【技术实现步骤摘要】
本专利技术涉及网络安全,尤其涉及一种基于嵌入式反向代理的web应用防火墙系统及实现方法。
技术介绍
1、供电公司网络系统中存在web应用防护难的问题,其主要表现在以下两个方面:
2、(1)当前的web应用防火墙部署方式以预装硬件或软件镜像的方式进行交付使用,这种部署模式使得web应用防火墙的性能完全被硬件限死,在长期使用过程主存在性能瓶颈问题,导致处理延时升高和网络访问受限,影响网络访问,特别是在处理大包或高并发流量时,处理延时会明显升高,极易影响网络体系设计与业务实效性;
3、(2)当前的web应用防护技术基于规则匹配的技术,在面对日益剧增的web攻击与web正常访问时,存在难以处理的易用性与安全性平衡问题,如果为了保证安全性设置严格的防护阻断规则,则web应用防火墙将拦截大量正常访问行为并导致误报量极大,增加了处理工作,消耗了大量的人力,反之,如果为了保证web应用安全,降低阻断标准,则网络会极易遭受web攻击,诱发安全事件,因此,在解决性能瓶颈问题的同时,如何更准确地识别与拦截web攻击,避免拦截大量正常访问行为或产生误报成为亟需解决的问题。
技术实现思路
1、本专利技术提供了一种基于嵌入式反向代理的web应用防火墙系统及实现方法,解决的技术问题是,现有供电公司网络系统的web应用防护存在性能瓶颈和易用性与安全性平衡问题。
2、为解决以上技术问题,本专利技术提供了一种基于嵌入式反向代理的web应用防火墙系统及实现方法。
3、第一
4、所述web应用防火墙集群,用于在所述nginx系统接收到web访问请求时,利用语义分析,检测由所述流量调度模块牵引的web访问请求的安全性,若检测到所述web访问请求为正常访问请求,则向所述nginx系统发送放通信号;若检测到所述web访问请求为异常访问请求,则调度所述访问控制模块阻断所述web访问请求;所述语义分析包括语法分析和词法分析;
5、所述nginx系统,用于响应于所述放通信号,将对应的所述web访问请求转发至业务服务器。
6、在进一步的实施方案中,所述利用语义分析,检测由所述流量调度模块牵引的web访问请求的安全性,具体包括:
7、利用语义分析将所述web访问请求转换为抽象语法树,并遍历所述抽象语法树,从所述web访问请求中提取出执行行为特征和命名实体;
8、对所述执行行为特征和所述命名实体进行引用消解,并根据引用消解结果对所述web访问请求进行安全威胁评估,得到威胁评估结果;
9、对所述web访问请求进行解析,提取出请求关键信息,并利用机器学习算法对所述请求关键信息进行异常检测,得到异常检测结果;
10、利用聚类算法对所述威胁评估结果和所述异常检测结果进行聚类分析,查找出共同威胁特征和差异威胁特征;
11、根据所述共同威胁特征和所述差异威胁特征进行威胁分析,识别所述web访问请求是否为异常访问请求。
12、在进一步的实施方案中,所述聚类算法为层次聚类算法,所述利用聚类算法对所述威胁评估结果和所述异常检测结果进行聚类分析,查找出共同威胁特征和差异威胁特征,具体包括:
13、利用层次聚类算法对所述威胁评估结果进行聚类分析,得到静态聚类结果,并对所述异常检测结果进行动态聚类分析,得到动态聚类结果;
14、将所述静态聚类结果和所述动态聚类结果进行融合特征聚类,得到融合聚类结果;
15、根据所述融合聚类结果,提取出共同威胁特征和差异威胁特征。
16、在进一步的实施方案中,所述根据所述共同威胁特征和所述差异威胁特征进行威胁分析,识别所述web访问请求是否为异常访问请求,具体包括:
17、利用朴素贝叶斯分类器对所述共同威胁特征和所述差异威胁特征进行分类预测,得到威胁预测概率;
18、根据所述威胁预测概率和预设的威胁等级阈值,评估所述web访问请求的威胁等级;所述威胁等级包括高危、中危和低危;
19、根据所述威胁等级判断所述web访问请求是否为异常访问请求。
20、在进一步的实施方案中,所述机器学习算法包括集成学习算法。
21、在进一步的实施方案中,所述web应用防火墙集群,还用于根据所述web访问请求的源ip地址、session机制统计客户端访问行为,并利用预先设定的域名、url的访问频率和ip黑白名单策略,确定所述web访问请求的源ip地址的访问行为是否属于威胁访问行为,若源ip地址的访问行为属于威胁访问行为,则控制阻断所述web访问请求的源ip地址的访问行为,其中,基于session机制进行访问控制的web访问请求采用对同一源ip地址下的不同访问者访问进行分析。
