本發(fā)明公開了一種報文的處理方法及裝置。其中，該方法包括：對獲取到的HTTP報文進行解析,獲取解析后的HTTP報文；采用經由預定義編程接口接收到的與解析后的HTTP報文相適配的配置規(guī)則生成配置文件；根據配置文件對解析后的HTTP報文進行多模正則匹配；按照匹配結果對HTTP報文執(zhí)行過濾操作。本發(fā)明解決了相關技術中所提供的基于WAF對HTTP報文進行特征檢測的方式缺乏靈活性，易造成對攻擊性的HTTP報文的漏報或誤報的技術問題。

技術領域

本發(fā)明涉及互聯網領域，具體而言，涉及一種報文的處理方法及裝置。

背景技術

萬維網應用防火墻(Web Application Firewall，簡稱為WAF)是設置在網站WEB業(yè)務系統(tǒng)前端的一種包特征檢測與阻斷系統(tǒng)，用于保護后端的WEB業(yè)務系統(tǒng)不受非法攻擊者的惡意掃描和漏洞攻擊。

WEB容器是一種讀取并執(zhí)行各種類型腳本語言文件的軟件，其可以解釋包含PHP、ASP以及JAVA在內的腳本語言。相關技術中所提供的網站的重要組成部分即為WEB容器。

超文本傳輸協議(HTTP)請求報文是一種松散格式的應用層協議，其雖然在大體上遵循征求修正意見書(RFC)2616的規(guī)范，但是各個WEB容器在具體實現HTTP請求報文解析的過程中，都會添加一些特有的解析特性，從而實現對HTTP RFC協議的擴展。

另外，HTTP協議還是一個歷史較為悠久的協議，從國際互聯網工程任務組(IETF)創(chuàng)建第一版到現在，已經經歷了HTTP 0.9→HTTP 1.0→HTTP 1.1總共三個版本的演變。最新版本的HTTP 1.1協議在原有協議的基礎上實現了富文本(RTF)傳輸的協議規(guī)定，以此來支持用戶通過瀏覽器向服務器上傳富文本文件的功能實現。然而，該項演變在為WEB開發(fā)者提供便利的同時，也為黑客攻擊帶來了新鮮的渠道。

目前，相關技術中所提供的主機WAF方案大多基于網關協議以及流量牽引的基礎架構，其通過在流量中心的節(jié)點部署硬件設備進行惡意流量特征檢測。然而，此種方案的缺陷在于：容易受到網絡流量抖動、骨干光纖故障等物理因素影響，進而導致WAF的攔截效果下降。

此外，相關技術中提出的WAF解決方案只允許規(guī)則運營人員實現針對GET、POST包的正則規(guī)則檢測，即針對HTTP請求的GET/POST參數進行單條正則規(guī)則匹配。然而，由于HTTP請求報文中攜帶的參數通常處于無序狀態(tài)，因此，規(guī)則運營人員針對同一個漏洞可能需要編寫多條規(guī)則，即浪費了時間，又影響WAF的檢測效率。而如果規(guī)則運營人員為了提升檢測效果，自行提高正則規(guī)則匹配的檢測強度，又很可能導致檢測結果出現誤報，故而很難在檢測結果出現漏報與檢測結果出現誤報之間取得平衡。

進一步地，當前互聯網中主流的WEB漏洞中，與FILES、COOKIES參數相關聯的漏洞占據了相當大的比例，而當前大部分主機WAF產品對于這些參數是不需要進行檢測的。攻擊者為了能夠躲避WAF的檢測，可以直接將攻擊載荷添加至這些傳輸富文本的HTTP FILES請求報文中，從而躲避主機WAF的檢測。

針對上述的問題，目前尚未提出有效的解決方案。

發(fā)明內容

本發(fā)明實施例提供了一種報文的處理方法及裝置，以至少解決相關技術中所提供的基于WAF對HTTP報文進行特征檢測的方式缺乏靈活性，易造成對攻擊性的HTTP報文的漏報或誤報的技術問題。

根據本發(fā)明實施例的一個方面，提供了一種報文的處理方法，包括：對獲取到的HTTP報文進行解析,獲取解析后的HTTP報文；采用經由預定義編程接口接收到的與解析后的HTTP報文相適配的配置規(guī)則生成配置文件；根據配置文件對解析后的HTTP報文進行多模正則匹配；按照匹配結果對HTTP報文執(zhí)行過濾操作。

可選地，采用經由預定義編程接口接收到的配置規(guī)則生成配置文件包括：經由預定義編程接口接收根據解析后的HTTP報文確定的配置規(guī)則；對配置規(guī)則進行二進制轉化的編譯處理，生成配置文件，并將配置文件加載至內存。