CN114900333B - 一种多区域安全防护方法、装置、设备及可读存储介质 - Google Patents
一种多区域安全防护方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN114900333B CN114900333B CN202210395391.6A CN202210395391A CN114900333B CN 114900333 B CN114900333 B CN 114900333B CN 202210395391 A CN202210395391 A CN 202210395391A CN 114900333 B CN114900333 B CN 114900333B
- Authority
- CN
- China
- Prior art keywords
- security
- rasp
- adapter
- controlling
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种多区域安全防护方法、装置、设备及可读存储介质,根据RASP分布式架构划分应用域,在子区域的不同应用程序中加载安全探针,并控制RASP适配器向所述安全探针发送安全检测规则以及相应配置指令;当安全探针检测到安全漏洞信息时,控制RASP适配器与网关进行交互,并将安全漏洞信息通过网关发送至主区域的服务器;通过服务器将安全漏洞信息汇总,发送至域级终端;基于主区域的业务需求,通过域级终端发布相应安全规则,并控制RASP适配器根据相应安全规则进行安全防护。通过申请方案的实施,根据子区域和主区域的双重安全规则,以及客户根据业务需求对安全规则的灵活变更,从而进行有效的多区域安全防护。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种多区域安全防护方法、装置、设备及可读存储介质。
背景技术
现在的web应用安全防护基本上都是基于单一的安全检测方法或技术,例如DAST(动态应用程序安全测试),SAST(静态应用程序安全测试)和IAST(交互式应用程序安全测试),这些技术的缺点在于:只是应用在web应用的测试和开发阶段,没法在产线上进行应用实时防护;有些检测方法如SAST还需要产品的源码,这样对知识产权的代码的机密保护上存在隐私保护的问题。
目前的基于RASP(Runtime Application Self-Protection,实时应用程序自我保护)形成的专利基本上都是使用WAF(web application fire ware,web应用防火墙)的规则匹配和硬件相结合,如基于RASP的防火墙。这些技术大部分是基于硬件相结合,从分析网络流量的角度出发,没有真正的深入到应用的代码级别,安全漏洞信息来源单一化,不能全面、及时的保护web应用的安全,安全防护规则单一,缺乏灵活变更能力。
发明内容
本申请实施例提供了一种多区域安全防护方法、装置、设备及可读存储介质,至少能够解决相关技中安全防护规则单一,缺乏灵活变更能力的问题。
本申请实施例第一方面提供了一种多区域安全防护方法,包括:
根据RASP分布式架构划分应用域,在子区域的不同应用程序中加载安全探针,并控制RASP适配器向所述安全探针发送安全检测规则以及相应配置指令;其中,划分的所述应用域包括:主区域以及子区域;所述安全检测规则以及所述相应配置指令用于所述安全探针进行安全漏洞检测;
当所述安全探针检测到安全漏洞信息时,控制所述RASP适配器与网关进行交互,并将所述安全漏洞信息通过所述网关发送至主区域的RASP服务器;
通过所述RASP服务器将所述安全漏洞信息进行汇总,并发送至域级终端;
基于所述主区域的相关业务需求,通过所述域级终端发布相应安全规则,并控制所述RASP适配器根据所述相应安全规则进行安全防护。
本申请实施例第二方面提供了一种多区域安全防护装置,包括:
通信模块,用于根据RASP分布式架构划分应用域,在子区域的不同应用程序中加载安全探针,并控制RASP适配器向所述安全探针发送安全检测规则以及相应配置指令;其中,划分的所述应用域包括:主区域以及子区域;所述安全检测规则以及所述相应配置指令用于所述安全探针进行安全漏洞检测;
交互模块,用于当所述安全探针检测到安全漏洞信息时,控制所述RASP适配器与网关进行交互,并将所述安全漏洞信息通过所述网关发送至主区域的RASP服务器;
发送模块,用于通过所述RASP服务器将所述安全漏洞信息进行汇总,并发送至域级终端;
防护模块,用于基于所述主区域的相关业务需求,通过所述域级终端发布相应安全规则,并控制所述RASP适配器根据所述相应安全规则进行安全防护。
本申请实施例第三方面提供了一种电子设备,其特征在于,包括存储器及处理器,其中,所述处理器用于执行存储在所述存储器上的计算机程序,所述处理器执行所述计算机程序时上述本申请实施例第一方面提供的多区域安全防护方法中的各步骤。
本申请实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时,实现上述本申请实施例第一方面提供的多区域安全防护方法中的各步骤。
由上可见,根据本申请方案所提供的多区域安全防护方法、装置、设备及可读存储介质,根据RASP分布式架构划分应用域,在子区域的不同应用程序中加载安全探针,并控制RASP适配器向所述安全探针发送安全检测规则以及相应配置指令;其中,划分的所述应用域包括:主区域以及子区域;所述安全检测规则以及所述相应配置指令用于所述安全探针进行安全漏洞检测;当所述安全探针检测到安全漏洞信息时,控制所述RASP适配器与网关进行交互,并将所述安全漏洞信息通过所述网关发送至主区域的RASP服务器;通过所述RASP服务器将所述安全漏洞信息进行汇总,并发送至域级终端;基于所述主区域的相关业务需求,通过所述域级终端发布相应安全规则,并控制所述RASP适配器根据所述相应安全规则进行安全防护。通过本申请方案的实施,根据RASP分布式架构对客户的应用程序进行多区域划分,在通过安全探针检测到安全漏洞之后,根据子区域和主区域的双重安全规则,以及客户根据自身业务需求对安全规则的灵活变更,从而进行有效的多区域安全防护。
附图说明
图1为本申请第一实施例提供的多区域安全防护方法的基本流程示意图;
图2为本申请第一实施例提供的多区域安全防护系统示意图;
图3为本申请第二实施例提供的多区域安全防护方法的细化流程示意图;
图4为本申请第三实施例提供的多区域安全防护装置的程序模块示意图;
图5为本申请第四实施例提供的电子设备的结构示意图。
具体实施方式
为使得本申请的发明目的、特征、优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而非全部实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了解决相关技术中安全防护规则单一,缺乏灵活变更能力的问题,本申请第一实施例提供了一种多区域安全防护方法,如图1为本实施例提供的多区域安全防护方法的基本流程图,该多区域安全防护方法包括以下的步骤:
步骤101、根据RASP分布式架构划分应用域,在子区域的不同应用程序中加载安全探针,并控制RASP适配器向安全探针发送安全检测规则以及相应配置指令。
具体的,在实际应用中,现有的web应用安全防护大部分是基于硬件相结合,从分析网络流量的角度出发,没有真正的深入到应用的代码级别,并且所保护的对象往往是单一区域内的应用程序。在本实施例中,如图2所示为本实施例提供的多区域安全防护系统示意图,根据RASP分布式结构划分应用域,将一个应用域划分为一个主区域和多个子区域,主区域为应用域的Level 1层,子区域为应用域的Level 2层,子区域中包括一个或多个需要保护的应用程序,在子区域的不同应用程序中加载安全探针,将安全探针融入到应用的代码中,通过RASP适配器与安全探针进行实时通信,其中,RASP适配器可以对安全探针下发安全检测规则以及相应的配置指令,安全检测规则用于安全探针进行安全漏洞检测,应当说明的是,由于安全探针是加载在应用的代码中,因此即便应用程序还在测试和开发阶段,也能对应用程序进行实时的安全保护。
在本实施例一种可选的实施方式中,控制RASP适配器向安全探针发送安全检测规则以及相应配置指令的步骤,包括:根据应用程序的安全等级选择安全检测规则以及相应配置指令;若应用程序的安全等级高于预设安全等级阈值时,控制RASP适配器与对应安全探针进行一对一实时通信;若应用程序的安全等级低于或等于预设安全等级阈值时,控制RASP适配器与对应安全探针进行一对多实时通信。
具体的,在本实施例中,控制RASP适配器根据应用程序的安全等级选择安全检测规则以及相应配置指令,其中,安全等级可以理解为风险承受能力,例如公司的财务部门重要程度高,若是被安全漏洞侵入则可能造成巨大损失,承受能力较低,所以对应的安全检测规则需要相对严格,而技术部门专门应对各种安全攻击事件,有时还需要根据业务需求放过对某些安全漏洞的检测,承受能力较高,所以安全检测规则相对于其它部门较为放松。另外,配置指令包括但不限于RASP适配器与安全探针的通信模式,若应用程序的安全等级高于预设安全等级阈值时,控制RASP适配器与对应安全探针进行一对一实时通信;若应用程序的安全等级低于或等于预设安全等级阈值时,控制RASP适配器与对应安全探针进行一对多实时通信,灵活控制RASP适配器与安全探针的通信模式,有利于提高RASP适配器与安全探针的通信效率,减少不必要的资源浪费。
