CN115776517A - 业务请求处理方法、装置、存储介质及电子设备 - Google Patents
业务请求处理方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN115776517A CN115776517A CN202111045314.XA CN202111045314A CN115776517A CN 115776517 A CN115776517 A CN 115776517A CN 202111045314 A CN202111045314 A CN 202111045314A CN 115776517 A CN115776517 A CN 115776517A
- Authority
- CN
- China
- Prior art keywords
- service request
- service
- intrusion prevention
- target
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了业务请求处理方法、装置、存储介质及电子设备,上述方法包括获取表征正常业务请求的第一业务请求报文,以及表征恶意业务请求的第二业务请求报文;对上述第一业务请求报文与上述第二业务请求报文进行差异提取处理,得到第一差异数据;基于上述第一差异数据生成入侵防御策略,上述入侵防御策略用于在网站应用级入侵防御系统中对上述恶意业务请求进行防御。本申请实施例可以自动生成入侵防御策略,该入侵防御策略可以被应用于应用级入侵防御系统中,从而可以在车联网、区块链、网络安全等诸多应用场景中保障数据的通信安全。
Description
技术领域
本申请实施例涉及计算机技术领域,尤其涉及业务请求处理方法、装置、存储介质及电子设备。
背景技术
网站应用级入侵防御系统(Web Application Firewall,WAF)是通过执行入侵防御策略来为互联网提供安全防护的组件。相关技术中WAF执行的入侵防御规则主要依靠人工基于自身经验的分析得到,并由人工手动输入WAF系统。从而导致了WAF的防御表现对人工技术能力的依赖性较强,WAF的防御质量也相应的较难控制。
发明内容
为了提升WAF系统的防御质量,降低WAF防御对人工的依赖,使得防御效果稳定可控,本申请实施例提供业务请求处理方法、装置、存储介质及电子设备。
一方面,本申请实施例提供了一种业务请求处理方法,所述方法包括:
获取第一业务请求报文,所述第一业务请求报文表征由发包设备发送至业务响应设备的正常业务请求;
获取第二业务请求报文,所述第二业务请求报文表征由所述发包设备发送至所述业务响应设备的恶意业务请求;
对所述第一业务请求报文与所述第二业务请求报文进行差异提取处理,得到第一差异数据;
基于所述第一差异数据生成入侵防御策略,所述入侵防御策略用于在网站应用级入侵防御系统中对所述恶意业务请求进行防御。
另一方面,本申请实施例提供一种业务请求处理装置,所述装置包括:
第一业务请求报文获取模块,用于获取第一业务请求报文,所述第一业务请求报文表征由发包设备发送至业务响应设备的正常业务请求;
第二业务请求报文获取模块,用于获取第二业务请求报文,所述第二业务请求报文表征由所述发包设备发送至所述业务响应设备的恶意业务请求;
差异提取处理模块,用于对所述第一业务请求报文与所述第二业务请求报文进行差异提取处理,得到第一差异数据;
入侵防御策略自动生成模块,用于基于所述第一差异数据生成入侵防御策略,所述入侵防御策略用于在网站应用级入侵防御系统中对所述恶意业务请求进行防御。
另一方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或至少一段程序由处理器加载并执行以实现上述的一种业务请求处理方法。
另一方面,本申请实施例提供了一种电子设备,包括至少一个处理器,以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令实现上述的一种业务请求处理方法。
另一方面,本申请实施例提供了一种计算机程序产品,包括计算机程序或指令,该计算机程序或指令被处理器执行时实现上述的一种业务请求处理方法。
本申请实施例提供了业务请求处理方法、装置、存储介质及设备。本申请实施例可以通过对比分析正常业务请求的流量与恶意业务请求的流量之间的差异,自动生成入侵防御策略,入侵防御策略的生成过程不再依赖于人工经验,更加科学规范严谨和快速,入侵防御策略的生成过程可以考虑到各种差异字段,不错过重要的差异特征,从而具备高质量的显著优势,基于确定出的入侵防御策略进行入侵防御的效果也稳定可控。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案和优点,下面将对实施例或相关技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请实施例的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1是本申请实施例提供的业务请求处理方法的一种可行的实施框架示意图;
图2是本申请实施例提供的一种业务请求处理方法的流程示意图;
图3是本申请实施例提供的第一业务请求报文获取过程示意图;
图4是本申请实施例提供的容器基于Bridge模式与宿主机通信的框架示意图;
图5是本申请实施例提供的进行差异提取处理的方法流程图;
图6是本申请实施例提供的入侵防御策略自动生成的方法流程图;
图7是本申请实施例提供的业务请求处理方法的流程示意图;
图8是本申请实施例提供的主备模式的数据库的工作原理示意图;
图9是本申请实施例提供的日志存储方式示意图;
图10是本申请实施例提供的一种业务请求处理装置的框图;
图11是本申请实施例提供的一种用于实现本申请实施例所提供的方法的设备的硬件结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请实施例一部分实施例,而不是全部的实施例。基于本申请实施例中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请实施例保护的范围。
需要说明的是,本申请实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请实施例的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了使本申请实施例公开的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请实施例进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请实施例,并不用于限定本申请实施例。
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。为了便于理解本申请实施例上述的技术方案及其产生的技术效果,本申请实施例首先对于相关专业名词进行解释:
WAF:网站应用级入侵防御系统(Web Application Firewall),是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
HTTP:超文本传输协议(Hypertext Transfer Protocol)是一个简单的请求/响应协议,它通常运行在TCP(传输控制协议,Transmission Control Protocol)之上。HTTP指定了客户端可能发送给服务器何种形式的消息以及得到何种形式的响应。请求和响应消息的头以ASCII(美国信息交换标准代码,American Standard Code for InformationInterchange)形式给出;而消息内容则具有类似MIME(多用途互联网邮件扩展类型,Multipurpose Internet Mail Extensions)的格式。
HTTPS:Hyper Text Transfer Protocol over Secure Socket Layer,超文本传输安全协议。是以安全为目标的HTTP通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。
IP:Internet Protocol,网际互连协议。IP的目的是提高网络的可扩展性,解决互联网问题,实现大规模、异构网络的互联互通问题,以及分割顶层网络应用和底层网络技术之间的耦合关系,以利于两者的独立发展。根据端到端的设计原则,IP提供一种无连接、不可靠的、尽力而为的数据包传输服务。
Docker:一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到运行有操作系统的机器上,可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。
NAT:Network Address Translation,网络地址转换。
Httpd:Apache超文本传输协议(HTTP)服务器的主程序,被设计为一个独立运行的后台进程,它会建立一个处理请求的子进程或线程的池。
智能交通系统:Intelligent Traffic System,ITS,又称智能运输系统(Intelligent Transportation System),是将先进的科学技术(信息技术、计算机技术、数据通信技术、传感器技术、电子控制技术、自动控制理论、运筹学、人工智能等)有效地综合运用于交通运输、服务控制和车辆制造,加强车辆、道路、使用者三者之间的联系,从而形成一种保障安全、提高效率、改善环境、节约能源的综合运输系统。
相关技术中WAF规则几乎完全依靠人工分析,需要耗费众多人力并且质量难以控制。人工分析得到WAF规则的过程难以进行数字化记录,从而不具备复盘改进的条件,也进一步增加了WAF防御质量控制的难度。有鉴于此,本申请实施例提供了一种业务请求处理方法,该方法可以通过分析正常业务请求和恶意业务请求自动生成针对该恶意业务请求的入侵防御策略,不受限于人工的个人能力,也不会丢失或遗漏用于确定入侵防御策略的重要的攻击特征,从而显著提升入侵防御质量,使得入侵防御质量稳定可控,并且自动生成入侵防御策略可以显著提升入侵防御策略的生成速度,使得WAF系统可以快速对于恶意攻击作出响应。
请参阅图1,图1是本说明书实施例提供的业务请求处理方法的一种可行的实施框架示意图,如图1所示,该实施框架可以至少包括发包设备01、业务响应设备02、流量代理设备03和报文解析设备04,其中发包设备01也可以被认为是一种模拟攻击设备,这一模拟攻击设备可以向业务响应设备02发出正常业务请求和恶意业务请求,通过与业务响应设备02的交互实施恶意攻击。
流量代理设备03可以位于发包设备01和业务响应设备02之间,流量代理设备03并不会影响发包设备01和业务响应设备02的交互过程。具体来说,流量代理设备03可以拦截发包设备01发送至业务响应设备02的业务请求报文,将该业务请求报文复制下来后转发至业务响应设备02,而业务响应设备02针对该业务请求所产生的响应可以直接被传输至发包设备01,或者通过流量代理设备03被转发至发包设备01,本申请实施例对此不做限定。
流量代理设备03可以将复制得到的业务请求发送至报文解析设备04,报文解析设备04的关键工作就是把二进制传输的网络层报文重组成应用层的HTTP报文。流量代理设备03复制下来的业务请求是以二进制形式进行存储的,这是IP分片技术实施的结果。IP分片技术作为网络上传输IP报文的重要技术手段,体现的是数据交互中的分组交换的思想。互联网上的各种设备在传输数据时,难以一次性传输完所有数据的,需要将数据分为若干片进行传输,本申请实施例中报文解析设备04用于对流量代理设备03中复制出来的数据进行重组,还原得到完整的业务请求报文。
在IP协议中,每一种物理链路都会规定链路层数据帧的最大长度,称为MTU(Maximum Transmission Unit)。举例来说,在最常见的以太网环境中MTU为1500字节,如果要传输的数据帧大小超过1500字节,也就是IP数据报长度大于1472(1500-20-8=1472,普通数据报)字节,则数据需要分片之后进行传输。分片和重组是一个互为对称的过程。在报文解析设备04中进行报文重组过程中需要得到16位识别号、13位片偏移、16位和13位中间的3位标志,其中,16位识别号记录了一个IP包的标识,具有同一个标识的IP分片将会重新组装,13位片偏移记录了某IP片相对整个包的位置,16位和13位中间的3位标志记录了该分片后面是否还有新的分片,基于上述信息,报文解析设备04即可还原得到完整的业务请求报文。
发包设备01向业务响应设备02可以发送第一业务请求报文,上述第一业务请求报文表征由发包设备01发送至业务响应设备02的正常业务请求;也可以发送第二业务请求报文,上述第二业务请求报文表征由上述发包设备01发送至上述业务响应设备02的恶意业务请求。第一业务请求报文和第二业务请求报文都可以被流量代理设备03获取得到,并且在报文解析设备04中被还原出来。
本申请实施例中还可以包括入侵防御策略生成设备05,该入侵防御策略生成设备05可以对上述第一业务请求报文与上述第二业务请求报文进行差异提取处理,得到第一差异数据;基于上述第一差异数据生成入侵防御策略,上述入侵防御策略用于在网站应用级入侵防御系统中对上述恶意业务请求进行防御。在一个实施例中,该入侵防御策略生成设备05还可以根据确定出的入侵防御策略进行防御,该入侵防御策略生成设备05可以为WAF设备。
本申请实施例中提及的上述任一设备或系统可以为移动终端、台式电脑、平板电脑、笔记本电脑、数字助理、智能可穿戴设备等各种可以具备通信能力和导航能力的实体设备,也可以包括运行于实体设备中的软体。当然,还可以是服务器,该服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云计算服务的云服务器,本申请在此不做限制。
在一些实施例中,本申请实施例所提供的方法可以涉及区块链,即本申请实施例提供的方法可以基于区块链实现,或者本申请实施例提供的方法中涉及到的数据可以基于区块链存储,或本申请实施例中提供的方法的执行主体可以位于区块链中。区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。
区块链底层平台可以包括用户管理、基础服务、智能合约以及运营监控等处理模块。其中,用户管理模块负责所有区块链参与者的身份信息管理,包括维护公私钥生成(账户管理)、密钥管理以及用户真实身份和区块链地址对应关系维护(权限管理)等,并且在授权的情况下,监管和审计某些真实身份的交易情况,提供风险控制的规则配置(风控审计);基础服务模块部署在所有区块链节点设备上,用来验证业务请求的有效性,并对有效请求完成共识后记录到存储上,对于一个新的业务请求,基础服务先对接口适配解析和鉴权处理(接口适配),然后通过共识算法将业务信息加密(共识管理),在加密之后完整一致的传输至共享账本上(网络通信),并进行记录存储;智能合约模块负责合约的注册发行以及合约触发和合约执行,开发人员可以通过某种编程语言定义合约逻辑,发布到区块链上(合约注册),根据合约条款的逻辑,调用密钥或者其它的事件触发执行,完成合约逻辑,同时还提供对合约升级注销的功能;运营监控模块主要负责产品发布过程中的部署、配置的修改、合约设置、云适配以及产品运行中的实时状态的可视化输出,例如:告警、监控网络情况、监控节点设备健康状态等。
平台产品服务层提供典型应用的基本能力和实现框架,开发人员可以基于这些基本能力,叠加业务的特性,完成业务逻辑的区块链实现。应用服务层提供基于区块链方案的应用服务给业务参与方进行使用。
在一些实施例中,本申请提供的一种业务请求处理方法可以被应用于导航、自动驾驶、车联网、车路协同、智慧交通等场景。举例来说,在导航、自动驾驶、车联网、车路协同、智慧交通等场景中,车辆需要与其它设备,比如服务器或者其它车辆之间进行数据交互,在数据交互的过程中也可能会受到来自恶意方的攻击,可以基于本申请实施例中提供的业务请求处理方法生成入侵防御策略,从而基于该入侵防御策略对恶意方的攻击进行防御,以确保通信过程中的数据安全。
以下介绍本申请实施例的一种业务请求处理方法,图2示出了本申请实施例提供的一种业务请求处理方法的流程示意图,本申请实施例提供了如实施例或流程图上述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或服务器产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境),上述方法可以包括:
S101.获取第一业务请求报文,上述第一业务请求报文表征由发包设备发送至业务响应设备的正常业务请求。
本申请实施例中第一业务请求报文可以由发包设备发送至业务响应设备,并且被流量代理设备拦截后在报文解析设备中重组得到。第一业务请求报文对应于正常业务请求,具体来说,可以在发包设备中配置正常业务请求有关的参数,由发包设备根据上述参数自动生成第一业务请求报文。
在一个实施例中,第一业务请求报文为可以表征正常的HTTP请求,第一业务请求报文可以在报文解析设备中被还原后进入入侵防御策略生成设备,并在该入侵防御策略生成设备中被标记为正常业务流量报文。
若第一业务请求报文只包括一个第一业务子请求,获取该第一业务子请求报文即可,上述第一业务子请求报文表征由上述发包设备发送至上述业务响应设备的第一个第一业务子请求。
若上述正常业务请求包括N个第一业务子请求,其中,N为大于等于2的正整数,则上述获取第一业务请求报文,包括:
获取第一个第一业务子请求报文,上述第一个第一业务子请求报文表征由上述发包设备发送至上述业务响应设备的第一个第一业务子请求;获取第i个第一业务子请求报文,上述第i个第一业务子请求报文表征在上述发包设备获取到上述业务响应设备针对第i-1个第一业务子请求报文的响应的情况下,由上述发包设备发送至上述业务响应设备的第i个第一业务子请求,其中,i为大于1并且小于等于N的正整数。
请参考图3,其示出本申请实施例中第一业务请求报文获取过程示意图。第一业务请求报文包括三个第一业务子请求报文,当第一个第一业务子请求报文被业务响应设备接收到后,业务请求报文会产生对应的第一个第一业务子响应,当该第一个第一业务子响应到达发包设备之后,发包设备可以发出第二个第一业务子请求报文,并触发业务响应设备对应产生第二个第一业务子响应。当发包设备接收到该第二个第一业务子响应之后,可以发出第三个第一业务子请求报文,并接收来自业务响应设备的第三个第一业务子响应。在这个过程中,第一个第一业务子请求、第二个第一业务子请求、第三个第一业务子请求都被流量代理设备复制下来并在报文解析设备中被还原,得到第一业务请求报文,该第一业务请求报文被发送至入侵防御策略生成设备,并被标记为正常业务请求。
S102.获取第二业务请求报文,上述第二业务请求报文表征由上述发包设备发送至上述业务响应设备的恶意业务请求。
本申请实施例中对于不同的恶意业务请求都可以自动确定其对应的入侵防御策略,本申请实施例并不对恶意业务请求进行限定,比如,其可以为攻击型业务请求、注入型业务请求等。
在一个实施例中,第二业务请求报文为可以表征恶意的HTTP请求,第二业务请求报文可以在报文解析设备中被还原后进入入侵防御策略生成设备,并在该入侵防御策略生成设备中被标记为恶意业务流量报文。
若第二业务请求报文只包括一个第二业务子请求,获取该第二业务子请求报文即可,上述第二业务子请求报文表征由上述发包设备发送至上述业务响应设备的第一个第二业务子请求。若上述恶意业务请求包括上述N个第二业务子请求,上述获取第二业务请求报文,包括:获取第一个第二业务子请求报文,上述第一个第二业务子请求报文表征由上述发包设备发送至上述业务响应设备的第一个第二业务子请求;获取第t个第二业务子请求报文,上述第t个第二业务子请求报文表征在上述发包设备获取到上述业务响应设备针对第t-1个第二业务子请求报文的响应的情况下,由上述发包设备发送至上述业务响应设备的第t个第二业务子请求,其中,t为大于1并且小于等于N的正整数。第二业务请求报文的获取方法与第一业务请求报文的获取方法基于相同发明构思,在此不再赘述。
为了对于多种恶意业务请求都可以进行入侵防御策略的生成,在一个实施例中,可以基于容器技术构建每一恶意业务请求所对应的漏洞环境。具体来说,漏洞环境可以由运行于宿主机的容器提供,若该宿主机运行有M个容器,每个容器运行一个用于实施某种恶意攻击的漏洞环境,则该宿主机可以提供M个漏洞环境,相应的,可以用于确定M个恶意攻击。
具体来说,可以利用Docker来构建业务响应设备,因为Docker的便利性,不同的漏洞环境都可以通过Docker进行快速构建,从而可以在短时间进行多种入侵防御策略的确定。Docker的网络架构通常有4种模式,分别为Host模式,Container模式,None模式和Bridge模式。
对于Host模式,在Host模式下,Docker中的容器将不会有独立的网络命名空间,而是和宿主机共用一个网络。容器也不会有自己的虚拟网卡和虚拟IP,而是直接使用宿主机的IP和端口。除了网络命名空间公用之外,容器的文件系统,进程数据都是和宿主机隔离的。容器可以直接和宿主机共用IP地址与外界通信,容器内的服务也使用宿主机的端口,也不存在网络地址转换。HOST模式的优点在于直接使用宿主机网卡,网络性能高,由于和宿主机共用端口,服务需要避开宿主机本身已经使用的端口,否则无法提供服务。也因为和宿主机共用网卡,Host模式下网络的隔离性稍差一些。
对于Container模式,在Container模式下,不同容器通过IO网卡进行通信,不同容器的文件系统,进程数据都是互相隔离的。但是他们共享一个和宿主机隔离的网络命名空间及端口范围。
对于None模式,在None模式下,Docker容器没有自己的网卡,IP和路由信息,完全就是一个隔离的系统,仅仅在容器内部存在一个IO环回网络。这种模式下的容器没有办法和外界通信,完全封闭的网络保证了容器自身的安全性。
对于Bridge模式,Bridge模式是Docker平台的默认模式,原理是在宿主机中虚拟出一个名为docker0的虚拟网桥,虚拟网桥相当于一个网络交换机。宿主机通过这个虚拟网桥和其他容器进行通信。具体实现上,docker0会给所有的容器分配一个IP地址,并设置默认网关为docker0的IP地址,这样容器和外界通信全部都通过docker0来完成。主机对容器的访问也通过docker0,这样docker0就实现了宿主机和容器之间的双向通信。
本申请实施例中用于运行漏洞环境的各容器都可以以Bridge模式与宿主机通信,请参考图4,其示出本申请实施例中容器基于Bridge模式与宿主机通信的框架示意图。Docker容器内部有一张eth0的网卡,被分配了IP地址172.17.0.2,通过虚拟网卡veth34c67d和网桥docker0连接,docker0配置地址为172.17.0.1,同时设置容器的默认网关为172.17.0.1也就是docker0,在宿主机上起一个Httpd的Docker,这样也就实现了Docker容器和宿主机之间的通信。在宿主机中再做一层NAT转发,将外部对宿主机物理网卡IP地址10.10.10.10的访问转发到容器的IP地址172.17.0.2上去,这样就实现了宿主机外部用户对Docker容器中服务的访问,这样外部的第一业务请求报文和第二业务请求报文即可到达容器中的业务响应设备,该业务响应设备产生的响应也可以被对应的发包设备接收。
本公开实施例中可以通过对发包设备进行配置,使其发送第二业务请求报文。在一个实施例中,可以通过直接编写漏洞利用脚本,设置该脚本的攻击目标为业务响应设备的地址,执行命令发起模拟攻击,则该脚本即可触发发包设备发送第二业务请求报文。在另一个实施例中,可以通过使用扫描器,选择特定的漏洞检测插件,发起扫描,带攻击特征的扫描报文(第二业务请求报文)经由发包设备发出。在另一个实施例中,还可以通过在发包设备中手工构造攻击报文(第二业务请求报文),具体来说,通常可以在流量器中进行手工操作,在输入参数中注入危险指令,得到第二业务请求报文。
S103.对上述第一业务请求报文与上述第二业务请求报文进行差异提取处理,得到第一差异数据。
请参考图5,其示出本申请实施例中进行差异提取处理的方法流程图。上述对上述第一业务请求报文与上述第二业务请求报文进行差异提取处理,得到第一差异数据,包括:
S1031.对上述第一业务请求报文与上述第二业务请求报文进行逐字段的差异性比较,确定至少一个差异字段。
本申请实施例中从报文解析设备中得到的上述第一业务请求报文与上述第二业务请求报文包含完整的业务数据,其中第一业务请求报文是正常业务请求报文,第二业务请求报文是恶意业务请求报文。对第一业务请求报文和第二业务请求报文进行逐字段的差异比对,即可确定正常情况下业务请求和恶意攻击情况下义务请求的差异,这些差异体现在确定出的至少一个差异字段中。
S1032.确定各差异字段之间的关联关系。
本申请实施例中还可以得到确定出的至少一个差异字段中各差异字段之间的关联关系,该关联关系也属于第一差异数据的内容。
举例来说,第一业务请求报文中的HTTP文本可以包括下述内容:
GET/shell?cmd=123HTTP/1.1
User-Agent:Hello,world
Host:192.168.1.1:80
Accept:text/html,application/xhtmlxml,application/xml;q=0.9,imag e/webp,*/*;q=0.8
Connection:keep-alive
第二业务请求报文的HTTP文本可以包括下述内容:
GET/shell?cmd=useradd vtest HTTP/1.1
User-Agent:Hello,world
Host:192.168.1.1:80
Accept:text/html,application/xhtmlxml,application/xml;q=0.9,image/webp,*/*;q=0.8
Connection:keep-alive
在步骤S103可以对上述HTTP文本进行逐字段的匹配从而得到第一差异数据,而不存在差异的字段对于生成入侵防御策略而言的意义不大,可以不予考虑。在前文示例中,第一差异数据即为“cmd=123”和“cmd=useradd vtest”。
S104.基于上述第一差异数据生成入侵防御策略,上述入侵防御策略用于在网站应用级入侵防御系统中对上述恶意业务请求进行防御。
本申请实施例中对于上述的每个差异字段,均可以对应得到入侵防御规则。请参考图6,其示出本申请实施例中入侵防御策略自动生成的方法流程图。上述方法包括:
S1041.确定针对第一目标差异字段的目标匹配方式、目标匹配字符串以及目标检测变量,上述第一目标差异字段为任一上述差异字段。
本申请实施例中目标匹配方式表征在进行入侵防御时,判断待检测的业务请求是否为恶意请求时对第一目标差异字段的匹配方式,比如,该目标匹配方式可以为正则匹配、数值大小匹配、内容包含匹配等。目标匹配字符串表征匹配第一目标差异字段时使用的语法规则。目标检测变量表征第一目标差异字段对应的字段名,比如如GET参数,POST参数或者Cookies等。
S1042.确定针对上述第一目标差异字段生成的入侵防御规则的目标标识。
本申请实施例中目标规则标识表征针对该差异字段生成的第一目标入侵防御规则所对应的唯一标识。
S1043.根据上述目标匹配方式、上述目标匹配字符串、上述目标检测变量和上述目标标识,生成针对上述第一目标差异字段的第一目标入侵防御规则。
本申请实施例中第一目标入侵防御规则包括了上述目标匹配方式、上述目标匹配字符串、上述目标检测变量和上述目标标识。在一些其它实施例中,上述第一目标入侵防御规则还包括下述内容中至少一个:
目标关联规则标识,上述目标关联规则标识为针对相关字段生成的入侵防御规则的标识,上述相关字段为与上述第一目标差异字段具备关联关系的其它差异字段。需要在入侵防御策略中进行多个入侵防御规则的联动匹配的情况下,需要设置目标关联规则标识。
目标优先级,上述目标优先级用于表征上述第一目标入侵防御规则在上述入侵防御策略中的各入侵防御规则中的匹配顺序。
目标检测分类,上述目标检测分类表征上述恶意业务请求对应的攻击分类。这一个参数是已知参数,也就是说,与用户在发包设备中的设置相匹配。比如,用户可以设置发包设备对业务响应设备进行SQL注入、XSS攻击等,使得该发包设备发送上述第二业务请求报文,而根据上述设置可以得到目标检测分类的值,其值也相应的为SQL注入、XSS攻击等。
目标危害等级,上述目标危害等级表征上述恶意业务请求对应的攻击的危害程度。目标危害等级与目标检测分类是匹配的,比如,其可以为严重,高危,中危或低危。
目标防御动作,上述目标防御动作表征对上述恶意业务请求的处理方式。具体来说,该目标防御动作可以为告警,阻断和放行。
目标规则描述,上述目标规则描述表征上述目标入侵规则的描述性内容。具体来说,该目标规则描述可以用于描述规则详情、原理或参考资料。
举个例子,生成的第一目标入侵防御规则如下:
在前文确定得到至少一个第一目标入侵防御规则的情况下,可以得到入侵防御策略,具体来说,对于进入应用级入侵防御系统中的业务请求而言,可以按照第一目标防御规则中的优先级进行匹配,在具备关联关系的第一目标防御规则均可以被匹配上的情况下,可以确定该业务请求是恶意的业务请求,则可以对其进行防御。
在一些实施例中,入侵防御策略中可以包括多个第一目标入侵防御规则,还可以通过进一步明确每一第一目标入侵防御规则的重要程度来进一步刻画入侵防御策略。比如,较为重要的第一目标入侵防御规则的重要程度可以被设置为高,其它第一目标入侵防御规则的重要程度可以被设置为低。对于进入网站应用级入侵防御系统的业务请求而言,该业务请求匹配到任一重要程度为高的第一目标入侵防御规则以及与其相关联的入侵防御规则,则可以启动防御,或者该业务请求同时匹配到预设数量个重要程度为低的第一目标入侵防御规则以及与其相关联的入侵防御规则,则也可以启动防御。本申请实施例并不限定上述预设数量,可以根据实际情况进行设定。
为了确定第一目标入侵防御规则的重要程度,本申请实施例中还可以获取获取至少一个第三业务请求报文,上述第三业务请求报文表征由上述发包设备发送至上述业务响应设备的、并且与上述第二业务请求报文同类型的恶意业务请求。第三业务请求报文的获取方法请参考第二业务请求报文的获取方法,在此不做赘述。
具体来说,针对每一上述第三业务请求报文,可以获取上述第三业务请求报文与上述第一业务请求报文之间的第二差异数据,上述第二差异数据包括至少一个第二目标差异字段,上述第二目标差异字段为上述第二差异数据中任一差异字段;确定针对每一上述第二差异字段的第二目标入侵防御规则。本申请实施例中,第二目标差异字段的确定方法与上述第一目标差异字段的确定方法一致,第二目标入侵防御规则的确定方法与第一目标入侵防御规则的确定方法一致,可以参考前文,在此不做赘述。
以SQL注入类型的恶意业务请求为例,为了获取这一类型对应的入侵防御策略,可以发送第一业务请求报文A1,第二业务请求报文B1,第三业务请求报文B2和B3。通过比较A1和B1,可以得到三个第一目标入侵防御规则S11、S12、S13,这三个规则分别对应字段z1、z2、z3。通过比较A1和B2,可以得到两个第二目标入侵防御规则S21、S22,这两个规则分别对应字段z1、z2。通过比较A1和B3,可以得到三个第二目标入侵防御规则S31、S32、S33,这三个规则分别对应字段z1、z2、z3。
进一步地,可以基于上述得到的第一目标入侵防御规则和第二目标入侵防御规则来确定入侵防御策略。具体的确定方法可以包括下述操作:针对每一差异字段,确定上述差异字段对应的第一目标入侵防御规则和第二目标入侵防御规则。根据上述差异字段对应的第一目标入侵防御规则和第二目标入侵防御规则的总数量,确定上述第一目标入侵防御规则的重要程度。根据每一上述第一目标入侵防御规则以及上述第一目标入侵防御规则的重要程度,得到上述入侵防御策略。本申请实施例通过进一步确定第一目标入侵防御规则的重要程度,可以生成更为准确的入侵防御策略。
以前文为例,对于字段z1,其对应第一目标规则S11以及第二目标规则S21、S31,对应的规则总数量为3;对于字段z2,其对应第一目标规则S12以及第二目标规则S22,对应的规则总数量为2;对于字段z3,其对应第一目标规则S13以及第二目标规则S23、S33,对应的规则总数量为3,则本申请实施例认为第一目标规则S11和S13的重要程度要高于第一目标规则S12。
请参考图7,其示出本申请实施例的业务请求处理方法的流程示意图。通过对正常业务请求的流量和恶意业务请求的流量均进行捕获,可以对于这两种业务请求的流量进行差异特征提取,进而自动确定出入侵防御策略。也就是说,本申请实施例公开的一种业务请求处理方法,可以通过对比分析正常业务请求的流量与恶意业务请求的流量之间的差异,自动生成入侵防御策略,入侵防御策略的生成过程不再依赖于人工经验,更加科学规范严谨和快速,入侵防御策略的生成过程可以考虑到各种差异字段,不错过重要的差异特征,从而具备高质量的显著优势,基于确定出的入侵防御策略进行入侵防御的效果也稳定可控。
在一个实施例中,还可以进一步地将生成的入侵防御策略存储在主备模式下的数据库之中。当然,该主备模式的数据库还可以存储各种用于自动生成入侵防御策略、或者基于某些入侵防御策略自动进行入侵防御的相关配置信息。
请参考图8,其示出本实施例中主备模式的数据库的工作原理示意图。图8中的(a)图是正常工作状态下的主备模式的数据库的工作模式,其中A库作为主库承载所有的数据读写工作,B库作为备库从A库将同步数据,将数据备份。图8中的(b)图是主库故障状态下的主备模式的数据库的工作模式,A库发生故障,无法对外提供数据读写服务,数据读写服务由B库来承担,同时AB库之间的数据同步中断。图8中的(c)图是故障修复状态下的主备模式的数据库的工作模式,A库故障修复,但是角色已经切换成备库,从B库将同步数据,将数据备份。同时B库将作为主库角色承担数据读写的工作。本申请实施例中使用主备模式的数据库可以增加业务请求处理方法执行的稳定性。
在一个实施例中,还可以将业务请求处理过程中产生的日志,以及启动上述入侵防御策略,生成的入侵防御记录,均以日志(log)形式进行存储,以确保入侵防御策略的确定过程,以及具体的入侵防御过程可以被记录,以便于后续复盘,管理员可以定期分析策略生成细节,复盘策略生成过程,改进策略工作逻辑,提升策略防护效果。在一个实施方式中,请参考图9,其示出本申请实施例中日志存储方式示意图,可以将上述日志存储在日志服务器中,也可以在生成日志的设备本地也记录一份。
在一个实施例中,可以将日志分为ERROR、WARN、INFO、DEBUG四个等级,其中,ERROR日志是最高级别错误记录,表明发生了严重的故障,直接导致无法正常工作,ERROR日志需要管理员重点关注,及时解决保障业务系统正常运行。WARN日志是低级别异常日志,表明在运行过程中触发了异常过程,但不影响正常工作,下一阶段的业务流程可以正常执行。WARN日志需要管理员足够关注,通常表示系统运行存在一定的风险,系统可能出现运行故障。INFO日志通常记录关键信息,保留正常工作期间关键运行数据,管理员在日常运维工作中也需要进行一定的关注。DEBUG日志主要是各类详细系统信息的记录,可以起到调试的作用,包括参数详细信息,调试细节相关信息,运行返回信息等等其他各类信息。
本申请实施例中的日志可以包括配置日志、监控日志、告警日志和运行日志,其中配置日志用于记录用户新增,删除,修改配置的行为,监控日志用于记录监控模块的操作行为,监控模块可以基于入侵防御策略对试图访问应用的业务请求进行监控,告警日志用于记录对外告警动作,运行日志用于记录参与入侵防御的整个系统后台运行过程中的行为。
请参考图10,其示出本实施例中一种业务请求处理装置的框图,上述装置包括:
第一业务请求报文获取模块101,用于获取第一业务请求报文,上述第一业务请求报文表征由发包设备发送至业务响应设备的正常业务请求。
第二业务请求报文获取模块102,用于获取第二业务请求报文,上述第二业务请求报文表征由上述发包设备发送至上述业务响应设备的恶意业务请求。
差异提取处理模块103,用于对上述第一业务请求报文与上述第二业务请求报文进行差异提取处理,得到第一差异数据。
入侵防御策略自动生成模块104,用于基于上述第一差异数据生成入侵防御策略,上述入侵防御策略用于在网站应用级入侵防御系统中对上述恶意业务请求进行防御。
在一个实施例中,上述第一差异数据包括差异字段和各上述差异字段之间的关联关系,上述差异提取处理模块,用于执行下述操作:
对上述第一业务请求报文与上述第二业务请求报文进行逐字段的差异性比较,确定至少一个差异字段;
确定各差异字段之间的关联关系。
在一个实施例中,上述入侵防御策略包括针对每一上述差异字段的入侵防御规则,上述入侵防御策略自动生成模块,用于执行下述操作:
确定针对第一目标差异字段的目标匹配方式、目标匹配字符串以及目标检测变量,上述第一目标差异字段为任一上述差异字段;
确定针对上述第一目标差异字段生成的入侵防御规则的目标标识;
根据上述目标匹配方式、上述目标匹配字符串、上述目标检测变量和上述目标标识,生成针对上述第一目标差异字段的第一目标入侵防御规则。
在一个实施例中,上述第一目标入侵防御规则还包括下述内容中至少一个:
目标关联规则标识,上述目标关联规则标识为针对相关字段生成的入侵防御规则的标识,上述相关字段为与上述第一目标差异字段具备关联关系的其它差异字段;
目标优先级,上述目标优先级用于表征上述第一目标入侵防御规则在上述入侵防御策略中的各入侵防御规则中的匹配顺序;
目标检测分类,上述目标检测分类表征上述恶意业务请求对应的攻击分类;
目标危害等级,上述目标危害等级表征上述恶意业务请求对应的攻击的危害程度;
目标防御动作,上述目标防御动作表征对上述恶意业务请求的处理方式;
目标规则描述,上述目标规则描述表征上述目标入侵规则的描述性内容。
在一个实施例中,上述装置还包括第三业务请求报文处理模块,用于执行下述操作:
获取至少一个第三业务请求报文,上述第三业务请求报文表征由上述发包设备发送至上述业务响应设备的、并且与上述第二业务请求报文同类型的恶意业务请求;
针对每一上述第三业务请求报文,获取上述第三业务请求报文与上述第一业务请求报文之间的第二差异数据,上述第二差异数据包括至少一个第二目标差异字段,上述第二目标差异字段为上述第二差异数据中任一差异字段;
确定针对每一上述第二差异字段的第二目标入侵防御规则;
上述入侵防御策略自动生成模块,用于执行下述操作:
针对每一差异字段,确定上述差异字段对应的第一目标入侵防御规则和第二目标入侵防御规则;
根据上述差异字段对应的第一目标入侵防御规则和第二目标入侵防御规则的总数量,确定上述第一目标入侵防御规则的重要程度;
根据每一上述第一目标入侵防御规则以及上述第一目标入侵防御规则的重要程度,得到上述入侵防御策略。
在一个实施例中,上述正常业务请求包括N个第一业务子请求,其中,N为大于等于2的正整数,上述第一业务请求报文获取模块,用于执行下述操作:
获取第一个第一业务子请求报文,上述第一个第一业务子请求报文表征由上述发包设备发送至上述业务响应设备的第一个第一业务子请求;
获取第i个第一业务子请求报文,上述第i个第一业务子请求报文表征在上述发包设备获取到上述业务响应设备针对第i-1个第一业务子请求报文的响应的情况下,由上述发包设备发送至上述业务响应设备的第i个第一业务子请求,其中,i为大于1并且小于等于N的正整数;
上述恶意业务请求包括上述N个第二业务子请求,上述获取第二业务请求报文,包括:
获取第一个第二业务子请求报文,上述第一个第二业务子请求报文表征由上述发包设备发送至上述业务响应设备的第一个第二业务子请求;
获取第t个第二业务子请求报文,上述第t个第二业务子请求报文表征在上述发包设备获取到上述业务响应设备针对第t-1个第二业务子请求报文的响应的情况下,由上述发包设备发送至上述业务响应设备的第t个第二业务子请求,其中,t为大于1并且小于等于N的正整数。
在一个实施例中,上述装置还包括环境配置模块,用于执行下述操作:
获取针对上述恶意业务请求的漏洞环境,上述漏洞环境由与宿主机基于桥接模式通信的容器提供;
在上述漏洞环境中运行上述业务响应设备。
在一个实施例中,上述装置还包括记录处理模块,用于执行下述操作:
将上述恶意业务请求对应的入侵防御策略存储至主备模式下的数据库之中;
启动上述入侵防御策略,生成入侵防御记录,将上述入侵防御记录以日志形式进行存储。
具体地,本申请实施例公开一种业务请求处理装置与上述对应的方法实施例均基于相同发明构思。详情请参见方法实施例,在此不再赘述。
本申请实施例还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述一种业务请求处理方法。
本申请实施例还提供了一种计算机可读存储介质,上述计算机可读存储介质可以存储有多条指令。上述指令可以适于由处理器加载并执行本申请实施例上述的一种业务请求处理方法。
进一步地,图11示出了一种用于实现本申请实施例所提供的方法的设备的硬件结构示意图,上述设备可以参与构成或包含本申请实施例所提供的装置或系统。如图11所示,设备10可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图11所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,设备10还可包括比图11中所示更多或者更少的组件,或者具有与图11所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到设备10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中上述的方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的一种业务请求处理方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至设备10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括设备10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(NetworkInterfaceController,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与设备10(或移动设备)的用户界面进行交互。
需要说明的是:上述本申请实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本申请实施例特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本申请实施例中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置和服务器实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,上述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上上述仅为本申请实施例的较佳实施例,并不用以限制本申请实施例,凡在本申请实施例的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请实施例的保护范围之内。
Claims (12)
1.一种业务请求处理方法,其特征在于,所述方法包括:
获取第一业务请求报文,所述第一业务请求报文表征由发包设备发送至业务响应设备的正常业务请求;
获取第二业务请求报文,所述第二业务请求报文表征由所述发包设备发送至所述业务响应设备的恶意业务请求;
对所述第一业务请求报文与所述第二业务请求报文进行差异提取处理,得到第一差异数据;
基于所述第一差异数据生成入侵防御策略,所述入侵防御策略用于在网站应用级入侵防御系统中对所述恶意业务请求进行防御。
2.根据权利要求1所述的方法,其特征在于,所述第一差异数据包括差异字段和各所述差异字段之间的关联关系,所述对所述第一业务请求报文与所述第二业务请求报文进行差异提取处理,得到第一差异数据,包括:
对所述第一业务请求报文与所述第二业务请求报文进行逐字段的差异性比较,确定至少一个差异字段;
确定各差异字段之间的关联关系。
3.根据权利要求2所述的方法,其特征在于,所述入侵防御策略包括针对每一所述差异字段的入侵防御规则,所述基于所述第一差异数据生成入侵防御策略,包括:
确定针对第一目标差异字段的目标匹配方式、目标匹配字符串以及目标检测变量,所述第一目标差异字段为任一所述差异字段;
确定针对所述第一目标差异字段生成的入侵防御规则的目标标识;
根据所述目标匹配方式、所述目标匹配字符串、所述目标检测变量和所述目标标识,生成针对所述第一目标差异字段的第一目标入侵防御规则。
4.根据权利要求3所述的方法,其特征在于,所述第一目标入侵防御规则还包括下述内容中至少一个:
目标关联规则标识,所述目标关联规则标识为针对相关字段生成的入侵防御规则的标识,所述相关字段为与所述第一目标差异字段具备关联关系的其它差异字段;
目标优先级,所述目标优先级用于表征所述第一目标入侵防御规则在所述入侵防御策略中的各入侵防御规则中的匹配顺序;
目标检测分类,所述目标检测分类表征所述恶意业务请求对应的攻击分类;
目标危害等级,所述目标危害等级表征所述恶意业务请求对应的攻击的危害程度;
目标防御动作,所述目标防御动作表征对所述恶意业务请求的处理方式;
目标规则描述,所述目标规则描述表征所述目标入侵规则的描述性内容。
5.根据权利要求3或4所述的方法,其特征在于,所述方法还包括:
获取至少一个第三业务请求报文,所述第三业务请求报文表征由所述发包设备发送至所述业务响应设备的、并且与所述第二业务请求报文同类型的恶意业务请求;
针对每一所述第三业务请求报文,获取所述第三业务请求报文与所述第一业务请求报文之间的第二差异数据,所述第二差异数据包括至少一个第二目标差异字段,所述第二目标差异字段为所述第二差异数据中任一差异字段;
确定针对每一所述第二差异字段的第二目标入侵防御规则;
所述基于所述第一差异数据生成入侵防御策略,还包括:
针对每一差异字段,确定所述差异字段对应的第一目标入侵防御规则和第二目标入侵防御规则;
根据所述差异字段对应的第一目标入侵防御规则和第二目标入侵防御规则的总数量,确定所述差异字段对应的第一目标入侵防御规则的重要程度;
根据每一所述第一目标入侵防御规则以及所述第一目标入侵防御规则的重要程度,确定所述入侵防御策略。
6.根据权利要求1所述的方法,其特征在于,所述正常业务请求包括N个第一业务子请求,其中,N为大于等于2的正整数,所述获取第一业务请求报文,包括:
获取第一个第一业务子请求报文,所述第一个第一业务子请求报文表征由所述发包设备发送至所述业务响应设备的第一个第一业务子请求;
获取第i个第一业务子请求报文,所述第i个第一业务子请求报文表征在所述发包设备获取到所述业务响应设备针对第i-1个第一业务子请求报文的响应的情况下,由所述发包设备发送至所述业务响应设备的第i个第一业务子请求,其中,i为大于1并且小于等于N的正整数;
所述恶意业务请求包括所述N个第二业务子请求,所述获取第二业务请求报文,包括:
获取第一个第二业务子请求报文,所述第一个第二业务子请求报文表征由所述发包设备发送至所述业务响应设备的第一个第二业务子请求;
获取第t个第二业务子请求报文,所述第t个第二业务子请求报文表征在所述发包设备获取到所述业务响应设备针对第t-1个第二业务子请求报文的响应的情况下,由所述发包设备发送至所述业务响应设备的第t个第二业务子请求,其中,t为大于1并且小于等于N的正整数。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取针对所述恶意业务请求的漏洞环境,所述漏洞环境由与宿主机基于桥接模式通信的容器提供;
在所述漏洞环境中运行所述业务响应设备。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述恶意业务请求对应的入侵防御策略存储至主备模式下的数据库之中;
启动所述入侵防御策略,生成入侵防御记录,将所述入侵防御记录以日志形式进行存储。
9.一种业务请求处理装置,其特征在于,所述装置包括:
第一业务请求报文获取模块,用于获取第一业务请求报文,所述第一业务请求报文表征由发包设备发送至业务响应设备的正常业务请求;
第二业务请求报文获取模块,用于获取第二业务请求报文,所述第二业务请求报文表征由所述发包设备发送至所述业务响应设备的恶意业务请求;
差异提取处理模块,用于对所述第一业务请求报文与所述第二业务请求报文进行差异提取处理,得到第一差异数据;
入侵防御策略自动生成模块,用于基于所述第一差异数据生成入侵防御策略,所述入侵防御策略用于在网站应用级入侵防御系统中对所述恶意业务请求进行防御。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或至少一段程序由处理器加载并执行以实现如权利要求1至8中任一项所述的一种业务请求处理方法。
11.一种电子设备,其特征在于,包括至少一个处理器,以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令实现如权利要求1至8中任一项所述的一种业务请求处理方法。
