Web应用安全防护方法和装置、电子设备、存储介质制造方法及图纸

本公开提供一种Web应用安全防护方法和装置、电子设备、存储介质；涉及网络安全技术领域。该方法包括：响应于接收到用户在Web页面的访问请求，确定访问请求是否包括独立访客Cookie；提取访问请求中的一组或多组报文特征；若访问请求包括独立访客Cookie，统计预设时间窗口内报文特征对应的独立访客Cookie信息；根据报文特征对应的独立访客Cookie信息，确定报文特征相关的访问请求为攻击行为，并采用配置的安全处理策略处理所述攻击行为。本公开可以解决传统的网络安全设备在Web应用的安全防护过程中存在的响应处理速度慢和防护准确率低的问题。确率低的问题。确率低的问题。

【技术实现步骤摘要】
Web应用安全防护方法和装置、电子设备、存储介质


[0001]本公开涉及网络安全
，具体而言，涉及一种Web应用安全防护方法和装置、电子设备、存储介质。

技术介绍

[0002]随着网络的快速发展，Web服务以其特有的高效性、易用性和及时性使得Web应用层的业务种类和业务量款速增长，来自Web层面的安全风险也越来越高。
[0003]Web应用往往专注于业务功能的实现，对于自身的安全通常使用传统的网络安全设备来实现，而随着Web应用业务量的持续增加，传统的网络安全设备存在响应处理速度慢和防护准确率低的问题。
[0004]需要说明的是，在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现思路

[0005]本公开实施例的目的在于提供一种Web应用安全防护方法和装置、电子设备、存储介质，进而在一定程度上解决了传统的网络安全设备在Web应用的安全防护过程中存在的响应处理速度慢和防护准确率低的问题。
[0006]根据本公开的第一方面，提供了一种Web应用安全防护方法，所述方法包括：响应于接收到用户在Web页面的访问请求，确定所述访问请求是否包括独立访客Cookie；提取所述访问请求中的一组或多组报文特征；若所述访问请求包括独立访客Cookie，统计预设时间窗口内所述报文特征对应的独立访客Cookie信息；根据所述报文特征对应的独立访客Cookie信息，确定所述报文特征相关的访问请求为攻击行为，并采用配置的安全处理策略处理所述攻击行为。
[0007]可选地，所述独立访客Cookie信息包括独立访客Cookie的访问总量和每组报文特征对应的独立访客Cookie访问量，所述根据所述报文特征对应的独立访客Cookie信息，确定攻击行为，包括：响应于所述独立访客Cookie的访问总量大于等于预设第一阈值，确定出现异常访问；在出现所述异常访问的情况下，响应于所述报文特征对应的独立访客Cookie数量大于等于第二阈值，确定所述报文特征相关的访问请求为攻击行为。
[0008]可选地，所述方法还包括：若所述访问请求不包括独立访客Cookie，响应于预设时间窗口内所述一组或多组报文特征对应访问请求的增长率大于等于第三阈值，确定所述一组或多组报文特征的分布情况；当所述一组或多组报文特征分布于同一组，则确定该组报文特征相关的访问请求为攻击行为。
[0009]可选地，所述方法还包括：根据所述独立访客Cookie的访问总量与所述报文特征的组数的比值，确定所述第二阈值；根据预设时间窗口内的访问请求总数量与所述报文特征的组数的比值，确定所述第三阈值。
[0010]可选地，所述方法还包括：对所述报文特征进行哈希映射，获得对应哈希特征值；
将所述哈希特征值与对应的独立访客Cookie存储于第一缓存。
[0011]可选地，所述第一缓存包括第一双向链表和第一哈希表；所述第一双向链表包括多个第一节点，每个第一节点存储一组所述报文特征和对应的独立访客Cookie，多个所述第一节点基于最近最多访问算法排序；所述第一哈希表包括多个第一键值对，每个第一键值对的键为一组所述报文特征且值指向所述第一双向链表的对应第一节点；所述将所述哈希特征值与对应的独立访客Cookie存储于第一缓存时，若所述第一缓存超过第一容量阈值或到达预设时间，删除所述第一双向链表的尾节点元素。
[0012]可选地，所述方法还包括：响应于接收到用户在Web页面的访问请求，对所述访问请求报文进行安全套接层解密，并基于Nginx对解密后的报文进行解析，获得解析结果；实时装载存储于第二缓存中的配置策略，以按照所述配置策略对所述访问请求进行处理，所述配置策略包括所述安全处理策略。
[0013]可选地，在所述基于Nginx对解密后的报文进行解析之后，所述方法还包括：实时装载存储于第三缓存的IP黑名单；通过所述IP黑名单对所述解析结果的IP地址进行过滤和限流。
[0014]可选地，所述配置策略包括规则启停策略和排序策略，所述方法还包括：根据所述规则启停策略，调整存储于第四缓存中的入侵检测规则列表中的入侵检测规则的状态信息；根据所述排序策略对所述入侵检测规则进行排序；响应于所述入侵检测规则的状态信息和排序结果，从所述第四缓存中实时装载目标入侵检测规则；采用所述目标入侵检测规则对所述访问请求进行入侵检测，并基于所述检测结果处理所述访问请求。
[0015]可选地，所述配置策略还包括维度筛选策略，所述方法还包括：根据所述维度筛选策略确定多个统计维度和统计指标；根据所述访问请求的处置策略，统计预设时间窗口内每个所述统计维度下的统计指标；根据所述统计指标生成每个所述统计维度的统计黑白名单，并定期将所述统计黑白名单写入第五缓存；实时装载所述统计黑白名单，并根据所述统计黑白名单和所述处置策略处理所述访问请求。
[0016]可选地，所述第五缓存包括第二双向链表组、第二哈希表和第三哈希表；所述第二哈希表包括多个第二键值对，每个第二键值对的键为访问频次且值指向所述第二双向链表组中的一第二双向链表；所述第二双向链表组包括多个第二节点，每个第二节点存储一统计指标，多个所述第二节点基于最不经常使用算法排序；所述第三哈希表包括多个第三键值对，每个第三键值对的键为一统计指标且值指向所述第二双向链表组中的一对应第二节点；所述将所述统计黑白名单写入所述第五缓存时，若所述第二双向链表组的容量超过第二容量阈值，删除最小访问频次指向的一第二双向链表的尾节点元素。
[0017]可选地，所述方法还包括：当所述报文特征或独立访客Cookie所占用的缓存空间小于等于预设的第四阈值，则生成第一告警信息；响应于所述第一告警信息，对所述第一缓存进行扩容处理。
[0018]可选地，所述配置策略包括日志分析策略，所述方法还包括：对所述访问请求的处理过程中的关键信息进行日志存储；采用所述日志分析策略对存储的所述关键信息进行统计分析；根据统计分析结果，通过开放接口调整所述第二缓存中的所述配置策略。
[0019]根据本公开的第二方面，提供了一种Web应用安全防护装置，所述装置包括：确定模块、提取模块、统计模块和安全防护处理模块；确定模块，用于响应于接收到用户在Web页
面的访问请求，确定所述访问请求是否包括独立访客Cookie；提取模块，用于提取所述访问请求中的一组或多组报文特征；统计模块，用于若所述访问请求包括独立访客Cookie，统计预设时间窗口内所述报文特征对应的独立访客Cookie信息；安全防护处理模块，用于根据所述报文特征对应的独立访客Cookie信息，确定所述报文特征相关的访问请求为攻击行为，并采用配置的安全处理策略处理所述攻击行为。
[0020]根据本公开的第三方面，提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述任一实施例的方法。
[0021]根据本公开的第四方面，提供一种电子设备，包括：处理器；以及存储器，用于存储本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种Web应用安全防护方法，其特征在于，所述方法包括：响应于接收到用户在Web页面的访问请求，确定所述访问请求是否包括独立访客Cookie；提取所述访问请求中的一组或多组报文特征；若所述访问请求包括独立访客Cookie，统计预设时间窗口内所述报文特征对应的独立访客Cookie信息；根据所述报文特征对应的独立访客Cookie信息，确定所述报文特征相关的访问请求为攻击行为，并采用配置的安全处理策略处理所述攻击行为。2.根据权利要求1所述的方法，其特征在于，所述独立访客Cookie信息包括独立访客Cookie的访问总量和每组报文特征对应的独立访客Cookie访问量，所述根据所述报文特征对应的独立访客Cookie信息，确定攻击行为，包括：响应于所述独立访客Cookie的访问总量大于等于预设第一阈值，确定出现异常访问；在出现所述异常访问的情况下，响应于所述报文特征对应的独立访客Cookie数量大于等于第二阈值，确定所述报文特征相关的访问请求为攻击行为。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：若所述访问请求不包括独立访客Cookie，响应于预设时间窗口内所有报文特征对应访问请求的增长率大于等于第三阈值，确定所述报文特征的分布情况；当所述报文特征分布于同一组，则确定该组报文特征相关的访问请求为攻击行为。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：根据所述独立访客Cookie的访问总量与所述报文特征的组数的比值，确定所述第二阈值；根据预设时间窗口内的访问请求总数量与所述报文特征的组数的比值，确定所述第三阈值。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：对所述报文特征进行哈希映射，获得对应哈希特征值；将所述哈希特征值与对应的独立访客Cookie存储于第一缓存。6.根据权利要求5所述的方法，其特征在于，所述第一缓存包括第一双向链表和第一哈希表；所述第一双向链表包括多个第一节点，每个第一节点存储一组所述报文特征和对应的独立访客Cookie，多个所述第一节点基于最近最多访问算法排序；所述第一哈希表包括多个第一键值对，每个第一键值对的键为一组所述报文特征且值指向所述第一双向链表的对应第一节点；所述将所述哈希特征值与对应的独立访客Cookie存储于第一缓存时，若所述第一缓存超过第一容量阈值或到达预设时间，删除所述第一双向链表的尾节点元素。7.根据权利要求1所述的方法，其特征在于，所述方法还包括：响应于接收到用户在Web页面的访问请求，对所述访问请求报文进行安全套接层解密，并基于Nginx对解密后的报文进行解析，获得解析结果；实时装载存储于第二缓存中的配置策略，以按照所述配置策略对所述访问请求进行处理，所述配置策略包括所述安全处理策略。8.根据权利要求7所述的方法，其特征在于，在所述基于Nginx对解密后的报文进行解析之后，所述方法还包括：
实时装载存储于第三缓存的IP黑名单；通过所述IP黑名单对所述解析结果的IP地址进行过滤和限流。9.根据权利要求1所述的方法，其特征在于，所述配置策略包括规则启停策略和排序策略，所述方法还包括：根据所述规则...

【专利技术属性】
技术研发人员：秦悦，刘东鑫，汪来富，史国水，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：