本申请涉及数据通信技术领域,特别是涉及一种攻击防御方法和一种攻击防御装置。
背景技术:
随着电子商务、网上银行、电子政务的盛行,网站(Website,Web)服务器承载的业务价值越来越高,Web服务器所面临的安全威胁也随之增大,因此,针对Web应用层的防御成为必然趋势,网站应用防火墙(WebApplicationFirewall,WAF)开始流行起来。其中,Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
通常,WAF设备在性能资源空闲的状态下,客户端(Client)发送的访问流量若要访问防火墙(Firewall)后端的服务器(Server),则需要通过WAF设备的检测,才能访问到服务器,即在通过检测时才能穿过防火墙到达服务器,在没有通过检测时被该防火墙拦截。但是,所有访问流量都在WAF设备进行汇聚,WAF设备会出现突发的性能压力,成为组网中的性能瓶颈,如图1所示。在客户端(Client)访问服务器(Server)的流量超压的状态下,WAF设备通过旁路功能(Bypass)会主动放行所有访问流量,即不对任何访问流量进行检测。此时,若攻击者通过操作诸如个人计算机等客户端构造攻击流量,对服务器进行攻击,而WAF设备不对任何访问流量进行检测,则无法拦截该攻击流量,即放行攻击流量。该攻击流量可以到达服务器,对服务器造成攻击。
显然,现有WAF设备在访问流量超压的状态下,放行所有访问流量的方法无法达到防护的效果。
技术实现要素:
鉴于上述问题,提出了本申请实施例以便提供一种攻击防御方法和相应的一种攻击防御装置,以对网站站点进行保护。
为了解决上述问题,本申请实施例公开了一种攻击防御方法,包括:当监测到访问流量时,确定设备当前的性能状态;当所述性能状态为目标状态时,确定所述访问流量对应的评分值;根据设备当前的性能数据进行计算,确定所述设备的信任阈值;在所述评分值低于所述信任阈值时,确定所述访问流量是否与预置的攻击特征匹配;在所述访问流量与所述攻击特征匹配时,阻断所述访问流量。
相应的,本申请实施例还公开了一种攻击防御装置,包括:性能状态确定模块,用于当监测到访问流量时,确定设备当前的性能状态;评分值确定模块,用于当所述性能状态为目标状态时,确定所述访问流量对应的评分值;信任阈值确定模块,用于根据设备当前的性能数据进行计算,确定所述设备的信任阈值;攻击检测模块,用于在所述评分值低于所述信任阈值时,确定所述访问流量是否与预置的攻击特征匹配;流量阻断模块,用于在所述访问流量与所述攻击特征匹配时,阻断所述访问流量。
本实施例中,WAF设备在监测到访问流量时,可以通过确定当前的性能状态,以确定是否处于目标状态,即判断是否处于流量超压状态,从而在性能状态处于目标状态时,通过确定访问流量对应的评分值以及设备当前对应的信任阈值,可以确定是否需要对访问流量进行攻击检测,即在评分值低于信任阈值时,检测访问流量是否与预置的攻击特征匹配,当访问流量与攻击特征匹配时,可以确定该访问流量为攻击流量,进而阻断该访问流量,使得该访问流量不能传输到目标IP地址的网站站点,即拦截攻击流量,从而可以避免该访问流量攻击网站站点,对网站站点进行保护。
附图说明
图1是一种WAF设备在流量超压状态下基于旁路功能放行所有访问流量的示意图;
图2是本申请的一种攻击防御方法实施例的步骤流程图;
图3是本申请的另一种攻击防御方法实施例的步骤流程图;
图4是本申请实施例的一种WAF设备在流量超压状态下检测访问流量的示意图;
图5A是本申请的一种攻击防御装置实施例的结构框图;
图5B是本申请的另一种攻击防御装置实施例的结构框图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
通常采用Web应用防火墙对访问网站服务器的用户流量(即访问流量)进行检测,从而拦截攻击网站服务器的攻击流量。但是,WAF设备通过检测访问流量是否与攻击特征匹配,需要消耗设备性能;若访问流量达到一定数量时,则WAF设备进入流量超压状态,会触发旁路功能放行所有流量,导致不能拦截攻击流量。
