[发明专利]一种WEB防御方法和系统

说明书

技术领域

本发明涉及互联网安全技术领域，特别是涉及一种WEB防御方法和系统。

背景技术

随着互联网业务及WEB应用的迅猛发展，WEB技术的更新换代，WEB应用的攻击面在不断的扩大，各种漏洞层出不穷，WEB应用的安全面临新的挑战。

现有的WEB攻击大致可以分为两类：一种是利用WEB服务器的漏洞进行攻击，另一种是利用网页自身的安全漏洞进行攻击。在现有的防御WEB攻击方式中，网站应用级入侵防御系统(WAF，WebApplicationFirewall)，会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求。然而由于其网络架构的特点，主要用在小流量的WEB应用。在面对大流量的应用时，WAF的网络架构存在网络实体负载过大，性能难以胜任的缺陷。

发明内容

本发明提供了一种WEB防御方法和系统，以解决现有的WEB防御方式在处理大流量的WEB请求时不能及时处理的问题。

本发明公开了一种WEB防御方法，在分布式系统中的每个WEB服务器上部署WEB防御模块；独立于每个WEB服务器部署规则服务器，在所述规则服务器上维护规则表和危险IP列表；其中，所述规则表配置有检测WEB请求是否为危险请求的规则，以及对触发规则的WEB请求做出的响应；所述危险IP列表包括一定数量的触发规则次数达到预设阀值的WEB请求的IP；该方法包括：

所述WEB防御模块在启动时，从所述规则服务器中获取所述规则表和所述危险IP列表；

获取WEB服务器解析超文本传输协议http数据包得到的WEB请求；

判断所述WEB请求的IP是否在所述危险IP列表中；

如果在，拒绝为所述WEB请求建立连接；

如果不在，则继续依据所述规则表判断所述WEB请求是否为危险请求；

如果是，依据所述规则表对所述WEB请求做出响应，并将触发规则的所述WEB请求的信息提交给所述规则服务器以更新所述危险IP列表中；

如果不是，将所述WEB请求转交给所述WEB服务器的其他模块处理。

可选的，所述WEB防御模块周期性地从所述规则服务器中获取所述规则表和所述危险IP列表；以及，

当所述规则表或所述危险IP列表有更新时，接收所述规则服务器下发的更新后的规则表或危险IP列表。

可选的，独立于所述规则服务器部署监控服务器，所述监控服务器用于向所述规则服务器下发新的规则以更新所述规则表；该方法还包括：所述WEB防御模块接收所述监控服务器的WEB查询请求，并根据所述WEB查询请求将自身的运行状态上报给所述监控服务器。

依据本发明的另一方面，提供了一种WEB防御方法，在分布式系统中的每个WEB服务器上部署WEB防御模块；独立于每个WEB服务器部署规则服务器，在所述规则服务器上维护规则表和危险IP列表；该方法包括：

所述规则服务器接收检测WEB请求是否为危险请求的规则，以及对触发规则的WEB请求做出的响应的配置信息；

根据所述规则和响应的配置信息建立或更新所述规则表；

接收所述WEB防御模块提交的触发所述规则表中规则的WEB请求的信息；

依据触发规则的所述WEB请求的信息做哈希表，哈希表的键包括所述WEB请求的IP，对应的值为该IP的触发次数，其中，每触发规则一次，则触发次数加一；

从所述哈希表中获取一定数量的触发次数达到预设阀值的WEB请求的IP建立或更新所述危险IP列表；

在所述WEB防御模块启动时，发送所述规则表和所述危险IP列表到所述WEB防御模块，使得所述WEB防御模块根据所述规则表和所述危险IP列表对WEB请求进行防御。

可选的，当所述规则表或所述危险IP列表有更新时，下发更新后的规则表或危险IP列表到所述WEB防御模块；以及，根据所述WEB防御模块周期性发送的获取请求，将所述规则表和所述危险IP列表发送到所述WEB防御模块。

可选的，独立于所述规则服务器部署监控服务器，所述监控服务器用于向所述规则服务器下发新的规则以更新所述规则表；该方法还包括：所述规则服务器接收所述监控服务器的WEB查询请求，并根据所述WEB查询请求将所述规则表和所述危险IP列表上报给所述监控服务器。