一种防御网络攻击的方法与设备的制造方法
【技术领域】
[0001]本申请涉及计算机领域,尤其涉及一种防御网络攻击的技术。
【背景技术】
[0002]随着互联网的繁荣发展,黑客攻击也越发频繁,SQL (Structured QueryLanguage,结构化查询语言)注入、XSS攻击(Cross Site Scripting,跨站脚本攻击)、Cookie欺骗、恶意扫描、挂马等网络攻击行为越来越普遍。而且目前的各类网络攻击行为具有很强的迷惑性,它们模拟正常的访问特征向网站发起访问请求,并采取一些绕过策略,比如通过Unicode转码、BASE64编码等在注入语句中加入一些注释符等进行绕过。现有技术的检测机制很难识别诸如此类的网络攻击,目前的大部分WAF (Web App 1 i cat 1nFirewall,网站应用级入侵防护系统)相关产品采用如下的拦截检测机制:依靠所掌握的攻击类型总结出相应模式串形成规则库,对访问内容进行检测过滤;或者,依靠所掌握的攻击类型总结出相应特征码形成规则库,对访问内容进行检测过滤。
[0003]然而,现有技术普遍存在以下几个问题:(1)模式串规则库中的模式串具有局限性、固定性,容易被黑客试探出来并绕过模式串的检测;(2)特征码规则库中的特征码也具有局限性、固定性,黑客可以通过一些编码等逃避策略绕过特征码的检测,而且这种方式具有很大的误拦截性,影响用户体验;(3)网络攻击的手段、方法不断地在更新,使用模式串和特征码进行检测,就需要根据新型攻击方式做出相应的更新,并实时更新规则库,造成规则库越来越庞大,而且在遭受到新型攻击之后再更新规则库,无法做到主动防御和智能防御;(4)采用逐条遍历的方式进行检测匹配规则库,那么随着规则库变得越来越庞大,检测匹配的效率也会变得越来越低,导致页面访问速度变慢。
【发明内容】
[0004]本申请的一个目的是提供一种防御网络攻击的方法与设备。
[0005]根据本申请的一个方面,提供了一种防御网络攻击的方法,其中,该方法包括:
[0006]a扫描页面访问请求,以获得所述页面访问请求在规则因子库中对应的寻址信息;
[0007]b根据所述寻址信息与所述规则因子库建立对应的规则树,其中,所述规则树中的节点对应于根据所述寻址信息在所述规则因子库中读取的规则因子;
[0008]c根据所述节点所对应规则因子的因子相关信息确定所述规则树所对应的攻击决策?目息;
[0009]d根据所述攻击决策信息处理所述页面访问请求。
[0010]进一步地,所述步骤a包括:分别扫描页面访问请求中的多段请求信息,以获得所述页面访问请求在规则因子库中对应的寻址信息。
[0011]进一步地,所述步骤a包括:对页面访问请求中的多段请求信息分别从头至尾一次扫描,以获得所述页面访问请求在规则因子库中对应的寻址信息。
[0012]进一步地,所述请求信息包括以下至少任一项:所述页面访问请求中的统一资源标识符;所述页面访问请求中统一资源定位符所包含的参数信息;所述页面访问请求中的头部信息;所述页面访问请求中的主体部分。
[0013]进一步地,所述步骤c包括:根据所述节点所对应规则因子的因子相关信息,以及所述规则树的结构信息,确定所述规则树所对应的攻击决策信息。
[0014]进一步地,所述因子相关信息包括以下至少任一项:规则因子的类型信息;规则因子的匹配次数信息;规则因子的分值信息。
[0015]进一步地,所述步骤d包括:根据所述攻击决策信息及当前工作模式处理所述页面访问请求。
[0016]进一步地,所述步骤d包括:当所述当前工作模式为拦截模式,且所述攻击决策信息为攻击行为时,阻止所述页面访问请求并记录网络攻击信息;当所述当前工作模式为学习模式,且所述攻击决策信息为攻击行为时,响应所述页面访问请求并记录网络攻击信息。
[0017]根据本申请的另一个方面,提供了一种防御网络攻击的设备,其中,该设备包括:
[0018]第一装置,用于扫描页面访问请求,以获得所述页面访问请求在规则因子库中对应的寻址信息;
[0019]第二装置,用于根据所述寻址信息与所述规则因子库建立对应的规则树,其中,所述规则树中的节点对应于根据所述寻址信息在所述规则因子库中读取的规则因子;
[0020]第三装置,用于根据所述节点所对应规则因子的因子相关信息确定所述规则树所对应的攻击决策信息;
[0021]第四装置,用于根据所述攻击决策信息处理所述页面访问请求。
[0022]进一步地,所述第一装置用于:分别扫描页面访问请求中的多段请求信息,以获得所述页面访问请求在规则因子库中对应的寻址信息。
[0023]进一步地,所述第一装置用于:对页面访问请求中的多段请求信息分别从头至尾一次扫描,以获得所述页面访问请求在规则因子库中对应的寻址信息。
[0024]进一步地,所述请求信息包括以下至少任一项:所述页面访问请求中的统一资源标识符;所述页面访问请求中统一资源定位符所包含的参数信息;所述页面访问请求中的头部信息;所述页面访问请求中的主体部分。
[0025]进一步地,所述第三装置用于:根据所述节点所对应规则因子的因子相关信息,以及所述规则树的结构信息,确定所述规则树所对应的攻击决策信息。
[0026]进一步地,所述因子相关信息包括以下至少任一项:规则因子的类型信息;规则因子的匹配次数信息;规则因子的分值信息。
[0027]进一步地,所述第四装置用于:根据所述攻击决策信息及当前工作模式处理所述页面访问请求。
[0028]进一步地,所述第四装置用于:当所述当前工作模式为拦截模式,且所述攻击决策信息为攻击行为时,阻止所述页面访问请求并记录网络攻击信息;当所述当前工作模式为学习模式,且所述攻击决策信息为攻击行为时,响应所述页面访问请求并记录网络攻击信息。
[0029]与现有技术相比,本申请扫描页面访问请求,以获取所述页面访问请求在规则因子库中的寻址信息,根据所述寻址信息与所述规则因子库建立对应的规则树,然后根据所述规则树中的节点所对应规则因子的因子相关信息以及所述规则树的结构信息,确定所述规则树所对应的攻击决策信息,最后根据所述攻击决策信息处理所述页面访问请求。本申请所述规则因子库中的规则因子包括组成攻击语句的单词、标点等,不同于现有技术的规则库中的模式串和特征码,以少量规则因子的叠加效果替代了大量的模式串和特征码,避免频繁地更新规则因子库,而且能够做到主动防御新型攻击。所述寻址信息包括所述规则因子库中的规则因子的地址,以便快速高效地建立所述规则树。进一步地,所述页面访问请求包括多段请求信息,通过分别从头至尾一次扫描多段请求信息,提高扫描和匹配算法的效率。进一步地,根据所述攻击决策信息,分为拦截模式和学习模式两种情况处理所述页面访问请求,通过灵活的配置适应实际情况,提升用户体验。
【附图说明】
[0030]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
[0031]图1示出根据本申请一个方面的一种防御网络攻击的方法流程图;
[0032]图2示出根据本申请另一个方面的一种防御网络攻击的设备示意图;
[0033]图3示出根据本申请一个实施例的扫描页面访问请求的示意图;
[0034]图4示出根据本申请一个实施例的匹配算法与现有技术的效果对比示意图。
[0035]附图中相同或相似的附图标记代表相同或相似的部件。
【具体实施方式】
[0036]下面结合附图对本申请作进一步详细描述。
[0037]在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
[0038]内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)