本申请实施例的核心构思之一在于,WAF设备在流量超压状态下,触发信任评分功能,通过判断访问流量对应的评分值是否低于设备当前对应的信任阈值,确定是否需要对访问流量进行深度攻击检测,从而可以检测到攻击流量并进行拦截,保证网站服务器的安全,即达到防护效果。
参照图2,示出了本申请的一种攻击防御方法实施例的步骤流程图,具体可以包括如下步骤:
步骤202,当监测到访问流量时,确定设备当前的性能状态。
其中,访问流量具体可以包括用户通过操作客户端向网站服务器发送的互联网协议(InternetProtocol,IP)数据报文。该IP数据报文可以携带有源地址、目的地址、协议、标志(Identification)等参数信息,其中,源地址具体可以包括客户端的IP地址;目的地址可以包括访问站点的IP地址,如访问的网站服务器的IP地址。需要说明的是,客户端具体可以包括诸如个人计算机、智能手机、平板电脑等智能终端。
作为本申请的一种具体应用场景,用户可以通过操作客户端所安装的应用程序,如浏览器、媒体播放器等,向应用程序对应的网站服务器发送访问流量。用户可以通过操作客户端,向网站服务器发送访问流量,以对网站服务器进行访问。通常,访问流量需要经过网站应用防火墙(即WAF设备),才可以传输至网站服务器。当网站应用防火墙监测到访问流量时,可以通过检测WAF设备当前的性能状态,确定是否处于目标状态,如判断WAF设备是否处于流量超压的状态。
本实施例中,WAF设备可以通过检测当前的设备性能消耗情况,确定当前的性能数据;以及依据当前的性能数据判断设备性能状态是否触发WAF设备的信任评分功能。具体的,当性能数据超过预置的性能消耗阈值(简称性能阈值)时,可以确定处于目标状态,即确定WAF设备处于流量超压的状态下,可以通过信任评分功能对访问流量进行检测,即执行步骤204;当性能数据不超过预置的性能阈值时,可以依据预置的攻击特征对访问流量进行检测,从而检测出该访问流量是否为攻击流量。
其中,所述性能数据具体可以包括设备运行指标数据,如中央处理器(CentralProcessingUnit,CPU)占用率和内存占用率等;性能阈值可以依据设备性能指标预先配置的,可以用于确定设备是否处于流量超压状态,即可以用于确定设备是否处于目标状态。作为本申请的一个具体示例,WAF设备可以预先设置性能阈值为20%,从而可以在CPU占用率和/或内存占用率超过20%时,确定处于目标状态。
步骤204,当所述性能状态为目标状态时,确定所述访问流量对应的评分值。
当WAF设备处于目标状态时,可以依据访问流量的源IP地址、目的IP地址、访问时段等参数信息查找预置的信任评分表,确定该访问流量对应的评分值。其中,该信任评分表可以依据历史访问流量从源地址到所述目的地址对应的网站站点的访问情况生成的,可以用于确定访问流量对应的评分值,具体可以包括源IP地址、访问时段、目的IP地址、正常访问次数、攻击访问次数、评分等参数信息。
参照表1,示出了本申请实施例的一种WAF设备的信任评分表。
其中,源IP地可以指发送访问流量的客户端的IP地址;访问时段是指该访问流量访问网站服务器的时间段,具体可以包括访问流量流经WAF设备的时间所属的时间段,如整一天的时间分为4个时间段,例如将凌晨0点至上午6点的时间范围确定为时间段1,将上午6点至中午12点的时间范围确定为时间段2,将中午12点至下午18点的时间范围确定为时间段3,以及将下午18点至凌晨24点确定为时间段4;目的IP地址可以指访问的网站服务器的IP地址;正常访问次数是指源IP地址对应客户端在访问时段正常访问该目的IP地址对应网站服务器的次数;攻击访问次数是指源IP地址对应客户端在访问时段内攻击该目的IP地址对应网站服务器的次数;评分值是依据源IP地址对应客户端访问目的IP地址对应网站服务器的情况及评分标准确定的,如评分标准可以为:源IP地址对应客户端在所属的访问时段,每正常访问目的IP地址对应网站站点100次增加1分,每攻击目的IP地址对应网站站点1次减少5分。如表1所示,IP地址为11.1.1.1的客户端访问IP地址为13.1.1.1的网站站点的访问流量对应的预设的评分值为10,在凌晨0点至上午6点的时间范围内,正常访问IP地址为13.1.1.1的网站站点的次数为1001,攻击IP地址为13.1.1.1的网站站点的次数为1次,按照上述评分标准,此时该访问流量对应的评分值为15。
步骤206,根据设备当前的性能数据进行计算,确定所述设备的信任阈值。
通常,WAF设备对访问流量进行攻击特征的检测,需要消耗设备性能,如占用设备的内存、占用设备的中央处理器等。本实施通过获取WAF设备当前的性能数据并进行计算,可以得到WAF设备当前的评分信任阈值(简称信任阈值),从而可以依据该信任阈值判断是否放行访问流量。具体的,WAF设备可以预先设置各性能数据对应的权重参数,以及量级参数;基于量级参数调整各性能数据的量级,以及分别采用权重参数对各性能数据进行计算,得到当前各性能数据对应的性能消耗分;以及,对各性能数据对应的性能消耗分进行叠加,确定设备当前对应的总性能消耗分;采用预置的总性能分减去当前对应的总性能消耗分,得到设备当前对应的信任阈值。其中,量级参数可以用于调整信任阈值对应的量级,即可以用于统一信任阈值对应的量级与评分值对应的量级,从而可以判断访问流量对应的评分值是否低于当前对应的信任阈值。
作为本申请的一个具体示例,WAF设备可以预先设置CPU占用率对应的权重参数为0.4,内存占用率对应的权重参数为0.6,设置量级参数为100,以及总性能分为100,从而可以按照以下信任阈值计算公式对当前获取到的CPU占用率和内存占用率进行计算,确定当前对应的信任阈值。
信任阈值=100-(0.4*当前CPU占用率*100+0.6*当前内存占用率*100)
步骤208,在所述评分值低于所述信任阈值时,确定所述访问流量是否与预置的攻击特征匹配。
具体而言,WAF设备依据该访问流量的源IP地址、以及所要访问网站站点的目的IP地址确定对应的评分值后,可以通过比较该访问流量对应的评分值是否达到信任阈值,来判断该访问流量是否会攻击目的IP地址对应网站站点。在访问流量对应的评分值不低于当前对应的信任阈值时,WAF设备可以确定该访问流量不会对目的IP地址对应网站站点进行攻击,即信任该访问流量,使得该访问流量可以绕过WAF设备到达服务器,即可以不对该访问流量进行攻击检测,从而可以避免对该评分值达到信任阈值的访问流量进行攻击检测流而导致消耗设备性能。当访问流量对应的评分值低于信任阈值时,检测该访问流量是否与预置的攻击特征匹配,如检测该访问流量是否命中预置的攻击特征,以判断该攻击流量是否会攻击目的IP地址对应网站站点。
步骤210,在所述访问流量与所述攻击特征匹配时,阻断所述访问流量。
当检测到访问流量与攻击特征匹配时,如在检测到访问流量包含预置的攻击特征时,WAF设备可以判定该访问流量会对目的IP地址对应网站站点进行攻击,即可以确定该访问流量为攻击流量。在确定访问流量为攻击流量后,WAF设备可以拦截该访问流量,使得该访问流量不能传输到目的IP地址的网站站点,从而可以避免该访问流量攻击网站站点,对网站站点进行保护。
作为本申请的一个具体示例,攻击特征具体可以包括预置的字符串信息,如“%3Cscript%3Ealert%28%22test%22%29%3C%2Fscript%3E”、“1%27+or+1%3D1%23”等。若WAF设备检测到访问流量的统一资源定位符(UniformResourceLocator,URL)包含预置的攻击字符串信息时,则可以确定该URL为恶意URL,即在检测到访问流量与预置的攻击特征时,可以确定该访问流量会对所访问的网站站点进行攻击。例如,若检测到访问流量的URL(http://172.1.3.30/dvwa/vulnerabilities/xss_r/?name)为“%3Cscript%3Ealert%28%22test%22%29%3C%2Fscript%3E”时,即http://172.1.3.30/dvwa/vulnerabilities/xss_r/?name=%3Cscript%3Ealert%28%22test%22%29%3C%2Fscript%3E,则可以确定该访问流量为跨站脚本攻击(CrossSiteScripting,XSS)的流量,即可以确定该访问流量为攻击流量;若检测到访问流量的URL(http://172.1.3.30/dvwa/vulnerabilities/sqli/?id)为“1%27+or+1%3D1%23&Submit=Submit”,则可以确定该访问流量为SQLI注入攻击的流量,其中SQLI注入攻击的流量可以用于对网站站点的数据库进行攻击。
综上,本申请实施的WAF设备在监测到访问流量时,可以通过确定当前的性能状态,以确定是否处于目标状态,即判断是否处于流量超压状态;当性能状态处于目标状态时,可以通过确定访问流量对应的评分值以及设备当前对应的信任阈值,确定是否需要对访问流量进行攻击检测,即在评分值低于信任阈值时,检测访问流量是否与预置的攻击特征匹配,当访问流量与攻击特征匹配时,可以确定该访问流量为攻击流量,进而拦截攻击流量,使得攻击流量不能传输到目标IP地址的网站站点,以对网站站点进行保护。
在本申请的一种优选实施例中,WAF设备在监测到访问流量时,确定设备当前的性能状态,具体可以包括:确定设备当前的性能数据;判断所述性能数据是否超过预置的性能阈值;当所述性能数据超过性能阈值,确定所述设备处于目标状态,即确定设备当前对应的性能状态为目标状态;以及,在性能数据不超过性能阈值,确定设备当前对应的性能状态不为目标状态。下文结合本申请的优选实施例,继续本申请进行详细的论述。
参照图3,示出了本申请的另一种攻击防御方法实施例的步骤流程图,具体可以包括如下步骤:
步骤302,当监测到访问流量时,确定设备当前的性能数据。
步骤304,判断所述性能数据是否超过预置的性能阈值。
本实施例中,当监测到访问流量时,WAF设备可以通过性能检测确定设备当前的性能数据,以确定设备是否处于流量超压状态,即确定是否进入目标状态。具体的,WAF设备在监测到访问流量,可以通过获取当前的性能数据,以判断当前的性能数据是否超过预置的性能阈值,即判断是否触发信任评分功能,以对访问流量进行信任评分判定。在当前性能数据超过预置的性能阈值时,可以确定设备当前对应的性能状态为目标状态,即确定所述设备处于目标状态,从而可以确定触发信任评分功能,然后可以执行步骤306,以对访问流量进行信任评分判定;在当前性能数据不超过预置的性能阈值时,可以确定设备当前对应的性能状态不为目标状态,即WAF设备并不是处于流量超压状态下,可以通过消耗设备性能来对访问流量进行深度攻击检测,如可以跳转到步骤312执行,即执行确定所述访问流量是否与预置的攻击特征匹配的步骤。
作为本申请的一个具体示例,性能数据可以包括:CPU占用率和内存占用率。WAF设备可以预先设置CPU占用率高于20%、内存占用率高于20%时,触发信任评分功能。具体的,在当前CPU占用率和当前内存占用率都超过20%,如在当前CPU占用率为40%,内存占用率为50%时,可以确定当前性能数据超过预置的性能阈值,进而可以确定设备当前的性能状态为目标状态;在当前性能数据不超过性能阈值时,如在CPU占用率为15%,内存占用率为10%时,可以确定设备当前的性能状态不为目标状态。
步骤306,确定所述访问流量对应的评分值。
本实施例中,WAF设备在触发了评分信任功能后,可以依据该访问过流量的访问时间、源地址、目的地址等参数信息确定该访问流量对应的评分值,如进入信任评分系统确定该访问流量对应的评分值、通过查找预置的信任评分表确定该访问流量对应的评分值等。
在本申请的一个优选实施例中确定所述访问流量对应的评分值,具体可以包括以下子步骤:
子步骤3060,从所述访问流量中提取源地址和目的地址。
本实施例中,WAF设备可以通过检测访问流量的报头,按照网络协议从报头中获取到客户端对应的源IP地址以及所要访问的网站站点对应的目的IP地址,从而可以将获取到的源IP地址作为源地址,将获取到的目的IP地址作为目的地址。
子步骤3062,根据当前的时间,确定所述访问流量对应的访问时段。
例如,WAF设备可以通过NTP(NetworkTimeProtocol)服务获取到网络时间,将所获取的时间作为网络系统当前的时间,从而可以根据网络系统当前的时间确定该访问流量对应的访问时段。
子步骤3064,基于所述源地址、目的地址以及访问时段查询预置的信任评分表,确定所述评分值。
可选的,所述评分值是依据历史访问流量从所述源地址到所述目的地址对应的网站站点的访问情况生成的。作为本实施例的一个具体示例,WAF设备可以基于获取到的源地址、目的地址以及所确定的访问时段查找预置的信任评分表,如上述表1,确定该访问流量对应的评分值。
步骤308,根据设备当前的性能数据进行计算,确定所述设备的信任阈值。
例如,当前CPU占用率为40%,当前内存占用率为50%,按照上述信任阈值计算公式进行计算,通过计算,可以得到当前性能状态对应的信任阈值为46分,即100-(0.4*40%*100+0.6*50%*100)=46,从而可以依据该信任阈值对访问流量进行评分信任判定,即执行步骤310。
步骤310,判断访问流量对应的评分值是否低于信任阈值。
在确定评分值后,WAF设备可以通过判断该评分值是否低于信任阈值,来判断是否需要对该访问流量进行攻击检测。若所述评分值低于信任阈值,则可以确定需要对该放流量进行攻击检测,以判断该访问流量是否为攻击流量,即执行步骤312。若所述评分值不低于信任阈值,则可以信任该访问流量,即不需要对该放流量进行攻击检测,可以执行步骤320,从而不需要消耗设备性能。
步骤312,确定所述访问流量是否与预置的攻击特征匹配。
本实施例中,WAF设备可以通过检测访问流量是否命中预置的规则,如检测所述访问流量的报文是否与预置的攻击特征匹配,从而判断出该访问流量是否为攻击流量。当所述访问流量与所述攻击特征匹配时,WAF设备可以确定该访问流量为攻击流量,以及可以修改该访问流量在信任评分表中对应的攻击访问次数,执行步骤314;当所述访问流量与攻击特征不匹配时,WAF设备可以确定该访问流量为正常访问流量,以及可以修改该访问流量在信任评分表中对应的正常访问次数,跳转到步骤318执行。
步骤314,当所述访问流量与所述攻击特征匹配的次数每达到预设的第二次数阈值时,减少所述访问流量在评分信任表中对应的评分值。
在本实施例中,WAF设备可以预先设置评分标准,该评分标准可以用于计算从源地址对应客户端发送到目的地址对应的访问流量对应的评分值,具体可以包括:当访问流量与攻击特征不匹配的次数每达到预设第一次数阈值时,增加该访问流量在所述信任评分表中对应的评分值,如每正常访问目的IP地址对应网站站点100次增加1分;当访问流量与攻击特征匹配的次数每达到预设的第二次数阈值时,减少该访问流量在评分信任表中对应的评分值,如每攻击目的IP地址对应网站站点1次减少5分。因此,在确定访问流量与攻击特征匹配后,WAF设备可以按照预置的评分标准减少该访问流量在评分信任表中对应的评分值,即在访问流量与攻击特征匹配的次数每达到预设的第二次数阈值时,减少该访问流量对应的信任评分。
作为本申请的一个具体示例,当预置设的第二次数阈值为1时,WAF设备每次检测到访问流量与预置的攻击特征匹配时,都减少该访问流量对应的信任评分,如减少5分。
步骤316,阻断所述访问流量。
本实施例中,WAF设备在检测到访问流量为攻击流量时,可以对该访问流量进行拦截,即阻断该访问流量,从而使得该访问流量不可以到达网站站点,避免该访问流量对网站站点进行攻击,达到防护的效果。
步骤318,当所述访问流量与攻击特征不匹配的次数每达到预设的第一次数阈值时,增加所述访问流量在所述评分信任表中对应的评分值。
在确定访问流量与攻击特征不匹配时后,WAF设备可以按照预置的评分标准增加该访问流量在评分信任表中对应的评分值,即在访问流量与攻击特征不匹配的次数每达到预设的第一次数阈值时,增加该访问流量对应的信任评分,如增加1分。例如,结合上述例子,当预设的第一次数阈值为100时,WAF设备可以在访问流量与攻击特征不匹配的次数每达到100次,为该访问流量对应的信任评分增加1分;也可以在每次检测到访问流量与攻击特征不匹配时,为该访问流量对应的信任评分增加0.01分。
步骤320,放行所述访问流量。
WAF设备在检测到访问流量为正常访问流量时,可以放行该访问流量,即该访问流量可以穿过WAF设备到达网站站点,从而可以对网站站点进行访问。
在本申请实施例中,WAF设备在监测到访问流量时,可以通过确定当前对应的性能状态来判断是否触发信任评分判定,即判断是否触发信任评分功能。在触发评分信任功能时,可以通过查找信任评分表确定该用户流量对应的评分值,从而可以判断用户流量对应的评分值是否超过设备当前对应的信任阈值。若用户流量对应的评分值超过设备当前对应的信任阈值,则WAF设备可以放行该访问流量,从而可以避免对评分值达到设备当前对应信任阈值进行攻击检测而导致性能消耗,即减少攻击检测的消耗;若用户流量对应的评分值不超过设备当前对应的信任阈值,则WAF设备可以对访问流量进行攻击检测,以拦截攻击流量,对网站站点进行保护。当然,WAF设备在未触发信任评分功能时,也可以对访问流量进行攻击检测。
在对访问流量进行攻击检测时,可以通过判断该访问流量是否命中预置的规则,如上述例子中判断该访问流量是否包含预置的攻击字符串信息,来确定访问流量是否与预置攻击特征匹配。若是,则减少该访问流量在信任评分表中对应的评分值,即减少信任评分,以及拦截该访问流量,即该访问流量被WAF设备阻断;若否,则增加该访问流量在信任评分表中对应的评分值,即增加信任评分,以及放行该访问流量。
综上,WAF设备对访问流量进行攻击检测时,可以依据检测结果创建信任评分表,并按照预置的评分标准记录访问流量对应的信任评分项,如访问次数、评分值等,即可以对访问流量合法性进行判断并主动修改相应信任评分项,从而可以在流量超压的状态下,根据访问流量的信任评分确定是对该访问流量继续执行攻击检测,还是放行,即在设备当前对应的性能状态为目标状态时,通过判断访问流量对应的评分值是否低于当前对应的信任阈值,来确定是否对访问流量进行攻击检测,大大减轻了大流量下的攻击检测流程对性能的损耗,同时降低了系统管理员人工对恶意攻击者的判断及手工干预频率,使攻击检测趋于智能化,性能消耗合理化。
通过本申请实施例,可以减少了WAF设备成为组网中性能瓶颈的可能性,优化了网站应用防火墙设备检测流程,提高了整个系统的运作效率,以及提高用户体验。
参照图4,示出了本申请实施例的一种WAF设备在流量超压状态下检测访问流量的示意图。
作为本申请的一个具体示例,所有客户端(如客户端1、客户端2等)向服务器发送的访问流量在WAF设备中进行汇聚,从而WAF设备可以监测到访问服务器区中各服务器(如服务器1、服务器2等)的访问流量。当WAF设备处于流量超压的状态下,即处于目标状态,触发信任评分功能,通过预置的信任评分表,如表1,对访问流量进行信任检测。具体的,若WAF设备检测到访问流量的源IP地址为11.1.1.3、目的IP地址为13.1.1.2则可以确定发送该访问流量的客户端1的IP地址为11.1.1.3,访问的网站服务器的IP地址为13.1.1.2。通过获取当前网络时间,WAF设备可以确定该访问流量对应的访问时段,如结合上述例子,在监测到访问流量时,若检测到当前时间为上午10点,则可以确定该访问流量对应的访问时段为2,进而可以确定该访问流量对应的评分值为61。若WAF设备当前的信任阈值为60,则该访问流量为正常访问流量(又称信任流量),可以绕过WAF设备,到达服务器1,即WAF设备放行信任流量,并不需要消耗设备性能。作为本申请的另一具体示例,若攻击者在凌晨1点通过操作IP地址为11.1.1.1的客户端构造访问流量,对IP地址为13.1.1.1的网站服务器2进行攻击,则WAF设备在监测到该访问流量时,可以通过查询表1,确定该访问流量对应的评分值为15,进而对访问流量进行攻击检测,确定该流量为攻击流量,以及阻断该访问流量,即攻击流量被WAF设备阻断,不能到达服务器2,进而可以避免其对服务2的攻击,实现了WAF设备对服务器的保护。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请实施例并不受所描述的动作顺序的限制,因为依据本申请实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本申请实施例所必须的。
参照图5A,示出了本申请的一种攻击防御装置实施例的结构框图,具体可以包括如下模块:
性能状态确定模块502,用于当监测到访问流量时,确定设备当前的性能状态。
评分值确定模块504,用于当所述性能状态为目标状态,确定所述访问流量对应的评分值。
信任阈值确定模块506,用于根据设备当前的性能数据进行计算,确定所述设备的信任阈值。
攻击检测模块508,用于在所述评分值低于信任阈值时,确定所述访问流量是否与预置的攻击特征匹配。
流量阻断模块510,用于在所述访问流量与所述攻击特征匹配时,阻断所述访问流量。
可选的,所述攻击检测模块508,还可以用于当所述性能状态不为目标状态时,执行确定所述访问流量是否与预置的攻击特征匹配的步骤。
在上述图5A的基础上,可选的,该攻击防御装置还可以包括:评分值减少模块512、评分值增加模块514以及流量放行模块516,如图5B所示。
其中,评分值减少模块512,用于当所述访问流量与所述攻击特征匹配的次数每达到预设的第二次数阈值时,减少所述访问流量在所述评分信任表中对应的评分值。评分值增加模块514,用于当所述访问流量与攻击特征不匹配的次数每达到预设的第一次数阈值时,增加所述访问流量在所述评分信任表中对应的评分值。流量放行模块516,用于在所述访问流量与攻击特征不匹配时,放行所述访问流量。
在本申请的一种优选实施例中,该攻击防御装置还可以包括:放行模块,用于当所述评分值不低于信任阈值时,执行放行所述访问流量。
当然,在本申请中,放行模块也可以用于在评分值不低于信任阈值时,触发流量放行模块516执行放行所述访问流量的步骤;或者,流量放行模块516还可以用于在评分值不低于信任阈值时,执行放行所述访问流量的步骤,本申请实施例对此不作限制。
在本申请一种优选实施例中,所述性能状态确定模块502,可以包括:
判断子模块5021,用于判断当前的性能数据是否超过预置的性能阈值。
状态确定子模块5023,用于当所述性能数据超过预置的性能阈值,确定所述设备处于目标状态。
在本申请实施例中,所述性能数据具体可以包括设备运行的指标数据,如中央处理器占用率、内存占用率等。可选的,状态确定子模块5023,可以具体用于在当前的性能数据超过预置的性能阈值时,确定所述设备处于目标状态,并触发评分值确定模块504执行确定所述访问流量对应的评分值的步骤,以及触发信任阈值确定模块508执行确定述设备的信任阈值的步骤;也可以在当前的性能数据不超过预置的性能阈值时,触发攻击检测模块508执行检测所述访问流量是否与预置的攻击特征匹配的步骤。
可选的,评分值确定模块504,可以包括如下子模块:
提取子模块5041,用于从所述访问流量中提取源地址和目的地址。
访问时段确定子模块5043,用于根据当前的时间,确定所述访问流量对应的访问时段。
评分值确定子模块5045,用于基于所述源地址、目的地址以及访问时段查询预置的信任评分表,确定所述评分值。
在本申请实施例中,所述评分值可以是依据历史访问流量从所述源地址到所述目的地址对应的网站站点的访问情况生成的。评分值确定模块504,还可以用于在确定访问流量对应的评分值后,判断评分值是否低于信任阈值确定模块506所确定的信任阈值;在评分值低于信任阈值时,攻击检测模块508执行检测所述访问流量的报文是否与预置的攻击特征匹配的步骤;在评分值不低于信任阈值时,触发流量放行模块516执行放行所述访问流量的步骤。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本申请所提供的一种攻击防御方法和一种攻击防御装置,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。