在本实施例一种可选的实施方式中,控制RASP适配器向安全探针发送安全检测规则以及相应配置指令的步骤之后,还包括:通过子区域的Portal端对安全探针进行实时监控,并控制安全探针将检测的安全信息实时同步到Portal端;根据Portal端向安全探针发送需要保护的安全漏洞信息,并对相应的安全漏洞进行不同层次的安全防护。具体的,在本实施例中,Portal端为应用安全员对安全探针进行监控的应用终端,应用安全员可以在应用域的Level 2层对探针进行实时监控,同时探针端安全信息可以实时同步到Portal端,应用安全员可以通过Portal端向探针发送所要防护的安全漏洞信息,并可以选择是对这些安全漏洞在不同层次上进行防护,其中包括但不限于攻击阻断、攻击上报和写入日志等模式。探针在web容器中,根据Portal端发送的指令,对安全漏洞进行精准的操作,并根据用户的在攻击阻断、攻击上报还是写入日志的选择,实时的将安全漏洞的信息汇报给Portal端,并在后台server端展示攻击事件的实时情况。应当说明的是,本实施例的安全防护包括该阶段根据应用安全员指定的安全漏洞信息的一级安全防护、根据网关针对安全漏洞信息的安全配置进行的二级安全防护以及根据域级安全员基于相关业务需求发布的安全规则进行的安全防护。
步骤102、当安全探针检测到安全漏洞信息时,控制RASP适配器与网关进行交互,并将安全漏洞信息通过网关发送至主区域的RASP服务器。
具体的,在实际应用中,网关(GateWay)往往只起到信息的传递作用。在本实施例中,如图2所示,当安全探针检测到安全漏洞信息时,RASP适配器会与网关率先进行交互,确定安全漏洞信息中网关可以放通的安全漏洞以及需要防护的安全漏洞,并将安全漏洞信息通过网关发送至主区域的RASP服务器。
在本实施例一种可选的实施方式中,控制RASP适配器与网关进行交互的步骤,包括:当RASP适配器获取到安全漏洞信息时,控制RASP适配器访问网关针对安全漏洞信息的安全配置;若在安全漏洞信息中存在对应于安全漏洞白名单的第一安全漏洞,则允许包含第一安全漏洞的访问请求进行访问;若在安全漏洞信息中存在对应于安全漏洞黑名单的第二安全漏洞,则拒绝包含第二安全漏洞的访问请求进行访问。
具体的,在本实施例的网关中设置针对安全漏洞信息的安全配置,包括安全漏洞白名单以及安全漏洞黑名单,安全漏洞白名单是根据业务需求允许访问的安全漏洞的集合,而安全漏洞黑名单则是已知的对客户应用程序存在安全隐患的安全漏洞的集合,当RASP适配器获取到安全漏洞信息时,控制RASP适配器访问网关的安全配置,若在安全漏洞信息中存在对应于安全漏洞白名单的第一安全漏洞,则允许包含第一安全漏洞的访问请求进行访问,若在安全漏洞信息中存在对应于安全漏洞黑名单的第二安全漏洞,则拒绝包含第二安全漏洞的访问请求进行访问,通过RASP适配器与网关进行实时互动融合,能够提高对安全漏洞的检测效率。
在本实施例一种可选的实施方式中,将安全漏洞信息通过网关发送至主区域的RASP服务器的步骤,包括:根据路由模式部署负载均衡设备;控制网关在转发安全漏洞信息时,经过负载均衡设备之后再发送至主区域的RASP服务器。
具体的,在本实施例中,直接在服务器和外部网络间安装负载均衡设备,由于专门的设备完成专门的任务,独立于操作系统,整体性能得到大量提高,加上多样化的负载均衡策略,智能化的流量管理,可达到最佳的负载均衡需求,而负载均衡的部署模式包括路由模式、桥接模式、服务直接返回模式,在本实施例中采用路由模式进行部署,网关必须设置成负载均衡机的LAN口地址,且与WAN口分署不同的逻辑网络。因此所有返回的流量也都经过负载均衡。这种方式对网络的改动小,能均衡任何下行流量,在多个子区域的网关接收到安全漏洞信息并向RASP服务器发送时,必须经过负载均衡设备之后再发送至主区域的RASP服务器,能够解决高并发带来的压力、提高服务器处理性能、提供故障转移,提高网络的可用性和通过添加或减少服务器数量,提供网站灵活性。
步骤103、通过RASP服务器将安全漏洞信息进行汇总,并发送至域级终端。
具体的,在本实施例中,在Level 1层中RASP server通过网关进行安全信息同步汇总,从而在本地将安全漏洞信息进行汇总呈现给域级安全员。
步骤104、基于主区域的相关业务需求,通过域级终端发布相应安全规则,并控制RASP适配器根据相应安全规则进行安全防护。
具体的,在本实施例中,域级终端为域级安全员所使用的相应终端设备,在接收到安全漏洞信息之后,域级安全员会根据主区域的相关业务需求,通过域级终端向RASP适配器发布以及网关发布相应的安全规则,RASP适配器在接收到相应安全规则之后,会根据相应安全规则控制安全探针对应用程序进行安全防护。
在本实施例一种可选的实施方式中,控制RASP适配器根据相应安全规则进行安全防护的步骤,包括:根据相应安全规则,更新RASP适配器中针对安全漏洞防护的配置信息,并根据更新后的配置信息对不同应用程序进行安全防护。
具体的,在本实施例中,RASP适配器在接收到RASP服务器发送的相应安全规则之后,会查询相应安全规则中关于安全漏洞防护的配置信息,并与自身的配置信息进行比较,若在PASR服务器的相应安全规则中存在RASP适配器的安全漏洞配置信息中不存在的配置信息,则更新RASP适配器中针对安全漏洞防护的配置信息,并根据更新后的配置信息对不同应用程序进行安全防护,通过不断优化RASP适配器的配置信息以及根据相关业务需求更新安全检测规则,能够有效提高安全漏洞检测效率。
