网络应用的访问控制方法及装置制造方法及图纸

本发明专利技术提供一种网络应用的访问控制方法及装置。该方法包括：接收目标网络应用的HTTP请求，并对HTTP请求中的网络访问参数进行风险分析，得到HTTP请求的风险值；网络访问参数包括：请求类型、URL、HTTP版本、访问源IP、访问目的IP、目的字段、访问源连接来源、用于代理、域名、cookie和请求数据；若风险值大于等于高风险阈值，则拦截HTTP请求；若风险值小于等于低风险阈值，则放行HTTP请求；若风险值小于高风险阈值，且大于低风险阈值，则进行黑名单匹配，判断HTTP请求是否属于黑名单；若属于，则拦截HTTP请求，若不属于，则放行HTTP请求。本发明专利技术能够提高网络应用在访问过程中的防护能力。够提高网络应用在访问过程中的防护能力。够提高网络应用在访问过程中的防护能力。

【技术实现步骤摘要】
网络应用的访问控制方法及装置


[0001]本专利技术涉及互联网
，尤其涉及一种网络应用的访问控制方法及装置。

技术介绍

[0002]网站应用级入侵防御系统(web application firewall，WAF)，又称Web应用防火墙，通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护。WAF代表一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同，WAF工作在应用层，对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，对合法的请求放行，对非法的请求予以实时阻断，实现访问控制，确保安全性与合法性，从而对各类网站站点进行有效防护。
[0003]目前的WAF按防护模式分两种类型：被动型和主动型。被动型WAF以攻击行为为主要研究目标，根据攻击特征设计规则来识别异常的请求，满足条件的阻断，不满足条件的放行。被动型WAF具有普适性，不随应用而改变；精准防护，误报率低；方便跟踪学习攻击特性，持续提高防护水平等优点。但被动型WAF的缺点是只能防护已知攻击，对未知攻击无效；且需跟踪研究各类攻击行为，运维工作量大；规则库巨大，性能较低。主动型WAF具有以应用系统为主要研究目标，根据应用特征设计规则来识别正常的请求，满足条件放行，不满足条件的阻断。主动型WAF具有只关注应用特性本身，无需穷举各种攻击行为，运维工作量低；规则库简单，性能高；可防未知攻击等优点。主动型WAF的缺点是无法精准识别攻击，容易引发误报；不关心攻击行为，不利于安全防护研究和能力提升；不具有普适性，不同应用需管理不同应用特征库。
[0004]在网络应用的访问过程中，单独的被动型WAF和主动型WAF具有各自的优缺点，导致网络应用的防护能力较低。

技术实现思路

[0005]本专利技术提供了一种网络应用的访问控制方法及装置，能够提高网络应用在访问过程中的防护能力。
[0006]第一方面，本专利技术提供了一种网络应用的访问控制方法，包括：接收目标网络应用的HTTP请求，并对HTTP请求中的网络访问参数进行风险分析，得到HTTP请求的风险值；网络访问参数包括：请求类型、URL、HTTP版本、访问源IP、访问目的IP、目的字段、访问源连接来源、用于代理、域名、cookie和请求数据；若风险值大于等于高风险阈值，则拦截HTTP请求；若风险值小于等于低风险阈值，则放行HTTP请求；若风险值小于高风险阈值，且大于低风险阈值，则进行黑名单匹配，判断HTTP请求是否属于黑名单；若属于，则拦截HTTP请求，若不属于，则放行HTTP请求。
[0007]本专利技术提供一种网络应用的访问控制方法，通过对HTTP请求中的网络访问参数进行风险分析确定风险值，并基于风险值对HTTP请求进行拦截或放行。在风险值较高或较低
时，执行主动性WAF，也即，风险值较高拦截HTTP请求，风险值较低放行HTTP请求；之后执行被动性WAF，也即执行黑名单策略，属于黑名单拦截，不属于黑名单放行，从而实现了主动性WAF和被动性WAF的联合防护，同时兼顾了主动性WAF和被动性WAF的优点，实现优势互补，具有高性能、易维护、策略丰富、防护准确、可靠的优势，提高了网络应用在访问过程中的防护能力。
[0008]在一种可能的实现方式中，若风险值小于等于低风险阈值，则放行HTTP请求，包括：若风险值小于等于低风险阈值，则基于白名单应用特征库，对HTTP进行应用特征匹配；若匹配成功，则放行HTTP请求。
[0009]在一种可能的实现方式中，访问控制方法，还包括：若匹配不成功，则进行黑名单匹配，判断HTTP请求是否属于黑名单；若属于，则拦截HTTP请求，若不属于，则放行HTTP请求。
[0010]在一种可能的实现方式中，若不属于，则放行HTTP请求，之后还包括：基于HTTP请求，完善白名单应用特征库。
[0011]在一种可能的实现方式中，基于HTTP请求，完善白名单应用特征库，包括：记录一定时期内放行的多个HTTP请求，进行特征分析和AI学习，确定放行的多个HTTP请求的网络访问参数出现的频次；基于放行的多个HTTP请求的网络访问参数出现的频次，生成多条应用规则，每条应用规则中包括一项或多项网络访问参数；将多条应用规则，增加至白名单应用特征库。
[0012]在一种可能的实现方式中，对HTTP请求中的网络访问参数进行风险分析，得到HTTP请求的风险值，包括：确定HTTP请求的网络访问参数对应的数据类型，数据类型包括数字类参数、非数字类参数；按数据类型，对HTTP请求的网络访问参数，进行攻击行为特征分析，确定HTTP请求中各网络访问参数的风险等级；风险等级包括低风险等级、中风险等级和高风险等级；基于HTTP请求中各网络访问参数的风险等级，以及各风险等级对应的取值，确定HTTP请求的风险值。
[0013]在一种可能的实现方式中，按数据类型，对HTTP请求的网络访问参数，进行攻击行为特征分析，确定HTTP请求中各网络访问参数的风险等级，包括：对于HTTP请求的网络访问参数中的每一项网络访问参数：若该网络访问参数为数字类参数，则直接确定该网络访问参数为低风险等级，或，在该网络访问参数的数值大于设定值时，确定该网络访问参数为高风险等级；若该网络访问参数为非数字类参数，则判断该网络访问参数中是否包含攻击行为特征分析关键字，若包含，则确定该网络访问参数为高风险等级，若不包含，则确定该网络访问参数为中风险等级；其中，攻击行为特征分析关键字为对黑名单进行特征提取得到的。
[0014]在一种可能的实现方式中，访问控制方法，还包括：记录一定时期内被拦截的多个HTTP请求；对被拦截的HTTP请求中高风险等级对应的网络访问参数，进行特征分析和AI学习，确定高风险等级对应的网络访问参数出现的频次；基于被拦截的多个HTTP请求的网络访问参数出现的频次，完善黑名单。
[0015]第二方面，本专利技术实施例提供了一种网络应用的访问控制装置，该访问控制装置包括：通信模块和处理模块；通信模块，用于接收目标网络应用的HTTP请求；处理模块，用于对HTTP请求中的网络访问参数进行风险分析，得到HTTP请求的风险值；网络访问参数包括：
请求类型、URL、HTTP版本、访问源IP、访问目的IP、目的字段、访问源连接来源、用于代理、域名、cookie和请求数据；若风险值大于等于高风险阈值，则拦截HTTP请求；若风险值小于等于低风险阈值，则放行HTTP请求；若风险值小于高风险阈值，且大于低风险阈值，则进行黑名单匹配，判断HTTP请求是否属于黑名单；若属于，则拦截HTTP请求，若不属于，则放行HTTP请求。
[0016]在一种可能的实现方式中，处理模块，具体用于若风险值小于等于低风险阈值，则基于白名单应用特征库，对HTTP进行应用特征匹配；若匹配成功，则放行HTTP请求。
[0017]在一种可能的实现方式中，处理模块，还用于若匹配不成功，则本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络应用的访问控制方法，其特征在于，包括：接收目标网络应用的HTTP请求，并对所述HTTP请求中的网络访问参数进行风险分析，得到所述HTTP请求的风险值；所述网络访问参数包括：请求类型、URL、HTTP版本、访问源IP、访问目的IP、目的字段、访问源连接来源、用户代理、域名、cookie和请求数据；若所述风险值大于等于高风险阈值，则拦截所述HTTP请求；若所述风险值小于等于低风险阈值，则放行所述HTTP请求；若所述风险值小于高风险阈值，且大于低风险阈值，则进行黑名单匹配，判断所述HTTP请求是否属于黑名单；若属于，则拦截所述HTTP请求，若不属于，则放行所述HTTP请求。2.根据权利要求1所述的网络应用的访问控制方法，其特征在于，若所述风险值小于等于低风险阈值，则放行所述HTTP请求，包括：若所述风险值小于等于所述低风险阈值，则基于白名单应用特征库，对所述HTTP进行应用特征匹配；若匹配成功，则放行所述HTTP请求。3.根据权利要求2所述的网络应用的访问控制方法，其特征在于，所述访问控制方法，还包括：若匹配不成功，则进行黑名单匹配，判断所述HTTP请求是否属于黑名单；若属于，则拦截所述HTTP请求，若不属于，则放行所述HTTP请求。4.根据权利要求1至3中任一项所述的网络应用的访问控制方法，其特征在于，所述若不属于，则放行所述HTTP请求，之后还包括：基于所述HTTP请求，完善白名单应用特征库。5.根据权利要求4所述的网络应用的访问控制方法，其特征在于，所述基于所述HTTP请求，完善白名单应用特征库，包括：记录一定时期内放行的多个HTTP请求，进行特征分析和AI学习，确定所述放行的多个HTTP请求的网络访问参数出现的频次；基于所述放行的多个HTTP请求的网络访问参数出现的频次，生成多条应用规则，每条应用规则中包括一项或多项网络访问参数；将所述多条应用规则，增加至所述白名单应用特征库。6.根据权利要求1所述的网络应用的访问控制方法，其特征在于，所述对所述HTTP请求中的网络访问参数进行风险分析，得到所述HTTP请求的风险值，包括：确定所述HTTP请求的网络访问参数对应的数据类型，所述数据类型包括数字类参数、非数字类参数；按所述数据类型，对所述HTTP请求的网络访问参数，进行攻击行为特征分析，确定所述HTTP请求中各网络访问参数的风险等级...

【专利技术属性】
技术研发人员：张洋瑞，陶鹏，申洪涛，韩桂楠，刘晓瑜，贾永良，
申请(专利权)人：国家电网有限公司，
类型：发明
国别省市：