一种安全防护方法及dpma防护模型的制作方法

一种安全防护方法及dpma防护模型的制作方法
【专利摘要】本发明公开了一种安全防护方法，其中，所述方法包括：DPMA防护模型获取关于Web攻击事件的防护信息，其中，所述DPMA防护模型包括：Web检测模块、Web防护模块、Web监控模块、Web审计模块四个模块；所述DPMA防护模型根据所述Web攻击事件的防护信息进行联动，以实现针对Web应用的安全防护，其中，所述联动包括利用所述Web攻击事件的防护信息在Web检测模块、Web防护模块、Web监控模块、Web审计模块之间进行交互。本发明同时还公开了一种DPMA防护模型。
【专利说明】
一种安全防护方法及DPMA防护模型
技术领域
[0001]本发明涉及Web技术，尤其涉及一种安全防护方法及DPMA (Detect、Protect、Monitor、Audit，检测、防护、检测和审计)防护模型。
【背景技术】
[0002]随着网络(Web)应用技术的不断进步与发展，Web应用程序承载了越来越多的业务，而随之而来的也是Web应用所面临的越来越复杂的安全问题。根据权威机构的统计，Web应用类的安全攻击已经超过了其他层面安全攻击的总和，黑客攻击逐渐由传统的网络层转向应用层。
[0003]Web应用是直接对外提供服务的业务，为用户提供方便服务的同时，也让恶意攻击者有了可乘之机，一旦被攻破，攻击者便可以以此为跳板搜集更多信息或者对其他的服务器进行探测。虽然防火墙可以在很大程度上对网站提供保护，但是由于防火墙主要工作在网络层，对于应用层的攻击显得无能为力。另外，由于Web应用开发者水平参差不齐，开发时对安全方面知识的缺乏以及测试的不充分都会导致网站本身的脆弱性。如何保证Web应用自身的安全性，更好的为用户提供快捷稳定的服务，是企业必须应对的挑战。
[0004]现有的Web安全防护的技术手段主要分为检测类和防护类两大阵营:第一类为检测类安全手段，一般包括Web漏洞扫描和入侵检测等；第二类为防护类安全手段，一般包括网络层防火墙、应用层防火墙(WAF)、安全网关(UTM)以及入侵防护设备等。现有的安全检测与防护设备如防火墙、漏洞扫描器等可以用来检测和防护一些攻击，起到了非常重要的作用，但是依然存在一定局限性，主要表现在:从检测类技术手段上讲:漏洞扫描由于是基于黑盒的检测方式，存在漏报和误报的情况在所难免；入侵检测主要是基于规则库/特征库的检测方法，对于不在规则库的Web攻击事件(又称为攻击行为)较难发现，且对于躲过了检测的Web攻击事件，较难重现攻击场景，无法进行事后溯源。从防护技术手段上讲，防火墙主要工作在网络层，对于应用层的安全攻击显得无能为力；对于Web应用防火墙，虽然工作在应用层，但由于Web应用代码的编写本身具有不规范性，无统一标准，使得Web应用防火墙出现大量误报而无法有效使用起来；当出现Web应用安全事件后缺乏相应的审计和工具溯源手段。此外，这些安全检测与防护设备都是独立工作，相互之间没有互动，无法对某一安全行为和事件进行关联分析和联动处理，告警事件比较孤立。

【发明内容】

[0005]有鉴于此，本发明实施例为解决现有技术中存在的至少一个问题而提供一种安全防护方法及DPMA防护模型，能够利用多种的防护手段进行关联分析，从而提高安全性。
[0006]本发明实施例的技术方案是这样实现的:
[0007]第一方面，本发明实施例提供一种安全防护方法，所述方法包括:
[0008]DPMA防护模型获取关于Web攻击事件的防护信息，其中，所述DPMA防护模型包括:Web检测模块、Web防护模块、Web监控模块、Web审计模块四个模块；
[0009]所述DPMA防护模型根据所述Web攻击事件的防护信息进行联动，以实现针对Web应用的安全防护，其中，所述联动包括利用所述Web攻击事件的防护信息在Web检测模块、Web防护模块、Web监控模块、Web审计模块之间进行交互。
[0010]第二方面，本发明实施例提供一种DPMA防护模型，所述DPMA防护模型包括:Web检测模块、Web防护模块、Web监控模块、Web审计模块四个模块，其中:
[0011]所述Web检测模块，用于对潜在的安全威胁进行Web安全检测，得到检测结果，从检测结果中分析出潜在的风险点；根据所述潜在的风险点提供安全修复方法，然后将所述安全修复方法交由所述Web防护模块，以使Web防护模块利用安全修复方法对所述潜在的风险点进行修复；
[0012]Web检测模块，还用于将检测结果交由Web防护模块、Web监控模块、Web审计模块进行关联分析和防护。
[0013]本发明实施例提供的安全防护方法及DPMA防护模型，其中，所述方法包括:DPMA防护模型获取关于Web攻击事件的防护信息，其中，所述DPMA防护模型包括:Web检测模块、Web防护模块、Web监控模块、Web审计模块四个模块；所述DPMA防护模型根据所述Web攻击事件的防护信息进行联动，以实现针对Web应用的安全防护，其中，所述联动包括利用所述Web攻击事件的防护信息在Web检测模块、Web防护模块、Web监控模块、Web审计模块之间进行交互，如此，能够利用多种的防护手段进行关联分析，从而提高安全性。
【附图说明】
[0014]图1为本发明实施例DPMA防护模型的组成结构意图；
[0015]图2为本发明实施例DPMA防护模型工作时的流程示意图；
[0016]图3为本发明实施例联动防护技术在工作时的流程示意图；
[0017]图4-1为本发明实施例联动模型一在工作时的流程示意图；
[0018]图4-2为本发明实施例联动模型二在工作时的流程示意图；
[0019]图4-3为本发明实施例联动模型三在工作时的流程示意图；
[0020]图4-4为本发明实施例联动模型四在工作时的流程示意图；
[0021]图4-5为本发明实施例联动模型五在工作时的流程示意图；
[0022]图4-6为本发明实施例联动模型六在工作时的流程示意图；
[0023]图5为本发明实施例安全防护方法的实现流程示意图。
【具体实施方式】
[0024]为弥补现有技术手段的不足，本发明实施例将提供一种Web应用的DPMA防护模型，如图1 所不，集 Web 检测(Detect)、Web 防护(Protect)、Web 监控(Monitor)和 Web 审计(Audit)四大功能于一体的DPMA(Detect、Protect、Monitor、Audit)防护模型，其中，每一功能都对应于一个安全模块，对于Web检测功能来说对应于Web检测模块，对于Web防护功能来说对应于Web防护模块，对于Web监控功能来说对应于Web监控模块，对于Web审计功能来说对应于Web审计模块，该DPMA防护模型的安全防护贯穿于整个安全事件生命周期，且各个安全模块在发挥各自优势的同时又相互联动，形成Web安全纵深防御体系。
[0025]DPMA防护模型的具体机制如下:在出现攻击事件之前，集Web检测模块对Web应用进行安全漏洞检测，以便提前发现系统中潜在的安全隐患；当出现不安全事件时，Web防护模块进行实时安全防护；如果被攻击成功，Web监控模块实时对攻击结果(如篡改和挂马)及时感知，并由Web审计模块对攻击事件进行溯源。可见，DPMA防护模型中的各个模块之间项目联动，取长补短。通过上述DPMA防护模型的机制，对Web应用建立了一套基于网站安全事前检测、事中防御和事后审计的整体防护体系。
[0026]图2为本发明实施例DPMA防护模型工作时的流程示意图，如图2所示，本发明实施例提供的DPMA防护模型同时具备四种手段，即Web检测模块所具备的Web检测手段、Web防护模块所具备的Web防护手段、Web监控模块所具备的Web监控手段和Web审计模块所具备的Web审计手段，这四种手段形成一套互联的Web纵深防御体系。下面逐一介绍这四个模块。
[0027]l)Web检测模块
[0028]Web检测模块是DPMA防护模型中的检测(D，Detect)模块。Web检测模块主要功能是，在Web系统中潜在的安全威胁被发现和利用之前，主动对潜在的安全威胁进行Web安全检测，得到检测结果，然后从检测结果中找出潜在的风险点；根据所述潜在的风险点提供安全修复方法，然后将所述安全修复方法交由所述Web防护模块，以使Web防护模块利用所述安全修复方法对所述潜在的风险点进行修复，并根据所述安全修复方法和对应的潜在的风险点形成Web防护日志，其中，Web防护日志为Web防护模块输出的日志。Web检测模块检测内容至少包括下面内容的任意一项包括:结构化查询语言(SQL，Structured QueryLanguage)注入、路径语言(Xpath，其中X表示可扩展标记语言(XML，Extensible MarkupLanguage))注入、跨站脚本(XSS)、错误的认证和会话管理、不正确的直接对象引用、伪造跨站请求(CSRF，Cross-Site Request Forgery)、安全错误配置、失效的远程访问限制、未验证的重定向和传递、不安全的加密存储、不安全的传输保护。
[0029]Web检测模块将检测结果交由Web防护模块、Web监控模块和Web审计模块进行关联分析和防护。
[0030]2) Web防护模块
[0031 ] Web防护模块是DPMA防护模型中的防护(P，Protect)模块。Web防护模块的主要功能是，在Web攻击事件发生时，Web防护模块能对攻击事件进行实时检测和防护，有效阻断各种攻击事件的发生，同时形成Web防护日志。防护攻击类型包括各种应用层攻击行为。同时，Web安全防护模块也会将防护信息交由Web检测模块、Web监控模块和Web审计模块进行深度关联分析，达到顺藤摸瓜和举一反三的效果。其中，所述防护信息包括攻击源、攻击方式、攻击目标、攻击频率高于预设的第一统一资源定位器URL阈值的URL地址和参数、非授权的公网网际协议IP地址、攻击频率高于预设的第一 IP阈值的IP地址、高危漏洞的URL地址及参数、被挂马/篡改的URL地址等信息中的任意一项信息；其中参数包括使用http协议中定义的GET、POST等通信方法定义的各类变量。
[0032]3) Web监控模块
[0033]Web监控模块是DPMA防护模型中的监控(M，Monitor)模块。Web监控模块的主要功能包括安全性监控和稳定性监控两大部分，具备系统稳定性、页面篡改、挂马检测和后门检测功能等。其中，系统稳定性包括:Web系统可用性、传输控制协议(TCP，Transmiss1nControl Protocol)响应时延、超文本传送协议(HTTP，Hyper-Text Transfer Protocol)响应时延进行监控。页面篡改包括:对被监控的页面进行实时篡改监控，当页面被非法替换或篡改时，能及时进行短信或邮件告警。挂马检测包括:对被监控的页面进行实时的挂马监控，当页面被挂马时，能及时进行短信或邮件告警。后门检测包括:对被监控的系统进行后门检测，当检测到可疑网页密码是，能及时进行短信或邮件告警。
[0034]当出现系统响应时延大，或攻击者绕过了层层防护，对页面进行了篡改、挂马或植入后门时，Web监控模块会实时检测出来并进行告警。同时，Web监控模块也会将监控信息如出现问题的统一资源定位器(URL，Uniform Resource Locator)地址交由Web检测模块、Web防护模块和Web审计模块进行关联分析和防护，做到对安全事件深度挖掘，对出现问题的URL地址进行安全防护。
[0035]4) Web审计模块
[0036]Web审计模块为DPMA防护模型中的审计(A，Audit)模块。WEB审计模块的主要功能是，对于已经攻击成功的安全事件，Web审计模块主要通过对Web攻击事件的日志进行安全分析，检测攻击行为并对攻击进行溯源得到溯源内容。其中溯源内容包括攻击事件、攻击源网络之间互连的协议(IP，Internet Protocol)、攻击方式以及所利用的漏洞等，做到“秋后算账”。Web审计模块的主要功能包括:支持SQL注入、跨站脚本、跨站请求欺骗等各种开放式 Web 应用程序安全项目(OffASP, Open Web Applicat1n Security Project)和 Web 应用安全联合(WASC)定义的Web攻击方法检测；支持基于行为的攻击检测和关联分析；支持攻击路径回放；支持网页访问统计和排名。同时，Web审计模块也会将日志分析信息，如攻击源和可疑网页木马交由Web检测模块、Web防护模块和Web监控模块进行关联分析。对攻击事件、漏洞网页木马进行确认。
[0037]本发明实施例提供一种基于上述的Web检测模块、Web防护模块、Web监控模块和Web审计模块的联动防护技术，联动防护技术是联动DPMA防护模型中Web检测模块、Web防护模块、Web监控模块和Web审计模块的技术，即基于事件的工作流调动机制，任务调度的目标是通过将安全策略进行组合形成安全任务计划，并针对任务调度计划实现管理、下发等功能。如在Web防护日志和Web攻击事件的日志安全审计事件中发现网站受到攻击之后可以自动生成Web扫描任务去网站的特定页面进行核实，以确定该漏洞是否存在，是否需要管理员进行处理。
[0038]图3为本发明实施例联动防护技术在工作时的流程示意图，如图3所示，联动防护技术定义了四个模块之间的各种联动场景，联动模型包括Web审计模块与Web监控模块之间的联动(以下用A->M来表示)、Web审计模块与Web检测模块之间的联动模型(以下用A->D来表示)、Web审计模块与Web防护模块之间的联动模型(以下用A_>P来表示)、Web防护模块与Web审计模块之间的联动模型(以下用P->A来表示)、Web检测模块与Web防护模块之间的联动模型(以下用D_>P来表示)和Web监控模块与Web防护模块之间的联动模型(以下用M->P来表示)。下面逐一介绍一下上面的联动模型。
[0039]一、联动模型一(A->M):ffebshell 定位
[0040]图4-1为本发明实施例联动模型一在工作时的流程示意图，如图4-1所示，A->M的主要联动流程如下:①Web审计模块对用户访问过的动态页面进行统计，提取被保护网站的动态页面信息！②Web审计模块将这些动态页面信息交由Web监控模块，然后Web监控模块根据所述动态页面信息对这些动态页面进行爬取和检测，从而发现隐藏型Webshell和无链接型Webshell，这里，Web审计模块还可以将隐藏型Webshell和无链接型Webshell以Web审计日志的形式输出，其中，Web审计日志是Web审计模块输出的日志，Webshell是一段用于黑客进行远程控制Web服务器的代码。
[0041]一般Webshell都隐藏在网站的某个目录，与其他页面无链接关系，从黑盒的检测角度，较难检测Webshell的存在；但是，A_>M联动模型所提供的联动技术，能够有效解决传统技术手段中对爬虫技术无法检测无链接和隐藏的Webshell的问题。
[0042]二、联动模型二(A_>D):深度检测
[0043]图4-2为本发明实施例联动模型二在工作时的流程示意图，如图4-2所示，A_>D的主要联动流程如下??①Web审计模块对日志中统计攻击频率较高的URL地址和参数进行提取；其中，所述攻击频率较高的URL地址是指攻击频率高于第一 URL阈值的URL地址；②Web审计模块将提取到的URL地址和参数交由Web检测模块进行深度安全检测。
[0044]一般扫描器都是基于黑盒的扫描方式，难免存在部分URL地址和参数爬去不到的情况，并由此造成扫描结果的漏报；但是，A->D联动模型所提供的联动技术，能够有效解决基于黑盒的扫描器无法检测网站中所有URL地址和参数造成的漏报问题。
[0045]三、联动模型三(A->P):非授权访问
[0046]图4-3为本发明实施例联动模型三在工作时的流程示意图，如图4-3所示，A_>P的主要联动流程如下:①Web审计模块对访问网站管理后台的IP地址进行统计，得到非授权的公网IP地址；@Web审计模块将非授权的公网IP地址访问网站管理后台情况，通知Web防护模块进行联动防护。
[0047]—般网站管理后台IP地址是禁止对互联网开放的，存在暴力破解风险，但是A->P联动模型可以自动检测和防护网站管理后台对互联网开放的情况。
[0048]四、联动模型四(P->A):智能攻击确认
[0049]图4-4为本发明实施例联动模型四在工作时的流程示意图，如图4-4所示，P_>A的主要联动流程如下:①Web防护模块记录发起高频率攻击的IP地址，其中高频率攻击的IP地址即为第一 IP地址，所述第一 IP地址为攻击频率高于预设的第一 IP阈值的IP地址；②Web防护模块将攻击这些第一 IP地址交由Audit模块，深度分析这些第一 IP地址的其他攻击行为。P->A联动模型对攻击行为进行关联分析，顺便摸瓜，避免出现漏网之鱼。
[0050]五、联动模型五(D_>P):深度防护
[0051 ] 图4-5为本发明实施例联动模型五在工作时的流程示意图，如图4-5所示，D_>P的主要联动流程如下:①Web监控模块记录存在高危漏洞的URL地址和参数；@Web监控模块将这些参数交由Web防护模块，通知Web防护模块进行定制防护。D_>P联动模型对于出现高频攻击或攻击尝试的URL地址和参数，交由Web防护模块进行精细化防护。
[0052]六、联动模型六(M->P):智能篡改防护
[0053]图4-6为本发明实施例联动模型六在工作时的流程示意图，如图4-6所示，M_>P的主要联动流程如下:①Web监控模块检测被挂马或篡改的URL地址；@Web监控模块将这些URL地址发给Web防护模块进行联动防护。M->P联动模型对于已被挂马的站点，能够做到自动防护。
[0054]基于上的DPMA防护模型，本发明实施例再提供一种安全防护方法，图5为本发明实施例安全防护方法的实现流程示意图，如图5所示，该方法包括:
[0055]步骤501，DPMA防护模型获取关于Web攻击事件的防护信息；
[0056]这里，所述DPMA防护模型包括:Web检测模块、Web防护模块、Web监控模块、Web审计模块。
[0057]这里，所述防护信息至少包括以下信息中的任意一种:攻击源、攻击方式、攻击目标、网站的动态页面信息、攻击频率高于预设的第一统一资源定位器URL阈值的URL地址和参数、非授权的公网网际协议IP地址、攻击频率高于预设的第一 IP阈值的IP地址、高危漏洞的URL地址及参数、被挂马/篡改的URL地址。
[0058]步骤502，所述DPMA防护模型根据所述Web攻击事件的防护信息进行联动，以实现针对Web应用的安全防护。
[0059]这里，所述联动包括利用所述Web攻击事件的防护信息在Web检测模块、Web防护模块、Web监控模块、Web审计模块之间进行交互；
[0060]本发明实施例中，所述Web检测模块，用于在Web系统中潜在的安全威胁被发现和利用之前，对所述潜在的安全威胁进行Web安全检测，得到检测结果，从检测结果中分析出潜在的风险点；根据所述潜在的风险点提供安全修复方法，然后将所述安全修复方法交由所述Web防护模块，以使Web防护模块利用所述潜在的风险点进行修复；
[0061]Web检测模块，还用于将检测结果交由Web防护模块、Web监控模块、Web审计模块进行关联分析和防护。
[0062]本发明实施例中，所述Web防护模块，用于在Web攻击事件发生时，对所述Web攻击事件进行实时检测和防护，以阻断各种攻击事件的发生；Web防护模块，还用于将防护信息交由Web检测模块、Web监控模块、Web审计模块进行深度关联分析和防护。
[0063]本发明实施例中，所述Web监控模块，用于系统稳定性监控、页面篡改监控、挂马监控和后门监控，以获得监控信息，其中:系统稳定性监控包括Web系统可用性、TCP响应时延、HTTP响应时延进行监控；同时，Web监控模块，还用于将监控信息交由Web检测模块、Web防护模块、Web审计模块进行关联分析和防护，其中所述监控信息用于表明对系统稳定性进行监控、对页面篡改进行监控、挂马监控和后门监控得得到监控结果。
[0064]本发明实施例中，所述Web审计模块，用于对于已经攻击成功的Web攻击事件，通过对Web攻击事件的日志进行安全分析，检测得到Web攻击事件的溯源内容；所述Web审计模块，还用于将溯源内容由Web检测模块、Web监控模块、Web防护模块进行关联分析和防护。
[0065]本发明实施例中，所述基于对攻击事件的联动机制，使得所述防护信息在Web检测模块、Web防护模块、Web监控模块、Web审计模块之间进行交互和调用，包括:
[0066]Web审计模块对用户访问过的动态页面进行统计，提取被保护网站的动态页面信息;
[0067]Web审计模块将所述动态页面信息交由Web监控模块；
[0068]Web监控模块根据所述动态页面信息对动态页面进行爬取和检测，得到隐藏型Webshell 和无链接型 Webshell。
[0069]本发明实施例中，所述基于对攻击事件的联动机制，使得所述防护信息在Web检测模块、Web防护模块、Web监控模块、Web审计模块之间进行交互和调用，包括:
[0070]所述Web审计模块对日志中统计攻击频率高于第一 URL阈值的URL地址和参数进行提取；
[0071 ] 所述Web审计模块将提取到的URL地址和参数交由Web检测模块；
[0072]所述Web审计模块根据所述Web审计模块交由的URL地址和参数进行深度安全检测。
[0073]本发明实施例中，所述基于对攻击事件的联动机制，使得所述防护信息在Web检测模块、Web防护模块、Web监控模块、Web审计模块之间进行交互和调用，包括:
[0074]所述Web审计模块对访问网站管理后台的IP地址进行统计，得到非授权的公网IP地址；
[0075]所述Web审计模块将所述非授权的公网IP地址访问网站管理后台情况，交由所述Web防护模块以进行联动防护。
[0076]本发明实施例中，所述基于对攻击事件的联动机制，使得所述防护信息在Web检测模块、Web防护模块、Web监控模块、Web审计模块之间进行交互和调用，包括:
[0077]所述Web防护模块获取第一 IP地址，所述第一 IP地址为攻击频率高于预设的第一 IP阈值的IP地址；
[0078]所述Web防护模块将所述第一 IP地址交由所述Web审计模块；
[0079]所述Web审计模块分析所述第一 IP地址的所受的Web攻击事件。
[0080]本发明实施例中，所述基于对攻击事件的联动机制，使得所述防护信息在Web检测模块、Web防护模块、Web监控模块、Web审计模块之间进行交互和调用，包括:
[0081 ] 所述Web检测模块记录存在高危漏洞的URL地址和参数；
[0082]所述Web检测模块将存在高危漏洞的URL地址和参数交由所述Web防护模块，由所述Web防护模块进行定制防护。
[0083]本发明实施例中，所述基于对攻击事件的联动机制，使得所述防护信息在Web检测模块、Web防护模块、Web监控模块、Web审计模块之间进行交互和调用，包括:
[0084]Web监控模块检测被挂马或篡改的URL地址；
[0085]Web监控模块将所述被挂马或篡改的URL地址发给Web防护模块进行联动防护。
[0086]应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解，在本发明的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。
[0087]在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如:多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。
[0088]上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
[0089]另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
[0090]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括:移动存储设备、只读存储器(Read Only Memory，ROM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0091]或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、R0M、磁碟或者光盘等各种可以存储程序代码的介质。
[0092]以上所述，仅为本发明的【具体实施方式】，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。
【主权项】
1.一种安全防护方法，其特征在于，所述方法包括: DPMA防护模型获取关于Web攻击事件的防护信息，其中，所述DPMA防护模型包括:Web检测模块、Web防护模块、Web监控模块、Web审计模块； 所述DPMA防护模型根据所述Web攻击事件的防护信息进行联动，以实现针对Web应用的安全防护，其中，所述联动包括利用所述Web攻击事件的防护信息在Web检测模块、Web防护模块、Web监控模块、Web审计模块之间进行交互。2.根据权利要求1所述的方法，其特征在于，所述防护信息至少包括以下信息中的任一种:攻击源、攻击方式、攻击目标、网站的动态页面信息、攻击频率高于预设的第一统一资源定位器URL阈值的URL地址和参数、非授权的公网网际协议IP地址、攻击频率高于预设的第一 IP阈值的IP地址、高危漏洞的URL地址及参数、被挂马/篡改的URL地址。3.根据权利要求1所述的方法，其特征在于，所述DPMA防护模型根据所述Web攻击事件的防护信息进行联动，包括: 所述Web检测模块对潜在的安全威胁进行Web安全检测，得到检测结果，从检测结果中分析出潜在的风险点； 所述Web检测模块根据所述潜在的风险点提供安全修复方法，然后将所述安全修复方法交由所述Web防护模块;Web防护模块利用所述安全修复方法对所述潜在的风险点进行修复，并根据所述安全修复方法和对应的潜在的风险点形成Web防护日志； 所诉Web检测模块将检测结果交由Web防护模块、Web监控模块、Web审计模块进行关联分析和防护。4.根据权利要求1所述的方法，其特征在于，所述DPMA防护模型根据所述Web攻击事件的防护信息进行联动，包括: 所述Web防护模块在Web攻击事件发生时，对所述Web攻击事件进行实时检测和防护，以阻断各种攻击事件的发生； 所述Web防护模块将防护信息交由Web检测模块、Web监控模块、Web审计模块进行深度关联分析和防护。5.根据权利要求1所述的方法，其特征在于，所述DPMA防护模型根据所述Web攻击事件的防护信息进行联动，包括: 所述Web监控模块进行系统稳定性监控、页面篡改监控、挂马监控和后门监控，以获得监控信息，其中:系统稳定性监控包括Web系统可用性、TCP响应时延、HTTP响应时延进行监控；同时， 所述Web监控模块将监控信息交由Web检测模块、Web防护模块、Web审计模块进行关联分析和防护。6.根据权利要求1所述的方法，其特征在于，所述DPMA防护模型根据所述Web攻击事件的防护信息进行联动，包括: 所述Web审计模块对于已经攻击成功的Web攻击事件，通过对Web攻击事件的日志进行安全分析，检测得到Web攻击事件的溯源内容； 所述Web审计模块将溯源内容由Web检测模块、Web监控模块、Web防护模块进行关联分析和防护。7.根据权利要求1至6任一项所述的方法，其特征在于，所述DPMA防护模型根据所述Web攻击事件的防护信息进行联动，包括: Web审计模块对用户访问过的动态页面进行统计，提取被保护网站的动态页面信息； Web审计模块将所述动态页面信息交由Web监控模块； Web监控模块根据所述动态页面信息对动态页面进行爬取和检测，得到隐藏型Webshell和无链接型WebshelI，并将隐藏型Webshell和无链接型Webshell输出。8.根据权利要求1至6任一项所述的方法，其特征在于，所述DPMA防护模型根据所述Web攻击事件的防护信息进行联动，包括: 所述Web审计模块对日志中统计攻击频率高于第一 URL阈值的URL地址和参数进行提取； 所述Web审计模块将提取到的URL地址和参数交由Web检测模块； 所述Web审计模块根据所述Web审计模块交由的URL地址和参数进行深度安全检测。9.根据权利要求1至6任一项所述的方法，其特征在于，所述DPMA防护模型根据所述Web攻击事件的防护信息进行联动，包括: 所述Web审计模块对访问网站管理后台的IP地址进行统计，得到非授权的公网IP地址； 所述Web审计模块将所述非授权的公网IP地址访问网站管理后台情况，发送给所述Web防护模块。10.根据权利要求1至6任一项所述的方法，其特征在于，所述DPMA防护模型根据所述Web攻击事件的防护信息进行联动，包括: 所述Web防护模块获取第一 IP地址，所述第一 IP地址为攻击频率高于预设的第一 IP阈值的IP地址； 所述Web防护模块将所述第一 IP地址交由所述Web审计模块； 所述Web审计模块分析所述第一 IP地址的所受的Web攻击事件。11.根据权利要求1至6任一项所述的方法，其特征在于，所述DPMA防护模型根据所述Web攻击事件的防护信息进行联动，包括: 所述Web检测模块记录存在高危漏洞的URL地址和参数； 所述Web检测模块将存在高危漏洞的URL地址和参数交由所述Web防护模块； 所述Web防护模块根据高危漏洞的URL地址和参数进行定制防护。12.根据权利要求1至6任一项所述的方法，其特征在于，所述DPMA防护模型根据所述Web攻击事件的防护信息进行联动，包括: Web监控模块检测被挂马或篡改的URL地址； Web监控模块将所述被挂马或篡改的URL地址发给Web防护模块。13.一种DPMA防护模型，其特征在于，所述DPMA防护模型包括:Web检测模块、Web防护模块、Web监控模块、Web审计模块四个模块，其中: 所述Web检测模块，用于对潜在的安全威胁进行Web安全检测，得到检测结果，从检测结果中分析出潜在的风险点；根据所述潜在的风险点提供安全修复方法，然后将所述安全修复方法交由所述Web防护模块，以使Web防护模块利用所述安全修复方法对所述潜在的风险点进行修复； Web检测模块，还用于将检测结果交由Web防护模块、Web监控模块、Web审计模块进行关联分析和防护。14.根据权利要求13所述的模型，其特征在于，所述Web防护模块，用于在Web攻击事件发生时，对所述Web攻击事件进行实时检测和防护，以阻断各种攻击事件的发生； Web防护模块，还用于将防护信息交由Web检测模块、Web监控模块、Web审计模块进行深度关联分析和防护。15.根据权利要求13或14所述的模型，其特征在于，所述Web监控模块，用于系统稳定性监控、页面篡改监控、挂马监控和后门监控，以获得监控信息，其中:系统稳定性监控包括Web系统可用性、TCP响应时延、HTTP响应时延进行监控；同时， Web监控模块，还用于将监控信息交由Web检测模块、Web防护模块、Web审计模块进行关联分析和防护。
【文档编号】H04L29/06GK105871775SQ201510026104
【公开日】2016年8月17日
【申请日】2015年1月19日
【发明人】陈磊, 付俊, 何申, 俞诗源, 傅珩轩
【申请人】中国移动通信集团公司