模块;独立于每个 W邸服务器部署规则服务器,在所述规则服务器上维护规则表和危险IP列表。
[003引在步骤101中,为了更好的防御来自WEB的攻击,在分布式系统的每个WEB服务器 上都部署W邸防御模块。由于每个W邸服务器上的W邸防御模块相互独立,因此单个服务 器上的W邸防御模块出现若机不会影响该分布式系统中的其他W邸服务器上的W邸防御模 块的正常工作。
[0039] 此外,独立于每个W邸服务器部署规则服务器,在所述规则服务器上维护规则表 和危险IP列表;规则表中配置有检测W邸请求是否为危险请求的规则,W及对触发规则的 W邸请求做出的响应;所述危险IP列表包括一定数量的触发规则次数达到预设阀值的WEB 请求的IP。由于WEB防御模块与规则服务器是相互独立的,因此规则服务器的若机并不会 影响WEB防御模块的正常工作,WEB防御模块仍可W根据已有的规则表和危险IP列表对 W邸请求进行防御。
[0040] 步骤102,W邸防御模块在启动时,从所述规则服务器中获取所述规则表和所述危 险IP列表。
[0041] 在步骤102中,W邸防御模块是WW邸服务器模块的形式部署在各个W邸服务器 上的,因此可W通过肥B服务器加载配置文件的方式W激活该肥B防御模块。并且在肥B防御模块启动时,会向规则服务器发送获取请求,从规则服务器中获取规则表和危险IP列 表。
[0042]步骤103,获取肥B服务器解析ht化数据包得到的肥B请求。
[004引在步骤103中,肥B服务器在接收到ht化数据包时,对接收到的ht化数据包进行 解析,得到相应的WEB请求。并将该WEB请求发送给所述WEB防御模块;其中,对ht化数据 包进行解析能够得到对应的肥B请求中包括;U化地址、与IP对应的cookie,W及ht化头 等信息。
[0044]步骤104,判断所述肥B请求的IP是否在所述危险IP列表中;如果是则进行步骤 105,如果否则进行步骤106。
[004引在步骤104中,肥B防御模块对肥B服务器解析ht化数据包得到的肥B请求,根 据危险IP列表判断发送该W邸请求的IP是否在危险IP列表中。
[0046] 在本发明的一种具体实施例中,危险IP列表中保存有危险IPW及与该危险IP对 应的cookie。通过危险IP列表中的cookie能够区别出发起攻击的主机是该IP下的某个具 体主机,用于解决一个IP下具有多台主机,发起攻击的可能仅仅是其中一台主机的情况。
[0047] 步骤105,在判断发送该W邸请求的IP在危险IP列表中时,拒绝为所述W邸请求 建立连接。
[0048] 步骤106,在判断发送该W邸请求的IP不在危险IP列表中时,则继续依据规则表 判断所述WEB请求是否为危险请求。如果是进行步骤107,如果否进行步骤108。
[004引在步骤106中,WEB防御模块根据规则表对WEB请求进行判断,在检测到该WEB请 求中包含规则表中任意一条规则中的关键字时,则表明该W邸请求触发了该规则,即判断 该W邸请求为危险请求。
[0050] 步骤107,依据所述规则表对所述W邸请求做出响应,并将触发规则的所述W邸请 求的信息提交给所述规则服务器W更新所述IP列表中。
[0051] 在步骤107中,在判断W邸请求为危险请求之后,WEB防御模块依据与触发的规则 相对应的响应操作做出响应;举例为,如果对触发某规则的WEB请求的响应动作为拒绝,贝U 停止处理所述W邸请求,即不将该W邸请求转交给W邸服务器的其他模块处理;如果对触发 某规则的W邸请求的响应动作为记录日志,则将触发该规则的W邸请求记录到规则服务器 中的日志中。规则表中还包括其他响应操作,并且各响应操作可W同时进行,举例为,响应 操作为拒绝和记录日志,在此不一一赏述。
[0052] 步骤108,在判断该W邸请求不是危险请求时,将所述W邸请求转交给所述W邸服 务器的其他模块处理。
[0053] 在上述的步骤103中,W邸防御模块获取W邸服务器对http数据包进行解析后得 到的W邸请求。由于该W邸防御模式是部署在W邸服务器上的,对WEB层的解包只需要进 行一次,因此能够充分利用W邸服务器的资源,不需要额外的成本开销,即W邸防御模块不 需要对ht化数据包进行单独的解析,只需要对W邸服务器解析后的结果进行分析即可,因 此提高了对ht化数据包处理的效率。与现有技术相比,能够更加效率的处理W邸请求。
[0054] 在本发明的一种具体实施例中,为了能够更好地防御来自WEB的攻击,WEB防御模 块周期性地向规则服务器发送获取请求,从规则服务器中获取规则表和危险IP列表;即通 过设置W邸防御模块每隔一定周期从规则服务器中获取规则表和危险IP列表。W邸防御模 块依据新获取到的规则表和危险IP列表对WEB请求进行防御,同时根据新获取到的规则表 和危险IP列表对本地保存的规则表和危险IP列表进行更新。
[005引在本发明的其他实施例中,还可W在规则服务器中设置周期性地向每个WEB防御 模块下发规则表和危险IP列表。
[0056] 较佳的,为了能够更快、更及时地让WEB防御模块更新本地的规则表和危险IP列 表。在本发明中,当所述规则表或所述危险IP列表有更新时,规则服务器将更新后的规则 表或所述危险IP列表发送给WEB防御模块,即规则服务器中的规则表或者危险IP列表中 任意有更新时,立即将更新后的规则表或者危险IP列表下发给W邸防御模块。
[0057] 在上述实施例中,当有新的安全风险或者新的W邸攻击方式出现时,通过在规则 服务器中设置新的规则表,并及时下发给W邸防御模块,使得W邸防御模块对W邸攻击的防 御更加具有时效性。
[0058] 由上述可知,W邸防御模块能够周期性地从规则服务器中获取规则表和危险IP列 表,W及规则服务器及时地将更新后的规则表或所述危险IP列表发送给W邸防御模块,保 证W邸防御模能够及时地获取到最新的规则表和危险IP列表,实现对最新W邸攻击的防 御。
[0059] 在本发明的一种具体实施例中,独立于所述规则服务器部署监控服务器,监控服 务器用于向所述规则服务器下发新的规则W更新所述规则表。在本实施例中,监控服务器 可W跨网络进行部署,即监控服务器与规则服务器并不在同一个局域网内。在上述实施例 中,还可W通过监控服务器对规则服务器进行查看或配置。举例为:查看或配置规则服务器 上的规则表,查看或配置规则服务器上的危险IP列表。还可W通过监控服务器查看某段时 间内的保存的日志。
[0060] 在本发明的一种具体实施例中,为了能够更加直观地对WEB防御模块的运行状态 进行监控。W邸防御模块接收监控服务器的W邸查询请求,并根据所述W邸查询请求将自身 的运行状态上报给所述监控服务器。具体为,W邸防御模块接收跨网络部署的监控服务器 的发送的W邸查询请求,根据所述W邸查询请求将自身的运行状态上报给所述监控服务器。 举例为;监控服务器可WW肥B访问的方式查看肥B服务器上的肥B防御模块的运行状态, 查看郝条规则被触发的次数最多,查看有多少个IP发动攻击,W及IP所在的物理地址。
[0061] 由上可知,在本发明中,用户能够通过监控服务器及时地对规则服务器中的规则 表进行配置,还能实时查看W邸防御模块的运行状态,便于用户根据监控服务器的展示进 行实际的操作。
[0062] 图2是本发明实施例提供的另一种W邸防御方法的流程图,如图2所述,该方法包 括如下步骤:
[0063] 步骤201,在分布式系统中的每个W邸服务器上部署W邸防御模块;独立于每个 W邸服务器部署规则服务器,在所述规则服务器上维护规则表和危险IP列表。
[0064] 在步骤201中,部署WEB防御模块和规则服务器的方式同图1中的步骤101。
[0065] 步骤202,所述规则服务器接收检测W邸请求是否为危险请求的规则,W及对触发 规则的W邸请求做出的响应的配置信息。
[006引在步骤202中,所述配置信息可W是用户手动在规则服务器上配置,