基于请求重写的恶意文件防御方法、装置及电子设备制造方法及图纸

本发明专利技术提供一种基于请求重写的恶意文件防御方法、装置及电子设备，涉及网络安全技术领域，其中，基于请求重写的恶意文件防御方法包括：接收用户上传的HTTP请求，判断该HTTP请求是否为文件上传请求，如果是，按照预设方式对HTTP请求进行重写；基于安全规则库对重写后的请求进行检测，并根据检测的结果，及安全规则库中的安全规则，执行相应的操作。本发明专利技术能够提高防御系统的安全性。

Malicious File Defense Method, Device and Electronic Equipment Based on Request Rewriting

The invention provides a malicious file defense method, device and electronic device based on request rewriting, which relates to the technical field of network security. The malicious file defense method based on request rewriting includes receiving HTTP request uploaded by user, judging whether the HTTP request is a file upload request, and if so, rewriting the HTTP request in a preset manner, based on security rules. The library detects rewritten requests and performs corresponding operations according to the results of the detection and the security rules in the security rule base. The invention can improve the security of the defense system.

【技术实现步骤摘要】
基于请求重写的恶意文件防御方法、装置及电子设备
本专利技术涉及网络安全
，尤其是涉及一种基于请求重写的恶意文件防御方法、装置及电子设备。
技术介绍
安全规则库是由安全人员人为编写的一系列静态的安全规则，攻击者通过逐步攻击网站探测防御系统对攻击特征的反应，逐步获得攻击特征的信息，从而定位防御系统的漏洞，构造特定的恶意文件上传请求，绕过防御系统的安全规则库的检测，达到攻击服务器的目的。目前，网站防御系统的文件上传请求的检测方式为：把文件上传请求放到安全规则库中进行攻击特征串比较，如果某个请求符合某个特征串，则断定为攻击。然而，由安全人员编写的众多安全规则也不可能全部都绝对的毫无破绽，一旦某个未知的安全规则库漏洞被攻击者探测到，很容易导致恶意文件上传到目标服务器，而传统防御系统在安全规则库漏洞被探测到后被动的修复安全规则，已经于事无补。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种基于请求重写的恶意文件防御方法、装置及电子设备，能够提高防御系统的安全性。第一方面，本专利技术实施例提供了一种基于请求重写的恶意文件防御方法，包括：接收用户上传的HTTP请求；判断HTTP请求是否为文件上传请求；如果HTTP请求为文件上传请求，按照预设方式对HTTP请求进行重写；基于安全规则库对重写后的请求进行检测，并根据检测的结果，及安全规则库中的安全规则，执行相应的操作。结合第一方面，本专利技术实施例提供了第一方面的第一种可能的实施方式，其中，判断HTTP请求是否为文件上传请求的步骤，包括：从HTTP请求中提取请求方法；判断请求方法中是否包括：POST或者PUT；如果否，则判断HTTP请求不是文件上传请求；如果是，则根据HTTP请求的请求头，判断HTTP请求是否为文件上传请求。结合第一方面，本专利技术实施例提供了第一方面的第二种可能的实施方式，其中，根据HTTP请求的请求头，判断HTTP请求是否为文件上传请求的步骤，包括：判断请求头中是否包括Content-Disposition字段；如果否，则判断HTTP请求不是文件上传请求；如果是，则从请求头中提取Content-Disposition字段的值；判断Content-Disposition字段的值是否包括filename；如果是，则判断HTTP请求为文件上传请求；如果否，则判断HTTP请求不是文件上传请求。结合第一方面，本专利技术实施例提供了第一方面的第三种可能的实施方式，其中，按照预设方式对HTTP请求进行重写的步骤，包括：按照预设方式对HTTP请求进行全部解析，得到解析内容；将解析内容替代HTTP请求，作为新的请求。结合第一方面，本专利技术实施例提供了第一方面的第四种可能的实施方式，其中，按照预设方式对HTTP请求进行重写的步骤，包括：将HTTP请求进行逐行解析；将解析后的内容逐行替代HTTP请求的对应部分，得到新的请求。结合第一方面，本专利技术实施例提供了第一方面的第五种可能的实施方式，其中，判断HTTP请求是否为文件上传请求之后，还包括：如果HTTP请求不是文件上传请求，则将HTTP请求放到防御系统的安全规则库中进行检测。结合第一方面，本专利技术实施例提供了第一方面的第六种可能的实施方式，其中，基于安全规则库对重写后的请求进行检测，并根据检测的结果，及安全规则库中的安全规则，执行相应的操作的步骤，包括：判断重写后的请求与安全规则库中的恶意特征串是否匹配；如果是，则基于安全规则库的安全规则，阻断HTTP请求；如果否，则基于安全规则库的安全规则，放行HTTP请求。第二方面，本专利技术实施例还提供一种基于请求重写的恶意文件防御装置，包括：请求接收模块，用于接收用户上传的HTTP请求；请求判断模块，用于判断HTTP请求是否为文件上传请求；请求重写模块，用于在请求判断模块的判断结果为是时，按照预设方式对HTTP请求进行重写；请求检测模块，基于安全规则库对重写后的请求进行检测，并根据检测的结果，及安全规则库中的安全规则，执行相应的操作。第三方面，本专利技术实施例还提供一种电子设备，包括存储器、处理器，存储器上存储有可在处理器上运行的计算机程序，处理器执行计算机程序时实现第一方面及第一方面的任一种可能的实施方式所述的方法的步骤。第四方面，本专利技术实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质，程序代码使处理器执行第一方面及第一方面的任一种可能的实施方式所述的方法。在本专利技术实施例提供的基于请求重写的恶意文件防御方法，首先接收用户上传的HTTP请求，判断该HTTP请求是否为文件上传请求，如果是，按照预设方式对HTTP请求进行重写；基于安全规则库对重写后的请求进行检测，并根据检测的结果，及安全规则库中的安全规则，执行相应的操作。本专利技术能够基于客户端的文件上传请求，按照预设方式对其进行重新获取，并用获取后的请求内容重写原请求，能够防止攻击者通过逐步探测防御系统对攻击特征的反应，定位防御系统的安全规则库漏洞，构造特定的文件上传请求以绕过防御系统安全规则库的检测，提高防御系统的安全性。本专利技术的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术而了解。本专利技术的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。为使本专利技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种基于请求重写的恶意文件防御方法的流程图；图2为本专利技术实施例提供的另一种基于请求重写的恶意文件防御方法的流程图；图3为本专利技术实施例提供的一种基于请求重写的恶意文件防御装置的示意图；图4为本专利技术实施例提供的一种电子设备的示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。现有的网站防御系统的文件上传请求的检测方式为：把文件上传请求放到安全规则库中进行攻击特征串比较，如果某个请求符合某个特征串，则断定为攻击。然而，一旦某个未知的安全规则库漏洞被攻击者探测到，很容易导致恶意文件上传到目标服务器，而传统防御系统在安全规则库漏洞被探测到后被动的修复安全规则，已经于事无补。基于此，本专利技术实施例提供一种基于请求重写的恶意文件防御方法、装置及电子设备，能够基于客户端的文件上传请求，按照预设方式对其进行重新获取，并用获取后的请求内容重写原请求，能够防止攻击者通过逐步探测防御系统对攻击特征的反应，定位防御系统的安全规则库漏洞，构造特定的文件上传请求以绕过防御系统安全规则库的检测，提高防御系统的安全性。为便于对本实施例进行理解，首先对本专利技术实施例所公开的一种基于请求重写的恶意文件防御方法进行详细介绍。本专利技术实施例提供了本文档来自技高网...

【技术保护点】
1.一种基于请求重写的恶意文件防御方法，其特征在于，包括：接收用户上传的HTTP请求；判断所述HTTP请求是否为文件上传请求；如果所述HTTP请求为文件上传请求，按照预设方式对所述HTTP请求进行重写；基于安全规则库对所述重写后的请求进行检测，并根据所述检测的结果，及所述安全规则库中的安全规则，执行相应的操作。

【技术特征摘要】
1.一种基于请求重写的恶意文件防御方法，其特征在于，包括：接收用户上传的HTTP请求；判断所述HTTP请求是否为文件上传请求；如果所述HTTP请求为文件上传请求，按照预设方式对所述HTTP请求进行重写；基于安全规则库对所述重写后的请求进行检测，并根据所述检测的结果，及所述安全规则库中的安全规则，执行相应的操作。2.根据权利要求1所述的方法，其特征在于，判断所述HTTP请求是否为文件上传请求的步骤，包括：从所述HTTP请求中提取请求方法；判断所述请求方法中是否包括：POST或者PUT；如果否，则判断所述HTTP请求不是文件上传请求；如果是，则根据所述HTTP请求的请求头，判断所述HTTP请求是否为文件上传请求。3.根据权利要求2所述的方法，其特征在于，根据所述HTTP请求的请求头，判断所述HTTP请求是否为文件上传请求的步骤，包括：判断所述请求头中是否包括Content-Disposition字段；如果否，则判断所述HTTP请求不是文件上传请求；如果是，则从所述请求头中提取Content-Disposition字段的值；判断所述Content-Disposition字段的值是否包括filename；如果是，则判断所述HTTP请求为文件上传请求；如果否，则判断所述HTTP请求不是文件上传请求。4.根据权利要求1所述的方法，其特征在于，按照预设方式对所述HTTP请求进行重写的步骤，包括：按照所述预设方式对所述HTTP请求进行全部解析，得到解析内容；将所述解析内容替代所述HTTP请求，作为新的请求。5.根据权利要求1所述的方法，其特征在于，按照预设方式...

【专利技术属性】
技术研发人员：朱孟强，范渊，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江,33