是否存在攻击进行检测,并根据判断结果进行相应的操作的技术方案,本发明提供的技术 方案中,W邸防御模块单独部署在W邸服务器上,稳定易用并且便于扩充。此外,在处理大 流量的W邸请求时,由于W邸防御模块只是对W邸服务器解析http数据包得到的W邸请求 进行处理,能够充分利用W邸服务器的资源,解析效率和处理性能得W兼顾,因此能够及时 处理大流量的肥B请求。
[0094] 进一步的,本发明提供的技术方案采用相对独立的W邸防御模块、规则表和监控 服务器H层架构。单层的若机不会影响其他层的正常工作,即监控服务器的若机不会影响 WEB防御模块或者规则服务器的正常工作;规则服务器的若机不会影响W邸防御模块的正 常工作,W邸防御模块可W根据之前保存的规则表和危险IP列表进行防御。因此具有高可 用性和可靠稳定性的优点。
[0095] 进一步的,通过监控服务器实现对规则服务器上的规则表进行实时配置,并将新 配置的规则表及时下发给各WEB防御模块,实现对新出现的安全风险和新的W邸攻击方式 的实时抵御。
[0096]W上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在 本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围 内。
【主权项】
1. 一种WEB防御方法,其特征在于,在分布式系统中的每个WEB服务器上部署WEB防 御模块;独立于每个WEB服务器部署规则服务器,在所述规则服务器上维护规则表和危险 IP列表;其中,所述规则表配置有检测WEB请求是否为危险请求的规则,以及对触发规则的 WEB请求做出的响应;所述危险IP列表包括一定数量的触发规则次数达到预设阀值的WEB 请求的IP;该方法包括: 所述WEB防御模块在启动时,从所述规则服务器中获取所述规则表和所述危险IP列 表; 获取WEB服务器解析超文本传输协议http数据包得到的WEB请求; 判断所述WEB请求的IP是否在所述危险IP列表中; 如果在,拒绝为所述WEB请求建立连接; 如果不在,则继续依据所述规则表判断所述WEB请求是否为危险请求; 如果是,依据所述规则表对所述WEB请求做出响应,并将触发规则的所述WEB请求的信 息提交给所述规则服务器以更新所述危险IP列表中; 如果不是,将所述WEB请求转交给所述WEB服务器的其他模块处理。2. 根据权利要求1所述的方法,其特征在于,该方法还包括: 所述WEB防御模块周期性地从所述规则服务器中获取所述规则表和所述危险IP列表; 以及, 当所述规则表或所述危险IP列表有更新时,接收所述规则服务器下发的更新后的规 则表或危险IP列表。3. 根据权利要求1或2所述的方法,其特征在于,独立于所述规则服务器部署监控服务 器,所述监控服务器用于向所述规则服务器下发新的规则以更新所述规则表;该方法还包 括: 所述WEB防御模块接收所述监控服务器的WEB查询请求,并根据所述WEB查询请求将 自身的运行状态上报给所述监控服务器。4. 一种WEB防御方法,其特征在于,在分布式系统中的每个WEB服务器上部署WEB防御 模块;独立于每个WEB服务器部署规则服务器,在所述规则服务器上维护规则表和危险IP 列表;该方法包括: 所述规则服务器接收检测WEB请求是否为危险请求的规则,以及对触发规则的WEB请 求做出的响应的配置信息; 根据所述规则和响应的配置信息建立或更新所述规则表; 接收所述WEB防御模块提交的触发所述规则表中规则的WEB请求的信息; 依据触发规则的所述WEB请求的信息做哈希表,哈希表的键包括所述WEB请求的IP,对 应的值为该IP的触发次数,其中,每触发规则一次,则触发次数加一; 从所述哈希表中获取一定数量的触发次数达到预设阀值的WEB请求的IP建立或更新 所述危险IP列表; 在所述WEB防御模块启动时,发送所述规则表和所述危险IP列表到所述WEB防御模 块,使得所述WEB防御模块根据所述规则表和所述危险IP列表对WEB请求进行防御。5. 根据权利要求4所述的方法,其特征在于,该方法还包括: 当所述规则表或所述危险IP列表有更新时,下发更新后的规则表或危险IP列表到所 述WEB防御模块;以及, 根据所述WEB防御模块周期性发送的获取请求,将所述规则表和所述危险IP列表发送 到所述WEB防御模块。6. 根据权利要求4或5所述的方法,其特征在于,独立于所述规则服务器部署监控服务 器,所述监控服务器用于向所述规则服务器下发新的规则以更新所述规则表;该方法还包 括: 所述规则服务器接收所述监控服务器的WEB查询请求,并根据所述WEB查询请求将所 述规则表和所述危险IP列表上报给所述监控服务器。7. -种WEB防御系统,其特征在于,该系统包括:至少一个WEB防御模块、一个规则服 务器,其中,所述WEB防御模块部署在分布式系统中的每个WEB服务器上;所述规则服务器 独立于每个WEB服务器部署,在所述规则服务器上维护规则表和危险IP列表; 所述WEB防御模块,用于在启动时从所述规则服务器中获取所述规则表和所述危险IP列表;对WEB服务器解析http数据包得到的WEB请求,判断所述WEB请求的IP是否在所述 危险IP列表中;如果在,拒绝为所述WEB请求建立连接;如果不在,则继续依据所述规则表 判断所述WEB请求是否为危险请求;如果是,依据所述规则表对所述WEB请求做出响应,并 将触发规则的所述WEB请求的信息提交给所述规则服务器以更新所述危险IP列表;如果不 是,将所述WEB请求转交给所述WEB服务器的其他模块处理; 所述规则服务器,用于接收检测WEB请求是否为危险请求的规则,以及对触发规则的WEB请求做出的响应的配置信息,根据所述规则和响应的配置信息建立或更新所述规则表; 根据WEB防御模块提交的触发规则的WEB请求的信息做哈希表,哈希表的键包括所述WEB 请求的IP,对应的值为该IP的触发次数,其中,每触发规则一次,则触发次数加一;从所述 哈希表中获取一定数量的触发次数达到预设阀值的WEB请求的IP建立或更新所述危险IP 列表。8. 根据权利要求7所述的系统,其特征在于, 所述WEB防御模块,还用于周期性地从所述规则服务器中获取所述规则表和所述危险IP列表;和/或, 当所述规则表或所述危险IP列表有更新时,接收所述规则服务器下发的更新后的规 则表或危险IP列表。9. 根据权利要求7所述的系统,其特征在于, 所述规则服务器,还用于当所述规则表或所述危险IP列表有更新时,下发更新后的规 则表或危险IP列表到所述WEB防御模块;和/或, 根据所述WEB防御模块周期性发送的获取请求,将所述规则表和所述危险IP列表发送 到所述WEB防御模块。10. 根据权利要求7-9任一项所述的系统,其特征在于,该系统还包括: 监控服务器,独立于所述规则服务器部署,用于向所述规则服务器下发新的规则以更 新所述规则表;以及,向所述WEB防御模块发送WEB查询请求查询所述WEB防御模块的运行 状态,向所述规则服务器发送WEB查询请求查询所述规则表和所述危险IP列表。
【专利摘要】本发明公开了一种WEB防御方法和系统,该方法包括:在分布式系统中的每个WEB服务器上部署WEB防御模块;独立于每个WEB服务器部署规则服务器,在所述规则服务器上维护规则表和危险IP列表;所述WEB防御模块在启动时从规则服务器中获取规则表和危险IP列表;对WEB服务器解析http协议数据包得到的WEB请求,判断该WEB请求的IP是否在危险IP列表中;如果在,拒绝为WEB请求建立连接;如果不在,则继续依据规则表判断WEB请求是否为危险请求;如果是,依据规则表对WEB请求做出响应,并将触发规则的WEB请求的信息提交给规则服务器以更新IP列表中。本发明能够及时处理大流量的WEB请求。
【IPC分类】H04L29/06, H04L29/08
【公开号】CN105338017
【申请号】CN201410306976
【发明人】任宙, 石海涛
【申请人】北京新媒传信科技有限公司
【公开日】2016年2月17日
【申请日】2014年6月30日