22、在进一步的实施方案中,在所述nginx系统接收到web访问请求时,所述流量调度模块将所述web访问请求以tcp单向连接的方式牵引至所述web应用防火墙集群中。
23、在进一步的实施方案中,所述web应用防火墙集群包括若干检测节点、日志节点和管理节点;
24、所述检测节点,用于接收由所述流量调度模块牵引的web访问请求,并检测所述web访问请求的安全性;
25、所述日志节点,用于记录攻击日志,所述攻击日志包括异常访问请求的执行行为特征、攻击类型、解码方式、风险等级、攻击所处位置、攻击细节以及原始访问请求内容;
26、所述管理节点,用于基于威胁阻断与访问控制机制,根据所述威胁等级对所述web访问请求的访问者进行不同威胁等级的访问阻断管理。
27、第二方面,本专利技术提供了一种基于嵌入式反向代理的web应用防火墙系统的实现方法,所述方法包括以下步骤:
28、在nginx系统接收到web访问请求时,利用语义分析,检测由流量调度模块牵引的web访问请求的安全性;
29、若检测到web访问请求为正常访问请求,则向所述nginx系统发送放通信号;若检测到所述web访问请求为异常访问请求,则调度nginx系统的访问控制模块阻断所述web访问请求;所述语义分析包括语法分析和词法分析;
30、响应于所述放通信号,通过所述nginx系统将对应的所述web访问请求转发至业务服务器。
31、本专利技术提供了一种基于嵌入式反向代理的web应用防火墙系统及实现方法,所述web应用防火墙系统包括nginx系统、web应用防火墙集群和业务服务器,web应用防火墙集群和业务服务器均与nginx系统连接,nginx系统内嵌入有流量调度模块和访问控制模块;web应用防火墙集群用于利用语义分析检测由流量调度模块牵引的web访问请本文档来自技高网...
【技术保护点】
1.一种基于嵌入式反向代理的Web应用防火墙系统,其特征在于,所述Web应用防火墙系统包括:Nginx系统、Web应用防火墙集群和业务服务器,所述Web应用防火墙集群和所述业务服务器均与所述Nginx系统连接,所述Nginx系统内嵌入有流量调度模块和访问控制模块;
2.如权利要求1所述的基于嵌入式反向代理的Web应用防火墙系统,其特征在于,所述利用语义分析,检测由所述流量调度模块牵引的Web访问请求的安全性,具体包括:
3.如权利要求2所述的基于嵌入式反向代理的Web应用防火墙系统,其特征在于,所述聚类算法为层次聚类算法,所述利用聚类算法对所述威胁评估结果和所述异常检测结果进行聚类分析,查找出共同威胁特征和差异威胁特征,具体包括:
4.如权利要求2所述的基于嵌入式反向代理的Web应用防火墙系统,其特征在于,所述根据所述共同威胁特征和所述差异威胁特征进行威胁分析,识别所述Web访问请求是否为异常访问请求,具体包括:
5.如权利要求2所述的基于嵌入式反向代理的Web应用防火墙系统,其特征在于:所述机器学习算法包括集成学习算法。
<...【技术特征摘要】
1.一种基于嵌入式反向代理的web应用防火墙系统,其特征在于,所述web应用防火墙系统包括:nginx系统、web应用防火墙集群和业务服务器,所述web应用防火墙集群和所述业务服务器均与所述nginx系统连接,所述nginx系统内嵌入有流量调度模块和访问控制模块;
2.如权利要求1所述的基于嵌入式反向代理的web应用防火墙系统,其特征在于,所述利用语义分析,检测由所述流量调度模块牵引的web访问请求的安全性,具体包括:
3.如权利要求2所述的基于嵌入式反向代理的web应用防火墙系统,其特征在于,所述聚类算法为层次聚类算法,所述利用聚类算法对所述威胁评估结果和所述异常检测结果进行聚类分析,查找出共同威胁特征和差异威胁特征,具体包括:
4.如权利要求2所述的基于嵌入式反向代理的web应用防火墙系统,其特征在于,所述根据所述共同威胁特征和所述差异威胁特征进行威胁分析,识别所述web访问请求是否为异常访问请求,具体包括:
5.如权利要求2所述的基于嵌入式反向代理的web应用防火墙系统,其特征在于:所述机器学习算法包括集成学习算法。
<...【专利技术属性】
技术研发人员:王均健,程炜东,罗明亮,许峰,毛江东,彭斌,林青山,李赟,王少华,黄一帆,姚晓倩,
申请(专利权)人:国网浙江省电力有限公司杭州市临安区供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。