CN114826715B - 网络防护方法、装置、设备及存储介质 - Google Patents
网络防护方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114826715B CN114826715B CN202210401120.7A CN202210401120A CN114826715B CN 114826715 B CN114826715 B CN 114826715B CN 202210401120 A CN202210401120 A CN 202210401120A CN 114826715 B CN114826715 B CN 114826715B
- Authority
- CN
- China
- Prior art keywords
- chain model
- rule
- request
- score
- service request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000012549 training Methods 0.000 claims description 72
- 238000001914 filtration Methods 0.000 claims description 20
- 230000008569 process Effects 0.000 claims description 16
- 238000007781 pre-processing Methods 0.000 claims description 7
- 238000013507 mapping Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 6
- 230000003111 delayed effect Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 description 17
- 230000006399 behavior Effects 0.000 description 10
- 238000001514 detection method Methods 0.000 description 10
- 230000002159 abnormal effect Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 238000012795 verification Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 239000000523 sample Substances 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 239000010754 BS 2869 Class F Substances 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网络防护方法、装置、设备及存储介质,属于网络安全技术领域。本申请对接收到的业务请求进行分类,得到分类结果;根据所述分类结果获取与所述分类结果匹配的规则链模型,所述规则链模型用于根据预设的安全规则对所述业务请求的安全性进行评估;调用所述规则链模型对所述业务请求进行评分,得到所述业务请求的请求分数;根据所述请求分数,确定所述业务请求相对应的处置方式,即在本申请中,根据不同业务请求的请求分数,确定不同的处置方式,丰富了处置方式,提高了客户端访问效率。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络防护方法、装置、设备及存储介质。
背景技术
随着互联网技术以及互联网应用的发展,SQL(Structured QueryLanguage,结构化查询语言)注入、网页篡改、网页挂马等安全事件频繁发生。WAF(Web ApplicationFirewall,网络应用防护系统)可以解决传统的防火墙无法解决的Web(网络)应用安全问题,WAF的防护原理是对来自Web应用程序客户端的各类请求进行内容检测和验证,确保请求的安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。但现有的WAF的规则策略大多由人工进行配置,对于异常HTTP(Hyper TextTransferProtocol,超文本传输协议)请求的处置方式大部分是进行拦截,对于正常HTTP请求直接放行,处置方式较为单一,导致客户端访问效率较低。
发明内容
本申请的主要目的在于提供一种网络防护方法、装置、设备及存储介质,旨在解决现有技术中异常HTTP请求处置方式单一,导致客户端访问效率较低的问题。
为实现上述目的,本申请提供一种网络防护方法,所述网络防护方法包括以下步骤:
对接收到的业务请求进行分类,得到分类结果;
根据所述分类结果获取与所述分类结果匹配的规则链模型,所述规则链模型用于根据预设的安全规则对所述业务请求的安全性进行评估;
调用所述规则链模型对所述业务请求进行评分,得到所述业务请求的请求分数;
根据所述请求分数,确定所述业务请求相对应的处置方式。
可选地,所述处置方式包括拦截处理、重定向处理、延迟响应处理以及转发至对应的业务服务器处理,根据所述请求分数,确定所述业务请求相对应的处置方式的步骤,包括:
确定所述请求分数所在的分数区间;
根据预设的分数区间与处置方式的映射关系,确定所述业务请求相对应的处置方式。
可选地,所述调用所述规则链模型对所述业务请求进行评分,得到所述业务请求的请求分数的步骤,包括:
利用所述规则链模型中预设的安全规则对所述业务请求的安全性进行评估,确定所述安全规则对应的触碰得分;
根据所述触碰得分、所述安全规则对应的权重占比、所述业务请求的类型常量和所述规则链模型中包含的安全规则个数,确定所述请求分数。
可选地,所述利用所述规则链模型中包含的安全规则对所述业务请求的安全性进行评估的步骤,包括:
基于预设排序规则对所述规则链模型中包含的安全规则进行排序;
