一种基于流量分析的网络攻击防护方法和装置制造方法及图纸

本申请公开了一种基于流量分析的网络攻击防护方法，包括：采集经过网络服务器与网络路由设备之间的网络流量；解析所述网络流量中的网络访问参数；通过与预置规则匹配，查找由网络攻击源访问网络服务器产生的网络流量对应的目标网络访问参数；根据所述目标网络访问参数禁止所述网络攻击源与所述网络服务器建立连接。采用本申请实施例的方案，无需对客户端或外部服务器进行任何设置操作，降低了用户的学习成本；相比于传统需要接入WAF服务器的方式，本申请实施例针对所有访问网络服务器的客户端或外部服务器，无需接入WAF服务器，都可以进行安全检测，为网络服务器提供100％的安全防护，提高了云计算网络整体的安全性。

Network attack protection method and device based on flow analysis

The invention discloses a network attack protection method based on traffic analysis includes: collecting network traffic between a web server and a network routing device through the network traffic analysis; network access parameters; through matching with the preset rules, find a network attack source access network traffic network corresponding to the target network access server according to the target parameters; network access parameters prohibit the network attack source and the network server connection. The embodiment of the invention of the plan, without the need for any external client or server set operations, reduce the user's learning costs; compared to the traditional way to access the WAF server, the embodiment of the invention for the client or server for all external access to the network server, without access to the WAF server, can be carried out safety testing to provide security for the network server 100%, cloud computing to improve the security of the whole network.

【技术实现步骤摘要】

本申请涉及网络
，具体涉及一种基于流量分析的网络攻击防护方法，以及一种基于流量分析的网络攻击防护装置。
技术介绍
Web应用越来越丰富的同时，web服务器也逐渐成为了主要的攻击目标，SQL注入、网页篡改、网页挂马等安全事件也频繁发生。通常采用WAF(WebApplicationFirewall，web应用防火墙)作为访问控制设备来加强web服务器的安全，通过解析web客户端发起的请求，对其中的内容进行检测，确保请求的合法性，阻断非法的请求，可以对web服务器进行有效防护。早期的WAF通常是一种硬件设备，通过串联或者旁路方式接入到网络中，一般适用于IDC(InternetDataCenter，互联网数据中心)机房或企业用户。在当前盛行的云计算网络中，提供给用户的WAF通常是云WAF，即所有的WAF功能都是通过云端提供，不需要在本地部署产品。其实现方式为通过修改用户终端的NS(NameServe，域名服务器)记录或CNAME记录(别名记录)将网络流量导入的WAF服务器。现有的WAF存在如下弊端：1、因为硬件形式的WAF的防护规则是预定义的，在新的漏洞出现后防护规则更新困难。并且其部署方式的复杂性和较高的维护成本决定了其并不适用于云计算网络环境。2、需要用户自己更改NS记录或CNAME记录才能实现安全防护，增加了用户的学习成本；并且，针对未接入WAF服务器的用户终端，无法对web服务器提供安全防护，在云计算网络中不能达到100％防护，降低了云计算网络整体的安全性。3、现有的WAF的处理一般是先完成网络请求与所有规则的匹配后再决定该请求是拦截还是放过，增加了用户访问Web服务器的延时。4、现有的WAF针对的是单一网站或单一Web服务的防护，对于针对整个网络的大规模漏洞扫描感知较差，对于同一个攻击者对云计算网络的大规模扫描未作很好的联动防护。
技术实现思路
本申请实施例所要解决的技术问题是提供一种部分或全部解决上述问题的基于流量分析的网络攻击防护方法。相应的，本申请实施例还提供了一种基于流量分析的网络攻击防护装置，用以保证上述方法的实现及应用。为了解决上述问题，本申请公开了一种基于流量分析的网络攻击防护方法，包括：采集经过网络服务器与网络路由设备之间的网络流量；解析所述网络流量中的网络访问参数；通过与预置规则匹配，查找由网络攻击源访问网络服务器产生的网络流量对应的目标网络访问参数；根据所述目标网络访问参数禁止所述网络攻击源与所述网络服务器建立连接。优选地，所述采集经过网络服务器与网络路由设备之间的网络流量包括：采用连接在所述网络服务器与所述网络路由设备之间的网络分光器、网络交换机或集线器，复制所述网络供应商服务器发送给所述网络路由设备的网络流量。优选地，所述采集经过网络服务器与网络路由设备之间的网络流量还包括：通过网络分流器对属于同一次网络访问的所述网络流量进行划分。优选地，所述网络流量为TCP报文，在所述解析所述网络流量中的网络访问参数之前，所述方法还包括：确定所述TCP报文为记录一次完整的网络访问过程的Http数据。优选地，在所述解析所述网络流量中的网络访问参数之前，所述方法还包括：若所述TCP报文并非记录一次完整的网络访问过程的Http数据，则根据所述TCP报文携带的编号，将属于同一次网络访问的多个TCP报文重组为记录经过七层网络传输结构的一次网络访问的Http数据。优选地，所述网络访问参数包括统一资源标识符、访问源IP、访问目的IP、Host字段、访问链接来源、用户代理、cookie和访问请求参数中至少一种。优选地，所述通过与预置规则匹配，查找由网络攻击源访问网络服务器产生的网络流量对应的目标网络访问参数包括：针对对应同一次网络访问的网络流量，将所述网络访问参数与所述预置规则匹配，所述预置规则指示所述网络攻击源访问所述网络服务器时携带的至少一个特征数据，所述预置规则包括多条子规则；若所述网络访问参数与至少一条所述子规则匹配，则确定对应的网络流量为所述网络攻击源访问所述网络服务器产生的网络流量，并将对应的网络访问参数作为目标网络访问参数。优选地，所述根据所述目标网络访问参数禁止所述网络攻击源与所述网络服务器建立连接为，根据与所述目标网络访问参数属于同一次网络访问的其它至少一个网络访问参数，禁止所述网络攻击源与所述网络服务器建立连接。优选地，所述目标网络访问参数包括所述网络攻击源的统一资源标识符；在所述根据所述目标网络访问参数禁止所述网络攻击源与所述网络服务器建立连接之前，所述方法还包括：在与所述统一资源标识符对应同一次网络访问的网络流量中，提取所述网络攻击源的访问源IP。优选地，所述根据与所述目标网络访问参数属于同一次网络访问的其它至少一个网络访问参数，禁止所述网络攻击源与所述网络服务器建立连接包括：实时采集所述网络服务器发送至所述网络路由设备的网络流量；若所述网络流量中记录的访问源IP与所述网络攻击源的访问源IP匹配，则通过向所述网络攻击源或所述网络服务器发送连接复位报文来中断所述网络攻击源与所述网络服务器之间的连接。优选地，所述根据与所述目标网络访问参数属于同一次网络访问的其它至少一个网络访问参数，禁止所述网络攻击源与所述网络服务器建立连接包括：将所述网络攻击源的访问源IP通知到所述网络服务器所处网络集群中包括的多个网络服务器，以由各个网络服务器在接收到所述网络攻击源的访问源IP的网络访问请求时，中断与所述网络攻击源之间的连接。本申请还提供了一种基于流量分析的网络攻击防护装置，包括：流量采集模块，用于采集经过网络服务器与网络路由设备之间的网络流量；参数解析模块，用于解析所述网络流量中的网络访问参数；参数查找模块，用于通过与预置规则匹配，查找由网络攻击源访问网络服务器产生的网络流量对应的目标网络访问参数；连接禁止模块，用于根据所述目标网络访问参数禁止所述网络攻击源与所述网络服务器建立连接。优选地，所述流量采集模块包括：流量复制子模块，用于采用连接在所述网络服务器与所述网络路由设备之间的网络分光器、网络交换机或集线器，复制所述网络供应商服务器发送给所述网络路由设备的网络流量。优选地，所述流量采集模块还包括：流量划分子模块，用于通过网络分流器对属于同一次网络访问的所述网络流量进行划分。优选地，所述网络流量为TCP报文，所述装置还包括：流量判断模块，用于在所述解析所述网络流量中的网络访问参数之前，确定所述TCP报文为记录一次完整的网络访问过程的Http数据。优选地，所述装置还包括：流量重组模块，用于在所述解析所述网络流量中的网络访问参数之前，若所述TCP报文并非记录一次完整的网络访问过程的Http数据，则根据所述TCP报文携带的编号，将属于同一次网络访问的多个TCP报文重组为记录经过七层网络传输结构的一次网络访问的Http数据。优选地，所述网络访问参数包括统一资源标识符、访问源IP、访问目的IP、Host字段、访问链接来源、用户代理、cookie和访问请求参数中至少一种。优选地，所述参数查找模块包括：规则匹配子模块，用于针对对应同一次网络访问的网络流量，将所述网络访问参数与所述预置规则匹配，所述预置规则指示所述网络攻击源访问所述网络服务器时携带的至少一个特征数据，所述预置规则本文档来自技高网...

【技术保护点】
一种基于流量分析的网络攻击防护方法，其特征在于，包括：采集经过网络服务器与网络路由设备之间的网络流量；解析所述网络流量中的网络访问参数；通过与预置规则匹配，查找由网络攻击源访问网络服务器产生的网络流量对应的目标网络访问参数；根据所述目标网络访问参数禁止所述网络攻击源与所述网络服务器建立连接。

【技术特征摘要】
1.一种基于流量分析的网络攻击防护方法，其特征在于，包括：采集经过网络服务器与网络路由设备之间的网络流量；解析所述网络流量中的网络访问参数；通过与预置规则匹配，查找由网络攻击源访问网络服务器产生的网络流量对应的目标网络访问参数；根据所述目标网络访问参数禁止所述网络攻击源与所述网络服务器建立连接。2.如权利要求1所述的方法，其特征在于，所述采集经过网络服务器与网络路由设备之间的网络流量包括：采用连接在所述网络服务器与所述网络路由设备之间的网络分光器、网络交换机或集线器，复制所述网络供应商服务器发送给所述网络路由设备的网络流量。3.如权利要求1所述的方法，其特征在于，所述采集经过网络服务器与网络路由设备之间的网络流量还包括：通过网络分流器对属于同一次网络访问的所述网络流量进行划分。4.如权利要求1所述的方法，其特征在于，所述网络流量为TCP报文，在所述解析所述网络流量中的网络访问参数之前，所述方法还包括：确定所述TCP报文为记录一次完整的网络访问过程的Http数据。5.如权利要求4所述的方法，其特征在于，在所述解析所述网络流量中的网络访问参数之前，所述方法还包括：若所述TCP报文并非记录一次完整的网络访问过程的Http数据，则根据所述TCP报文携带的编号，将属于同一次网络访问的多个TCP报文重组为记录经过七层网络传输结构的一次网络访问的Http数据。6.如权利要求1所述的方法，其特征在于，所述网络访问参数包括统一资源标识符、访问源IP、访问目的IP、Host字段、访问链接来源、用户代理、cookie和访问请求参数中至少一种。7.如权利要求1所述的方法，其特征在于，所述通过与预置规则匹配，查找由网络攻击源访问网络服务器产生的网络流量对应的目标网络访问参
\t数包括：针对对应同一次网络访问的网络流量，将所述网络访问参数与所述预置规则匹配，所述预置规则指示所述网络攻击源访问所述网络服务器时携带的至少一个特征数据，所述预置规则包括多条子规则；若所述网络访问参数与至少一条所述子规则匹配，则确定对应的网络流量为所述网络攻击源访问所述网络服务器产生的网络流量，并将对应的网络访问参数作为目标网络访问参数。8.如权利要求1所述的方法，其特征在于，所述根据所述目标网络访问参数禁止所述网络攻击源与所述网络服务器建立连接为，根据与所述目标网络访问参数属于同一次网络访问的其它至少一个网络访问参数，禁止所述网络攻击源与所述网络服务器建立连接。9.如权利要求8所述的方法，其特征在于，所述目标网络访问参数包括所述网络攻击源的统一资源标识符；在所述根据所述目标网络访问参数禁止所述网络攻击源与所述网络服务器建立连接之前，所述方法还包括：在与所述统一资源标识符对应同一次网络访问的网络流量中，提取所述网络攻击源的访问源IP。10.如权利要求9所述的方法，其特征在于，所述根据与所述目标网络访问参数属于同一次网络访问的其它至少一个网络访问参数，禁止所述网络攻击源与所述网络服务器建立连接包括：实时采集所述网络服务器发送至所述网络路由设备的网络流量；若所述网络流量中记录的访问源IP与所述网络攻击源的访问源IP匹配，则通过向所述网络攻击源或所述网络服务器发送连接复位报文来中断所述网络攻击源与所述网络服务器之间的连接。11.如权利要求9所述的方法，其特征在于，所述根据与所述目标网络访问参数属于同一次网络访问的其它至少一个网络访问参数，禁止所述网络攻击源与所述网络服务器建立连接包括：将所述网络攻击源的访问源IP通知到所述网络服务器所处网络集群中包括的多个网络服务器，以由各个网络服务器在接收到所述网络攻击源的访
\t问源IP的网络...

【专利技术属性】
技术研发人员：张钊，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY