网络安全监控方法、装置及云端WEB应用防火墙与流程

本发明涉及网络安全技术领域，尤其涉及一种网络安全监控方法、装置及云端WEB应用防火墙。

背景技术：

随着网络技术的不断发展，如电子商务、网上银行、电子政务的盛行，WEB服务器承载的业务价值越来越高，WEB服务器所面临的安全威胁也随之增大。因此，针对WEB应用层的防御成为必然趋势，WAF(Web Application Firewall，WEB应用防火墙)也越来越受到人们的关注。

目前，现有的WAF一般为具有物理形态的实体硬件设备，所采取的安全防护方案主要是反向代理模式和端口镜像模式。

在实现本发明过程中，发明人发现现有技术中至少存在以下缺陷：

反向代理模式需要对网络进行改动，配置相对复杂，除了要配置WAF设备自身的地址和路由外，还需要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系。另外如果原来服务器地址就是全局地址的话(没经过NAT转换)那么通常还需要改变原有服务器的IP地址以及改变原有服务器的DNS解析地址。而且采用该模式，流量在经过反向代理服务器时，WAF规则会进行比对、阻拦，对业务网站体验性和性能造都会造成影响。

端口镜像模式，虽然不需要对网络进行改动，但是该模式下各机房流量采集都需要添加设备，硬件设备部署成本高。

技术实现要素：

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的网络安全监控方法、装置及云端WEB应用防火墙。

本发明的一个方面，提供了一种网络安全监控方法，包括：

在WEB服务器端配置WEB应用防火墙客户端；

通过所述WEB应用防火墙客户端抓取在线请求数据包，获得流量数据；

以及，将所述流量数据进行复制，并将复制得到的流量数据发送到云端WEB应用防火墙，以供所述云端WEB应用防火墙根据预设请求数据裁决规则对所述流量数据进行异常检测，并在监控到的所述流量数据存在异常时，返回相应告警提示。

可选地，所述通过所述WEB应用防火墙客户端抓取在线请求数据包，获得流量数据包括：

通过所述WEB应用防火墙客户端采用tcpcopy工具抓取在线请求数据包，获得流量数据。

可选地，所述采用tcpcopy工具抓取在线请求数据包包括：

根据所述WEB应用防火墙客户端的配置信息确定指定网络接口，或，检测当前可用的网络接口，并将检测到的网络接口作为指定网络接口；

采用tcpcopy工具抓取经过所述指定网络接口的在线请求数据包。

可选地，在所述检测当前可用的网络接口，并将检测到的网络接口作为指定网络接口之前，所述方法还包括：

获取所述WEB服务器的root权限；

在所述root权限下，执行所述检测当前可用的网络接口的步骤。

可选地，所述抓取在线请求数据包，包括：

抓取数据链路层的在线请求数据包，或抓取网络层的在线请求数据包。

可选地，所述方法还包括：

截获云端WEB应用防火墙根据所述在线请求数据包返回的响应数据；

根据预设响应数据裁决规则对所述响应数据进行异常检测，并在监控到所述响应数据存在异常时，生成相应告警提示。

可选地，所述截获云端WEB应用防火墙根据所述在线请求数据包返回的响应数据包括：

采用intercept拦截器截获云端WEB应用防火墙根据所述在线请求数据包返回的响应数据。

可选地，所述方法还包括：

提取所述响应数据的ip首部，根据异常检测结果将异常的响应数据的ip首部生成ip黑名单，和/或，根据异常检测结果将非异常的响应数据的ip首部生成ip白名单。

可选地，所述方法还包括：

对所述预设响应数据裁决规则进行更新。

本发明的另一个方面，提供了一种网络安全监控方法，包括:

接收WEB应用防火墙客户端上传的流量数据，所述WEB应用防火墙客户端配置在WEB服务器端；

根据预设请求数据裁决规则对所述流量数据进行异常检测，并在监控到所述流量数据存在异常时，返回相应告警提示。

可选地，所述根据预设请求数据裁决规则对所述流量数据进行异常检测，包括：

监控所述流量数据对应的web访问日志；

根据预设请求数据裁决规则检测所述web访问日志中是否存在特定的攻击特征，如存在则确定所述流量数据存在异常。

可选地，在所述确定所述流量数据存在异常之后，所述方法还包括：

标记所述web访问日志中携带的攻击特征类型；

采用事件溯源ES模式定位所述web访问日志中携带的攻击特征的来源。

可选地，所述方法还包括：

对所述预设请求数据裁决规则进行更新。

本发明的另一个方面，提供了一种网络安全监控装置，包括：

配置模块，适于在WEB服务器端配置WEB应用防火墙客户端；

流量监控模块，适于通过所述WEB应用防火墙客户端抓取在线请求数据包，获得流量数据；以及，将所述流量数据进行复制，并将复制得到的流量数据发送到云端WEB应用防火墙，以供所述云端WEB应用防火墙根据预设请求数据裁决规则对所述流量数据进行异常检测，并在监控到的所述流量数据存在异常时，返回相应告警提示。

可选地，所述流量监控模块，具体适于通过所述WEB应用防火墙客户端采用tcpcopy工具抓取在线请求数据包，获得流量数据。

可选地，所述流量监控模块，包括：

确定单元，适于根据所述WEB应用防火墙客户端的配置信息确定指定网络接口，或，检测当前可用的网络接口，并将检测到的网络接口作为指定网络接口；

抓包单元，适于采用tcpcopy工具抓取经过所述指定网络接口的在线请求数据包。

可选地，所述装置还包括：

权限获取模块，适于在所述检测当前可用的网络接口，并将检测到的网络接口作为指定网络接口之前，获取所述WEB服务器的root权限；

所述确定单元，具体适于在所述root权限下，执行所述检测当前可用的网络接口的操作。

可选地，所述流量监控模块，具体适于抓取数据链路层的在线请求数据包，或抓取网络层的在线请求数据包。

可选地，所述装置还包括：

截获模块，适于截获云端WEB应用防火墙根据所述在线请求数据包返回的响应数据；

检测模块，适于根据预设响应数据裁决规则对所述响应数据进行异常检测，并在监控到所述响应数据存在异常时，生成相应告警提示。

可选地，所述截获模块，具体适于采用intercept拦截器截获云端WEB应用防火墙根据所述在线请求数据包返回的响应数据。

可选地，所述装置还包括：

生成模块，适于提取所述响应数据的ip首部，根据异常检测结果将异常的响应数据的ip首部生成ip黑名单，和/或，根据异常检测结果将非异常的响应数据的ip首部生成ip白名单。

可选地，所述装置还包括：

第一更新模块，适于对所述预设响应数据裁决规则进行更新。

本发明的另一个方面，提供了一种云端WEB应用防火墙，包括：

接收模块，适于接收WEB应用防火墙客户端上传的流量数据，所述WEB应用防火墙客户端配置在WEB服务器端；

异常检测模块，适于根据预设请求数据裁决规则对所述流量数据进行异常检测，并在监控到所述流量数据存在异常时，返回相应告警提示。

可选地，所述异常检测模块，包括：

监控单元，适于监控所述流量数据对应的web访问日志；

检测单元，适于根据预设请求数据裁决规则检测所述web访问日志中是否存在特定的攻击特征；

判定单元，适于当所述检测单元的检测结果为所述web访问日志中存在特定的攻击特征时，确定所述流量数据存在异常。

可选地，所述云端WEB应用防火墙还包括：

标记模块，适于在所述确定所述流量数据存在异常之后，标记所述web访问日志中携带的攻击特征类型；

定位模块，适于采用事件溯源ES模式定位所述web访问日志中携带的攻击特征的来源。

可选地，所述云端WEB应用防火墙还包括：

第二更新模块，适于对所述预设请求数据裁决规则进行更新。

本发明实施例提供的网络安全监控方法、装置及云端WEB应用防火墙，通过在WEB服务器端配置WEB应用防火墙客户端，以实现在线请求数据包的抓取及复制，并将复制得到的流量数据发送到云端WEB应用防火墙，以供云端WEB应用防火墙实现对流量数据进行异常检测，并在流量数据存在异常时，返回相应告警提示。本发明实施例在流量采集过程中无需添加硬件设备，设备部署成本低、运维方便，而且业务无感知、灵活配置，不会影响WEB服务器的性能以及用户业务体验。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本发明一个实施例的一种网络安全监控方法的流程图；

图2示出了根据本发明实施例的一种网络安全监控方法中步骤S12的细分流程图；

图3示出了根据本发明另一实施例的一种网络安全监控方法的流程图；

图4示出了根据本发明另一实施例的一种网络安全监控方法的流程图；

图5示出了根据本发明实施例的一种网络安全监控方法中步骤S22的细分流程图；

图6示出了根据本发明一个实施例的一种网络安全监控方法装置的结构示意图；

图7示出了根据本发明另一实施例的一种云端WEB应用防火墙的结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)，具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语，应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非被特定定义，否则不会用理想化或过于正式的含义来解释。

图1示意性示出了本发明一个实施例的网络安全监控方法的流程图。参照图1，本发明实施例的网络安全监控方法具体包括以下步骤：

步骤S11、在WEB服务器端配置WEB应用防火墙客户端。

步骤S12、通过所述WEB应用防火墙客户端抓取在线请求数据包，获得流量数据；以及

步骤S13、将所述流量数据进行复制，并将复制得到的流量数据发送到云端WEB应用防火墙，以供所述云端WEB应用防火墙根据预设请求数据裁决规则对所述流量数据进行异常检测，并在监控到的所述流量数据存在异常时，返回相应告警提示。

本发明实施例中，采用请求复制工具tcpcopy架构实现流量数据的抓取和复制。其中tcpcopy是TCP流的回放工具支持Internet服务器应用程序测试。采用Tcpcopy进行流量数据的抓取和复制，进而不会影响WEB服务器的性能以及用户业务体验。

本发明实施例中，WEB应用防火墙客户端基于底层数据包的请求复制，抓取在线请求数据包，以获得流量数据，使得云端WEB应用防火墙从底层数据包的角度去做流量数据的复制。

本发明实施例，通过直接在WEB服务器端安装配置WEB应用防火墙客户端，通过该WEB应用防火墙客户端添加配置，实现利用内核将请求数据包镜像到云端WEB应用防火墙做流量分析，实现异常流量数据的监控并在流量数据存在异常时，返回相应告警提示。进而避免通过在交换机或路由器上部署硬件设备，以将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听方式中存在的硬件设备部署成本高，运维难度大等问题。

本发明实施例提供的网络安全监控方法，通过在WEB服务器端配置WEB应用防火墙客户端，以实现在线请求数据包的抓取及复制，并将复制得到的流量数据发送到云端WEB应用防火墙，以供云端WEB应用防火墙实现对流量数据进行异常检测，并在流量数据存在异常时，返回相应告警提示。本发明实施例在流量采集过程中无需添加硬件设备，设备部署成本低、运维方便，而且业务无感知、灵活配置，不会影响WEB服务器的性能以及用户业务体验。

在本发明的一个可选实施例中，步骤S12中的通过所述WEB应用防火墙客户端抓取在线请求数据包，获得流量数据，进一步包括以下步骤：通过所述WEB应用防火墙客户端采用tcpcopy工具抓取在线请求数据包，获得流量数据。

其中，所述抓取在线请求数据包，具体包括抓取数据链路层的在线请求数据包，或抓取网络层的在线请求数据包。本实施例中，通过采用tcpcopy工具抓取从数据链路层抓取在线请求数据包，或从网络层抓取在线请求数据包，实现底层数据包的抓取。

需要说明的是，tcpcopy工具采用pcap接口实现数据链路层在线请求数据包的抓取。其中，pcap抓包库给抓包系统提供了一个高层次的接口。所有网络上的请求数据包，甚至是那些发送给其他主机的，均可以通过这种机制进行数据包的捕获。当采用tcpcopy工具抓取在线请求数据包获得流量数据之后，本发明实施例，还可以把抓取到的数据包保存为本地文件，并支持从本地文件读取数据包信息。

本发明实施例中，步骤S12中的采用tcpcopy工具抓取在线请求数据包，如图2所示，具体包括以下步骤：

步骤S121、根据所述WEB应用防火墙客户端的配置信息确定指定网络接口，或，检测当前可用的网络接口，并将检测到的网络接口作为指定网络接口。

其中，指定网络接口称之为“镜像端口”或“目的端口”，在不严重影响源端口正常吞吐流量的情况下，可以通过镜像端口对网络的流量进行监控分析。

在实际应用中，用户可以通过对WEB应用防火墙客户端进行配置，使得WEB应用防火墙客户端根据配置信息确定指定网络接口，也可以通过程序检测当前可用的网络接口，并将检测到的网络接口作为指定网络接口。

需要说明的是，由于通过程序检测当前可用的网络接口涉及底层的系统调用，所以需要获取操作系统的root权限，否则系统会检测不到网络接口。为此，本发明实施例，在所述检测当前可用的网络接口，并将检测到的网络接口作为指定网络接口之前，还包括以下附图中未示出的步骤：

步骤A1、获取所述WEB服务器的root权限；

进一步地，通过步骤A1获取WEB服务器的root权限后，在所述root权限下，执行所述检测当前可用的网络接口的步骤，进而准确地检测到系统当前可用的所有网络接口。

可理解的，本实施例中获取所述WEB服务器的root权限的具体实现可参见本领域现有技术手段实现，本发明对此不做具体说明。

步骤S122、采用tcpcopy工具抓取经过所述指定网络接口的在线请求数据包。

本实施例中，在确定了指定网络接口之后，到采用tcpcopy工具从数据链路层或网络层抓取经过所述指定网络接口的在线请求数据包。

在一个具体实施中，tcpcopy工具可以采用pcap抓包机制从数据链路层抓请求数据包，发包是从IP层发出去，进而避免类似ip queue或者nfqueue的干扰，响应包会直接返回给客户端(通过设置路由)，tcpcopy可以在数据链路层捕获到这些响应包，这些响应包会到达IP层，一般最终被丢弃掉。本实施例，对业务的网站体验性和误杀不会受影响，对服务器几乎没有任何性能干扰，而且可扩展性更强，适合高并发场合。

在一个具体实施中，tcpcopy还可以从默认IP层抓包，从IP层发包，与上述架构不同的是，这种架构需要在服务器端进行响应包的截获，并通过截获工具intercept程序返回响应包的必要信息给tcpcopy。进而可以通过verdict告诉内核，该如何处理这些响应包，如果没有设置白名单的话，就会在IP层丢弃掉这些响应包。这种结构，能够支持复制多台在线流量到一台测试服务器中去，通过在intercept保留路由信息，知道响应包的相关信息该如何返回给哪一个tcpcopy实例。

在本发明的一个可选实施例中，如图3所示，在上述任一实施例的基础上所述方法还包括以下步骤：

步骤S14、截获云端WEB应用防火墙根据所述在线请求数据包返回的响应数据。

本发明实施例中，步骤S14中的截获云端WEB应用防火墙根据所述在线请求数据包返回的响应数据具体包括以下步骤：采用intercept拦截器截获云端WEB应用防火墙根据所述在线请求数据包返回的响应数据。

步骤S15、根据预设响应数据裁决规则对所述响应数据进行异常检测，并在监控到所述响应数据存在异常时，生成相应告警提示。

本发明实施例，通过截获工具intercept程序返回响应包的必要信息给tcpcopy。并使得客户端通过根据预设响应数据裁决规则对所述响应数据进行异常检测，并在监控到所述响应数据存在异常时，生成相应告警提示。

在一个具体示例中，当客户端发出HTTP 101.198.156.238网站请求时，流量数据对应的web访问日志已经到了101.198.156.169WAF集群了，具体如下：

客户端：

client 101.198.156.238

./tcpcopy-x 80-10.0.77.3:80-s 10.0.77.3

云WAF端：

server 101.198.156.169

./intercept-i eth0-F tcp and src port 80-d

为了实现后续对在线请求数据包的过滤，进而实现对恶意访问的拦截，本发明实施例中还包括以下步骤：提取所述响应数据的ip首部，根据异常检测结果将异常的响应数据的ip首部生成ip黑名单，和/或，根据异常检测结果将非异常的响应数据的ip首部生成ip白名单，以根据ip黑名单或ip白名单实现后续对在线请求数据包的过滤拦截。

进一步地，本发明实施例中所述方法还包括步骤：对所述预设响应数据裁决规则进行更新。本发明实施例通过定期对所述预设响应数据裁决规则进行更新，能够有效地保证响应数据异常检测结果的准确性，更加准确地实现网络安全监控。

图4示意性示出了本发明另一个实施例的网络安全监控方法的流程图。本实施例提供的网络安全监控方法被配置在云端WEB应用防火墙中。参照图4，本发明实施例的网络安全监控方法具体包括以下步骤：

步骤S21、接收WEB应用防火墙客户端上传的流量数据，所述WEB应用防火墙客户端配置在WEB服务器端。

本发明实施例中，云端WEB应用防火墙通过接收WEB应用防火墙客户端通过采用tcpcopy工具抓取并复制的在线请求数据包，实现对WEB服务器实时访问数据流量的监控。

步骤S22、根据预设请求数据裁决规则对所述流量数据进行异常检测，并在监控到所述流量数据存在异常时，返回相应告警提示。

本实施例中，通过在WEB服务器端配置WEB应用防火墙客户端，以实现在线请求数据包的抓取及复制，并将复制得到的流量数据发送到云端WEB应用防火墙，云端WEB应用防火墙实现对流量数据进行异常检测，并在流量数据存在异常时，返回相应告警提示。

本发明实施例提供的网络安全监控方法，在流量采集过程中无需添加硬件设备，设备部署成本低、运维方便，而且业务无感知、灵活配置，不会影响WEB服务器的性能以及用户业务体验。

在本发明的一个可选实施例中，如图5所示，步骤S22中的根据预设请求数据裁决规则对所述流量数据进行异常检测，具体包括以下步骤：

步骤S221、监控所述流量数据对应的web访问日志；

步骤S222、根据预设请求数据裁决规则检测所述web访问日志中是否存在特定的攻击特征，如web访问日志中存在特定的攻击特征，则确定所述流量数据存在异常。

进一步地，在所述确定所述流量数据存在异常之后，所述方法还包括以下步骤：

标记所述web访问日志中携带的攻击特征类型；

采用事件溯源ES模式定位所述web访问日志中携带的攻击特征的来源。

本实施例中，当数据包转发到云端WEB应用防火墙之后，云端WEB应用防火墙根据预设请求数据裁决规则(即naxsi WAF规则)检测所述web访问日志中是否存在特定的攻击特征，如存在则标记所述web访问日志中携带的攻击特征类型，并将web访问日志中丢到事件溯源ES处理，采用事件溯源ES处理攻击(被成功SQL注入，GETSHLL成功)定位所述web访问日志中携带的攻击特征的来源，并告警管理员。

在本发明的一个可选实施例中，所述方法还包括：对所述预设请求数据裁决规则进行更新。本发明实施例通过定期对所述预设请求数据裁决规则进行更新，能够有效地保证请求数据包异常检测结果的准确性，更加准确地实现网络安全监控。

对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。

图6示意性示出了本发明一个实施例的网络安全监控装置的结构示意图。

参照图6，本发明实施例的网络安全监控装置具体包括配置模块601和流量监控模块602，其中：

所述的配置模块601，适于在WEB服务器端配置WEB应用防火墙客户端；

所述的流量监控模块602，适于通过所述WEB应用防火墙客户端抓取在线请求数据包，获得流量数据；以及，将所述流量数据进行复制，并将复制得到的流量数据发送到云端WEB应用防火墙，以供所述云端WEB应用防火墙根据预设请求数据裁决规则对所述流量数据进行异常检测，并在监控到的所述流量数据存在异常时，返回相应告警提示。

本发明实施例提供的网络安全监控装置，通过配置模块601在WEB服务器端配置WEB应用防火墙客户端，流量监控模块602以通过所述WEB应用防火墙客户端实现在线请求数据包的抓取及复制，并将复制得到的流量数据发送到云端WEB应用防火墙，以供云端WEB应用防火墙实现对流量数据进行异常检测，并在流量数据存在异常时，返回相应告警提示。本发明实施例在流量采集过程中无需添加硬件设备，设备部署成本低、运维方便，而且业务无感知、灵活配置，不会影响WEB服务器的性能以及用户业务体验。

在本发明的一个可选实施例中，所述流量监控模块602，具体适于通过所述WEB应用防火墙客户端采用tcpcopy工具抓取在线请求数据包，获得流量数据。

在本发明的一个可选实施例中，所述流量监控模块602，包括确定单元和抓包单元，其中：

所述的确定单元，适于根据所述WEB应用防火墙客户端的配置信息确定指定网络接口，或，检测当前可用的网络接口，并将检测到的网络接口作为指定网络接口；

所述的抓包单元，适于采用tcpcopy工具抓取经过所述指定网络接口的在线请求数据包。

在本发明的一个可选实施例中，所述装置还包括附图中未示出的权限获取模块，所述的权限获取模块，适于在所述检测当前可用的网络接口，并将检测到的网络接口作为指定网络接口之前，获取所述WEB服务器的root权限；

本实施例中，所述确定单元，具体适于在所述root权限下，执行所述检测当前可用的网络接口的操作。

在本发明的一个可选实施例中，所述流量监控模块602，具体适于抓取数据链路层的在线请求数据包，或抓取网络层的在线请求数据包。

在本发明的一个可选实施例中，所述装置还包括附图中未示出的截获模块和检测模块，其中：

所述的截获模块，适于截获云端WEB应用防火墙根据所述在线请求数据包返回的响应数据；

所述的检测模块，适于根据预设响应数据裁决规则对所述响应数据进行异常检测，并在监控到所述响应数据存在异常时，生成相应告警提示。

在本发明的一个可选实施例中，所述截获模块，具体适于采用intercept拦截器截获云端WEB应用防火墙根据所述在线请求数据包返回的响应数据。

在本发明的一个可选实施例中，所述装置还包括附图中未示出的生成模块，该生成模块，适于提取所述响应数据的ip首部，根据异常检测结果将异常的响应数据的ip首部生成ip黑名单，和/或，根据异常检测结果将非异常的响应数据的ip首部生成ip白名单。

在本发明的一个可选实施例中，所述装置还包括附图中未示出的第一更新模块，该第一更新模块，适于对所述预设响应数据裁决规则进行更新。本发明实施例中，通过第一更新模块定期对所述预设响应数据裁决规则进行更新，能够有效地保证响应数据异常检测结果的准确性，更加准确地实现网络安全监控。

图7示意性示出了本发明一个实施例的云端WEB应用防火墙的结构示意图。

参照图7，本发明实施例的云端WEB应用防火墙具体包括接收模块701和异常检测模块702，其中：

所述的接收模块701，适于接收WEB应用防火墙客户端上传的流量数据，所述WEB应用防火墙客户端配置在WEB服务器端；

所述的异常检测模块702，适于根据预设请求数据裁决规则对所述流量数据进行异常检测，并在监控到所述流量数据存在异常时，返回相应告警提示。

本发明实施例提供的云端WEB应用防火墙，云端WEB应用防火墙通过接收WEB应用防火墙客户端通过tcpcopy工具抓取并复制的在线请求数据包，实现对WEB服务器实时访问数据流量的监控。进而在流量采集过程中无需添加硬件设备，设备部署成本低、运维方便，而且业务无感知、灵活配置，不会影响WEB服务器的性能以及用户业务体验。

在本发明的一个可选实施例中，所述异常检测模块702，包括监控单元、检测单元和判定单元，其中：

所述的监控单元，适于监控所述流量数据对应的web访问日志；

所述的检测单元，适于根据预设请求数据裁决规则检测所述web访问日志中是否存在特定的攻击特征；

所述的判定单元，适于当所述检测单元的检测结果为所述web访问日志中存在特定的攻击特征时，确定所述流量数据存在异常。

在本发明的一个可选实施例中，所述云端WEB应用防火墙还包括附图中未示出的标记模块和定位模块，其中：

所述的标记模块，适于在所述确定所述流量数据存在异常之后，标记所述web访问日志中携带的攻击特征类型；

所述的定位模块，适于采用事件溯源ES模式定位所述web访问日志中携带的攻击特征的来源。

在本发明的一个可选实施例中，所述云端WEB应用防火墙还包括附图中未示出的第二更新模块，该第二更新模块，适于对所述预设请求数据裁决规则进行更新。本发明实施例中，通过第二更新模块定期对所述预设请求数据裁决规则进行更新，能够有效地保证请求数据包异常检测结果的准确性，更加准确地实现网络安全监控。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

此外，本发明另一实施例还提供了一种网络安全监控系统，包括如上任一实施例所述的网络安全监控装置以及云端WEB应用防火墙。该网络安全监控系统由于包括上述任意一种实施例中的网络安全监控装置以及云端WEB应用防火墙，因而可以解决同样的技术问题，并取得相同的技术效果。

本发明实施例提供的网络安全监控方法、装置及云端WEB应用防火墙，通过在WEB服务器端配置WEB应用防火墙客户端，以实现在线请求数据包的抓取及复制，并将复制得到的流量数据发送到云端WEB应用防火墙，以供云端WEB应用防火墙实现对流量数据进行异常检测，并在流量数据存在异常时，返回相应告警提示。本发明实施例在流量采集过程中无需添加硬件设备，设备部署成本低、运维方便，而且业务无感知、灵活配置，不会影响WEB服务器的性能以及用户业务体验。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网关、代理服务器、系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

本发明提供下列技术方案：

A1、一种网络安全监控方法，包括:

在WEB服务器端配置WEB应用防火墙客户端；

通过所述WEB应用防火墙客户端抓取在线请求数据包，获得流量数据；

以及，将所述流量数据进行复制，并将复制得到的流量数据发送到云端WEB应用防火墙，以供所述云端WEB应用防火墙根据预设请求数据裁决规则对所述流量数据进行异常检测，并在监控到的所述流量数据存在异常时，返回相应告警提示。

A2、根据A1所述的方法，所述通过所述WEB应用防火墙客户端抓取在线请求数据包，获得流量数据包括：

通过所述WEB应用防火墙客户端采用tcpcopy工具抓取在线请求数据包，获得流量数据。

A3、根据A2所述的方法，所述采用tcpcopy工具抓取在线请求数据包包括：

根据所述WEB应用防火墙客户端的配置信息确定指定网络接口，或，检测当前可用的网络接口，并将检测到的网络接口作为指定网络接口；

采用tcpcopy工具抓取经过所述指定网络接口的在线请求数据包。

A4、根据A3所述的方法，在所述检测当前可用的网络接口，并将检测到的网络接口作为指定网络接口之前，所述方法还包括：

获取所述WEB服务器的root权限；

在所述root权限下，执行所述检测当前可用的网络接口的步骤。

A5、根据A1-A4任一项所述的方法，所述抓取在线请求数据包，包括：

抓取数据链路层的在线请求数据包，或抓取网络层的在线请求数据包。

A6、根据A1-A5任一项所述的方法，所述方法还包括：

截获云端WEB应用防火墙根据所述在线请求数据包返回的响应数据；

根据预设响应数据裁决规则对所述响应数据进行异常检测，并在监控到所述响应数据存在异常时，生成相应告警提示。

A7、根据A6所述的方法，所述截获云端WEB应用防火墙根据所述在线请求数据包返回的响应数据包括：

采用intercept拦截器截获云端WEB应用防火墙根据所述在线请求数据包返回的响应数据。

A8、根据A6或A7所述的方法，所述方法还包括：

提取所述响应数据的ip首部，根据异常检测结果将异常的响应数据的ip首部生成ip黑名单，和/或，根据异常检测结果将非异常的响应数据的ip首部生成ip白名单。

A9、根据A6-A8任一项所述的方法，所述方法还包括：

对所述预设响应数据裁决规则进行更新。

B10、一种网络安全监控方法，包括:

接收WEB应用防火墙客户端上传的流量数据，所述WEB应用防火墙客户端配置在WEB服务器端；

根据预设请求数据裁决规则对所述流量数据进行异常检测，并在监控到所述流量数据存在异常时，返回相应告警提示。

B11、根据B10所述的方法，所述根据预设请求数据裁决规则对所述流量数据进行异常检测，包括：

监控所述流量数据对应的web访问日志；

根据预设请求数据裁决规则检测所述web访问日志中是否存在特定的攻击特征，如存在则确定所述流量数据存在异常。

B12、根据B11所述的方法，在所述确定所述流量数据存在异常之后，所述方法还包括：

标记所述web访问日志中携带的攻击特征类型；

采用事件溯源ES模式定位所述web访问日志中携带的攻击特征的来源。

B13、根据B10-B12任一项所述的方法，所述方法还包括：

对所述预设请求数据裁决规则进行更新。

C14、一种网络安全监控装置，包括:

配置模块，适于在WEB服务器端配置WEB应用防火墙客户端；

流量监控模块，适于通过所述WEB应用防火墙客户端抓取在线请求数据包，获得流量数据；以及，将所述流量数据进行复制，并将复制得到的流量数据发送到云端WEB应用防火墙，以供所述云端WEB应用防火墙根据预设请求数据裁决规则对所述流量数据进行异常检测，并在监控到的所述流量数据存在异常时，返回相应告警提示。

C15、根据C14所述的装置，所述流量监控模块，具体适于通过所述WEB应用防火墙客户端采用tcpcopy工具抓取在线请求数据包，获得流量数据。

C16、根据C15所述的装置，所述流量监控模块，包括：

确定单元，适于根据所述WEB应用防火墙客户端的配置信息确定指定网络接口，或，检测当前可用的网络接口，并将检测到的网络接口作为指定网络接口；

抓包单元，适于采用tcpcopy工具抓取经过所述指定网络接口的在线请求数据包。

C17、根据C16所述的装置，所述装置还包括：

权限获取模块，适于在所述检测当前可用的网络接口，并将检测到的网络接口作为指定网络接口之前，获取所述WEB服务器的root权限；

所述确定单元，具体适于在所述root权限下，执行所述检测当前可用的网络接口的操作。

C18、根据C14-C17任一项所述的装置，所述流量监控模块，具体适于抓取数据链路层的在线请求数据包，或抓取网络层的在线请求数据包。

C19、根据C14-C18任一项所述的装置，所述装置还包括：

截获模块，适于截获云端WEB应用防火墙根据所述在线请求数据包返回的响应数据；

检测模块，适于根据预设响应数据裁决规则对所述响应数据进行异常检测，并在监控到所述响应数据存在异常时，生成相应告警提示。

C20、根据C19所述的装置，所述截获模块，具体适于采用intercept拦截器截获云端WEB应用防火墙根据所述在线请求数据包返回的响应数据。

C21、根据C19或C20所述的装置，所述装置还包括：

生成模块，适于提取所述响应数据的ip首部，根据异常检测结果将异常的响应数据的ip首部生成ip黑名单，和/或，根据异常检测结果将非异常的响应数据的ip首部生成ip白名单。

C22、根据C19-C21任一项所述的装置，所述装置还包括：

第一更新模块，适于对所述预设响应数据裁决规则进行更新。

D23、一种云端WEB应用防火墙，包括:

接收模块，适于接收WEB应用防火墙客户端上传的流量数据，所述WEB应用防火墙客户端配置在WEB服务器端；

异常检测模块，适于根据预设请求数据裁决规则对所述流量数据进行异常检测，并在监控到所述流量数据存在异常时，返回相应告警提示。

D24、根据D23所述的云端WEB应用防火墙，所述异常检测模块，包括：

监控单元，适于监控所述流量数据对应的web访问日志；

检测单元，适于根据预设请求数据裁决规则检测所述web访问日志中是否存在特定的攻击特征；

判定单元，适于当所述检测单元的检测结果为所述web访问日志中存在特定的攻击特征时，确定所述流量数据存在异常。

D25、根据D24所述的云端WEB应用防火墙，还包括：

标记模块，适于在所述确定所述流量数据存在异常之后，标记所述web访问日志中携带的攻击特征类型；

定位模块，适于采用事件溯源ES模式定位所述web访问日志中携带的攻击特征的来源。

D26、根据D23-D25任一项所述的云端WEB应用防火墙，还包括：

第二更新模块，适于对所述预设请求数据裁决规则进行更新。