CN115314244B - 一种白名单安全防护方法、装置、设备及可读存储介质 - Google Patents

一种白名单安全防护方法、装置、设备及可读存储介质 Download PDF

Info

Publication number
CN115314244B
CN115314244B CN202210737851.9A CN202210737851A CN115314244B CN 115314244 B CN115314244 B CN 115314244B CN 202210737851 A CN202210737851 A CN 202210737851A CN 115314244 B CN115314244 B CN 115314244B
Authority
CN
China
Prior art keywords
security
white list
server
information
safety protection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210737851.9A
Other languages
English (en)
Other versions
CN115314244A (zh
Inventor
何成刚
万振华
王颉
李华
董燕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Seczone Technology Co Ltd
Original Assignee
Seczone Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Seczone Technology Co Ltd filed Critical Seczone Technology Co Ltd
Priority to CN202210737851.9A priority Critical patent/CN115314244B/zh
Publication of CN115314244A publication Critical patent/CN115314244A/zh
Application granted granted Critical
Publication of CN115314244B publication Critical patent/CN115314244B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供了一种白名单安全防护方法、装置、设备及可读存储介质,根据安全防护探针获取server流量,并对server流量进行分析;根据用户业务需求配置多维度的白名单;通过白名单获取对应于server流量的分析结果的安全防护信息;根据安全防护信息识别安全漏洞,并对与安全漏洞对应的安全攻击进行安全防护。通过本申请方案的实施,根据用户业务需求配置多维度白名单,通过多维度的白名单对web应用的server流量进行安全检测,能够有效的对server流量中存在的安全漏洞进行多维度白名单的实时安全防护。

Description

一种白名单安全防护方法、装置、设备及可读存储介质
技术领域
本申请涉及网络安全技术领域,尤其涉及一种白名单安全防护方法、装置、设备及可读存储介质。
背景技术
现在的Web应用安全防护基本上都是发现安全漏洞后进行处理,很少能进行安全攻击事前预防。在传统的网络防御方面,通常会使用硬件设备,如WAF(Web ApplicationFire ware,Web应用防火墙)来架设在Web服务器前端,通过一些规则进行防护。
但是这些传统的安全防护,很容易被高等的黑客通过工具和黑客技术进行绕过,这样就不能有效的进行Web应用的安全防护。归纳总结,其主要的缺点如下:容易被绕过,造成无效防护;部署复杂,成本高,普适性差;无法进行安全攻击的实时预警和防御;安全漏洞信息来源单一化,不能全面、及时的保护web应用的安全;误报率高也是这类技术的硬伤;没法解决用户的个性化业务逻辑的需求。
发明内容
本申请实施例提供了一种白名单安全防护方法、装置、设备及可读存储介质,至少能够解决相关技中无法根据用户业务需求对安全攻击进行多维度白名单的实时防护的问题。
本申请实施例第一方面提供了一种白名单安全防护方法,包括:
根据安全防护探针获取server流量,并对所述server流量进行分析;
根据用户业务需求配置多维度的白名单;
通过所述白名单获取对应于所述server流量的分析结果的安全防护信息;
根据所述安全防护信息识别安全漏洞,并对与所述安全漏洞对应的安全攻击进行安全防护。
本申请实施例第二方面提供了一种白名单安全防护装置,包括:
分析模块,用于根据安全防护探针获取server流量,并对所述server流量进行分析;
配置模块,用于根据用户业务需求配置多维度的白名单;
获取模块,用于通过所述白名单获取对应于所述server流量的分析结果的安全防护信息;
防护模块,用于根据所述安全防护信息识别安全漏洞,并对与所述安全漏洞对应的安全攻击进行安全防护。
本申请实施例第三方面提供了一种电子设备,其特征在于,包括存储器及处理器,其中,所述处理器用于执行存储在所述存储器上的计算机程序,所述处理器执行所述计算机程序时上述本申请实施例第一方面提供的白名单安全防护方法中的各步骤。
本申请实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时,实现上述本申请实施例第一方面提供的白名单安全防护方法中的各步骤。
由上可见,根据本申请方案所提供的白名单安全防护方法、装置、设备及可读存储介质,根据安全防护探针获取server流量,并对所述server流量进行分析;根据用户业务需求配置多维度的白名单;通过所述白名单获取对应于所述server流量的分析结果的安全防护信息;根据所述安全防护信息识别安全漏洞,并对与所述安全漏洞对应的安全攻击进行安全防护。通过本申请方案的实施,根据用户业务需求配置多维度白名单,通过多维度的白名单对web应用的server流量进行安全检测,能够有效的对server流量中存在的安全漏洞进行多维度白名单的实时安全防护。
附图说明
图1为本申请第一实施例提供的白名单安全防护方法的基本流程示意图;
图2为本申请第二实施例提供的白名单安全防护方法的细化流程示意图;
图3为本申请第三实施例提供的白名单安全防护装置的程序模块示意图;
图4为本申请第四实施例提供的电子设备的结构示意图。
具体实施方式
为使得本申请的发明目的、特征、优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而非全部实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了解决相关技术中无法根据用户业务需求对安全攻击进行多维度白名单的实时防护的问题,本申请第一实施例提供了一种白名单安全防护方法,如图1为本实施例提供的白名单安全防护方法的基本流程图,该白名单安全防护方法包括以下的步骤:
步骤101、根据安全防护探针获取server流量,并对server流量进行分析。
具体的,在本实施例中,基于RASP(Runtime Application Self-protection,应用运行时自我保护)技术,将安全保护探针加载至web应用系统,确保探针和web容器在同一个服务器之中,RASP是一种新型应用安全保护技术,它将保护程序像疫苗一样注入到应用程序中,应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御,而不需要进行人工干预。RASP技术可以快速的将安全防御功能整合到正在运行的应用程序中,它拦截从应用程序到系统的所有调用,确保它们是安全的,并直接在应用程序内验证数据请求。Web和非Web应用程序都可以通过RASP进行保护。该技术不会影响应用程序的设计,因为RASP的检测和保护功能是在应用程序运行的系统上运行的。通过私有知识库对相关类和方法进行插桩,然后通过探针来收集当前server中的流量,并对server流量进行分析和上报。
步骤102、根据用户业务需求配置多维度的白名单。
具体的,在电脑系统里,有很多软件都应用到了黑白名单规则,操作系统、防火墙、杀毒软件、邮件系统、应用软件等,凡是涉及到控制方面几乎都应用了黑白名单规则,如果设立了白名单,则在白名单中的用户(或IP地址、IP包、邮件等)会优先通过,不会被当成垃圾邮件拒收,安全性和快捷性都大大提高。在本实施例中,通过多维度的安全白名单设置,可以对客户个性化的业务逻辑需求进行防护。
在本实施例一种可选的实施方式中,根据用户业务需求配置多维度的白名单的步骤,包括:根据用户业务需求确定安全防护等级;根据安全防护等级配置多维度的白名单;其中,多维度的白名单包括以下至少一种:服务器名白名单、应用IP白名单、服务器IP白名单、URL白名单。
具体的,在本实施例中,不同用户的业务需求不同,业务需求也决定了安全防护等级,用户的业务需求小,则选择安全防护等级低的白名单,用户业务需求大,则选择安全防护等级高的白名单,或,用户业务需求也可以决定安全防护的严格程度,根据严格程度配置不同维度的白名单,其中,多维度的白名单包括以下至少一种:服务器名白名单、应用IP白名单、服务器IP白名单、URL白名单,顾名思义,服务器名白名单是针对服务器名称的白名单,安全防护范围最大,但安全防护等级较低;应用IP白名单是针对安装应用的IP地址的白名单,安全防护范围较大;服务器IP白名单是针对服务器IP的,且与服务器名白名单并未存在冲突,因为服务器名是不会变的,但服务器IP在不同的容器内所赋予的IP地址不同,安全防护较小;URL白名单属于安全防护范围最小的白名单,在一般情况下,客户只会选择一种白名单进行配置,由于不同维度白名单的防护范围存在一种递进关系,在一些特定情况下可以配置多种白名单。
在本实施例一种可选的实施方式中,根据用户业务需求预设多维度的白名单的步骤之后,还包括:根据多维度的白名单获取访问权限;当目标安装应用不具备访问权限时,根据预设安全规则对目标安装应用进行安全检测;若目标安装应用满足预设安全规则要求的安装条件,则允许安装应用。
具体的,白名单历来被认为难以部署、管理耗时,并且,这种技术让企业很难应付想要部署自己选择的应用的员工,有些企业还担心过多的最终用户反馈意见;员工经常抱怨某天他们可能会从拥有完全访问权限来安装和管理自己的应用,转变为需要企业审批。在本实施例中,用户在安装新应用时,会根据多维度白名单获取访问权限,访问权限用于确定目标安装应用是否允许被安装,当目标安装应用不具备访问权限时,根据预设安全规则对目标安装应用进行安全检测,检测内容包括但不限于目标安装应用是否合法以及目标安装应用内是否存在恶意代码,若目标安装应用满足预设安全规则所要求的安装条件,则允许安装该应用,简化了企业审批以及授权环节。
步骤103、通过白名单获取对应于server流量的分析结果的安全防护信息。
具体的,在本实施例中,通过探针对server流量进行分析之后,白名单会根据分析结果以及所配置的白名单的种类,获取与白名单相对应的安全防护信息。
在本实施例一种可选的实施方式中,通过白名单获取对应于server流量的分析结果的安全防护信息的步骤,包括:根据用户业务需求确定白名单的有效时间;在不同时间段内,根据白名单的有效时间在不同安全防护范围内获取对应于server流量的分析结果的安全防护信息。
具体的,在本实施例中,在不同时间段内,用户的业务需求可能会发生变化,那么在不同的用户业务需求下,之前配置的多维度白名单可能就不适用与现阶段的用户业务需求,因此,根据用户的业务需求确定白名单的有效时间,在配置多维度白名单之后,不同时间段内,根据有效时间执行不同的白名单,根据该白名单的安全防护范围获取对应于server流量的分析结果的安全防护信息。
在本实施例一种可选的实施方式中,通过白名单获取对应于server流量的分析结果的安全防护信息的步骤之后,还包括:确定不同维度的白名单的安全防护范围;当配置服务器名白名单时,检测服务器名白名单的安全防护范围是否满足用户的实时业务需求;若安全防护范围无法满足实时业务需求,则通过不同维度的白名单针对安全防护范围依次对安全防护信息进行过滤防护。
具体的,服务器名白名单是针对服务器名称的白名单,安全防护范围最大,但安全防护等级较低;应用IP白名单是针对安装应用的IP地址的白名单,安全防护范围较大;服务器IP白名单是针对服务器IP的,且与服务器名白名单并未存在冲突,因为服务器名是不会变的,但服务器IP在不同的容器内所赋予的IP地址不同,安全防护较小;URL白名单属于安全防护范围最小的白名单,在本实施例中,当配置的白名单是服务器名白名单时,在不同时间段内,检测服务器名白名单的安全防护范围是否满足用户实时业务需求若安全防护范围无法满足实时业务需求时,则通过不同维度的白名单针对安全防护范围依次对安全防护信息进行过滤防护,例如,服务器名白名单无法满足就采用应用IP白名单,若应用IP白名单也无法满足,则继续缩小安防防护范围直至满足用户实时业务需求为止。
步骤104、根据安全防护信息识别安全漏洞,并对与安全漏洞对应的安全攻击进行安全防护。
具体的,不管是传统的安防硬件设备还是软件设备,往往只能针对一种安全漏洞进行有效的防护。在本实施例中,在将安全防护信息汇总之后,从安全防护信息中识别安全漏洞,并对安全漏洞进行安全防护。
在本实施例一种可选的实施方式中,根据安全防护信息识别安全漏洞的步骤,包括:对安全防护信息进行逻辑链路分析,并根据分析结果获取与安全防护信息对应的参数信息;将参数信息与国家信息安全漏洞库CVE和CNNVD进行比对;若在国家信息安全漏洞库CVE和CNNVD中存在与参数信息相匹配的漏洞信息,则确定安全防护信息中存在安全漏洞。
具体的,在本实施例中,识别安全漏洞方法包括但不限于:逻辑链路分析、漏洞库CVE和CNNVD、特征匹配,通过多维度白名单获取的安全防护信息只是对server流量进行了一个简单的过滤,并不能确定通过白名单授权的方法或应用程序中就不会包含安全攻击,因此需要进一步的对安全防护信息进行逻辑链路分析,并根据分析结果获取与安全防护信息对应的参数信息,根据漏洞特征与RASP探针中预设的国家信息安全漏洞库CVE和CNNVD进行特征匹配,其中,安全漏洞库也可以是根据用户业务需求预先设定的本地漏洞库,当特征匹配一致时,确定该安全漏洞的详细信息,并获取国家信息安全漏洞库CVE和CNNVD针对该安全漏洞提出的漏洞解决方案,根据漏洞解决方案对web服务器进行安全防护,提高对用户被保护应用的安全性。
应当说明的是,用户可以根据自身业务需求选择在安全漏洞的不同层次上进行安全防护,防护手段包括但不限于攻击阻断、攻击上报以及日志记录等,例如,从事网络安全防护设备的用户就需要查看对应安全漏洞攻击对被保护设备所造成的影响,所以在检测出存在该安全漏洞攻击时,只需要对安全漏洞攻击进行上报,时刻关注安全漏洞攻击的整个周期并记录到日志中,通过用户个性化需求选择安全漏洞的处理方式,能够更加灵活的进行安全防护。
在本实施例一种可选的实施方式中,对与安全漏洞对应的安全攻击进行安全防护的步骤,包括:从安全防护信息中获取与安全漏洞对应的安全攻击的关键阶段的详细信息;将详细信息上传至服务器终端,并接收服务器端发送的对应于详细信息的分析结果,并根据分析结果获取安全攻击的生命周期;针对生命周期的各关键阶段,制定阻断安全攻击的防御策略。
具体的,在本实施例中,在通过上述逻辑链路分析、漏洞库CVE和CNNVD、特征匹配等技术手段识别到安全漏洞之后,首先通过Portal端收集对应安全攻击在关键阶段的详细信息,其中,关键阶段包括:攻击输入阶段、传播阶段以及输出阶段,在将所收集到的安全攻击在关键阶段的详细信息,其中,详细信息包括:安全攻击的攻击来源、恶意代码以及执行参数等,上传至web服务器,并观察分析整个安全漏洞的生命周期,根据生命周期中各个关键阶段制定阻断安全攻击的防御策略。
基于上述申请的实施例方案,根据安全防护探针获取server流量,并对server流量进行分析;根据用户业务需求配置多维度的白名单;通过白名单获取对应于server流量的分析结果的安全防护信息;根据安全防护信息识别安全漏洞,并对与安全漏洞对应的安全攻击进行安全防护。通过本申请方案的实施,根据用户业务需求配置多维度白名单,通过多维度的白名单对web应用的server流量进行安全检测,能够有效的对server流量中存在的安全漏洞进行多维度白名单的实时安全防护。
图2中的方法为本申请第二实施例提供的一种细化的白名单安全防护方法,该白名单安全防护方法包括:
步骤201、根据安全防护探针获取server流量,并对server流量进行分析。
步骤202、根据用户业务需求确定安全防护等级。
步骤203、根据安全防护等级配置多维度的白名单。
具体的,在本实施例中,多维度的白名单包括以下至少一种:服务器名白名单、应用IP白名单、服务器IP白名单、URL白名单。
步骤204、根据用户业务需求确定白名单的有效时间。
步骤205、在不同时间段内,根据白名单的有效时间在不同安全防护范围内获取对应于server流量的分析结果的安全防护信息。
步骤206、通过安全防护策略识别安全漏洞,并从安全防护信息中获取与安全漏洞对应的安全攻击的关键阶段的详细信息。
具体的,在本实施例中,安全防护策略包括但不限于:逻辑链路分析、漏洞库CVE和CNNVD、特征匹配等;关键阶段包括:攻击输入阶段、传播阶段以及输出阶段。
步骤207、将详细信息上传至服务器终端,并接收服务器端发送的对详细信息的分析结果,并根据分析结果安全攻击的生命周期。
步骤208、针对生命周期的各关键阶段,制定阻断安全攻击的防御策略。
根据本申请方案所提供的白名单安全防护方法,根据安全防护探针获取server流量,并对server流量进行分析;根据用户业务需求确定安全防护等级;根据安全防护等级配置多维度的白名单;根据用户业务需求确定白名单的有效时间;在不同时间段内,根据白名单的有效时间在不同安全防护范围内获取对应于server流量的分析结果的安全防护信息;通过安全防护措施识别安全漏洞,并从安全防护信息中获取与安全漏洞对应的安全攻击的关键阶段的详细信息;通过安全防护措施识别安全漏洞,并从安全防护信息中获取与安全漏洞对应的安全攻击的关键阶段的详细信息。通过本申请方案的实施,根据用户业务需求配置多维度白名单,通过多维度的白名单对web应用的server流量进行安全检测,能够有效的对server流量中存在的安全漏洞进行多维度白名单的实时安全防护。
图3为本申请第三实施例提供的一种白名单安全防护装置,该白名单安全防护装置可用于实现前述实施例中的白名单安全防护方法。如图3所示,该白名单安全防护装置主要包括:
分析模块301,用于根据安全防护探针获取server流量,并对server流量进行分析;
配置模块302,用于根据用户业务需求配置多维度的白名单;
获取模块303,用于通过白名单获取对应于server流量的分析结果的安全防护信息;
防护模块304,用于根据安全防护信息识别安全漏洞,并对与安全漏洞对应的安全攻击进行安全防护。
在本申请实施例一种可选的实施方式中,配置模块具体用于:根据用户业务需求确定安全防护等级;
根据安全防护等级配置多维度的白名单;其中,多维度的白名单包括以下至少一种:服务器名白名单、应用IP白名单、服务器IP白名单、URL白名单。
进一步的,在本实施例一种可选的实施方式中,该白名单安全防护装置还包括:确定模块、检测模块。确定模块用于:确定不同维度的白名单的安全防护范围。检测模块用于:当配置服务器名白名单时,检测服务器名白名单的安全防护范围是否满足用户的实时业务需求。防护模块还具体用于:若安全防护范围无法满足实时业务需求,则通过不同维度的白名单针对安全防护范围依次对安全防护信息进行过滤防护。
在本实施例一种可选的实施方式中,获取模块具体用于:根据用户业务需求确定白名单的有效时间;在不同时间段内,根据白名单的有效时间在不同安全防护范围内获取对应于server流量的分析结果的安全防护信息。
在本实施例一种可选的实施方式中,防护模块在执行根据安全防护信息识别安全漏洞的功能时,具体用于:对安全防护信息进行逻辑链路分析,并根据分析结果获取与安全防护信息对应的参数信息;将参数信息与国家信息安全漏洞库CVE和CNNVD进行比对;若在国家信息安全漏洞库CVE和CNNVD中存在与参数信息相匹配的漏洞信息,则确定安全防护信息中存在安全漏洞。
在本实施例一种可选的实施方式中,防护模块具体用于:从安全防护信息中获取与安全漏洞对应的安全攻击的关键阶段的详细信息;其中,关键阶段包括:攻击输入阶段、传播阶段以及输出阶段;详细信息包括:攻击来源、恶意代码以及执行参数等;将详细信息上传至服务器终端,并接收服务器端发送的对应于详细信息的分析结果,并根据分析结果获取安全攻击的生命周期;针对生命周期的各关键阶段,制定阻断安全攻击的防御策略。
在本实施例一种可选的实施方式中,该白名单安全防护装置还包括:安装模块。获取模块还用于:根据多维度的白名单获取访问权限。检测模块还用:当目标安装应用不具备访问权限时,根据预设安全规则对目标安装应用进行安全检测。安装模块用于:若目标安装应用满足预设安全规则要求的安装条件,则允许安装应用。
根据本申请方案所提供的白名单安全防护装置,根据安全防护探针获取server流量,并对server流量进行分析;根据用户业务需求配置多维度的白名单;通过白名单获取对应于server流量的分析结果的安全防护信息;根据安全防护信息识别安全漏洞,并对与安全漏洞对应的安全攻击进行安全防护。通过本申请方案的实施,根据用户业务需求配置多维度白名单,通过多维度的白名单对web应用的server流量进行安全检测,能够有效的对server流量中存在的安全漏洞进行多维度白名单的实时安全防护。
图4为本申请第四实施例提供的一种电子设备。该电子设备可用于实现前述实施例中的白名单安全防护方法,主要包括:
存储器401、处理器402及存储在存储器401上并可在处理器402上运行的计算机程序403,存储器401和处理器402通过通信连接。处理器402执行该计算机程序403时,实现前述实施例中的白名单安全防护方法。其中,处理器的数量可以是一个或多个。
存储器401可以是高速随机存取记忆体(RAM,Random Access Memory)存储器,也可为非不稳定的存储器(non-volatile memory),例如磁盘存储器。存储器401用于存储可执行程序代码,处理器402与存储器401耦合。
进一步的,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质可以是设置于上述各实施例中的电子设备中,该计算机可读存储介质可以是前述图4所示实施例中的存储器。
该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现前述实施例中的白名单安全防护方法。进一步的,该计算机可存储介质还可以是U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的可读存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本申请所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上为对本申请所提供的白名单安全防护方法、装置、设备及可读存储介质的描述,对于本领域的技术人员,依据本申请实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本申请的限制。

Claims (9)

1.一种白名单安全防护方法,其特征在于,包括:
根据安全防护探针获取server流量,并对所述server流量进行分析;
根据用户业务需求配置多维度的白名单;
通过所述白名单获取对应于所述server流量的分析结果的安全防护信息;
根据所述安全防护信息识别安全漏洞,并对与所述安全漏洞对应的安全攻击进行安全防护;
其中,所述对与所述安全漏洞对应的安全攻击进行安全防护的步骤,包括:从所述安全防护信息中获取所述与安全漏洞对应的安全攻击的关键阶段的详细信息;其中,所述关键阶段包括:攻击输入阶段、传播阶段以及输出阶段;所述详细信息包括:攻击来源、恶意代码以及执行参数等;将所述详细信息上传至服务器终端,并接收服务器端发送的对应于所述详细信息的分析结果,并根据所述分析结果获取所述安全攻击的生命周期;针对所述生命周期的各所述关键阶段,制定阻断所述安全攻击的防御策略。
2.根据权利要求1所述的白名单安全防护方法,其特征在于,所述根据用户业务需求配置多维度的白名单的步骤,包括:
根据用户业务需求确定安全防护等级;
根据所述安全防护等级配置多维度的白名单;其中,所述多维度的白名单包括以下至少一种:服务器名白名单、应用IP白名单、服务器IP白名单、URL白名单。
3.根据权利要求1所述的白名单安全防护方法,其特征在于,所述通过所述白名单获取对应于所述server流量的分析结果的安全防护信息的步骤,包括:
根据所述用户业务需求确定所述白名单的有效时间;
在不同时间段内,根据所述白名单的有效时间在不同安全防护范围内获取对应于所述server流量的分析结果的安全防护信息。
4.根据权利要求2所述的白名单安全防护方法,其特征在于,所述通过所述白名单获取对应于所述server流量的分析结果的安全防护信息的步骤之后,还包括:
确定不同维度的所述白名单的安全防护范围;
当配置所述服务器名白名单时,检测所述服务器名白名单的所述安全防护范围是否满足用户的实时业务需求;
若所述安全防护范围无法满足所述实时业务需求,则通过不同维度的所述白名单针对所述安全防护范围依次对所述安全防护信息进行过滤防护。
5.根据权利要求1所述的白名单安全防护方法,其特征在于,所述根据所述安全防护信息识别安全漏洞的步骤,包括:
对所述安全防护信息进行逻辑链路分析,并根据分析结果获取与所述安全防护信息对应的参数信息;
将所述参数信息与国家信息安全漏洞库CVE和CNNVD进行比对;
若在国家信息安全漏洞库CVE和CNNVD中存在与所述参数信息相匹配的漏洞信息,则确定所述安全防护信息中存在安全漏洞。
6.根据权利要求1所述的白名单安全防护方法,其特征在于,所述根据用户业务需求预设多维度的白名单的步骤之后,还包括:
根据所述多维度的白名单获取访问权限;
当目标安装应用不具备所述访问权限时,根据预设安全规则对所述目标安装应用进行安全检测;
若所述目标安装应用满足所述预设安全规则要求的安装条件,则允许安装所述应用。
7.一种白名单安全防护装置,其特征在于,包括:
分析模块,用于根据安全防护探针获取server流量,并对所述server流量进行分析;
配置模块,用于根据用户业务需求配置多维度的白名单;
获取模块,用于通过所述白名单获取对应于所述server流量的分析结果的安全防护信息;
防护模块,用于根据所述安全防护信息识别安全漏洞,并从所述安全防护信息中获取所述与安全漏洞对应的安全攻击的关键阶段的详细信息;其中,所述关键阶段包括:攻击输入阶段、传播阶段以及输出阶段;所述详细信息包括:攻击来源、恶意代码以及执行参数等;将所述详细信息上传至服务器终端,并接收服务器端发送的对应于所述详细信息的分析结果,并根据所述分析结果获取所述安全攻击的生命周期;针对所述生命周期的各所述关键阶段,制定阻断所述安全攻击的防御策略。
8.一种电子设备,其特征在于,包括存储器及处理器,其中:
所述处理器用于执行存储在所述存储器上的计算机程序;
所述处理器执行所述计算机程序时,实现权利要求1至6中任意一项所述方法中的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至6中的任意一项所述方法中的步骤。
CN202210737851.9A 2022-06-27 2022-06-27 一种白名单安全防护方法、装置、设备及可读存储介质 Active CN115314244B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210737851.9A CN115314244B (zh) 2022-06-27 2022-06-27 一种白名单安全防护方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210737851.9A CN115314244B (zh) 2022-06-27 2022-06-27 一种白名单安全防护方法、装置、设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN115314244A CN115314244A (zh) 2022-11-08
CN115314244B true CN115314244B (zh) 2023-10-10

Family

ID=83855737

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210737851.9A Active CN115314244B (zh) 2022-06-27 2022-06-27 一种白名单安全防护方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN115314244B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108600258A (zh) * 2018-05-09 2018-09-28 华东师范大学 一种面向综合电子系统自生成白名单的安全审计方法
CN108667812A (zh) * 2018-04-18 2018-10-16 北京中科兴安技术有限公司 用于专用主机的多指标评分的白环境可信度分析方法
CN110290129A (zh) * 2019-06-20 2019-09-27 深圳前海微众银行股份有限公司 一种Web漏洞检测的方法及装置
CN110881044A (zh) * 2019-12-05 2020-03-13 北京宏达隆和科技有限公司 一种计算机防火墙动态防御安全平台
CN112350992A (zh) * 2020-09-28 2021-02-09 广东电力信息科技有限公司 基于web白名单的安全防护方法、装置、设备及存储介质
CN112383559A (zh) * 2020-11-25 2021-02-19 杭州迪普信息技术有限公司 地址解析协议攻击的防护方法及装置
WO2021152425A1 (en) * 2020-01-28 2021-08-05 Ongage Ltd. A method and a system for identifying a security breach or a data theft
CN114091031A (zh) * 2021-10-11 2022-02-25 奇安信科技集团股份有限公司 基于白规则的类加载防护方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9674217B2 (en) * 2013-05-03 2017-06-06 John Wong Method and system for mitigation of distributed denial of service (DDOS) attacks

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108667812A (zh) * 2018-04-18 2018-10-16 北京中科兴安技术有限公司 用于专用主机的多指标评分的白环境可信度分析方法
CN108600258A (zh) * 2018-05-09 2018-09-28 华东师范大学 一种面向综合电子系统自生成白名单的安全审计方法
CN110290129A (zh) * 2019-06-20 2019-09-27 深圳前海微众银行股份有限公司 一种Web漏洞检测的方法及装置
CN110881044A (zh) * 2019-12-05 2020-03-13 北京宏达隆和科技有限公司 一种计算机防火墙动态防御安全平台
WO2021152425A1 (en) * 2020-01-28 2021-08-05 Ongage Ltd. A method and a system for identifying a security breach or a data theft
CN112350992A (zh) * 2020-09-28 2021-02-09 广东电力信息科技有限公司 基于web白名单的安全防护方法、装置、设备及存储介质
CN112383559A (zh) * 2020-11-25 2021-02-19 杭州迪普信息技术有限公司 地址解析协议攻击的防护方法及装置
CN114091031A (zh) * 2021-10-11 2022-02-25 奇安信科技集团股份有限公司 基于白规则的类加载防护方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于通信行为分析的DNS隧道木马检测方法;罗友强等;《浙江大学学报(工学版)》(第09期);全文 *

Also Published As

Publication number Publication date
CN115314244A (zh) 2022-11-08

Similar Documents

Publication Publication Date Title
US10356044B2 (en) Security information and event management
CN108259449B (zh) 一种防御apt攻击的方法和系统
US10616258B2 (en) Security information and event management
US10417420B2 (en) Malware detection and classification based on memory semantic analysis
US8931099B2 (en) System, method and program for identifying and preventing malicious intrusions
JP6104149B2 (ja) ログ分析装置及びログ分析方法及びログ分析プログラム
CN111245793A (zh) 网络数据的异常分析方法及装置
CN113661693A (zh) 经由日志检测敏感数据暴露
CN107888607A (zh) 一种网络威胁检测方法、装置及网络管理设备
US20170061126A1 (en) Process Launch, Monitoring and Execution Control
US20180041533A1 (en) Scoring the performance of security products
CN110868403B (zh) 一种识别高级持续性攻击apt的方法及设备
Sequeira Intrusion prevention systems: security's silver bullet?
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
CN114826662B (zh) 一种自定义规则防护方法、装置、设备及可读存储介质
Perera et al. The next gen security operation center
CN115348052A (zh) 一种多维度黑名单防护方法、装置、设备及可读存储介质
KR20190119239A (ko) It보안 위험 관리 장치
Ma et al. Determining risks from advanced multi-step attacks to critical information infrastructures
CN109951484B (zh) 针对机器学习产品进行攻击的测试方法及系统
CN115314244B (zh) 一种白名单安全防护方法、装置、设备及可读存储介质
CN114257403A (zh) 误报检测方法、设备及可读存储介质
Kono et al. An unknown malware detection using execution registry access
Kumar et al. A review on 0-day vulnerability testing in web application
CN115051820B (zh) 一种多维度防暴力破解方法、装置、设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant