Web攻击防范方法、装置和系统、存储介质转让专利
申请号 : CN202310854547.7
文献号 : CN116582366B
文献日 : 2023-09-15
发明人 : 靖冠军 , 田静 , 董智明 , 李明达 , 王朝晖
申请人 : 中国电信股份有限公司
摘要 :
本公开提供一种Web攻击防范方法、装置和系统、存储介质。Web攻击防范方法包括:对Web服务器在预定时间范围内生成的日志文件进行解析,以统计出日志文件中的每个客户端IP地址的异常请求数量;判断日志文件中是否存在异常客户端IP地址,其中异常客户端IP地址的异常请求数量大于预设阈值;在日志文件中存在异常客户端IP地址的情况下,修改防火墙的过滤转发规则,以便防火墙拒绝来自异常客户端IP地址的访问请求。
权利要求 :
1.一种Web攻击防范方法,由Web攻击防范装置执行,所述方法包括:对Web服务器在预定时间范围内生成的日志文件进行解析,以统计出所述日志文件中的每个客户端IP地址的异常请求数量;
判断所述日志文件中是否存在异常客户端IP地址,其中所述异常客户端IP地址的异常请求数量大于预设阈值;
在所述日志文件中存在所述异常客户端IP地址的情况下,修改防火墙的过滤转发规则,以便所述防火墙拒绝来自所述异常客户端IP地址的访问请求;
其中,对Web服务器在预定时间范围内生成的日志文件进行解析包括:解析所述日志文件,以获取所述Web服务器在所述预定时间范围内接收到的多个访问请求;
提取所述多个访问请求中的第i个访问请求的客户端IP地址、请求目的地址、请求方式和请求路径,其中1≤i≤N,N为访问请求总数;
根据所述第i个访问请求的请求目的地址、请求方式和请求路径,判断第i个访问请求与预设接口文档列表是否匹配;
在所述第i个访问请求与所述预设接口文档列表不匹配的情况下,更新所述客户端IP地址的异常请求数量。
2.根据权利要求1所述的方法,其中,判断第i个访问请求与预设接口文档列表是否匹配包括:判断所述第i个访问请求的请求目的地址是否与所述预设接口文档列表中的一个Web应用服务器的地址相匹配;
若所述第i个访问请求的请求目的地址与所述预设接口文档列表中的任一Web应用服务器的地址不匹配,则确定所述第i个访问请求与所述预设接口文档列表不匹配。
3.根据权利要求2所述的方法,其中,
所述第i个访问请求的请求目的地址包括所述第i个访问请求的请求目的IP地址或请求目的域名。
4.根据权利要求2所述的方法,还包括:
若所述第i个访问请求的请求目的地址与所述预设接口文档列表中的一个Web应用服务器的地址相匹配,则判断所述第i个访问请求的请求方式和请求路径是否与所述Web应用服务器的一个接口相匹配;
若所述第i个访问请求的请求方式和请求路径与所述Web应用服务器的任一接口不匹配,则确定所述第i个访问请求与所述预设接口文档列表不匹配。
5.根据权利要求1‑4中任一项所述的方法,其中,更新所述客户端IP地址的异常请求数量包括:将所述客户端IP地址的异常请求数量加1,以便对所述客户端IP地址的异常请求数量进行更新。
6.一种Web攻击防范装置,包括:
第一处理模块,被配置为对Web服务器在预定时间范围内生成的日志文件进行解析,以统计出所述日志文件中的每个客户端IP地址的异常请求数量,其中解析所述日志文件,以获取所述Web服务器在所述预定时间范围内接收到的多个访问请求,提取所述多个访问请求中的第i个访问请求的客户端IP地址、请求目的地址、请求方式和请求路径,其中1≤i≤N,N为访问请求总数,根据所述第i个访问请求的请求目的地址、请求方式和请求路径,判断第i个访问请求与预设接口文档列表是否匹配,在所述第i个访问请求与所述预设接口文档列表不匹配的情况下,更新所述客户端IP地址的异常请求数量;
第二处理模块,被配置为判断所述日志文件中是否存在异常客户端IP地址,其中所述异常客户端IP地址的异常请求数量大于预设阈值;
第三处理模块,被配置为在所述日志文件中存在所述异常客户端IP地址的情况下,修改防火墙的过滤转发规则,以便所述防火墙拒绝来自所述异常客户端IP地址的访问请求。
7.根据权利要求6所述的装置,其中,
第一处理模块被配置为判断所述第i个访问请求的请求目的地址是否与所述预设接口文档列表中的一个Web应用服务器的地址相匹配,若所述第i个访问请求的请求目的地址与所述预设接口文档列表中的任一Web应用服务器的地址不匹配,则确定所述第i个访问请求与所述预设接口文档列表不匹配。
8.根据权利要求7所述的装置,其中,
所述第i个访问请求的请求目的地址包括所述第i个访问请求的请求目的IP地址或请求目的域名。
9.根据权利要求7所述的装置,其中,
第一处理模块被配置为若所述第i个访问请求的请求目的地址与所述预设接口文档列表中的一个Web应用服务器的地址相匹配,则判断所述第i个访问请求的请求方式和请求路径是否与所述Web应用服务器的一个接口相匹配,若所述第i个访问请求的请求方式和请求路径与所述Web应用服务器的任一接口不匹配,则确定所述第i个访问请求与所述预设接口文档列表不匹配。
10.根据权利要求6‑9中任一项所述的装置,其中,
第一处理模块被配置为将所述客户端IP地址的异常请求数量加1,以便对所述客户端IP地址的异常请求数量进行更新。
11.一种Web攻击防范装置,包括:
存储器;
处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现如权利要求
1‑5中任一项所述的方法。
12.一种Web攻击防范系统,包括:
如权利要求6‑11中任一实施例所述的Web攻击防范装置;
防火墙,被配置为对接收到的访问请求进行过滤,并根据所述Web攻击防范装置的指示修改防火墙的过滤转发规则;
Web服务器,被配置为根据在预定时间范围内接收到的多个访问请求生成日志文件,并将所述访问请求转发给所述Web攻击防范装置和对应的Web应用服务器。
13.一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如权利要求1‑5中任一项所述的方法。
说明书 :
Web攻击防范方法、装置和系统、存储介质
技术领域
[0001] 本公开涉及安全领域,特别涉及一种Web攻击防范方法、装置和系统、存储介质。
背景技术
[0002] Web服务是一个网络化的应用,它基于应用层协议(例如:HTTP(Hypertext Transfer Protocol,超文本传输协议)向其它应用提供数据和服务。随着互联网技术的飞速发展,Web应用系统在各个领域都得到了广泛的应用,连接到互联网的Web服务器数以亿计。面对如此庞大的服务器数量,攻击者往往利用自动化扫描工具自动地检测系统漏洞,并通过漏洞对系统进行攻击,以此提高攻击效率。网络上的Web服务器受到日益严重的安全威胁。因此,如何进一步提升Web服务器检测和防范恶意网络攻击的能力成为Web服务研究的重点,近年来受到众多研究者的关注。
[0003] Web服务漏洞检测通过向Web服务器发送具有特定漏洞探测特征的网络请求,并解析服务器的响应信息实现漏洞检测。常见的Web服务漏洞探测类型包括目录扫描、文件扫描、接口探测以及应用识别等。攻击者通过Web应用漏洞检测技术检测系统漏洞,并利用漏洞注入恶意脚本或者其它特定语言的代码,达到入侵目的的攻击。
[0004] 目前Web攻击防范策略根据防范位置的不同可以分为三类:隐藏策略、访问控制策略和检测与拦截策略。隐藏策略避免将一些比较关键或者敏感的Web服务部署在常规的80或者443端口,避免将Web应用的访问入口部署在常见的目录下。这种方法可以用于防范端口扫描以及目录扫描,在一定程度上降低了Web应用被恶意攻击的风险。访问控制策略只允许指定的IP地址对应的客户端访问,将访问来源控制在一个很小的范围。检测与拦截策略在Web服务器之前,对网络请求的内容进行规则匹配、行为分析等识别出恶意行为,并对其进行拦截。例如,商业防护服务Web应用程序防火墙(Web Application Firewall,简称:WAF)就是基于此策略实现的。
发明内容
[0005] 发明人注意到,在上述相关技术中,隐藏策略无法防御对指定Web服务器的针对性的网络攻击。访问控制策略需要考虑实际的业务需求,一旦Web服务处于商业模式考虑必须对所有公网用户开放,该策略就会失效。检测与拦截策略的成本比较高。
[0006] 据此,本公开提供一种Web攻击防范方案,能够自动地实现Web恶意攻击检测与防范,此外,Web恶意攻击检测与防范的处理与应用服务器处理请求并行执行,提高了系统的时效性。
[0007] 在本公开的第一方面,提供一种Web攻击防范方法,由Web攻击防范装置执行,所述方法包括:对Web服务器在预定时间范围内生成的日志文件进行解析,以统计出所述日志文件中的每个客户端IP地址的异常请求数量;判断所述日志文件中是否存在异常客户端IP地址,其中所述异常客户端IP地址的异常请求数量大于预设阈值;在所述日志文件中存在所述异常客户端IP地址的情况下,修改防火墙的过滤转发规则,以便所述防火墙拒绝来自所述异常客户端IP地址的访问请求。
[0008] 在一些实施例中,对Web服务器在预定时间范围内生成的日志文件进行解析包括:解析所述日志文件,以获取所述Web服务器在所述预定时间范围内接收到的多个访问请求;
提取所述多个访问请求中的第i个访问请求的客户端IP地址、请求目的地址、请求方式和请求路径,其中1≤i≤N,N为访问请求总数;根据所述第i个访问请求的请求目的地址、请求方式和请求路径,判断第i个访问请求与预设接口文档列表是否匹配;在所述第i个访问请求与所述预设接口文档列表不匹配的情况下,更新所述客户端IP地址的异常请求数量。
提取所述多个访问请求中的第i个访问请求的客户端IP地址、请求目的地址、请求方式和请求路径,其中1≤i≤N,N为访问请求总数;根据所述第i个访问请求的请求目的地址、请求方式和请求路径,判断第i个访问请求与预设接口文档列表是否匹配;在所述第i个访问请求与所述预设接口文档列表不匹配的情况下,更新所述客户端IP地址的异常请求数量。
[0009] 在一些实施例中,判断第i个访问请求与预设接口文档列表是否匹配包括:判断所述第i个访问请求的请求目的地址是否与所述预设接口文档列表中的一个Web应用服务器的地址相匹配;若所述第i个访问请求的请求目的地址与所述预设接口文档列表中的任一Web应用服务器的地址不匹配,则确定所述第i个访问请求与所述预设接口文档列表不匹配。
[0010] 在一些实施例中,所述第i个访问请求的请求目的地址包括所述第i个访问请求的请求目的IP地址或请求目的域名。
[0011] 在一些实施例中,若所述第i个访问请求的请求目的地址与所述预设接口文档列表中的一个Web应用服务器的地址相匹配,则判断所述第i个访问请求的请求方式和请求路径是否与所述Web应用服务器的一个接口相匹配;若所述第i个访问请求的请求方式和请求路径与所述Web应用服务器的任一接口不匹配,则确定所述第i个访问请求与所述预设接口文档列表不匹配。
[0012] 在一些实施例中,更新所述客户端IP地址的异常请求数量包括:将所述客户端IP地址的异常请求数量加1,以便对所述客户端IP地址的异常请求数量进行更新。
[0013] 在本公开的第二方面,提供一种Web攻击防范装置,包括:第一处理模块,被配置为对Web服务器在预定时间范围内生成的日志文件进行解析,以统计出所述日志文件中的每个客户端IP地址的异常请求数量;第二处理模块,被配置为判断所述日志文件中是否存在异常客户端IP地址,其中所述异常客户端IP地址的异常请求数量大于预设阈值;第三处理模块,被配置为在所述日志文件中存在所述异常客户端IP地址的情况下,修改防火墙的过滤转发规则,以便所述防火墙拒绝来自所述异常客户端IP地址的访问请求。
[0014] 在一些实施例中,第一处理模块被配置为解析所述日志文件,以获取所述Web服务器在所述预定时间范围内接收到的多个访问请求,提取所述多个访问请求中的第i个访问请求的客户端IP地址、请求目的地址、请求方式和请求路径,其中1≤i≤N,N为访问请求总数,根据所述第i个访问请求的请求目的地址、请求方式和请求路径,判断第i个访问请求与预设接口文档列表是否匹配,在所述第i个访问请求与所述预设接口文档列表不匹配的情况下,更新所述客户端IP地址的异常请求数量。
[0015] 在一些实施例中,第一处理模块被配置为判断所述第i个访问请求的请求目的地址是否与所述预设接口文档列表中的一个Web应用服务器的地址相匹配,若所述第i个访问请求的请求目的地址与所述预设接口文档列表中的任一Web应用服务器的地址不匹配,则确定所述第i个访问请求与所述预设接口文档列表不匹配。
[0016] 在一些实施例中,所述第i个访问请求的请求目的地址包括所述第i个访问请求的请求目的IP地址或请求目的域名。
[0017] 在一些实施例中,第一处理模块被配置为若所述第i个访问请求的请求目的地址与所述预设接口文档列表中的一个Web应用服务器的地址相匹配,则判断所述第i个访问请求的请求方式和请求路径是否与所述Web应用服务器的一个接口相匹配,若所述第i个访问请求的请求方式和请求路径与所述Web应用服务器的任一接口不匹配,则确定所述第i个访问请求与所述预设接口文档列表不匹配。
[0018] 在一些实施例中,第一处理模块被配置为将所述客户端IP地址的异常请求数量加1,以便对所述客户端IP地址的异常请求数量进行更新。
[0019] 在本公开的第三方面,提供一种Web攻击防范装置,包括:存储器;处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现如上述任一实施例所述的方法。
[0020] 在本公开的第四方面,提供一种Web攻击防范系统,包括:如上述任一实施例所述的Web攻击防范装置;防火墙,被配置为对接收到的访问请求进行过滤,并根据所述Web攻击防范装置的指示修改防火墙的过滤转发规则;Web服务器,被配置为根据在预定时间范围内接收到的多个访问请求生成日志文件,并将所述访问请求转发给所述Web攻击防范装置和对应的Web应用服务器。
[0021] 根据本公开实施例的第五方面,提供一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如上述任一实施例所述的方法。
[0022] 通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
[0023] 为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0024] 图1为本公开一个实施例的Web攻击防范方法的流程示意图。
[0025] 图2为本公开另一个实施例的Web攻击防范方法的流程示意图。
[0026] 图3为本公开又一个实施例的Web攻击防范方法的流程示意图。
[0027] 图4为本公开一个实施例的Web攻击防范装置的结构示意图。
[0028] 图5为本公开另一个实施例的Web攻击防范装置的结构示意图。
[0029] 图6为本公开一个实施例的Web攻击防范系统的结构示意图。
具体实施方式
[0030] 下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
[0031] 除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
[0032] 同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
[0033] 对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
[0034] 在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
[0035] 应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
[0036] 图1为本公开一个实施例的Web攻击防范方法的流程示意图。在一些实施例中,下列的Web攻击防范方法由Web攻击防范装置执行。
[0037] 在步骤101,对Web服务器在预定时间范围内生成的日志文件进行解析,以统计出日志文件中的每个客户端IP地址的异常请求数量。
[0038] 在一些实施例中,预先设置各种参数。所设置的参数包括:Web服务器监测异常网络请求的周期,指定监测周期内的客户端IP地址的异常请求数量阈值。
[0039] 在一些实施例中,日志文件包括Nginx日志文件,例如access.log、error.log等信息。
[0040] 在一些实施例中,对Web服务器在预定时间范围内生成的日志文件进行解析的步骤如图2所示。
[0041] 图2为本公开另一个实施例的Web攻击防范方法的流程示意图。在一些实施例中,下列的Web攻击防范方法由Web攻击防范装置执行。
[0042] 在步骤201,解析日志文件,以获取Web服务器在预定时间范围内接收到的多个访问请求。
[0043] 在步骤202,导入接口文档列表。
[0044] 在步骤203,提取多个访问请求中的每一个访问请求的客户端IP地址、请求目的地址、请求方式和请求路径。
[0045] 在一些实施例中,请求目的地址包括请求目的IP地址或请求目的域名。
[0046] 在步骤204,设i=1。
[0047] 在步骤205,根据第i个访问请求的请求目的地址、请求方式和请求路径,判断第i个访问请求与预设接口文档列表是否匹配。
[0048] 在第i个访问请求与预设接口文档列表不匹配的情况下,执行步骤206;在第i个访问请求与预设接口文档列表匹配的情况下,执行步骤207。
[0049] 在一些实施例中,判断第i个访问请求与预设接口文档列表是否匹配的步骤如图3所示。
[0050] 图3为本公开另一个实施例的Web攻击防范方法的流程示意图。在一些实施例中,下列的Web攻击防范方法由Web攻击防范装置执行。
[0051] 在步骤301,判断第i个访问请求的请求目的地址是否与预设接口文档列表中的一个Web应用服务器的地址相匹配。
[0052] 若第i个访问请求的请求目的地址与预设接口文档列表中的任一Web应用服务器的地址不匹配,则执行步骤302;若第i个访问请求的请求目的地址与预设接口文档列表中的一个Web应用服务器的地址相匹配,则执行步骤303。
[0053] 在步骤302,确定第i个访问请求与预设接口文档列表不匹配。
[0054] 在步骤303,判断第i个访问请求的请求方式和请求路径是否与Web应用服务器的一个接口相匹配。
[0055] 若第i个访问请求的请求方式和请求路径与Web应用服务器的任一接口不匹配,则执行步骤302;若第i个访问请求的请求方式和请求路径与Web应用服务器的一个接口匹配,则执行步骤304。
[0056] 在步骤304,确定第i个访问请求与预设接口文档列表匹配。
[0057] 返回图2。在步骤206,更新客户端IP地址的异常请求数量。
[0058] 在一些实施例中,将客户端IP地址的异常请求数量加1,以便对客户端IP地址的异常请求数量进行更新。
[0059] 在步骤207,判断参数i是否大于N,其中N为访问请求总数。
[0060] 若参数i小于N,则执行步骤208;若参数i大于N,则结束本流程。
[0061] 再步骤208,令i=i+1,然后返回步骤205。
[0062] 返回图1。在步骤102,判断日志文件中是否存在异常客户端IP地址,其中异常客户端IP地址的异常请求数量大于预设阈值。
[0063] 在步骤103,在日志文件中存在异常客户端IP地址的情况下,修改防火墙的过滤转发规则,以便防火墙拒绝来自异常客户端IP地址的访问请求。
[0064] 在本公开上述实施例提供的Web攻击防范方法中,对Web服务器在预定时间范围内生成的日志文件进行解析,以统计出日志文件中的每个客户端IP地址的异常请求数量,若存在异常请求数量大于预设阈值的异常客户端IP地址,则通过修改防火墙的过滤转发规则,以便防火墙拒绝来自异常客户端IP地址的访问请求。从而有效提高了Web攻击行为检测的有效性和准确性。同时Web攻击检测与防范的处理与应用服务器处理请求并行执行,提高了系统的时效性。
[0065] 图4为本公开一个实施例的Web攻击防范装置的结构示意。如图4所示,Web攻击防范装置包括第一处理模块41、第二处理模块42和第三处理模块43。
[0066] 第一处理模块41被配置为对Web服务器在预定时间范围内生成的日志文件进行解析,以统计出日志文件中的每个客户端IP地址的异常请求数量。
[0067] 在一些实施例中,预先设置各种参数。所设置的参数包括:Web服务器监测异常网络请求的周期,指定监测周期内的客户端IP地址的异常请求数量阈值。
[0068] 在一些实施例中,日志文件包括Nginx日志文件,例如access.log、error.log等信息。
[0069] 在一些实施例中,第一处理模块41被配置为解析日志文件,以获取Web服务器在预定时间范围内接收到的多个访问请求,提取多个访问请求中的第i个访问请求的客户端IP地址、请求目的地址、请求方式和请求路径,其中1≤i≤N,N为访问请求总数,根据第i个访问请求的请求目的地址、请求方式和请求路径,判断第i个访问请求与预设接口文档列表是否匹配,在第i个访问请求与预设接口文档列表不匹配的情况下,更新客户端IP地址的异常请求数量。
[0070] 在一些实施例中,第一处理模块41将客户端IP地址的异常请求数量加1,以便对客户端IP地址的异常请求数量进行更新。
[0071] 在一些实施例中,第一处理模块41被配置为判断第i个访问请求的请求目的地址是否与预设接口文档列表中的一个Web应用服务器的地址相匹配,若第i个访问请求的请求目的地址与预设接口文档列表中的任一Web应用服务器的地址不匹配,则确定第i个访问请求与预设接口文档列表不匹配。
[0072] 例如,第i个访问请求的请求目的地址包括第i个访问请求的请求目的IP地址或请求目的域名。
[0073] 在一些实施例中,第一处理模块41被配置为若第i个访问请求的请求目的地址与预设接口文档列表中的一个Web应用服务器的地址相匹配,则判断第i个访问请求的请求方式和请求路径是否与Web应用服务器的一个接口相匹配,若第i个访问请求的请求方式和请求路径与Web应用服务器的任一接口不匹配,则确定第i个访问请求与预设接口文档列表不匹配。
[0074] 第二处理模块42被配置为判断日志文件中是否存在异常客户端IP地址,其中异常客户端IP地址的异常请求数量大于预设阈值。
[0075] 第三处理模块43被配置为在日志文件中存在异常客户端IP地址的情况下,修改防火墙的过滤转发规则,以便防火墙拒绝来自异常客户端IP地址的访问请求。
[0076] 图5为本公开另一个实施例的Web攻击防范装置的结构示意图。如图5所示,Web攻击防范装置包括存储器51和处理器52。
[0077] 存储器51用于存储指令,处理器52耦合到存储器51,处理器52被配置为基于存储器存储的指令执行实现如图1至图3中任一实施例涉及的方法。
[0078] 如图5所示,该Web攻击防范装置还包括通信接口53,用于与其它设备进行信息交互。同时,该Web攻击防范装置还包括总线54,处理器52、通信接口53、以及存储器51通过总线54完成相互间的通信。
[0079] 存储器51可以包含高速RAM存储器,也可还包括非易失性存储器(non‑volatile memory),例如至少一个磁盘存储器。存储器51也可以是存储器阵列。存储器51还可能被分块,并且块可按一定的规则组合成虚拟卷。
[0080] 此外,处理器52可以是一个中央处理器CPU,或者可以是专用集成电路ASIC,或是被配置成实施本公开实施例的一个或多个集成电路。
[0081] 本公开同时还涉及一种计算机可读存储介质,其中计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如图1至图3中任一实施例涉及的方法。
[0082] 图6为本公开一个实施例的Web攻击防范系统的结构示意图。如图6所示,Web攻击防范系统60包括防火墙61、Web服务器62和Web攻击防范装置63。Web攻击防范装置63为图4或图5中任一实施例涉及的Web攻击防范装置。
[0083] 防火墙61被配置为对接收到的访问请求进行过滤,并根据Web攻击防范装置63的指示修改防火墙的过滤转发规则。
[0084] Web服务器62被配置为根据在预定时间范围内接收到的多个访问请求生成日志文件,并将访问请求转发给Web攻击防范装置63和对应的Web应用服务器64。
[0085] 通过实施本公开上述实施例,能够得到以下有益效果。
[0086] 1)本公开提供基于日志分析的Web恶意攻击行为的检测。本公开从日志文件中提取网络请求的客户端IP地址、请求目的地址(IP地址或域名)、请求方式以及请求路径,并与应用接口文档进行匹配,以此来实现对异常请求的检测。再根据预设时间段内某个主机的异常请求频次确定其是否存在Web恶意攻击行为,提高了Web恶意攻击行为检测的有效性和准确性。
[0087] 2)本公开基于脚本程序自动地实现Web恶意攻击检测与防范,避免了人工检测与设置防火墙规则的繁琐。同时,Web恶意攻击检测及防御处理与应用服务器处理请求并行执行,提高了系统的时效性。
[0088] 也就是说,本公开所提供的方案可以在准确性和时效性方面提升Web服务器防范恶意攻击的能力。
[0089] 在一些实施例中,在上面所描述的功能单元可以实现为用于执行本公开所描述功能的通用处理器、可编程逻辑控制器(Programmable Logic Controller,简称:PLC)、数字信号处理器(Digital Signal Processor,简称:DSP)、专用集成电路(Application Specific Integrated Circuit,简称:ASIC)、现场可编程门阵列(Field‑Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
[0090] 本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0091] 本公开的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用,并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。