Web应用安全防护方法与Web应用防火墙系统与流程

本发明涉及网络应用安全技术领域，更具体的说，涉及web应用安全防护方法与web应用防火墙系统。

背景技术：

waf(web应用防火墙，webapplicationfirewall)系统，主要用于实现对web特有入侵方式的加强防护，如ddos防护、sql注入、xml注入、xss等。

现有的waf系统占用内存较大，解析请求会消耗较多的时间，对延时较敏感的业务影响较大。尤其是在处理大量的实时请求时，出于保证请求检测的准确性与实时性的考虑，通常需要耗费大量的服务器资源来提供支撑，导致waf系统对服务器资源的占用率较高，进而影响其他业务对服务器资源的正常使用。

因此，目前迫切需要一种切实有效的技术方案，以降低waf系统对服务器资源的占用率。

技术实现要素：

有鉴于此，本发明提供了一种web应用安全防护方法与web应用防火墙系统，以解决现有waf系统对服务器资源占用率较高的技术问题。

为实现上述目的，本发明提供如下技术方案：

一种web应用安全防护方法，应用于web应用防火墙waf系统，所述waf系统至少包括web服务器与nginx服务器；所述web服务器是采用python中的tornado框架搭建的；所述方法包括：

利用所述web服务器，检测由所述nginx服务器传送来的访问请求是否为异常请求，得到检测结果；

利用所述web服务器，向所述nginx服务器中预置的lua脚本发送所述检测结果；

利用所述nginx服务器读取传入所述lua脚本的所述检测结果，以确定所述访问请求是否为异常请求；

当所述访问请求为异常请求时，利用所述预置的lua脚本，对所述访问请求进行拦截处理；

当所述访问请求不为异常请求时，利用所述nginx服务器，将所述访问请求转发至相应的业务线源站。

优选的，所述利用所述web服务器，检测由所述nginx服务器传送来的访问请求是否为异常请求，得到检测结果包括：

利用所述web服务器，检测由所述nginx服务器传送来的访问请求是否与所述web服务器中预置的白名单相匹配；

若所述访问请求与所述白名单相匹配，则生成所述访问请求不为异常请求的检测结果；

若所述访问请求与所述白名单不匹配，则检测所述访问请求是否与所述web服务器中预置的攻击模型相匹配；

若所述访问请求与所述攻击模型相匹配，则生成所述访问请求为异常请求的检测结果；

若所述访问请求与所述攻击模型不匹配，则生成所述访问请求不为异常请求的检测结果。

优选的，所述方法还包括：

利用所述web服务器，对预设时间周期内接收到的访问请求进行统计分析，获取正常请求的参数格式；

基于所述正常请求的参数格式，更新所述白名单；

将所述预设时间周期内接收到的访问请求中，不符合所述正常请求的参数格式的访问请求，与所述攻击模型进行匹配；

当所述不符合所述正常请求的参数格式的访问请求，与所述攻击模型不匹配时，输出所述不符合所述正常请求的参数格式的访问请求，以供人工复检；

根据所述人工复检的结果，更新所述攻击模型。

优选的，所述方法还包括：

获取需要开启waf服务的第一业务线的域名；

将所述lua脚本与所述第一业务线的域名相关联；

为所述第一业务线加载所述lua脚本，以开启所述第一业务线的waf服务。

优选的，所述方法还包括：

当检测到第二业务线遭受到攻击时，为所述第二业务线加载所述lua脚本，以开启所述第二业务线的waf服务；

当检测到所述第二业务线不再遭受攻击时，终止所述第二业务线的waf服务。

优选的，所述当检测到第二业务线遭受到攻击时，为所述第二业务线加载所述lua脚本，以开启所述第二业务线的waf服务包括：

当检测到第二业务线遭受到攻击时，获取攻击者的ip地址；

将所述攻击者的ip地址，添加到所述lua脚本的ip黑名单中；

为所述第二业务线加载所述lua脚本，以开启所述第二业务线的waf服务，拒绝来自所述攻击者的ip地址的访问请求。

一种web应用防火墙waf系统，所述waf系统至少包括web服务器与nginx服务器；所述web服务器是采用python中的tornado框架搭建的；

所述web服务器，用于检测由所述nginx服务器传送来的访问请求是否为异常请求，得到检测结果，并向所述nginx服务器中预置的lua脚本发送所述检测结果；

所述nginx服务器，用于利用nginx服务器读取传入所述lua脚本的所述检测结果，以确定所述访问请求是否为异常请求；当所述访问请求为异常请求时，利用所述预置的lua脚本，对所述访问请求进行拦截处理；当所述访问请求不为异常请求时，将所述访问请求转发至相应的业务线源站。

优选的，所述web服务器包括：

白名单匹配单元，用于检测由所述nginx服务器传送来的访问请求是否与所述web服务器中预置的白名单相匹配；若所述访问请求与所述白名单相匹配，则生成所述访问请求不为异常请求的检测结果；

攻击模型匹配单元，用于若所述访问请求与所述白名单不匹配，则检测所述访问请求是否与所述web服务器中预置的攻击模型相匹配；若所述访问请求与所述攻击模型相匹配，则生成所述访问请求为异常请求的检测结果；若所述访问请求与所述攻击模型不匹配，则生成所述访问请求不为异常请求的检测结果。

优选的，所述nginx服务器包括：

主动防护单元，用于获取需要开启waf服务的第一业务线的域名；将所述lua脚本与所述第一业务线的域名相关联；为所述第一业务线加载所述lua脚本，以开启所述第一业务线的waf服务。

优选的，所述nginx服务器还包括：

被动防护单元，用于当检测到第二业务线遭受到攻击时，为所述第二业务线加载所述lua脚本，以开启所述第二业务线的waf服务；当检测到所述第二业务线不再遭受攻击时，终止所述第二业务线的waf服务。

从上述的技术方案可以看出，本发明提供的web应用安全防护方法与web应用防火墙系统中，该waf系统至少包括web服务器与nginx服务器；web服务器采用python中的tornado框架搭建。基于该waf系统，利用web服务器检测由nginx服务器传送来的访问请求是否为异常请求，得到检测结果；利用web服务器向nginx服务器中预置的lua脚本发送检测结果；利用nginx服务器读取传入lua脚本的检测结果，以确定访问请求是否为异常请求；当访问请求为异常请求时，利用预置的lua脚本对访问请求进行拦截处理；当访问请求不为异常请求时，利用nginx服务器将访问请求转发至相应的业务线源站。该waf系统利用python解析请求，使用lua脚本，依托于nginx服务器部署，在实现web应用安全防护的同时，无需占用过多的服务器资源，降低了waf系统对服务器资源的占用率，且更易于后期更新和维护。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的web应用安全防护方法的一种流程图；

图2为本发明实施例提供的web应用安全防护方法的另一种流程图；

图3为本发明实施例提供的白名单与攻击模型的更新过程的流程图；

图4为本发明实施例提供的白名单与攻击模型的更新过程的示意图；

图5为本发明实施例提供的web应用安全防护方法的又一种流程图；

图6为本发明实施例提供的web应用安全防护方法的再一种流程图；

图7为本发明实施例提供的web应用安全防护方法的系统流程示例图；

图8为本发明实施例提供的waf系统的一种结构示意图；

图9为本发明实施例提供的waf系统的另一种结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明针对现有waf(web应用防火墙，webapplicationfirewall)系统对服务器资源占用率较高的情况，提供了基于lua-nginx的轻量级的waf系统，以及适用于该waf系统的web应用安全防护方法。

请参阅图1，图1为本发明实施例提供的web应用安全防护方法的一种流程图。

本发明提供的waf系统中至少包括web服务器与nginx服务器；其中，web服务器是采用python中的tornado框架搭建出来的。

如图1所示，本实施例的web应用安全防护方法可包括：

s101：利用web服务器，检测由nginx服务器传送来的访问请求是否为异常请求，得到检测结果。

web服务器所具备的功能可包括：接收访问请求、处理访问请求以及判断访问请求是否为异常请求等。

web服务器在检测访问请求是否为异常请求时，可基于预置的waf规则库，来对接收到的访问请求进行异常检测。具体地，在使用web服务器时预先编译好了waf规则库中的正则表达式，其中也可包括适用于字符串匹配的其他规则，来提高整体的匹配效率。

waf规则库可采用json文件的形式预置在web服务器中，在后续也可以不断进行迭代更新。waf规则库对应的json文件可命名为rule.js，当然也可命名为其他名称，在此不作具体限定。

web服务器接收到由nginx服务器传送来的访问请求后，可提取访问请求中目标参数的值，并将目标参数的值与waf规则库中的web漏洞的正则表达式进行匹配，以确定由nginx服务器传送来的访问请求是否为异常请求。其中，目标参数是指由nginx服务器传送来的访问请求中用于确定访问请求是否为异常请求的相关参数，访问请求的目标参数可包括uri、body、arguments、headers等，这些目标参数均为nginx的请求中的字段。

在不断接收访问请求的过程中，在确定出正常请求与异常请求之后，还可以将正常请求与异常请求分别保存在web服务器中，以便后续统计分析使用。

如果匹配成功，则意味着在匹配过程中发现了攻击，则确定访问请求为异常请求，此时，web服务器可以为其生成一个函数返回值“check-status＝bad”来作为检测结果。

s102：利用web服务器，向nginx服务器中预置的lua脚本发送检测结果。

其中，web服务器具体是向nginx服务器中预置的lua脚本返回相应的检测结果。

nginx服务器中预置的lua脚本，是采用lua语言编写的，具体地，lua脚本是采用lua-nginx-module编写的。其中，lua-nginx-module是一个结合了lua和nginx的开源模板，可以理解为函数库，它提供了很多接口以供调用。

一示例中，web服务器会向nginx服务器发送处理请求，可在该处理请求中携带检测结果。

s103：利用nginx服务器读取传入lua脚本的检测结果，以确定访问请求是否为异常请求。

lua脚本可用于接收web服务器发送来的检测结果(如函数返回值“check-status＝bad”)，然后，nginx服务器读取传入lua脚本的检测结果，便可确定访问请求是否为异常请求。此外，在lua脚本中也可以设置ip黑名单，以对黑名单中的ip地址发送来的访问请求进行拦截。

s104：当访问请求为异常请求时，利用预置的lua脚本，对访问请求进行拦截处理。

在lua脚本接收到web服务器向nginx服务器发送处理请求后，如果nginx服务器从传入lua脚本的处理请求中读取到函数返回值为“check-status＝bad”的检测结果，则确定该访问请求为异常请求，并对该访问请求进行拦截处理，阻止该访问请求到达相应的业务线源站。

进一步地，在确定该访问请求为异常请求后，还可通过nginx服务器向该访问请求的发送端返回错误码“403”。

s105：当访问请求不为异常请求时，利用nginx服务器，将访问请求转发至相应的业务线源站。

如果利用nginx服务器确定出访问请求不是异常请求时，则通过nginx服务器将访问请求转发至相应的业务线源站，由业务线源站执行相应的请求处理流程。

本实施例提供的web应用安全防护方法，应用于waf系统，该waf系统至少包括web服务器与nginx服务器；web服务器采用python中的tornado框架搭建。基于该waf系统，利用web服务器检测由nginx服务器传送来的访问请求是否为异常请求，得到检测结果；利用web服务器向nginx服务器中预置的lua脚本发送检测结果；利用nginx服务器读取传入lua脚本的检测结果，以确定访问请求是否为异常请求；当访问请求为异常请求时，利用预置的lua脚本对访问请求进行拦截处理；当访问请求不为异常请求时，利用nginx服务器将访问请求转发至相应的业务线源站。该waf系统利用python解析请求，使用lua-nginx-module，依托于nginx服务器部署，在实现web应用安全防护的同时，无需占用过多的服务器资源，降低了waf系统对服务器资源的占用率，且更易于后期更新和维护。

本发明前期主要是参照开源项目和依据近期频发漏洞创建waf规则库，来对访问请求进行检测，并且定期更新。后期主要是创建白名单，并采用机器学习算法，根据识别出的异常请求，训练出攻击模型，来对访问请求进行检测，以提高检测准确率。

请参阅图2，图2为本发明实施例提供的web应用安全防护方法的另一种流程图。

如图2所示，本实施例的web应用安全防护方法包括：

s201：利用web服务器，接收由nginx服务器传送来的访问请求。

nginx服务器在接收到的公网发送的internet请求后，可通过lua脚本转发访问请求到web服务器。

s202：判断访问请求是否与白名单相匹配，若是，则执行步骤s205；若否，则执行步骤s203。

利用web服务器，检测由nginx服务器传送来的访问请求是否与web服务器中预置的白名单相匹配。

通过分析web服务器记录下来大量的正常请求，利用统计方法得出大部分正常请求的参数格式特征，基于正常请求的参数格式特征，便可生成白名单，并预置在web服务器中。

其中，白名单也可采用正则形式来表达。白名单匹配的原则和前面的waf规则库的匹配原则相类似，在此不再赘述。

s203：判断访问请求是否与攻击模型相匹配，若是，则执行步骤s204；若否，则执行步骤s205。

若访问请求与白名单不匹配，则检测访问请求是否与web服务器中预置的攻击模型相匹配。

其中，对异常请求的参数信息进行分析，利用机器学习算法hmm(隐马尔可夫模型，hiddenmarkovmodel)可建立起基于uri、body、arguments、header等请求参数的攻击模型，可用于对不符合白名单的访问请求执行进一步检测，以减少误判机率。该攻击模型可预置在web服务器中。进一步地，该攻击模型可具体为正则化的攻击模型。

s204：生成访问请求为异常请求的检测结果。

若访问请求与攻击模型相匹配，则生成访问请求为异常请求的检测结果。

s205：生成访问请求不为异常请求的检测结果。

其中，若访问请求与白名单相匹配，则会生成访问请求不为异常请求的检测结果。在这里，采用白名单模式，可直接匹配出与白名单相匹配的访问请求，也即不属于异常请求的访问请求，无需进行模型匹配，从而能够提高访问请求的检测效率。

另一方面，若访问请求与攻击模型不匹配，则同样也会生成访问请求不为异常请求的检测结果。

s206：利用web服务器，向nginx服务器发送检测结果。

具体地，利用web服务器，向nginx服务器中预置的lua脚本发送检测结果。

s207：判断访问请求是否为异常请求，若是，则执行步骤s208；若否，则执行步骤s209。

利用nginx服务器读取传入lua脚本的检测结果，以确定访问请求是否为异常请求。

s208：利用预置的lua脚本，对访问请求进行拦截处理。

当访问请求为异常请求时，利用预置的lua脚本，对访问请求进行拦截处理。

s209：利用nginx服务器，将访问请求转发至相应的业务线源站。

当访问请求不为异常请求时，利用nginx服务器，将访问请求转发至相应的业务线源站。

单纯使用白名单会增加waf被绕过的几率，而单纯使用机器模型(如攻击模型)又会增加waf的处理时间，增加请求处理时延。所以，本发明将这两种模式相结合，利用白名单和攻击模型双重保障，可以在很大程度上克服现有waf的痛点，大符提升waf处理访问请求的效率和准确率。

本实施例提供的web应用安全防护方法，利用web服务器，检测由nginx服务器传送来的访问请求是否与白名单相匹配；若访问请求与白名单相匹配，则生成访问请求不为异常请求的检测结果；若访问请求与白名单不匹配，则检测访问请求是否与攻击模型相匹配；若访问请求与攻击模型相匹配，则生成访问请求为异常请求的检测结果；若访问请求与攻击模型不匹配，则生成访问请求不为异常请求的检测结果，利用白名单和攻击模型双重保障，大符提升了waf处理访问请求的效率和准确率，提高了web应用安全防护的可靠性。

相应的，本发明实施例也提供了白名单与攻击模型的更新方案。

请参阅图3～4，图3为本发明实施例提供的白名单与攻击模型的更新过程的流程图；图4为本发明实施例提供的白名单与攻击模型的更新过程的示意图。

如图3～4所示，本实施例的白名单与攻击模型的更新过程包括：

s301：利用web服务器，对预设时间周期内接收到的访问请求进行统计分析，获取正常请求的参数格式。

s302：基于正常请求的参数格式，更新白名单。

s303：将预设时间周期内接收到的访问请求中，不符合正常请求的参数格式的访问请求，与攻击模型进行匹配。

s304：当不符合正常请求的参数格式的访问请求，与攻击模型不匹配时，输出不符合正常请求的参数格式的访问请求，以供人工复检。

s305：根据人工复检的结果，更新攻击模型。

其中，在人工复检后，可先获取人工复检的结果，再根据人工复检的结果，来更新攻击模型。

在步骤s305执行结束后，可继续执行步骤s301，使得整个更新过程形成一个循环迭代过程。

本实施例提供的web应用安全防护方法，根据web服务器接收到的访问请求，不断地反复进行迭代分析，根据分析结果，不断地更新白名单与攻击模型，持续得到新的白名单和新的攻击模型，如此反复迭代处理下来，能够使得waf处理访问请求的准确性得到显著提升。

对于非轻量级的waf系统，由于耗费服务器资源较高，难以为各个业务线分别实施定制化的waf服务；而基于轻量级的waf系统，便可以充分满足各个业务线定制化waf服务的需求，实现了业务线的定制化服务。

请参阅图5，图5为本发明实施例提供的web应用安全防护方法的又一种流程图。

本实施例的web应用安全防护方法，是在前述实施例的基础上提出的，改进之处在于，本实施例是针对单个业务线实施的web应用安全防护方法。

如图5所示，本实施例的web应用安全防护方法包括：

s501：获取需要开启waf服务的第一业务线的域名。

其中，需要开启waf服务的第一业务线，可以是指当前所有业务线中需要开启waf服务的任一业务线。

需要开启waf服务的第一业务线的域名，可以是业务线根据自身的waf服务需求主动提供出来的自身的域名，也可以是企业内部安全团队通过评估发现的漏洞较多的业务线的域名。

s502：将lua脚本与第一业务线的域名相关联。

lua脚本可命名为“security.conf”，当然也可以取其他名称。

通常情况下，waf服务只需要一个lua脚本，所有域名对应的都是同一个脚本。但如果业务线有其他定制化的需求，则可以修改lua脚本，使业务线与修改后的lua脚本相匹配。

其中，将lua脚本与第一业务线的域名相关联时，具体可以是将lua脚本嵌入到nginx配置文件中，并在nginx配置文件中需要开启waf服务的第一业务线的域名中添加代码“includesecurity.conf”即可。

s503：为第一业务线加载lua脚本，以开启第一业务线的waf服务。

通过重启nginx可以让第一业务线的lua脚本生效，从而开启第一业务线的waf服务。

其中，nginx的重启可采用nginxreload命令来执行。采用nginxreload命令来重启nginx，只会重新加载相应的lua脚本，而对已经运行的nginx服务不会造成影响，以保证已经运行的nginx服务不被中断。

本实施例提供的web应用安全防护方法，获取需要开启waf服务的第一业务线的域名，将lua脚本与第一业务线的域名相关联，并为第一业务线加载lua脚本，以主动开启第一业务线的waf服务，从而实现了业务线的定制化服务与主动式防护，并可使waf系统无感知的服务于业务线，从而提高了waf服务的针对性与准确性。

请参阅图6，图6为本发明实施例提供的web应用安全防护方法的再一种流程图。

如图6所示，本实施例的web应用安全防护方法包括：

s601：当检测到第二业务线遭受到攻击时，为第二业务线加载lua脚本，以开启第二业务线的waf服务。

其中，第二业务线为当前所有业务线中的任一业务线，如果某个业务线突然遭受攻击，就可以立刻为其加载lua脚本，将其纳入到waf保护之下。

一示例中，步骤s601可包括：

a1、当检测到第二业务线遭受到攻击时，获取攻击者的ip地址；

a2、将攻击者的ip地址，添加到lua脚本的ip黑名单中；

a3、为第二业务线加载lua脚本，以开启第二业务线的waf服务，拒绝来自攻击者的ip地址的访问请求。

当某个业务线遭受攻击后，通过在lua脚本中设置ip黑名单，可以直接拒绝来自攻击者ip的访问请求。

此外，根据业务线遭受攻击的情况，如果现有waf规则不能阻止其攻击，则还可以在waf规则库(rule.js)中添加该攻击对应的新规则。新规则可以是通过分析该攻击而提炼出来的正则表达式。

s602：当检测到第二业务线不再遭受攻击时，终止第二业务线的waf服务。

一示例中，步骤s602可具体为：检测到第二业务线在预设时长内不再遭受攻击时，终止第二业务线的waf服务。

本实施例提供的web应用安全防护方法，在某个业务线突然遭受到攻击的情况下，可以把其自动置于waf服务的保护模式下，并且马上增加相应的waf规则来抵御攻击；当该业务线不再遭受到明显攻击时，便可以自动为其移除出waf服务，从而实现了业务线的被动式防护，并可使waf系统无感知地服务于业务线，进一步提高了waf服务的定制化水平，不仅不会显著增加业务延时，避免对业务造成影响，而且可以释放相关资源供其他有需要的业务使用。

请参阅图7，图7为本发明实施例提供的web应用安全防护方法的系统流程示例图。

如图7所示，本实施例的web应用安全防护方法的系统流程主要包括：

nginx接收internet请求；

公网向nginx服务器集群发送internet请求，nginx服务器接收来自公网的internet请求。

②、通过lua脚本转发到web服务器；

nginx服务器，通过预置的lua脚本，将访问请求转发至web服务器。

③、匹配规则；

web服务器利用waf规则库，对接收到的访问请求进行匹配，得到检测结果。

④、web服务器向lua脚本返回检测结果；

web服务器将检测结果发送给nginx服务器，向nginx服务器中预置的lua脚本返回检测结果。

⑤、如果步骤④检测出来是攻击，则通过nginx服务器返回错误码403；

如果步骤④检测出来是攻击，则通过nginx服务器向请求发送方的浏览器返回错误码403。

⑥、如果步骤④未检测到攻击，则将请求转发至业务线源站。

如果步骤④未检测到攻击，则将请求转发至业务线源站，业务线源站执行请求的正常处理流程。

本发明提供的web应用安全防护方法与waf系统，大致可满足以下几个方面的需求：

1)、轻量级。不需要耗费额外的服务器资源，依赖于企业现有的几台服务器即可实现对业务线的定制化服务，且开发代码简洁。

2)、高效性。可同时处理大量请求，并且延时可以忽略不计。

3)、准确性。waf系统对异常请求具有拦截功能，对异常请求的判断准确、误杀较少，不会影响正常业务请求。

本实施例提供的web应用安全防护方法的系统流程，从系统的角度充分展现了本发明的waf系统中web应用安全防护方法的处理流程。该waf系统利用python解析请求，使用lua-nginx-module，依托于nginx服务器部署，在实现web应用安全防护的同时，无需占用过多的服务器资源，降低了waf系统对服务器资源的占用率，且更易于后期更新和维护。

本发明实施例还提供了web应用防火墙waf系统，所述waf系统可用于实施本发明实施例提供的web应用安全防护方法，下文描述的waf系统的技术内容，可与上文描述的web应用安全防护方法的技术内容相互对应参照。

请参阅图8，图8为本发明实施例提供的waf系统的一种结构示意图。

如图8所示，waf系统至少包括web服务器100与nginx服务器200；web服务器100是采用python中的tornado框架搭建的。

web服务器100，用于检测由nginx服务器200传送来的访问请求是否为异常请求，得到检测结果，并向nginx服务器200中预置的lua脚本发送检测结果；

nginx服务器820，用于利用nginx服务器200读取传入lua脚本的检测结果，以确定访问请求是否为异常请求；当访问请求为异常请求时，利用预置的lua脚本，对访问请求进行拦截处理；当访问请求不为异常请求时，将访问请求转发至相应的业务线源站。

本实施例提供的waf系统，至少包括web服务器与nginx服务器；web服务器采用python中的tornado框架搭建。基于该waf系统，利用web服务器检测由nginx服务器传送来的访问请求是否为异常请求，得到检测结果；利用web服务器向nginx服务器中预置的lua脚本发送检测结果；利用nginx服务器读取传入lua脚本的检测结果，以确定访问请求是否为异常请求；当访问请求为异常请求时，利用预置的lua脚本对访问请求进行拦截处理；当访问请求不为异常请求时，利用nginx服务器将访问请求转发至相应的业务线源站。该waf系统采用lua脚本，依托于nginx服务器部署，并用python解析请求，在实现web应用安全防护的同时，无需占用过多的服务器资源，降低了waf系统对服务器资源的占用率，且更易于后期更新和维护。

请参阅图9，图9为本发明实施例提供的waf系统的另一种结构示意图。

如图9所示，waf系统包括前述实施例中的web服务器100与nginx服务器200。

一示例中，web服务器100可包括：白名单匹配单元110与攻击模型匹配单元120。

白名单匹配单元110，用于检测由nginx服务器传送来的访问请求是否与web服务器中预置的白名单相匹配；若访问请求与白名单相匹配，则生成访问请求不为异常请求的检测结果。

攻击模型匹配单元120，用于若访问请求与白名单不匹配，则检测访问请求是否与web服务器中预置的攻击模型相匹配；若访问请求与攻击模型相匹配，则生成访问请求为异常请求的检测结果；若访问请求与攻击模型不匹配，则生成访问请求不为异常请求的检测结果。

一示例中，nginx服务器200可包括：主动防护单元210与被动防护单元220。

主动防护单元210，用于获取需要开启waf服务的第一业务线的域名；将lua脚本与第一业务线的域名相关联；为第一业务线加载lua脚本，以开启第一业务线的waf服务。

被动防护单元220，用于当检测到第二业务线遭受到攻击时，为第二业务线加载lua脚本，以开启第二业务线的waf服务；当检测到第二业务线不再遭受攻击时，终止第二业务线的waf服务。

其中，当检测到第二业务线遭受到攻击时，为第二业务线加载lua脚本，以开启第二业务线的waf服务包括：当检测到第二业务线遭受到攻击时，获取攻击者的ip地址；将攻击者的ip地址，添加到lua脚本的ip黑名单中；为第二业务线加载lua脚本，以开启第二业务线的waf服务，拒绝来自攻击者的ip地址的访问请求。

在其他示例中，web服务器100还可包括：请求统计分析单元、白名单更新单元与攻击模型更新单元。

请求统计分析单元，用于利用web服务器，对预设时间周期内接收到的访问请求进行统计分析，获取正常请求的参数格式。

白名单更新单元，用于基于正常请求的参数格式，更新白名单。

攻击模型更新单元，用于将预设时间周期内接收到的访问请求中，不符合正常请求的参数格式的访问请求，与攻击模型进行匹配；当不符合正常请求的参数格式的访问请求，与攻击模型不匹配时，输出不符合正常请求的参数格式的访问请求，以供人工复检；根据人工复检的结果，更新攻击模型。

本实施例提供的waf系统，利用白名单和攻击模型双重保障，大符提升了waf处理访问请求的效率和准确率，提高了web应用安全防护的可靠性；waf系统在业务线无感知的情况下为其提供了定制化的服务，实现了针对业务线的主动防护与被动防护；waf系统不仅能够避免业务延时的显著增加，避免对业务造成负面影响，而且可以释放相关资源供其他有需要的业务使用。

本发明提供的基于lua-nginx的轻量级的waf系统，可从很大程度上节约服务器资源，通过对大量请求数据进行分析也可以保证waf的效率和准确性；可以对业务线进行个性化定制服务，在业务无感知的情况下及时解决业务线的攻击；而且规则更新时不影响其他业务。通过运用本发明的技术方案，能够充分减少企业搭建高质量waf的成本。

最后，还需要说明的是，在本文中，诸如第一和第一等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式来实现。基于这样的理解，本申请的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本申请的限制。