CN115720150A - 基于rasp的waf联动防护方法、装置、设备及介质 - Google Patents
基于rasp的waf联动防护方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115720150A CN115720150A CN202211293851.0A CN202211293851A CN115720150A CN 115720150 A CN115720150 A CN 115720150A CN 202211293851 A CN202211293851 A CN 202211293851A CN 115720150 A CN115720150 A CN 115720150A
- Authority
- CN
- China
- Prior art keywords
- protection
- waf
- security
- rasp
- attack event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于RASP的WAF联动防护方法、装置、设备及介质,通过在web容器中加载RASP探针,获取WAF防护漏洞信息,通过Portal端向RASP探针发送自定义安全防护规则,根据自定义安全防护规则对WAF防护漏洞信息进行分析,得到攻击事件分析结果,根据攻击事件分析结果执行实时防护操作。即本方案在进行实施时,由于可以获取到WAF防护漏洞信息,其与RASP探针所收集的自定义安全防护规则结合,也即实现RASP技术和WAF技术联合,可以扩大安全防护的范围。同时,通过RASP技术用来对生产环境上的应用进行实时的保护,可以在生产环境上为应用进行实时防护,适用场景更符合实际,不会受到局限。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及基于RASP(Runtime application self-protection,运行时应用程序自我保护)的WAF(Web Application Firewall,应用程序防火墙)联动防护方法、装置、设备及介质。
背景技术
现在的web应用安全防护基本上都是基于单一的安全检测方法或技术,例如DAST(动态应用程序安全测试)、SAST(静态应用程序安全测试)和IAST(交互式应用程序安全测试),这些技术的缺点在于:只是应用在web应用的测试和开发阶段,没法在产线上进行应用实时防护(适用场景局限性);有些检测方法如SAST还需要产品的源码,这样对知识产权的代码的机密保护上存在隐私保护的问题;上面所列的这些测试方法都是使用在软件开发周期的测试阶段,如果在此阶段由于技术难题不能解决或是由于时间紧急限制都将导致产品由于安全问题而不能上线;安全防护的范围受限。
因此,现有技术有待于改善。
发明内容
本发明的主要目的在于提出一种基于RASP的WAF联动防护方法、装置、设备及介质,以至少解决现有web应用的防护方式存在的适用场景有所局限的技术问题。
本发明的第一方面,提供了一种基于RASP的WAF联动防护方法,包括:
在web容器中加载RASP探针,获取WAF防护漏洞信息;
通过Portal端向所述RASP探针发送自定义安全防护规则;其中,所述Portal端为用于配置所述自定义安全防护规则的终端;
根据所述自定义安全防护规则对所述WAF防护漏洞信息进行分析,得到攻击事件分析结果;
根据所述攻击事件分析结果执行实时防护操作。
本发明的第二方面提供了一种WAF联动防护装置,包括:
加载模块,用于在web容器中加载RASP探针,获取WAF防护漏洞信息;
发送模块,用于通过Portal端向所述RASP探针发送自定义安全防护规则;其中,所述Portal端为用于配置所述自定义安全防护规则的终端;
分析模块,用于根据所述自定义安全防护规则对所述WAF防护漏洞信息进行分析,得到攻击事件分析结果;
防护模块,用于根据所述攻击事件分析结果执行实时防护操作。
本发明的第三方面,提供了一种电子设备,包括存储器、处理器及总线;
所述总线用于实现所述存储器、处理器之间的连接通信;
所述处理器用于执行存储在所述存储器上的计算机程序;
所述处理器执行所述计算机程序时,实现第一方面提供的基于RASP的WAF联动防护方法中的步骤。
本发明的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现第一方面提供的基于RASP的WAF联动防护方法中的步骤。
本发明提供了一种基于RASP的WAF联动防护方法、装置、设备及介质,通过在web容器中加载RASP探针,获取WAF防护漏洞信息,通过Portal端向RASP探针发送自定义安全防护规则,根据自定义安全防护规则对WAF防护漏洞信息进行分析,得到攻击事件分析结果,根据攻击事件分析结果执行实时防护操作。即本方案在进行实施时,由于可以获取到WAF防护漏洞信息,其与RASP探针所收集的自定义安全防护规则进行结合,也即实现RASP技术和WAF技术联合,可以扩大安全防护的范围。同时,通过RASP技术用来对生产环境上的应用进行实时的保护,也即可以在产线上为应用进行实时防护,适用场景更符合实际,不会受到局限。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请第一实施例提供的基于RASP的WAF联动防护方法的基本流程示意图;
图2为本申请第二实施例提供的基于RASP的WAF联动防护方法的细化流程示意图;
图3为本申请第三实施例提供的WAF联动防护装置的程序模块示意图;
图4为本申请第四实施例提供的电子设备的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
需要注意的是,相关术语如“第一”、“第二”等可以用于描述各种组件,但是这些术语并不限制该组件。这些术语仅用于区分一个组件和另一组件。例如,不脱离本发明的范围,第一组件可以被称为第二组件,并且第二组件类似地也可以被称为第一组件。术语“和/或”是指相关项和描述项的任何一个或多个的组合。
请参阅图1,图1示出了本发明实施例所提供的一种基于RASP的WAF联动防护方法,其包括:
步骤S101,在web容器中加载RASP探针,获取WAF防护漏洞信息;
其中,RASP探针为基于实时应用程序自我保护(RASP,Runtime ApplicationSelf-Protection)技术的安全检测探针,RASP是一种新型应用安全保护技术,它将保护程序像“疫苗”一样注入到应用程序中,应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御,而不需要进行人工干预。RASP技术可以快速的将安全防御功能整合到正在运行的应用程序中,它拦截从应用程序到系统的所有调用,确保它们是安全的,并直接在应用程序内验证数据请求。其中,web容器类似web服务器,Web和非Web应用程序都可以通过RASP进行保护。该技术不会影响应用程序的设计,因为RASP的检测和保护功能是在应用程序运行的系统上运行的。
需要说明的是,传统的安全漏洞攻击防御技术通常是通过安装防火墙,而安装的防火墙不管是串联的部署模式,还是并联部署模式都需要用到用户的源代码,容易泄露保护应用的隐私。而在本实施例中,将RASP探针加载至web容器中,整个过程不需要使用客户源代码,能够保护私有应用的隐私。同时还可获取WAF防护漏洞信息,WAF防护漏洞信息是WAF防护漏洞模块(应用程序防火墙)中所存储的信息,例如:安全攻击漏洞、疑似安全攻击URL、安全弱点类型、安全攻击严重性等反映安全攻击事件的若干信息。
在本实施例的一些实施方式中,获得WAF防护漏洞信息的步骤,具体包括:通过Portal端建立与WAF防护漏洞模块之间的连接,接收WAF防护漏洞模块所发送的WAF防护漏洞信息,并经Portal端导入WAF防护漏洞信息,从而得到WAF安全漏洞信息。由于在web容器中加载RASP探针,该RASP探针可实现与Portal端之间通讯,则相应可以发送获取WAF防护漏洞信息指令,触发WAF防护漏洞模块(应用程序防火墙)将WAF防护漏洞信息导入。
步骤S102,通过Portal端向RASP探针发送自定义安全防护规则;
具体的,Portal端为用于配置自定义安全防护规则的终端,在进行发送自定义安全防护规则之前,需保证RASP探针和web容器在同一个服务器之中,而将RASP探针和web容器部署在同一个服务器,具体的部署方式:将RASP探针的服务器设置为目标服务器,并将web容器的服务器设置为目标服务器,则使得两者同处于一个相同的服务器内。
需要说明的是,传统的安全漏洞攻击防护技术通常在安装的初始阶段编写防护规则,安装完成之后无法进行修改,或者需要将防护设备关掉之后进行规则修改,修改完成之后再重启设备,在此过程中存在较长的安防真空期,并且过程复杂。而在本实施例中,Portal端与RASP探针、web容器通信连接,而Portal端为用于配置所述安全防护规则的终端,则Portal端可以通过配置指令配置自定义安全防护规则(自定义安全防护规则用于对web容器中应用进行防护),也即可以将配置好的自定义安全防护规则发送至RASP探针中,基于此,RASP探针会根据相应的自定义安全防护规则进行安全检测。
步骤S103,根据自定义安全防护规则对WAF防护漏洞信息进行分析,得到攻击事件分析结果;
具体的,当配置自定义安全防护规则之后,可以对WAF防护漏洞模块所传输的WAF防护漏洞信息进行分析,得到安全攻击事件分析结果。该安全攻击事件分析结果可以反映WAF防护漏洞信息中安全攻击事件的严重程度,由此有利于根据严重程度快速、准确、及时进行后续防护操作执行。
步骤S104,根据攻击事件分析结果执行实时防护操作。
具体的,当得到攻击事件分析结果后,由于该安全攻击事件分析结果可以大致反映WAF防护漏洞信息中安全攻击事件的严重程度,从而根据攻击事件分析结果执行不同程度、针对性的实时防护操作。即本方案在进行实施时,一方面:由于可以获取到WAF防护漏洞信息,其与RASP探针所收集的自定义安全防护规则结合,也即实现RASP技术和WAF技术联合,可以扩大安全防护的范围;另一方面,通过RASP技术用来对生产环境上的应用进行实时的保护,可以在产线上为应用进行实时防护,适用场景更符合实际,不会受到局限。
在本实施例的一些实施方式中,Portal端通过与RASP探针的通信连接,将自定义安全防护规则发送到RASP探针,即当RASP接收到自定义安全防护规则后,则RASP探针会按照相应的自定义安全防护规则对web容器的应用的访问流量进行实时安全分析。
应当说明的是,安全攻击事件往往会产生较大的访问流量以及较大的访问频率,则在分析过程中可以通过将访问流量与预设访问流量阈值之间对比、结合上访问频率与预设访问频率阈值对比,来确定、得到安全攻击事情。例如,同一访问事件所对应的访问流量大于预设访问流量阈值并且访问频率大于预设访问频率阈值时,则认定该访问事件很大可能是安全攻击事情。
在本实施例的一些实施方式中,根据自定义安全防护规则对WAF防护漏洞信息进行分析,得到攻击事件分析结果的步骤,具体包括:对自定义安全防护规则进行更新,得到实时安全防护规则,采用实时安全防护规则对WAF防护漏洞信息进行分析,得到攻击事件分析结果。
需要注意的是,现有的以WAF作为安全防护方式的系统,由于WAF自身安全防护自身工作机制特性,WAF可以在防御已知漏洞方面起到效果,但是无法防御0day漏洞,也即存在一定延时,会在某一时间段重复受到相同安全攻击时无法进行有效防御。而本实施例正是对自定义安全防护规则进行更新得到实时安全防护规则,由此,可以采用实时安全防护规则对WAF防护漏洞信息进行分析,也即可以达到0day安全漏洞的实时安全防护。
在本实施例的一些实施方式中,采用实时安全防护规则对WAF防护漏洞信息进行分析,得到攻击事件分析结果的步骤,具体包括:
依次采用预设的cookie检测规则、进程安全检测规则及后台弱口令检测规则对WAF防护漏洞信息进行分析,得到攻击事件分析结果;
具体的,实时安全防护规则可以包括预设的cookie检测规则、进程安全检测规则、后台弱口令检测规则,则可以依次采用各检测规则对于WAF防护漏洞信息进行分析,从而全面、准确得到攻击事件分析结果。其中,cookie检测规则、进程安全检测规则及后台弱口令检测规则组成实时安全防护规则,当然可以根据需求,进一步增加其余检测规则,例如用户自定义安全检测接口检测规则等。
其中,攻击者如果能绕过WAF进行攻击,将会给应用带来负担;而在本实施例中,实时安全防护规则还可配置为通过自动化流程将RASP拦截的攻击者来源IP生成WAF IP黑名单,将会大大减慢攻击者的攻击进程,给安全人员争取应急响应的时间。
在本实施例的一些实施方式中,攻击事件分析结果可以包括攻击事件的安全等级;根据攻击事件分析结果执行实时防护操作的步骤,具体包括:
当攻击事件分析结果为攻击事件的安全等级低于预设安全等级时,执行对攻击事件进行写入操作的实时防护操作;
当攻击事件分析结果为攻击事件的安全等级等于预设安全等级时,执行对攻击事件进行拦截操作的实时防护操作;
当攻击事件分析结果为攻击事件的安全等级高于预设安全等级时,执行对攻击事件进行拦截操作并上报的实时防护操作。
具体的,预设安全等级为预先设定的,其与web容器中预设时间段内所检测到的安全攻击事件的数量为正比关系;相对的,安全攻击事件的数量越多,则预设安全等级越高。例如,可以将预设安全等级设定为一个具体数值,为2。当攻击事件分析结果为攻击事件的安全等级为1,也即低于预设安全等级2时,表明该攻击事件的严重程度、破坏性较低,则执行对攻击事件进行写入操作的实时防护操作;当攻击事件分析结果为攻击事件的安全等级为2,也即等于预设安全等级时,表明该攻击事件具有一定的严重程度、破坏性,则执行对攻击事件进行拦截操作的实时防护操作;当攻击事件分析结果为攻击事件的安全等级为3,也即安全等级高于预设安全等级时,表明该攻击事件的严重程度、破坏性较高,属于非常危险的攻击事件,则执行对攻击事件进行拦截操作并上报的实时防护操作。也就是说,当遇到不同严重程度的攻击事件时,能够针对性实施防护操作,来全面保护整个web容器中的应用。
在本实施例的一些实施方式中,在根据攻击事件分析结果执行实时防护操作的步骤之后,还包括:通过RASP探针将所检测到的安全攻击事件以及控制指令发送至Portal端。即在本实施例中,一同将所检测到的安全攻击事件以及控制指令,则Portal端会根据控制指令将安全攻击事件进行详细展示,则便于用户可以快速、详细观察到攻击事件的状况,方便跟踪和做出决策。其中,控制指令用于控制Portal端将安全攻击事件进行展示。
其中,通过RASP探针还可以将所检测到的安全攻击事件所对应的安全攻击敏感参数发送至Portal端;则可以通过分析安全攻击得出那些安全攻击敏感参数,将这些安全攻击敏感参数存储在WAF中进行安全防护,这既可以大大降低RASP给应用带来的性能消耗,同时也能让WAF警报更加准确。
需要注意的是,在一般的应用中企业的应用通常都是在网关或者反向代理之后的,当流量进入应用时,RASP探针在大多数情况下其实只能拿到反向代理或者网关的IP地址,这对于分析攻击来源非常不利。而在本实施例中,基于Portal端与WAF防护漏洞模块之间的连接,WAF防护漏洞模块可以对所有进入的流量添加Headers标识,由此来标记真实来源IP,方便对RASP拦截的攻击事件进行溯源。
在本实施例的一些实施方式中,当配置自定义安全防护规则后,通过自定义安全防护规则对访问流量进行分析,来得到安全攻击事件,根据安全攻击事件和预设的关键信息模块汇总安全防护信息。其中,预设的关键信息模块为具备存储功能的模块,其用于存储关键信息,关键信息是指包含有URL信息(Universal Resource Locator,统一资源定位符)、IP信息(Internet Protocol,网际互联协议)、应用IP信息、服务器信息,由于上述各信息是指得到授权许可的名单,即这些名单所对应的基本为关键的网络信息;如此,通过根据安全攻击事件和上述预设的关键信息模块能够汇总出更全面的、具备针对性的安全防护信息。
其中,还可以建立RASP探针与漏洞库之间的通信,例如:实现RASP探针与CVE、CNNVD权威漏洞库之间的数据通信,则可以进行联动及时防护安全漏洞。
请参阅图2,图2中的方法为本申请第二实施例提供的一种细化的基于RASP的WAF联动防护方法,该基于RASP的WAF联动防护方法包括:
步骤S201,在web容器中加载RASP探针;
步骤S202,通过Portal端建立与WAF防护漏洞模块之间的连接;
步骤S203,通过Portal端发送请求导入指令至WAF防护漏洞模块,接收WAF防护漏洞模块所发送的安全攻击漏洞信息、疑似安全攻击URL信息、安全弱点类型信息和安全攻击严重性信息;
步骤S204,通过Portal端向RASP探针发送自定义安全防护规则,对自定义安全防护规则进行更新,得到实时安全防护规则;
步骤S205,依次采用预设的cookie检测规则、进程安全检测规则及后台弱口令检测规则对WAF防护漏洞信息进行分析,得到攻击事件分析结果;
步骤S206,当攻击事件分析结果为攻击事件的安全等级低于预设安全等级时,执行对攻击事件进行写入操作的实时防护操作;当攻击事件分析结果为攻击事件的安全等级等于预设安全等级时,执行对攻击事件进行拦截操作的实时防护操作;当攻击事件分析结果为攻击事件的安全等级高于预设安全等级时,执行对攻击事件进行拦截操作并上报的实时防护操作;
步骤S207,通过RASP探针将所检测到的安全攻击事件以及控制指令发送至Portal端;其中,控制指令用于控制Portal端将安全攻击事件进行展示。
根据本申请方案所提供的基于RASP的WAF联动防护方法,由于在web容器中加载RASP探针,并通过Portal端建立与WAF防护漏洞模块之间的连接,即实现RASP技术和WAF技术联合,可以扩大安全防护的范围。同时,通过RASP技术用来对生产环境上的应用进行实时的保护,可以在产线上为应用进行实时防护,适用场景更符合实际,不会受到局限。另外,当遇到不同严重程度的攻击事件时,能够针对性实施分级防护操作,来全面保护整个web容器中的应用。
还需说明的是,本实施例还具备以下优势:安全规则与业务场景相互对应,RASP可以达到精准化防护的目的;在web应用中安装本实施例的探针,探针能够实时的向本实施例的portal(数据展示server)详细的展示攻击事件的状况,方便跟踪和做出决策;由于使用的安全防护探针能够和应用程序进行完美的结合,不能够被安全攻击绕过;使用简单操作方便,只需将探针和应用放在一个服务器之中即可;准确率高,精确的对攻击事件进行阻断和上报;支持自定义的实时检测规则,对0day漏洞进行阻断;不用使用客户源代码,能够保护私有应用的隐私;可以和CVE和CNNVD权威漏洞库进行联动及时防护安全漏洞;通过RASP拦截的攻击信息生成黑名单然后在WAF中进行黑名单防护;根据RASP的安全防护信息生成WAF防护策略;RASP和WAF进行联动防护可以扩大安全防护的范围。
图3示出本申请第三实施例所提供的一种白名单安全防护装置,该白名单安全防护装置可用于实施上述基于RASP的白名单安全防护装置,其具体包括:
获取模块301,用于在web容器中加载RASP探针,获取WAF防护漏洞信息;
发送模块302,用于通过Portal端向RASP探针发送自定义安全防护规则;
分析模块303,用于根据自定义安全防护规则对WAF防护漏洞信息进行分析,得到攻击事件分析结果;
防护模块305,用于根据攻击事件分析结果执行实时防护操作。
根据上述白名单安全防护的实施,获取模块301用于在web容器中加载RASP探针,获取WAF防护漏洞信息;发送模块302用于通过Portal端向RASP探针发送自定义安全防护规则;分析模块303用于根据自定义安全防护规则对WAF防护漏洞信息进行分析,得到攻击事件分析结果;防护模块305用于根据攻击事件分析结果执行实时防护操作。即本方案在进行实施时,由于在web容器中加载RASP探针,并通过Portal端建立与WAF防护漏洞模块之间的连接,即实现RASP技术和WAF技术联合,可以扩大安全防护的范围。同时,通过RASP技术用来对生产环境上的应用进行实时的保护,可以在产线上为应用进行实时防护,适用场景更符合实际,不会受到局限。另外,当遇到不同严重程度的攻击事件时,能够针对性实施分级防护操作,来全面保护整个web容器中的应用。
图4示出了本发明第四实施例所提供的电子设备,该电子设备可用于实现前述任一实施例中的基于RASP的WAF联动防护方法。该电子设备包括:
存储器401、处理器402、总线403及存储在存储器401上并可在处理器402上运行的计算机程序,存储器401和处理器402通过总线403连接。处理器402执行该计算机程序时,实现前述实施例中的基于RASP的WAF联动防护方法。其中,处理器的数量可以是一个或多个。
存储器401可以是高速随机存取记忆体(RAM,Random Access Memory)存储器,也可为非不稳定的存储器(non-volatile memory),例如磁盘存储器。存储器401用于存储可执行程序代码,处理器402与存储器401耦合。
进一步的,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质可以是设置于上述各实施例中的电子装置中,该计算机可读存储介质可以是存储器。
该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现前述实施例中的基于RASP的WAF联动防护方法。进一步的,该计算机可存储介质还可以是U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的可读存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本申请所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于RASP的WAF联动防护方法,其特征在于,包括:
在web容器中加载RASP探针,获取WAF防护漏洞信息;
通过Portal端向所述RASP探针发送自定义安全防护规则;其中,所述Portal端为用于配置所述自定义安全防护规则的终端;
根据所述自定义安全防护规则对所述WAF防护漏洞信息进行分析,得到攻击事件分析结果;
根据所述攻击事件分析结果执行实时防护操作。
2.如权利要求1所述基于RASP的WAF联动防护方法,其特征在于,所述获取WAF安全漏洞信息的步骤,具体包括:
通过所述Portal端建立与WAF防护漏洞模块之间的连接;其中,所述WAF防护漏洞模块用于存储预设时间段内WAF防护漏洞信息;
接收所述WAF防护漏洞模块所发送的WAF防护漏洞信息,得到WAF安全漏洞信息。
3.如权利要求2所述基于RASP的WAF联动防护方法,其特征在于所述接收所述WAF防护漏洞模块所发送的WAF防护漏洞信息,得到WAF安全漏洞信息的步骤,具体包括:
通过所述Portal端发送请求导入指令至所述WAF防护漏洞模块;
接收所述WAF防护漏洞模块所发送的安全攻击漏洞信息、疑似安全攻击URL信息、安全弱点类型信息和安全攻击严重性信息;
其中,安全攻击漏洞信息、疑似安全攻击URL信息、安全弱点类型信息和安全攻击严重性信息组成WAF安全漏洞信息。
4.如权利要求1所述基于RASP的WAF联动防护方法,其特征在于,所述根据所述自定义安全防护规则对所述WAF防护漏洞信息进行分析,得到攻击事件分析结果的步骤,具体包括:
对所述自定义安全防护规则进行更新,得到实时安全防护规则;
采用所述实时安全防护规则对所述WAF防护漏洞信息进行分析,得到攻击事件分析结果。
5.如权利要求4所述基于RASP的WAF联动防护方法,其特征在于,所述采用所述实时安全防护规则对所述WAF防护漏洞信息进行分析,得到攻击事件分析结果的步骤,具体包括:
依次采用预设的cookie检测规则、进程安全检测规则及后台弱口令检测规则对所述WAF防护漏洞信息进行分析,得到攻击事件分析结果;
其中,所述cookie检测规则、进程安全检测规则及后台弱口令检测规则组成所述实时安全防护规则。
6.如权利要求1所述基于RASP的WAF联动防护方法,其特征在于,所述攻击事件分析结果包括攻击事件的安全等级;所述根据所述攻击事件分析结果执行实时防护操作的步骤,具体包括:
当所述攻击事件分析结果为攻击事件的安全等级低于预设安全等级时,执行对攻击事件进行写入操作的实时防护操作;
当所述攻击事件分析结果为攻击事件的安全等级等于预设安全等级时,执行对攻击事件进行拦截操作的实时防护操作;
当所述攻击事件分析结果为攻击事件的安全等级高于预设安全等级时,执行对攻击事件进行拦截操作并上报的实时防护操作。
7.如权利要求1所述基于RASP的WAF联动防护方法,其特征在于,在所述根据所述攻击事件分析结果执行实时防护操作的步骤之后,还包括:
通过RASP探针将所检测到的安全攻击事件以及控制指令发送至Portal端;其中,所述控制指令用于控制所述Portal端将安全攻击事件进行展示。
8.一种WAF联动防护装置,其特征在于,包括:
加载模块,用于在web容器中加载RASP探针,获取WAF防护漏洞信息;
发送模块,用于通过Portal端向所述RASP探针发送自定义安全防护规则;其中,所述Portal端为用于配置所述自定义安全防护规则的终端;
分析模块,用于根据所述自定义安全防护规则对所述WAF防护漏洞信息进行分析,得到攻击事件分析结果;
防护模块,用于根据所述攻击事件分析结果执行实时防护操作。
9.一种电子设备,其特征在于,包括存储器、处理器及总线;
所述总线用于实现所述存储器、处理器之间的连接通信;
所述处理器用于执行存储在所述存储器上的计算机程序;
所述处理器执行所述计算机程序时,实现权利要求1至7中任意一项所述基于RASP的WAF联动防护方法中的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至7中任意一项所述基于RASP的WAF联动防护方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211293851.0A CN115720150A (zh) | 2022-10-21 | 2022-10-21 | 基于rasp的waf联动防护方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211293851.0A CN115720150A (zh) | 2022-10-21 | 2022-10-21 | 基于rasp的waf联动防护方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115720150A true CN115720150A (zh) | 2023-02-28 |
Family
ID=85254275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211293851.0A Pending CN115720150A (zh) | 2022-10-21 | 2022-10-21 | 基于rasp的waf联动防护方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115720150A (zh) |
-
2022
- 2022-10-21 CN CN202211293851.0A patent/CN115720150A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3588898B1 (en) | Defense against apt attack | |
| US10073970B2 (en) | System and method for reverse command shell detection | |
| US10454950B1 (en) | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks | |
| US10587647B1 (en) | Technique for malware detection capability comparison of network security devices | |
| US8572750B2 (en) | Web application exploit mitigation in an information technology environment | |
| US11374964B1 (en) | Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints | |
| US20140181972A1 (en) | Preventive intrusion device and method for mobile devices | |
| WO2017056121A1 (en) | Method for the identification and prevention of client-side web attacks | |
| US20040030931A1 (en) | System and method for providing enhanced network security | |
| Sequeira | Intrusion prevention systems: security's silver bullet? | |
| US10356109B2 (en) | Security indicator linkage determination | |
| US20240045954A1 (en) | Analysis of historical network traffic to identify network vulnerabilities | |
| CN113632432A (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
| Le et al. | A threat computation model using a Markov Chain and common vulnerability scoring system and its application to cloud security | |
| CN115720150A (zh) | 基于rasp的waf联动防护方法、装置、设备及介质 | |
| KR20190020523A (ko) | 로그 분석을 이용한 공격 탐지 장치 및 방법 | |
| KR101518233B1 (ko) | 기업 내부 전산환경의 위협탐지를 위한 보안 장치 | |
| Chen et al. | A proactive approach to intrusion detection and malware collection | |
| US11763004B1 (en) | System and method for bootkit detection | |
| US10819730B2 (en) | Automatic user session profiling system for detecting malicious intent | |
| Osako et al. | Proactive Defense model based on Cyber threat analysis | |
| EP3999985A1 (en) | Inline malware detection | |
| Kumar et al. | A review on 0-day vulnerability testing in web application | |
| TWI761122B (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 | |
| US11451584B2 (en) | Detecting a remote exploitation attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |