本发明专利技术提供一种WEB应用防护方法和装置,应用于报文转发设备上。其中,所述方法包括:从报文转发设备所接收到的报文中筛选出HTTP协议报文;利用多模匹配算法对筛选出的HTTP协议报文进行切分,获取至少一个特征字段;分析所述特征字段,确认所述HTTP协议报文是否为可疑报文;对确认为可疑报文的HTTP协议报文采取防护处理,对确认不是可疑报文的HTTP协议报文进行转发。本发明专利技术能够有效提高可疑报文的识别率,及时对WEB应用进行防护。
【技术实现步骤摘要】
本专利技术涉及WEB应用
,尤其涉及一种WEB应用防护方法及装置。
技术介绍
随着互联网技术的迅猛发展,许多用户的关键业务基于WEB应用来实现,而WEB应用的核心是HTTP协议。由于HTTP协议报文可能包含一些具有敏感字以及关键字信息的字段,这些字段容易对WEB应用安全产生影响,也可能提供给非授权用户攻击思路,进而威胁到整个网络的安全。因此为了保证网络的安全,需要对WEB应用进行防护。而目前WEB应用防护领域通常采用单模匹配的方式,对整个HTTP协议报文进行特征信息的识别检测。但该方式检查范围广,不具有针对性,误报率和漏报率都很高,所以不能准确的识别出HTTP协议报文中的特征信息,进而不能及时对WEB应用采取防护处理。
技术实现思路
有鉴于此,本专利技术提供一种WEB应用防护方法,应用于报文转发设备上,所述方法包括:从报文转发设备所接收到的报文中筛选出HTTP协议报文;利用多模匹配算法对筛选出的HTTP协议报文进行切分,获取至少一个特征字段;分析所述特征字段,确认所述HTTP协议报文是否为可疑报文;对确认为可疑报文的HTTP协议报文采取防护处理,对确认不是可疑报文的HTTP协议报文进行转发。本专利技术还提供一种WEB应用防护装置,应用于报文转发设备上,所述装置包括:筛选单元,用于从报文转发设备所接收到的报文中筛选出HTTP协议报文;切分单元,用于利用多模匹配算法对筛选出的HTTP协议报文进行切分,获取至少一个特征字段;分析单元,用于分析所述特征字段,确认所述HTTP协议报文是否为可疑报文;处理单元,用于对确认为可疑报文的HTTP协议报文采取防护处理,对确认不是可疑报文的HTTP协议报文进行转发。本专利技术能够有效提高HTTP协议报文中可疑报文的识别率,及时对WEB应用进行防护。【附图说明】图1是本专利技术提供的一种WEB应用防护装置运行的硬件环境示意图。图2是本专利技术提供的一种WEB应用防护方法处理流程图。图3是本专利技术提供的一种获取特征字段的方法处理流程图。图4是本专利技术提供的另一种获取特征字段的方法处理流程图。【具体实施方式】本专利技术提供一种WEB应用防护的技术方案,该技术方案应用于报文转发设备上。首先从报文转发设备所接收到的报文中筛选出HTTP协议报文,然后利用多模匹配算法对筛选出的HTTP协议报文进行切分,获取至少一个特征字段,接着分析所述特征字段,确认所述HTTP协议报文是否为可疑报文,最后对确认为可疑报文的HTTP协议报文采取防护处理,对确认不是可疑报文的HTTP协议报文进行转发。由上述内容可知,本专利技术是将HTTP协议报文进行切分,然后再进行特征的识别判定,相对于现有技术对整个HTTP协议报文进行特征识别的方法,本专利技术的判断更加有效,对WEB应用提供的防护也更加精准。本专利技术提供一种WEB应用防护装置,该装置运行的硬件环境如图1所示。本专利技术提供的装置包括筛选单元、切分单元、分析单元以及处理单元,如图2所示,上述单元相互配合执行如下处理流程。步骤101,筛选单元从报文转发设备所接收到的报文中筛选出HTTP协议报文。由于报文转发设备通常会接收到各种各样的数据报文和协议报文,而HTTP协议报文只是其中的一种,所以在进行以下步骤之前,要先将HTTP协议报文筛选出来。而所有报文的头部通常都会有标明该报文类型的标识,所述筛选单元可以通过报文头部的标识来筛选出HTTP协议报文。步骤102,切分单元利用多模匹配算法对筛选出的HTTP协议报文进行切分,获取至少一个特征字段。一般情况下,HTTP协议报文包括HTTP请求报文和HTTP响应报文。其中,HTTP请求报文包括请求行、消息报头、请求正文;HTTP响应报文包括状态行、消息报头、响应正文。因此,一个HTTP协议报文可以切分为三个大的字段。但为了使本专利技术提供的技术方案达到更好的效果,还可以进一步的进行切分。例如,可以切分出能识别的网络链接、版本号、请求方法、报文产生的时间、指定客户端接受哪些类型的信息、指定被请求资源的Internet主机和端口号、浏览器类型、操作系统、浏览器内核等信息的字段,切分的越细致,达到的效果也就越好。为了能够合理细致的对所述HTTP协议报文进行切分,切分单元通常采用多模匹配算法对HTTP协议报文进行切分,并获取特征字段。具体方式包括以下两种。请参考图3,第一种方式中,切分单元可以执行以下步骤。步骤201,利用多模匹配算法将筛选出的HTTP协议报文切分成若干个字段,并记录所述字段的开始位置和结束位置。所述多模匹配算法包括AC算法、Wu-Manber算法和ExB算法。在优选的实施方式中,本专利技术采用AC算法,即Aho-Corasick自动机算法(简称AC自动机)。该算法具有两大优点,一是计算时间复杂度与关键字的数目长度无关,二是读取信息时不需要回溯,因此,以AC算法为最佳选择,当然其他的多模匹配算法也能达到预定效果。由于本专利技术提供的技术方案,是将报文先进行切分,然后再对切分出来的各个字段进行详细解析。而现有技术则是采用单模匹配的方法,对整个HTTP协议报文内容进行解析,因此现有技术识别特征信息的准确性较低。所以,本专利技术提供的技术方案提高了识别特征信息的准确性,进而增强了为WEB应用提供防护的准确性。为了方便下一步的处理,切分单元在切分HTTP协议报文时,会进一步的将切分出的字段的开始位置和结束位置,这样可以根据开始位置和结束位置找到所述HTTP协议报文中的任一字段。步骤202,根据所述开始位置和结束位置,获取所述字段。根据步骤201记录的开始位置和结束位置,逐一获取切分出的字段进行分析。但是也不仅仅局限与逐一获取这种方式,可以根据本专利技术装置的性能设置获取字段的数量。也就是说,所述装置的性能越好,可设置的单次获取字段的数量越大。步骤203,当所述字段与预设的选取策略匹配时,确定所述字段为特征字段,并记录所述特征字段的开始位置和结束位置。这里所述的选取策略可以是选取包含可识别的网络链接的字段,选取包含有IP地址的字段,选取包含有报文产生时间的字段等等。在优选的实施方式中,所设定的选取策略往往包含上述选取策略的一种或多种,具体的设置选取策略的方式可以根据实际情况而定。这里需要说明的是,该方式通常先记录特征字段的开始位置和结束位置,再根据开始位置和结束位置获取所述特征字段,以便后期对所述特征字段进行分析处理。由于在一般情况下,报文转发设备会将要处理的信息先暂存在缓存里,处理结束后,将存放在缓存里的信息释放,使得缓存里的空间可以再被利用,由于缓存的空间十分有限,大量占用缓存会影响所述报文转发设备的处理速度。所以本方式先记录字段的开始位置和结束位置,也就是先只将字段的开始位置和结束位置存放在缓存中,这样占用的缓存空间就比较小,有利于提高所述报文转发设备的工作效率。当前第1页1 2 本文档来自技高网...
【技术保护点】
一种WEB应用防护方法,应用于报文转发设备上,其特征在于,所述方法包括:从报文转发设备所接收到的报文中筛选出HTTP协议报文;利用多模匹配算法对筛选出的HTTP协议报文进行切分,获取至少一个特征字段;分析所述特征字段,确认所述HTTP协议报文是否为可疑报文;对确认为可疑报文的HTTP协议报文采取防护处理,对确认不是可疑报文的HTTP协议报文进行转发。
【技术特征摘要】
【专利技术属性】
技术研发人员:李盼盼,
申请(专利权)人:杭州迪普科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。