利用排序后的安全规则对所述业务请求的安全性进行评估。
可选地,所述对接收到的业务请求进行分类,得到分类结果的步骤,包括:
基于IP类型、设备类型和业务请求接口类型,对接收到的业务请求进行分类,得到分类结果。
可选地,所述根据所述分类结果获取与所述分类结果匹配的规则链模型的步骤之前,还包括:
获取初始规则链模型,对所述初始规则链模型中预设的安全规则进行初始配置;
获取与所述初始规则链模型相匹配的业务请求,作为训练数据集;
调用所述初始规则链模型对所述训练数据集中的业务请求进行评分,得到所述初始规则链模型中预设的安全规则对应的训练触碰得分,以及所述训练数据集中业务请求的训练请求分数;
根据所述训练请求分数的分布信息和所述训练触碰得分的分布信息,对所述初始规则链模型进行动态配置,得到规则链模型。
可选地,所述根据所述训练请求分数的分布信息和所述训练触碰得分的分布信息,对所述初始规则链模型进行动态配置,得到规则链模型的步骤,包括:
根据所述训练请求分数的分布信息,对所述初始规则链模型中预设的安全规则的类型进行动态配置;
根据所述训练触碰得分的分布信息,对所述初始规则链模型中预设的安全规则的参数进行动态配置,得到规则链模型。
此外,为实现上述目的,本申请还提供一种网络防护装置,所述装置包括:
请求预处理模块,用于对接收到的业务请求进行分类,得到分类结果;
请求过滤模块,用于根据所述分类结果获取与所述分类结果匹配的规则链模型,所述规则链模型用于根据预设的安全规则对所述业务请求的安全性进行评估;
评分模块,用于调用所述规则链模型对所述业务请求进行评分,得到所述业务请求的请求分数;
仲裁模块,用于根据所述请求分数,确定所述业务请求相对应的处置方式。
此外,为实现上述目的,本申请还提供一种网络防护设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络防护程序,所述网络防护程序配置为实现如上所述的网络防护方法的步骤。
此外,为实现上述目的,本申请还提供一种存储介质,所述存储介质上存储有网络防护程序,所述网络防护程序被处理器执行时实现如上所述的网络防护方法的步骤。
本申请公开了一种网络防护方法、装置、设备及存储介质,与现有技术中,异常HTTP请求处置方式单一,导致客户端访问效率较低相比,本申请对接收到的业务请求进行分类,得到分类结果;根据所述分类结果获取与所述分类结果匹配的规则链模型,所述规则链模型用于根据预设的安全规则对所述业务请求的安全性进行评估;调用所述规则链模型对所述业务请求进行评分,得到所述业务请求的请求分数;根据所述请求分数,确定所述业务请求相对应的处置方式,即在本申请中,根据不同业务请求的请求分数,确定不同的处置方式,丰富了处置方式,提高了客户端访问效率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例方案涉及的硬件运行环境的网络防护设备的结构示意图;
图2为本申请网络防护方法第一实施例的流程示意图;
图3为本申请网络防护方法的场景示意图;
图4为本申请业务请求为A类时,其对应的规则链模型的结构示意图;
图5为本申请训练请求分数的分布信息统计图;
图6为本申请训练触碰得分的分布信息统计图;
图7为本申请网络防护方法第二实施例的流程示意图;
图8为本申请网络防护装置第一实施例的功能模块示意图;
图9为本申请网络防护装置与客户端和业务服务器的多端交互信令图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本申请实施例方案涉及的硬件运行环境的网络防护设备结构示意图。
如图1所示,该网络防护设备可以包括:处理器1001,例如中央处理器(CentralProcessing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccessMemory,RAM)存储器,也可以是稳定的非易失性存储器(Non-VolatileMemory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对网络防护设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络防护程序。其中,操作系统是管理和控制网络防护设备硬件和软件资源的程序,支持网络防护程序以及其它软件或程序的运行。
在图1所示的网络防护设备中,网络接口1004主要用于与服务器进行数据通信;用户接口1003主要用于与客户端进行数据交互;所述网络防护设备通过处理器1001调用存储器1005中存储的网络防护程序,并执行本申请实施例提供的网络防护方法。
本申请实施例提供了一种网络防护方法,参照图2,图2为本申请网络防护方法第一实施例的流程示意图。
本实施例中,所述网络防护方法包括:
步骤S10、对接收到的业务请求进行分类,得到分类结果;
步骤S20、根据所述分类结果获取与所述分类结果匹配的规则链模型,所述规则链模型用于根据预设的安全规则对所述业务请求的安全性进行评估;
步骤S30、调用所述规则链模型对所述业务请求进行评分,得到所述业务请求的请求分数;
步骤S40、根据所述请求分数,确定所述业务请求相对应的处置方式。
参照图3,图3为本申请网络防护方法的场景示意图。本实施例网络防护方法应用于部署在客户端与业务服务器之间的中间件系统,中间件系统采用分布式架构,采用配置与处理分开部署,包括两个子系统,其一为安全过滤子系统,其一为规则链管理子系统,规则链模型管理子系统和安全过滤子系统之间通过共享缓存,实现消息同步。在本实施例中,用于根据预设的安全规则对所述业务请求的安全性进行评估的规则链模型存储在规则链模型管理子系统中。也就是说,在本实施例中,步骤S10~步骤S40的具体实施过程是在安全过滤子系统中实现的,其中,步骤S30中调用所述规则链模型是从规则链模型管理子系统中调用步骤S20中与分类结果匹配的规则链模型。同时,一个规则链模型管理子系统可以对应多个安全过滤子系统,既满足业务需求,也能动态添加删除安全过滤子系统。
具体步骤如下:
步骤S10、对接收到的业务请求进行分类,得到分类结果。
在本实施例中,通过数据采集探针从客户端获取得到业务请求。
具体地,所述对接收到的业务请求进行分类,得到分类结果,包括:
基于IP(Internet Protocol,网际互连协议)类型、设备类型和业务请求接口类型,对接收到的业务请求进行分类,得到分类结果。
在本实施例中,IP类型包括可疑IP和正常IP;设备类型包括PC(计算机)端和移动端;业务请求接口类型包括非防护型、防护型和防护型。
根据前述IP类型、设备类型和业务请求接口类型,对业务请求进行分类,得到的分类结果可以为:
正常IP——PC端——非防护型接口——A类;
正常IP——PC端——防护型接口——B类;
正常IP——PC端——重点防护型接口——C类;
正常IP——移动端——非防护型接口——D类;
正常IP——移动端——防护型接口——E类;
正常IP——移动端——重点防护型接口——F类;
可疑IP——PC端——非防护型接口——G类;
可疑IP——PC端——防护型接口——H类;
可疑IP——PC端——重点防护型接口——J类;
可疑IP——移动端——非防护型接口——K类;
可疑IP——移动端——防护型接口——L类;
可疑IP——移动端——重点防护型接口——M类。
其中,A类~M类即为业务请求的分类结果。
步骤S20、根据所述分类结果获取与所述分类结果匹配的规则链模型,所述规则链模型用于根据预设的安全规则对所述业务请求的安全性进行评估。
在本实施例中,分类结果与规则链模型名称之间存在映射关系,根据分类结果可查询到与其映射关联的规则链模型名称,再根据规则链模型名称从规则链模型资源池中提取规则链模型,该规则链模型与分类结果相匹配。需要说明的是,规则链模型资源池在本实施例中起到存储的作用。
步骤S30、调用所述规则链模型对所述业务请求进行评分,得到所述业务请求的请求分数。
需要说明的是,规则链模型包括一个或多个安全规则,安全规则包括动态令牌、蜜罐陷阱、高频访问、浏览器驱动验证、用户行为检测、防漏洞扫描、黑名单过滤或白名单过滤。
当规则链模型包括一个安全规则时,具体地,所述调用所述规则链模型对所述业务请求进行评分,得到所述业务请求的请求分数,包括:
步骤S301a、利用所述规则链模型中预设的安全规则对所述业务请求的安全性进行评估,确定所述安全规则对应的触碰得分。
在本实施例中,每一种安全规则对应的触碰得分初始均默认为0,利用安全规则对业务请求的安全性进行评估,若业务请求对安全规则发生触碰,则根据安全规则的类型选取其对应的评分机制,根据评分机制对业务请求进行评分,确定安全规则对应的触碰得分;若业务请求未对安全规则发生触碰,则确定安全规则对应的触碰得分为0。需要说明的是,在本实施例中,每一安全规则都有其对应的事件形态,当业务请求中存在安全规则对应的事件形态时,则该业务请求对安全规则发生了触碰,例如,单位时间内接收到的业务请求中使用了动态令牌,则该业务请求对动态令牌这一安全规则发生了触碰。同样的,每一安全规则都有其对应的事件形态,可以对事件形态进行多层次划分,不同层次的事件形态可以用不同的分数来表征,该分数即为触碰分数,例如,单位时间内接收到业务请求中使用动态令牌的次数可以分为多个区间,每个区间用不同的分数表征。
其中,安全规则对应的评分机制如下:
1)动态令牌
初始设置单一设备单位时间内动态令牌的有效次数为N1次,
若单位时间内动态令牌的使用次数未超过N1次,触碰得分都是0分;
若单位时间内动态令牌的使用次数位于区间N1次-2N1次,触碰得分为10分;
若单位时间内动态令牌的使用次数位于区间2N1次-3N1次,触碰得分为20分;
若单位时间内动态令牌的使用次数位于区间3N1次-4N1次,触碰得分为30分;
…
若单位时间内动态令牌的使用次数位于区间9N1次-10N1次,触碰得分为100分。
2)蜜罐陷阱
在单位时间内,单一设备所有业务请求未触碰蜜罐陷阱规则,触碰得分为0分;
在单位时间内,单一设备所有业务请求触碰蜜罐陷阱规则的次数小于等于N2次,触碰得分为10分;
在单位时间内,单一设备所有业务请求触碰蜜罐陷阱规则的次数小于等于2N2次,触碰得分为20分;
…
在单位时间内,单一设备所有业务请求触碰蜜罐陷阱规则的次数小于等于10N2次,触碰得分为100分。
3)高频访问
初始设置单一设备单位时间内限制访问次数为N3次,
若单位时间内访问次数未超过N3次,触碰得分为0分;
若单位时间内访问次数位于区间N3次-2N3次,触碰得分为10分;
若单位时间内访问次数位于区间2N3次-3N3次,触碰得分为20分;
若单位时间内访问次数位于区间3N3次-4N3次,触碰得分为30分;
…
若单位时间内访问次数位于区间9N3次-10N3次,触碰得分为100分。
4)浏览器驱动验证
验证业务请求是否由驱动设备程序发起请求,
在单位时间内,单一设备所有业务请求都不是由驱动设备程序发起,触碰得分为0分;
在单位时间内,单一设备所有业务请求中有小于等于N4次是由驱动设备程序发起,触碰得分为10分;
在单位时间内,单一设备所有业务请求中有小于等于2N4是由驱动设备程序发起,触碰得分为20分;
…
在单位时间内,单一设备所有业务请求中有小于等于10N4次是由驱动设备程序发起,触碰得分为100分。
5)用户行为检测
在单位时间内,单一设备所有业务请求用户行为都正常,触碰得分为0分;
在单位时间内,单一设备所有业务请求用户行为异常次数小于等于N5次,触碰得分为10分;
在单位时间内,单一设备所有业务请求用户行为异常次数小于等于2N5次,触碰得分为20分;
…
在单位时间内,单一设备所有业务请求用户行为异常次数小于等于10N5次,触碰得分为100分。
6)防漏洞扫描
在单位时间内,单一设备所有业务请求中未有漏洞,触碰得到分为0分;
在单位时间内,单一设备所有业务请求中漏洞个数小于等于N6个,触碰得分为10分;
在单位时间内,单一设备所有业务请求中漏洞个数小于等于2N6个,触碰得分为20分;
…
在单位时间内,单一设备所有业务请求中漏洞个数小于等于10N6个,触碰得分为100分。
7)黑名单过滤
在单位时间内,单一设备所有业务请求用户未在黑名单中,触碰得分为0分;
在单位时间内,单一设备所有业务请求用户位于黑名单中的个数小于等于N7,触碰得分为10分;
在单位时间内,单一设备所有业务请求用户位于黑名单中的个数小于等于3N7,触碰得分为20分;
…
在单位时间内,单一设备所有业务请求用户位于黑名单中的个数小于等于10N7,触碰得分为100分。
8)白名单过滤
在单位时间内,单一设备所有业务请求用户均在白名单中,触碰得分为0分;
在单位时间内,单一设备所有业务请求用户不位于白名单中的个数小于等于N8,触碰得分为10分;
在单位时间内,单一设备所有业务请求用户不位于白名单中的个数小于等于3N8,触碰得分为20分;
…
在单位时间内,单一设备所有业务请求用户不位于白名单中的个数小于等于10N8,触碰得分为100分。
步骤S302a、根据所述触碰得分、所述安全规则对应的权重占比、所述业务请求的类型常量和所述规则链模型中包含的安全规则个数,确定所述请求分数。
在本实施例中,安全规则对应的权重占比为安全规则对应的权重值和规则链模型的总权重值之比,规则链模型的总权重值为规则链模型中各安全规则的权重值之和。当规则链模型中只有一个安全规则链时,安全规则对应的权重占比为1。
需要说明的是,业务请求的类型常量为固定值,例如,在本实施例中,A类的类型常量为1.2,B类的类型常量为1.1,C类的类型常量为1.0,依次类推,L类的类型常量为0.2,M类的类型常量为0.1。另外,当规则链模型中只包括一个安全规则链时,安全规则个数即为1。
因此,当规则链模型中只包括一个安全规则链时,请求分数的计算公式为:
TS=S*e
其中,TS表征请求分数,S表征触碰得分,e表征业务请求的类型常量。
当规则链模型包括多个安全规则时,具体地,所述调用所述规则链模型对所述业务请求进行评分,得到所述业务请求的请求分数,包括:
步骤S301b、基于预设排序规则对所述规则链模型中包含的安全规则进行排序。
具体地,预设排序规则包括根据安全规则对应的权重值的从大到小,对所述安全规则进行排序,其中,若多个安全规则对应的权重值相同,在所述多个安全规则并列排序。
在本实施例中,安全规则对应的权重值为规则链模型自带的,即从规则链模型资源池中提取得到与业务请求匹配的规则链模型时,该模型即包含了安全规则对应的权重值。
参照图4,图4为本申请业务请求为A类时,其对应的规则链模型的结构示意图。在本实施例中,业务请求为A类时,其对应的规则链模型中包含安全规则为动态令牌、防漏洞扫描、浏览器驱动验证和用户行为检测,且动态令牌对应的权重值为10,防漏洞扫描对应的权重值为5,浏览器驱动验证对应的权重值为1,用户行为检测对应的权重值为1,则安全规则的排序为动态令牌、防漏洞扫描、浏览器驱动验证(用户行为检测),其中浏览器驱动验证和用户行为检测并列排序。
步骤S302b、利用排序后的安全规则对所述业务请求的安全性进行评估,确定所述安全规则对应的触碰得分。
例如,在本实施例中,当业务请求为A类时,使用其对应的如图4所示的规则链模型,在规则链模型中安全规则的排序为动态令牌、防漏洞扫描、浏览器驱动验证(用户行为检测),其中浏览器驱动验证和用户行为检测并列排序,则先利用动态令牌对业务请求的安全性进行评估,确定动态令牌对应的触碰得分为90,再利用防漏洞扫描对业务请求的安全性进行评估,确定防漏洞扫描对应的触碰得分为30,最后同时利用浏览器驱动验证和用户行为检测对业务请求的安全性进行评估,确定浏览器驱动验证对应的触碰得分为10和用户行为检测对应的触碰得分为20。
需要说明的是,利用排序后的安全规则对所述业务请求的安全性进行评估,其中,当碰到拥有相同权重值的安全规则,则利用相同权重值的安全规则同时对业务请求的安全性进行评估,大大提升了过滤效率。
步骤S303b、根据所述触碰得分、所述安全规则对应的权重占比、所述业务请求的类型常量和所述规则链模型中包含的安全规则个数,确定所述请求分数。
因此,当规则链模型中包括多个安全规则链时,请求分数的计算公式为:
其中,TS表征请求分数,Si表征各安全规则对应的触碰得分,e表征业务请求的类型常量,N表征规则链模型中包含的安全规则个数,Pi表征各安全规则对应的权重值,T表征规则链模型的总权重值。
步骤S40、根据所述请求分数,确定所述业务请求相对应的处置方式。
在本实施例中,处置方式包括拦截处理、重定向处理、延迟响应处理以及转发至对应的业务服务器处理,具体地,根据所述请求分数,确定所述业务请求相对应的处置方式,包括:
确定所述请求分数所在的分数区间;
根据预设的分数区间与处置方式的映射关系,确定所述业务请求相对应的处置方式。
例如,当所述请求分数位于第一预设范围时,对所述业务请求进行拦截处理;
当所述请求分数位于第二预设范围时,对所述业务请求进行重定向处理;
当所述请求分数位于第三预设范围时,对所述业务请求进行延迟响应处理;
当所述请求范数位于第四预设范围时,将所述业务请求转发至对应的业务服务器处理;
其中,第一预设范围大于第二预设范围,第二预设范围大于第三预设范围,第三预设范围大于第四预设范围。
与现有技术中,异常HTTP请求处置方式单一,导致客户端访问效率较低相比,本实施例对接收到的业务请求进行分类,得到分类结果;根据所述分类结果获取与所述分类结果匹配的规则链模型,所述规则链模型用于根据预设的安全规则对所述业务请求的安全性进行评估;调用所述规则链模型对所述业务请求进行评分,得到所述业务请求的请求分数;根据所述请求分数,确定所述业务请求相对应的处置方式,即在本实施例中,根据不同业务请求的请求分数,确定不同的处置方式,丰富了处置方式,不再对所有异常的业务请求均实施拦截操作,提高了客户端访问效率。
本申请实施例在网络防护方法的第一实施例的基础上,还提供了第二实施例,参照图7,图7为本申请网络防护方法第二实施例的流程示意图。
在本实施例中,所述根据所述分类结果获取与所述分类结果匹配的规则链模型的步骤之前,还包括:
步骤S50、获取初始规则链模型,对所述初始规则链模型中预设的安全规则进行初始配置;
步骤S60、获取与所述初始规则链模型相匹配的业务请求,作为训练数据集;
步骤S70、调用所述初始规则链模型对所述训练数据集中的业务请求进行评分,得到所述初始规则链模型中预设的安全规则对应的训练触碰得分,以及所述训练数据集中业务请求的训练请求分数;
步骤S80、根据所述训练请求分数的分布信息和所述训练触碰得分的分布信息,对所述初始规则链模型进行动态配置,得到规则链模型。
需要说明的是,在本实施例中,规则链资源池中的初始规则链模型的配置是通用化的,并不适合每一用户。用户为了获取到适合自己业务请求的规则链模型,可先根据自身需求对业务请求对应的初始规则链模型中预设的安全规则进行初始配置,例如,初始规则链模型中的安全规则包括高频访问时,可以初始化参数单位时间内限制访问次数,初始规则链模型中的安全规则包括黑名单过滤时,设置黑名单等;然后调用所述初始规则链模型对所述训练数据集中的业务请求进行评分,得到所述初始规则链模型中预设的安全规则对应的训练触碰得分,以及所述训练数据集中业务请求的训练请求分数;最后根据所述训练请求分数的分布信息和所述训练触碰得分的分布信息,对所述初始规则链模型进行动态配置,得到规则链模型。
具体地,所述根据所述训练请求分数的分布信息和所述训练触碰得分的分布信息,对所述初始规则链模型进行动态配置,得到规则链模型,包括:
步骤S81、根据所述训练请求分数的分布信息,对所述初始规则链模型中预设的安全规则的类型进行动态配置;
步骤S82、根据所述训练触碰得分的分布信息,对所述初始规则链模型中预设的安全规则的参数进行动态配置,得到规则链模型。
在本实施例中,若训练请求分数中有超过M%的请求分数集中在第一、第二和第三预设范围内,则对所述初始规则链模型进行安全规则添加操作,保证得到的规则链模型的稳定性;若训练请求分数中有超过M%的请求分数集中在第四预设范围,则对所述初始规则链模型进行安全规则删除操作,提升异常业务请求识别效率。M的值可根据实际需求进行设置,在本实施例中不作具体限制。
例如,参照图5,图5为本申请训练请求分数的分布信息统计图,图5中横坐标为训练请求分数。从图5中可知,训练请求分数集中在第一预设范围(50以上)、第二预设范围内(30-50)和第三预设范围(10-50)内,则可以对初始规则链模型添加一个或多个安全规则。
在本实施例中,对于训练触碰得分最高的安全规则需要对其的规则策略上调,对于训练触碰得分最低的安全规则需要对其的规则策略下调。
例如,参照图6,图6为本申请训练触碰得分的分布信息统计图,图6中横坐标为训练触碰得分。在图6中,纵坐标为次数,横坐标为训练触碰得分。图6中,高频访问对应的训练触碰得分主要集中在90-100分,则说明高频访问对应的训练触碰得分最高,则需要对高频访问这一安全规则单位时间内限制访问次数从m次修改为m+n次,其中m、n均为正整数;动态令牌对应的训练触碰得分主要集中在10-20分,则说明动态令牌对应的训练触碰得分最低,则需要对动态令牌这一安全规则单位时间内有效次数从a次修改为a+b次,其中a、b均为正整数。
本申请实施例还提供了一种网络防护装置,参照图8,图8为本申请网络防护装置第一实施例的功能模块示意图。
在本实施例中,所述网络防护装置,包括:
请求预处理模块10,用于对接收到的业务请求进行分类,得到分类结果;
请求过滤模块20,用于根据所述分类结果获取与所述分类结果匹配的规则链模型,所述规则链模型用于根据预设的安全规则对所述业务请求的安全性进行评估;
评分模块30,用于调用所述规则链模型对所述业务请求进行评分,得到所述业务请求的请求分数;
仲裁模块40,用于根据所述请求分数,确定所述业务请求相对应的处置方式。
所述处置方式包括拦截处理、重定向处理、延迟响应处理以及转发至对应的业务服务器处理,可选地,所述仲裁模块用于实现:
确定所述请求分数所在的分数区间;
根据预设的分数区间与处置方式的映射关系,确定所述业务请求相对应的处置方式。
可选地,所述规则链模型包括安全规则,所述评分模块包括:
第一确定单元,用于利用所述规则链模型中预设的安全规则对所述业务请求的安全性进行评估,确定所述安全规则对应的触碰得分;
第二确定单元,用于根据所述触碰得分、所述安全规则对应的权重占比、所述业务请求的类型常量和所述规则链模型中包含的安全规则个数,确定所述请求分数。
可选地,所述第一确定单元还用于实现:
基于预设排序规则对所述规则链模型中包含的安全规则进行排序;
利用排序后的安全规则对所述业务请求的安全性进行评估。
可选地,所述请求预处理模块用于实现:
基于IP类型、设备类型和业务请求接口类型,对接收到的业务请求进行分类,得到分类结果。
可选地,所述网络防护装置还包括规则链模型管理模块,所述规则链模型管理模块包括:
初始化单元,用于获取初始规则链模型,对所述初始规则链模型中预设的安全规则进行初始配置;
数据获取单元,用于获取与所述初始规则链模型相匹配的业务请求,作为训练数据集;
训练单元,用于调用所述初始规则链模型对所述训练数据集中的业务请求进行评分,得到所述初始规则链模型中预设的安全规则对应的训练触碰得分,以及所述训练数据集中业务请求的训练请求分数;
模型生成单元,用于根据所述训练请求分数的分布信息和所述训练触碰得分的分布信息,对所述初始规则链模型进行动态配置,得到规则链模型。
可选地,所述模型生成单元用于实现:
根据所述训练请求分数的分布信息,对所述初始规则链模型中预设的安全规则的类型进行动态配置;
根据所述训练触碰得分的分布信息,对所述初始规则链模型中预设的安全规则的参数进行动态配置,得到规则链模型。
参照图9,图9为本申请网络防护装置与客户端和业务服务器的多端交互信令图。
在本实施例中,请求预处理模块通过数据采集探针从客户端获取得到业务请求,请求预处理模块、请求过滤模块、评分模块和仲裁模块依次连接、仲裁模块根据请求分数,确定业务请求相对应的处置方式,若处置方式为拦截处理,则仲裁模块将拦截的业务信息反馈至客户端,若处理方式为重定向处理、延迟响应处理以及转发至对应的业务服务器处理中的一种,则仲裁模块将业务信息按照处理方式反馈至业务服务器。需要说明的是,在本实施例中,链模型管理模块还包括用于存储规则链模型的规则链资源池,因此,评分模块需要从规则链资源池中调用规则链模型。
在本实施例中,可以将请求预处理模块、请求过滤模块、评分模块和仲裁模块看作一个安全过滤模块,一个规则链模型管理模块可以对应多个安全过滤模块,既满足业务需求,也能动态添加删除安全过滤模块。其中,规则链模型管理模块和安全过滤模块之间通过共享缓存,实现消息同步。
本申请网络防护装置具体实施方式与上述网络防护方法各实施例基本相同,在此不再赘述。
本申请实施例还提出一种存储介质,所述存储介质上存储有网络防护程序,所述网络防护程序被处理器执行时实现如上所述的网络防护方法的步骤。
本申请存储介质具体实施方式与上述网络防护方法各实施例基本相同,在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种网络防护方法,其特征在于,所述网络防护方法包括以下步骤:
对接收到的业务请求进行分类,得到分类结果;
根据所述分类结果获取与所述分类结果匹配的规则链模型,所述规则链模型用于根据预设的安全规则对所述业务请求的安全性进行评估;
调用所述规则链模型对所述业务请求进行评分,得到所述业务请求的请求分数;
根据所述请求分数,确定所述业务请求相对应的处置方式;
所述根据所述分类结果获取与所述分类结果匹配的规则链模型的步骤之前,还包括:
获取初始规则链模型,对所述初始规则链模型中预设的安全规则进行初始配置;
获取与所述初始规则链模型相匹配的业务请求,作为训练数据集;
调用所述初始规则链模型对所述训练数据集中的业务请求进行评分,得到所述初始规则链模型中预设的安全规则对应的训练触碰得分,以及所述训练数据集中业务请求的训练请求分数;
根据所述训练请求分数的分布信息和所述训练触碰得分的分布信息,对所述初始规则链模型进行动态配置,得到规则链模型。
2.如权利要求1所述的网络防护方法,其特征在于,所述处置方式包括拦截处理、重定向处理、延迟响应处理以及转发至对应的业务服务器处理,根据所述请求分数,确定所述业务请求相对应的处置方式的步骤,包括:
确定所述请求分数所在的分数区间;
根据预设的分数区间与处置方式的映射关系,确定所述业务请求相对应的处置方式。
3.如权利要求1所述的网络防护方法,其特征在于,所述调用所述规则链模型对所述业务请求进行评分,得到所述业务请求的请求分数的步骤,包括:
利用所述规则链模型中预设的安全规则对所述业务请求的安全性进行评估,确定所述安全规则对应的触碰得分;
根据所述触碰得分、所述安全规则对应的权重占比、所述业务请求的类型常量和所述规则链模型中包含的安全规则个数,确定所述请求分数。
4.如权利要求3所述的网络防护方法,其特征在于,所述利用所述规则链模型中包含的安全规则对所述业务请求的安全性进行评估的步骤,包括:
基于预设排序规则对所述规则链模型中包含的安全规则进行排序;
利用排序后的安全规则对所述业务请求的安全性进行评估。
5.如权利要求1所述的网络防护方法,其特征在于,所述对接收到的业务请求进行分类,得到分类结果的步骤,包括:
基于IP类型、设备类型和业务请求接口类型,对接收到的业务请求进行分类,得到分类结果。
6.如权利要求1所述的网络防护方法,其特征在于,所述根据所述训练请求分数的分布信息和所述训练触碰得分的分布信息,对所述初始规则链模型进行动态配置,得到规则链模型的步骤,包括:
根据所述训练请求分数的分布信息,对所述初始规则链模型中预设的安全规则的类型进行动态配置;
根据所述训练触碰得分的分布信息,对所述初始规则链模型中预设的安全规则的参数进行动态配置,得到规则链模型。
7.一种网络防护装置,其特征在于,所述装置包括:
请求预处理模块,用于对接收到的业务请求进行分类,得到分类结果;
请求过滤模块,用于根据所述分类结果获取与所述分类结果匹配的规则链模型,所述规则链模型用于根据预设的安全规则对所述业务请求的安全性进行评估;
评分模块,用于调用所述规则链模型对所述业务请求进行评分,得到所述业务请求的请求分数;
仲裁模块,用于根据所述请求分数,确定所述业务请求相对应的处置方式;
所述网络防护装置还用于实现:
获取初始规则链模型,对所述初始规则链模型中预设的安全规则进行初始配置;
获取与所述初始规则链模型相匹配的业务请求,作为训练数据集;
调用所述初始规则链模型对所述训练数据集中的业务请求进行评分,得到所述初始规则链模型中预设的安全规则对应的训练触碰得分,以及所述训练数据集中业务请求的训练请求分数;
根据所述训练请求分数的分布信息和所述训练触碰得分的分布信息,对所述初始规则链模型进行动态配置,得到规则链模型。
8.一种网络防护设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络防护程序,所述网络防护程序配置为实现如权利要求1至6中任一项所述的网络防护方法的步骤。
9.一种存储介质,其特征在于,所述存储介质上存储有网络防护程序,所述网络防护程序被处理器执行时实现如权利要求1至6中任一项所述的网络防护方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210401120.7A CN114826715B (zh) | 2022-04-15 | 2022-04-15 | 网络防护方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210401120.7A CN114826715B (zh) | 2022-04-15 | 2022-04-15 | 网络防护方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114826715A CN114826715A (zh) | 2022-07-29 |
CN114826715B true CN114826715B (zh) | 2024-03-22 |
Family
ID=82536622
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210401120.7A Active CN114826715B (zh) | 2022-04-15 | 2022-04-15 | 网络防护方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114826715B (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109389457A (zh) * | 2018-08-20 | 2019-02-26 | 深圳壹账通智能科技有限公司 | 申请收款权限的入网方法、装置、设备及可读存储介质 |
CN110322093A (zh) * | 2018-03-30 | 2019-10-11 | 阿里巴巴集团控股有限公司 | 信息处理方法、信息显示方法、装置及计算设备 |
CN110691084A (zh) * | 2019-09-27 | 2020-01-14 | 武汉极意网络科技有限公司 | 风控规则引擎的适配方法及装置 |
CN110881051A (zh) * | 2019-12-24 | 2020-03-13 | 深信服科技股份有限公司 | 安全风险事件处理方法、装置、设备及存储介质 |
WO2020181599A1 (zh) * | 2019-03-08 | 2020-09-17 | 网宿科技股份有限公司 | 一种模型应用方法、管理方法、系统及服务器 |
CN113283906A (zh) * | 2021-05-24 | 2021-08-20 | 国家电网有限公司客户服务中心 | 基于设备指纹的支付购电风险监测方法及装置 |
WO2021168617A1 (zh) * | 2020-02-24 | 2021-09-02 | 深圳市欢太科技有限公司 | 业务风控处理方法、装置、电子设备以及存储介质 |
CN113395237A (zh) * | 2020-03-12 | 2021-09-14 | 中国电信股份有限公司 | 攻击检测方法及装置、计算机可存储介质 |
CN113645233A (zh) * | 2021-08-10 | 2021-11-12 | 康键信息技术(深圳)有限公司 | 流量数据的风控智能决策方法、装置、电子设备和介质 |
CN113992430A (zh) * | 2021-12-24 | 2022-01-28 | 北京微步在线科技有限公司 | 一种失陷处理方法及装置 |
CN114021040A (zh) * | 2021-11-15 | 2022-02-08 | 北京华清信安科技有限公司 | 基于业务访问的恶意事件的告警及防护方法和系统 |
CN114022196A (zh) * | 2021-10-21 | 2022-02-08 | 杭州友电科技有限公司 | 广告投放方法、装置、电子装置和存储介质 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9866426B2 (en) * | 2009-11-17 | 2018-01-09 | Hawk Network Defense, Inc. | Methods and apparatus for analyzing system events |
WO2014138468A1 (en) * | 2013-03-07 | 2014-09-12 | Prostim Labs, Llc | Fracturing systems and methods for a wellbore |
US9407645B2 (en) * | 2014-08-29 | 2016-08-02 | Accenture Global Services Limited | Security threat information analysis |
CA3007844C (en) * | 2015-12-11 | 2021-06-22 | Servicenow, Inc. | Computer network threat assessment |
US20170185904A1 (en) * | 2015-12-29 | 2017-06-29 | 24/7 Customer, Inc. | Method and apparatus for facilitating on-demand building of predictive models |
US10122762B2 (en) * | 2016-06-15 | 2018-11-06 | Empow Cyber Security Ltd. | Classification of security rules |
US11509692B2 (en) * | 2017-07-13 | 2022-11-22 | Cybereason Inc. | Creation and optimization of security applications for cyber threats detection, investigation and mitigation |
-
2022
- 2022-04-15 CN CN202210401120.7A patent/CN114826715B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110322093A (zh) * | 2018-03-30 | 2019-10-11 | 阿里巴巴集团控股有限公司 | 信息处理方法、信息显示方法、装置及计算设备 |
CN109389457A (zh) * | 2018-08-20 | 2019-02-26 | 深圳壹账通智能科技有限公司 | 申请收款权限的入网方法、装置、设备及可读存储介质 |
WO2020181599A1 (zh) * | 2019-03-08 | 2020-09-17 | 网宿科技股份有限公司 | 一种模型应用方法、管理方法、系统及服务器 |
CN110691084A (zh) * | 2019-09-27 | 2020-01-14 | 武汉极意网络科技有限公司 | 风控规则引擎的适配方法及装置 |
CN110881051A (zh) * | 2019-12-24 | 2020-03-13 | 深信服科技股份有限公司 | 安全风险事件处理方法、装置、设备及存储介质 |
WO2021168617A1 (zh) * | 2020-02-24 | 2021-09-02 | 深圳市欢太科技有限公司 | 业务风控处理方法、装置、电子设备以及存储介质 |
CN113395237A (zh) * | 2020-03-12 | 2021-09-14 | 中国电信股份有限公司 | 攻击检测方法及装置、计算机可存储介质 |
CN113283906A (zh) * | 2021-05-24 | 2021-08-20 | 国家电网有限公司客户服务中心 | 基于设备指纹的支付购电风险监测方法及装置 |
CN113645233A (zh) * | 2021-08-10 | 2021-11-12 | 康键信息技术(深圳)有限公司 | 流量数据的风控智能决策方法、装置、电子设备和介质 |
CN114022196A (zh) * | 2021-10-21 | 2022-02-08 | 杭州友电科技有限公司 | 广告投放方法、装置、电子装置和存储介质 |
CN114021040A (zh) * | 2021-11-15 | 2022-02-08 | 北京华清信安科技有限公司 | 基于业务访问的恶意事件的告警及防护方法和系统 |
CN113992430A (zh) * | 2021-12-24 | 2022-01-28 | 北京微步在线科技有限公司 | 一种失陷处理方法及装置 |
Non-Patent Citations (2)
Title |
---|
动态自适应入侵检测模型研究;蒋亚虎;;软件导刊(03);全文 * |
网络入侵检测系统规则链表的优化研究;赵旭;王伟;陈亮;;计算机工程与应用(20);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114826715A (zh) | 2022-07-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7167240B6 (ja) | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム | |
US11714906B2 (en) | Reducing threat detection processing by applying similarity measures to entropy measures of files | |
RU2622870C2 (ru) | Система и способ оценки опасности веб-сайтов | |
US9985978B2 (en) | Method and system for misuse detection | |
CN105553917B (zh) | 一种网页漏洞的检测方法和系统 | |
US9065826B2 (en) | Identifying application reputation based on resource accesses | |
US9374386B2 (en) | Application malware filtering for advertising networks | |
CN103685575B (zh) | 一种基于云架构的网站安全监控方法 | |
US9386078B2 (en) | Controlling application programming interface transactions based on content of earlier transactions | |
US8370407B1 (en) | Systems providing a network resource address reputation service | |
EP3264720B1 (en) | Using dns communications to filter domain names | |
CN108664793B (zh) | 一种检测漏洞的方法和装置 | |
US20020120853A1 (en) | Scripted distributed denial-of-service (DDoS) attack discrimination using turing tests | |
US20110185436A1 (en) | Url filtering based on user browser history | |
JP2017503288A (ja) | 自動sdk受容 | |
US20140196144A1 (en) | Method and Apparatus for Detecting Malicious Websites | |
US10366223B2 (en) | Methods and apparatus for restricting batch requests for service | |
CN107360198B (zh) | 可疑域名检测方法及系统 | |
US9336396B2 (en) | Method and system for generating an enforceable security policy based on application sitemap | |
US20210344693A1 (en) | URL risk analysis using heuristics and scanning | |
US8701196B2 (en) | System, method and computer program product for obtaining a reputation associated with a file | |
US11593502B2 (en) | Detecting behavioral anomalies in user-data access logs | |
CN106209907B (zh) | 一种检测恶意攻击的方法及装置 | |
RU2327214C2 (ru) | Системы и способы предотвращения вторжения для сетевых серверов | |
CN106341377A (zh) | 一种Web服务器免受攻击的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |