CN116566634A - 安全防护方法、系统、电子设备及计算机可读存储介质 - Google Patents
安全防护方法、系统、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN116566634A CN116566634A CN202210108831.5A CN202210108831A CN116566634A CN 116566634 A CN116566634 A CN 116566634A CN 202210108831 A CN202210108831 A CN 202210108831A CN 116566634 A CN116566634 A CN 116566634A
- Authority
- CN
- China
- Prior art keywords
- address
- preset
- access request
- request
- preset address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 230000002159 abnormal effect Effects 0.000 claims abstract description 44
- 230000014509 gene expression Effects 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 13
- 230000009191 jumping Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 11
- 238000004422 calculation algorithm Methods 0.000 description 9
- 230000007547 defect Effects 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种安全防护方法、系统、电子设备及计算机可读存储介质。该方法应用于边缘服务器,包括:接收用户的访问请求;判断访问请求的请求地址是否命中预置地址;预置地址以隐藏属性被添加在目标服务器中;根据判断结果确定访问请求是否正常,以使访问请求为非正常请求时执行预设策略,实现对目标服务器的安全防护。本申请的安全防护方法,提升了对非正常请求的判断准确度;通过预设策略的方式对该非正常请求进行处理,从而可以达到对网络进行安全防护的目的。
Description
技术领域
本申请涉及计算机网络技术领域,具体涉及一种安全防护方法、系统、电子设备及计算机可读存储介质。
背景技术
边缘云计算简称边缘云,是基于云计算技术的核心和边缘计算的能力,构筑在边缘基础设施之上的云计算平台。例如,内容分发网络(Content Delivery Network,简称CDN)即是一种边缘云。边缘云形成边缘位置的计算、网络、存储、安全等能力全面的弹性云平台,并与中心云和物联网终端形成“云边端三体协同”的端到端的技术架构,通过将网络转发、存储、计算、智能化数据分析等工作放在边缘处理,可以降低响应时延、减轻云端压力、降低带宽成本,并提供全网调度、算力分发等云服务。
为抵御网络攻击,边缘节点目前有很多常见的访问控制和防攻击的策略,如:Referer、IP黑白名单、时间戳防盗链、CC防攻击等等,发明人发现相关技术中至少存在如下问题:对于用户的访问请求是否正常的判断准确度较低,导致经常出现非正常请求可以正常访问网络的情况,而非正常请求一旦正常访问网络,不仅会占用网络资源,还对网络的安全带来严重的威胁。
发明内容
本申请的目的是提供一种安全防护方法、系统、电子设备及计算机可读存储介质。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序言。
根据本申请实施例的一个方面,提供一种安全防护方法,应用于边缘服务器,所述方法包括:
接收用户的访问请求;
判断所述访问请求的请求地址是否命中预置地址;所述预置地址以隐藏属性被添加在目标服务器中;
根据判断结果,确定所述访问请求是否正常,以使所述访问请求为非正常请求时,执行预设策略,实现对所述目标服务器的安全防护。
在本申请的一些实施例中,所述判断所述访问请求的请求地址是否命中预置地址包括:
根据预设匹配规则,判断所述访问请求的请求地址与预置地址是否匹配;
根据匹配结果,确定所述访问请求的请求地址是否命中预置地址。
在本申请的一些实施例中,所述根据预设匹配规则,判断所述访问请求的请求地址与预置地址是否匹配包括:
获取用于匹配所述预置地址的正则表达式;
判断所述访问请求的请求地址与所述正则表达式是否匹配;
从而,所述根据匹配结果,确定所述访问请求的请求地址是否命中预置地址包括:
若所述匹配结果为匹配,则确定所述访问请求的请求地址命中预置地址;
若所述匹配结果为不匹配,则确定所述访问请求的请求地址未命中预置地址。
在本申请的一些实施例中,所述根据判断结果,确定所述访问请求是否正常包括:
若所述判断结果为所述访问请求的请求地址命中预置地址,则确定所述访问请求为非正常请求;
若所述判断结果为所述访问请求的请求地址未命中预置地址,则确定所述访问请求为正常请求。
在本申请的一些实施例中,所述预设策略包括以下至少之一:
拒绝所述访问请求;
根据所述访问请求的请求地址跳转到预设地址,以使所述用户访问预设地址指示的页面;
将所述访问请求的请求地址发送给所述目标服务器,供所述目标服务器响应所述访问请求,以获取所述访问请求的关键信息。
根据本申请实施例的第二个方面,提供一种安全防护方法,应用于目标服务器,所述方法包括:
接收预置地址;
将所述预置地址添加至所述目标服务器的目标页面中;所述预置地址具备隐藏属性;
其中,所述预置地址或者与所述预置地址相关的预设规则被发送至边缘服务器,以使所述边缘服务器根据预置地址或者与所述预置地址相关的预设规则,判断是否需要针对用户的访问请求所指向的所述目标服务器进行安全防护。
在本申请的一些实施例中,所述预置地址为加密状态和/或编码状态的地址;
所述将所述预置地址添加至所述目标服务器的目标页面中包括:
将所述加密状态和/或编码状态的地址添加至所述目标服务器的目标页面中。
在本申请的一些实施例中,所述目标页面满足以下条件中的至少之一:
被访问频次超过预设访问频次的页面;
符合预设规律的页面。
在本申请的一些实施例中,所述将所述预置地址添加至所述目标服务器的目标页面中包括:
将所述预置地址添加至所述目标服务器的目标页面的预设标签中。
在本申请的一些实施例中,所述添加至所述目标服务器的目标页面中的预置地址的数量为多个。
根据本申请实施例的第三个方面,提供一种安全防护系统,包括边缘服务器和目标服务器;
所述目标服务器,用于接收预置地址,将所述预置地址添加至所述目标服务器的目标页面中;所述预置地址具备隐藏属性;
所述边缘服务器,用于根据所述预设规则,在接收到用户的访问请求后,判断所述访问请求的请求地址是否命中所述预置地址;根据判断结果,确定所述访问请求是否正常,以使所述访问请求为非正常请求时,执行预设策略,实现对所述目标服务器的安全防护。
在本申请的一些实施例中,所述安全防护系统还包括管理服务器,所述管理服务器用于将所述预置地址或者与所述预置地址相关的预设规则发送至边缘服务器。
在本申请的一些实施例中,也可以通过目标服务器将预置地址或者与所述预置地址相关的预设规则发送至边缘服务器。
根据本申请实施例的第四个方面,提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序,以实现上述任一项所述的安全防护方法。
根据本申请实施例的第五个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行,以实现上述任一项所述的安全防护方法。
本申请实施例的第一个方面提供的技术方案可以至少包括以下有益效果:
本申请实施例提供的安全防护方法,由于正常用户一般基于浏览器进行地址访问,具有隐藏属性的预置地址对于用浏览器进行地址访问的正常用户来说是不可见的信息,因此若该预置地址被访问请求的请求地址命中,则可以判定该访问请求是非正常请求,从而提升了对非正常请求的判断准确度;然后再通过预设策略的方式对该非正常请求进行处理,从而可以达到对网络进行安全防护的目的。
本申请的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者,部分特征和优点可以从说明书中推知或毫无疑义地确定,或者通过实施本申请实施例了解。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本申请的一些实施方式的安全防护方法流程图;
图2示出了图1中所示步骤S102的一些实施方式的流程图;
图3示出了图2中所示步骤S1021的一些实施方式的流程图;
图4示出了本申请的一些实施方式的安全防护方法流程图;
图5示出了本申请的一些实施方式中的符合预设规律的标签页面的示例图;
图6示出了本申请的一些实施方式中的符合预设规律的标签页面的示例图;
图7示出了本申请的一些实施方式中的具有隐藏属性的预置地址的示例图;
图8示出了本申请的一些实施方式中的具有隐藏属性的预置地址的示例图;
图9示出了本申请的一些实施方式中的具有隐藏属性的预置地址的示例图;
图10示出了本申请的一个示例的安全防护方法流程图;
图11示出了本申请一些实施方式的电子设备的结构框图;
图12示出了本申请一些实施方式的计算机可读存储介质的示意图。
本申请的目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,下面结合附图和具体实施例对本申请做进一步说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本申请所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
目前,针对例如内容分发网络(Content Delivery Network,简称“CDN”)等常见的安全防护策略均存在一些不同程度的缺陷,以下针对几种常见的安全防护策略以及其各自所对应的缺陷作简单介绍:
1.基于Referer的策略:Referer是Http请求头部信息Header的一部分,当浏览器或者模拟浏览器的行为主体向CDN服务器发送请求的时候,头部信息里一般会包含Referer,用来告诉服务器该网页具体从哪个页面链接过来,边缘服务器因此可以获得一些信息用于处理。该策略的缺陷在于Referer可以被伪造。也就是说,非正常用户可以通过伪造Referer头部信息的方式正常访问CDN边缘服务器,因此本策略的安全系数较低。
2.基于IP黑白名单的策略:一般是在IP黑名单中输入禁止访问的IP或IP段,在IP白名单中输入允许访问的IP或IP段。当客户端访问CDN服务器时,若客户端IP匹配到黑名单中的IP或IP段,则直接返回403状态码。该策略的缺陷在于会存在误封导致正常用户无法访问的问题,而且收集IP黑白名单需要人为评判某个客户端IP应该属于黑名单还是应该属于白名单,工作过程比较繁琐。
3.基于时间戳防盗链的策略:通过对时间有关的字符串进行签名,将时间、签名通过一定的方式传递给CDN服务器作为判定依据,CDN边缘节点根据约定的算法判断来访的统一资源定位系统(Uniform Resource Locator,简称“URL”)是否有访问权限。该策略中,每个请求的URL都具有一定的时效性,所以URL本身需要携带过期时间相关的信息。可见,该策略存在的缺陷在于在合法的时间内可以允许无限制地访问CDN服务器,无法避免非正常用户在合法的时间内进行的大量请求或攻击,存在容易造成服务器压力过大、流量盗刷的问题。
4.基于CC防攻击的策略:是指对单位时间内同一个IP访问次数进行访问控制。一般来说,对于某个IP访问次数过多,就会启动CC防攻击的策略。该策略存在的缺陷在于非正常用户能够通过创建IP池的方式,遍历IP池的IP来访问CDN服务器,这样,由于非正常用户每次访问使用不同的IP,这样就不会启动CC防攻击的策略,因此该策略的安全系数也较低。
需要说明的是,CDN网络一般包括CDN边缘节点和中间源节点,也就是说,CDN边缘服务器是CDN服务器的一部分。
另外,需要说明的是,本公开中的非正常用户又可以称为恶意用户,是指在访问请求被确定为非正常请求时的请求主体。例如,非正常用户可以为恶意代码、爬虫程序或恶意脚本等,本公开对此不作具体限定。
针对上述的问题,本申请实施例提供的安全防护方法,由于正常用户一般基于浏览器进行地址访问,具有隐藏属性的预置地址对于用浏览器进行地址访问的正常用户来说是不可见的信息,因此若该预置地址被访问请求的请求地址命中,则可以判定该访问请求是非正常请求,从而提升了对非正常请求的判断准确度;然后再通过预设策略的方式对该非正常请求进行处理,从而可以达到对网络进行安全防护的目的。
本申请的第一个实施例提供了一种安全防护方法01,应用于边缘服务器,参考图1所示,在本实施例的一些实施方式中,安全防护方法01包括:
S101、接收用户的访问请求。
用户可以通过客户端例如智能手机、个人电脑、笔记本电脑或平板电脑等终端设备向边缘服务器发送访问请求,从而,边缘服务器接收用户通过客户端所发送的访问请求。
S102、判断访问请求的请求地址是否命中预置地址;预置地址以隐藏属性被添加在目标服务器中。
在一些实施例中,目标服务器可以是源站。
需要说明的是,本实施例中的预置地址的隐藏属性包括但不限于Display属性、Hidden属性或者前端框架中的其他隐藏属性,对于使用浏览器访问的正常用户来说一般是看不到的。
在一些实施例中,预置地址可以是加密状态和/或编码状态的地址。加密状态和/或编码状态的地址能够在很大程度上降低正常用户误命中预置地址的几率,从而可以避免误将正常用户判定为非正常用户,进一步地,还可以避免对正常用户的访问请求的误拦截。
参考图2所示,在某些实施方式中,步骤S102可以包括:
S1021、根据预设匹配规则,判断访问请求的请求地址与预置地址是否匹配。
在一些实施例中,预置地址可以由客户自行投放至目标服务器,比如源站,客户投放好后,再将预置地址告诉相关配置人员,由相关配置人员根据预置地址,配置用于捕获该预置地址的匹配规则,即这里所说的预设匹配规则,并将该预设匹配规则同步至边缘服务器。之后,若边缘服务器接收到来自客户端的访问请求,则可以将该访问请求的请求地址与预置地址进行匹配,得到匹配结果。即,将该访问请求的请求URL与预置URL进行匹配,得到匹配结果。
在一些实施例中,该预设匹配规则可以以正则表达式的形式表达。具体的,在边缘服务器接收到来自客户端的访问请求时,可以将预设的正则表达式与访问请求中的请求URL进行匹配,得到匹配结果。
S1022、根据匹配结果,确定访问请求的请求地址是否命中预置地址。
在一些实施例中,根据匹配结果,确定访问请求的请求地址是否命中预置地址可以包括:若该匹配结果为匹配,则确定访问请求的请求地址命中预置地址;否则,若匹配结果为不匹配,则确定访问请求的请求地址未命中预置地址。
参考图3所示,在某些实施方式中,步骤S1021可以包括:
S10211、获取用于匹配预置地址的正则表达式。
具体地,预设匹配规则可以是正则表达式。其中,正则表达式是对字符串操作的一种逻辑公式,即:用事先定义好的一些特定字符及这些特定字符的组合,组成一个“规则字符串”,这个“规则字符串”用来表达对字符串的一种过滤逻辑。
例如,其中的一个预置地址可以为:
http://domain/18e29a070f210fbddf3419ab0cf5c303,
则配置的用于匹配该预置地址所设定的正则表达式可以为:
“^http://[^/]+/18e29a070f210fbddf3419ab0cf5c303$”。
此处需要说明的是,用于匹配该预置地址所设定的正则表达式可以由配置人员根据需求灵活设置。比如说,若干预置地址具有相同的属性信息;基于该相同的属性信息,可以设置同一个正则表达式。也就是说,在这种情况下,这一个正则表达式可以匹配到具有该相同的属性信息的若干预置地址。
S10212、判断访问请求的请求地址与正则表达式是否匹配。
也就是说,将访问请求的请求地址与正则表达式进行匹配,以得到匹配结果。
从而,步骤S1022还可以包括:若匹配结果为匹配,则确定访问请求的请求地址命中预置地址;若匹配结果为不匹配,则确定访问请求的请求地址未命中预置地址。
S103、根据判断结果,确定访问请求是否正常,以使访问请求为非正常请求时,执行预设策略,实现对目标服务器的安全防护。
本实施例中,若确定访问请求为正常请求,则边缘服务器将该访问请求发送给目标服务器,从而可以使正常用户对目标服务器进行正常访问。
其中,步骤S103中的根据判断结果,确定访问请求是否正常可以包括:
若判断结果为访问请求的请求地址命中预置地址,则确定访问请求为非正常请求;若判断结果为访问请求的请求地址未命中预置地址,则确定访问请求为正常请求。
在一些实施例中,预设策略可以包括以下至少之一:
a、拒绝访问请求。
b、根据访问请求的请求地址跳转到预设地址,以使用户访问预设地址指示的页面。
c、将访问请求的请求地址发送给目标服务器,供目标服务器响应访问请求,以获取访问请求的关键信息。
具体的说,策略a还可以包括:在预设时长内拒绝该访问请求和永久拒绝该访问请求。在一些实施例中,在预设时长内拒绝该访问请求可以为:先拒绝该访问请求,使该客户端在预设时长内处于封禁状态,经过预设时长后该客户端将处于解封状态,此时,目标服务器可正常接收该客户端的访问请求。其中,策略a的表现形式可以为但不限于:向客户端返回403状态码或者其他用于代表拒绝该客户端访问的指定状态码。
策略b的表现形式可以为但不限于:向客户端返回301状态码或302状态码,或者还可以通过内部跳转方式跳转到指定警告页面或者是错误页面。其中,301状态码代表被请求的资源已被永久移动到新位置,302状态码代表被请求的资源原本确实存在,但已经被临时改变了位置。
策略a和策略b所执行的方案,可以使得非正常用户至少在一段时间内无法对所要获取的资源进行正常访问。
在策略c中,通过将访问请求的请求地址发送给目标服务器,供目标服务器响应访问请求,即不拒绝该访问请求,从而可以借此获取该客户端的请求信息,并进一步确定其中的关键信息,方便分析和控制是否放行后期接收到的访问请求。比如可以由相关操作人员对关键信息进行分析,以控制是否放行后期接收到的访问请求。该关键信息可以包括例如UA头部信息、访问者IP信息和Referer头部信息等。可选地,还可以将收集到的关键信息存储于指定的错误日志中,通过分析错误日志的方式灵活控制该客户端的二次(或多次)的访问请求。例如,边缘服务器在接收到该客户端的第二次访问请求时,若第二次访问请求信息中的关键信息和错误日志中的UA头部信息等关键信息相匹配,则可以从策略a和策略b中选取任一策略来处理该访问请求,或者还可以根据实际需求设置放行后期接收到的访问请求。
本申请实施例所提供的安全防护方法,由于正常用户一般基于浏览器进行地址访问,具有隐藏属性的预置地址对于用浏览器进行地址访问的正常用户来说是不可见的信息,因此若该预置地址被访问请求的请求地址命中,则可以判定该访问请求是非正常请求,从而提升了对非正常请求的判断准确度;然后再通过预设策略的方式对该非正常请求进行处理,从而可以达到对网络进行安全防护的目的。
另外,值得一提的是,在用户的访问请求被判定为非正常请求后,即使该非正常用户通过更换IP地址的方式再次对目标服务器发送访问请求,但由于其还会执行非正常用户所执行的操作,比如对代码进行爬取,因此还是会命中预置地址。也就是说,由于非正常用户无法预知哪个或哪些地址是预置地址,所以无法事先对预置地址进行规避,从而进一步提升了对网络进行安全防护的安全性。此外,由于预置地址的投放位置可以是自定义的非固定位置,所以非正常用户也无法通过获知预置地址的位置的方式来规避对于预置地址的触发,使得对网络进行安全防护的安全性进一步得到提升。
本申请的第二个实施例提供了一种安全防护方法02,应用于目标服务器,参考图4所示,在本实施例的一些实施方式中,安全防护方法02包括:
S201、接收预置地址。
具体地,目标服务器接收客户所发送的预置地址,比如接收客户通过客户端所发送的预置地址。
可选地,预置地址可以为非加密状态的地址或非编码状态的地址,也可以为加密状态和/或编码状态的地址。如果预置地址为加密状态和/或编码状态的地址,则加密操作和/或编码操作可以由客户端执行加密和/或编码操作,也可以由客户先对预置地址进行加密和/或编码操作,再发送给客户端,本实施例对此不作具体限定。
可以理解,正常用户对于访问请求的请求地址的输入,会因为输入错误等原而存在一定的概率恰巧与预置地址匹配从而命中预置地址,因此,若预置地址是非加密状态的地址或非编码状态的地址,那么会存在较低的几率导致误判情况的发生。因此,相对来说,通过将预置地址设置为加密状态和/或编码状态的地址,基本可以排除误判的情况,使得对于是否命中预置地址的判断准确性得到提升。
在一些实施例中,可以通过对预设的统一资源标识符(Uniform ResourceIdentifier,简称“URI”)进行加密操作和/或编码操作得到一个URL,该URL即加密状态和/或编码状态的地址。其中,统一资源标识符是用于标识某一互联网资源名称的字符串,URL是URI的子集。
比如说,加密操作可以对某预设的URI,依次进行字符串加密和哈希算法加密,得到一个新的URL。在一些实施例中,哈希算法可以是MD5加密算法或SHA1加密算法。在一些其他实施例中,编码操作可以Base64编码算法。
例如,可以采用如下定制的URI+Key的方式对预设的URI进行加密:
$scheme://$domain/md5($URI+Key),
其中,
Key:1234aBC+=%;
URL:http://domain/example.html;
MD5hash:http://domain/18e29a070f210fbddf3419ab0cf5c303;
SHA1hash:http://domain/e69cef8b07ed3d28c41963b4014c1d6adec362e9;
Base64编码:http://domain/L2V4YW1wbGUuaHRtbDEyMzRhQkMrPSU=。
在上述例子中,URL为:http://domain/example.html;Key表示自定义字符串;MD5hash表示对URL进行MD5加密算法进行加密后得到的加密地址;SHA1hash表示对URL进行SHA1加密算法进行加密后得到的加密地址;Base64编码表示对URL进行Base64编码后得到的编码地址。
S202、将预置地址添加至目标服务器的目标页面中;预置地址具备隐藏属性。
在某些实施方式中,目标页面满足以下条件中的至少之一:
被访问频次超过预设访问频次的页面;
符合预设规律的页面。
具体的说,被访问频次超过预设访问频次的页面为一般是热门页面,本公开通过针对性地对属于热门页面的目标页面开启安全防护模式,有利于网络资源的合理分配和利用,从而可以避免资源的浪费。
符合预设规律的页面可以是具有相同标签的标签页面,也可以是每个相同的父标签里面都有相同的子标签的标签页面。图5和图6中分别示出了符合预设规律的标签页面的示例图。本公开中,本领域技术人员可以理解,由于爬虫等非正常用户一般爬取有规律的Html标签内容,所以通过将预置地址添加在非正常用户容易请求到的范围内,从而能够有效识别非正常用户并对其进行处理,可以进一步提升识别效率,提升了对目标服务器的安全防护效果。
图7示出了以Display为例的具有隐藏属性的预置地址的示例图,其中,如图中所示,该浏览器的显示界面显示出2条URL,而Html页面中包括源代码的页面中p标签下有3条URL,其中Display等于None所对应的1条URL对于使用浏览器的显示界面的正常用户来并不可见。
在某些实施方式中,预置地址的隐藏属性的设置可以包括:通过令Style=Display或其他Html语句实现为目标页面设置Html标签隐藏属性的操作,这样在目标页面中的预置地址也就具有了隐藏属性。预置地址在目标页面中的投放位置可以是自定义的,即其投放位置为非固定位置,这样非正常用户就不容易确定预置地址的位置,也就增加了规避预置地址的难度。
在某些实施方式中,步骤S2可以包括:将预置地址添加至目标服务器的目标页面的预设标签中。
其中,被添加至目标服务器的目标页面中的预置地址的数量可以为多个。通过投放多个预置地址可以进一步提高非正常用户命中预置地址的几率,从而可以针对目标服务器起到更好的安全防护效果。
另外,图8示出了本申请的一些实施方式中的具有隐藏属性的预置地址的示例图;参考图9所示,提供了本申请的一些其他实施方式中的具有隐藏属性的预置地址的示例图。
预置地址或者与预置地址相关的预设匹配规则被发送至边缘服务器,以使边缘服务器根据预置地址或者与预置地址相关的预设匹配规则,判断是否需要针对用户的访问请求所指向的目标服务器进行安全防护。
其中,与预置地址相关的预设匹配规则可以是正则表达式。
本实施例的安全防护方法02与前述实施例的安全防护方法01可以相互配合实施,具有与其采用、运行或实现的方法相同或相应的有益效果,为避免重复,此处不再对两种方法中的相同内容进行赘述。
如图10所示,在一个具体应用示例中,安全防护方法可以包括如下步骤:
步骤1,事先在源站投放好“种子”,具体的,将“种子”投放在符合预设规律的页面中,并且设置该“种子”的属性为隐藏属性,此时,正常用户在浏览器上是浏览不到该“种子”的,但该“种子”却实际存在。其中,这里所说的“种子”即预置地址。
步骤2,“种子”在源站被投放好后,确定“种子”的正则表达式A。
步骤3,在CDN服务侧,即边缘服务器侧,配置好用于捕获“种子”的正则表达式A,并配置用于收集用户的访问请求的信息的装置。
步骤4,当用户的访问请求经过CDN服务侧时,将访问请求的请求地址与正则表达式A进行匹配,并获取匹配结果;若匹配结果为匹配,则表示该“种子”被消费;否则,表示该“种子”未被消费。
步骤5,若该“种子”未被消费,则返回正常响应内容;若该“种子”被消费,则通过CDN服务侧的策略装置从策略a、策略b和策略c中选取相应的策略,并执行所选取的策略,根据策略的执行结果,对访问请求作出响应。
本申请的第三个实施例提供了一种安全防护系统,在本实施例的一些实施方式中,该安全防护系统可以包括边缘服务器和目标服务器。
其中,目标服务器,用于接收预置地址,将预置地址添加至目标服务器的目标页面中;预置地址具备隐藏属性;该预置地址或者与预置地址相关的预设规则被发送至边缘服务器;
边缘服务器,用于根据预设规则,在接收到用户的访问请求后,判断访问请求的请求地址是否命中预置地址;根据判断结果,确定访问请求是否正常,以使访问请求为非正常请求时,执行预设策略,实现对目标服务器的安全防护。
在某些实施方式中,本实施例的安全防护系统还可以包括管理服务器,管理服务器用于将预置地址或者与预置地址相关的预设规则发送至边缘服务器。
在某些实施方式中,也可以通过目标服务器将预置地址或者与预置地址相关的预设规则发送至边缘服务器,或者也可以是通过管理平台将预置地址或者与所述预置地址相关的预设规则发送至边缘服务器,本实施例对此不作具体限定。
本申请实施例提供的安全防护系统与本申请实施例提供的方法出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
本申请的第四个实施例提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该计算机程序,以实现上述任一实施方式的安全防护方法。
如图11所示,电子设备10可以包括:处理器100,存储器101,总线102和通信接口103,处理器100、通信接口103和存储器101通过总线102连接;存储器101中存储有可在处理器100上运行的计算机程序,处理器100运行计算机程序时执行本申请前述任一实施方式所提供的方法。
其中,存储器101可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还可以包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口103(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网、广域网、本地网、城域网等。
总线102可以是ISA总线、PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。其中,存储器101用于存储程序,处理器100在接收到执行指令后,执行程序,前述本申请实施例任一实施方式揭示的方法可以应用于处理器100中,或者由处理器100实现。
处理器100可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器100中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器100可以是通用处理器,可以包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器101,处理器100读取存储器101中的信息,结合其硬件完成上述方法的步骤。
本申请实施例提供的电子设备与本申请实施例提供的方法出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
本申请的第五个实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行,以实现上述任一实施方式的安全防护方法。
请参考图12,其示出的计算机可读存储介质为光盘20,其上存储有计算机程序(即程序产品),计算机程序在被处理器运行时,会执行前述任意实施方式所提供的方法。
需要说明的是,计算机可读存储介质的例子还可以包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他光学、磁性存储介质,在此不再一一赘述。
本申请的上述实施例提供的计算机可读存储介质与本申请实施例提供的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
需要说明的是:
在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示例一起使用。根据上面的描述,构造这类装置所要求的结构是显而易见的。此外,本申请也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本申请的内容,并且上面对特定语言所做的描述是为了披露本申请的最佳实施方式。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
以上所述实施例仅表达了本申请的实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (14)
1.一种安全防护方法,应用于边缘服务器,其特征在于,所述方法包括:
接收用户的访问请求;
判断所述访问请求的请求地址是否命中预置地址;所述预置地址以隐藏属性被添加在目标服务器中;
根据判断结果,确定所述访问请求是否正常,以使所述访问请求为非正常请求时,执行预设策略,实现对所述目标服务器的安全防护。
2.根据权利要求1所述的方法,其特征在于,所述判断所述访问请求的请求地址是否命中预置地址包括:
根据预设匹配规则,判断所述访问请求的请求地址与预置地址是否匹配;
根据匹配结果,确定所述访问请求的请求地址是否命中预置地址。
3.根据权利要求2所述的方法,其特征在于,所述根据预设匹配规则,判断所述访问请求的请求地址与预置地址是否匹配包括:
获取用于匹配所述预置地址的正则表达式;
判断所述访问请求的请求地址与所述正则表达式是否匹配;
从而,所述根据匹配结果,确定所述访问请求的请求地址是否命中预置地址包括:
若所述匹配结果为匹配,则确定所述访问请求的请求地址命中预置地址;
若所述匹配结果为不匹配,则确定所述访问请求的请求地址未命中预置地址。
4.根据权利要求1所述的方法,其特征在于,所述根据判断结果,确定所述访问请求是否正常包括:
若所述判断结果为所述访问请求的请求地址命中预置地址,则确定所述访问请求为非正常请求;
若所述判断结果为所述访问请求的请求地址未命中预置地址,则确定所述访问请求为正常请求。
5.根据权利要求1-4中任意一项所述的方法,其特征在于,所述预设策略包括以下至少之一:
拒绝所述访问请求;
根据所述访问请求的请求地址跳转到预设地址,以使所述用户访问预设地址指示的页面;
将所述访问请求的请求地址发送给所述目标服务器,供所述目标服务器响应所述访问请求,以获取所述访问请求的关键信息。
6.一种安全防护方法,应用于目标服务器,其特征在于,所述方法包括:
接收预置地址;
将所述预置地址添加至所述目标服务器的目标页面中;所述预置地址具备隐藏属性;
其中,所述预置地址或者与所述预置地址相关的预设规则被发送至边缘服务器,以使所述边缘服务器根据预置地址或者与所述预置地址相关的预设规则,判断是否需要针对用户的访问请求所指向的所述目标服务器进行安全防护。
7.根据权利要求6所述的方法,其特征在于,
所述预置地址为加密状态和/或编码状态的地址;
所述将所述预置地址添加至所述目标服务器的目标页面中包括:
将所述加密状态和/或编码状态的地址添加至所述目标服务器的目标页面中。
8.根据权利要求6所述的方法,其特征在于,所述目标页面满足以下条件中的至少之一:
被访问频次超过预设访问频次的页面;
符合预设规律的页面。
9.根据权利要求6所述的方法,其特征在于,所述将所述预置地址添加至所述目标服务器的目标页面中包括:
将所述预置地址添加至所述目标服务器的目标页面的预设标签中。
10.根据权利要求6-9中任意一项所述的方法,其特征在于,所述添加至所述目标服务器的目标页面中的预置地址的数量为多个。
11.一种安全防护系统,其特征在于,包括边缘服务器和目标服务器;
所述目标服务器,用于接收预置地址,将所述预置地址添加至所述目标服务器的目标页面中;所述预置地址具备隐藏属性;
所述边缘服务器,用于根据所述预设规则,在接收到用户的访问请求后,判断所述访问请求的请求地址是否命中所述预置地址;根据判断结果,确定所述访问请求是否正常,以使所述访问请求为非正常请求时,执行预设策略,实现对所述目标服务器的安全防护。
12.根据权利要求11所述的系统,其特征在于,还包括管理服务器,所述管理服务器用于将所述预置地址或者与所述预置地址相关的预设规则发送至边缘服务器。
13.一种电子设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序,以实现如权利要求1-10中任一所述的安全防护方法。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行,以实现如权利要求1-10中任一所述的安全防护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210108831.5A CN116566634A (zh) | 2022-01-28 | 2022-01-28 | 安全防护方法、系统、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210108831.5A CN116566634A (zh) | 2022-01-28 | 2022-01-28 | 安全防护方法、系统、电子设备及计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116566634A true CN116566634A (zh) | 2023-08-08 |
Family
ID=87502384
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210108831.5A Pending CN116566634A (zh) | 2022-01-28 | 2022-01-28 | 安全防护方法、系统、电子设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116566634A (zh) |
-
2022
- 2022-01-28 CN CN202210108831.5A patent/CN116566634A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11924234B2 (en) | Analyzing client application behavior to detect anomalies and prevent access | |
US11281777B2 (en) | Proactive browser content analysis | |
US9275222B2 (en) | Reliable selection of security countermeasures | |
US8763071B2 (en) | Systems and methods for mobile application security classification and enforcement | |
US8732304B2 (en) | Method and system for ensuring authenticity of IP data served by a service provider | |
RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
US20100037317A1 (en) | Mehtod and system for security monitoring of the interface between a browser and an external browser module | |
EP3270318B1 (en) | Dynamic security module terminal device and method for operating same | |
CN112703496B (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
US9444830B2 (en) | Web server/web application server security management apparatus and method | |
US11503072B2 (en) | Identifying, reporting and mitigating unauthorized use of web code | |
US20120102541A1 (en) | Method and System for Generating an Enforceable Security Policy Based on Application Sitemap | |
KR102134898B1 (ko) | 클라우드 기반 통합 웹서버 보안서비스 제공 시스템 및 방법 | |
Niakanlahiji et al. | Webmtd: defeating web code injection attacks using web element attribute mutation | |
US10474810B2 (en) | Controlling access to web resources | |
US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
US20190327263A1 (en) | Distributed client protection | |
US11128639B2 (en) | Dynamic injection or modification of headers to provide intelligence | |
CN112613000A (zh) | 一种敏感信息保护方法、装置、电子设备及可读存储介质 | |
CN116566634A (zh) | 安全防护方法、系统、电子设备及计算机可读存储介质 | |
US11425092B2 (en) | System and method for analytics based WAF service configuration | |
CN112637171A (zh) | 数据流量处理方法、装置、设备、系统和存储介质 | |
CN115834254B (zh) | 网络内容安全防护方法、装置、存储介质及电子设备 | |
TWI476624B (zh) | Methods and Systems for Handling Abnormal Requests in Distributed Applications | |
CN117424741A (zh) | 一种云waf的网络攻击者溯源方法、装置及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |