CN116055222B - 一种防止攻击文件绕过waf检测的方法与装置 - Google Patents

Abstract

本申请实施例涉及网络安全技术领域，提供了一种防止攻击文件绕过WAF检测的方法与装置，通过接收多个HTTP请求并进行解析，得到每个HTTP请求中的多个请求文件，对多个请求文件进行过滤，以得出免检测文件和检测对象文件，免检测文件的文件体积大于检测对象文件的文件体积，免除对免检测文件进行攻击检测，对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求，从而有效检测隐藏于免检测文件之后的攻击文件，避免业务服务器遭受隐蔽攻击文件的攻击，保护业务服务器，提升网络安全，同时对免检测文件的过滤可以避免对免检测文件进行攻击检测造成处理资源和存储资源的浪费，节约处理资源和存储资源。

Description

一种防止攻击文件绕过WAF检测的方法与装置

技术领域

本申请各实施例属网络安全技术领域，尤其涉及一种防止攻击文件绕过WAF检测的方法与装置。

背景技术

由于硬件资源的限制，单台WAF（Web Application Firewall，Web应用防火墙）的检测能力往往受到限制。当WAF对HTTP请求进行检测时，通常只会对HTTP请求体的前若干个字节进行检测，检测长度可由用户配置或者是WAF系统自身提供一个默认值，例如，用户可以配置 HTTP请求体的前100MB文件作为WAF的检测对象，或者是WAF默认对HTTP请求体的前100MB 文件进行检测。这种仅仅对HTTP请求体的前若干个字节进行检测的方法存在一个严重安全隐患，即当攻击者在一个HTTP请求中携带多个文件体积较大的大文件，并将真正的攻击文件隐藏在该HTTP请求体中的大文件之后时，由于WAF只检查HTTP请求体的前若干个字节，导致检测的都是请求体中的正常文件，造成请求体中靠后的攻击文件没有被检测出来，进而产生业务服务器被入侵等网络安全问题。

综上所述，现有对HTTP请求的WAF检测技术存在无法检测隐藏在体积较大的大文件之后的攻击文件，计算机设备容易被入侵等技术问题。

发明内容

针对上述现有技术存在的不足，本申请提供一种防止攻击文件绕过WAF检测的方法与装置，以对HTTP请求中的免检测文件进行过滤，对隐藏在免检测文件之后的攻击文件进行检测，提升网络安全。

第一方面，本申请提供一种防止攻击文件绕过WAF的检测方法，用于检测HTTP请求携带的攻击文件，检测方法包括以下步骤：

接收多个HTTP请求并进行解析，得到每个HTTP请求中的多个请求文件；

对多个请求文件进行过滤，以得出免检测文件和检测对象文件，免检测文件的文件体积大于检测对象文件的文件体积；

免除对免检测文件进行攻击检测，对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求。

第二方面，本申请提供一种防止攻击文件绕过WAF的检测装置，用于检测HTTP请求携带的攻击文件，检测装置包括：

请求解析模块，用于接收多个HTTP请求并进行解析，得到每个HTTP请求中的多个请求文件；

请求过滤模块，用于对多个请求文件进行过滤，以得出免检测文件和检测对象文件，免检测文件的文件体积大于检测对象文件的文件体积；

请求拦截模块，用于免除对免检测文件进行攻击检测，对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求。

本申请与现有技术相比，本申请提供一种防止攻击文件绕过WAF检测的方法与装置，用于检测HTTP请求携带的攻击文件。本申请通过接收多个HTTP请求并进行解析，得到每个HTTP请求中的多个请求文件，对多个请求文件进行过滤，以得出免检测文件和检测对象文件，免检测文件的文件体积大于检测对象文件的文件体积，免除对免检测文件进行攻击检测，对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求，从而有效检测隐藏于免检测文件之后的攻击文件，避免业务服务器遭受隐蔽攻击文件的攻击，保护业务服务器，提升网络安全，同时对免检测文件的过滤可以避免对免检测文件进行攻击检测造成处理资源和存储资源的浪费，节约处理资源和存储资源。

