和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
[0039]计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPR0M)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
[0040]本申请中,首先,对页面访问请求中的多段请求信息分别从头至尾一次扫描,以获得所述页面访问请求在规则因子库中对应的寻址信息,其中,所述寻址信息包括所述规则因子库中的规则因子的地址;然后,根据所述寻址信息与所述规则因子库建立对应的规则树,其中,所述规则树中的节点对应于根据所述寻址信息在所述规则因子库中读取的规则因子;接下来,根据所述节点所对应规则因子的因子相关信息,以及所述规则树的结构信息,确定所述规则树所对应的攻击决策信息;最后,根据所述攻击决策信息,分为拦截模式和学习模式两种情况处理所述页面访问请求。
[0041]本申请中的防御网络攻击的设备包括但不限于:存储并管理超媒体(包括超文本文件、音频文件、视频文件等基于网页平台的多媒体文件),并通过网络把它们传输和分配给客户端的服务器或服务器应用。优选地,所述防御网络攻击的设备可以是基于Nginx ( 一款高性能Web和反向代理服务器)模块实现的Web服务器。当然,所述防御网络攻击的设备也可以基于Apache (目前世界上用的最多的Web服务器)、Kangle ( 一款跨平台、功能强大、安全稳定、易操作的高性能web服务器和反向代理服务器软件).Tomcat ( 一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器)等模块实现。本领域技术人员应能理解上述防御网络攻击的设备仅为举例,其他现有的或今后可能出现的防御网络攻击的设备如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
[0042]图1示出根据本申请一个方面的一种防御网络攻击的方法流程图。
[0043]该方法包括步骤S11、步骤S12、步骤S13和步骤S14。具体地,在步骤S11中,设备1扫描页面访问请求,以获得所述页面访问请求在规则因子库中对应的寻址信息;在步骤S12中,设备1根据所述寻址信息与所述规则因子库建立对应的规则树,其中,所述规则树中的节点对应于根据所述寻址信息在所述规则因子库中读取的规则因子;在步骤S13中,设备1根据所述节点所对应规则因子的因子相关信息确定所述规则树所对应的攻击决策信息;在步骤S14中,设备1根据所述攻击决策信息处理所述页面访问请求。
[0044]在此,所述设备1包括但不限于用户设备、网络设备、或用户设备与网络设备通过网络相集成所构成的设备。所述用户设备其包括但不限于任何一种可与用户通过触摸板进行人机交互的移动电子产品,例如智能手机、PDA (Personal Digital Assistant,掌上电脑)等,所述移动电子产品可以采用任意操作系统,如android(安卓)操作系统、1S操作系统(苹果公司的移动操作系统)等。其中,所述网络设备包括一种能够按照事先设定或存储的指令,自动进行数值计算和信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等。所述网络设备其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云;在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个虚拟超级计算机。所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc网络)等。优选地,设备1还可以是运行于所述用户设备、网络设备、或用户设备与网络设备、网络设备、触摸终端或网络设备与触摸终端通过网络相集成所构成的设备上的脚本程序。当然,本领域技术人员应能理解上述设备1仅为举例,其他现有的或今后可能出现的设备1如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
[0045]设备1的各个步骤之间是持续不断工作的。具体地,在步骤S11中,设备1持续扫描页面访问请求,以获得所述页面访问请求在规则因子库中对应的寻址信息;在步骤S12中,设备1持续根据所述寻址信息与所述规则因子库建立对应的规则树,其中,所述规则树中的节点对应于根据所述寻址信息在所述规则因子库中读取的规则因子;在步骤S13中,设备1持续根据所述节点所对应规则因子的因子相关信息确定所述规则树所对应的攻击决策信息;在步骤S14中,设备1持续根据所述攻击决策信息处理所述页面访问请求;直至步骤S11中设备1停止扫描页面访问请求。
[0046]在步骤S11中,设备1扫描页面访问请求,以获得所述页面访问请求在规则因子库中对应的寻址信息。
[0047]在此,所述页面访问请求可以包括多段请求信息。所述规则因子库由若干个规则因子构成。根据不同的分类原则,所述规则因子可以分为普通因子和特殊因子,例如分号、括号等标点和from等普通单词属于普通因子,select、un1n等具有一定特征的单词属于特殊因子;也可以按照攻击类型进行分类,例如所述规则因子可以包括但不限于SQL (Structured Query Language,结构化查询语言)注入类型因子和XSS (Cross SiteScripting,跨站脚本攻击)类型因子,其中,所述SQL注入类型因子包括select、update等,所述XSS类型因子包括javascript、alert等。所述寻址信息包括所述规则因子库中的规则因子的地址。(在此,from等普通单词常出现在普通语句中,select、un1n等具有一定特征的单词常出现在攻击语句中。select、update等单词属于SQL注入类型的保留字,javascript、alert等属于XSS类型的保留字。)
[0048]具体地,所述请求信息包括以下至少任一项:所述页面访问请求中的统一资源标识符(Uniform Resource Identifier, URI);所述页面访问请求中统一资源定位符(Uniform Resource Locator,URL)所包含的参数信息;所述页面访问请求中的头部信息;所述页面访问请求中的主体部分。
[0049]具体地,在步骤S11中,设备1分别扫描页面访问请求中的多段请求信息,以获得所述页面访问请求在规则因子库中对应的寻址信息。
[0050]在此,分别扫描所述页面访问请求中的统一资源标识符、统一资源定位符所包含的参数信息、头部信息、主体部分,以获得所述页面访问请求在规则因子库中对应的寻址信息。
[0051]优选地,在步骤S11中,设备1对页面访问请求中的多段请求信息分别从头至尾一次扫描,以获得所述页面访问请求在规则因子库中对应的寻址信息。
[0052]在此,分别从头至尾一次扫描所述页面访问请求中的统一资源标识符、统一资源定位符所包含的参数信息、头部信息、主体部分,以获得所述页面访问请求在规则因子库中对应的寻址信息。而在现有技术中对页面访问请求普遍采用来回多次扫描的方式,效率低下。
[0053]在具体的实施例中,可以通过预定的匹配算法扫描页面访问请求。参照图3,图中箭头指向右方的水平线段指明了扫描方向,箭头指向上方的竖直线段指明了当前的扫描位置。对页面