CN116132189A - 一种有效拦截恶意请求的waf参数防护方法 - Google Patents
一种有效拦截恶意请求的waf参数防护方法 Download PDFInfo
- Publication number
- CN116132189A CN116132189A CN202310163421.5A CN202310163421A CN116132189A CN 116132189 A CN116132189 A CN 116132189A CN 202310163421 A CN202310163421 A CN 202310163421A CN 116132189 A CN116132189 A CN 116132189A
- Authority
- CN
- China
- Prior art keywords
- request
- white list
- parameter
- user
- blacklist
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000001960 triggered effect Effects 0.000 claims description 11
- 230000002411 adverse Effects 0.000 claims description 3
- 239000003795 chemical substances by application Substances 0.000 claims description 3
- 239000003550 marker Substances 0.000 claims description 3
- 230000006870 function Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 241000239290 Araneae Species 0.000 description 1
- 241000257303 Hymenoptera Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种有效拦截恶意请求的WAF参数防护方法,涉及恶意请求拦截技术领域,包括以下步骤:S1:检测网上请求,快速检测用户是否在白名单中;S11:若在白名单里直接返回内容;S12:若不在白名单则检测网上请求,判断用户是否在黑名单步骤中;S2:若在黑名单则直接丢弃请求;S3:若不在黑名单则开始检测是否在白名单;所述S3若不在黑名单则开始检测是否在白名单的步骤包括:S31:若不在白名单则开始参数检查;该有效拦截恶意请求的WAF参数防护方法,通过采用ddos‑ban,使得本方法因ddos‑ban可以基于多重维度达到超乎于本身的防护能力,解决了现有的iptables在系统层防护能力不够严谨,策略不够自由化,难以满足当下各种复杂环境的需求。
Description
技术领域
本发明涉及恶意请求拦截技术领域,具体为一种有效拦截恶意请求的WAF参数防护方法。
背景技术
Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web ApplicationFirewall,简称:WAF)。Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。目前大型WEB应用服务中,经常会遭遇到暴力攻击行为,例如比较常见的DoS(DenialofSer))攻击、DDoS(DistributedDenialofSer))攻击、恶意刷票、穷举密码破解等行为,不仅影响服务的正常运行和使用,降低可用性,而且还会使服务的安全性面临威胁。
现在主要是通过iptables四表五联对系统层进行防护,然而现有的iptables在系统层防护能力不够严谨,策略不够自由化,从而导致了现有的iptables语言很难满足当下各种复杂环境的需求,因此我们提出了一种有效拦截恶意请求的WAF参数防护方法。
发明内容
针对现有技术的不足,本发明提供了一种有效拦截恶意请求的WAF参数防护方法,解决了上述背景技术中提出的问题。
为实现以上目的,本发明通过以下技术方案予以实现:一种有效拦截恶意请求的WAF参数防护方法,包括以下步骤:
S1:检测网上请求,快速检测用户是否在白名单中;
S11:若在白名单里直接返回内容;
S12:若不在白名单则检测网上请求,判断用户是否在黑名单步骤中;
S2:若在黑名单则直接丢弃请求;
S3:若不在黑名单则开始检测是否在白名单;
所述S3若不在黑名单则开始检测是否在白名单的步骤包括:S31:若不在白名单则开始参数检查;与S32:若在白名单,则返回原目标内容(状态码200);
所述S31若不在白名单则开始参数检查的步骤包括S311:用户或机器来访请求目标URL时,若携带错误,则直接进入黑名单检测器;S312:用户或机器来访请求目标URL时,参数携带正确时,检查是否存在于白名单中;与S313:用户或机器来访请求目标URL时,参数未携带时,进入白名单检测器;
上述所述步骤中需要使用到ddos-ban,所述ddos-ban的处理流程为:
Sa:创建ddos-ban标记类型;
Sb:当在程序面板中插入ddos-ban后,得到ddos-ban面板的html参数返回前端;
Sc:按照提交的参数在代码中生效;
Sd:请求流入时,先判断当前请求的port是否是当前程序或环境所需要用到的端口,如果是当前程序或环境所需要用到的端口则直接通过请求不做处理;
Se:快速判断ip是否在白名单中,如果不在白名单中,则进行下一步骤Sf:判断ip是否在黑名单中,如果在黑名单中,则返回丢弃连接状态并断开连接;
Sg:判断ip是否在白名单中,如果在白名单中,则通过请求不做任何处理;
Sh:解析请求的ip,path,param等信息;
Si:对param进行判断。
可选的,所述S311用户或机器来访请求目标URL时,若携带错误,则直接进入黑名单检测器步骤后黑名单检测器中的请求若满足了加入黑名单列表则加入黑名单,在黑名单列表的则下一次防护流程中将直接丢弃,若黑名单检测器中的请求不满足加入黑名单列表规则则进行下一步延续,返回目标并带上防护param(届时将不管是否开启fix_url美化)。
可选的,所述S1检测网上请求,快速检测用户是否在白名单中的步骤中,请求包括用户请求、服务器请求、爬虫、机器人、代理等本身带有目的性或不具备目的性但间接对防护目标造成不利影响的来访请求。
可选的,所述S312用户或机器来访请求目标URL时,参数携带正确时,检查是否存在于白名单中的步骤,若在白名单中则直接返回目标内容(状态码200),若不在白名单中,则加入白名单中,再检查是否有开启fix_url美化,若没开则直接返回原目标内容并带上防护param(状态码200),如果开了fix_url美化则返回去掉防护的param(状态码302);
关于防护param的302的:它是软件程序面板中,配置选项中的资源限制模块里的cc_key功能,默认设置为__A,搭配ddos-ban防护模块会让目标请求的后续路径增加一个防护param的“尾巴”,例如:http://www.ddos-ban.com/?__AXXXXXXXXX,这?__AXXXXXXXXX就是上述所提及到的防护param。
可选的,所述S313用户或机器来访请求目标URL时,参数未携带时,进入白名单检测器的步骤,若在白名单则直接返回内容(状态码200),若不在则检查是否触发ddos-ban。
可选的,所述若不在则检查是否触发ddos-ban时,若触发,则进入黑名单检测器,如果不触发则直接返回目标内容(状态码200)。
本发明提供了一种有效拦截恶意请求的WAF参数防护方法,具备以下有益效果:
该有效拦截恶意请求的WAF参数防护方法,通过采用ddos-ban,使得本方法因ddos-ban可以基于多重维度达到超乎于本身的防护能力,从而解决了现有的iptables在系统层防护能力不够严谨,策略不够自由化,难以满足当下各种复杂环境的需求。
附图说明
图1为本发明的有效拦截恶意请求的WAF参数防护方法的步骤结构示意图;
图2为本发明的有效拦截恶意请求的WAF参数防护方法的流程图;
图3为本发明的ddos-ban的处理流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
请参阅图1至图3,本发明提供一种技术方案:一种有效拦截恶意请求的WAF参数防护方法,包括以下步骤:
S1:检测网上请求,判断用户是否在黑名单步骤;
S2:若在黑名单则直接丢弃请求;
S3:若不在黑名单则开始检测是否在白名单;
S3若不在黑名单则开始检测是否在白名单的步骤包括:S31:若不在白名单则开始参数检查;与S32:若在白名单,则返回原目标内容(状态码200);
S31若不在白名单则开始参数检查的步骤包括S311:用户或机器来访请求目标URL时,若携带错误,则直接进入黑名单检测器;S312:用户或机器来访请求目标URL时,参数携带正确时,检查是否存在于白名单中;与S313:用户或机器来访请求目标URL时,参数未携带时,进入白名单检测器;
白名单检测器用于检测请求是否存在白名单检测器内部设置的白名单库中;黑名单检测器用于检测请求是否存在黑名单检测器内部设置的黑名单库中;
上述步骤中需要使用到ddos-ban,ddos-ban的处理流程为:
Sa:创建ddos-ban标记类型;
Sb:当在程序面板中插入ddos-ban后,得到ddos-ban面板的html参数返回前端;
Sc:按照提交的参数在代码中生效;
Sd:请求流入时,先判断当前请求的port是否是当前程序或环境所需要用到的端口,如果是当前程序或环境所需要用到的端口则直接通过请求不做处理;
Se:快速判断ip是否在白名单中,如果不在白名单中,则进行下一步骤Sf:判断ip是否在黑名单中,如果在黑名单中,则返回丢弃连接状态并断开连接;
Sg:判断ip是否在白名单中,如果在白名单中,则通过请求不做任何处理;
Sh:解析请求的ip,path,param等信息;
Si:对param进行判断;
Sha:如果请求没有带param,则走ddos-ban的触发逻辑
如果不触发ddos-ban,则直接通过请求不做任何处理;
如果触发ddos-ban,则把当前ip放到黑名单观测器中进行观测,同时返回一个ddos-ban的处理结果;
Shb:如果请求带有param;
如果param和当前的ip,path是匹配的,则判断param的使用时间和次数是否允许;
如果是第一次正确携带,则将ip放入到白名单中,并通过请求;
如果开启了fix_url能力,则返回一个不带param的原始url;
如果不是第一次携带,并且检测参数的超时时间和使用次数,如果过期则走ddos-ban流程,并将ip放到黑名单观测器中进行观测;如果没过期则继续放行使用;
如果param和当前的ip,path是不匹配的,则重新走ddos-ban流程,并放到黑名单观测器中进行观测。
程序面板配置流程:打开程序面板的请求控制;在BEGIN表中选择插入;在“可用的标记模块”选择ddos-ban;填入request参数,second参数,选择勾选whitelist、fix_url、ban_switch等开关并填入trigger_count参数和trigger_duration;选择ddos-ban的方式模式;提交生效。
进一步,S311用户或机器来访请求目标URL时,若携带错误,则直接进入黑名单检测器步骤后黑名单检测器中的请求若满足了加入黑名单列表则加入黑名单,在黑名单列表的则在下一次防护流程中直接丢弃,若黑名单检测器中的请求不满足加入黑名单列表规则则进行下一步延续,在没开启fix_url美化功能时,返回带上防护的param(状态码200)。在开启fix_url美化功能时,则返回去掉防护的param(状态码302)。
进一步,S1检测网上请求,快速检测用户是否在白名单中的步骤中,请求包括用户请求、服务器请求、爬虫、机器人、代理等本身带有目的性或不具备目的性但间接对防护目标造成不利影响的来访请求,网络爬虫又称为网页蜘蛛,网络机器人,在FOAF社区中间,更经常的称为网页追逐者,是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。另外一些不常使用的名字还有蚂蚁、自动索引、模拟程序或者蠕虫。
进一步,S312用户或机器来访请求目标URL时,参数携带正确时,检查是否存在于白名单中的步骤,若在白名单中则直接返回目标内容(状态码200),若不在白名单中,则加入白名单中,再检查是否有开启fix_url美化,若没开则直接返回原目标内容并带上防护的param(状态码200),如果开了fix_url则返回去掉防护的param(状态码302),从而能够保障无问题访问请求,在并未记录在白名单的情况下,会对其进行检测,不会直接对其进行拦截,导致正常的连接受到影响的情况发生。
进一步,S313用户或机器来访请求目标URL时,参数未携带时,进入白名单检测器的步骤,若在白名单则直接返回内容(状态码200),若不在则检查是否触发ddos-ban。
进一步,若不在则检查是否触发ddos-ban时,若触发,则进入黑名单检测器,如果不触发则直接返回目标内容(状态码200)。
综上,该有效拦截恶意请求的WAF参数防护方法,使用时,当接收到来自网上的请求时,首先快速检测用户是否在白名单中,若在白名单里直接返回内容,若不在白名单则判断用户是否在黑名单,若在黑名单则直接丢弃请求,若不在黑名单则开始检测是否在白名单,此时若不在白名单则开始参数检查,若在白名单,则返回原目标内容;
若不在白名单则开始参数检查:
若携带错误,则直接进入黑名单检测器,进入黑名单检测器中的请求若满足了加入黑名单列表则加入黑名单,在黑名单列表的则下一次防护直接丢弃,若黑名单检测器中的请求不满足加入黑名单列表规则则进行下一步延续,返回带上防护的param(状态码302);
若参数携带正确时,检查是否存在于白名单中,若在白名单中则直接返回目标内容(状态码200),若不在白名单中,则加入白名单中,再检查是否有开启fix_url美化功能,若没开则返回原目标内容并带上防护的param(状态码200),如果开了fix_url则返回去掉防护param的302内容(状态码302);
若参数未携带时,进入白名单检测器,若在白名单则直接返回内容(状态码200),若不在则检查是否触发ddos-ban,若触发ddos-ban,则进入黑名单检测器,如果不触发ddos-ban则直接返回目标内容(状态码200);
该实施例具有该有效拦截恶意请求的WAF参数防护方法,能够保障无问题请求,在并未记录在白名单的情况下,对其参数进行检查,不会直接对其进行拦截,导致正常的连接受到影响的情况发生;
S1步骤首先进行快速查白和S3步骤进行精准查白的区别在于是否对白名单数据加锁,不加锁的查白速度较快,但是会有被修改的风险,所以准确率没有达到100%,精准查白是对白名单数据进行加锁的,因此数据不会被修改,从而准确率较高。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
Claims (6)
1.一种有效拦截恶意请求的WAF参数防护方法,其特征在于:包括以下步骤:
S1:检测网上请求,快速检测用户是否在白名单中;
S11:若在白名单里直接返回内容;
S12:若不在白名单则检测网上请求,判断用户是否在黑名单步骤中;
S2:若在黑名单则直接丢弃请求;
S3:若不在黑名单则开始检测是否在白名单;
所述S3若不在黑名单则开始检测是否在白名单的步骤包括:S31:若不在白名单则开始参数检查;与S32:若在白名单,则返回原目标内容;
所述S31若不在白名单则开始参数检查的步骤包括S311:用户或机器来访请求目标URL时,若携带错误,则直接进入黑名单检测器;S312:用户或机器来访请求目标URL时,参数携带正确时,检查是否存在于白名单中;与S313:用户或机器来访请求目标URL时,参数未携带时,进入白名单检测器;
上述所述步骤中需要使用到ddos-ban,所述ddos-ban的处理流程为:
Sa:创建ddos-ban标记类型;
Sb:当在程序面板中插入ddos-ban后,得到ddos-ban面板的html参数返回前端;
Sc:按照提交的参数在代码中生效;
Sd:请求流入时,先判断当前请求的port是否是当前程序或环境所需要用到的端口,如果是当前程序或环境所需要用到的端口则直接通过请求不做处理;
Se:快速判断ip是否在白名单中,如果不在白名单中,则进行下一步骤Sf:判断ip是否在黑名单中,如果在黑名单中,则返回丢弃连接状态并断开连接;
Sg:判断ip是否在白名单中,如果在白名单中,则通过请求不做任何处理;
Sh:解析请求的ip,path,param等信息;
Si:对param进行判断。
2.根据权利要求1所述的一种有效拦截恶意请求的WAF参数防护方法,其特征在于:所述S311用户或机器来访请求目标URL时,若携带错误,则直接进入黑名单检测器步骤后黑名单检测器中的请求若满足了加入黑名单列表则加入黑名单,在黑名单列表的则下一次防护流程中将直接丢弃,若黑名单检测器中的请求不满足加入黑名单列表规则则进行下一步延续,在没开启fix_url美化功能时,返回带上防护param的目标内容(状态码200)。在开启fix_url美化功能时,则返回去掉防护param的302内容(状态码302)。
3.根据权利要求1所述的一种有效拦截恶意请求的WAF参数防护方法,其特征在于:所述S1检测网上请求,快速检测用户是否在白名单中的步骤中,请求包括用户请求、服务器请求、爬虫、机器人、代理等本身带有目的性或不具备目的性但间接对防护目标造成不利影响的来访请求。
4.根据权利要求1所述的一种有效拦截恶意请求的WAF参数防护方法,其特征在于:所述S312用户或机器来访请求目标URL时,参数携带正确时,检查是否存在于白名单中的步骤,若在白名单中则直接返回目标内容(状态码200),若不在白名单中,则加入白名单中,再检查是否有开启fix_url美化,若没开则直接返回原目标内容并带上防护param,如果开了fix_url则返回去掉防护param的302内容(状态码302)。
5.根据权利要求1所述的一种有效拦截恶意请求的WAF参数防护方法,其特征在于:所述S313用户或机器来访请求目标URL时,参数未携带时,进入白名单检测器的步骤,若在白名单则直接返回内容(状态码200),若不在则检查是否触发ddos-ban。
6.根据权利要求5所述的一种有效拦截恶意请求的WAF参数防护方法,其特征在于:所述若不在则检查是否触发ddos-ban时,若触发,则进入黑名单检测器,如果不触发则返回目标内容(状态码200)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310163421.5A CN116132189A (zh) | 2023-02-24 | 2023-02-24 | 一种有效拦截恶意请求的waf参数防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310163421.5A CN116132189A (zh) | 2023-02-24 | 2023-02-24 | 一种有效拦截恶意请求的waf参数防护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116132189A true CN116132189A (zh) | 2023-05-16 |
Family
ID=86297422
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310163421.5A Withdrawn CN116132189A (zh) | 2023-02-24 | 2023-02-24 | 一种有效拦截恶意请求的waf参数防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116132189A (zh) |
-
2023
- 2023-02-24 CN CN202310163421.5A patent/CN116132189A/zh not_active Withdrawn
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3225010B1 (en) | Systems and methods for malicious code detection accuracy assurance | |
| US20190245829A1 (en) | System and method for implementing content and network security inside a chip | |
| KR101669694B1 (ko) | 네트워크 자원들에 대한 건강 기반 액세스 | |
| US7877795B2 (en) | Methods, systems, and computer program products for automatically configuring firewalls | |
| CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
| RU2536663C2 (ru) | Система и способ защиты от нелегального использования облачных инфраструктур | |
| CN101356535B (zh) | 一种检测和防止java脚本程序中不安全行为的方法和装置 | |
| CN114978584A (zh) | 基于单位单元的网络安全防护安全方法及系统 | |
| US7720965B2 (en) | Client health validation using historical data | |
| KR20000072707A (ko) | 실시간 침입탐지 및 해킹 자동 차단 방법 | |
| JP2006285983A (ja) | コンピュータシステムからナレッジベースをアグリゲートし、コンピュータをマルウェアから事前に保護すること | |
| RU2697954C2 (ru) | Система и способ создания антивирусной записи | |
| KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
| CN107612924A (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| AlYousef et al. | Dynamically detecting security threats and updating a signature-based intrusion detection system’s database | |
| WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
| Sequeira | Intrusion prevention systems: security's silver bullet? | |
| CN108989294A (zh) | 一种准确识别网站访问的恶意用户的方法及系统 | |
| CN107465702A (zh) | 基于无线网络入侵的预警方法及装置 | |
| KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
| KR101768079B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
| KR20060117693A (ko) | 웹 보안방법 및 그 장치 | |
| KR101767591B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
| CN110086812B (zh) | 一种安全可控的内网安全巡警系统及方法 | |
| CN116132189A (zh) | 一种有效拦截恶意请求的waf参数防护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20230516 |
|
| WW01 | Invention patent application withdrawn after publication |