一种网站安全防护的方法和装置与流程

本申请涉及网络通信技术领域，特别涉及一种网站安全防护的方法和装置。

背景技术：

随着社会信息化程度越来越高，网站处于互联网这样一个相对开放的环境中，各类网页应用系统的复杂性和多样性，导致网站的系统漏洞层出不穷，病毒木马和恶意代码网上肆虐，黑客入侵和篡改网站的安全事件时有发生。

技术实现要素：

有鉴于此，本申请提供一种网站安全防护方法和装置，应用于安全防护设备。

具体地，本申请是通过如下技术方案实现的：

一种网站安全防护的方法，应用于安全防护设备，包括：

周期性地对网站的保护子项进行漏洞扫描；

基于漏洞扫描结果，将所述保护子项划分为不同的分类；

基于与所述保护子项的分类对应的防护引擎，对所述保护子项进行防护；其中，不同分类的保护子项对应的防护引擎不同。

一种网站安全防护的装置，应用于安全防护设备，包括：

扫描单元，用于周期性地对网站的保护子项进行漏洞扫描；

划分单元，用于基于漏洞扫描结果，将所述保护子项划分为不同的分类；

防护单元，用于基于与所述保护子项的分类对应的防护引擎，对所述保护子项进行防护；其中，不同分类的保护子项对应的防护引擎不同。

由以上本申请提供的技术方案可见，通过周期性地对网站的保护子项进行漏洞扫描；基于漏洞扫描结果，将所述保护子项划分为不同的分类；基于与所述保护子项的分类对应的防护引擎，对所述保护子项进行防护；其中，不同分类的保护子项对应的防护引擎不同。

由于网站发生更新，保护子项的漏洞扫描结果通常也会发生改变，因而通过周期性地对网站的保护子项进行漏洞扫描，根据扫描结果，动态地对保护子项进行分类的划分，并采用相应的防护引擎对保护子项进行防护，可以更合理地对保护子项进行动态性的防护，更好地对网站进行防护。

附图说明

图1是本申请一示例性实施例示出的一种网站安全防护的方法流程图；

图2是本申请一示例性实施例示出的一种网站安全防护的装置的硬件结构图；

图3是本申请一示例性实施例示出的一种网站安全防护的装置。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在相关技术中，在对网站进行防护时，通常是通过定时探测网站的网页代码中存在的漏洞，然后根据探测到的漏洞的特征生成对应的防护规则，最后使用生成的防护规则对所述网站进行防护。

其中，在探测网站的网页代码是否存在漏洞时，通常可以通过汇总的多个检测方法一一对所述网页代码进行检测。

当检测到网站的网页代码存在漏洞时，会根据漏洞的特征自动生成相应的防护规则，并基于生成的防护规则构建虚拟补丁防护引擎，然后使用该虚拟补丁防护引擎对所述网站进行防护。

然而，以上方案虽然能够实现通过主动检测网站存在的漏洞，来自动生成相应的防护规则，对网站进行安全防护，但由于现有的主动扫描网页代码是否发生变化来判断网站内容是否发生变化的机制，并未考虑到网站内容发生变化的所有情况，有时网站内容发生变化并不会导致网页代码也发生变化。因此如果网站内容发生变化，导致引入新的漏洞，仅使用基于定时扫描到的漏洞自动生成的防护规则对网站进行安全防护，可能会存在网站在内容发生变化后，不能及时对网站进行防护的问题。

为了解决相关技术中存在的问题，本申请提供了一种网站安全防护的方法。通过周期性地对网站的保护子项进行漏洞扫描；基于漏洞扫描结果，将所述保护子项划分为不同的分类；基于与所述保护子项的分类对应的防护引擎，对所述保护子项进行防护；其中，不同分类的保护子项对应的防护引擎不同。

由于网站发生更新(比如网站的内容或者网页代码发生变化)，保护子项的漏洞扫描结果通常也会发生改变，因而通过周期性地对网站的保护子项进行漏洞扫描，根据漏洞扫描结果，动态地对保护子项进行分类，并针对不同的分类，分别采用不同的防护引擎对保护子项进行防护，可以更合理地对保护子项进行安全防护，以避免在现有技术中，仅使用与扫描到的漏洞自动生成的防护规则对网站进行安全防护，造成网站的内容发生变化但网页代码不发生变化时，无法及时对网站进行防护的问题。

请参见图1，图1为本申请一示例性实施例示出的一种网站安全防护的方法流程图，应用于安全防护设备，具体执行以下步骤：

步骤101：周期性地对网站的保护子项进行漏洞扫描；

步骤102：基于漏洞扫描结果，将所述保护子项划分为不同的分类；

步骤103：基于与所述保护子项的分类对应的防护引擎，对所述保护子项进行防护；其中，不同分类的保护子项对应的防护引擎不同。

其中，上述安全防护设备，可以是指对目标网站对应的服务器，进行安全防护的设备；例如，在实际应用中，该安全防护设备具体可以是用于对网站服务器进行安全防护的另一安全服务器。

上述保护子项，包括目标网站中可能会被黑客当作媒介来攻击网站的各种急需保护的网站项目；例如，可以是网页的各项参数，网页的内容，以及网页中的需要进行安全防护的代码段，等等。

在实现时，上述安全防护设备可以通过获取网站的保护子项以及每个保护子项的相关数据，生成一份存储了网站各个保护子项信息的数据表；其中，该数据表中的每一个条目分别对应一个保护子项。

在得到关于各个保护子项的数据表之后，安全防护设备内的分析程序可以对数据表中的每一个条目依次进行漏洞检测；其中，所述分析程序中可以包含多个检测方法，在实际应用中，可以采用上述多个检测方法中的每一个检测方法，依次对各个保护子项进行漏洞检测，以确定各个保护子项是否存在漏洞。

在本例中，通过分析程序对数据表中的各个保护子项进行完漏洞检测之后，会得到相应的检测结果，所述检测结果即为各个保护子项的漏洞情况。

其中，为了避免网站发生更新，导致保护子项的漏洞扫描结果改变的情况发生，在实际应用中，可以预先设定一个漏洞扫描周期，然后可以基于设定的该漏洞扫描周期定时地对网站的保护子项进行漏洞扫描。

另外，为了避免在现有技术中，仅使用与扫描到的漏洞自动生成的防护规则对网站进行安全防护，造成无法及时对网站进行防护的问题，在本例中，安全防护设备还可以根据漏洞扫描结果，动态地对保护子项进行分类，并针对不同的分类，分别采用不同的防护引擎对保护子项进行防护，从而可以更合理地对保护子项进行动态性的防护，实现更好地对网站进行安全防护。

在示出的一种实施方式中，安全防护设备得到各保护子项的漏洞扫描结果后，可以根据每个保护子项存在的漏洞情况，将各保护子项划分为不同的分类。

如果某一个保护子项被分析程序中的任一个检测方法检测到不符合要求，表明该保护子项存在漏洞，在这种情况下，可以将该存在漏洞的保护子项划分为有漏洞分类。

如果某一个保护子项被分析程序中的所有检测方法检测到符合要求，表明该保护子项不存在漏洞情况，在这种情况下，可以将该不存在漏洞情况的保护子项划分为无漏洞分类。

如果分析程序中的所有检测方法对某一个保护子项进行检测完后，无法确认该保护子项是否存在漏洞，在这种情况下，可以将该无法确认是否存在漏洞的保护子项划分为未知分类。

在示出的一种实施方式中，由于网站发生更新，保护子项的漏洞情况也会相应的发生变更。因此，还可以针对划分出的有漏洞分类和无漏洞分类的保护子项，分别设定预设的分类有效时长，在分类有效时长内，保护子项的分类情况不变，在分类有效时长外，动态更新保护子项的分类情况。

其中，为有漏洞分类和无漏洞分类的保护子项分别设定的分类有效时间可以相同，也可以不相同，但漏洞扫描的周期均大于为有漏洞分类和无漏洞分类的保护子项分别设定的分类有效时间。

在实现时，当保护子项被划分为有漏洞分类或者无漏洞分类后，在设定的分类有效时间内，被划分为有漏洞分类的保护子项一直被认定为有漏洞，被划分为无漏洞分类的保护子项一直被认定为无漏洞。

在此期间，被认定为有漏洞分类的保护子项的内容可能会发生更新(比如程序员手动修改)，因此，在下一个扫描周期，当发生更新的保护子项经过分析程序的检测之后，可能会被重新划分为无漏洞分类；相似的，之前被认定为无漏洞的保护子项，也可能因为发生变化，经过分析程序的检测之后，被划分为有漏洞分类。除此之外，同一保护子项在不同的应用中，漏洞情况也不完全一样，因此保护子项的漏洞分类不是固定不变的。

在示出的一种实施方式中，如果任一有漏洞分类或者无漏洞分类的保护子项的分类有效时长超时，则可以将该保护子项的分类切换为未知分类。

其中，由于所述扫描周期大于所述分类有效时长，如果任一有漏洞分类或者无漏洞分类的保护子项的分类有效时长超时被切换为未知分类后，在这种情况下，可以通过自动将该保护子项的分类切换为未知分类。

在本例中，当通过根据各保护子项的漏洞情况，将各保护子项划分为不同的分类之后，针对不同的分类，可以采用不同的防护引擎进行安全防护，从而可以弥补现有技术中仅使用与扫描到的漏洞自动生成的防护规则对网站进行安全防护，造成网站发生更新时，无法及时对网站进行防护的缺陷。

在示出的一种实施方式中，对于有漏洞分类的保护子项，可以通过虚拟补丁防护引擎来进行安全防护；对于无漏洞分类的保护子项，可以直接跳过网站安全防护引擎的处理；对于未知分类的保护子项，可以通过通用补丁防护引擎来进行安全防护。

在实现时，保护子项被划分为有漏洞分类之后，则可以基于预设的虚拟补丁防护引擎针对有漏洞分类的保护子项进行安全防护。其中，所述虚拟补丁防护引擎包括若干基于扫描到的保护子项的漏洞生成的虚拟补丁规则。

所述虚拟补丁规则的生成可以通过采用模拟黑客攻击的手段来进行。具体的实现方法可以是先将黑客攻击的各种手段所依据的网页检测方法汇总，所述网页检测方法比如可以是网页代码中是否对登录账号和密码的数据类型、字段长度等作校验。黑客攻击的各种手段所依据的网页检测方法汇总之后，可以用所述检测方法一一对网站的各个保护子项进行检测，为存在安全漏洞的保护子项生成防护规则。其中所述防护规则是用来定义正常或者异常的网站访问行为或者特征的一组数据。

采用虚拟补丁防护引擎针对有漏洞分类的保护子项进行安全防护时，通过按照所述防护规则对访问网站的请求进行解析，并得出与防护规则相关的解析结果，然后将该解析结果与防护规则进行比对，若违反防护规则，就拒绝所述请求，若不违反防护规则，就正常响应所述请求。

在实现时，保护子项被划分为无漏洞分类之后，则可以不采用任何安全防护引擎进行安全防护，可以直接跳过网站安全防护引擎的处理。

在实现时，保护子项被划分为未知分类之后，可以基于预设的通用补丁防护引擎针对未知分类的保护子项进行安全防护；其中，所述通用补丁防护引擎包括若干系统预配置的通用补丁规则。

所述通用补丁规则的预配置可以是系统从本地的已有补丁规则库中，获取针对常见漏洞的补丁规则，进行生成包括若干常见漏洞的补丁规则防护引擎，还可以是用户预配置的针对特定漏洞的防护规则。

其中，需要说明的是，所述通用补丁规则可以是基于扫描到的漏洞自动生成的虚拟补丁规则以外的规则。

最后，在按照所述通用补丁防护引擎对所述网站进行防护时，通过按照所述防护规则对访问网站的请求进行解析，并得出与防护规则相关的解析结果，然后将该解析结果与防护规则进行比对，若违反防护规则，就拒绝所述请求，若不违反防护规则，就正常响应所述请求。

由以上本申请提供的技术方案可见，通过周期性地对网站的保护子项进行漏洞扫描；基于漏洞扫描结果，将所述保护子项划分为不同的分类；基于与所述保护子项的分类对应的防护引擎，对所述保护子项进行防护；其中，不同分类的保护子项对应的防护引擎不同。

由于网站发生更新，保护子项的漏洞扫描结果通常也会发生改变，因而通过周期性地对网站的保护子项进行漏洞扫描，根据扫描结果，动态地对保护子项进行划分类的划分，并采用相应的防护引擎对保护子项进行防护，可以更合理地对保护子项进行动态性的防护，实现更好地对网站进行安全防护。

与前述一种网站安全防护的方法的实施例相对应，本申请还提供了一种网站安全防护的装置的实施例。

本申请一种网站安全防护的装置的实施例可以应用在安全防护设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在安全防护设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图2所示，为本申请一种网站安全防护的装置所在安全防护设备的一种硬件结构图，除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的安全防护设备通常根据该网站安全防护的实际功能，还可以包括其他硬件，对此不再赘述。

请参见图3，图3为本申请一示例性实施例示出的一种网站安全防护的装置，应用于安全防护设备，所述装置包括：扫描单元310，划分单元320，防护单元330，设定单元340。

其中，扫描单元310，用于周期性地对网站的保护子项进行漏洞扫描；

划分单元320，用于基于漏洞扫描结果，将所述保护子项划分为不同的分类；

防护单元330，用于基于与所述保护子项的分类对应的防护引擎，对所述保护子项进行防护；其中，不同分类的保护子项对应的防护引擎不同。

设定单元340，用于针对划分出的有漏洞分类和无漏洞分类的保护子项，分别设定预设的分类有效时长。

在本实施例中，所述划分单元310，具体应用于将存在漏洞的保护子项划分为有漏洞分类；将不存漏洞的保护子项划分为无漏洞分类；将无法确认是否存在漏洞的保护子项划分为未知分类。

所述防护单元330，具体用于基于预设的虚拟补丁防护引擎针对有漏洞分类的保护子项进行安全防护；其中，所述虚拟补丁防护引擎包括若干基于扫描到的保护子项的漏洞生成的虚拟补丁规则；基于预设的通用补丁防护引擎针对未知分类的保护子项进行安全防护；其中，所述通用补丁防护引擎包括若干系统预配置的通用补丁规则。

所述设定单元340，进一步用于当任一有漏洞分类或者无漏洞分类的保护子项的分类有效时长超时，则将该保护子项的分类切换为未知分类。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。