本公开提供一种Web攻击防范方法、装置和系统、存储介质。Web攻击防范方法包括:对Web服务器在预定时间范围内生成的日志文件进行解析,以统计出日志文件中的每个客户端IP地址的异常请求数量;判断日志文件中是否存在异常客户端IP地址,其中异常客户端IP地址的异常请求数量大于预设阈值;在日志文件中存在异常客户端IP地址的情况下,修改防火墙的过滤转发规则,以便防火墙拒绝来自异常客户端IP地址的访问请求。问请求。问请求。
【技术实现步骤摘要】
Web攻击防范方法、装置和系统、存储介质
[0001]本公开涉及安全领域,特别涉及一种Web攻击防范方法、装置和系统、存储介质。
技术介绍
[0002]Web服务是一个网络化的应用,它基于应用层协议(例如:HTTP(Hypertext Transfer Protocol,超文本传输协议)向其它应用提供数据和服务。随着互联网技术的飞速发展,Web应用系统在各个领域都得到了广泛的应用,连接到互联网的Web服务器数以亿计。面对如此庞大的服务器数量,攻击者往往利用自动化扫描工具自动地检测系统漏洞,并通过漏洞对系统进行攻击,以此提高攻击效率。网络上的Web服务器受到日益严重的安全威胁。因此,如何进一步提升Web服务器检测和防范恶意网络攻击的能力成为Web服务研究的重点,近年来受到众多研究者的关注。
[0003]Web服务漏洞检测通过向Web服务器发送具有特定漏洞探测特征的网络请求,并解析服务器的响应信息实现漏洞检测。常见的Web服务漏洞探测类型包括目录扫描、文件扫描、接口探测以及应用识别等。攻击者通过Web应用漏洞检测技术检测系统漏洞,并利用漏洞注入恶意脚本或者其它特定语言的代码,达到入侵目的的攻击。
[0004]目前Web攻击防范策略根据防范位置的不同可以分为三类:隐藏策略、访问控制策略和检测与拦截策略。隐藏策略避免将一些比较关键或者敏感的Web服务部署在常规的80或者443端口,避免将Web应用的访问入口部署在常见的目录下。这种方法可以用于防范端口扫描以及目录扫描,在一定程度上降低了Web应用被恶意攻击的风险。访问控制策略只允许指定的IP地址对应的客户端访问,将访问来源控制在一个很小的范围。检测与拦截策略在Web服务器之前,对网络请求的内容进行规则匹配、行为分析等识别出恶意行为,并对其进行拦截。例如,商业防护服务Web应用程序防火墙(Web Application Firewall,简称:WAF)就是基于此策略实现的。
技术实现思路
[0005]专利技术人注意到,在上述相关技术中,隐藏策略无法防御对指定Web服务器的针对性的网络攻击。访问控制策略需要考虑实际的业务需求,一旦Web服务处于商业模式考虑必须对所有公网用户开放,该策略就会失效。检测与拦截策略的成本比较高。
[0006]据此,本公开提供一种Web攻击防范方案,能够自动地实现Web恶意攻击检测与防范,此外,Web恶意攻击检测与防范的处理与应用服务器处理请求并行执行,提高了系统的时效性。
[0007]在本公开的第一方面,提供一种Web攻击防范方法,由Web攻击防范装置执行,所述方法包括:对Web服务器在预定时间范围内生成的日志文件进行解析,以统计出所述日志文件中的每个客户端IP地址的异常请求数量;判断所述日志文件中是否存在异常客户端IP地址,其中所述异常客户端IP地址的异常请求数量大于预设阈值;在所述日志文件中存在所述异常客户端IP地址的情况下,修改防火墙的过滤转发规则,以便所述防火墙拒绝来自所
述异常客户端IP地址的访问请求。
[0008]在一些实施例中,对Web服务器在预定时间范围内生成的日志文件进行解析包括:解析所述日志文件,以获取所述Web服务器在所述预定时间范围内接收到的多个访问请求;提取所述多个访问请求中的第i个访问请求的客户端IP地址、请求目的地址、请求方式和请求路径,其中1≤i≤N,N为访问请求总数;根据所述第i个访问请求的请求目的地址、请求方式和请求路径,判断第i个访问请求与预设接口文档列表是否匹配;在所述第i个访问请求与所述预设接口文档列表不匹配的情况下,更新所述客户端IP地址的异常请求数量。
[0009]在一些实施例中,判断第i个访问请求与预设接口文档列表是否匹配包括:判断所述第i个访问请求的请求目的地址是否与所述预设接口文档列表中的一个Web应用服务器的地址相匹配;若所述第i个访问请求的请求目的地址与所述预设接口文档列表中的任一Web应用服务器的地址不匹配,则确定所述第i个访问请求与所述预设接口文档列表不匹配。
[0010]在一些实施例中,所述第i个访问请求的请求目的地址包括所述第i个访问请求的请求目的IP地址或请求目的域名。
[0011]在一些实施例中,若所述第i个访问请求的请求目的地址与所述预设接口文档列表中的一个Web应用服务器的地址相匹配,则判断所述第i个访问请求的请求方式和请求路径是否与所述Web应用服务器的一个接口相匹配;若所述第i个访问请求的请求方式和请求路径与所述Web应用服务器的任一接口不匹配,则确定所述第i个访问请求与所述预设接口文档列表不匹配。
[0012]在一些实施例中,更新所述客户端IP地址的异常请求数量包括:将所述客户端IP地址的异常请求数量加1,以便对所述客户端IP地址的异常请求数量进行更新。
[0013]在本公开的第二方面,提供一种Web攻击防范装置,包括:第一处理模块,被配置为对Web服务器在预定时间范围内生成的日志文件进行解析,以统计出所述日志文件中的每个客户端IP地址的异常请求数量;第二处理模块,被配置为判断所述日志文件中是否存在异常客户端IP地址,其中所述异常客户端IP地址的异常请求数量大于预设阈值;第三处理模块,被配置为在所述日志文件中存在所述异常客户端IP地址的情况下,修改防火墙的过滤转发规则,以便所述防火墙拒绝来自所述异常客户端IP地址的访问请求。
[0014]在一些实施例中,第一处理模块被配置为解析所述日志文件,以获取所述Web服务器在所述预定时间范围内接收到的多个访问请求,提取所述多个访问请求中的第i个访问请求的客户端IP地址、请求目的地址、请求方式和请求路径,其中1≤i≤N,N为访问请求总数,根据所述第i个访问请求的请求目的地址、请求方式和请求路径,判断第i个访问请求与预设接口文档列表是否匹配,在所述第i个访问请求与所述预设接口文档列表不匹配的情况下,更新所述客户端IP地址的异常请求数量。
[0015]在一些实施例中,第一处理模块被配置为判断所述第i个访问请求的请求目的地址是否与所述预设接口文档列表中的一个Web应用服务器的地址相匹配,若所述第i个访问请求的请求目的地址与所述预设接口文档列表中的任一Web应用服务器的地址不匹配,则确定所述第i个访问请求与所述预设接口文档列表不匹配。
[0016]在一些实施例中,所述第i个访问请求的请求目的地址包括所述第i个访问请求的请求目的IP地址或请求目的域名。
[0017]在一些实施例中,第一处理模块被配置为若所述第i个访问请求的请求目的地址与所述预设接口文档列表中的一个Web应用服务器的地址相匹配,则判断所述第i个访问请求的请求方式和请求路径是否与所述Web应用服务器的一个接口相匹配,若所述第i个访问请求的请求方式和请求路径与所述Web应用服务器的任一接口不匹配,则确定所述第i个访问请求与所述预设接口文档列表不匹配。
[0018]在一些实施例中,第一处理模块被配置为将所述客户端IP地址的异常请求数量加1,以便对所述客户端IP地址的异常请求数量进行更本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种Web攻击防范方法,由Web攻击防范装置执行,其特征在于,所述方法包括:对Web服务器在预定时间范围内生成的日志文件进行解析,以统计出所述日志文件中的每个客户端IP地址的异常请求数量;判断所述日志文件中是否存在异常客户端IP地址,其中所述异常客户端IP地址的异常请求数量大于预设阈值;在所述日志文件中存在所述异常客户端IP地址的情况下,修改防火墙的过滤转发规则,以便所述防火墙拒绝来自所述异常客户端IP地址的访问请求。2.根据权利要求1所述的方法,其特征在于,对Web服务器在预定时间范围内生成的日志文件进行解析包括:解析所述日志文件,以获取所述Web服务器在所述预定时间范围内接收到的多个访问请求;提取所述多个访问请求中的第i个访问请求的客户端IP地址、请求目的地址、请求方式和请求路径,其中1≤i≤N,N为访问请求总数;根据所述第i个访问请求的请求目的地址、请求方式和请求路径,判断第i个访问请求与预设接口文档列表是否匹配;在所述第i个访问请求与所述预设接口文档列表不匹配的情况下,更新所述客户端IP地址的异常请求数量。3.根据权利要求2所述的方法,其特征在于,判断第i个访问请求与预设接口文档列表是否匹配包括:判断所述第i个访问请求的请求目的地址是否与所述预设接口文档列表中的一个Web应用服务器的地址相匹配;若所述第i个访问请求的请求目的地址与所述预设接口文档列表中的任一Web应用服务器的地址不匹配,则确定所述第i个访问请求与所述预设接口文档列表不匹配。4.根据权利要求3所述的方法,其特征在于,所述第i个访问请求的请求目的地址包括所述第i个访问请求的请求目的IP地址或请求目的域名。5.根据权利要求3所述的方法,其特征在于,还包括:若所述第i个访问请求的请求目的地址与所述预设接口文档列表中的一个Web应用服务器的地址相匹配,则判断所述第i个访问请求的请求方式和请求路径是否与所述Web应用服务器的一个接口相匹配;若所述第i个访问请求的请求方式和请求路径与所述Web应用服务器的任一接口不匹配,则确定所述第i个访问请求与所述预设接口文档列表不匹配。6.根据权利要求2
‑
5中任一项所述的方法,其特征在于,更新所述客户端IP地址的异常请求数量包括:将所述客户端IP地址的异常请求数量加1,以便对所述客户端IP地址的异常请求数量进行更新。7.一种Web攻击防范装置,其特征在于,包括:第一处理模块,被配置为对Web服务器在预定时间范围内生成的日志文件进行解析,以统计出所述日志文件中的每个客户端IP地址的异常请求数量;
第二处理模块,被配置为判断所述日志文件中是否存在异常客户端IP地址,其中所述异常客户端IP地址的异常请求数量大于预设阈值;第三处理模块,被配置为在所述日志文件中存在所述异常...
【专利技术属性】
技术研发人员:靖冠军,田静,董智明,李明达,王朝晖,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。