CN116132502A - 网页访问处理方法、装置及电子设备 - Google Patents
网页访问处理方法、装置及电子设备 Download PDFInfo
- Publication number
- CN116132502A CN116132502A CN202210915781.1A CN202210915781A CN116132502A CN 116132502 A CN116132502 A CN 116132502A CN 202210915781 A CN202210915781 A CN 202210915781A CN 116132502 A CN116132502 A CN 116132502A
- Authority
- CN
- China
- Prior art keywords
- content
- request
- target
- detection
- detection rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 26
- 238000001514 detection method Methods 0.000 claims abstract description 246
- 238000001914 filtration Methods 0.000 claims abstract description 18
- 238000012545 processing Methods 0.000 claims abstract description 18
- 230000003068 static effect Effects 0.000 claims description 18
- 238000000034 method Methods 0.000 abstract description 32
- 230000006399 behavior Effects 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 7
- 238000012546 transfer Methods 0.000 description 6
- 238000005336 cracking Methods 0.000 description 5
- 238000002347 injection Methods 0.000 description 5
- 239000007924 injection Substances 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请实施例公开了一种网页访问处理方法、装置及电子设备,该方法包括:接收针对目标服务器的访问请求,访问请求中携带第一请求内容,访问请求用于请求与目标服务器建立连接,第一请求内容用于指示访问目标服务器中的目标资源;确定第一请求内容中的目标内容,并过滤掉第一请求内容中的目标内容,得到第二请求内容,第二请求内容为第一请求内容中的可疑内容;对第二请求内容进行检测,并根据检测结果确定是否响应访问请求。如此可以减少所需要检测的内容,大幅度减少对访问请求中的请求内容的检测次数,在对访问请求中的请求内容的检测次数得到有效控制后,检测时间也会缩短,同时降低性能消耗。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及一种网页访问处理方法、装置及电子设备。
背景技术
相关技术中,通过传输协议对所需传输的请求内容进行封装并传递,在通过传输协议对请求内容传输的过程中,通过电子设备对所传递的请求内容中的攻击行为进行识别与防护。
一些场景下,网络攻击行为的种类日益增加,网络的安全问题迎来巨大的挑战,为了能全面识别网络的攻击行为,需要对应增加电子设备的检测规则、检测内容和检测指标,如此,在电子设备的需要检测的内容和检测指标日益增多的情况下,电子设备对请求内容的检测时间越来越长,电子设备的性能消耗也越来越大。
发明内容
本申请提供一种网页访问处理方法、装置及电子设备,以解决对请求内容的检测时间较长,性能消耗较大的问题。
第一方面,本申请提供一种网页访问处理方法,包括:
接收针对目标服务器的访问请求,所述访问请求用于请求与所述目标服务器建立连接,所述访问请求中携带第一请求内容,所述第一请求内容用于指示访问所述目标服务器中的目标资源;
确定所述第一请求内容中的目标内容,并过滤掉所述第一请求内容中的所述目标内容,得到第二请求内容,所述第二请求内容为所述第一请求内容中的可疑内容;
对所述第二请求内容进行检测,并根据检测结果确定是否响应所述访问请求。
第二方面,本申请提供一种网页访问处理装置,包括:
接收模块,用于接收对目标服务器的访问请求,所述访问请求用于请求与所述目标服务器建立连接,所述访问请求中携带第一请求内容,所述第一请求内容用于指示访问所述目标服务器中的目标资源;
确定模块,用于确定所述第一请求内容中的目标内容;过滤模块,用于过滤掉所述第一请求内容中的所述目标内容,得到第二请求内容,所述第二请求内容为所述第一请求内容中的可疑内容;
检测模块,用于对所述第二请求内容进行检测,并根据检测结果确定是否响应所述访问请求。
第三方面,本申请提供一种电子设备,包括:
处理器;用于存储所述处理器可执行指令的存储器;其中,所述处理器被配置为执行所述指令,以实现如第一方面所述的方法。
第四方面,本申请提供一种计算机可读存储介质,当所述存储介质中的指令由电子设备的处理器执行时,使得电子设备能够执行如第一方面所述的方法。
可以看出,本申请实施例公开了的网页访问处理方法,该方法包括:接收针对目标服务器的访问请求,所述访问请求用于请求与所述目标服务器建立连接,所述访问请求中携带第一请求内容,所述第一请求内容用于指示访问所述目标服务器中的目标资源;确定所述第一请求内容中的目标内容,并过滤掉所述第一请求内容中的所述目标内容,得到第二请求内容,所述第二请求内容为所述第一请求内容中的可疑内容;对所述第二请求内容进行检测,并根据检测结果确定是否响应所述访问请求。如此,通过对第一请求内容中的目标内容进行过滤,可以减少所需要检测的内容,大幅度减少对访问请求中的请求内容的检测次数,在对访问请求中的请求内容的检测次数得到有效控制后,检测时间也会缩短,有利于降低性能消耗。
附图说明
此处所说明的附图用来提供对本说明书的进一步理解,构成本说明书的一部分,本说明书的示意性实施例及其说明用于解释本说明书,并不构成对本说明书的不当限定。在附图中:
图1为本申请实施例提供的网页访问处理方法的第一种流程示意图;
图2为本申请实施例提供的网页访问处理方法的第二种流程示意图;
图3为本申请实施例提供的一种网页访问处理装置的结构示意图;
图4为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本说明书的目的、技术方案和优点更加清楚,下面将结合本说明书具体实施例及相应的附图对本说明书技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
本说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应理解这样使用的数据在适当情况下可以互换,以便本申请实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,本说明书以及权利要求书中“和/或”表示所连接对象的至少其中之一,字符“/”一般表示前后关联对象是一种“或”的关系。
如上所述,通过传输协议对所需传输的请求内容进行封装并传递,在通过传输协议对请求内容传输的过程中,通过电子设备对所传递的请求内容中的攻击行为进行检测与防护。随着应用的种类越来越丰富,网络攻击行为的种类日益增加,网络的安全问题迎来巨大的挑战,为了能全面识别网络的攻击行为,需要对应增加电子设备的检测规则、检测内容和检测指标,如此,在电子设备的需要检测的内容和检测指标日益增多的情况下,电子设备对请求内容的检测时间越来越长,电子设备的性能消耗也越来越大,导致电子设备对请求内容进行检测的检测效率低下。其中,电子设备可以为终端设备或者服务器等设备。
例如,万维网(World Wide Web,Web)应用防火墙(Web Application Firewall,WAF)是一款针对非法超文本传输协议(Hypertext Transfer Protocol,HTTP)和超文本传输安全协议(Hypertext Transfer Protocol Secure,HTTPS)的请求内容进行检测与防护的安全产品,其能对HTTP传输协议或HTTPS传输协议所传输的请求内容中的SQL注入、XSS、远程命令执行等攻击行为进行识别和防护。一些场景下,随着Web应用的种类越来越丰富,网络攻击行为的种类日益增加,网络的安全问题迎来巨大的挑战,为了能全面识别网络的攻击行为,WAF的检测规则、检测内容和检测指标日益增多,WAF对请求内容的检测时间越来越长,服务器的性能消耗也越来越大,导致WAF对请求内容的检测效率低下。
为了减少电子设备对请求内容的检测时间,降低电子设备的性能消耗以及提高电子设备对请求内容的检测效率,本申请实施例旨在提供一种网页访问处理方法的方案,通过接收针对目标服务器的访问请求,访问请求用于请求与目标服务器建立连接,访问请求中携带第一请求内容,第一请求内容用于指示访问目标服务器中的目标资源,确定请求内容中的目标内容,并过滤掉第一请求内容中的目标内容,得到第二请求内容,第二请求内容为第一请求内容中的可疑内容,对第二请求内容进行检测,并根据检测结果确定是否响应访问请求。
如此,通过对第一请求内容中的目标内容进行过滤,只需要对访问请求中第一请求内容中的可疑内容进行检测,可以减少所需要检测的内容,大幅度减少对访问请求中第一请求内容的检测次数,在对访问请求中第一请求内容的检测次数得到有效控制后,对检测访问请求中的第一请求内容的检测时间也会缩短,同时也降低了电子设备的性能消耗。
应理解,本申请实施例提供的网页访问处理方法均可以由电子设备执行或安装在电子设备中的软件执行,具体可以由终端设备或服务端设备执行。
以下结合附图,详细说明本说明书各实施例提供的技术方案。
请参考图1,为本说明书的一个实施例提供的一种网页访问处理方法的流程示意图,应用于电子设备。该方法可以包括:
步骤S101,接收针对目标服务器的访问请求。
其中,访问请求用于请求与目标服务器建立连接,访问请求中携带第一请求内容,第一请求内容用于指示访问目标服务器中的目标资源。
具体来讲,目标服务器可以为客户端所请求访问的服务器,访问请求为客户端向目标服务器发起的连接请求,用来请求与目标服务器建立连接,当客户端向目标服务器发起访问请求时,该访问请求会被电子设备截取和监控。其中,客户端可以为Web客户端,目标服务器可以为Web服务器,电子设备可以为WAF安全设备,访问请求的类型可以为HTTP请求或HTTPS请求。
访问请求由三部分组成,分别为请求行、请求报头和请求正文,请求行、请求报头和请求正文所对应的内容即为上述的第一请求内容。其中,请求行以一个请求方法符号开头,以空格分开,后面跟着请求的统一资源标识符(Uniform Resource Identifier,URI)和传输协议的版本,URI是用于标识某一互联网资源名称的字符串,传输协议的版本指的是访问请求的传输协议的版本,请求方法包括但不限于GET方法、POST方法、HEAD方法、PUT方法、DELETE方法、TRACE方法等;请求报头用于允许客户端向目标服务器传递访问请求的附加信息以及客户端自身的信息,包括但不限于Accept请求报头,用于指定客户端可识别的内容类型的列表,User-Agent请求报头,用于产生请求的浏览器的类型,Host请求报头,用于表示主机地址,Accept-Charset请求报头,用于指定客户端接收的字符集,Accept-Encoding请求报头,用于指定可接收的内容编码,Accept-Language请求报头,用于指定一种自然语言等;实体报文定义了关于实体正文和访问请求所标识的内容的元信息;请求正文用于表示客户端想要访问目标服务器的哪些资源(即目标资源),包括但不限于静态文件、音频、视频等,其中静态文件包括但不限于图片(如JPG格式的图片、PNG格式的图片)、JavaScript文件(js文件)、CSS文件以及文档(如doc格式的文档以及PDF格式的文档等)。
其中,上述的请求行和请求报头中的内容可以作为访问请求中的请求参数。
步骤S103,确定第一请求内容中的目标内容。
具体来讲,请求内容包括访问请求的请求行、请求报头和请求正文所对应的内容,目标内容指的是第一请求内容中不会被攻击或者未被攻击的内容格式规范的安全内容。因此,在确定请求内容中的目标内容时,可以确定第一请求内容中不会被攻击或者未被攻击的格式规范的安全内容为目标内容,由上述记载可知,第一请求内容中包括静态文件和请求参数,静态文件不会通过后台的控制而更改,其是较为安全的不容易被攻击的,因此,可以将静态文件作为安全内容。进一步,在请求参数中,请求参数的格式具有规范且统一的格式或者规范的内容,因此,可以将具有规范格式或规范内容的请求参数作为合法参数内容,将合法参数内容确定为目标内容。
在一种可能的实现方式中,目标内容包括:静态文件,静态文件包括图片文件、JavaScript文件、CSS文件、文档中文件的至少一者。
在一种可能的实现方式中,目标内容包括:第一请求内容的请求参数中的合法参数内容,合法参数内容包括字符串,请求参数包括GET请求参数,POST请求参数中的至少一者。
具体来讲,请求参数中包括GET请求参数,POST请求参数中的至少一者,其中,GET请求参数是用于请求获取Request-URI所标识的内容,POST请求参数是在Request-URI所标识的资源后附加新的内容,在确定请求参数的合法参数内容时,可以确定请求参数中的内容是否规范和/或请求参数的格式是否规范来确定合法参数内容。例如,请求参数为“username=admin”和“password=123”,其中,username和password为参数名称,admin和123为参数内容。
具体的,可以通过确定请求参数中的参数内容是否规范来确定合法参数内容,如在请求参数的参数内容为字符串的情况下,确定参数内容为合法参数内容。即如果参数内容为纯的字符串,则说明请求参数中的内容是规范的,确定其为合法参数内容,字符串的格式可以为纯字母、纯数字以及数字加字母,如数字123、字母abc或数字+字母123abc则为纯的字符串。在对访问请求中的全部请求参数进行筛选后,全确定出全部的合法参数内容。通过判断参数内容是否为纯的字符串来确定参数内容是否合法,规则简单,确定出合法参数内容的效率较高,能够进一步缩短电子设备对访问内容的检测时长,提高检测效率。
步骤S105,过滤掉第一请求内容中的目标内容,得到第二请求内容。
其中,第二请求内容为第一请求内容中的可疑内容。
具体来讲,由上述的记载,在确定出访问请求的第一请求内容中的目标内容之后,这一部分目标内容将不再通过电子设备进行检测,即将该部分目标内容进行过滤。其中,在目标内容包括静态文件的情况下,通过对静态文件的过滤,可以减少电子设备对访问请求中的内容进行检测的检测量和检测次数,从而缩短电子设备对访问请求中的内容的检测时间,降低电子设备的性能消耗,此外,由于静态文件不再经过电子设备的检测,对包含静态文件的访问请求的响应速度会大幅度提升。在目标内容包括合法参数内容的情况下,通过对合法参数内容的过滤,可以减少电子设备的检测规则与合法参数内容的匹配次数,也可以减少电子设备对访问请求中的内容进行检测的检测量和检测次数,进一步缩短了电子设备对访问请求中的请求内容进行检测的检测时间,降低了电子设备的性能消耗。
步骤S107,对第二请求内容进行检测,并根据检测结果确定是否响应访问请求。
具体来讲,如前文,目标内容包括静态文件和合法参数内容,在第一请求内容中,将静态文件和合法参数内容进行过滤后剩余的内容为可疑内容。可疑内容包括但不限于非静态文件特征,可疑参数内容和访问请求中的其他内容。对可疑内容进行检测时,可以利用电子设备的检测规则对可疑内容一一进行检测,即通过电子设备的检测规则对可疑内容中是否有SQL注入、XSS、远程命令执行、跨站请求伪造(CSRF)、暴力破解、命令注入、文件包含、恶意文件上传等攻击行为一一进行检测。如果检测结果指示第二请求内容通过了电子设备的检测,则响应该访问请求,允许客户端与服务器之间建立连接,即允许客户端访问服务器;如果检测结果指示第二请求内容未通过电子设备的检测,则不响应该访问请求,不允许客户端与服务器之间建立连接,即不允许客户端访问服务器。
在一种可能的实现方式中,可以采用电子设备中的检测规则逐个对可疑内容中的每部分内容进行一一进行检测,也就是说,对可疑内容中的每部分内容需要采用电子设备中的多个检测规则进行检测以提高对可疑内容进行检测的安全性和可靠性。
例如,可以采用电子设备中的阻止策略集对可疑内容中的每段内容中是否有SQL注入一一进行检测,采用电子设备中的XSS攻击防护策略对可疑内容中的每段内容中是否有XSS攻击一一进行检测,采用电子设备中的CSRF防护策略对可疑内容中的每段内容是否有CSRF攻击一一进行检测,采用电子设备中的暴力破解策略对可疑内容中的每段内容是否有暴力破解一一进行检测,采用电子设备中的安全策略对可疑内容中的每段内容是否有命令注入、文件包含、恶意文件上传等行为一一进行检测。
通过本申请实施例公开的技术方案,通过对第一请求内容中的目标内容进行过滤,可以减少电子设备所需要检测的内容,大幅度减少电子设备对第一请求内容的检测次数,在电子设备对第一请求内容的检测次数得到有效控制后,电子设备的检测时间也会缩短,同时降低了电子设备的性能消耗。
为了减少检测规则对可疑内容进行检测的检测次数,可以对可疑内容与检测规则之间的关系进行判断,如果可疑内容与检测规则之间不存在对应关系,则该检测规则将不会对可疑内容进行检测,以此进一步缩短电子设备对访问请求中的第一请求内容进行检测的检测时长,进一步降低电子设备的性能消耗。
请参考图2,为本说明书的一个实施例提供的一种网页访问处理方法的流程示意图,应用于电子设备。该方法可以包括:
步骤S201,接收针对目标服务器的访问请求。
其中,访问请求中携带第一请求内容,访问请求用于请求与目标服务器建立连接,第一请求内容用于指示访问目标服务中的目标资源。
步骤S203,确定第一请求内容中的目标内容。
步骤S205,过滤掉第一请求内容中的目标内容,得到第二请求内容,第二请求内容为第一请求内容中的可疑内容。
值得注意的是,步骤S201至步骤S205具有相同或类似的实现方式,其可以互相参照,本申请实施例在此不再赘述。
步骤S207,确定与第二请求内容对应的目标检测规则;利用目标检测规则对第二请求内容进行检测。
具体来讲,电子设备中配置有多种检测规则,对于每种检测规则而言,其具有重点检测的检测对象和所需要检测内容的内容长度阈值,内容长度阈值可以为该检测规则所允许检测的最小内容长度,检测对象可以为需要检测的关键检测特征,目标检测规则指的是该检测规则中包含的至少部分关键检测特征与可疑内容中的至少部分内容一致和/或可疑内容中的至少部分内容的内容长度满足该检测规则所需要检测的内容长度阈值,其中,内容长度阈值可以按照每个检测策略的要求不同而设定,本申请实施例在此并不作限定。
以内容长度阈值以最小内容长度为例,如果可疑内容不包含检测规则所需检测的至少部分关键检测特征和/或可疑内容的至少部分内容的内容长度不满足检测规则所需要检测的最小内容长度,则该检测规则与可疑内容之间不存在对应关系,则该检测规则将不会对可疑内容进行检测;如果可疑内容包含检测规则所需检测的至少部分关键检测特征和/或可疑内容的至少部分内容的内容长度满足检测规则所需要检测的最小内容长度,则该检测规则与可疑内容之间存在对应关系,则将该检测规则作为目标检测规则。
因此,如果可疑内容与检测规则之间不存在对应关系,则该检测规则将不会对可疑内容进行检测,仅需要采用与可疑内容存在对应关系的目标检测规则对可疑内容进行检测,以此进一步缩短电子设备对访问请求中的内容进行检测的检测时长,进一步降低电子设备的性能消耗。
在一种可能的实现方式中,确定与第二请求内容对应的目标检测规则包括:获取至少一个检测规则;确定至少一个检测规则所允许检测的内容长度阈值,和第二请求内容中的至少部分内容的内容长度;确定至少一个检测规则中内容长度阈值小于内容长度的检测规则为目标检测规则。
具体来讲,如上,电子设备具有多种检测规则,如阻止策略集、XSS攻击防护策略、CSRF防护策略、暴力破解策略以及安全策略等。每种检测规则具有各自需要检测的关键检测特征和所需允许检测内容的内容长度阈值,该内容长度阈值可以为允许检测的最小内容长度,可疑内容中的至少部分内容为参与检测的一段或一句内容。例如,XSS攻击防护策略所允许检测的最小内容长度为8,暴力破解策略所允许检测的最小长度内容为23,可疑内容中有段内容为“aaaaaaadmin123addddss”,可疑内容的内容长度为21。可以看出,可疑内容的内容长度大于XSS攻击防护策略所允许检测的最小内容长度,可疑内容的内容长度小于暴力破解策略所允许检测的最小长度,XSS攻击防护策略与可疑内容中的至少部分内容是有对应关系的,该XSS攻击防护策略可以作为目标检测规则对内容“aaaaaaadmin123addddss”进行检测,暴力破解策略与可疑内容中的至少部分内容不具有对应关系,该暴力破解策略则不会对内容“aaaaaaadmin123addddss”进行检测。如此,通过检测规则所需检测内容的内容长度阈值和可疑内容中的至少部分内容的内容长度之间的关系,确定能对可疑内容中的至少部分内容进行检测的目标检测规则,非目标检测规则并不会对可疑内容中的至少部分内容进行检测,能减少检测规则对可疑内容的至少部分内容进行检测的检测次数,进一步缩短了电子设备对访问请求中的请求内容进行检测的检测时长,进一步降低了电子设备的性能消耗。
在一种可能的实现方式中,确定与第二请求内容对应的目标检测规则包括:获取至少一个检测规则;确定至少一个检测规则中所需检测的关键检测特征;确定至少一个检测规则中关键检测特征出现在第二请求内容中的检测规则为目标检测规则。也就是说,在可疑内容中的至少部分内容包括至少部分关键检测特征的情况下,确定与至少部分关键检测特征对应的检测规则为目标检测规则。
具体来讲,如上的,电子设备具有多种检测规则,如阻止策略集、XSS攻击防护策略、CSRF防护策略、暴力破解策略以及安全策略等。每种检测规则具有各自需要重点检测的关键检测特征和所需检测内容的内容长度阈值,该关键检测特征可以为该检测规则所需要检测的内容特征,可疑内容中的至少部分内容为参与检测的一段或一句内容,至少部分关键检测特征是关键检测特征中的至少一个特征,如果可疑内容中的至少部分内容包括至少部分关键检测特征的情况下,则该可疑内容中的至少部分内容与至少部分关键检测特征对应的检测规则具有对应关系。例如,XSS攻击防护策略中的关键检测特征为“456”,可疑内容中的至少部分内容不含有“456”,那XSS攻击防护策略则与可疑内容的至少部分内容不匹配,XSS攻击防护策略不对可疑内容的至少部分内容进行检测。通过检测规则所需检测内容的关键检测特征和可疑内容中的至少部分内容之间的关系,确定能对可疑内容中的至少部分内容进行检测的目标检测规则,非目标检测规则并不会对可疑内容中的至少部分内容进行检测,能减少检测规则对可疑内容的至少部分内容进行检测的检测次数,进一步缩短了电子设备对访问请求中的请求内容进行检测的检测时长,进一步降低了电子设备的性能消耗。
在一种可能的实现方式中,为了进一步提高检测规则与可疑内容的匹配精度,可以将上述的两种确定目标检测规则的方式组合使用,确定与第二请求内容对应的目标检测规则包括:获取至少一个检测规则;确定至少一个检测规则所允许检测的内容长度阈值,和第二请求内容中至少部分内容的内容长度;确定至少一个检测规则中内容长度阈值小于内容长度的检测规则为第一检测规则;确定第一检测规则中的关键检测特征;确定至少一个检测规则中关键检测特征出现在第二请求内容中的检测规则为目标检测规则;也就是说,在第二请求内容中的至少部分内容包括第一检测规则中的至少部分关键检测特征的情况下,确定第一检测规则为目标检测规则。
具体来讲,第一检测规则为内容长度阈值小于可疑内容的至少部分内容的内容长度的检测规则,第一检测规则具有关键检测特征,只有第一检测规则的内容长度阈值和关键检测特征能同时与可疑内容中的至少部分内容具有对应关系时,才将第一检测规则确定为目标检测规则。例如,XSS攻击防护策略中的关键检测特征为“456”,所允许检测的最小内容长度为8,可疑内容中的至少部分内容含有“456”,可疑内容中的至少部分内容的内容长度为21,则可疑内容的至少部分内容含有XSS攻击防护策略中的关键检测特征,且可疑内容中的至少部分内容的内容长度大于XSS攻击防护策略所允许检测的最小内容长度,则XSS攻击防护策略可以作为目标检测规则。如此,只有可疑内容的至少部分内容和内容长度同时满足检测规则内容长度阈值和关键检测特征的要求时,才将该检测规则作为目标检测规则,提高了检测规则与可疑内容的至少部分内容的匹配精度,能进一步减少检测规则对可疑内容的至少部分内容进行检测的检测次数,进一步缩短了电子设备对访问请求中的请求内容进行检测的检测时长,进一步降低了电子设备的性能消耗。
值得注意的是,本实施例确定目标检测规则的方式与上述实施例中描述的确定目标检测规则的方式相同或相似之处可以互相参照,本申请实施例在此不再赘述。
此外,与上述图1所示的网页访问处理方法相对应地,本申请实施例还提供一种网页访问处理装置。图3是本申请实施例提供的一种网页访问处理装置300的结构示意图,包括:
接收模块301,用于接收针对目标服务器的访问请求,访问请求用于请求与目标服务器建立连接,访问请求中携带第一请求内容,第一请求内容用于指示访问目标服务器中的目标资源;
确定模块302,用于确定第一请求内容中的目标内容;
过滤模块303,用于过滤掉第一请求内容中的目标内容,得到第二请求内容,第二请求内容为第一请求内容中的可疑内容;
检测模块304,用于对第二请求内容进行检测,并根据检测结果确定是否响应访问请求。
通过本申请实施例公开的技术方案,通过对请求内容中的目标内容进行过滤,可以减少所需要检测的内容,大幅度减少对访问请求中的请求内容的检测次数,在对访问请求中的请求内容的检测次数得到有效控制后,检测时间也会缩短,同时降低了电子设备的性能消耗。
在一种可能的实现方式中,检测模块304,还用于确定与第二请求内容对应的目标检测规则;利用目标检测规则对第二请求内容进行检测。
在一种可能的实现方式中,检测模块304,还用于获取至少一个检测规则;
确定至少一个检测规则所允许检测的内容长度阈值,和第二请求内容中的至少部分内容的内容长度;确定至少一个检测规则中内容长度阈值小于内容长度的检测规则为目标检测规则。
在一种可能的实现方式中,检测模块304,还用于获取至少一个检测规则;确定至少一个检测规则中所需检测的关键检测特征;确定至少一个检测规则中关键检测特征出现在第二请求内容中的检测规则为目标检测规则。
在一种可能的实现方式中,检测模块304,还用于获取至少一个检测规则;确定至少一个检测规则所允许检测的内容长度阈值,和第二请求内容中至少部分内容的内容长度;确定至少一个检测规则中内容长度阈值小于内容长度的检测规则为第一检测规则;确定第一检测规则中的关键检测特征;确定至少一个检测规则中关键检测特征出现在第二请求内容中的检测规则为目标检测规则。
在一种可能的实现方式中,目标内容包括静态文件,静态文件包括以下至少一者:图片文件;JavaScript文件;CSS文件;文档文件。。
在一种可能的实现方式中,目标内容包括第一请求内容的请求参数中的合法参数内容,合法参数内容包括字符串。
显然,本申请实施例的网页访问处理装置可以作为上述图1所示的网页访问处理方法的执行主体,因此能够实现网页访问处理方法在图1所实现的功能,且具有相同的有益效果。由于原理相同,在此不再赘述。
图4是本说明书的一个实施例电子设备的结构示意图。请参考图4,在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放程序。具体地,程序可以包括程序代码,程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成网页访问处理装置。处理器,执行存储器所存放的程序,并具体用于执行以下操作:接收针对目标服务器的访问请求,访问请求用于请求与目标服务器建立连接,访问请求中携带第一请求内容,第一请求内容用于指示访问目标服务器中的目标资源;确定第一请求内容中的目标内容,并过滤掉第一请求内容中的目标内容,得到第二请求内容,第二请求内容为第一请求内容中的可疑内容;对第二请求内容进行检测,并根据检测结果确定是否响应访问请求。
上述如本说明书图1所示实施例揭示的网页访问处理装置执行的方法或者如本说明书图3所示实施例揭示的网页访问处理装置可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
应理解,本申请实施例的电子设备可以实现网页访问处理方法在图1所示实施例的功能或者网页访问处理装置在图3所示实施例的功能。由于原理相同,本申请实施例在此不再赘述。
当然,除了软件实现方式之外,本说明书的电子设备并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
本申请实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的便携式电子设备执行时,能够使该便携式电子设备执行图1所示实施例的方法,并具体用于执行以下操作:接收针对目标服务器的访问请求,访问请求用于请求与目标服务器建立连接,访问请求中携带第一请求内容,第一请求内容用于指示访问目标服务器中的目标资源;确定第一请求内容中的目标内容,并过滤掉第一请求内容中的目标内容,得到第二请求内容,第二请求内容为第一请求内容中的可疑内容;对第二请求内容进行检测,并根据检测结果确定是否响应访问请求。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
总之,以上仅为本说明书的较佳实施例而已,并非用于限定本说明书的保护范围。凡在本说明书的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本说明书的保护范围之内。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
Claims (10)
1.一种网页访问处理方法,其特征在于,包括:
接收针对目标服务器的访问请求,所述访问请求用于请求与所述目标服务器建立连接,所述访问请求中携带第一请求内容,所述第一请求内容用于指示访问所述目标服务器中的目标资源;
确定所述第一请求内容中的目标内容,并过滤掉所述第一请求内容中的所述目标内容,得到第二请求内容,所述第二请求内容为所述第一请求内容中的可疑内容;
对所述第二请求内容进行检测,并根据检测结果确定是否响应所述访问请求。
2.根据权利要求1所述的网页访问处理方法,其特征在于,所述对所述第二请求内容进行检测包括:
确定与所述第二请求内容对应的目标检测规则;
利用所述目标检测规则对所述第二请求内容进行检测。
3.根据权利要求2所述的网页访问处理方法,其特征在于,所述确定与所述第二请求内容对应的目标检测规则包括:
获取至少一个检测规则;
确定所述至少一个检测规则所允许检测的内容长度阈值,和所述第二请求内容中的至少部分内容的内容长度;
确定所述至少一个检测规则中内容长度阈值小于所述内容长度的检测规则为所述目标检测规则。
4.根据权利要求2所述的网页访问处理方法,其特征在于,所述确定与所述第二请求内容对应的目标检测规则包括:
获取至少一个检测规则;
确定所述至少一个检测规则中所需检测的关键检测特征;
确定所述至少一个检测规则中关键检测特征出现在所述第二请求内容中的检测规则为所述目标检测规则。
5.根据权利要求2所述的网页访问处理方法,其特征在于,所述确定与所述第二请求内容对应的目标检测规则包括:
获取至少一个检测规则;
确定所述至少一个检测规则所允许检测的内容长度阈值,和所述第二请求内容中至少部分内容的内容长度;
确定所述至少一个检测规则中内容长度阈值小于所述内容长度的检测规则为第一检测规则;
确定所述第一检测规则中的关键检测特征;
确定所述至少一个检测规则中关键检测特征出现在所述第二请求内容中的检测规则为所述目标检测规则。
6.根据权利要求1所述的网页访问处理方法,其特征在于,所述目标内容包括静态文件,所述静态文件包括以下至少一者:图片文件,JavaScript文件,CSS文件,文档文件。
7.根据权利要求1所述的网页访问处理方法,其特征在于,所述目标内容包括所述第一请求内容的请求参数中的合法参数内容,所述合法参数内容包括字符串。
8.一种网页访问处理装置,其特征在于,包括:
接收模块,用于接收对目标服务器的访问请求,所述访问请求用于请求与所述目标服务器建立连接,所述访问请求中携带第一请求内容,所述第一请求内容用于指示访问所述目标服务器中的目标资源;
确定模块,用于确定所述第一请求内容中的目标内容;
过滤模块,用于过滤掉所述第一请求内容中的所述目标内容,得到第二请求内容,所述第二请求内容为所述第一请求内容中的可疑内容;
检测模块,用于对所述第二请求内容进行检测,并根据检测结果确定是否响应所述访问请求。
9.一种电子设备,其特征在于,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现如权利要求1至7中任一项所述的网页访问处理方法。
10.一种计算机可读存储介质,其特征在于,当所述存储介质中的指令由电子设备的处理器执行时,使得电子设备能够执行如权利要求1至7中任一项所述的网页访问处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210915781.1A CN116132502A (zh) | 2022-08-01 | 2022-08-01 | 网页访问处理方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210915781.1A CN116132502A (zh) | 2022-08-01 | 2022-08-01 | 网页访问处理方法、装置及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116132502A true CN116132502A (zh) | 2023-05-16 |
Family
ID=86305103
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210915781.1A Pending CN116132502A (zh) | 2022-08-01 | 2022-08-01 | 网页访问处理方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116132502A (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110247072A1 (en) * | 2008-11-03 | 2011-10-06 | Stuart Gresley Staniford | Systems and Methods for Detecting Malicious PDF Network Content |
CN103166966A (zh) * | 2013-03-07 | 2013-06-19 | 星云融创(北京)信息技术有限公司 | 识别对网站的非法访问请求的方法及装置 |
CN105635073A (zh) * | 2014-11-06 | 2016-06-01 | 华为技术有限公司 | 访问控制方法、装置和网络接入设备 |
CN106599246A (zh) * | 2016-12-20 | 2017-04-26 | 维沃移动通信有限公司 | 一种显示内容的拦截方法、移动终端及控制服务器 |
CN107786545A (zh) * | 2017-09-29 | 2018-03-09 | 中国平安人寿保险股份有限公司 | 一种网络攻击行为检测方法及终端设备 |
CN109889478A (zh) * | 2018-12-21 | 2019-06-14 | 航天信息股份有限公司 | 一种用于防范React前端框架的跨站脚本攻击XSS的方法及系统 |
CN111193700A (zh) * | 2019-08-27 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 一种安全防护方法、安全防护装置和存储介质 |
CN113014571A (zh) * | 2021-02-22 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种访问请求处理的方法、装置及存储介质 |
CN113779571A (zh) * | 2020-06-10 | 2021-12-10 | 中国电信股份有限公司 | WebShell检测装置、WebShell检测方法及计算机可读存储介质 |
-
2022
- 2022-08-01 CN CN202210915781.1A patent/CN116132502A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110247072A1 (en) * | 2008-11-03 | 2011-10-06 | Stuart Gresley Staniford | Systems and Methods for Detecting Malicious PDF Network Content |
CN103166966A (zh) * | 2013-03-07 | 2013-06-19 | 星云融创(北京)信息技术有限公司 | 识别对网站的非法访问请求的方法及装置 |
CN105635073A (zh) * | 2014-11-06 | 2016-06-01 | 华为技术有限公司 | 访问控制方法、装置和网络接入设备 |
CN106599246A (zh) * | 2016-12-20 | 2017-04-26 | 维沃移动通信有限公司 | 一种显示内容的拦截方法、移动终端及控制服务器 |
CN107786545A (zh) * | 2017-09-29 | 2018-03-09 | 中国平安人寿保险股份有限公司 | 一种网络攻击行为检测方法及终端设备 |
CN109889478A (zh) * | 2018-12-21 | 2019-06-14 | 航天信息股份有限公司 | 一种用于防范React前端框架的跨站脚本攻击XSS的方法及系统 |
CN111193700A (zh) * | 2019-08-27 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 一种安全防护方法、安全防护装置和存储介质 |
CN113779571A (zh) * | 2020-06-10 | 2021-12-10 | 中国电信股份有限公司 | WebShell检测装置、WebShell检测方法及计算机可读存储介质 |
CN113014571A (zh) * | 2021-02-22 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种访问请求处理的方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9256736B2 (en) | Method and system for monitoring webpage malicious attributes | |
US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
CN106534051B (zh) | 一种针对访问请求的处理方法和装置 | |
RU2651196C1 (ru) | Способ обнаружения аномальных событий по популярности свертки события | |
US9378362B2 (en) | System and method of monitoring attacks of cross site script | |
US11831617B2 (en) | File upload control for client-side applications in proxy solutions | |
US20100251371A1 (en) | Real-time malicious code inhibitor | |
CN108632219B (zh) | 一种网站漏洞检测方法、检测服务器、系统及存储介质 | |
JP2009527855A (ja) | クライアントサイド攻撃対抗フィッシング検出 | |
CN111628990A (zh) | 识别攻击的方法、装置和服务器 | |
CN103973635A (zh) | 页面访问控制方法和相关装置及系统 | |
US10742668B2 (en) | Network attack pattern determination apparatus, determination method, and non-transitory computer readable storage medium thereof | |
US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
US11582226B2 (en) | Malicious website discovery using legitimate third party identifiers | |
CN113392297A (zh) | 一种爬取数据的方法、系统及设备 | |
CN116132502A (zh) | 网页访问处理方法、装置及电子设备 | |
RU2702081C2 (ru) | Система и способ обнаружения модификации веб-ресурса | |
US20200358786A1 (en) | Dynamic injection or modification of headers to provide intelligence | |
CN113890758B (zh) | 一种威胁情报方法、装置、设备及计算机存储介质 | |
RU2673711C1 (ru) | Способ обнаружения аномальных событий на основании набора сверток безопасных событий | |
US10484422B2 (en) | Prevention of rendezvous generation algorithm (RGA) and domain generation algorithm (DGA) malware over existing internet services | |
CN112953958B (zh) | 一种爬虫检测方法、装置及电子设备 | |
KR102258965B1 (ko) | HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 방법 및 장치 | |
CN114048483A (zh) | Xss漏洞的检测方法、装置、设备及介质 | |
CN112437036B (zh) | 一种数据分析的方法及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |