本发明专利技术提供一种基于白名单的内容锁防火墙方法,包括:步骤200:对网站收到的数据包载荷进行语义解析,获得收到的数据包的解析文本;步骤300:将所述网站收到的数据包的解析文本与文本模式库进行匹配,以决定对收到的数据包进行转发还是拦截,所述文本模式库包含多个关键字的值域和结构特征。基于本发明专利技术的实施例,对于功能相对固定的网站,通过部署本防火墙可以有效防御已知的和新型的网络攻击,可以在保障正常功能的情况下带着漏洞运行,不需要花高昂成本升级。
【技术实现步骤摘要】
一种基于白名单的内容锁防火墙方法及系统
本专利技术涉及网络安全领域,尤其涉及防火墙领域。
技术介绍
防火墙是网站安全防护的主要手段。防火墙从功能上可以分为包过滤防火墙和内容过滤防火墙。包过滤防火墙在不复杂网络中被广泛使用,因为只检查IP层和TCP层的包头信息,速度比较快。包过滤防火墙的主要问题是无法对数据包的内容进行核查。内容过滤防火墙可以对数据包内容进行过滤,检测内容可以是URL地址、特征码等。URL是Internet上每一个网页及其资源的唯一的标识。使用URL过滤,通过提取用户HTTP连接GET/POST请求中的URL字段,并判断URL合法性对HTTP请求包进行放行或者拦截。通常内容过滤防火墙厂商使用大数据技术对恶意流量进行分析、训练和学习得到恶意流量检测模型库,并用来对访问流量进行过滤。这种技术方案的优点是可以追加新的恶意流量检测模型,有效提升网络恶意流量检测的精确度。缺点是从新型网络攻击出现到建立并更新模型有时间差,这期间的攻击无法被拦截。此外,针对特定网站的漏洞攻击,使用大数据技术无法有效学习到。系统漏洞修复一直是Web应用程序不得不面对的问题。对于系统漏洞问题,除了定期升级系统软件外,使用扫描软件对自身网站进行漏洞扫描也是一种方案,但网站漏洞扫描软件基本都需要付费。平台扫描是近几年兴起的另一种解决方式,要将网站提交到平台认证,认证后将扫描结果通过邮件以漏洞清单的形式发给用户。上面提到的方案也只是查找网站漏洞,找到漏洞后还需要专业人员去修复漏洞,另外,据Imperva统计超过三分之一的Web应用程序漏洞没有可用的解决方案。网站挑选防火墙需要考虑其自身业务量、服务对象、内容敏感度和维护成本等因素。多数网站功能相对固定,更新需求不高,比如高校和企事业单位的官方网站,以及一些小公司的门户网站,据统计约68.3%的网站超过6个月才更新一次。这类网站一般不愿或不能承担专业维护的高成本,只使用简单的防火墙防护,从而使网站暴露在被攻击的风险中。
技术实现思路
防火墙的过滤规则可以分为白名单和黑名单。白名单是指匹配规则的流量将都被放行,黑名单是指匹配规则的流量将被拦截。通常包过滤防火墙同时使用白名单和黑名单,内容过滤防火墙一般以黑名单为主。传统防火墙的关键问题是黑名单是不完备的,即使不断更新学习规则库,仍然存在未知类型攻击的可能,并且黑名单的维护成本高。为解决这一问题,本专利技术提出了一种基于白名单的内容锁防火墙方法及系统,包括以下:根据本专利技术的第一方面,提供了一种基于白名单的内容锁防火墙方法,包括:步骤200:对网站收到的数据包载荷进行语义解析,获得收到的数据包的解析文本;步骤300:将所述网站收到的数据包的解析文本与文本模式库进行匹配,以决定对收到的数据包进行转发还是拦截,所述文本模式库包含多个关键字的值域和结构特征。在本专利技术的一个实施例中,其中,所述文本模式库通过下述方式生成:根据对网站已有的正常流量的数据包载荷进行语义解析,通过对解析的文本训练学习,获得多个关键字的值域和结构特征。在本专利技术的一个实施例中,其中,所述文本模式库也可通过编写设定生成。在本专利技术的一个实施例中,其中步骤200还包括:对网站收到的数据包载荷进行语义解析,获得收到的数据包的解析文本的值域和结构特征;以及步骤300进一步包括:对收到数据包的所有解析文本的值域和结构特征与文本模式库进行逐一匹配,如果都正确匹配,则匹配成功,否则匹配失败;如果匹配成功,则转发收到的数据包;如果匹配失败,则拦截收到的数据包,并写入拦截日志。在本专利技术的一个实施例中,其中,所述文本模式库的生成包括:步骤110对正常流量进行预处理;步骤120按照关键字对载荷进行解析获得解析文本;步骤130根据特定的规则对得到的大量解析文本进行分类,分类规则包括网页URL或有效载荷关键字,训练学习每一类解析文本,得到解析文本的值域和结构特征;步骤140聚合所有解析文本的值域和结构特征形成文本特征库,再将文本特征库中的文本特征逐条转换成文本模式,形成文本模式库。在本专利技术的一个实施例中,还包括步骤400:对拦截日志进行复查;其中,采用计数器触发或者固定时间对拦截日志进行复查。在本专利技术的一个实施例中,步骤400还包括:对于属于正常访问但被拦截的数据包,则对被拦截的数据包载荷进行解析,获得多个关键字的值域和结构特征,将得到的文本特征追加到所述文本模式库。在本专利技术的一个实施例中,其中使用计数器触发包括:使用计数器对拦截包个数累积计数,当计数器超过设置的阈值时,触发警告提醒查看拦截日志,然后重置计数器。根据本专利技术的第二方面,提供了一种计算机可读存储介质,其中存储有一个或者多个计算机程序,所述计算机程序在被执行时用于实现本专利技术的基于白名单的内容锁防火墙方法。根据本专利技术的第三方面,提供了一种计算系统,包括:存储装置、以及一个或者多个处理器;其中,所述存储装置用于存储一个或者多个计算机程序,所述计算机程序在被所述处理器执行时用于实现本专利技术的基于白名单的内容锁防火墙方法。与现有技术相比,本专利技术的实施例的优点在于:采用正常流量作为样本训练生成文本模式库可以有效防御已知的和新型的网络攻击。将整个数据包的文本内容是否符合文本模式库作为检测条件而不是仅仅使用URL或者特征码可以避免攻击者利用检测条件的盲点发起攻击,对于站点自身系统漏洞的利用,通常都不是正常访问行为,不符合文本模式库,可以直接被过滤掉。相比于传统防火墙,本方案不需要高成本维护黑名单库,且能防御新型网络攻击模式。对于更新困难的第三方开发的网站,通过部署本防火墙可以在保障正常功能的情况下带着漏洞运行,不需要花高昂成本升级。附图说明此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本专利技术的实施例,并与说明书一起用于解释本专利技术的原理。显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:图1示出了根据本专利技术的一个实施例的处理流程图。图2示出了根据本专利技术的一个实施例的系统框图。具体实施方式如
技术介绍
中所介绍,传统防火墙技术存在应对缓慢或维护成本较高等问题,因此需要一种更为方便快捷的方法。为此,本专利专利技术人提出了一种基于白名单的内容锁的数据包过滤方法,其将文本模式库作为白名单,只允许受信任的文本内容通过防火墙。该方法利用网站的正常流量内容是有规律可循的特征,对正常流量内容进行文本解析并训练、学习生成文本模式库,在内容检测过程中仅允许被文本模式库完全匹配的数据包通过防火墙,并对未匹配的数据包进行后台复查,并按需更新文本模式库防止错误拦截。图1示出了该方法的一个实施例的流程图,包含步骤100、200、300和400,每个步骤的具体内容如下:步骤[100]生成文本模本文档来自技高网...
【技术保护点】
1.一种基于白名单的内容锁防火墙方法,包括:/n步骤200:对网站收到的数据包载荷进行语义解析,获得收到的数据包的解析文本;/n步骤300:将所述网站收到的数据包的解析文本与文本模式库进行匹配,以决定对收到的数据包进行转发还是拦截,所述文本模式库包含多个关键字的值域和结构特征。/n
【技术特征摘要】
1.一种基于白名单的内容锁防火墙方法,包括:
步骤200:对网站收到的数据包载荷进行语义解析,获得收到的数据包的解析文本;
步骤300:将所述网站收到的数据包的解析文本与文本模式库进行匹配,以决定对收到的数据包进行转发还是拦截,所述文本模式库包含多个关键字的值域和结构特征。
2.根据权利要求1所述的方法,其中,所述文本模式库通过下述方式生成:
根据对网站已有的正常流量的数据包载荷进行语义解析,通过对解析的文本训练学习,获得多个关键字的值域和结构特征。
3.根据权利要求1所述的方法,其中,所述文本模式库也可通过编写设定生成。
4.根据权利要求1所述的方法,其中步骤200还包括:对网站收到的数据包载荷进行语义解析,获得收到的数据包的解析文本的值域和结构特征;以及
步骤300进一步包括:
对收到数据包的所有解析文本的值域和结构特征与文本模式库进行逐一匹配,如果都正确匹配,则匹配成功,否则匹配失败;
如果匹配成功,则转发收到的数据包;
如果匹配失败,则拦截收到的数据包,并写入拦截日志。
5.根据权利要求2所述的方法,其中,所述文本模式库的生成包括:
步骤110对正常流量进行预处理;
步骤120按照关键字对载荷进行解析获得解析文本;
步骤130根据特...
【专利技术属性】
技术研发人员:张文力,万文凯,陈明宇,
申请(专利权)人:中国科学院计算技术研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。