传至后台服务器并分析所述安全攻击的生命周期;
针对所述生命周期的各所述关键阶段,制定阻断所述安全攻击的防御策略。
7.根据权利要求1至6任意一项所述的自定义规则防护方法,其特征在于,所述针对所述生命周期的各所述关键阶段,制定阻断所述安全攻击的防御策略的步骤之后,还包括:
将所述安全漏洞信息以及所述防御策略实时上传至所述Portal端;
通过所述Portal端的配置指令,将所述安全漏洞信息以及所述防御策略通过所述安全检测接口配置到相应所述自定义安全防护规则中;
在所述RASP探针根据所述检测指令检测时,若检测到与所述防御策略对应的安全漏洞攻击,则直接对所述安全漏洞攻击进行安全防护。
8.一种自定义规则防护装置,其特征在于,包括:
加载模块,用于在web服务器中加载RASP探针;其中,所述RASP探针为基于实时应用程序自我保护技术的安全检测探针;
发送模块,用于通过Portal端向所述RASP探针发送自定义安全防护规则;其中,所述Portal端为与所述RASP探针以及所述web服务器端连接,用于配置所述自定义安全防护规则的终端;
检测模块,用于根据所述自定义安全防护规则对所述web服务器的访问流量进行安全检测,并将安全检测信息进行汇总;
防护模块,用于根据汇总之后的所有所述安全检测信息对所述web服务器进行安全防护。
9.一种电子设备,其特征在于,包括存储器及处理器,其中:
所述处理器用于执行存储在所述存储器上的计算机程序;
所述处理器执行所述计算机程序时,实现权利要求1至7中任意一项所述方法中的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至7中的任意一项所述方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210269845.5A CN114826662B (zh) | 2022-03-18 | 2022-03-18 | 一种自定义规则防护方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210269845.5A CN114826662B (zh) | 2022-03-18 | 2022-03-18 | 一种自定义规则防护方法、装置、设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114826662A true CN114826662A (zh) | 2022-07-29 |
CN114826662B CN114826662B (zh) | 2024-02-06 |
Family
ID=82529995
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210269845.5A Active CN114826662B (zh) | 2022-03-18 | 2022-03-18 | 一种自定义规则防护方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114826662B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115865664A (zh) * | 2022-11-25 | 2023-03-28 | 深圳开源互联网安全技术有限公司 | 基于rasp的应用升级方法、装置、设备及介质 |
CN116055170A (zh) * | 2023-01-10 | 2023-05-02 | 北京微步在线科技有限公司 | 一种流量数据检测方法及装置 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140075022A1 (en) * | 2009-09-03 | 2014-03-13 | Srinivasan Narasimhan | Probe Election In Failover Configuration |
US20180234435A1 (en) * | 2017-02-15 | 2018-08-16 | Empow Cyber Security Ltd. | Proactive predication and mitigation of cyber-threats |
CN110365709A (zh) * | 2019-08-09 | 2019-10-22 | 深圳永安在线科技有限公司 | 一种基于上游探针感知未知网络攻击行为的装置 |
CN113486277A (zh) * | 2021-06-15 | 2021-10-08 | 北京华胜久安科技有限公司 | Web应用访问方法、装置、电子设备及存储介质 |
CN113761519A (zh) * | 2021-08-19 | 2021-12-07 | 深圳开源互联网安全技术有限公司 | 一种Web应用程序的检测方法、装置及存储介质 |
CN113849808A (zh) * | 2021-08-19 | 2021-12-28 | 苏州浪潮智能科技有限公司 | 容器安全管理方法、系统、终端及存储介质 |
CN114021051A (zh) * | 2021-09-24 | 2022-02-08 | 深圳开源互联网安全技术有限公司 | web应用的漏洞检测方法、设备及计算机可读存储介质 |
CN114091039A (zh) * | 2021-12-07 | 2022-02-25 | 何成刚 | 基于rasp的攻击防护系统及应用设备 |
-
2022
- 2022-03-18 CN CN202210269845.5A patent/CN114826662B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140075022A1 (en) * | 2009-09-03 | 2014-03-13 | Srinivasan Narasimhan | Probe Election In Failover Configuration |
US20180234435A1 (en) * | 2017-02-15 | 2018-08-16 | Empow Cyber Security Ltd. | Proactive predication and mitigation of cyber-threats |
CN110365709A (zh) * | 2019-08-09 | 2019-10-22 | 深圳永安在线科技有限公司 | 一种基于上游探针感知未知网络攻击行为的装置 |
CN113486277A (zh) * | 2021-06-15 | 2021-10-08 | 北京华胜久安科技有限公司 | Web应用访问方法、装置、电子设备及存储介质 |
CN113761519A (zh) * | 2021-08-19 | 2021-12-07 | 深圳开源互联网安全技术有限公司 | 一种Web应用程序的检测方法、装置及存储介质 |
CN113849808A (zh) * | 2021-08-19 | 2021-12-28 | 苏州浪潮智能科技有限公司 | 容器安全管理方法、系统、终端及存储介质 |
CN114021051A (zh) * | 2021-09-24 | 2022-02-08 | 深圳开源互联网安全技术有限公司 | web应用的漏洞检测方法、设备及计算机可读存储介质 |
CN114091039A (zh) * | 2021-12-07 | 2022-02-25 | 何成刚 | 基于rasp的攻击防护系统及应用设备 |
Non-Patent Citations (1)
Title |
---|
吕婷婷: "《Android应用漏洞扫描系统的设计与实现》", 《信息科技》, no. 2019 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115865664A (zh) * | 2022-11-25 | 2023-03-28 | 深圳开源互联网安全技术有限公司 | 基于rasp的应用升级方法、装置、设备及介质 |
CN116055170A (zh) * | 2023-01-10 | 2023-05-02 | 北京微步在线科技有限公司 | 一种流量数据检测方法及装置 |
CN116055170B (zh) * | 2023-01-10 | 2024-01-23 | 北京微步在线科技有限公司 | 一种流量数据检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN114826662B (zh) | 2024-02-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10574685B2 (en) | Synthetic cyber-risk model for vulnerability determination | |
Bhatt et al. | Towards a framework to detect multi-stage advanced persistent threats attacks | |
US10311235B2 (en) | Systems and methods for malware evasion management | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
Sandhu et al. | A survey of intrusion detection & prevention techniques | |
KR101534192B1 (ko) | 사이버보안 실시간 공격대응 교육훈련을 제공하기 위한 시스템 및 그 방법 | |
WO2016186975A1 (en) | Detection of sql injection attacks | |
CN114826662A (zh) | 一种自定义规则防护方法、装置、设备及可读存储介质 | |
US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
Beigh et al. | Intrusion Detection and Prevention System: Classification and Quick | |
CN113901450A (zh) | 一种工业主机终端安全防护系统 | |
KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
CN113632432A (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
CN113626814A (zh) | 一种基于恶意攻击行为的Window系统应急响应方法 | |
CN115333805A (zh) | 一种代码热修复方法、装置、设备及计算机可读存储介质 | |
Uyyala | Multilevel Authentication System Using Hierarchical Intrusion Detection Architecture For Online Banking | |
CN106209867B (zh) | 一种高级威胁防御方法及系统 | |
CN115348052A (zh) | 一种多维度黑名单防护方法、装置、设备及可读存储介质 | |
KR102022626B1 (ko) | 로그 분석을 이용한 공격 탐지 장치 및 방법 | |
KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
KR101153115B1 (ko) | 해킹 툴을 탐지하는 방법, 서버 및 단말기 | |
KR102377784B1 (ko) | 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 | |
KR20220086402A (ko) | 클라우드 기반 통합 보안서비스 제공 시스템 | |
Osako et al. | Proactive Defense model based on Cyber threat analysis | |
Mell | Understanding intrusion detection systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |