[发明专利]一种防御Web攻击的方法、装置、及系统

说明书

技术领域

本发明涉及网络安全领域，特别涉及防御Web攻击的方法、装置、及系统。

背景技术

随着互联网及Web应用的迅速发展，Web应用所面临的安全威胁及产生的危害也越来越大，各种漏洞层出不穷，传统的防火墙、IDS（入侵检测系统）在这方面越来越显得力不从心。

现有技术中，防火墙主要在不同网络之间实现访问控制，根据一些基本的规则如端口、IP来允许或者拒绝网络请求，一般不会有复杂的判断逻辑。IDS主要针对网络封包级别，通过统计分析，找到可疑的封包并进行报警或拦截。防火墙和IDS都难针对Web类攻击做专门的防范。

发明内容

本发明提供了防御Web攻击的方法、装置、及系统，以解决难以针对Web攻击做专门的防御的问题。

本发明公开了一种防御Web攻击的装置，所述装置包括嵌于所述装置的Web探针，

所述Web探针包括：

参数提取模块，用于依据规则库中规则提取Web应用请求中的参数；

请求处理模块，用于将参数与规则库中规则的条件进行匹配，当匹配成功时，按匹配的规则的操作来处理所述Web应用请求。

其中，请求处理模块还用于当参数与规则库中规则的条件都不匹配时，则按配置处理所述Web应用请求。

本发明还公开了一种防御Web攻击的系统，所述系统包括控制平台和多个Web服务器，所述Web服务器包括嵌于Web服务器中的Web探针，

Web探针，用于依据规则库中规则提取Web应用请求中的参数，将参数与规则库中规则的条件进行匹配，当匹配成功时，按匹配的规则的操作来处理所述Web应用请求，将处理结果报告给位于同一网络的控制平台；

控制平台，用于对Web探针的处理结果进行统计。

较佳的，所述系统还包括监控及分析平台，

控制平台还用于将统计结果报告给所述监控及分析平台；

监控及分析平台用于依据统计结果学习正常的Web应用流量和/或请求模式。

其中，所述监控及分析平台具体用于依据统计结果，获得Web应用在正常情况下的静态页面请求量、动态页面请求量，计算静态页面请求量与动态页面请求量的比值，学习获得在正常情况下，所述比值的区间范围。

较佳的，监控及分析平台还用于进行网络监控，当监控到的静态页面请求量与动态页面请求量的比值不在学习到的在正常情况下比值的区间范围内时，确定出现异常。

较佳的，监控及分析平台还用于进行网络监控，当监控的多个参量都符合异常条件时，确定出现异常。

较佳的，监控及分析平台还用于当确定异常时，将所述异常的特征作为新的规则向控制平台发布；

控制平台还用于依据发布的新的规则更新规则库中规则。

较佳的，所述Web探针还用于当参数与规则库中规则的条件都不匹配时，则按配置处理所述Web应用请求。

本发明还公开了一种防御Web攻击的方法，所述方法包括：

Web探针依据规则库中规则提取Web应用请求中的参数；

Web探针将参数与规则库中规则的条件进行匹配，当匹配成功时，按匹配的规则的操作来处理所述Web应用请求；

Web探针嵌于多个Web服务器中以进行分布式布置。

本发明实施例的有益效果是：通过在应用层实现对Web请求的监控和判断，能够防御Web攻击；通过将Web探针嵌于Web服务器中，能够进行分布式部署，分布式部署，不存在单一节点部署的性能瓶颈，并且可以很方便的扩充节点，可以充分利用现有Web服务器的计算资源，不需要单独添加硬件，由Web服务器完成管理连接、解包等操作，Web探针只需要利用Web服务器的处理结果，提高了性能，同时也简化了Web探针的开发过程；

进一步地，使用控制平台对同一网络的Web探针处理结果进行统计，能够针对网络整体进行状态监控；

进一步地，使用监控及分析平台对控制平台统计结果进行分析，便于应用分析结果发现网络异常；

进一步地，通过不断发布新规则，能够及时防御新型攻击。

附图说明

图1为本发明防御Web攻击的装置的结构图。

图2为本发明防御Web攻击的系统的结构图。

图3为本发明防御Web攻击的方法的流程图。

图4为本发明防御Web攻击的实施例的架构图。

图5为本发明防御Web攻击的方法实施例的流程图。

具体实施方式