【技术实现步骤摘要】
Web攻击防范方法、装置和系统、存储介质
[0001]本公开涉及安全领域,特别涉及一种Web攻击防范方法、装置和系统、存储介质。
技术介绍
[0002]Web服务是一个网络化的应用,它基于应用层协议(例如:HTTP(Hypertext Transfer Protocol,超文本传输协议)向其它应用提供数据和服务。随着互联网技术的飞速发展,Web应用系统在各个领域都得到了广泛的应用,连接到互联网的Web服务器数以亿计。面对如此庞大的服务器数量,攻击者往往利用自动化扫描工具自动地检测系统漏洞,并通过漏洞对系统进行攻击,以此提高攻击效率。网络上的Web服务器受到日益严重的安全威胁。因此,如何进一步提升Web服务器检测和防范恶意网络攻击的能力成为Web服务研究的重点,近年来受到众多研究者的关注。
[0003]Web服务漏洞检测通过向Web服务器发送具有特定漏洞探测特征的网络请求,并解析服务器的响应信息实现漏洞检测。常见的Web服务漏洞探测类型包括目录扫描、文件扫描、接口探测以及应用识别等。攻击者通过Web应用漏洞检测技术检测系统漏洞,并利用漏洞注入恶意脚本或者其它特定语言的代码,达到入侵目的的攻击。
[0004]目前Web攻击防范策略根据防范位置的不同可以分为三类:隐藏策略、访问控制策略和检测与拦截策略。隐藏策略避免将一些比较关键或者敏感的Web服务部署在常规的80或者443端口,避免将Web应用的访问入口部署在常见的目录下。这种方法可以用于防范端口扫描以及目录扫描,在一定程度上降低了Web应用被恶意攻击的风 ...
【技术保护点】
【技术特征摘要】
1.一种Web攻击防范方法,由Web攻击防范装置执行,其特征在于,所述方法包括:对Web服务器在预定时间范围内生成的日志文件进行解析,以统计出所述日志文件中的每个客户端IP地址的异常请求数量;判断所述日志文件中是否存在异常客户端IP地址,其中所述异常客户端IP地址的异常请求数量大于预设阈值;在所述日志文件中存在所述异常客户端IP地址的情况下,修改防火墙的过滤转发规则,以便所述防火墙拒绝来自所述异常客户端IP地址的访问请求。2.根据权利要求1所述的方法,其特征在于,对Web服务器在预定时间范围内生成的日志文件进行解析包括:解析所述日志文件,以获取所述Web服务器在所述预定时间范围内接收到的多个访问请求;提取所述多个访问请求中的第i个访问请求的客户端IP地址、请求目的地址、请求方式和请求路径,其中1≤i≤N,N为访问请求总数;根据所述第i个访问请求的请求目的地址、请求方式和请求路径,判断第i个访问请求与预设接口文档列表是否匹配;在所述第i个访问请求与所述预设接口文档列表不匹配的情况下,更新所述客户端IP地址的异常请求数量。3.根据权利要求2所述的方法,其特征在于,判断第i个访问请求与预设接口文档列表是否匹配包括:判断所述第i个访问请求的请求目的地址是否与所述预设接口文档列表中的一个Web应用服务器的地址相匹配;若所述第i个访问请求的请求目的地址与所述预设接口文档列表中的任一Web应用服务器的地址不匹配,则确定所述第i个访问请求与所述预设接口文档列表不匹配。4.根据权利要求3所述的方法,其特征在于,所述第i个访问请求的请求目的地址包括所述第i个访问请求的请求目的IP地址或请求目的域名。5.根据权利要求3所述的方法,其特征在于,还包括:若所述第i个访问请求的请求目的地址与所述预设接口文档列表中的一个Web应用服务器的地址相匹配,则判断所述第i个访问请求的请求方式和请求路径是否与所述Web应用服务器的一个接口相匹配;若所述第i个访问请求的请求方式和请求路径与所述Web应用服务器的任一接口不匹配,则确定所述第i个访问请求与所述预设接口文档列表不匹配。6.根据权利要求2
‑
5中任一项所述的方法,其特征在于,更新所述客户端IP地址的异常请求数量包括:将所述客户端IP地址的异常请求数量加1,以便对所述客户端IP地址的异常请求数量进行更新。7.一种Web攻击防范装置,其特征在于,包括:第一处理模块,被配置为对Web服务器在预定时间范围内生成的日志文件进行解析,以统计出所述日志文件中的每个客户端IP地址的异常请求数量;
第二处理模块,被配置为判断所述日志文件中是否存在异常客户端IP地址,其中所述异常客户端IP地址的异常请求数量大于预设阈值;第三处理模块,被配置为在所述日志文件中存在所述异常...
【专利技术属性】
技术研发人员:靖冠军,田静,董智明,李明达,王朝晖,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。