在本实施例一种可选的实施方式中,控制RASP适配器根据相应安全规则进行安全防护的步骤之后,还包括:根据汇总的安全漏洞信息,设置在不同子区域的RASP适配器中的第一通用安全规则;通过查询安全规则配置表获取,获取所有RASP适配器的安全规则配置信息;根据安全规则配置信息控制RASP服务器向对应RASP适配器发布第二通用安全规则。
具体的,在本实施例中,RASP服务器会根据汇总的安全漏洞信息查询每个子区域的RASP适配器发送的安全漏洞信息,并针对所有出现过的安全漏洞设置第一通用安全规则,通过查询不同子区域的RASP适配器的安全规则配置表,获取所有RASP适配器的安全规则配置信息,并将第一通用安全规则与安全规则配置信息进行比对,确定安全规则配置信息中相对于第一通用安全规则缺少的安全规则,定义为第二通用安全规则,将缺少的第二通用安全规则发送至对应的RASP适配器,并控制对应RASP适配器根据第二通用安全规则更新安全规则配置,能够有效防止在相同的业务需求下,不同子区域的RASP适配器针对同一安全漏洞重复的向RASP服务器发送安全漏洞信息,提高对安全漏洞的防护效率。
基于上述申请的实施例方案,根据RASP分布式架构划分应用域,在子区域的不同应用程序中加载安全探针,并控制RASP适配器向安全探针发送安全检测规则以及相应配置指令;其中,划分的应用域包括:主区域以及子区域;安全检测规则以及相应配置指令用于安全探针进行安全漏洞检测;当安全探针检测到安全漏洞信息时,控制RASP适配器与网关进行交互,并将安全漏洞信息通过网关发送至主区域的RASP服务器;通过RASP服务器将安全漏洞信息进行汇总,并发送至域级终端;基于主区域的相关业务需求,通过域级终端发布相应安全规则,并控制RASP适配器根据相应安全规则进行安全防护。通过本申请方案的实施,根据RASP分布式架构对客户的应用程序进行多区域划分,在通过安全探针检测到安全漏洞之后,根据子区域和主区域的双重安全规则,以及客户根据自身业务需求对安全规则的灵活变更,从而进行有效的多区域安全防护。
图3中的方法为本申请第二实施例提供的一种细化的多区域安全防护方法,该多区域安全防护方法包括:
步骤301、根据RASP分布式架构划分应用域,在子区域的不同应用程序中加载安全探针。
步骤302、根据RASP适配器发送的安全检测规则以及相应配置指令控制安全探针进行安全漏洞检测。
步骤303、当RASP适配器获取到安全探针检测的安全漏洞信息时,将安全漏洞信息通过网关发送至主区域的RASP服务器。
步骤304、通过RASP服务器将安全漏洞信息进行汇总,并发送至域级终端。
步骤305、根据域级终端基于主区域的相关业务需求发送的操作指令,发布相应安全规则。
步骤306、根据相应安全规则更新RASP适配器中针对安全漏洞防护的配置信息,并根据更新后的配置信息对不同应用程序进行安全防护。
根据本申请方案所提供的多区域安全防护方法,根据RASP分布式架构划分应用域,在子区域的不同应用程序中加载安全探针;根据RASP适配器发送的安全检测规则以及相应配置指令控制安全探针进行安全漏洞检测;当RASP适配器获取到安全探针检测的安全漏洞信息时,将安全漏洞信息通过网关发送至主区域的RASP服务器;通过RASP服务器将安全漏洞信息进行汇总,并发送至域级终端;域级终端根据主区域的相关业务需求,发布相应安全规则;根据相应安全规则更新RASP适配器中针对安全漏洞防护的配置信息,并根据更新后的配置信息对不同应用程序进行安全防护。通过本申请方案的实施,根据RASP分布式架构对客户的应用程序进行多区域划分,在通过安全探针检测到安全漏洞之后,根据子区域和主区域的双重安全规则,以及客户根据自身业务需求对安全规则的灵活变更,从而进行有效的多区域安全防护。
图4为本申请第三实施例提供的一种多区域安全防护装置,该多区域安全防护装置可用于实现前述实施例中的多区域安全防护方法。如图4所示,该多区域安全防护装置主要包括:
通信模块401,用于根据RASP分布式架构划分应用域,在子区域的不同应用程序中加载安全探针,并控制RASP适配器向安全探针发送安全检测规则以及相应配置指令;其中,划分的应用域包括:主区域以及子区域;安全检测规则以及相应配置指令用于安全探针进行安全漏洞检测;
交互模块402,用于当安全探针检测到安全漏洞信息时,控制RASP适配器与网关进行交互,并将安全漏洞信息通过网关发送至主区域的RASP服务器;
发送模块403,用于通过RASP服务器将安全漏洞信息进行汇总,并发送至域级终端;
防护模块404,用于基于主区域的相关业务需求,通过域级终端发布相应安全规则,并控制RASP适配器根据相应安全规则进行安全防护。
在本实施例一种可选的实施方式中,通信模块具体用于:控制RASP适配器根据应用程序的安全等级选择安全检测规则以及相应配置指令;若应用程序的安全等级高于预设安全等级阈值时,控制RASP适配器单独向对应安全探针发送安全检测规则以及相应配置指令;若应用程序的安全等级低于或等于预设安全等级阈值时,控制RASP适配器向多个对应安全探针发送安全检测规则以及相应配置指令。
在本实施例一种可选的实施方式中,该多区域安全防护装置还包括:监控模块。监控模块用于:通过子区域的Portal端对安全探针进行实时监控,并控制安全探针将检测的安全信息实时同步到Portal端;Portal端为应用安全员对安全探针进行监控的应用终端。发送模块还用于:根据Portal端向安全探针发送需要保护的安全漏洞信息,并对相应的安全漏洞进行不同层次的安全防护。
在本实施例一种可选的实施方式中,交互模块具体用于:当RASP适配器获取到安全漏洞信息时,控制RASP适配器访问网关针对安全漏洞信息的安全配置;其中,安全配置包括:安全漏洞白名单以及安全漏洞黑名单;若在安全漏洞信息中存在对应于安全漏洞白名单的第一安全漏洞,则允许包含第一安全漏洞的访问请求进行访问;若在安全漏洞信息中存在对应于安全漏洞黑名单的第二安全漏洞,则拒绝包含第二安全漏洞的访问请求进行访问。
在本实施例一种可选的实施方式中,交互装置在执行将安全漏洞信息通过网关发送至主区域的RASP服务器的功能时,具体用于:根据路由模式部署负载均衡设备;控制网关在转发安全漏洞信息时,经过负载均衡设备之后再发送至主区域的RASP服务器。
在本实施实力一种可选的实施方式中,防护模块具有用于:根据相应安全规则,更新RASP适配器中针对安全漏洞防护的配置信息,并根据更新后的配置信息对不同应用程序进行安全防护。
在本实施例一种可选的实施方式中,该多区域安全防护装置还包括:设置模块、获取模块、发布模块。设置模块用于:根据汇总的安全漏洞信息,设置在不同子区域的RASP适配器中的第一通用安全规则。获取模块用于:通过查询安全规则配置表获取,获取所有RASP适配器的安全规则配置信息。发布模块用于:根据安全规则配置信息控制RASP服务器向对应RASP适配器发布第二通用安全规则;其中,第二通用安全规则为安全规则配置信息相对于第一通用安全规则缺少的安全规则。
根据本申请方案所提供的多区域安全防护装置,根据RASP分布式架构划分应用域,在子区域的不同应用程序中加载安全探针,并控制RASP适配器向安全探针发送安全检测规则以及相应配置指令;其中,划分的应用域包括:主区域以及子区域;安全检测规则以及相应配置指令用于安全探针进行安全漏洞检测;当安全探针检测到安全漏洞信息时,控制RASP适配器与网关进行交互,并将安全漏洞信息通过网关发送至主区域的RASP服务器;通过RASP服务器将安全漏洞信息进行汇总,并发送至域级终端;基于主区域的相关业务需求,通过域级终端发布相应安全规则,并控制RASP适配器根据相应安全规则进行安全防护。通过本申请方案的实施,根据RASP分布式架构对客户的应用程序进行多区域划分,在通过安全探针检测到安全漏洞之后,根据子区域和主区域的双重安全规则,以及客户根据自身业务需求对安全规则的灵活变更,从而进行有效的多区域安全防护。
图5为本申请第四实施例提供的一种电子设备。该电子设备可用于实现前述实施例中的多区域安全防护方法,主要包括:
存储器501、处理器502及存储在存储器501上并可在处理器502上运行的计算机程序503,存储器501和处理器502通过通信连接。处理器502执行该计算机程序503时,实现前述实施例中的多区域安全防护方法。其中,处理器的数量可以是一个或多个。
存储器501可以是高速随机存取记忆体(RAM,Random Access Memory)存储器,也可为非不稳定的存储器(non-volatile memory),例如磁盘存储器。存储器501用于存储可执行程序代码,处理器502与存储器501耦合。
进一步的,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质可以是设置于上述各实施例中的电子设备中,该计算机可读存储介质可以是前述图5所示实施例中的存储器。
该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现前述实施例中的多区域安全防护方法。进一步的,该计算机可存储介质还可以是U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的可读存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本申请所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上为对本申请所提供的多区域安全防护方法、装置、设备及可读存储介质的描述,对于本领域的技术人员,依据本申请实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本申请的限制。
Claims (9)
1.一种多区域安全防护方法,其特征在于,包括:
根据RASP分布式架构划分应用域,在子区域的不同应用程序中加载安全探针,并控制RASP适配器向所述安全探针发送安全检测规则以及相应配置指令;其中,划分的所述应用域包括:主区域以及子区域;所述安全检测规则以及所述相应配置指令用于所述安全探针进行安全漏洞检测;
当所述安全探针检测到安全漏洞信息时,控制所述RASP适配器与网关进行交互,并将所述安全漏洞信息通过所述网关发送至主区域的RASP服务器;
通过所述RASP服务器将所述安全漏洞信息进行汇总,并发送至域级终端;
基于所述主区域的相关业务需求,通过所述域级终端发布相应安全规则,并控制所述RASP适配器根据所述相应安全规则进行安全防护;
其中,所述控制RASP适配器向所述安全探针发送安全检测规则以及相应配置指令的步骤,包括:控制RASP适配器根据应用程序的安全等级选择所述安全检测规则以及所述相应配置指令;若所述应用程序的安全等级高于预设安全等级阈值时,控制所述RASP适配器单独向对应所述安全探针发送安全检测规则以及相应配置指令;若所述应用程序的安全等级低于或等于预设安全等级阈值时,控制所述RASP适配器向多个对应所述安全探针发送安全检测规则以及相应配置指令。
2.根据权利要求1所述的多区域安全防护方法,其特征在于,所述控制RASP适配器向所述安全探针发送安全检测规则以及相应配置指令的步骤之后,还包括:
通过所述子区域的Portal端对所述安全探针进行实时监控,并控制所述安全探针将检测的安全信息实时同步到所述Portal端;其中,所述Portal端为应用安全员对所述安全探针进行监控的应用终端;
根据所述Portal端向所述安全探针发送需要保护的安全漏洞信息,并对相应的安全漏洞进行不同层次的安全防护。
3.根据权利要求1所述的多区域安全防护方法,其特征在于,所述控制所述RASP适配器与网关进行交互的步骤,包括:
当所述RASP适配器获取到所述安全漏洞信息时,控制所述RASP适配器访问网关针对所述安全漏洞信息的安全配置;其中,所述安全配置包括:安全漏洞白名单以及安全漏洞黑名单;
若在所述安全漏洞信息中存在对应于所述安全漏洞白名单的第一安全漏洞,则允许包含所述第一安全漏洞的访问请求进行访问;
若在所述安全漏洞信息中存在对应于所述安全漏洞黑名单的第二安全漏洞,则拒绝包含所述第二安全漏洞的访问请求进行访问。
4.根据权利要求1所述的多区域安全防护方法,其特征在于,所述将所述安全漏洞信息通过所述网关发送至主区域的RASP服务器的步骤,包括:
根据路由模式部署负载均衡设备;
控制所述网关在转发所述安全漏洞信息时,经过所述负载均衡设备之后再发送至主区域的RASP服务器。
5.根据权利要求1所述的多区域安全防护方法,其特征在于,所述控制所述RASP适配器根据所述相应安全规则进行安全防护的步骤,包括:
根据所述相应安全规则,更新所述RASP适配器中针对安全漏洞防护的配置信息,并根据更新后的所述配置信息对不同所述应用程序进行安全防护。
6.根据权利要求1至5任意一项所述的多区域安全防护方法,其特征在于,所述控制所述RASP适配器根据所述相应安全规则进行安全防护的步骤之后,还包括:
根据汇总的所述安全漏洞信息,设置在不同子区域的所述RASP适配器中的第一通用安全规则;
通过查询安全规则配置表,获取所有所述RASP适配器的安全规则配置信息;
根据所述安全规则配置信息控制所述RASP服务器向对应所述RASP适配器发布第二通用安全规则;其中,所述第二通用安全规则为所述安全规则配置信息中相对于所述第一通用安全规则缺少的安全规则。
7.一种多区域安全防护装置,其特征在于,包括:
通信模块,用于根据RASP分布式架构划分应用域,在子区域的不同应用程序中加载安全探针,并控制RASP适配器根据应用程序的安全等级选择所述安全检测规则以及相应配置指令;若所述应用程序的安全等级高于预设安全等级阈值时,控制所述RASP适配器单独向对应所述安全探针发送安全检测规则以及相应配置指令;若所述应用程序的安全等级低于或等于预设安全等级阈值时,控制所述RASP适配器向多个对应所述安全探针发送安全检测规则以及相应配置指令;其中,划分的所述应用域包括:主区域以及子区域;所述安全检测规则以及所述相应配置指令用于所述安全探针进行安全漏洞检测;
交互模块,用于当所述安全探针检测到安全漏洞信息时,控制所述RASP适配器与网关进行交互,并将所述安全漏洞信息通过所述网关发送至主区域的RASP服务器;
发送模块,用于通过所述RASP服务器将所述安全漏洞信息进行汇总,并发送至域级终端;
防护模块,用于基于所述主区域的相关业务需求,通过所述域级终端发布相应安全规则,并控制所述RASP适配器根据所述相应安全规则进行安全防护。
8.一种电子设备,其特征在于,包括存储器及处理器,其中:
所述处理器用于执行存储在所述存储器上的计算机程序;
所述处理器执行所述计算机程序时,实现权利要求1至6中任意一项所述方法中的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至6中的任意一项所述方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210395391.6A CN114900333B (zh) | 2022-04-15 | 2022-04-15 | 一种多区域安全防护方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210395391.6A CN114900333B (zh) | 2022-04-15 | 2022-04-15 | 一种多区域安全防护方法、装置、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114900333A CN114900333A (zh) | 2022-08-12 |
| CN114900333B true CN114900333B (zh) | 2023-09-08 |
Family
ID=82716990
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210395391.6A Active CN114900333B (zh) | 2022-04-15 | 2022-04-15 | 一种多区域安全防护方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114900333B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115865664A (zh) * | 2022-11-25 | 2023-03-28 | 深圳开源互联网安全技术有限公司 | 基于rasp的应用升级方法、装置、设备及介质 |
| CN116208432B (zh) * | 2023-05-05 | 2023-06-30 | 北京安普诺信息技术有限公司 | 一种Web应用安全探针管理方法、系统、电子设备及存储介质 |
| CN117155766A (zh) * | 2023-08-16 | 2023-12-01 | 深圳市志合创伟信息技术有限公司 | 一种网关数据安全交互方法、系统及存储介质 |
| CN117951709A (zh) * | 2023-12-05 | 2024-04-30 | 北京安普诺信息技术有限公司 | 基于代码疫苗iast探针的跨进程漏洞分析方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110266669A (zh) * | 2019-06-06 | 2019-09-20 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 |
| CN112528296A (zh) * | 2021-02-10 | 2021-03-19 | 腾讯科技(深圳)有限公司 | 漏洞检测方法、装置和存储介质及电子设备 |
| WO2021243555A1 (zh) * | 2020-06-02 | 2021-12-09 | 深圳市欢太科技有限公司 | 一种快应用检测方法、装置、设备及存储介质 |
| CN114091039A (zh) * | 2021-12-07 | 2022-02-25 | 何成刚 | 基于rasp的攻击防护系统及应用设备 |
| CN114329489A (zh) * | 2021-12-28 | 2022-04-12 | 安天科技集团股份有限公司 | Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220027456A1 (en) * | 2020-07-22 | 2022-01-27 | Cisco Technology, Inc. | Rasp-based implementation using a security manager |
-
2022
- 2022-04-15 CN CN202210395391.6A patent/CN114900333B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110266669A (zh) * | 2019-06-06 | 2019-09-20 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 |
| WO2021243555A1 (zh) * | 2020-06-02 | 2021-12-09 | 深圳市欢太科技有限公司 | 一种快应用检测方法、装置、设备及存储介质 |
| CN112528296A (zh) * | 2021-02-10 | 2021-03-19 | 腾讯科技(深圳)有限公司 | 漏洞检测方法、装置和存储介质及电子设备 |
| CN114091039A (zh) * | 2021-12-07 | 2022-02-25 | 何成刚 | 基于rasp的攻击防护系统及应用设备 |
| CN114329489A (zh) * | 2021-12-28 | 2022-04-12 | 安天科技集团股份有限公司 | Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于RASP技术的Java Web框架漏洞通用检测与定位方案;邱若男等;《武汉大学学报(理学版)》(第03期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114900333A (zh) | 2022-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114900333B (zh) | 一种多区域安全防护方法、装置、设备及可读存储介质 | |
| Kholidy et al. | CIDS: A framework for intrusion detection in cloud systems | |
| KR101535502B1 (ko) | 보안 내재형 가상 네트워크 제어 시스템 및 방법 | |
| CN107257332B (zh) | 大型防火墙集群中的定时管理 | |
| JP6820342B2 (ja) | 環境隔離の方法及び装置 | |
| WO2016003717A1 (en) | Method and system for efficient management of security threats in a distributed computing environment | |
| EP3369232A1 (en) | Detection of cyber threats against cloud-based applications | |
| CN105138920A (zh) | 一种内网终端安全管理的实现方法 | |
| US9245147B1 (en) | State machine reference monitor for information system security | |
| CN109861972B (zh) | 一种工业信息控制一体化平台的安全架构系统 | |
| US6381630B1 (en) | Computer system and method for characterizing and distributing information | |
| Uemura et al. | Availability analysis of an intrusion tolerant distributed server system with preventive maintenance | |
| CN103929502B (zh) | 基于虚拟机自省技术的云平台安全监控系统及方法 | |
| CN108366087B (zh) | 一种基于分布式文件系统的iscsi服务实现方法和装置 | |
| CN111262815A (zh) | 一种虚拟主机管理系统 | |
| US6925483B1 (en) | System for characterizing information from an information producer | |
| EP4062623A1 (en) | Dormant account identifier | |
| CN111212077A (zh) | 主机访问系统及方法 | |
| US20190129784A1 (en) | Preventing Unauthorized Access to Secure Enterprise Information Systems Using a Multi-Intercept System | |
| CN114765555A (zh) | 一种网络威胁的处理方法和通信装置 | |
| Kostopoulos et al. | Realising honeypot-as-a-service for smart home solutions | |
| US10979302B2 (en) | Meta behavioral analytics for a network or system | |
| Syed et al. | Fast attack detection using correlation and summarizing of security alerts in grid computing networks | |
| US20230300141A1 (en) | Network security management method and computer device | |
| WO2023160010A1 (zh) | 安全检测方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |