也可W是通 过监控服务器进行配置。即规则服务器接收用户手动输入的配置信息,或者规则服务器接 收用户通过监控服务器发送的配置信息。
[0067] 步骤203,根据规则和响应的配置信息建立或更新规则表。
[0068] 在步骤202中,将接收的配置信息Wxml格式存储为规则表。如下是本发明的一 种xml格式的规则表的示例。
[0070] 该示例表示与W邸请求匹配的防注入规则,模式为拦截和记录日志。当W邸请求 中包含此处的任何一个关键字时,就触发了本规则。
[0071] 步骤204,接收W邸防御模块提交的触发所述规则表中规则的W邸请求的信息。 [007引在步骤204中,在WEB防御模块检测到有WEB请求触发了规则表中规则时,将该触 发了规则的W邸请求的信息发送给规则服务器。
[0073] 步骤205,依据触发规则的所述W邸请求的信息做哈希表,哈希表的键包括所述 WEB请求的IP,对应的值为该IP的触发次数,其中,每触发规则一次,则触发次数加一;
[0074] 在步骤205中,规则表依据触发规则的W邸请求的信息做哈希表;其中,将规则服 务器W发送该W邸请求的IP和cookie做哈希为键,该IP触发的规则的触发次数为值的键 值对,保存到缓存或者数据库中的哈希表中。其中,每触发规则一次,该哈希表中的对应的 值加一。
[00巧]步骤206,从所述哈希表中获取触发次数达到预设阀值的W邸请求的IP建立或更 新危险IP列表。
[0076] 在步骤206中,当触发次数的值达到预设的阀值时,将该触发次数对应的IP和 cookie加载到危险IP列表中,即实现对危险IP列表的更新。
[0077] 步骤207,在W邸防御模块启动时,发送规则表和危险IP列表到WEB防御模块,使 得W邸防御模块根据规则表和危险IP列表对W邸请求进行防御。
[007引在本发明的一种实施例中,为了保证W邸防御模块的时效性,采用触发更新方式, 即当规则表或危险IP列表有更新时,规则服务器会直接下发更新后的规则表或危险IP列 表到各个W邸防御模块。
[0079] 在本发明的一种实施例中,规则服务器还可W根据WEB防御模块周期性发送的获 取请求,将规则表和危险IP列表发送到W邸防御模块。
[0080] 在本发明的一种具体实施例中,独立于规则服务器部署监控服务器;其中,监控服 务器用于向规则服务器下发新的规则W更新规则表。规则服务器接收监控服务器发送的 WEB查询请求,根据该WEB查询请求将本地的规则表和危险IP列表上报给监控服务器。即 在本实施例中,监控服务器WWEB的方式访问规则服务器,查看该规则服务器上的规则表 和危险IP列表,还可W对规则服务器列表中的规则表进行配置,举例为:增加或修改其中 的规则。
[0081] 本发明还公开了一种WEB防御系统,图3是本发明中一种WEB防御系统的结构示 意图。如图3所示,该系统包括:至少一个W邸防御模块301、规则服务器302。其中,WEB 防御模块301部署在分布式系统中的每个W邸服务器304上,所述规则服务器302独立于 每个W邸服务器304部署,在规则服务器302上维护规则表和危险IP列表。
[008引肥B防御模块301,用于在启动时从规则服务器302中获取规则表和危险IP列表; 对W邸服务器解析http数据包得到的W邸请求,判断所述W邸请求的IP是否在所述危险 IP列表中;如果在,拒绝为所述W邸请求建立连接;如果不在,则继续依据所述规则表判断 所述W邸请求是否为危险请求;如果是,依据所述规则表对所述W邸请求做出响应,并将触 发规则的所述W邸请求的信息提交给所述规则服务器W更新危险IP列表;如果不是,将所 述W邸请求转交给所述W邸服务器的其他模块处理。
[0083] 规则服务器302,用于接收检测W邸请求是否为危险请求的规则,W及对触发规则 的W邸请求做出的响应的配置信息,根据所述规则和响应的信息建立或更新所述规则表; 根据W邸防御模块301提交的触发规则的W邸请求的信息做哈希表,哈希表的键包括所述 WEB请求的IP,对应的值为该IP的触发次数,其中,每触发规则一次,则触发次数加一;从所 述哈希表中获取一定数量的触发次数达到预设阀值的W邸请求的IP建立或更新危险IP列 表。
[0084] 在本发明的一种具体实施例中,WEB防御模块301周期性地从规则服务器302中 获取规则表和危险IP列表。即W邸防御模块301周期性地向规则服务器302发送获取请 求的方式从规则服务器302中获取规则表和危险IP列表。当规则表或危险IP列表有更新 时,WEB防御模块301还会接收规则服务器302下发的更新后的规则表或危险IP列表。
[0085] 在本发明的一种具体实施例中,当规则表或危险IP列表有更新时,规则服务器 302下发更新后的规则表或危险IP列表到WEB防御模块301。规则服务器302根据WEB防 御模块301周期性发送的获取请求,将规则表和危险IP列表发送到WEB防御模块。
[0086] 如图3所示,该系统还包括;监控服务器303。该监控服务器303独立于规则服务 器302部署。
[0087] 在本发明的一种实施例中,监控服务器303向规则服务器302下发新的规则W更 新规则表。具体为;监控服务器303向规则服务器302发送肥B配置请求,所述肥B配置请 求中包括待更新的规则表或危险IP列表。监控服务器303WW邸的方式访问规则服务器 302,根据肥B配置请求对规则服务器302中的规则表和危险IP列表进行配置。
[0088] 在本发明的一种实施例中,监控服务器303向肥B防御模块发送肥B查询请求查 询W邸防御模块301的运行状态。在本实施例中,监控服务器303向W邸防御模块301发 送WEB查询请求,接收WEB防御模块301根据WEB查询请求上报的自身的运行状态。举例 为:监控服务器能够WW邸的方式访问W邸防御模块301,进而查看郝些规则被触发的次数 最多,发起肥B攻击的IP,W及该IP的物理地址等信息。
[0089] 在本发明的一种实施例中,监控服务器303向规则服务器302发送W邸查询请求, 查询规则服务器302上的规则表和危险IP列表。在本实施例中,监控服务器303WW邸的 方式访问规则服务器302,进而查看规则服务器302中配置的规则表和危险IP列表。还可 W查看保存在规则服务器302中日志。
[0090] 在本发明的一种具体实施例中,监控服务器303,能跨网络进行部署,即监控服务 器303与肥B服务器304W及规则服务器302不在同一个局域网中,监控服务器303能够 W肥B的方式运行,通过肥B的方式访问规则服务器302和肥B防御模块301。
[0091] 在本发明的一种具体实施例中,规则服务器302接收W邸防御模块301提交的触 发规则表中规则的W邸请求的信息;依据触发规则的W邸请求的信息做哈希表,哈希表的键 包括所述W邸请求的IP,对应的值为该IP的触发次数,其中,每触发规则一次,则触发次数 加一。从该哈希表中获取触发次数达到预设阀值的W邸请求的IP建立危险IP列表;将规 则表和危险IP列表下发到W邸防御模块301。
[009引参见图3所示,本发明提供的系统可W划分为立层架构,WEB防御模块、规则服务 器和监控服务器。任意一层的若机不会影响其他层的正常工作。其中,WEB防御模块301 部署在分布式系统的各个W邸服务器304中,单个WEB防御模块301的若机并不会影响其 他WEB防御模块301的正常工作,也不会影响其他W邸服务器和业务的正常工作。因此克 服了传统单一节点部署的性能瓶颈和单点故障。并且,上述系统具有稳定易用,便于扩充的 优点,即在新增加的W邸服务器上部署W邸防御模块,再从规则服务器中获取规则表和危险 IP列表,快捷灵活的配置新的风险的规则。
[0093] 综上所述,本发明通过在分布式系统中的每个W邸服务器上部署W邸防御模块;在 启动时从规则服务器中获取规则表和危险IP列表;根据规则表和危险IP列表对W邸请求