针对上述现有技术存在的不足，本申请提供一种防止攻击文件绕过WAF检测的方法与装置，以对HTTP请求中的免检测文件进行过滤，对隐藏在免检测文件之后的攻击文件进行检测，提升网络安全。

第一方面，本申请提供一种防止攻击文件绕过WAF的检测方法，用于检测HTTP请求携带的攻击文件，检测方法包括以下步骤：

接收多个HTTP请求并进行解析，得到每个HTTP请求中的多个请求文件；

对多个请求文件进行过滤，以得出免检测文件和检测对象文件，免检测文件的文件体积大于检测对象文件的文件体积；

免除对免检测文件进行攻击检测，对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求。

第二方面，本申请提供一种防止攻击文件绕过WAF的检测装置，用于检测HTTP请求携带的攻击文件，检测装置包括：

请求解析模块，用于接收多个HTTP请求并进行解析，得到每个HTTP请求中的多个请求文件；

请求过滤模块，用于对多个请求文件进行过滤，以得出免检测文件和检测对象文件，免检测文件的文件体积大于检测对象文件的文件体积；

请求拦截模块，用于免除对免检测文件进行攻击检测，对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求。

本申请与现有技术相比，本申请提供一种防止攻击文件绕过WAF检测的方法与装置，用于检测HTTP请求携带的攻击文件。本申请通过接收多个HTTP请求并进行解析，得到每个HTTP请求中的多个请求文件，对多个请求文件进行过滤，以得出免检测文件和检测对象文件，免检测文件的文件体积大于检测对象文件的文件体积，免除对免检测文件进行攻击检测，对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求，从而有效检测隐藏于免检测文件之后的攻击文件，避免业务服务器遭受隐蔽攻击文件的攻击，保护业务服务器，提升网络安全，同时对免检测文件的过滤可以避免对免检测文件进行攻击检测造成处理资源和存储资源的浪费，节约处理资源和存储资源。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分，本领域技术人员应该理解的是，这些附图未必是按比例绘制的，在附图中：

图1是本申请防止攻击文件绕过WAF的检测方法的一种流程示意图；

图2是计算机设备的一种架构示意图；

图3是现有技术中WAF检测的一种系统架构示意图；

图4是本申请防止攻击文件绕过WAF的检测的一种系统架构示意图；

图5是本申请防止攻击文件绕过WAF的检测装置的一种架构示意图。

具体实施方式

了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

参见图1－图4，本实施例提供一种防止攻击文件绕过WAF的检测方法，用于检测HTTP请求携带的攻击文件，防止攻击文件绕过WAF的检测方法包括以下步骤：

S101、接收多个HTTP请求并进行解析，得到每个HTTP请求中的多个请求文件；

S103、对多个请求文件进行过滤，以得出免检测文件和检测对象文件，免检测文件的文件体积大于检测对象文件的文件体积；

S105、免除对免检测文件进行攻击检测，对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求。

需要说明的是，本实施例提供的防止攻击文件绕过WAF的检测方法可以运行在计算机设备端，计算机设备作为防止攻击文件绕过WAF的检测方法全部或部分步骤的执行主体，除了可以执行本实施例中步骤S101、步骤S103以及步骤S105之外，还可以运行下文中涉及的方法的部分或全部步骤。其中，计算机设备包括通过系统总线相互通信连接存储器、处理器、网络接口。需要指出的是，图中仅示出了计算机设备的部分组件，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。其中，本技术领域技术人员可以理解，这里的计算机设备是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路（ApplicationSpecific Integrated Circuit，ASIC)、可编程门阵列（Field－Programmable GateArray，FPGA)、数字处理器 (Digital Signal Processor，DSP)、嵌入式设备等。计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。存储器至少包括一种类型的可读存储介质。在一些实施例中，存储器可以是计算机设备的内部存储单元，例如该计算机设备的硬盘或内存。在另一些实施例中，存储器也可以是计算机设备的外部存储设备，例如该计算机设备上配备的插接式硬盘，智能存储卡（Smart Media Card,SMC），安全数字（Secure Digital, SD）卡，闪存卡（Flash Card）等。当然，存储器还可以既包括计算机设备的内部存储单元也包括其外部存储设备。可读存储介质可以包括闪存、硬盘、多媒体卡、卡型存储器（例如，SD或DX存储器等）、随机访问存储器（RAM）、静态随机访问存储器（SRAM）、只读存储器（ROM）、电可擦除可编程只读存储器（EEPROM）、可编程只读存储器（PROM）、磁性存储器、磁盘、光盘等。

还需要说明的是，现有技术中，当WAF对HTTP请求进行检测时，通常只会对HTTP请求体的前若干个字节进行检测，检测长度可由用户配置或者是WAF系统自身提供一个默认值，例如，用户可以配置 HTTP请求体的前100MB文件作为WAF的检测对象，或者是WAF默认对HTTP请求体的前100MB 文件进行检测。这种仅仅对HTTP请求体的前若干个字节进行检测的方法存在一个严重安全隐患，即当攻击者在一个HTTP请求中携带多个体积较大的大文件，并将真正的攻击文件隐藏在该HTTP请求体中的体积较大的大文件之后时，由于WAF只检查HTTP请求体的前若干个字节，导致检测的都是请求体中的正常文件，造成请求体中靠后的攻击文件没有被检测出来，进而产生业务服务器被入侵等网络安全问题。例如，当攻击者发送一个HTTP攻击请求时，假设该请求包含两个文件，第一个文件是大小为1GB的正常文件，第二个文件是大小为1KB的攻击文件。现有技术由于受限于自身检测引擎的检测能力，不会完整地将该请求发送到检测引擎进行检测，通常是发送请求中前固定大小的部分进行检测，例如发送前100MB文件进行检测。WAF的流量检测引擎在收到前100MB文件后进行检测，由于这部分文件内容都是正常内容，因此检测引擎认为该请求正常，进而WAF将放行整个HTTP请求，此时该HTTP攻击请求绕过WAF到达了计算机设备，对业务服务器造成了损害。

本实施例中，防止攻击文件绕过WAF的检测方法通过接收多个HTTP请求并进行解析，得到每个HTTP请求中的多个请求文件，对多个请求文件进行过滤，以得出免检测文件和检测对象文件，免检测文件的文件体积大于检测对象文件的文件体积，免除对免检测文件进行攻击检测，对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求，从而有效检测隐藏于体积较大的免检测文件之后的攻击文件，避免业务服务器遭受隐蔽攻击文件的攻击，保护业务服务器，提升网络安全，同时对免检测文件的过滤可以避免对免检测文件进行攻击检测造成处理资源和存储资源的浪费，节约处理资源和存储资源。示例性地，假设攻击者仍然发送一个HTTP攻击请求，该请求包含两个文件，第一个文件是大小为1GB的正常文件，第二个文件是大小为 1KB的攻击文件。防止攻击文件绕过WAF的检测方法首先对该HTTP请求进行接收解析，得到该请求中的两个文件，然后对每个文件进行过滤，得到免检测文件并免除检测，得到检测对象文件进行攻击检测，并在确认检测对象文件为攻击文件时拦截HTTP请求，实现对计算机设备的保护。其中，免检测文件是指大小大于待检测文件的数据体，可以根据实际过滤需求设定免检测文件的体积大小和检测对象文件的体积大小，例如，可以将超过100MB大小的文件确定为免检测文件，可以将1KB大小的文件设定为检测对象文件。在经过对检测对象文件进行识别得出该文件是攻击文件时，拦截该HTTP请求，例如，可以向攻击者返回HTTP 403(403 Forbidden)，从而使业务服务器得到保护。

具体到步骤S101中，计算机设备接收多个HTTP请求并进行解析，得到每个HTTP请求中的多个请求文件。进一步，步骤S101包括：

接收多个HTTP请求，每个HTTP请求包括请求头部和请求体；

解析每个HTTP请求的请求体以得到多个请求文件。其中，多个请求文件中每个请求文件包括先后排列的第一边界字符串、文件头部、第一分隔符、文件内容、第二分隔符以及第二边界字符串。

需要说明的是，HTTP的请求头部可以是“Content-Type”头部，该请求头部可以指定该HTTP的请求体（body）类型为“multipart/form-data”，并指定文件内容之间的边界字符串。例如：“Content-Type：multipart/form-data；boundary=------------2048513331804d43”，其指定在该HTTP请求体中，每个文件内容之间的边界为“boundary=-------------2048513331804d43”。在 HTTP的请求体中，首先是边界字符串，边界字符串之后则是文件头部，这里包含了Content-Disposition和Content-Type，用于指定文件的名称、文件的内容类型。文件头部之后则是文件内容，文件内容与文件头部之间可以通过 '\r\n' 分隔。文件内容之后则是一个 '\r\n'，并紧接着跟随一个边界字符串，至此一个文件部分结束，之后则又开始新的文件。如果没有新的文件，边界字符串之后可以紧跟 '--' 字符串作为终止。

具体到步骤S103中，计算机设备对多个请求文件进行过滤，以得出免检测文件和检测对象文件，免检测文件的文件体积大于检测对象文件的文件体积。进一步，步骤S103包括：

确定多个请求文件中每个请求文件的文件体积；

将每个请求文件的文件体积与第一预设值进行比较；

如果请求文件中的文件体积超过第一预设值，则确认超过第一预设值的请求文件为免检测文件。

需要说明的是，在设计文件过滤方法时，可以通过比较文件体积大小的方式直接得出免检测文件，例如将每个请求文件的体积大小与第一预设值进行比较。其中，第一预设值可以根据实际过滤需求进行设置，例如，第一预设值可以设置为100MB。

在完成与第一预设值的文件大小对比后，可以对检测对象文件进行识别判断。在一些优选实施例中，将每个请求文件的文件体积与第一预设值进行比较之后，包括：

将每个请求文件的文件体积与第二预设值进行比较；第二预设值小于第一预设值；

如果求文件中的文件体积低于第二预设值，则确认低于第二预设值的请求文件为检测对象文件。

需要说明的是，第二预设值可以根据实际检测需求进行设置，例如，第二预设值可以设置为1KB。需要注意的是，第二预设值需要比第一预设值小，这样在进行免检测文件识别和检测对象文件识别时，才能很好将免检测文件和检测对象文件进行区分，以便后续检测中进行取舍，实现有效检测隐藏于免检测文件之后的攻击文件。

在另外一些更为优选实施例中，将每个请求文件的文件体积与第一预设值进行比较之后，包括：

将每个请求文件的文件体积与第二预设值进行比较，第二预设值小于第一预设值；

如果请求文件中的文件体积低于第二预设值时，将低于第二预设值的请求文件的类型与预设文件类型进行对比；

当低于第二预设值的请求文件的类型与预设请求文件类型匹配时，则确定低于第二预设值的请求文件为免检测文件；

当低于第二预设值的请求文件的类型与预设请求文件类型不匹配时，则确认低于第二预设值的请求文件为检测对象文件。

需要说明的是，本实施例通过在请求中文件的大小低于第二预设值时，将低于第二预设值的请求文件的类型与预设文件类型进行对比，再根据比较结果来识别判断免检测文件和检测对象文件，从而不仅通过文件体积大小的判断对检测对象文件进行判断，而且还通过文件类型的判断进一步对检测对象文件进行判断，从而将检测对象文件进一步排除在预设的文件类型之外，缩小检测范围，从而减少检测中内存资源和处理资源的开销。其中，预设文件类型可以是计算机网络安全领域通常认为不可能成为攻击文件的文件，例如图片文件。

具体到步骤S105中，计算机设备免除对免检测文件进行攻击检测，对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求。优选地，步骤S105包括：

通过WAF的流量转发引擎禁止向WAF的流量检测引擎转发免检测文件，以免除对免检测文件进行攻击检测；

通过WAF的流量转发引擎向WAF的流量检测引擎转发检测对象文件，以使流量检测引擎对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时通过WAF拦截HTTP请求。

在进一步实施例中，通过WAF的流量转发引擎禁止向WAF的流量检测引擎转发免检测文件，以免除对免检测文件进行攻击检测，包括：

接收WAF的流量转发引擎转发的HTTP请求；

判断转发HTTP请求中的多个请求文件是否为免检测文件，如果是免检测文件，则拒绝将接收的HTTP请求向WAF的流量检测引擎转发，以免除对免检测文件进行攻击检测。

在另外一些实施例中，通过WAF的流量转发引擎向WAF的流量检测引擎转发检测对象文件，以使流量检测引擎对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时通过WAF拦截HTTP请求，包括：

接收WAF的流量转发引擎转发的HTTP请求；

判断转发HTTP请求中的多个请求文件是否为检测对象文件，如果是检测对象文件，则向WAF的流量检测引擎转发检测对象文件，以使流量检测引擎对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时通过WAF拦截HTTP请求。

示例性地，假设攻击者发送一个HTTP 攻击请求，该请求包含两个文件，第一个文件是大小为1GB的正常文件，第二个文件是大小为1KB的检测对象文件。WAF的流量转发引擎在接收HTTP请求后，对该HTTP请求体进行解析，得到该HTTP请求中的两个文件，即大小为1GB的正常文件和大小为1KB的检测对象文件。通过设置，可以将超过100MB大小的文件识别为免检测文件，将低于或等于1KB大小的文件识别为检测对象文件，因此1GB大小的文件视为免检测文件，不会送到检测引擎进行检测，而1KB大小的文件则为检测对象文件，需要检测。因此WAF的流量转发引擎转发HTTP的请求体中的1KB文件到WAF的检测引擎，WAF的检测引擎在收到该1KB的文件后，若识别出该文件是攻击文件，认为需要拦截该HTTP请求，则WAF拦截整个HTTP请求，向攻击者返回HTTP403(403 Forbidden)，从而使业务服务器得到WAF保护。

在一些进一步改进实施例中，接收WAF的流量转发引擎转发的HTTP请求之后，还包括：

判断转发HTTP请求中的多个请求文件是否为检测对象文件，如果是检测对象文件，则给检测对象文件配置转发储存空间；

判断转发HTTP请求中的多个请求文件是否为免检测文件，如果是免检测文件，则不给免检测文件配置转发储存空间。

需要说明的是，给检测对象文件配置储存空间，以使得WAF的流量转发引擎对检测对象文件进行储存转发，不给免检测文件配置转发存储空间，以使得WAF的流量转发引擎免除转发免检测文件。需要说明的是，现有技术中，由于需要将HTTP请求的前若干字节转发给WAF的检测引擎进行检测，不对文件体积较大的大文件进行过滤，因此转发前需要给整个HTTP请求配置储存空间，包括免检测文件的储存空间，从而使得占用大量储存资源。本实施例中，由于只给检测对象文件配置储存空间，不给体积较大的免检测文件配置转发存储空间，从而节约储存开销。

参见图3-图5，本实施例提供一种防止攻击文件绕过WAF的检测装置，用于检测HTTP请求携带的攻击文件，检测装置包括：

请求解析模块，用于接收多个HTTP请求并进行解析，得到每个HTTP请求中的多个请求文件；

请求过滤模块，用于对多个请求文件进行过滤，以得出免检测文件和检测对象文件，免检测文件的文件体积大于检测对象文件的文件体积；

请求拦截模块，用于免除对免检测文件进行攻击检测，对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求。需要说明的是，现有技术中，当WAF对HTTP请求进行检测时，通常只会对HTTP请求体的前若干个字节进行检测，检测长度可由用户配置或者是WAF系统自身提供一个默认值，例如，用户可以配置 HTTP请求体的前100MB文件作为WAF的检测对象，或者是WAF默认对HTTP请求体的前100MB 文件进行检测。这种仅仅对HTTP请求体的前若干个字节进行检测的方法存在一个严重安全隐患，即当攻击者在一个HTTP请求中携带多个文件体积较大的大文件，并将真正的攻击文件隐藏在该HTTP请求体中的文件体积较大的大文件之后时，由于WAF只检查HTTP请求体的前若干个字节，导致检测的都是请求体中的正常文件，造成请求体中靠后的攻击文件没有被检测出来，进而产生业务服务器被入侵等网络安全问题。例如，当攻击者发送一个HTTP攻击请求时，假设该请求包含两个文件，第一个文件是大小为1GB的正常文件，第二个文件是大小为1KB的攻击文件。现有技术由于受限于自身检测引擎的检测能力，不会完整地将该请求发送到检测引擎进行检测，通常是发送请求中前固定大小的部分进行检测，例如发送前100MB文件进行检测。WAF的流量检测引擎在收到前100MB文件后进行检测，由于这部分文件内容都是正常内容，因此检测引擎认为该请求正常，进而WAF将放行整个HTTP请求，此时该HTTP攻击请求绕过WAF到达了计算机设备，对业务服务器造成了损害。

本实施例中，防止攻击文件绕过WAF的检测装置通过接收多个HTTP请求并进行解析，得到每个HTTP请求中的多个请求文件，对多个请求文件进行过滤，以得出免检测文件和检测对象文件，免检测文件的文件体积大于检测对象文件的文件体积，免除对免检测文件进行攻击检测，对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求，从而有效检测隐藏于体积较大的免检测文件之后的攻击文件，避免业务服务器遭受隐蔽攻击文件的攻击，保护业务服务器，提升网络安全，同时对免检测文件的过滤可以避免对免检测文件进行攻击检测造成处理资源和存储资源的浪费，节约处理资源和存储资源。

最后应说明的是：以上各实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述各实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (5)

1.一种防止攻击文件绕过WAF检测的方法，用于检测HTTP请求携带的攻击文件，其特征在于，所述检测方法包括以下步骤：

接收多个所述HTTP请求并进行解析，得到每个所述HTTP请求中的多个请求文件；

对多个所述请求文件进行过滤，以得出免检测文件和检测对象文件，所述免检测文件的文件体积大于所述检测对象文件的文件体积；

免除对所述免检测文件进行攻击检测，对所述检测对象文件进行攻击检测并在确认所述检测对象文件为所述攻击文件时拦截所述HTTP请求；

所述接收多个所述HTTP请求并进行解析，得到每个所述HTTP请求中的多个请求文件，包括：

接收多个所述HTTP请求，每个所述HTTP请求包括请求体；

解析每个所述HTTP请求的所述请求体以得到所述多个请求文件；

每个所述请求文件包括先后排列的第一边界字符串、文件头部、第一分隔符、文件内容、第二分隔符以及第二边界字符串；

所述对多个所述请求文件进行过滤，以得出免检测文件和检测对象文件，包括：

确定多个所述请求文件中每个请求文件的文件体积；

将每个请求文件的文件体积与第一预设值进行比较；

如果所述请求文件中的文件体积超过第一预设值，则确认超过第一预设值的请求文件为免检测文件；

将每个请求文件的文件体积与第二预设值进行比较，所述第二预设值小于所述第一预设值；

如果所述请求文件中的文件体积低于所述第二预设值，将低于所述第二预设值的请求文件类型与预设请求文件类型进行对比；

当低于所述第二预设值的请求文件类型与预设请求文件类型匹配时，则确定低于第二预设值的请求文件为免检测文件；

当低于所述第二预设值的请求文件类型与预设请求文件类型不匹配时，则确认低于所述第二预设值的请求文件为所述检测对象文件。

2.如权利要求1所述的防止攻击文件绕过WAF检测的方法，其特征在于，所述免除对所述免检测文件进行攻击检测，对所述检测对象文件进行攻击检测并在确认所述检测对象文件为所述攻击文件时拦截所述HTTP请求，包括：

通过WAF的流量转发引擎禁止向WAF的流量检测引擎转发所述免检测文件，以免除对所述免检测文件进行攻击检测；

通过WAF的流量转发引擎向WAF的流量检测引擎转发所述检测对象文件，以使所述流量检测引擎对所述检测对象文件进行攻击检测并在确认所述检测对象文件为所述攻击文件时通过WAF拦截所述HTTP请求。

3.如权利要求2所述的防止攻击文件绕过WAF检测的方法，其特征在于，所述通过WAF的流量转发引擎禁止向WAF的流量检测引擎转发所述免检测文件，以免除对所述免检测文件进行攻击检测，包括：

接收WAF的流量转发引擎转发的HTTP请求；

判断转发HTTP请求中的多个请求文件是否为所述免检测文件，如果是所述免检测文件，则拒绝将接收的所述HTTP请求向WAF的流量检测引擎转发，以免除对所述免检测文件进行攻击检测。

4.如权利要求2所述的防止攻击文件绕过WAF检测的方法，其特征在于，所述通过WAF的流量转发引擎向WAF的流量检测引擎转发所述检测对象文件，以使所述流量检测引擎对所述检测对象文件进行攻击检测并在确认所述检测对象文件为所述攻击文件时通过WAF拦截所述HTTP请求，包括：

接收WAF的流量转发引擎转发的HTTP请求；

判断转发HTTP请求中的多个请求文件是否为检测对象文件，如果是检测对象文件，则向WAF的流量检测引擎转发所述检测对象文件，以使所述流量检测引擎对所述检测对象文件进行攻击检测并在确认所述检测对象文件为所述攻击文件时通过WAF拦截所述HTTP请求。

5.一种防止攻击文件绕过WAF检测的装置，用于检测HTTP请求携带的攻击文件，其特征在于，所述检测装置包括：

请求解析模块，用于接收多个所述HTTP请求并进行解析，得到每个所述HTTP请求中的多个请求文件；

请求过滤模块，用于对多个所述请求文件进行过滤，以得出免检测文件和检测对象文件，所述免检测文件的文件体积大于所述检测对象文件的文件体积；

请求拦截模块，用于免除对所述免检测文件进行攻击检测，对所述检测对象文件进行攻击检测并在确认所述检测对象文件为所述攻击文件时拦截所述HTTP请求；

所述接收多个所述HTTP请求并进行解析，得到每个所述HTTP请求中的多个请求文件，包括：

接收多个所述HTTP请求，每个所述HTTP请求包括请求体；

解析每个所述HTTP请求的所述请求体以得到所述多个请求文件；

每个所述请求文件包括先后排列的第一边界字符串、文件头部、第一分隔符、文件内容、第二分隔符以及第二边界字符串；

所述对多个所述请求文件进行过滤，以得出免检测文件和检测对象文件，包括：

确定多个所述请求文件中每个请求文件的文件体积；

将每个请求文件的文件体积与第一预设值进行比较；

如果所述请求文件中的文件体积超过第一预设值，则确认超过第一预设值的请求文件为免检测文件；

将每个请求文件的文件体积与第二预设值进行比较，所述第二预设值小于所述第一预设值；

如果所述请求文件中的文件体积低于所述第二预设值，将低于所述第二预设值的请求文件类型与预设请求文件类型进行对比；

当低于所述第二预设值的请求文件类型与预设请求文件类型匹配时，则确定低于第二预设值的请求文件为免检测文件；

当低于所述第二预设值的请求文件类型与预设请求文件类型不匹配时，则确认低于所述第二预设值的请求文件为所述检测对象文件。

Images