12.一种计算机程序产品,包括计算机程序或指令,其特征在于,该计算机程序或指令被处理器执行时实现权利要求1至8中任一项所述的一种业务请求处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111045314.XA CN115776517A (zh) | 2021-09-07 | 2021-09-07 | 业务请求处理方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111045314.XA CN115776517A (zh) | 2021-09-07 | 2021-09-07 | 业务请求处理方法、装置、存储介质及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115776517A true CN115776517A (zh) | 2023-03-10 |
Family
ID=85387755
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111045314.XA Pending CN115776517A (zh) | 2021-09-07 | 2021-09-07 | 业务请求处理方法、装置、存储介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115776517A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117319089A (zh) * | 2023-11-27 | 2023-12-29 | 杭州海康威视数字技术股份有限公司 | 基于语义感知策略自生成的物联网自防御方法及装置 |
-
2021
- 2021-09-07 CN CN202111045314.XA patent/CN115776517A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117319089A (zh) * | 2023-11-27 | 2023-12-29 | 杭州海康威视数字技术股份有限公司 | 基于语义感知策略自生成的物联网自防御方法及装置 |
CN117319089B (zh) * | 2023-11-27 | 2024-03-12 | 杭州海康威视数字技术股份有限公司 | 基于语义感知策略自生成的物联网自防御方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9596155B2 (en) | Encrypted peer-to-peer detection | |
CN107347047B (zh) | 攻击防护方法和装置 | |
US20150347751A1 (en) | System and method for monitoring data in a client environment | |
JP2017538376A (ja) | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 | |
US20110047610A1 (en) | Modular Framework for Virtualization of Identity and Authentication Processing for Multi-Factor Authentication | |
CN112235266B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
Kumar et al. | DDOS prevention in IoT | |
CN114448654B (zh) | 一种基于区块链的分布式可信审计安全存证方法 | |
Ajayi et al. | Secured cyber-attack signatures distribution using blockchain technology | |
Trost | Practical intrusion analysis: prevention and detection for the twenty-first century | |
Chatzoglou et al. | Revisiting QUIC attacks: A comprehensive review on QUIC security and a hands-on study | |
Lu et al. | Integrating traffics with network device logs for anomaly detection | |
US20180288082A1 (en) | Capturing data | |
Pauley et al. | Measuring and mitigating the risk of ip reuse on public clouds | |
KR101858207B1 (ko) | 국군 여가복지전용 보안망 시스템 | |
CN115776517A (zh) | 业务请求处理方法、装置、存储介质及电子设备 | |
Sørensen et al. | Automatic profile-based firewall for iot devices | |
Lekkas et al. | Handling and reporting security advisories: A scorecard approach | |
Kalil | Policy Creation and Bootstrapping System for Customer Edge Switching | |
La | Security monitoring for network protocols and applications | |
Kammara et al. | Identifying IoT-Based Botnets: 293A Microservice Architecture for IoT Management and Security | |
Pickel et al. | Enabling automated detection of security events that affect multiple administrative domains | |
Larsen | Slow port scanning with bro | |
He | Towards Practicalization of Blockchain-Based Decentralized Applications | |
Hajdarevic | Cyber Security Audit in Business Environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |