技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，特別涉及防御Web攻擊的方法、裝置、及系統(tǒng)。

背景技術(shù)

隨著互聯(lián)網(wǎng)及Web應(yīng)用的迅速發(fā)展，Web應(yīng)用所面臨的安全威脅及產(chǎn)生的危害也越來(lái)越大，各種漏洞層出不窮，傳統(tǒng)的防火墻、IDS（入侵檢測(cè)系統(tǒng)）在這方面越來(lái)越顯得力不從心。

現(xiàn)有技術(shù)中，防火墻主要在不同網(wǎng)絡(luò)之間實(shí)現(xiàn)訪問(wèn)控制，根據(jù)一些基本的規(guī)則如端口、IP來(lái)允許或者拒絕網(wǎng)絡(luò)請(qǐng)求，一般不會(huì)有復(fù)雜的判斷邏輯。IDS主要針對(duì)網(wǎng)絡(luò)封包級(jí)別，通過(guò)統(tǒng)計(jì)分析，找到可疑的封包并進(jìn)行報(bào)警或攔截。防火墻和IDS都難針對(duì)Web類(lèi)攻擊做專(zhuān)門(mén)的防范。

發(fā)明內(nèi)容

本發(fā)明提供了防御Web攻擊的方法、裝置、及系統(tǒng)，以解決難以針對(duì)Web攻擊做專(zhuān)門(mén)的防御的問(wèn)題。

本發(fā)明公開(kāi)了一種防御Web攻擊的裝置，所述裝置包括嵌于所述裝置的Web探針，

所述Web探針包括：

參數(shù)提取模塊，用于依據(jù)規(guī)則庫(kù)中規(guī)則提取Web應(yīng)用請(qǐng)求中的參數(shù)；

請(qǐng)求處理模塊，用于將參數(shù)與規(guī)則庫(kù)中規(guī)則的條件進(jìn)行匹配，當(dāng)匹配成功時(shí)，按匹配的規(guī)則的操作來(lái)處理所述Web應(yīng)用請(qǐng)求。

其中，請(qǐng)求處理模塊還用于當(dāng)參數(shù)與規(guī)則庫(kù)中規(guī)則的條件都不匹配時(shí)，則按配置處理所述Web應(yīng)用請(qǐng)求。

本發(fā)明還公開(kāi)了一種防御Web攻擊的系統(tǒng)，所述系統(tǒng)包括控制平臺(tái)和多個(gè)Web服務(wù)器，所述Web服務(wù)器包括嵌于Web服務(wù)器中的Web探針，

Web探針，用于依據(jù)規(guī)則庫(kù)中規(guī)則提取Web應(yīng)用請(qǐng)求中的參數(shù)，將參數(shù)與規(guī)則庫(kù)中規(guī)則的條件進(jìn)行匹配，當(dāng)匹配成功時(shí)，按匹配的規(guī)則的操作來(lái)處理所述Web應(yīng)用請(qǐng)求，將處理結(jié)果報(bào)告給位于同一網(wǎng)絡(luò)的控制平臺(tái)；

控制平臺(tái)，用于對(duì)Web探針的處理結(jié)果進(jìn)行統(tǒng)計(jì)。

較佳的，所述系統(tǒng)還包括監(jiān)控及分析平臺(tái)，

控制平臺(tái)還用于將統(tǒng)計(jì)結(jié)果報(bào)告給所述監(jiān)控及分析平臺(tái)；

監(jiān)控及分析平臺(tái)用于依據(jù)統(tǒng)計(jì)結(jié)果學(xué)習(xí)正常的Web應(yīng)用流量和/或請(qǐng)求模式。

其中，所述監(jiān)控及分析平臺(tái)具體用于依據(jù)統(tǒng)計(jì)結(jié)果，獲得Web應(yīng)用在正常情況下的靜態(tài)頁(yè)面請(qǐng)求量、動(dòng)態(tài)頁(yè)面請(qǐng)求量，計(jì)算靜態(tài)頁(yè)面請(qǐng)求量與動(dòng)態(tài)頁(yè)面請(qǐng)求量的比值，學(xué)習(xí)獲得在正常情況下，所述比值的區(qū)間范圍。

較佳的，監(jiān)控及分析平臺(tái)還用于進(jìn)行網(wǎng)絡(luò)監(jiān)控，當(dāng)監(jiān)控到的靜態(tài)頁(yè)面請(qǐng)求量與動(dòng)態(tài)頁(yè)面請(qǐng)求量的比值不在學(xué)習(xí)到的在正常情況下比值的區(qū)間范圍內(nèi)時(shí)，確定出現(xiàn)異常。

較佳的，監(jiān)控及分析平臺(tái)還用于進(jìn)行網(wǎng)絡(luò)監(jiān)控，當(dāng)監(jiān)控的多個(gè)參量都符合異常條件時(shí)，確定出現(xiàn)異常。

較佳的，監(jiān)控及分析平臺(tái)還用于當(dāng)確定異常時(shí)，將所述異常的特征作為新的規(guī)則向控制平臺(tái)發(fā)布；

控制平臺(tái)還用于依據(jù)發(fā)布的新的規(guī)則更新規(guī)則庫(kù)中規(guī)則。

較佳的，所述Web探針還用于當(dāng)參數(shù)與規(guī)則庫(kù)中規(guī)則的條件都不匹配時(shí)，則按配置處理所述Web應(yīng)用請(qǐng)求。

本發(fā)明還公開(kāi)了一種防御Web攻擊的方法，所述方法包括：

Web探針依據(jù)規(guī)則庫(kù)中規(guī)則提取Web應(yīng)用請(qǐng)求中的參數(shù)；

Web探針將參數(shù)與規(guī)則庫(kù)中規(guī)則的條件進(jìn)行匹配，當(dāng)匹配成功時(shí)，按匹配的規(guī)則的操作來(lái)處理所述Web應(yīng)用請(qǐng)求；

Web探針嵌于多個(gè)Web服務(wù)器中以進(jìn)行分布式布置。

本發(fā)明實(shí)施例的有益效果是：通過(guò)在應(yīng)用層實(shí)現(xiàn)對(duì)Web請(qǐng)求的監(jiān)控和判斷，能夠防御Web攻擊；通過(guò)將Web探針嵌于Web服務(wù)器中，能夠進(jìn)行分布式部署，分布式部署，不存在單一節(jié)點(diǎn)部署的性能瓶頸，并且可以很方便的擴(kuò)充節(jié)點(diǎn)，可以充分利用現(xiàn)有Web服務(wù)器的計(jì)算資源，不需要單獨(dú)添加硬件，由Web服務(wù)器完成管理連接、解包等操作，Web探針只需要利用Web服務(wù)器的處理結(jié)果，提高了性能，同時(shí)也簡(jiǎn)化了Web探針的開(kāi)發(fā)過(guò)程；

進(jìn)一步地，使用控制平臺(tái)對(duì)同一網(wǎng)絡(luò)的Web探針處理結(jié)果進(jìn)行統(tǒng)計(jì)，能夠針對(duì)網(wǎng)絡(luò)整體進(jìn)行狀態(tài)監(jiān)控；

進(jìn)一步地，使用監(jiān)控及分析平臺(tái)對(duì)控制平臺(tái)統(tǒng)計(jì)結(jié)果進(jìn)行分析，便于應(yīng)用分析結(jié)果發(fā)現(xiàn)網(wǎng)絡(luò)異常；

進(jìn)一步地，通過(guò)不斷發(fā)布新規(guī)則，能夠及時(shí)防御新型攻擊。

附圖說(shuō)明

圖1為本發(fā)明防御Web攻擊的裝置的結(jié)構(gòu)圖。

圖2為本發(fā)明防御Web攻擊的系統(tǒng)的結(jié)構(gòu)圖。

圖3為本發(fā)明防御Web攻擊的方法的流程圖。

圖4為本發(fā)明防御Web攻擊的實(shí)施例的架構(gòu)圖。

圖5為本發(fā)明防御Web攻擊的方法實(shí)施例的流程圖。

具體實(shí)施方式