本公开实施例提供了一种安全检测方法、安全检测装置、电子设备及计算机可读介质;涉及网路通信技术领域。该方法包括:对客户端与服务器之间的流量进行分光处理,获取客户端发送的传输请求,并确定传输请求的协议类型;提取出协议类型为HTTP2的目标传输请求,确定目标传输请求是否包含结束标志,当目标传输请求中包含结束标志时从传输请求中获取请求数据;对所述目标传输请求以及请求数据进行重组,以将目标传输请求转化为协议类型为HTTP1的待检测请求;通过HTTP1的安全检测规则对待检测请求共同进行安全检测,以确定客户端的安全检测结果。本公开实施例在协议类型为HTTP2的情况下,依然能够对传输请求进行安全检测,修复安全漏洞,提高安全性。提高安全性。提高安全性。
【技术实现步骤摘要】
安全检测方法、安全检测装置、电子设备及介质
[0001]本公开涉及网络通信领域,具体而言,涉及一种安全检测方法、安全检测装置、电子设备和计算机可读介质。
技术介绍
[0002]由于HTTP1的高延迟、无状态连接、明文传输等特性,导致基于HTTP1协议的通信存在页面加载速度慢、头部过大浪费成本以及不安全性。为了克服HTTP1存在的问题,HTTP2将请求和响应数据分割为更小的帧,采用二进制的方式传输;并对头部进行压缩,从而使得数据传输性能大大提升。
[0003]目前,应用防火墙的安全检测主要是针对HTTP1,其只能对单包进行检测,例如请求包、响应包等,由于HTTP2协议将一个HTTP请求分为多个流进行分发,导致出现利用HTTP2特性绕过检测的情况,存在较大的安全隐患。
[0004]需要说明的是,在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
[0005]本公开实施例的目的在于提供一种安全检测方法、安全检测装置、电子设备和计算机可读介质,能够在HTTP2协议类型的情况下,仍然支持安全检测,从而避免安全漏洞,提高网络通信的安全性。
[0006]本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
[0007]根据本公开实施例的第一方面,提供了一种安全检测方法,包括:对客户端与服务器之间的流量进行分光处理,以获取客户端发送的传输请求,并确定所述传输请求的协议类型;从所述传输请求中提取出协议类型为HTTP2的目标传输请求,确定所述目标传输请求是否包含结束标志,当所述目标传输请求中包含结束标志时从所述传输请求中获取请求数据;对所述目标传输请求以及所述请求数据进行重组,以将所述目标传输请求转化为协议类型为HTTP1的待检测请求;通过HTTP1的安全检测规则对所述待检测请求进行安全检测,以确定客户端的安全检测结果。
[0008]在本公开的示例性实施方式中,确定所述传输请求的协议类型包括:当所述传输请求加密时,获取所述传输请求的秘钥文件;通过所述秘钥文件对所述传输请求进行解密,以确定所述协议类型。
[0009]在本公开的示例性实施方式中,对所述目标传输请求进行重组之前,还包括:对所述目标传输请求的头数据进行解压缩,以获得所述待检测请求的头数据。
[0010]在本公开的示例性实施方式中,对所述目标传输请求的头数据进行解压缩包括:获取HTTP2的压缩规则关联的索引表;通过所述索引表确定所述目标传输请求的头数据对应的各个字段,以获得所述待检测请求的头数据。
[0011]在本公开的示例性实施方式中,所述目标传输请求中包含多个帧;对所述目标传输请求以及所述请求数据进行重组,以将所述目标传输请求转化为协议类型为HTTP1的待检测请求包括:当所述目标传输请求中包含结束标志时,从所述传输请求中获取与所述目标传输请求的流标识相同的请求数据;将所述请求数据中各个传输请求中包含的帧,以及所述目标传输请求中包含的帧,按照帧对应的数据类型进行组合,得到所述待检测请求。
[0012]在本公开的示例性实施方式中,还包括:当所述目标传输请求中不包含结束标志时,等待所述客户端发送与所述目标传输请求的流标识相同的其他传输请求,记录等待时间;当所述等待时间超过预设时限时,将所述目标传输请求进行丢弃。
[0013]在本公开的示例性实施方式中,对所述目标传输请求以及所述请求数据进行重组之前,还包括:计算所述请求数据与所述目标传输请求中各个所述数据类型为实体数据的帧的字节数;当所述数据类型为实体数据的帧的字节数均为预设值时,将所述请求数据与所述目标传输请求进行丢弃。
[0014]根据本公开实施例的第二方面,提供了一种安全检测装置,可以包括消息接收模块、请求数据获取模块、数据转换模块、以及安全检测模块。
[0015]其中,消息接收模块,用于对客户端与服务器之间的流量进行分光处理,以获取客户端发送的传输请求,并确定所述传输请求的协议类型。
[0016]请求数据获取模块,用于从所述传输请求中提取出协议类型为HTTP2的目标传输请求,确定所述目标传输请求是否包含结束标志,当所述目标传输请求中包含结束标志时从所述传输请求中获取请求数据。
[0017]数据转换模块,用于对所述目标传输请求以及所述请求数据进行重组,以将所述目标传输请求转化为协议类型为HTTP1的待检测请求。
[0018]安全检测模块,用于通过HTTP1的安全检测规则对所述待检测请求进行安全检测,以确定客户端的安全检测结果。
[0019]在本公开的示例性实施方式中,所述安全检测装置还可以包括数据解密模块。该数据解密模块可以配置为:当所述传输请求加密时,获取所述传输请求的秘钥文件;通过所述秘钥文件对所述传输请求进行解密,以确定所述协议类型。
[0020]在本公开的示例性实施方式中,所述安全检测装置还包括数据解压缩模块。该数据解压缩模块可以用于:对所述目标传输请求的头数据进行解压缩,以获得所述待检测请求的头数据。
[0021]在本公开的示例性实施方式中,所述数据解压缩模块具体包括索引表获取单元、以及字段确定单元。
[0022]其中,索引表获取单元,用于获取HTTP2的压缩规则关联的索引表。
[0023]字段确定单元,用于通过所述索引表确定所述目标传输请求的头数据对应的各个字段,以获得所述待检测请求的头数据。
[0024]在本公开的示例性实施方式中,所述目标传输请求中包含多个帧;所述数据转换模块具体包括结束标志检测单元、以及数据帧组合单元。
[0025]其中,结束标志检测单元,用于当所述目标传输请求中包含结束标志时,从所述传输请求中获取与所述目标传输请求的流标识相同的请求数据。
[0026]数据帧组合单元,用于将所述请求数据中各个传输请求中包含的帧,以及所述目
标传输请求中包含的帧,按照帧对应的数据类型进行组合,得到所述待检测请求。
[0027]在本公开的示例性实施方式中,所述装置还包括超时检测模块、以及数据丢弃模块。
[0028]其中,超时检测模块,用于当所述目标传输请求中不包含结束标志时,等待所述客户端发送与所述目标传输请求的流标识相同的其他传输请求,记录等待时间。
[0029]数据丢弃模块,用于当所述等待时间超过预设时限时,将所述目标传输请求进行丢弃。
[0030]在本公开的示例性实施方式中,所述安全检测装置还包括字节数检测模块、以及请求丢弃模块。
[0031]其中,字节数检测模块,用于计算所述请求数据与所述目标传输请求中各个所述数据类型为实体数据的帧的字节数。
[0032]请求丢弃模块,用于当所述数据类型为实体数据的帧的字节数均为预设值时,将所述请求数据与所述目标传输请求进行丢弃。
[0033]根据本公开实施例的第三方面,提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种安全检测方法,其特征在于,包括:对客户端与服务器之间的流量进行分光处理,以获取客户端发送的传输请求,并确定所述传输请求的协议类型;从所述传输请求中提取出协议类型为HTTP2的目标传输请求,确定所述目标传输请求是否包含结束标志,当所述目标传输请求中包含结束标志时从所述传输请求中获取请求数据;对所述目标传输请求以及所述请求数据进行重组,以将所述目标传输请求转化为协议类型为HTTP1的待检测请求;通过HTTP1的安全检测规则对所述待检测请求进行安全检测,以确定客户端的安全检测结果。2.根据权利要求1所述的方法,其特征在于,确定所述传输请求的协议类型包括:当所述传输请求加密时,获取所述传输请求的秘钥文件;通过所述秘钥文件对所述传输请求进行解密,以确定所述协议类型。3.根据权利要求1所述的方法,其特征在于,对所述目标传输请求进行重组之前,还包括:对所述目标传输请求的头数据进行解压缩,以获得所述待检测请求的头数据。4.根据权利要求3所述的方法,其特征在于,对所述目标传输请求的头数据进行解压缩包括:获取HTTP2的压缩规则关联的索引表;通过所述索引表确定所述目标传输请求的头数据对应的各个字段,以获得所述待检测请求的头数据。5.根据权利要求1所述的方法,其特征在于,所述目标传输请求中包含多个帧;对所述目标传输请求以及所述请求数据进行重组,以将所述目标传输请求转化为协议类型为HTTP1的待检测请求包括:当所述目标传输请求中包含结束标志时,从所述传输请求中获取与所述目标传输请求的流标识相同的请求数据将所述请求数据中各个传输请求中包含的帧,以及所述目标传输请求中包含的帧,按照帧对应的数据类型进行...
【专利技术属性】
技术研发人员:郭晶,甘祥,郑兴,彭婧,刘羽,范宇河,唐文韬,申军利,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。