技術領域

本發明涉及互聯網安全技術領域，特別是涉及一種WEB防御方法和系統。

背景技術

隨著互聯網業務及WEB應用的迅猛發展，WEB技術的更新換代，WEB應用的攻擊面在不斷的擴大，各種漏洞層出不窮，WEB應用的安全面臨新的挑戰。

現有的WEB攻擊大致可以分為兩類：一種是利用WEB服務器的漏洞進行攻擊，另一種是利用網頁自身的安全漏洞進行攻擊。在現有的防御WEB攻擊方式中，網站應用級入侵防御系統(WAF，WebApplicationFirewall)，會對HTTP的請求進行異常檢測，拒絕不符合HTTP標準的請求。然而由于其網絡架構的特點，主要用在小流量的WEB應用。在面對大流量的應用時，WAF的網絡架構存在網絡實體負載過大，性能難以勝任的缺陷。

發明內容

本發明提供了一種WEB防御方法和系統，以解決現有的WEB防御方式在處理大流量的WEB請求時不能及時處理的問題。

本發明公開了一種WEB防御方法，在分布式系統中的每個WEB服務器上部署WEB防御模塊；獨立于每個WEB服務器部署規則服務器，在所述規則服務器上維護規則表和危險IP列表；其中，所述規則表配置有檢測WEB請求是否為危險請求的規則，以及對觸發規則的WEB請求做出的響應；所述危險IP列表包括一定數量的觸發規則次數達到預設閥值的WEB請求的IP；該方法包括：

所述WEB防御模塊在啟動時，從所述規則服務器中獲取所述規則表和所述危險IP列表；

獲取WEB服務器解析超文本傳輸協議http數據包得到的WEB請求；

判斷所述WEB請求的IP是否在所述危險IP列表中；

如果在，拒絕為所述WEB請求建立連接；

如果不在，則繼續依據所述規則表判斷所述WEB請求是否為危險請求；

如果是，依據所述規則表對所述WEB請求做出響應，并將觸發規則的所述WEB請求的信息提交給所述規則服務器以更新所述危險IP列表中；

如果不是，將所述WEB請求轉交給所述WEB服務器的其他模塊處理。

可選的，所述WEB防御模塊周期性地從所述規則服務器中獲取所述規則表和所述危險IP列表；以及，

當所述規則表或所述危險IP列表有更新時，接收所述規則服務器下發的更新后的規則表或危險IP列表。

可選的，獨立于所述規則服務器部署監控服務器，所述監控服務器用于向所述規則服務器下發新的規則以更新所述規則表；該方法還包括：所述WEB防御模塊接收所述監控服務器的WEB查詢請求，并根據所述WEB查詢請求將自身的運行狀態上報給所述監控服務器。

依據本發明的另一方面，提供了一種WEB防御方法，在分布式系統中的每個WEB服務器上部署WEB防御模塊；獨立于每個WEB服務器部署規則服務器，在所述規則服務器上維護規則表和危險IP列表；該方法包括：

所述規則服務器接收檢測WEB請求是否為危險請求的規則，以及對觸發規則的WEB請求做出的響應的配置信息；

根據所述規則和響應的配置信息建立或更新所述規則表；

接收所述WEB防御模塊提交的觸發所述規則表中規則的WEB請求的信息；

依據觸發規則的所述WEB請求的信息做哈希表，哈希表的鍵包括所述WEB請求的IP，對應的值為該IP的觸發次數，其中，每觸發規則一次，則觸發次數加一；

從所述哈希表中獲取一定數量的觸發次數達到預設閥值的WEB請求的IP建立或更新所述危險IP列表；

在所述WEB防御模塊啟動時，發送所述規則表和所述危險IP列表到所述WEB防御模塊，使得所述WEB防御模塊根據所述規則表和所述危險IP列表對WEB請求進行防御。

可選的，當所述規則表或所述危險IP列表有更新時，下發更新后的規則表或危險IP列表到所述WEB防御模塊；以及，根據所述WEB防御模塊周期性發送的獲取請求，將所述規則表和所述危險IP列表發送到所述WEB防御模塊。

可選的，獨立于所述規則服務器部署監控服務器，所述監控服務器用于向所述規則服務器下發新的規則以更新所述規則表；該方法還包括：所述規則服務器接收所述監控服務器的WEB查詢請求，并根據所述WEB查詢請求將所述規則表和所述危險IP列表上報給所述監控服務器。