CN117254977B - 一种网络安全监控方法及系统、存储介质 - Google Patents
一种网络安全监控方法及系统、存储介质 Download PDFInfo
- Publication number
- CN117254977B CN117254977B CN202311528075.2A CN202311528075A CN117254977B CN 117254977 B CN117254977 B CN 117254977B CN 202311528075 A CN202311528075 A CN 202311528075A CN 117254977 B CN117254977 B CN 117254977B
- Authority
- CN
- China
- Prior art keywords
- rule base
- server
- intranet
- access request
- preset rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 238000012544 monitoring process Methods 0.000 title claims abstract description 38
- 230000000903 blocking effect Effects 0.000 claims abstract description 12
- 238000012545 processing Methods 0.000 claims description 15
- 238000002347 injection Methods 0.000 claims description 13
- 239000007924 injection Substances 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 13
- 238000005242 forging Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 9
- 239000000243 solution Substances 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例公开了一种网络安全监控方法及系统、存储介质,应用于微服务架构中的代理网关,所述方法包括:接收内网访问请求,所述内网访问请求是根据用户访问所述代理网关对应的内网服务器的资源的操作生成的;判断所述内网访问请求是否命中预设规则库,所述预设规则库为网络应用程序防火墙规则;在所述内网访问请求未命中预设规则库的情况下,将所述内网访问请求发送至所述内网服务器,以获取所述内网服务器的资源;在所述内网访问请求命中预设规则库的情况下,阻断所述内网访问请求。当用户在访问内网服务器资源时,能够对恶意网络攻击进行拦截,提高服务器资源访问的安全性。
Description
技术领域
本申请实施例涉及网络安全技术,涉及但不限于一种网络安全监控方法及系统、存储介质。
背景技术
用户常利用互联网技术对服务器资源进行访问,与此同时,随着互联网技术的快速发展,给网络安全防护技术也带来了巨大的挑战。例如,黑客利用网络技术的漏洞对服务入侵,以窃取服务器中的资源。
目前,现有技术主要采用Nginx作为内网代理网关来对服务器中的资源进行防护,Nginx是一种通过反向代理网络服务器来保护服务器资源的代理网关,可以实现访问控制和身份验证等功能。然而,Nginx代理的流量中可能包含恶意的命令和信息等恶意网络攻击,仍然存在一些潜在的安全隐患。因此,如何提高服务器资源访问的安全性成为亟待解决的问题。
发明内容
有鉴于此,本申请实施例提供的一种网络安全监控方法及系统、存储介质,本申请实施例提供的一种网络安全监控方法及系统、存储介质是这样实现的:
本申请实施例提供的一种网络安全监控方法,应用于微服务架构中的代理网关,所述方法包括:
接收内网访问请求,所述内网访问请求是根据用户访问所述代理网关对应的内网服务器的资源的操作生成的;
判断所述内网访问请求是否命中预设规则库,所述预设规则库为网络应用程序防火墙规则;
在所述内网访问请求未命中预设规则库的情况下,将所述内网访问请求发送至所述内网服务器,以获取所述内网服务器的资源;
在所述内网访问请求命中预设规则库的情况下,阻断所述内网访问请求。
本申请实施例,通过预设网络应用程序防火墙规则,并通过微服务架构的代理网关对内网访问请求进行筛查,当用户在访问内网服务器资源时,能够对恶意网络攻击进行阻断,提高服务器资源访问的安全性。
在一些实施例中,所述预设规则库为多种类型的规则库中的至少一种规则库,所述多种类型的规则库包括查询语言SQL注入规则库、跨站脚本攻击规则库、跨站请求伪造规则库、分布式拒绝服务攻击规则库和零日漏洞规则库。
该实施例中,通过划分不同类型的规则库,可以实现对特定领域的恶意网络攻击的精准识别,以有效拦截或阻断恶意网络攻击,降低拦截出错率。
在一些实施例中,在所述接收内网访问请求之前,所述方法还包括:
获取xDS服务器下发的所述预设规则库。
该实施例中,通过获取xDS服务器向代理网关下发预设网络应用程序防火墙规则,可以实现规则库的集中管理、下发、更新和灵活配置等功能。
在一些实施例中,所述xDS服务器中包括所述多种类型的规则库,所述预设规则库是由所述xDS服务器根据所述内网服务器的安全需求向所述代理网关下发的。
该实施例中,根据内网服务器的安全需求调用不同的规则库,代理网关可以更精确的匹配和处理内网访问请求中存在的恶意网络攻击,还能够减少代理网关在识别恶意网络攻击时不必要的计算量和资源消耗,提高识别恶意网络攻击的效率。
在一些实施例中,所述xDS服务器通过配置消息下发所述预设规则库,所述配置消息还包括所述预设规则库的版本信息,所述获取xDS服务器下发的所述预设规则库,包括:
接收所述配置消息;
判断已存储的规则库的版本信息是否低于所述配置消息中指示的版本信息;
在所述已存储的规则库的版本信息低于所述配置消息中指示的版本信息的情况下,根据所述配置消息中的所述预设规则库更新所述已存储的规则库,以获取得到所述xDS服务器下发的所述预设规则库。
该实施例中,可以根据配置消息中的版本信息实时更新代理网关中的预设规则库,实现规则库的灵活部署,此外,通过最新版的预设规则库可以更有效地阻断恶意网络攻击。
在一些实施例中,在所述获取xDS服务器下发的所述预设规则库之前,所述方法还包括:
根据用户的配置操作,获得所述多种类型的规则库,所述配置操作包括将所述网络应用程序防火墙规则编译成所述代理网关的配置文件的操作,所述配置文件中包括所述多种类型的规则库;
将所述多种类型的规则库存储在所述xDS服务器中。
该实施例中,能够从用户编译好的配置文件中直接获取得到多种类型的规则库,并将其存储在xDS服务器中,简化了规则库的配置和管理过程。
在一些实施例中,在所述内网访问请求命中预设规则库的情况下,阻断所述内网访问请求之后,所述方法还包括:
在所述内网访问请求命中所述预设规则库的情况下,生成并存储访问异常日志。
该实施例中,能够对内网服务器访问异常进行记录,帮助用户了解已拦截的恶意网络攻击。
本申请实施例提供的一种网络安全监控系统,应用于微服务架构中的代理网关,所述系统包括接收模块、判断模块和处理模块,其中:
所述接收模块,用于接收内网访问请求,所述内网访问请求是根据用户访问所述代理网关对应的内网服务器的资源的操作生成的;
所述判断模块,用于判断所述内网访问请求是否命中预设规则库,所述预设规则库为网络应用程序防火墙规则;
所述处理模块,用于在所述内网访问请求未命中预设规则库的情况下,将所述内网访问请求发送至所述内网服务器,以获取所述内网服务器的资源;
所述处理模块,还用于在所述内网访问请求命中预设规则库的情况下,阻断所述内网访问请求。
本申请实施例提供的一种网络安全监控系统,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本申请实施例所述的方法。
本申请实施例提供的计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本申请实施例提供的所述的方法。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,这些附图示出了符合本申请的实施例,并与说明书一起用于说明本申请的技术方案。
图1是本申请实施例公开的一种网络安全监控方法的示意图;
图2是本申请实施例公开的另一种网络安全监控方法的示意图;
图3是本申请实施例公开的一种xDS服务器下发预设规则库的示意图;
图4是本申请实施例公开的又一种网络安全监控方法的示意图;
图5是本申请实施例公开的一种网络安全监控系统的结构示意图;
图6是本申请实施例公开的另一种网络安全监控系统的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请的具体技术方案做进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
需要指出,本申请实施例所涉及的术语“第一\第二\第三”用以区别类似或不同的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
在全球化的背景下,互联网技术日益成熟,用户常利用互联网技术对服务器资源进行访问,且对各种服务器资源的访问也愈加频繁。与此同时,也给网络安全防护技术带来了巨大的挑战。例如,黑客利用网络技术的漏洞对服务入侵,以窃取服务器中的资源。
在此情况下,为了对服务器资源进行安全防护,通常把服务器资源放在内网中,并通过内网代理网关(即设置代理服务器)对内网服务器资源进行访问,内网代理网关可以在公共网络和内网之间建立通信通道,这种安全策略有助于应对不断增加的网络威胁,从而加强了对内网服务器资源的保护,确保数据的安全性。
目前,现有技术主要采用Nginx作为内网代理网关来对服务器中的资源进行防护,Nginx是一种通过反向代理网络服务器来保护内网服务器资源的代理网关,能够接收和处理外部访问请求(例如,可以实现访问控制和身份验证等功能),然后将合法的请求转发到内网服务器,一定程度上提高了网络安全性。然而,Nginx代理的流量中可能包含恶意的命令和信息等恶意网络攻击,从而使内网服务器面临各种攻击的威胁,这些攻击可能包括分布式拒绝服务攻击、缓冲区溢出、漏洞利用等恶意网络攻击,会导致代理服务器崩溃或被入侵,从而危及内网服务器资源的安全性,仍然存在一些潜在的安全隐患。
因此,如何提高服务器资源访问的安全性成为亟待解决的问题。
有鉴于此,本申请实施例提供一种网络安全监控方法及系统、存储介质,应用于微服务架构中的代理网关,该方法包括:接收内网访问请求,所述内网访问请求是根据用户访问所述代理网关对应的内网服务器的资源的操作生成的;判断所述内网访问请求是否命中预设规则库,所述预设规则库为网络应用程序防火墙规则;在所述内网访问请求未命中预设规则库的情况下,将所述内网访问请求发送至所述内网服务器,以获取所述内网服务器的资源;在所述内网访问请求命中预设规则库的情况下,阻断所述内网访问请求。
下面,将结合附图对本申请公开的一种网络安全监控方法进行详细描述。
在本申请实施例中,所述网络安全监控方法应用于微服务架构中的代理网关,所述代理网关可以包括Envoy代理网关,所述Envoy代理网关可以用于构建和管理微服务架构中的网络通信,在本申请实施例中,所述Envoy代理网关是用于在外网和内网之间建立一个代理服务器以实现内外网之间的网络通信,这种通过Envoy代理网关的安全策略有助于应对不断增加的恶意网络攻击,从而加强了对内网服务器资源的保护,确保数据的安全性。
进一步地,所述Envoy代理网关具备以下功能,包括:可以对内网访问请求进行过滤和访问控制;可以提供端到端的加密和安全通信;具有强大的日志和监控功能,可以记录和收集关于流量、性能和安全的详细信息;具备负载均衡和容错机制,可以将流量均匀地分发到后端服务实例,提高系统的可扩展性和可靠性;支持动态配置,可以根据实时的需求和环境变化进行自动调整和优化等,关于Envoy代理网关的功能在此不作赘述。应理解,所述Envoy代理网关可以实现访问请求过滤、加密认证、日志监控、负载均衡和容错等功能,以进行网络安全防护,保护内网服务器资源免受各种恶意网络攻击。
需要说明的是,本申请实施例中的Envoy代理网关仅仅是一种示例,本领域技术人员也可以将与Envoy代理网关具备同类特征的其他代理网关采用本申请提供的一种网络安全监控方法进行实施,本申请实施例仅仅以Envoy代理网关为例进行说明,不应对本申请实施例构成限定。
请参见图1,图1为本申请实施例提供的一种网络安全监控方法的示意图。如图1所示的方法可以包括以下步骤:
步骤101,接收内网访问请求,内网访问请求是根据用户访问代理网关对应的内网服务器的资源的操作生成的。
在本申请实施例中,Envoy代理网关可以接收内网访问请求,所述内网访问请求是根据用户访问Envoy代理网关对应的内网服务器的资源的操作生成的。其中,所述内网服务器用于存放资源,即可以将资源存放在内网服务器以防止资源被恶意窃取;进一步地,再通过Envoy代理网关接收并识别用户访问内网服务器时生成的内网服务请求。可见,本申请实施例中通过设置资源存放地址和Envoy代理网关这种双重的网络安全防护策略可以提高内网服务器资源访问的安全性。
在本申请实施例中,可以为不同的内网服务器设置不同的Envoy代理网关,所述Envoy代理网关与内网服务器一一对应,即每个Envoy代理网关只接收与自己对应的内网服务器被访问时生成的内网服务请求。例如,当用户访问内网服务器1时会生成内网访问请求1,然后与所述内网服务器1对应的Envoy代理网关1对生成的内网访问请求1进行识别,以判断内网访问请求1是否存在恶意网络攻击,以保护内网服务器1中的资源的安全性。应理解,所述Envoy代理网关与内网服务器一一对应,可以保障不同的Envoy代理网关精准对对应的内网服务器进行安全防护,以提高每个内网服务器资源访问的安全性。
还应理解,通过所述Envoy代理网关对内网访问请求进行识别,只有当通过Envoy代理网关的内网访问请求才能获取内网服务器的资源。
步骤102,判断内网访问请求是否命中预设规则库,预设规则库为网络应用程序防火墙规则。
在本申请实施例中,所述预设规则库可以根据Modsecurity规则集确定得到,包括:将所述Modsecurity规则集划分为多种类型的规则库,所述多种类型的规则库包括查询语言SQL注入规则库、跨站脚本攻击规则库、跨站请求伪造规则库、分布式拒绝服务攻击规则库和零日漏洞规则库;根据所述多种类型的规则库确定预设规则库,所述预设规则库为所述多种类型的规则库中的至少一种规则库。采用本申请实施例,通过划分不同类型的规则库,可以实现对特定领域的恶意网络攻击的精准识别,以有效拦截或阻断恶意网络攻击,降低拦截出错率。
需要说明的是,所述Modsecurity规则集是一个用于保护网络应用程序免受各种恶意网络攻击的网络应用程序防火墙规则集,可以对接收到内网访问请求的内容进行规则匹配、行为分析等识别出恶意行为,并对识别结果进行阻断、记录、告警等,以防止网络应用程序受到中的恶意活动、漏洞利用和安全威胁。
其中,所述Modsecurity规则集分为四部分,每个规则集都有不同的特点,包括:基础规则集、SLR规则集、可选规则集、实验性规则集,其中,基础规则集是Modsecurity规则集的核心部分,可以提供对常见网络应用程序漏洞和攻击的保护;SLR规则集是Modsecurity规则集的一个扩展规则集,用于检测和防止各种高级网络攻击;可选规则集是Modsecurity规则集的附加规则集,用于满足特定行业合规性要求或应用程序的特殊需求;实验性规则集包含了一些实验性质的规则,用于尝试新的检测技术和方法。
在本申请实施例中,本申请实施例可以将Modsecurity规则集按照内网服务器的安全需求将所述四部分规则集进一步划分为多种类型的规则集,包括查询语言SQL注入规则库、跨站脚本攻击规则库、跨站请求伪造规则库、分布式拒绝服务攻击规则库和零日漏洞规则库,其中:
所述查询语言SQL注入规则库是为了防御攻击者通过在网络应用程序的SQL查询中插入恶意的SQL代码进行攻击而设置的规则库,所述查询语言SQL注入规则库包含了用于检测和防御SQL注入攻击的规则,这些规则可以识别恶意的SQL语句,并采取相应的防御措施,如过滤输入、使用参数化查询或编码输入数据等,在此不作限定。
所述跨站脚本攻击规则库是为了防御攻击者在网页中注入恶意的脚本代码来获取用户的敏感信息或执行恶意操作而设置的规则库,所述跨站脚本攻击规则库包含了用于检测和防御跨站脚本攻击的规则,这些规则可以识别恶意的脚本代码,并采取相应的防御措施,如对输入进行过滤、编码输出数据或使用内容安全策略等,在此不作限定。
所述跨站请求伪造规则库是为了防御攻击者通过诱导用户访问恶意网站或点击恶意链接来执行攻击而设置的规则库,所述跨站请求伪造规则库包含了用于检测和防御跨站请求伪造攻击的规则,这些规则可以检测和阻止携带恶意请求的跨站请求,并采取相应的防御措施,如使用CSRF令牌、验证Referer头或使用双重认证等,在此不作限定。
所述分布式拒绝服务攻击规则库是为了防御通过同时发起大量请求来超载目标内网服务器,导致目标内网服务器无法正常提供服务而设置的规则库,所述分布式拒绝服务攻击规则库包含了用于检测和防御分布式拒绝服务攻击的规则,这些规则可以识别异常的流量模式,并采取相应的防御措施,如IP封锁、流量限制或使用反向代理等,在此不作限定。
所述零日漏洞规则库是为了防御攻击者可以利用尚未公开或未经修补的安全漏洞进行攻击而设置的规则库,所述零日漏洞规则库包含了用于检测和防御已知的零日漏洞攻击的规则,这些规则可以识别已知的零日漏洞攻击模式,并采取相应的防御措施,如应用补丁、更新软件版本或使用入侵检测系统等,在此不作限定。
在本申请实施例中,判断所述内网访问请求是否命中预设规则库,包括,判断所述内网访问请求是否命中所述多种类型的规则库中的至少一种规则库。
需要说明的是,若内网访问请求未命中预设规则库的情况下,则执行步骤103,若内网访问请求命中预设规则库的情况下,则执行步骤104。
步骤103,在内网访问请求未命中预设规则库的情况下,将内网访问请求发送至内网服务器,以获取内网服务器的资源。
在本申请实施例中,若内网访问请求未命中预设规则库,则表示所述内网访问请求中不包括所述查询语言SQL注入规则库、跨站脚本攻击规则库、跨站请求伪造规则库、分布式拒绝服务攻击规则库和零日漏洞规则库中的任意一种规则。
进一步地,所述Envoy代理网关可以将所述内网访问请求发送至与所述Envoy代理网关对应的内网服务器,以获取内网服务器的资源,确保只有经过Envoy代理网关授权的内网访问请求才能对内网服务器的资源进行访问。
步骤104,在内网访问请求命中预设规则库的情况下,阻断内网访问请求。
在本申请实施例中,若内网访问请求命中预设规则库,则表示所述内网访问请求中包括所述查询语言SQL注入规则库、跨站脚本攻击规则库、跨站请求伪造规则库、分布式拒绝服务攻击规则库和零日漏洞规则库中的任意一种规则。
进一步地,所述Envoy代理网关可以阻断内网访问请求,停止所述内网访问请求对内网服务器资源的访问请求,以保护内网服务器资源免受各种恶意网络攻击。
作为一种可选的实施方式,在所述内网访问请求命中预设规则库的情况下,阻断所述内网访问请求之后,所述方法还包括:
在所述内网访问请求命中所述预设规则库的情况下,生成并存储访问异常日志。
采用上述一种可选的实施方式,能够对内网服务器访问异常进行记录,帮助用户了解已拦截的恶意网络攻击。
可见,实施本申请实施例,通过预设网络应用程序防火墙规则,并通过微服务架构的代理网关对内网访问请求进行筛查,当用户在访问内网服务器资源时,能够对恶意网络攻击进行拦截,提高服务器资源访问的安全性。
请参见图2,图2为本申请实施例提供的另一种网络安全监控方法的示意图。如图2所示的方法可以包括以下步骤:
步骤201,获取xDS服务器下发的预设规则库。
在本申请实施例中,Envoy代理网关可以获取xDS服务器下发的预设规则库,其中,所述xDS服务器是一种配置管理和动态服务发现的服务器,在本申请实施例中的网络安全监控场景下,可以理解为一种配置中心,用于动态的向Envoy代理网关配置下发预设规则库等各种配置消息,还可以动态地添加、删除或修改Envoy代理网关的预设规则库,在此不作限定。作为一种示例,在本申请实施例中,Envoy代理网关可以获取xDS服务器下发的预设规则库。
需要说明的是,所述xDS服务器与所述Envoy代理网关之间通过Proto约定请求和响应。
在本申请实施例中,所述xDS服务器中包括所述多种类型的规则库。作为一种示例,在前述根据Modsecurity规则集划分的得到多种类型的规则库之后,所述Envoy代理网关将所述多种类型的规则库存储在所述xDS服务器中,所述xDS服务器中包括所述多种类型的规则库,以便于灵活调用规则库。
在本申请实施例中,所述预设规则库是由所述xDS服务器根据所述内网服务器的安全需求向所述Envoy代理网关下发的,其中,每个内网服务器具备各自的安全需求。作为一种示例,当xDS服务器获得多种类型的规则库之后,在向Envoy代理网关下发预设规则库之前,需要根据每个内网服务器的安全需求确定与每个内网服务器一一对应的Envoy代理网关所需要的规则库策略,为每个Envoy代理网关下发相应的预设规则库。采用本申请实施例实现了规则库的灵活管理,以确保每个Envoy代理网关仅加载其所需的规则。
作为一种示例,请参见图3,图3为本申请实施例提供的一种xDS服务器下发预设规则库的示意图。在图3中内网服务器包括内网服务器1、内网服务器2……内网服务器N,Envoy代理网关包括Envoy代理网关1、Envoy代理网关2……Envoy代理网关N,内网访问请求包括内网访问请求1、内网访问请求2……内网访问请求N,所述内网服务器、Envoy代理网关、内网访问请求之间是一一对应的关系。所述xDS服务器可以向Envoy代理网关1~N下发不同的规则库,例如,可以给Envoy代理网关1下发的预设规则库为查询语言SQL注入规则库,给Envoy代理网关2下发的预设规则库为跨站脚本攻击规则库,给Envoy代理网关3下发的预设规则库为分布式拒绝服务攻击规则库。
需要说明的是,所述xDS服务器向每个Envoy代理网关下发的预设规则库可以是查询语言SQL注入规则库、跨站脚本攻击规则库、跨站请求伪造规则库、分布式拒绝服务攻击规则库和零日漏洞规则库中的任意一种规则库,也可以为多种规则库的组合,本申请对此不作限定。
采用本申请实施例,根据内网服务器的安全需求调用不同的规则库,代理网关可以更精确的匹配和处理内网访问请求中存在的恶意网络攻击,还能够减少代理网关在识别恶意网络攻击时不必要的计算量和资源消耗,提高识别恶意网络攻击的效率。
作为一种可选的实施方式,在所述获取xDS服务器下发的所述预设规则库之前,所述方法还包括:
根据用户的配置操作,获得所述多种类型的规则库,所述配置操作包括将所述网络应用程序防火墙规则编译成所述代理网关的配置文件的操作,所述配置文件中包括所述多种类型的规则库;
将所述多种类型的规则库存储在所述xDS服务器中。
需要说明的是,所述配置操作包括将所述网络应用程序防火墙规则编译成所述Envoy代理网关的配置文件的操作,所述操作可以由开发人员等完成,在此不作限定。作为一种示例,所述操作步骤如下。
第一阶段:编译。
步骤一:把Modsecurity规则集编译成静态库Modsecurity.a。通过静态库,可以在后续的编译过程中链接并使用Modsecurity规则集的功能。
步骤二:编写http-filter-Modsecurity模块,并将Modsecurity.a静态库放到Envoy项目中进行编译。其中,http-filter-Modsecurity模块为Envoy代理网关的http过滤器插件。同时,将步骤一编译生成的Modsecurity.a静态库放置到Envoy代理网关中,以便在编译过程中链接和使用Modsecurity库。
第二阶段:配置。
步骤三:对Envoy-Modsecurity.yaml配置文件进行配置并添加Modsecurity规则库文件,以编译生成所述Envoy代理网关的配置文件。
第三阶段:启动Envoy代理网关。
步骤四:在完成编译和配置后,可以运行步骤二编译生成的可执行程序,该程序将根据配置文件的设置启动Envoy代理网关,并开始接收和处理内网访问请求。同时,Envoy代理网关与xDS服务器进行通信,Envoy代理网关将获取的预设规则库。
采用上述一种可选的实施方式,能够从用户编译好的配置文件中直接获取得到多种类型的规则库,并将其存储在xDS服务器中,简化了规则库的配置和管理过程。
步骤202,接收内网访问请求,内网访问请求是根据用户访问代理网关对应的内网服务器的资源的操作生成的。
步骤203,判断内网访问请求是否命中预设规则库,预设规则库为网络应用程序防火墙规则。
步骤204,在内网访问请求未命中预设规则库的情况下,将内网访问请求发送至内网服务器,以获取内网服务器的资源。
步骤205,在内网访问请求命中预设规则库的情况下,阻断内网访问请求。
关于步骤202~205可对应参考前述第一个实施例中步骤101~104中的相关介绍,这里不再赘述。
可见,实施本申请实施例,通过预设网络应用程序防火墙规则,并通过微服务架构的代理网关对内网访问请求进行筛查,当用户在访问内网服务器资源时,能够对恶意网络攻击进行拦截,提高服务器资源访问的安全性。通过获取xDS服务器向代理网关下发预设网络应用程序防火墙规则,可以实现规则库的集中管理、下发、更新和灵活配置等功能。
请参见图4,图4为本申请实施例提供的又一种网络安全监控方法的示意图。如图4所示的方法可以包括以下步骤:
步骤401,接收配置消息,配置消息还包括预设规则库的版本信息。
在本申请实施例中,所述xDS服务器通过配置消息下发所述预设规则库,所述配置消息中包括所述预设规则库以及所述预设规则库的版本信息。可以理解的,xDS服务器用于动态的向Envoy代理网关配置下发预设规则库等各种配置消息,因此,xDS服务器可以根据配置消息动态的向Envoy代理网关下发预设规则库。
步骤402,判断已存储的规则库的版本信息是否低于配置消息中指示的版本信息。
在本申请实施例中,Envoy代理网关可以对已存储在Envoy代理网关中的规则库的版本信息与配置消息中指示的版本信息进行对比,若已存储的规则库的版本信息低于配置消息中指示的版本信息,则执行步骤403。
步骤403,在已存储的规则库的版本信息低于配置消息中指示的版本信息的情况下,根据配置消息中的预设规则库更新已存储的规则库,以获取得到所述xDS服务器下发的所述预设规则库。
在本申请实施例中,若已存储的规则库的版本信息低于配置消息中指示的版本信息,表示当前已存储的规则库的版本信息过低,需要对其进行更新,以确保Envoy代理网关可以更好的对恶意网络攻击进行防御,提高内网服务器资源访问的安全性。
步骤404,接收内网访问请求,内网访问请求是根据用户访问代理网关对应的内网服务器的资源的操作生成的。
步骤405,判断内网访问请求是否命中预设规则库,预设规则库为网络应用程序防火墙规则。
步骤406,在内网访问请求未命中预设规则库的情况下,将内网访问请求发送至内网服务器,以获取内网服务器的资源。
步骤407,在内网访问请求命中预设规则库的情况下,阻断内网访问请求。
关于步骤404~407可对应参考前述第一个实施例中步骤101~104中的相关介绍,这里不再赘述。
可见,实施本申请实施例,通过预设网络应用程序防火墙规则,并通过微服务架构的代理网关对内网访问请求进行筛查,当用户在访问内网服务器资源时,能够对恶意网络攻击进行拦截,提高服务器资源访问的安全性。可以根据配置消息中的版本信息实时更新代理网关中的预设规则库,实现规则库的灵活部署,此外,通过最新版的预设规则库可以更有效地阻断恶意网络攻击。
应该理解的是,虽然上述各流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,上述各流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。另外,上述多个实施例可以独立实施,也可以相互结合,在此不作限制。
基于前述的实施例,本申请实施例提供一种网络安全监控系统,该系统包括所包括的各模块、以及各模块所包括的各单元,可以通过处理器来实现;当然也可通过具体的逻辑电路实现;在实施的过程中,处理器可以为中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)或现场可编程门阵列(FPGA)等。
请参见图5,图5为本申请实施例提供的一种网络安全监控系统的结构示意图,如图5所示的一种网络安全监控系统应用于微服务架构中的代理网关,所述系统包括接收模块501、判断模块502和处理模块503,其中:
所述接收模块501,用于接收内网访问请求,所述内网访问请求是根据用户访问所述代理网关对应的内网服务器的资源的操作生成的;
所述判断模块502,用于判断所述内网访问请求是否命中预设规则库,所述预设规则库为网络应用程序防火墙规则;
所述处理模块503,用于在所述内网访问请求未命中预设规则库的情况下,将所述内网访问请求发送至所述内网服务器,以获取所述内网服务器的资源;
所述处理模块503,还用于在所述内网访问请求命中预设规则库的情况下,阻断所述内网访问请求。
在一些实施例中,所述预设规则库为多种类型的规则库中的至少一种规则库,所述多种类型的规则库包括查询语言SQL注入规则库、跨站脚本攻击规则库、跨站请求伪造规则库、分布式拒绝服务攻击规则库和零日漏洞规则库。
在一些实施例中,所述一种网络安全监控系统还包括获取模块,在所述接收内网访问请求之前,所述获取模块,用于获取xDS服务器下发的所述预设规则库。
在一些实施例中,所述xDS服务器中包括所述多种类型的规则库,所述预设规则库是由所述xDS服务器根据所述内网服务器的安全需求向所述代理网关下发的。
在一些实施例中,所述xDS服务器通过配置消息下发所述预设规则库,所述配置消息还包括所述预设规则库的版本信息,所述接收模块501,还用于接收所述配置消息;
所述判断模块502,还用于判断已存储的规则库的版本信息是否低于所述配置消息中指示的版本信息;
所述处理模块503,还用于在所述已存储的规则库的版本信息低于所述配置消息中指示的版本信息的情况下,根据所述配置消息中的所述预设规则库更新所述已存储的规则库,以获取得到所述xDS服务器下发的所述预设规则库。
在一些实施例中,在所述获取xDS服务器下发的所述预设规则库之前,所述获取模块,还用于根据用户的配置操作,获得所述多种类型的规则库,所述配置操作包括将所述网络应用程序防火墙规则编译成所述代理网关的配置文件的操作,所述配置文件中包括所述多种类型的规则库;
所述处理模块503,还用于将所述多种类型的规则库存储在所述xDS服务器中。
在一些实施例中,在所述内网访问请求命中预设规则库的情况下,阻断所述内网访问请求之后,所述处理模块503,还用于在所述内网访问请求命中所述预设规则库的情况下,生成并存储访问异常日志。
以上系统实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请系统实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
请参考图6,图6是本申请实施例公开的另一种网络安全监控系统的结构示意图。如图6所示,所述一种网络安全监控系统包括:
存储有可执行程序代码的存储器601;
与所述存储器耦合的处理器602;
处理器602调用存储器601中存储的可执行程序代码,执行上述各方法实施例中任意一种网络安全监控方法。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中提供的一种网络安全监控方法中的步骤。
本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述方法实施例提供的一种网络安全监控方法中的步骤。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,本申请提供的一种网络安全监控系统可以实现为一种计算机程序的形式,计算机程序可在如图6所示的计算机设备上运行。计算机设备的存储器中可存储组成上述系统的各个程序模块。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本申请各个实施例的一种网络安全监控方法中的步骤。
这里需要指出的是:以上存储介质和系统实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请存储介质和系统实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”或“一些实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”或“在一些实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。上文对各个实施例的描述倾向于强调各个实施例之间的不同之处,其相同或相似之处可以互相参考,为了简洁,本文不再赘述。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如对象A和/或对象B,可以表示:单独存在对象A,同时存在对象A和对象B,单独存在对象B这三种情况。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品、系统或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品、系统或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品、系统或者设备中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。以上所描述的实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个模块或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或模块的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的模块可以是、或也可以不是物理上分开的,作为模块显示的部件可以是、或也可以不是物理模块;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部模块来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能模块可以全部集成在一个处理单元中,也可以是各模块分别单独作为一个单元,也可以两个或两个以上模块集成在一个单元中;上述集成的模块既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(read only memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得电子设备执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个系统实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的系统实施例。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (8)
1.一种网络安全监控方法,其特征在于,应用于微服务架构中的代理网关,所述方法包括:
获取xDS服务器下发的预设规则库,所述预设规则库是由所述xDS服务器根据内网服务器的安全需求向所述代理网关下发的;
接收内网访问请求,所述内网访问请求是根据用户访问所述代理网关对应的内网服务器的资源的操作生成的;
判断所述内网访问请求是否命中预设规则库,所述预设规则库为网络应用程序防火墙规则;
在所述内网访问请求未命中预设规则库的情况下,将所述内网访问请求发送至所述内网服务器,以获取所述内网服务器的资源;
在所述内网访问请求命中预设规则库的情况下,阻断所述内网访问请求;
所述xDS服务器通过配置消息下发所述预设规则库,所述配置消息包括所述预设规则库的版本信息,所述获取xDS服务器下发的所述预设规则库,包括:
接收所述配置消息;
判断已存储的规则库的版本信息是否低于所述配置消息中指示的版本信息;
在所述已存储的规则库的版本信息低于所述配置消息中指示的版本信息的情况下,根据所述配置消息中的所述预设规则库更新所述已存储的规则库,以获取得到所述xDS服务器下发的所述预设规则库。
2.根据权利要求1所述的方法,其特征在于,所述预设规则库为多种类型的规则库中的至少一种规则库,所述多种类型的规则库包括查询语言SQL注入规则库、跨站脚本攻击规则库、跨站请求伪造规则库、分布式拒绝服务攻击规则库和零日漏洞规则库。
3.根据权利要求2所述的方法,其特征在于,所述xDS服务器中包括所述多种类型的规则库。
4.根据权利要求2或3所述的方法,其特征在于,在所述获取xDS服务器下发的所述预设规则库之前,所述方法还包括:
根据用户的配置操作,获得所述多种类型的规则库,所述配置操作包括将所述网络应用程序防火墙规则编译成所述代理网关的配置文件的操作,所述配置文件中包括所述多种类型的规则库;
将所述多种类型的规则库存储在所述xDS服务器中。
5.根据权利要求4所述的方法,其特征在于,在所述内网访问请求命中预设规则库的情况下,阻断所述内网访问请求之后,所述方法还包括:
在所述内网访问请求命中所述预设规则库的情况下,生成并存储访问异常日志。
6.一种网络安全监控系统,其特征在于,应用于微服务架构中的代理网关,所述系统包括获取模块、接收模块、判断模块和处理模块,其中:
所述获取模块,用于获取xDS服务器下发的预设规则库,所述预设规则库是由所述xDS服务器根据内网服务器的安全需求向所述代理网关下发的;
所述接收模块,用于接收内网访问请求,所述内网访问请求是根据用户访问所述代理网关对应的内网服务器的资源的操作生成的;
所述判断模块,用于判断所述内网访问请求是否命中预设规则库,所述预设规则库为网络应用程序防火墙规则;
所述处理模块,用于在所述内网访问请求未命中预设规则库的情况下,将所述内网访问请求发送至所述内网服务器,以获取所述内网服务器的资源;
所述处理模块,还用于在所述内网访问请求命中预设规则库的情况下,阻断所述内网访问请求;
所述xDS服务器通过配置消息下发所述预设规则库,所述配置消息包括所述预设规则库的版本信息,所述接收模块,还用于接收所述配置消息;
所述判断模块,还用于判断已存储的规则库的版本信息是否低于所述配置消息中指示的版本信息;
所述处理模块,还用于在所述已存储的规则库的版本信息低于所述配置消息中指示的版本信息的情况下,根据所述配置消息中的所述预设规则库更新所述已存储的规则库,以获取得到所述xDS服务器下发的所述预设规则库。
7.一种网络安全监控系统,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至5任一项所述方法的步骤。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311528075.2A CN117254977B (zh) | 2023-11-16 | 2023-11-16 | 一种网络安全监控方法及系统、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311528075.2A CN117254977B (zh) | 2023-11-16 | 2023-11-16 | 一种网络安全监控方法及系统、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117254977A CN117254977A (zh) | 2023-12-19 |
| CN117254977B true CN117254977B (zh) | 2024-03-01 |
Family
ID=89126772
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311528075.2A Active CN117254977B (zh) | 2023-11-16 | 2023-11-16 | 一种网络安全监控方法及系统、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117254977B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10958662B1 (en) * | 2019-01-24 | 2021-03-23 | Fyde, Inc. | Access proxy platform |
| CN112788031A (zh) * | 2021-01-11 | 2021-05-11 | 百果园技术(新加坡)有限公司 | 基于Envoy架构的微服务接口认证系统、方法及装置 |
| EP3823241A1 (en) * | 2019-11-18 | 2021-05-19 | F5 Networks, Inc | Network application firewall |
| WO2021115449A1 (zh) * | 2019-12-13 | 2021-06-17 | 中兴通讯股份有限公司 | 跨域访问系统、方法及装置、存储介质及电子装置 |
| CN113961245A (zh) * | 2021-10-28 | 2022-01-21 | 绿盟科技集团股份有限公司 | 一种基于微服务应用的安全防护系统、方法及介质 |
| CN115426404A (zh) * | 2022-11-03 | 2022-12-02 | 深圳市明源云科技有限公司 | 内网资源访问方法、系统、设备及计算机可读存储介质 |
-
2023
- 2023-11-16 CN CN202311528075.2A patent/CN117254977B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10958662B1 (en) * | 2019-01-24 | 2021-03-23 | Fyde, Inc. | Access proxy platform |
| EP3823241A1 (en) * | 2019-11-18 | 2021-05-19 | F5 Networks, Inc | Network application firewall |
| WO2021115449A1 (zh) * | 2019-12-13 | 2021-06-17 | 中兴通讯股份有限公司 | 跨域访问系统、方法及装置、存储介质及电子装置 |
| CN112788031A (zh) * | 2021-01-11 | 2021-05-11 | 百果园技术(新加坡)有限公司 | 基于Envoy架构的微服务接口认证系统、方法及装置 |
| CN113961245A (zh) * | 2021-10-28 | 2022-01-21 | 绿盟科技集团股份有限公司 | 一种基于微服务应用的安全防护系统、方法及介质 |
| CN115426404A (zh) * | 2022-11-03 | 2022-12-02 | 深圳市明源云科技有限公司 | 内网资源访问方法、系统、设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117254977A (zh) | 2023-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Alwan et al. | Detection and prevention of SQL injection attack: a survey | |
| CN109766699B (zh) | 操作行为的拦截方法及装置、存储介质、电子装置 | |
| US8949988B2 (en) | Methods for proactively securing a web application and apparatuses thereof | |
| US11777961B2 (en) | Asset remediation trend map generation and utilization for threat mitigation | |
| CN113660224A (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| US9998482B2 (en) | Automated network interface attack response | |
| Gupta et al. | Taxonomy of cloud security | |
| US11762991B2 (en) | Attack kill chain generation and utilization for threat analysis | |
| CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
| US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
| CN112653655A (zh) | 汽车安全通信控制方法、装置、计算机设备及存储介质 | |
| Deng et al. | Lexical analysis for the webshell attacks | |
| CN116599747A (zh) | 一种网络与信息安全服务系统 | |
| CN116708033B (zh) | 终端安全检测方法、装置、电子设备及存储介质 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| CN117254977B (zh) | 一种网络安全监控方法及系统、存储介质 | |
| Khamdamov et al. | Method of developing a web-application firewall | |
| Hatada et al. | Finding new varieties of malware with the classification of network behavior | |
| Chen et al. | A proactive approach to intrusion detection and malware collection | |
| CN112637171A (zh) | 数据流量处理方法、装置、设备、系统和存储介质 | |
| Kumar et al. | A review on 0-day vulnerability testing in web application | |
| US20200382552A1 (en) | Replayable hacktraps for intruder capture with reduced impact on false positives | |
| Ariyathilake et al. | SQL injection detection and prevention solution for web applications | |
| KR20100067383A (ko) | 서버 보안 시스템 및 서버 보안 방법 | |
| CN113037724B (zh) | 一种检测非法访问的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |