CN116074280A

CN116074280A - 应用入侵防御系统识别方法、装置、设备和存储介质

Info

Publication number: CN116074280A
Application number: CN202111272691.7A
Authority: CN
Inventors: 邓书凡
Original assignee: Tencent Technology Shenzhen Co Ltd
Current assignee: Tencent Technology Shenzhen Co Ltd
Priority date: 2021-10-29
Filing date: 2021-10-29
Publication date: 2023-05-05

Abstract

本申请提供了一种应用入侵防御系统识别方法、装置、设备和存储介质，涉及互联网技术领域，可以应用于云技术、人工智能、智慧交通、辅助驾驶等各种场景，包括：获取目标网站的网站标识信息；发送基于网站标识信息生成的域名解析请求、网络请求和攻击请求中的至少一种；接收经目标网站的应用入侵防御系统反馈的，域名解析请求对应的域名解析响应信息、网络请求对应的网络响应信息和重定向信息、以及攻击请求对应的攻击响应信息中的至少一种；对域名解析响应信息、网络响应信息、重定向信息和攻击响应信息中的至少一种响应信息进行系统类型识别，得到目标网站的应用入侵防御系统的系统类型。本申请能够提高识别结果的准确性、全面性和识别效率。

Description

应用入侵防御系统识别方法、装置、设备和存储介质

技术领域

本申请涉及互联网技术领域，尤其涉及一种应用入侵防御系统识别方法、装置、设备和存储介质。

背景技术

在网络安全建设中，渗透测试是一项非常重要的工作，能够对系统的弱点、技术缺陷或漏洞进行主动分析，以清晰知晓系统中存在的安全隐患和问题。在对目标站点发起黑盒测试等渗透测试时，目标站点使用的应用入侵防御系统的类型决定了需要采用的渗透方法，因此对目标站点进行应用入侵防御系统识别是首要工作。现有技术方案只能通过攻击请求的返回页面中的文字内容来判断应用入侵防御系统的类型，识别方法单一，准确性低，效率底下，且对测试人员的技术门槛要求较高。因此，需提供一种改进的应用入侵防御系统识别方案，以解决上述问题。

发明内容

本申请提供了一种应用入侵防御系统识别方法、装置、设备和存储介质，可以有效提高应用入侵防御系统识别的准确性和全面性。

一方面，本申请提供了一种应用入侵防御系统识别方法，所述方法包括：

获取目标网站的网站标识信息；

发送基于所述网站标识信息生成的域名解析请求、网络请求和攻击请求中的至少一种；

接收经所述目标网站的应用入侵防御系统反馈的，所述域名解析请求对应的域名解析响应信息、所述网络请求对应的网络响应信息和重定向信息、以及所述攻击请求对应的攻击响应信息中的至少一种；

对所述域名解析响应信息、所述网络响应信息、所述重定向信息和所述攻击响应信息中的至少一种响应信息进行系统类型识别，得到所述目标网站的应用入侵防御系统的系统类型。

另一方面提供了一种应用入侵防御系统识别装置，所述装置包括：

网站标识获取模块：用于获取目标网站的网站标识信息；

请求发送模块：用于发送基于所述网站标识信息生成的域名解析请求、网络请求和攻击请求中的至少一种；

响应信息接收模块：用于接收经所述目标网站的应用入侵防御系统反馈的，所述域名解析请求对应的域名解析响应信息、所述网络请求对应的网络响应信息和重定向信息、以及所述攻击请求对应的攻击响应信息中的至少一种；

系统类型识别模块：用于对所述域名解析响应信息、所述网络响应信息、所述重定向信息和所述攻击响应信息中的至少一种响应信息进行系统类型识别，得到所述目标网站的应用入侵防御系统的系统类型。

另一方面提供了一种计算机设备，所述设备包括处理器和存储器，所述设备包括处理器和存储器，所述存储器中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由所述处理器加载并执行以实现如上述的应用入侵防御系统识别方法。

另一方面提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如上述的应用入侵防御系统识别方法。

另一方面提供了一种终端，所述终端包括处理器和存储器，所述设备包括处理器和存储器，所述存储器中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由所述处理器加载并执行以实现如上述的应用入侵防御系统识别方法。

另一方面提供了一种服务器，所述服务器包括处理器和存储器，所述设备包括处理器和存储器，所述存储器中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由所述处理器加载并执行以实现如上述的应用入侵防御系统识别方法。

另一方面提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令被处理器执行时实现如上述的应用入侵防御系统识别方法。

本申请提供的应用入侵防御系统识别方法、装置、设备、存储介质、终端、服务器和计算机程序产品，具有如下技术效果：

本申请获取目标网站的网站标识信息；发送基于网站标识信息生成的域名解析请求、网络请求和攻击请求中的至少一种；接收经目标网站的应用入侵防御系统反馈的，域名解析请求对应的域名解析响应信息、网络请求对应的网络响应信息和重定向信息、以及攻击请求对应的攻击响应信息中的至少一种；对域名解析响应信息、网络响应信息、重定向信息和攻击响应信息中的至少一种响应信息进行系统类型识别，得到目标网站的应用入侵防御系统的系统类型；能够通过获取多维度的响应信息，并利用该多维度信息进行应用入侵防御系统类型的自动识别，提高识别结果的准确性和全面性，提高识别效率。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。

图1是本申请实施例提供的一种应用环境的示意图；

图2是本申请实施例提供的一种应用入侵防御系统识别方法的流程示意图；

图3是本申请实施例提供的另一种应用入侵防御系统识别方法的流程示意图；

图4是本申请实施例提供的一种应用入侵防御系统识别系统的框架示意图；

图5-6是本申请实施例提供的一种应用入侵防御系统识别系统的前端控制台模块的界面示意图；

图7-9是本申请实施例提供的应用入侵防御系统识别系统的数据存储模块的结构示意图；

图10是本申请实施例提供的应用入侵防御系统识别系统的日志记录模块的日志写入方法示意图；

图11是本申请实施例提供的在具体应用场景下的应用环境的示意图；

图12是本申请实施例提供的一种应用入侵防御系统识别方法的流程示意图；

图13是本申请实施例提供一种具体应用场景下的应用环境的示意图；

图14是本申请实施例提供一种应用入侵防御系统识别装置的框架示意图；

图15是本申请实施例提供的一种应用入侵防御系统识别方法的电子设备的硬件结构框图；

图16是本申请实施例提供的一个区块链系统的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或子模块的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或子模块，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或子模块。

对本申请实施例进行进一步详细说明之前，对本申请实施例中涉及的名词和术语进行说明，本申请实施例中涉及的名词和术语适用于如下的解释。

WAF(Web Application Firewall，网站应用级入侵防御系统)：是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的系统。能够针对HTTP/HTTPS协议的流量进行协议解析，检测攻击并拦截攻击，同时记录攻击流量和来源。

余弦相似度算法：一个向量空间中两个向量夹角间的余弦值作为衡量两个个体之间差异的大小，余弦值接近1，夹角趋于0，表明两个向量越相似，余弦值接近于0，夹角趋于90度，表明两个向量越不相似。

渗透测试：是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。

请参阅图1，图1是本申请实施例提供的一种应用环境的示意图，如图1所示，该应用环境可以至少包括终端01、第一端02和第二端03。在实际应用中，终端01、第一端02和第二端03可以通过有线或无线通信方式进行直接或间接地连接，以实现终端01、第一端02和第二端03间的交互，本申请在此不做限制。

本申请实施例中，终端01可以包括智能手机、台式电脑、平板电脑、笔记本电脑、数字助理、增强现实(augmented reality，AR)/虚拟现实(virtual reality，VR)设备、智能语音交互设备、智能家电、智能可穿戴设备、车载终端设备等类型的实体设备，也可以包括运行于实体设备中的软体，例如应用程序等。

本申请实施例中，第一端02和第二端03基于服务器构建，可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network，内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。

具体的，云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来，实现数据的计算、储存、处理和共享的一种托管技术。它将计算任务分布在大量计算机构成的资源池上，使各种应用系统能够根据需要获取计算力、存储空间和信息服务。提供资源的网络被称为“云”。其中，人工智能云服务，一般也被称作是AIaaS(AI as a Service，中文为“AI即服务”)。这是目前主流的一种人工智能平台的服务方式，具体来说AIaaS平台会把几类常见的AI服务进行拆分，并在云端提供独立或者打包的服务。这种服务模式类似于开了一个AI主题商城：所有的开发者都可以通过API接口的方式来接入使用平台提供的一种或者是多种人工智能服务，部分资深的开发者还可以使用平台提供的AI框架和AI基础设施来部署和运维自已专属的云人工智能服务。

具体地，上述涉及的服务器可以包括实体设备，可以具体包括有网络通信子模块、处理器和存储器等等，也可以包括运行于实体设备中的软体，可以具体包括有应用程序等。

本申请实施例中，第一端02可以提供应用入侵防御系统识别服务，第二端03可以提供应用入侵防御服务和网站服务，如可以为运行有应用入侵防御系统的web服务器等。在一些实施例中，终端01可以应用入侵防御系统识别系统的客户端，可以提供界面交互服务，用于接收并向第一端02发送网站标识信息，以使第一端02基于所述网站标识信息生成域名解析请求、网络请求和攻击请求中的至少一种，并将其发送至第二端03，以使第二端03经应用入侵防御系统反馈响应信息，进而基于响应信息进行应用入侵防御系统的系统类型识别，并将识别到的系统类型结果发送至终端01；终端01可以对其进行显示。在另一些实施例中，终端01可以基于正常的网站访问需求，接收并向第二端03发送携带网站标识信息的域名解析请求和网络请求，以使第二端03网络请求经应用入侵防御系统反馈相应的响应信息；第一端02可以获取终端01接收到的响应信息，以进行应用入侵防御系统的系统类型识别；第一端02还可以基于网站标识信息或从终端01获取到的信息生成针对网站的攻击请求，以使第二端03网络请求经应用入侵防御系统反馈攻击请求对应的响应信息，并根据攻击请求对应的响应信息进行防御系统的系统类型识别。

此外，可以理解的是，图1所示的仅仅是一种应用入侵防御系统识别方法的应用环境，该应用环境可以包括更多或更少的节点，本申请在此不做限制。例如，应用入侵防御系统可以运行与单独的服务端，即应用环境还可以包括提供应用入侵防御服务的第三端，第二端03提供网站服务，第四端设置于终端01与第二端03之间，或设置于第一端02与第二端03之间，能够在网络请求到达第二端03前对网络请求进行扫描和过滤，分析并校验每个网络请求的网络包，确保其有效且安全，对无效或有攻击行为的请求进行阻断或隔离。

本申请实施例涉及的应用环境，或应用环境中的第一端02、第二端03和第三端等可以是由客户端、多个节点(接入网络中的任意形式的计算设备，如服务器、用户终端)通过网络通信的形式连接形成的分布式系统。分布式系统可以为区块链系统，该区块链系统可以提供应用入侵防御系统识别服务、应用入侵防御服务或网站服务等，还可以为上述各服务提供数据存储功能，例如存储应用入侵防御系统识别过程中的行为日志、识别结果、以及识别系统和防御系统等的配置信息等。

参见图16，图16是本发明实施例提供的分布式系统100应用于区块链系统的一个可选的结构示意图，由多个节点(接入网络中的任意形式的计算设备，如服务器、用户终端)和客户端形成，节点之间形成组成的点对点(P2P，Peer To Peer)网络，P2P协议是一个运行在传输控制协议(TCP，Transmission Control Protocol)协议之上的应用层协议。在分布式系统中，任何机器如服务器、终端都可以加入而成为节点，节点包括硬件层、中间层、操作系统层和应用层。

其中，区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新兴应用模式，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。区块链底层平台可以包括用户管理、基础服务、智能合约以及运营监控等处理模块。其中，用户管理模块负责所有区块链参与者的身份信息管理，包括维护公私钥生成(账户管理)、密钥管理以及用户真实身份和区块链地址对应关系维护(权限管理)等，并且在授权的情况下，监管和审计某些真实身份的交易情况，提供风险控制的规则配置(风控审计)；基础服务模块部署在所有区块链节点设备上，用来验证业务请求的有效性，并对有效请求完成共识后记录到存储上，对于一个新的业务请求，基础服务先对接口适配解析和鉴权处理(接口适配)，然后通过共识算法将业务信息加密(共识管理)，在加密之后完整一致的传输至共享账本上(网络通信)，并进行记录存储；智能合约模块负责合约的注册发行以及合约触发和合约执行，开发人员可以通过某种编程语言定义合约逻辑，发布到区块链上(合约注册)，根据合约条款的逻辑，调用密钥或者其它的事件触发执行，完成合约逻辑，同时还提供对合约升级注销的功能；运营监控模块主要负责产品发布过程中的部署、配置的修改、合约设置、云适配以及产品运行中的实时状态的可视化输出，例如：告警、监控网络情况、监控节点设备健康状态等。平台产品服务层提供典型应用的基本能力和实现框架，开发人员可以基于这些基本能力，叠加业务的特性，完成业务逻辑的区块链实现。应用服务层提供基于区块链方案的应用服务给业务参与方进行使用。

以下基于上述应用环境介绍本申请的一种应用入侵防御系统识别方法，应用于第二端，本申请实施例可应用于各种场景，包括但不限于云技术、人工智能、智慧交通、辅助驾驶等。请参考图2，图2是本申请实施例提供的一种应用入侵防御系统识别方法的流程示意图，本说明书提供了如实施例或流程图的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的系统或服务器产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图2所示，方法可以包括下述步骤。

S201：获取目标网站的网站标识信息。

本申请实施例中，目标网站可以以前述第三端的服务器为载体，如以web服务器为载体，能够提供网站文件上传和下载等服务。目标网站可以接收终端应用程序(如web应用程序)发送的网络请求，如HTTP请求或HTTPs请求等，并响应于该网络请求反馈相应的网站文件等数据。具体的，目标网站可以利用应用入侵防御系统进行安全防御，应用入侵防御系统设置于应用程序与目标网站之间，以对无效或有攻击行为的请求进行阻断或隔离，通过检查请求流量(如HTTP流量)，可以防止源自应用程序的安全漏洞(如注入漏洞、XSS漏洞、命令执行漏洞、文件包含漏洞等)的攻击。具体的，应用入侵防御系统可以包括但不限于WAF等，可以具体构建为WAF集群。

本申请实施例中，网站标识信息包括用于标识目标网站地址的信息，本申请的应用入侵防御系统识别系统可以通过前端控制台的界面接收需要检测的目标站点的网站标识信息，网站标识信息包括目标网站的目标域名信息，目标域名信息是检测目标网站是否使用了应用入侵防御系统，以及进行应用入侵防御系统得类型识别的必要信息。在一些情况下，网站标识信息还包括目标网站的目标IP信息，若访问域名需要与IP地址强绑定的情况下，目标IP信息也为必要信息。可以理解的，不同的目标网站可能设置不同类型的应用入侵防御系统，进而使用具有差异性的安全规则，所对应的渗透测试方法也不同。例如，不同厂商的应用入侵防御系统属于不同系统类型。

S203：发送基于网站标识信息生成的域名解析请求、网络请求和攻击请求中的至少一种。

本申请实施例中，域名解析请求可以是携带网站标识信息中的目标域名信息，并用于向域名服务器请求域名解析服务，以期得到域名指向的IP地址的请求，具体可以为DNS解析请求。具体的，网络请求可以是传输连接建立过程中的连接握手请求，如TCP连接握手请求，也可以是在传输连接建立后的网络资源请求，如HTTP请求或HTTPs请求等。攻击请求可以是携带攻击的网络请求，如携带攻击的连接握手请求或网络资源请求。在一些情况下，域名解析请求和网络请求可以是终端应用程序生成的，应用入侵防御系统识别系统获取并发送该域名解析请求和网络请求，攻击请求是应用入侵防御系统识别系统生成并发送的。在另一些情况下，应用入侵防御系统识别系统获取网站标识信息后，生成并发送域名解析请求、网络请求和攻击请求。具体的，域名解析请求、网络请求和攻击请求均可以以报文形式发送。

本申请实施例中，在目标网站设置有应用入侵防御系统的情况下，域名解析请求、网络请求和攻击请求被发送至目标网站之前，会被应用入侵防御系统接收，进而生成相应的响应信息，目标网站响应于网络请求发送的网络响应信息，会经由应用入侵防御系统反馈至应用程序或应用入侵防御系统识别系统，识别系统根据接收到的响应信息能够进行防御系统类型识别，和防御系统功能查缺。

在实际应用中，可以基于网站标识信息生成并发送域名解析请求、网络请求和攻击请求中的一种或几种，在目标网站设置了应用入侵防御系统的情况下，可以获取其针对一种或几种请求反馈的响应信息，以进行防御系统类型识别。

S205：接收经目标网站的应用入侵防御系统反馈的，域名解析请求对应的域名解析响应信息、网络请求对应的网络响应信息和重定向信息、以及攻击请求对应的攻击响应信息中的至少一种。

本申请实施例中，在目标网站设置了应用入侵防御系统的情况下，应用入侵防御系统向识别系统或应用程序反馈域名解析响应信息、网络响应信息、重定向信息或攻击响应信息，经过应用入侵防御系统反馈的部分或全部响应信息中会携带有与系统类型相关的防御特征信息，识别系统根据该防御特征信息能够确定应用入侵防御系统的系统类型。具体的，域名解析响应信息、网络响应信息、重定向信息和攻击响应信息也可以是报文形式。

S207：对域名解析响应信息、网络响应信息、重定向信息和攻击响应信息中的至少一种响应信息进行系统类型识别，得到目标网站的应用入侵防御系统的系统类型。

本申请实施例中，在仅生成或发送其中任一种请求的情况下，基于该请求对应的经由应用入侵防御系统反馈的响应信息识别应用入侵防御系统的系统类型。在生成或发送上述请求中的两种或两种以上的情况下，基于两种或两种以上请求对应的响应信息识别应用入侵防御系统的系统类型，得到每种请求对应的系统类型，并对得到的全部系统类型综合分析，以确定应用入侵防御系统的系统类型。

本申请实施例中，在仅生成或发送其中任一种请求的情况下，S207可以包括：对域名解析响应信息、网络响应信息、重定向信息或攻击响应信息中携带的防御特征信息进行系统类型识别，得到目标网站的应用入侵防御系统的系统类型。通过上述响应信息中的任一种进行入侵防御系统的系统类型识别，以确定目标网站采用的防御系统的类型。

基于上述部分或全部实施方式，在实际应用中，域名解析请求包括第一域名解析请求和第二域名解析请求，域名解析响应信息可以包括第一解析响应信息和第二解析响应信息，在一些情况下，可以基于第一解析响应信息进行应用入侵防御系统的系统类型识别。相应的，步骤S203中发送基于网站标识信息生成的域名解析请求可以包括步骤S301：发送基于目标域名信息生成的第一域名解析请求，以使应用入侵防御系统生成携带有别名信息的第一解析响应信息。

具体实施例中，网站标识信息包括目标网站的目标域名信息，在目标网站未设置应用入侵防御系统的情况下，域名解析请求会发送至域名解析服务器，以使域名解析服务器响应于域名解析请求对其携带的目标域名信息进行解析，以得到对应的IP地址，进而将其反馈至应用程序。而在设置应用入侵防御系统，该系统具有域名解析请求拦截功能的情况下，识别系统发送的域名解析请求会被该系统接收。具体的，识别系统可以针对目标域名信息发起第一次域名解析，基于目标域名信息生成并发送第一域名解析请求，以使目标网站的应用入侵防御系统响应于第一域名解析请求，针对目标域名信息进行解析，得到携带有别名信息的第一解析响应信息。具体的，第一解析响应信息可以是应用入侵防御系统直接响应于第一域名解析请求直接生成的，也可以是对域名服务器反馈的初始解析响应信息进行信息修改生成的、携带有别名信息的响应信息，该别名信息具有防御特征信息。

进一步的，步骤S207中的对域名解析响应信息进行系统类型识别，得到目标网站的应用入侵防御系统的系统类型可以包括下述步骤。

S303：提取第一解析响应信息中的别名信息。

S305：基于预设的别名特征与系统类型间的对应关系，对第一解析响应信息中的别名信息进行别名特征匹配，得到第一解析响应信息对应的系统类型。

具体的，预设的别名特征携带有表征应用入侵防御系统的防御特征的信息，可以为防御系统域名字段、字符串或关键字等，也可以为防御系统标识字段、字符串或关键字等。可以理解的，系统类型不同，预设的别名特征不同，应用入侵防御系统的别名信息中包括的防御特征信息也不相同。相应的，预设的别名特征与系统类型间的对应关系可以为别名信息中的防御特征信息与系统类型间的对应关系。具体的，别名信息中的防御特征信息可以为应用入侵防御系统的防御系统域名信息；别名信息中的防御特征信息与系统类型间的对应关系则为防御系统域名信息与系统类型间的对应关系。

具体的，识别系统利用分析模块对接收到的第一解析响应信息进行系统类型识别。通过读取第一解析响应信息，可以提取其中别名信息对应的字段，进而将别名信息字段中与防御特征信息相关的字段，并与预存的别名特征进行特征匹配；在存在匹配的别名特征的情况下，如存在与第一解析响应信息的防御系统域名信息匹配的域名，将匹配到的别名特征对应的系统类型确定为第一解析响应信息对应的系统类型，即根据第一解析响应信息确定的应用入侵防御系统的系统类型。

具体的，若第一解析响应信息中未携带别名信息或别名信息中未包括防御特征信息，则无法根据第一解析响应信息识别应用入侵防御系统的系统类型，一种原因为目标网站未设置应用入侵防御系统，另一种原因为应用入侵防御系统无法针对第一域名解析请求进行安全防御，存在防御功能缺陷。

基于上述部分或全部实施方式，在实际应用中，可以基于第二解析响应信息进行应用入侵防御系统的系统类型识别。相应的，在发送基于目标域名信息生成的第一域名解析请求之后，S203还可以包括步骤S307：发送基于别名信息生成的第二域名解析请求，以使应用入侵防御系统生成携带有应用入侵防御系统的目标系统IP信息的第二解析响应信息。

具体实施例中，在接收到携带有别名信息的第一解析响应信息后，可以针对别名信息发起第二次域名解析，即根据别名信息生成并发送第二域名解析请求，以使应用入侵防御系统响应于第二域名解析请求，针对别名信息进行解析，即对别名信息中的应用入侵防御系统的防御系统域名信息进行解析，得到携带有应用入侵防御系统的目标系统IP信息的第二解析响应信息。

进一步的，步骤S207中对域名解析响应信息进行系统类型识别，得到目标网站的应用入侵防御系统的系统类型可以包括下述步骤。

S309：提取第二解析响应信息中的目标系统IP信息。

S311：基于预设的系统IP信息与系统类型间的对应关系，对第二解析响应信息中的目标系统IP信息进行IP匹配，得到第二解析响应信息对应的系统类型。

具体的，预设的系统IP信息表征应用入侵防御系统的IP地址，可以为整体系统IP、系统IP中的关键字段或关键字符串等。可以理解的，系统类型不同，应用入侵防御系统的系统IP信息也不相同，系统IP信息为第二解析响应信息中的防御特征信息。

具体的，识别系统利用分析模块对接收到的第二解析响应信息进行系统类型识别。通过读取第二解析响应信息，可以提取其中的目标系统IP信息对应的字段，进而将目标系统IP信息字段与预存的系统IP信息进行特征匹配；在存在匹配的系统IP信息的情况下，将匹配到的系统IP信息对应的系统类型确定为第二解析响应信息对应的系统类型，即根据第二解析响应信息确定的应用入侵防御系统的系统类型。

具体的，若第一解析响应信息中的别名信息未包括防御特征信息，且第二解析响应信息中不包括系统IP信息，则目标网站未设置应用入侵防御系统，或应用入侵防御系统无法针对域名解析请求进行安全防御，存在防御功能缺陷。若第一解析响应信息中的别名信息包括防御特征信息，且第二解析响应信息中不包括系统IP信息，则应用入侵防御系统存在系统故障。

在一些实施例中，别名信息可以包括CNAME，CNAME被称为规范名字，CNAME记录被称为别名记录，这种记录允许将多个域名映射到同一台计算机。在域名服务器中部署CNAME应用后，当应用程序客户端访问目标域名时，域名服务器返回的是该目标域名的CNAME，客户端再次针对获得的CNAME发起域名解析，得到目标网站的IP地址。本申请中，在设置有应用入侵防御系统的情况下，如设置有WAF，当应用程序或识别系统访问目标域名时，应用入侵防御系统反馈具有防御特征信息的CNAME，当应用程序或识别系统针对CNAME发起域名解析，得到的是应用入侵防御系统的系统IP地址，通过CNAME解析的方式将访问目标网站的流量引导到防御系统，如引导至WAF防护集群，然后再将安全的访问流量回源到目标网站的真实源站。可以理解的，防御系统的CNAME的域名通常是固定的，包含有系统类型的标志信息，因此可以通过CNAME来识别防御系统(如云WAF)的类型。

基于上述部分或全部实施方式，在实际应用中，可以基于网络响应信息进行应用入侵防御系统的系统类型识别。网络响应信息为应用入侵防御系统对网络请求对应的、携带有Cookie数据的初始响应信息进行Cookie标记所生成的响应信息。初始响应信息为目标网站响应于网络请求生成的信息。

具体实施例中，应用入侵防御系统在接收到网络请求后，在识别到该网络请求为安全请求的情况下，将其发送至目标网站，目标网站响应于该网络请求生成并发送对应的初始响应信息。在一些情况下，初始响应信息携带有Cookie数据，应用入侵防御系统在接收到初始响应信息后，对初始响应信息的Cookie数据进行标记，如在Cookie数据加入特征标识信息，以形成目标Cookie数据，进而得到携带目标Cookie数据的网络响应信息。该目标Cookie数据中的特征标识信息为网络响应信息中的防御特征信息。

相应的，步骤S207中对网络响应信息进行系统类型识别，得到目标网站的应用入侵防御系统的系统类型可以包括下述步骤。

S401：提取网络响应信息中的目标Cookie数据。

S403：基于预设的Cookie标记信息与系统类型间的对应关系，对网络响应信息中的目标Cookie数据进行标记信息匹配，得到网络响应信息对应的系统类型。

具体的，Cookie或者其复数形式Cookies是WEB网站为了辨别访问者身份，进行Session跟踪而储存在本地终端上的数据(通常经过加密)，由客户端计算机暂时或永久保存的信息。具备应用层流量控制能力的应用入侵防御系统在对应用层流量做安全防护的时候，需要在访问者的Cookie中添加特征标识信息，进而基于该特征标识信息进行防御系统的类型识别。具体的，预设的Cookie标记信息表征应用入侵防御系统在访问者的Cookie中添加的特征标识信息，可以为表征该特征标识信息的标识字段、字符串或关键字等。

可以理解的，系统类型不同，应用入侵防御系统在Cookie数据中加入的特征标识信息也不同，即网络响应信息中的防御特征信息不同。具体的，识别系统利用分析模块对接收到的网络响应信息进行系统类型识别。通过读取网络响应信息，可以提取其中目标Cookie数据对应的字段，进而基于预存的Cookie标记信息和匹配方法，对目标Cookie数据字段中与Cookie标记信息相关的字段进行特征匹配；在存在匹配的Cookie标记信息的情况下，将匹配到的Cookie标记信息对应的系统类型确定为网络响应信息对应的系统类型，即根据网络响应信息确定的应用入侵防御系统的系统类型。

具体的，若网络响应信息中的Cookie数据中未携带Cookie标记信息，则无法根据网络响应信息识别应用入侵防御系统的系统类型，目标网站未设置应用入侵防御系统，或者应用入侵防御系统无法针对网络请求进行安全防御，存在防御功能缺陷。

基于上述部分或全部实施方式，在实际应用中，可以基于重定向信息进行应用入侵防御系统的系统类型识别。重定向信息为应用入侵防御系统对网络请求进行重定向处理得到的、携带有特征文件信息的响应信息。

在一些情况下，特征文件信息可以包括文件URL信息，如CSS或者JS文件的URL，以及还可以进一步包括特征文件标识信息，如特征文件名(CSS或文件名或JS文件名)等。具体的，应用入侵防御系统在接入网站访问者的客户端和目标网站之间后，客户端访问目标网站时，应用入侵防御系统会基于URL信息引导客户端访问一些特殊的CSS或者JS文件。具体的，应用入侵防御系统在接收到网络请求后，会对网络请求进行重定向处理，以生成重定向信息，该重定向信息包括引导识别系统或客户端访问特征CSS或特征JS文件的特征文件信息。该特征文件信息为重定向信息的防御特征信息。

相应的，步骤S207中对重定向信息进行系统类型识别，得到目标网站的应用入侵防御系统的系统类型可以包括下述步骤。

S501：提取重定向信息中的目标特征文件信息。

S503：基于预设的特征文件信息与系统类型间的对应关系，对特征文件信息对应的特征文件信息进行文件信息匹配，得到重定向信息对应的系统类型。

具体的，预设的特征文件信息表征应用入侵防御系统对网络请求进行重定向后所生成的重定向信息中携带的特征文件的信息，例如为特征文件URL等。可以理解的，系统类型不同，重定向信息中的目标特征文件信息不同，即重定向信息的防御特征信息不同。具体的，识别系统利用分析模块对接收到的重定向信息进行系统类型识别。通过读取重定向信息，可以得到目标特征文件信息，在上述对应关系为文件URL信息与系统类型间的对应关系的情况下，通过读取重定向信息，可以提取其中目标文件URL信息对应的字段，进而基于预存的文件URL信息和匹配方法，对目标文件URL信息字段进行特征匹配；在存在匹配的文件URL信息的情况下，将匹配到的文件URL信息对应的系统类型确定为重定向信息对应的系统类型，即根据重定向信息确定的应用入侵防御系统的系统类型。在上述对应关系为文件标识信息与系统类型间的对应关系的情况下，若目标特征文件信息中包括目标文件标识信息，提取目标文件标识信息对应的字段，进而基于预存的文件标识信息和匹配方法，对目标文件标识信息字段进行特征匹配，进而确定系统类型；若目标特征文件信息中不包括目标文件标识信息，则在S503前，方法还包括下述步骤。

S505：基于目标特征文件信息中的目标文件URL信息生成重定向访问请求。

S507：发送重定向访问请求，以得到目标文件URL信息对应的特征文件信息。

在目标特征文件信息中不包括目标文件标识信息的情况下，识别系统生成携带目标文件URL信息的重定向访问请求，基于该重定向访问请求发起针对该URL的访问，以获取到特征文件标识信息，如特征CSS或者JS文件的文件名，然后基于预存的文件标识信息和匹配方法，对目标文件标识信息字段进行特征匹配，进而确定系统类型。

具体的，在需要对网络请求进行重定向，而识别系统未接收到重定向信息的情况下，代表目标网站未设置应用入侵防御系统，或应用入侵防御系统无法存在针对重定向的防御功能缺陷。

基于上述部分或全部实施方式，在实际应用中，可以对攻击响应信息进行特征匹配，以实现应用入侵防御系统的系统类型识别。攻击响应信息为应用入侵防御系统响应于攻击请求生成的携带有目标攻击特征数据的响应信息。

具体实施例中，识别系统可以生成携带攻击的网络请求，即生成攻击请求，并基于攻击请求向目标网站发起访问，在存在应用入侵防御系统的情况下，应用入侵防御系统能够识别到该攻击请求的攻击属性，进而对其实施拦截和隔离，并生成对应的攻击响应信息。攻击特征数据为攻击响应信息的防御特征信息。

相应的，步骤S207中对攻击响应信息进行系统类型识别，得到目标网站的应用入侵防御系统的系统类型可以包括下述步骤。

S601：通过预设匹配模式提取攻击响应信息中的目标攻击特征数据。

S603：基于预设的攻击特征与系统类型间的对应关系，对攻击返回数据进行特征匹配，得到攻击响应信息对应的系统类型。

具体的，预设的攻击特征表征应用防御入侵系统响应于攻击请求生成的攻击响应信息中携带的攻击特征数据，可以为攻击数据字段、字符串或关键字等。

可以理解的，系统类型不同，攻击响应信息中的攻击特征数据不同。识别系统利用分析模块对接收到的攻击响应信息进行系统类型识别，利用预设匹配模式提取目标攻击特征数据。具体的，预设匹配模式可以以字符串开始，包括但不限于包含字符串、正则匹配、特征字符串匹配、字符串等于、数值相等、数值大于或等于、数值大于或数值小于等。具体的，预设匹配模式还可以包括字段匹配，示例性的，相应的匹配字段可以包括但不限于攻击响应信息中的Response Code(响应状态码)，Response Header(响应头)，Response Body(响应体)和Response JavaScript(响应JavaScript)等。具体的，目标攻击特征数据即防御特征信息可以是攻击响应信息中的特征关键字、字段或字符串等。

具体实施例中，通过预设匹配模式能够筛选出攻击响应信息中的目标攻击特征数据，进而基于预设匹配方法，在预存的攻击特征中进行特征匹配；在存在匹配的攻击特征的情况下，将匹配到的攻击特征对应的系统类型确定为重定向信息对应的系统类型，即根据攻击响应信息确定的应用入侵防御系统的系统类型。

在一些实施例中，Response Code，Response Header，Response Body和ResponseJavaScript中的至少一种携带有攻击特征数据。针对Response Code，不同应用入侵防御系统攻击请求返回的状态码不同，不同防御系统的响应状态码可以例如为403，405，418，493，500，501，502和503等。可以预存响应状态码与系统类型的映射表，以实现确定防御系统类型。针对Response Header，不同防御系统反馈的Header会携带不同的特征字段，可以预存Header特征字段与系统类型的映射表，进行特征识别以确定防御系统类型。针对ResponseBody，不同防御系统反馈的Body中也会携带不同的特征字段，可以预存Body特征字段与系统类型的映射表，进行特征识别以确定防御系统类型，Body特征字段可以包括告警信息以及告警图片信息，如拦截页面中的标识文字。针对Response JavaScript，不同防御系统反馈的Body中还会包含有不同的JavaScript特征代码，通过预存的JavaScript特征代码与系统类型的映射表，可以确定防御系统类型。

具体的，若发起攻击请求后，未接收到相应的攻击响应信息，或攻击相应信息中不存在攻击特征数据，则目标网站未设置应用入侵防御系统，或应用入侵防御系统存在攻击防御漏洞。

在实际应用中，上述的各步骤在得到系统类型后，将对应的结果存储至数据存储模块。此外，在发起目标网站的访问请求(如网络请求和攻击请求)时，可以分别构造HTTP协议服务的访问请求和HTTPS协议服务的访问请求，以保证对目标网站的应用入侵防御系统的全面识别，避免遗漏业务类型。在两种请求中的任一种未接受到相应的识别特征的情况下，说明防御系统存在相应的请求识别和防御缺失，需进一步完善。

在实际应用中，可以依次生成第一域名解析请求和第二域名解析请求，并分别生成网络请求和攻击请求，以获取第一解析响应信息、第二解析响应信息、重定向信息、网络响应信息或攻击响应信息，在基于任一响应信息识别到防御系统的系统类型的情况下，完成系统识别。

具体的，可以先生成和发送第一域名解析请求，并基于对应的第一解析响应信息进行系统识别，若识别到系统类型，完成识别过程，若未识别到，进行第二域名解析请求的生成和发送。在基于第一解析响应信息和第二解析响应信息均未识别到系统类型的情况下，可以生成网络请求或攻击请求，基于相类似的方式，在通过重定向信息、网络响应信息和攻击响应信息中任一信息得到系统类型的情况下，完成识别过程，不进行其它未执行的请求生成步骤或响应信息的特征匹配步骤。

在一些情况下，不同防御系统反馈的各响应信息中，包括域名解析响应信息、网络响应信息、重定向信息和攻击响应信息等，可能存在携带有相同的防御特征信息的响应信息，如不同版本的防御系统的域名解析响应信息中的系统域名信息或系统IP信息可能相同，或者同一服务商的不同防御系统的部分响应信息的防御特征信息(如文件特征信息等)也可能相同。进而根据具有特征信息重复的响应信息可能识别不到防御系统的版本信息，或根据一个响应信息识别到不止一种防御系统类型。通过对上述不同的响应信息分别进行系统类型识别，可以基于未携带重复特征信息的响应信息识别到版本信息，或者在据一个响应信息识别到不止一种防御系统类型的情况下，通过对未携带重复特征信息的响应信息进行识别，能够得到唯一的系统类型，进而得到准确的识别结果。

基于上述部分或全部实施方式，在实际应用中，域名解析请求、网络请求和攻击请求中的至少一种包括网络请求和对应的攻击请求。网络请求对应的攻击请求为与网络请求内容相类似的携带有攻击的请求。也就是说，基于网络请求和对应的攻击请求分别向目标网站发起访问，以得到应用入侵防御系统分别针对网络请求和对应的攻击请求反馈的网络响应信息和攻击响应信息。这里的网络响应信息可以是应用入侵防御系统生成的，也可以目标网站生成的。然后，对网络响应信息和攻击响应信息进行比对分析，能够判断目标网站是否配置有应用入侵防御，进而确定是否触发上述的攻击响应信息的系统类型识别过程。

相应的，在对攻击响应信息中携带的防御系统特征信息进行系统类型识别，得到目标网站的应用入侵防御系统的系统类型之前，方法还可以包括下述步骤。

S701：对网络响应信息和攻击响应信息进行相似度计算，得到相似度信息。

S703：在相似度信息满足预设条件的情况下，触发对攻击响应信息中携带的防御系统特征信息进行系统类型识别的步骤。

具体实施例中，识别系统对目标网站发起一次正常请求，得到对应的网络响应信息，并且，识别系统对目标网站发起一次携带攻击特征的访问请求，得到对应的攻击响应信息。将网络响应信息中的请求返回数据和攻击响应信息中的攻击请求返回数据进行相似度对比，以得到相似度信息。

具体实施例中，可以将网络响应信息与攻击响应信息，或将请求返回数据与攻击请求返回数据映射为对应的第一向量和第二向量，采用预设的相似度算法，对第一向量和第二向量进行相似度计算，得到两向量间的差异值或相似度值，实现文本相似度对比；若差异值大于等于预设差异值或相似度值小于等于预设相似度的情况下，表明两向量不相似，即网络响应信息与攻击响应信息不相似，进而确定存在应用入侵防御系统，触发对攻击响应信息中携带的防御系统特征信息进行系统类型识别的步骤。反之，确定不存在应用入侵防御系统，或应用入侵防御系统存在攻击检测缺陷。

具体的，预设的相似度算法可以为余弦相似度算法，一个向量空间中两个向量夹角间的余弦值作为衡量两个个体之间差异的大小，余弦值接近1，夹角趋于0，表明两个向量越相似，余弦值接近于0，夹角趋于90度，表明两个向量越不相似，即网络响应信息与攻击响应信息越不相似。得到余弦值之后，如果余弦值远小于1，或小于预设余弦值，即表示网络响应信息与攻击响应信息中的返回数据差异较大，说明攻击被识别。具体的，攻击请求返回数据可以包括为防御系统的拦截页面数据。

综上，上述技术方案通过主动发包探测的方式进行目标网站的防御系统识别，拓展了防御系统的识别方法，以避免识别方法单一，效率底下的问题。并且本申请基于CNAME分析、IP分析、Cookie分析、URL分析和攻击请求返回数据分析等分别进行系统类型识别，能够保证防御系统识别的准确性。此外，本申请能够将对目标网站的防御系统识别方法和装置内置于相关的业务系统中，使用门槛低，不具备相关技术能力的人员也可以直接使用。且根据应用入侵防御系统对各种请求的响应信息，能够全面分析防御系统在不同请求阶段的安全防护性，有利于及时发现系统防护缺陷。

以下结合图2介绍本申请实施例提供的另一种应用入侵防御系统识别方法的流程示意图，本说明书提供了如实施例或流程图的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的系统或服务器产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。方法可以包括下述步骤。

S801：获取目标网站的网站标识信息。

S803：发送基于网站标识信息生成的域名解析请求、网络请求和攻击请求中的至少一种。

S805：接收经目标网站的应用入侵防御系统反馈的，域名解析请求对应的域名解析响应信息、网络请求对应的网络响应信息和重定向信息、以及攻击请求对应的攻击响应信息中的至少一种。

S807：对域名解析响应信息、网络响应信息、重定向信息和攻击响应信息中的至少一种响应信息进行系统类型识别，得到目标网站的应用入侵防御系统的系统类型。

步骤S801-S805与前述的S201-S205相类似，不再赘述。

在实际应用中，可以发送域名解析请求、网络请求和攻击请求中的多种，进而获取到域名解析响应信息、网络响应信息、重定向信息和攻击响应信息中的多种响应信息，在该情况下，可以分别提取多种响应信息各自携带的防御系统特征信息，进而进行特征匹配，得到多种响应信息中每种信息对应的系统类型结果。基于各种响应信息进行系统类型识别的方式与前文相类似，在此不再赘述。相应的，请参考图3，S807可以包括下述步骤。

S8071：分别对各防御系统特征信息进行系统类型识别，得到多种响应信息各自对应的系统类型。

S8072：在得到的系统类型中包括两种或两种以上系统类型的情况下，基于多种响应信息各自对应的预设权重分别确定两种或两种以上系统类型的类型权重。

S8073：基于类型权重从两种或两种以上系统类型中，确定目标网站的应用入侵防御系统的系统类型。

具体实施例中，可以对第一解析响应信息、第二解析响应信息、网络响应信息、重定向信息和攻击响应信息设置预设权重，基于多种响应信息可能得到不止一种系统类型，根据上述每种响应信息的预设权重，可以计算得到的每种系统类型的类型权重，进而将类型权重最高的系统类型确定为当前应用入侵防御系统的系统类型。示例性的，根据第一解析响应信息和第二解析响应信息得到了系统类型M，对网络响应信息和攻击响应信息分别进行Cookie分析和攻击特征数据分析得到了系统类型N，第一解析响应信息、第二解析响应信息、网络响应信息和攻击响应信息的预设权重分别为a，b，c和e，则系统类型M的系统权重可以为a和b的加和，系统类型N的系统权重可以为c和e的加和，若系统类型N的权重加和值高，则当前应用入侵防御系统为系统类型N。

综上，上述技术方案能够基于多种请求和响应信息得到系统识别结果，并针对多种响应信息对应的系统识别结果进行综合分析，能够确保防御系统识别的全面性和容错性，进而有效提高识别准确性。

本申请实施例中，请参考图4，基于前述的应用环境，应用入侵防御系统识别系统可以包括前端控制模块、分析模块、数据存储模块和日志记录模块。具体的，前端控制台模块可以提供系统的操作界面，用于接收需要进行应用入侵防御系统的目标网站的网站标识信息，并下发识别任务，识别流程完成之后在前端控制模块展示识别结果。其中，网站标识信息可以包括目标网站的目标域名，还可以包括目标网站的目标IP。请参考图5和图6，图5示出了一个实施例中前端控制模块的网站标识信息输入界面，前端控制台提供两个配置参数的输入，需要进行系统识别的目标域名和目标IP，其中目标域名是必选项，目标IP为可选项。点击“开始识别”按钮将下发识别任务，进行系统类型的识别作业。图6示出了一个实施例中前端控制模块的识别结果展示界面。可以理解的，可以通过操作界面人工输入网站标识信息，也可以在后台自动批量获取不同网站的网站标识信息，以进行不同网站的应用入侵防御系统识别。具体的，分析模块是识别系统的主要工作模块，提供对目标站点的应用入侵防御系统识别。得到识别结果，如系统类型之后，将识别结果发送至前端控制模块。具体的，数据存储模块存储整个识别系统工作过程中的所有作业数据，包括整个识别系统的配置信息和行为日志数据等。具体的，日志记录模块用于将整个识别系统工作过程中的所有行为日志写入数据存储模块，以保证识别系统运行信息可以被追溯。

在一些实施例中，数据存储模块可以包括一整套数据库集群。数据库架构采用一主一备的方式，以避免数据丢失。请参考图7-图9，数据存储模块的实际工作原理为：在正常工作的状态下，请参考图7，A库作为主库承载数据读写工作，B库作为备库从A库将同步数据，以实现数据备份；在主库故障的情况下，请参考图8，即A库发生故障，无法对外提供数据读写服务，则数据读写服务由B库来承担，同时AB库之间的数据同步中断；在故障修复后，请参考图9，A库故障修复，但其功能已经切换至备库，从B库将同步数据，以实现数据备份，同时B库作为主库以承担数据读写工作。

在一些实施例中，请参考图10，数据存储模块设有单独的日志服务器，日志记录模块将日志存储到日志服务器中，同时在本地以文本的方式备份。具体的，日志主要用于识别系统日常的排障及状态记录，根据日志内容可以分类为配置日志、监控日志、告警日志和运行日志等，具体说明见下表一。

表一

分类	说明
		配置日志	用于记录用户新增、删除和修改配置等行为
监控日志	用于记录每次探测目标网站的操作行为
		告警日志	用于记录每次对外告警动作的行为
运行日志	用于记录整个识别系统后台运行过程中的行为

具体的，可以标志日志的等级，日志等级说明见下表二。

表二

以下结合具体应用场景介绍本申请实施例提供的应用入侵防御系统识别方法。具体的，应用入侵防御系统为WAF系统，运行于WAF集群上，部署在目标网站与应用入侵防御系统识别之间，在访问请求到达web服务器前对访问请求进行扫描和过滤，分析并校验每个访问请求的网络包，确保其有效且安全，对无效或有攻击行为的请求进行阻断或隔离。通过检查HTTP流量，可以防止源自web应用程序的安全漏洞(如注入漏洞、XSS漏洞、命令执行漏洞、文件包含漏洞等)的攻击。请参考图12，方法可以包括下述步骤。

S1，前端控制台模块获取目标域名，并发送至分析模块。

具体的，也可以同时获取目标IP地址。

S2，利用CNAME分析法，基于第一解析响应信息中的CNAME字段特征识别WAF类型。

具体的，第一解析响应信息与第一DNS解析请求相对应，S2的具体实施方式与前述的S301-S305相类似。CNAME分析可以包括下述步骤。

S2-1：针对目标域名发起一次DNS解析。

S2-2：读取DNS解析返回的第一解析响应信息，提取CNAME字段。

S2-3：根据CNAME字段确定对应的WAF类型。

S3，利用IP分析法，基于第二解析响应信息中的系统IP地址识别WAF类型。

具体的，第二解析响应信息与第二DNS解析请求相对应，S3的具体实施方式与前述的S307-S311相类似。在前述的S2-2之后，IP分析还可以包括下述步骤。

S3-1：针对CNAME再发起一次DNS解析。

S3-2：读取DNS解析返回的第二解析响应信息，提取IP字段。

S3-3：根据IP字段确定对应的WAF类型。

S4，利用Cookie分析法，基于网络响应信息中的Cookie特征识别WAF类型。

具体的，网络响应信息与网络请求相对应，S4的具体实施方式与前述的S401-S403相类似。

通常情况下，WAF位于网站访问者客户端和目标网站之间，能够对初始响应信息中的Cookie数据添加特征标识。请参考图13，WAF给Cookie添加特征标识的过程：

(1)客户端经过WAF向目标网站发起访问。

(2)目标网站返回携带指定Cookie数据的初始网络响应信息。

(3)WAF在Cookie数据中添加特征标识字段，生成网络响应信息。

(4)WAF返回携带修改后的Cookie数据的网络响应信息至客户端。

(5)客户端接受网络响应信息并设置本地Cookie。

具体的，在WAF识别过程中，在(5)之后，识别系统对本地Cookie内容进行特征匹配，识别得到WAF类型。或者Cookie分析可以包括下述步骤。

S4-1：识别系统经过WAF向目标网站发起访问。

S4-2：目标网站返回携带指定Cookie数据的初始网络响应信息。

S4-3：WAF在Cookie数据中添加特征标识字段，生成网络响应信息。

S4-4：WAF返回携带修改后的Cookie数据的网络响应信息至识别系统。

S4-5：识别系统对网络响应信息进行Cookie特征匹配，识别得到WAF类型S5，利用URL重定向分析法，基于重定向响应信息对应的WAF重定向引导访问的URL特征识别WAF类型。

具体的，S5的具体实施方式与前述的S501-S507相类似。URL重定向分析可以包括下述步骤。

S5-1：客户端或识别系统经过WAF向目标网站发起访问。

S5-2：WAF生成重定向信息，以使客户端或识别系统访问特定URL。

S5-3：客户端或识别系统接受重定向信息，并提取特定URL信息，并发起针对特定URL的访问。

S5-4：识别系统对特定URL进行特征匹配，识别具体的WAF类型。

S6，利用攻击请求返回数据分析法，基于攻击响应信息中的攻击返回数据识别WAF类型。

具体的，S6的具体实施方式与前述的S601-S603相类似。可以通过对Response的特征Code，特征Header信息，特征Body信息或内容JavaScript代码进行特征识别和匹配，得到WAF类型。

在一些情况下，S2至S6可以依次顺序执行。在另一些情况下，S2和S3依次顺序执行，在S3执行后，S4-6可以并行执行。

S7，对各分析法得到的WAF类型进行评估处理，得到最终的WAF类型。

具体的，S7的具体实施方式与前述的S8071-S8073相类似。

S8，将WAF类型识别过程中的相关数据存储至数据存储模块。

S9，记录WAF类型过程识别过程中的相关日志。

上述方案支持CNAME分析、IP分析、Cookie分析、URL重定向分析和攻击请求返回数据分析等方法进行WAF识别。通过多种识别方法结合的方式能够保证准确识别目标网站的WAF类型。此外，将对目标网站识别WAF类型的方法内置在业务系统中，使用门槛低，不具备相关技术能力的人员都可以直接使用。经过一系列的请求发送和响应信息识别过程之后，数据存储模块中将会保存有CNAME分析、IP分析、Cookie分析、URL重定向分析和攻击请求返回数据分析的结果，通过综合分析能够得到目标网站采用的WAF类型，可以将结论输出到前端控制台，并在界面上展示。

本申请实施例还提供了一种应用入侵防御系统识别装置800，如图14所示，图6示出了本申请实施例提供的一种应用入侵防御系统识别装置的结构示意图，装置可以包括下述模块。

网站标识获取模块10：用于获取目标网站的网站标识信息。

请求发送模块20：用于发送基于网站标识信息生成的域名解析请求、网络请求和攻击请求中的至少一种。

响应信息接收模块30：用于接收经目标网站的应用入侵防御系统反馈的，域名解析请求对应的域名解析响应信息、网络请求对应的网络响应信息和重定向信息、以及攻击请求对应的攻击响应信息中的至少一种。

系统类型识别模块40：用于对域名解析响应信息、网络响应信息、重定向信息和攻击响应信息中的至少一种响应信息进行系统类型识别，得到目标网站的应用入侵防御系统的系统类型。

在一些实施例中，系统类型识别模块40可以具体用于对域名解析响应信息、网络响应信息、重定向信息或攻击响应信息中携带的防御特征信息进行系统类型识别，得到目标网站的应用入侵防御系统的系统类型。

在一些实施例中，网站标识信息包括目标网站的目标域名信息。请求发送模块20可以包括第一解析请求发送单元：用于发送基于目标域名信息生成的第一域名解析请求，以使应用入侵防御系统生成携带有别名信息的第一解析响应信息。相应的，系统类型识别模块40可以包括下述单元。

别名信息提取单元：用于提取第一解析响应信息中的别名信息。

别名信息匹配单元：用于基于预设的别名特征与系统类型间的对应关系，对第一解析响应信息中的别名信息进行别名特征匹配，得到第一解析响应信息对应的系统类型。

在一些实施例中，请求发送模块20还可以包括第二解析请求发送单元：用于在发送基于目标域名信息生成的第一域名解析请求之后，发送基于别名信息生成的第二域名解析请求，以使应用入侵防御系统生成携带有应用入侵防御系统的目标系统IP信息的第二解析响应信息。相应的，系统类型识别模块40可以包括下述单元。

IP信息提取单元：用于提取第二解析响应信息中的目标系统IP信息。

IP匹配单元：用于基于预设的系统IP信息与系统类型间的对应关系，对第二解析响应信息中的目标系统IP信息进行IP匹配，得到第二解析响应信息对应的系统类型。

在一些实施例中，网络响应信息为应用入侵防御系统对网络请求对应的、携带有Cookie数据的初始响应信息进行Cookie标记所生成的响应信息。初始响应信息为目标网站响应于网络请求生成的信息。相应的，系统类型识别模块40可以包括下述单元。

Cookie数据提取单元：用于提取网络响应信息中的目标Cookie数据。

标记信息匹配单元：用于基于预设的Cookie标记信息与系统类型间的对应关系，对网络响应信息中的目标Cookie数据进行标记信息匹配，得到网络响应信息对应的系统类型。

在一些实施例中，重定向信息为应用入侵防御系统对网络请求进行重定向处理得到的、携带有特征文件信息的响应信息。相应的，系统类型识别模块40可以包括下述单元。

特征文件信息提取单元：用于提取重定向信息中的目标特征文件信息。

文件信息匹配单元：用于基于预设的特征文件信息与系统类型间的对应关系，对特征文件信息对应的特征文件信息进行文件信息匹配，得到重定向信息对应的系统类型。

在一些实施例中，攻击响应信息为应用入侵防御系统响应于攻击请求生成的携带有目标攻击特征数据的响应信息。

对攻击响应信息进行系统类型识别，得到目标网站的应用入侵防御系统的系统类型包括：

通过预设匹配模式提取攻击响应信息中的目标攻击特征数据。

基于预设的攻击特征与系统类型间的对应关系，对攻击返回数据进行特征匹配，得到攻击响应信息对应的系统类型。

在一些实施例中，域名解析请求、网络请求和攻击请求中的至少一种包括网络请求和对应的攻击请求。装置还包括下述模块。

相似度计算模块：用于在对攻击响应信息中携带的防御系统特征信息进行系统类型识别，得到目标网站的应用入侵防御系统的系统类型之前，对网络响应信息和攻击响应信息进行相似度计算，得到相似度信息。以及用于在相似度信息满足预设条件的情况下，触发对攻击响应信息中携带的防御系统特征信息进行系统类型识别的步骤。

在另一些实施例中，系统类型识别模块40可以包括下述单元。

系统特征确定单元：用于在获取到域名解析响应信息、网络响应信息、重定向信息和攻击响应信息中的多种响应信息的情况下，分别提取多种响应信息各自携带的防御系统特征信息。

系统类型识别单元：用于分别对各防御系统特征信息进行系统类型识别，得到多种响应信息各自对应的系统类型。

类型权重单元：用于在得到的系统类型中包括两种或两种以上系统类型的情况下，基于多种响应信息各自对应的预设权重分别确定两种或两种以上系统类型的类型权重。

系统类型确定单元：用于基于类型权重从两种或两种以上系统类型中，确定目标网站的应用入侵防御系统的系统类型。

需要说明的是，上述装置实施例与方法实施例基于相同的实施方式。

本申请实施例提供了一种应用入侵防御系统识别设备，该识别设备可以为终端或服务器，该应用入侵防御系统识别设备包括处理器和存储器，该存储器中存储有至少一条指令或至少一段程序，该至少一条指令或该至少一段程序由该处理器加载并执行以实现如上述方法实施例所提供的应用入侵防御系统识别方法。

存储器可用于存储软件程序以及模块，处理器通过运行存储在存储器的软件程序以及模块，从而执行各种功能应用以及数据处理。存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、功能所需的应用程序等；存储数据区可存储根据设备的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地，存储器还可以包括存储器控制器，以提供处理器对存储器的访问。

本申请实施例所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的运算装置等电子设备中执行。图15是本申请实施例提供的一种应用入侵防御系统识别方法的电子设备的硬件结构框图。如图15所示，该电子设备900可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器(Central Processing Units，CPU)910(处理器910可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器930，一个或一个以上存储应用程序923或数据922的存储介质920(例如一个或一个以上海量存储设备)。其中，存储器930和存储介质920可以是短暂存储或持久存储。存储在存储介质920的程序可以包括一个或一个以上模块，每个模块可以包括对电子设备中的一系列指令操作。更进一步地，中央处理器910可以设置为与存储介质920通信，在电子设备900上执行存储介质920中的一系列指令操作。电子设备900还可以包括一个或一个以上电源960，一个或一个以上有线或无线网络接口950，一个或一个以上输入输出接口940，和/或，一个或一个以上操作系统921，例如Windows Server^TM，Mac OS X^TM，Unix^TM，LinuxTM，FreeBSDTM等等。

输入输出接口940可以用于经由一个网络接收或者发送数据。上述的网络具体实例可包括电子设备900的通信供应商提供的无线网络。在一个实例中，输入输出接口940包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，输入输出接口940可以为射频(RadioFrequency，RF)模块，其用于通过无线方式与互联网进行通讯。

本领域普通技术人员可以理解，图15所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，电子设备900还可包括比图15中所示更多或者更少的组件，或者具有与图15所示不同的配置。

本申请的实施例还提供了一种计算机可读存储介质，存储介质可设置于电子设备之中以保存用于实现方法实施例中一种应用入侵防御系统识别方法相关的至少一条指令或至少一段程序，该至少一条指令或该至少一段程序由该处理器加载并执行以实现上述方法实施例提供的应用入侵防御系统识别方法。

可选地，在本实施例中，上述存储介质可以位于计算机网络的多个网络服务器中的至少一个网络服务器。可选地，在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

根据本申请的一个方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各种可选实现方式中提供的方法。

由上述本申请提供的应用入侵防御系统识别方法、装置、设备、服务器、终端存储介质和程序产品的实施例可见，本申请获取目标网站的网站标识信息；发送基于网站标识信息生成的域名解析请求、网络请求和攻击请求中的至少一种；接收经目标网站的应用入侵防御系统反馈的，域名解析请求对应的域名解析响应信息、网络请求对应的网络响应信息和重定向信息、以及攻击请求对应的攻击响应信息中的至少一种；对域名解析响应信息、网络响应信息、重定向信息和攻击响应信息中的至少一种响应信息进行系统类型识别，得到目标网站的应用入侵防御系统的系统类型；能够通过获取多维度的响应信息，并利用该多维度信息进行应用入侵防御系统类型的自动识别，提高识别结果的准确性和全面性，提高识别效率。

需要说明的是：上述本申请实施例先后顺序仅仅为了描述，不代表实施例的优劣。且上述对本申请特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本申请中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、设备和存储介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指示相关的硬件完成，的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上仅为本申请的较佳实施例，并不用以限制本申请，凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

1.一种应用入侵防御系统识别方法，其特征在于，所述方法包括：

获取目标网站的网站标识信息；

2.根据权利要求1所述的方法，其特征在于，所述网站标识信息包括所述目标网站的目标域名信息；所述发送基于所述网站标识信息生成的域名解析请求包括：

发送基于所述目标域名信息生成的第一域名解析请求，以使所述应用入侵防御系统生成携带有别名信息的第一解析响应信息；

对所述域名解析响应信息进行系统类型识别，得到所述目标网站的应用入侵防御系统的系统类型包括：

提取所述第一解析响应信息中的别名信息；

基于预设的别名特征与系统类型间的对应关系，对所述第一解析响应信息中的别名信息进行别名特征匹配，得到所述第一解析响应信息对应的系统类型。

3.根据权利要求2所述的方法，其特征在于，在所述发送基于所述目标域名信息生成的第一域名解析请求之后，所述方法还包括：

发送基于所述别名信息生成的第二域名解析请求，以使所述应用入侵防御系统生成携带有所述应用入侵防御系统的目标系统IP信息的第二解析响应信息；

所述对所述域名解析响应信息进行系统类型识别，得到所述目标网站的应用入侵防御系统的系统类型包括：

提取所述第二解析响应信息中的目标系统IP信息；

基于预设的系统IP信息与系统类型间的对应关系，对所述第二解析响应信息中的目标系统IP信息进行IP匹配，得到所述第二解析响应信息对应的系统类型。

4.根据权利要求1所述的方法，其特征在于，所述网络响应信息为所述应用入侵防御系统对所述网络请求对应的、携带有Cookie数据的初始响应信息进行Cookie标记所生成的响应信息；所述初始响应信息为所述目标网站响应于所述网络请求生成的信息；

对所述网络响应信息进行系统类型识别，得到所述目标网站的应用入侵防御系统的系统类型包括：

提取所述网络响应信息中的目标Cookie数据；

基于预设的Cookie标记信息与系统类型间的对应关系，对所述网络响应信息中的目标Cookie数据进行标记信息匹配，得到所述网络响应信息对应的系统类型。

5.根据权利要求1所述的方法，其特征在于，所述重定向信息为所述应用入侵防御系统对所述网络请求进行重定向处理得到的、携带有特征文件信息的响应信息；

对所述重定向信息进行系统类型识别，得到所述目标网站的应用入侵防御系统的系统类型包括：

提取所述重定向信息中的目标特征文件信息；

基于预设的特征文件信息与系统类型间的对应关系，对所述特征文件信息对应的特征文件信息进行文件信息匹配，得到所述重定向信息对应的系统类型。

6.根据权利要求1所述的方法，其特征在于，所述攻击响应信息为所述应用入侵防御系统响应于所述攻击请求生成的携带有目标攻击特征数据的响应信息；

对所述攻击响应信息进行系统类型识别，得到所述目标网站的应用入侵防御系统的系统类型包括：

通过预设匹配模式提取所述攻击响应信息中的目标攻击特征数据；

基于预设的攻击特征与系统类型间的对应关系，对所述攻击返回数据进行特征匹配，得到所述攻击响应信息对应的系统类型。

7.根据权利要求1所述的方法，其特征在于，所述域名解析请求、网络请求和攻击请求中的至少一种包括所述网络请求和攻击请求；在所述对所述攻击响应信息中携带的防御系统特征信息进行系统类型识别，得到所述目标网站的应用入侵防御系统的系统类型之前，所述方法还包括：

对所述网络响应信息和所述攻击响应信息进行相似度计算，得到相似度信息；

在所述相似度信息满足预设条件的情况下，触发所述对所述攻击响应信息中携带的防御系统特征信息进行系统类型识别的步骤。

8.根据权利要求1-7中任一项所述的方法，其特征在于，对所述域名解析响应信息、所述网络响应信息、所述重定向信息和所述攻击响应信息中的至少一种响应信息进行系统类型识别，得到所述目标网站的应用入侵防御系统的系统类型包括：

对所述域名解析响应信息、所述网络响应信息、所述重定向信息或所述攻击响应信息中携带的防御特征信息进行系统类型识别，得到所述目标网站的应用入侵防御系统的系统类型。

9.根据权利要求1-7中任一项所述的方法，其特征在于，所述对所述域名解析响应信息、所述网络响应信息、所述重定向信息和所述攻击响应信息中的至少一种信息进行系统类型识别，得到所述目标网站的应用入侵防御系统的类型包括：

在获取到所述域名解析响应信息、所述网络响应信息、所述重定向信息和所述攻击响应信息中的多种响应信息的情况下，分别提取所述多种响应信息各自携带的防御系统特征信息；

分别对各防御系统特征信息进行系统类型识别，得到所述多种响应信息各自对应的系统类型；

在得到的系统类型中包括两种或两种以上系统类型的情况下，基于所述多种响应信息各自对应的预设权重分别确定所述两种或两种以上系统类型的类型权重；

基于所述类型权重从所述两种或两种以上系统类型中，确定所述目标网站的应用入侵防御系统的系统类型。

10.一种应用入侵防御系统识别装置，其特征在于，所述装置包括：

网站标识获取模块：用于获取目标网站的网站标识信息；

11.一种计算机可读存储介质，其特征在于，所述存储介质中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1-9中任一项所述的应用入侵防御系统识别方法。

12.一种计算机设备，所述设备包括处理器和存储器，其特征在于，所述存储器中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由所述处理器加载并执行以实现如权利要求1-9中任一项所述的应用入侵防御系统识别方法。