網(wǎng)頁服務器的攻擊檢測方法、裝置及系統(tǒng)與流程

文檔序號：12908220閱讀：670來源：國知局

本申請涉及互聯(lián)網(wǎng)安全領域，具體而言，涉及一種網(wǎng)頁服務器的攻擊檢測方法、裝置及系統(tǒng)。

背景技術：

當前網(wǎng)頁應用(即web應用)越來越為豐富的同時，web服務器以其強大的計算能力、處理性能及蘊含的較高價值逐漸成為主要攻擊目標。sql注入、網(wǎng)頁篡改、網(wǎng)頁掛馬等安全事件頻繁發(fā)生。在此背景下，waf(web應用防護系統(tǒng))逐漸興起。web應用防護系統(tǒng)(webapplicationfirewall，簡稱：waf)代表了一類新興的信息安全技術，用以解決諸如防火墻一類傳統(tǒng)設備束手無策的web應用安全問題。與傳統(tǒng)防火墻不同，waf工作在應用層，因此對web應用防護具有先天的技術優(yōu)勢?；趯eb應用業(yè)務和邏輯的深刻理解，waf對來自web應用程序客戶端的各類請求進行內(nèi)容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類網(wǎng)站站點進行有效防護。

在云計算數(shù)據(jù)中心中，用戶部署waf防護時，一般是通過配置cname的方式，將自身的網(wǎng)頁流量(即web流量)引入到waf防護中心(即上述的web應用防護系統(tǒng))，web流量經(jīng)過waf防護中心后，再通過一定的策略將web流量回源到用戶的web服務器中。

如圖1所示，通過手動配置cname的方式，配置www.user1.com(web服務器的訪問地址)的訪問請求變更到www.wafxxx.com(waf服務器的地址)上，這樣，在開啟waf防護后，用戶訪問的www.user1.com的流量都會被自動接入waf服務器，在訪問流量經(jīng)過waf清洗后，可以將攻擊方的流量過濾掉，并將正常訪問流量回源到用戶web服務器上，當用戶需要取消waf防護時，更改自己的cname，將流量直接引入web服務器上。

由于云計算數(shù)據(jù)中心中用戶及服務器數(shù)量龐大，當用戶需要部署waf防護時，都需要配置cname，將自己的web服務器的流量導入waf引擎，經(jīng)過waf引擎清洗后，再將正常訪問流量回源到用戶web服務器；當用戶需要取消waf防護時，需要更改自己的cname，將流量直接引入自己的web服務器，整個接入和取消流程都需要用戶手工操作配置，不夠靈活。

針對上述對通過配置cname的方式部署waf防護，效率低的問題，目前尚未提出有效的解決方案。

技術實現(xiàn)要素：

本申請實施例提供了一種網(wǎng)頁服務器的攻擊檢測方法、裝置及系統(tǒng)，以至少解決通過配置cname的方式部署waf防護，效率低的技術問題。

根據(jù)本申請實施例的一個方面，提供了一種網(wǎng)頁服務器的攻擊檢測方法，應用在網(wǎng)頁服務器中的轉發(fā)代理引擎上，該攻擊檢測方法包括：獲取用于訪問網(wǎng)頁服務器的網(wǎng)頁報文；將獲取到的網(wǎng)頁報文轉發(fā)至檢測引擎，其中，檢測引擎用于對網(wǎng)頁報文進行攻擊檢測生成檢測結果；接收檢測結果。

根據(jù)本申請實施例的另一方面，還提供了一種網(wǎng)頁服務器的攻擊檢測方法，應用在網(wǎng)頁防護服務器中的檢測引擎中，該攻擊檢測方法包括：接收轉發(fā)代理引擎轉發(fā)的用于訪問網(wǎng)頁服務器的網(wǎng)頁報文；對網(wǎng)頁報文進行攻擊檢測生成檢測結果；將檢測結果反饋至轉發(fā)代理引擎。

根據(jù)本申請實施例的另一方面，還提供了一種網(wǎng)頁服務器的攻擊檢測系統(tǒng)，該攻擊檢測系統(tǒng)包括：轉發(fā)代理引擎，部署在網(wǎng)頁服務器的主機中，用于獲取用于訪問網(wǎng)頁服務器的網(wǎng)頁報文，并將獲取到的網(wǎng)頁報文轉發(fā)至檢測引擎；檢測引擎，部署在網(wǎng)頁防護服務器中，用于對網(wǎng)頁報文進行攻擊檢測生成檢測結果，并將檢測結果反饋給轉發(fā)代理引擎。

根據(jù)本申請實施例的另一方面，還提供了一種網(wǎng)頁服務器的攻擊檢測裝置，設置在網(wǎng)頁服務器中的轉發(fā)代理引擎上，該攻擊檢測裝置包括：獲取單元，用于獲取用于訪問網(wǎng)頁服務器的網(wǎng)頁報文；轉發(fā)單元，用于將獲取到的網(wǎng)頁報文轉發(fā)至檢測引擎，其中，檢測引擎用于對網(wǎng)頁報文進行攻擊檢測生成檢測結果；結果接收單元，用于接收檢測結果。

根據(jù)本申請實施例的另一方面，還提供了一種網(wǎng)頁服務器的攻擊檢測裝置，應用在網(wǎng)頁防護服務器中的檢測引擎中，該攻擊檢測裝置包括：報文接收單元，用于接收轉發(fā)代理引擎轉發(fā)的用于訪問網(wǎng)頁服務器的網(wǎng)頁報文；檢測單元，用于對網(wǎng)頁報文進行攻擊檢測生成檢測結果；反饋單元，用于將檢測結果反饋至轉發(fā)代理引擎。

在本申請實施例中，在獲取沒有參數(shù)的接口地址之后,并對接口地址去重后,獲取接口地址的接口目錄,通過接口目錄對接口地址進行過濾,并對過濾得到的接口地址進行統(tǒng)計。在上述實施例中,在對接口地址去重后,基于接口地址的接口目錄進行了過濾,提供了去重的精度,基于該精確的接口地址做統(tǒng)計，統(tǒng)計結果準確，解決了現(xiàn)有技術中對url的去重操作結果不精確,提高了對url的去重的精度,可以獲取高精確度的過濾后的接口地址，并對其進行準確統(tǒng)計。

附圖說明

此處所說明的附圖用來提供對本申請的進一步理解，構成本申請的一部分，本申請的示意性實施例及其說明用于解釋本申請，并不構成對本申請的不當限定。在附圖中：

圖1是根據(jù)現(xiàn)有技術的一種應用網(wǎng)頁服務器的攻擊檢測方法的示意圖；

圖2是根據(jù)本申請實施例的一種應用網(wǎng)頁服務器的攻擊檢測方法的網(wǎng)絡環(huán)境圖；

圖3是根據(jù)本申請實施例的網(wǎng)頁服務器的攻擊檢測方法的流程圖一；

圖4是根據(jù)本申請實施例的一種可選的網(wǎng)頁服務器的攻擊檢測方法的流程圖；

圖5是根據(jù)本申請實施例的另一種可選的網(wǎng)頁服務器的攻擊檢測方法的流程圖；

圖6是根據(jù)本申請實施例的網(wǎng)頁服務器的攻擊檢測方法的流程圖二；

圖7是根據(jù)本申請實施例的網(wǎng)頁服務器的攻擊檢測系統(tǒng)的示意圖；

圖8是根據(jù)本申請實施例的網(wǎng)頁服務器的攻擊檢測裝置的示意圖一；

圖9是根據(jù)本申請實施例的網(wǎng)頁服務器的攻擊檢測裝置的示意圖二；

圖10是根據(jù)本申請實施例的一種計算機終端的結構框圖。

具體實施方式

為了使本技術領域的人員更好地理解本申請方案，下面將結合本申請實施例中的附圖，對本申請實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本申請一部分的實施例，而不是全部的實施例?；诒旧暾堉械膶嵤├?，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都應當屬于本申請保護的范圍。

需要說明的是，本申請的說明書和權利要求書及上述附圖中的術語“第一”、“第二”等是用于區(qū)別類似的對象，而不必用于描述特定的順序或先后次序。應該理解這樣使用的數(shù)據(jù)在適當情況下可以互換，以便這里描述的本申請的實施例能夠以除了在這里圖示或描述的那些以外的順序實施。此外，術語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或對于這些過程、方法、產(chǎn)品或設備固有的其它步驟或單元。

首先對本申請中涉及的術語解釋如下：

waf：webapplicationfirewall，web應用防護系統(tǒng)，是通過執(zhí)行一系列針對http/https的安全策略來專門為web應用提供保護的一款產(chǎn)品。

cname:即別名記錄,這種記錄允許您將多個名字映射到同一臺計算機。將一個域名做a記錄指向服務器ip，然后將其他的域名作別名(即cname)到a記錄的域名上；那么當服務器ip地址變更時，不必對一個一個域名做更改指向了，只需要更改a記錄的那個域名到服務器新ip上，其他作別名的那些域名的指向將自動更改到新的ip地址上。

云計算數(shù)據(jù)中心：一種基于互聯(lián)網(wǎng)的計算方式，通過這種方式，共享的軟硬件資源和信息可以按需提供給計算機和其他設備。

轉發(fā)代理引擎：部署在服務器的主機中，可以自動識別網(wǎng)絡數(shù)據(jù)流量，并將識別到的網(wǎng)絡數(shù)據(jù)流量轉發(fā)至預先指定或特定服務器或引擎中。

檢測引擎：部署在服務器中，用于接收數(shù)據(jù)或流量，并檢測接收到的數(shù)據(jù)或流量中是否存在預定特征，如攻擊特征、漏洞特征等。

waf轉發(fā)代理引擎：部署在web服務器(即網(wǎng)頁服務器)的主機中，其主要功能為自動識別用戶的web流量(即網(wǎng)頁流量)，將用戶的web流量通過特定的通道轉發(fā)到waf規(guī)則檢測引擎中進行過濾，接收waf規(guī)則檢測引擎的檢測結果，并通過檢測結果將用戶的報文上送web服務器或者丟棄。

waf規(guī)則檢測引擎：部署在機房中的專用服務器中，負責接收由waf轉發(fā)代理引擎轉發(fā)過來的用戶web流量，并進行實時的組包、檢測，并實時的將檢測結果通知到waf轉發(fā)代理引擎。

實施例1

根據(jù)本申請實施例，還提供了一種網(wǎng)頁服務器的防護方法實施例，需要說明的是，在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行，并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。

本申請實施例所提供的方法實施例可以在移動終端、計算機終端或者類似的運算裝置中執(zhí)行。以運行在計算機終端上為例，圖2是根據(jù)本申請實施例的一種應用網(wǎng)頁服務器的攻擊檢測方法的網(wǎng)絡環(huán)境圖。如圖2所示，終端10可以通過網(wǎng)絡與web服務器20連接，該web服務器可以與waf防護服務器30連接。

上述網(wǎng)絡的實例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動通信網(wǎng)及其組合。

在上述運行環(huán)境下，本申請?zhí)峁┝巳鐖D3所示的網(wǎng)頁服務器的攻擊檢測方法。圖3是根據(jù)本申請實施例的網(wǎng)頁服務器的攻擊檢測方法的流程圖一。如圖3所示,該方法應用在網(wǎng)頁服務器中的轉發(fā)代理引擎上，該方法具體可以包括如下步驟:

步驟s302：獲取用于訪問網(wǎng)頁服務器的網(wǎng)頁報文；

步驟s304：將獲取到的網(wǎng)頁報文轉發(fā)至檢測引擎，其中，檢測引擎用于對網(wǎng)頁報文進行攻擊檢測生成檢測結果；

步驟s306：接收檢測結果。

通過本申請上述實施例，可以通過轉發(fā)代理引擎獲取用于訪問網(wǎng)頁服務器的網(wǎng)頁報文，將獲取到的網(wǎng)頁報文轉發(fā)至waf的檢測引擎，通過檢測引擎對網(wǎng)頁報文進行攻擊檢測，得到檢測結果。在該過程中轉發(fā)代理引擎可以直接獲取網(wǎng)頁報文，并轉發(fā)給waf的檢測引擎，無需配置cname即可進行waf放回，省去了配置cname的時間和配置資源，大大提高了處理效率，解決了現(xiàn)有技術中通過配置cname的方式部署waf防護，效率低的問題。

上述實施例應用在網(wǎng)頁服務器(即web服務器)中的轉發(fā)代理引擎中，該部署在web服務器的主機中的轉發(fā)代理引擎，也可以稱之為waf轉發(fā)代理引擎，其主要功能為自動識別用戶的web流量，將用戶的web流量通過特定的通道轉發(fā)到waf檢測引擎，以供檢測引擎按照預定攻擊規(guī)則對接收到的web流量進行過濾(即上述的攻擊檢測)，生成檢測結果，轉發(fā)代理引擎接收waf的檢測引擎的檢測結果，并通過檢測結果將用戶的報文上送web服務器或者丟棄。

上述網(wǎng)頁報文即web報文，該網(wǎng)頁報文攜帶在web流量中。

用戶終端訪問web服務器時，可以通過web報文訪問web服務器，該web報文的目的ip地址為web服務器的ip地址，上述實施例中的步驟s302，轉發(fā)代理引擎可以獲取網(wǎng)絡流量中目的ip地址為目標web服務器的ip地址的報文，以獲取上述的網(wǎng)頁報文，在獲取到網(wǎng)頁報文之后，將獲取的網(wǎng)頁報文轉發(fā)給waf服務器中的檢測引擎。可選地，以流量的方式將網(wǎng)頁報文轉發(fā)至waf服務器中的檢測引擎。

下面結合圖4詳述本申請實施例。

如圖4所示，該實施例可以包括如下步驟：

步驟s401：終端訪問web服務器。

該步驟中的終端包括普通用戶終端和攻擊終端，不論是普通用戶終端還是攻擊終端訪問web服務器時，都通過網(wǎng)頁報文訪問web服務器，攜帶有網(wǎng)頁報文的數(shù)據(jù)包中至少記錄有源ip地址、目的ip地址、源端口和目的端口，該網(wǎng)頁報文中至少包括訪問請求。

步驟s402：部署在web服務器上的轉發(fā)代理引擎將網(wǎng)頁報文轉發(fā)至waf服務器的檢測引擎。

具體地，網(wǎng)頁報文的目的ip為web服務器的ip地址，如圖4中web服務器的ip地址為www.user1.com，則轉發(fā)代理引擎獲取目的ip為www.user1.com的網(wǎng)頁報文，并將該獲取到的網(wǎng)頁報文轉發(fā)給waf服務器中部署的檢測引擎。

waf服務器中部署的檢測引擎接收到由waf轉發(fā)代理引擎轉發(fā)過來的用戶web流量，并進行實時的組包、檢測，生成檢測結果。

步驟s403：waf服務器實時的將檢測結果通知到waf轉發(fā)代理引擎。

通過本申請上述實施例，可以解決在云計算數(shù)據(jù)中心中用戶使用waf防護時需要配置cname等繁瑣的方式，無需配置cname即可進行waf防護，做到用戶接入waf無門檻，無感知的效果。

根據(jù)本申請的上述實施例，獲取用于訪問網(wǎng)頁服務器的網(wǎng)頁報文可以包括：檢測流經(jīng)網(wǎng)絡過濾器的網(wǎng)絡流量，得到網(wǎng)頁報文。

可選地，該網(wǎng)頁報文為瀏覽器客戶端訪問網(wǎng)頁服務器生成的報文。

具體地，檢測流經(jīng)網(wǎng)絡過濾器的網(wǎng)絡流量，得到網(wǎng)頁報文包括：獲取流經(jīng)網(wǎng)絡過濾器的網(wǎng)絡流量；利用鉤子函數(shù)檢測網(wǎng)絡流量中的網(wǎng)頁報文。

通過上述事實，轉發(fā)代理引擎部署在用戶web服務器的內(nèi)核中，如部署在用戶web服務器的主機上，通過hook的方式從netfilter獲取訪問該web服務器的文本報文。

具體地，hook即為鉤子，是windows消息處理機制的一個平臺，應用程序可以在上面設置子程序，以監(jiān)視指定窗口的某種消息，而且所監(jiān)視的窗口可以為其他進程所創(chuàng)建的。當消息到達后，在目標窗口處理函數(shù)之前處理它。鉤子機制允許應用程序截獲處理windows消息或特定事件。

鉤子實際上是一個處理消息的程序段，通過系統(tǒng)調用，把這個處理消息的程序段掛入系統(tǒng)。每當有特定的消息發(fā)出，在沒有到達目的窗口之前，鉤子程序捕獲該消息，亦即鉤子函數(shù)先得到控制權。這時鉤子函數(shù)即可以加工處理(或改變)該消息，也可以不作處理而繼續(xù)傳遞該消息，還可以強制結束消息的傳遞。

netfilter(對應與上述的網(wǎng)絡過濾器)的架構是在整個網(wǎng)絡流程的若干位置放置了一些檢測點(hook)，而在每個檢測點上登錄一些處理函數(shù)進行處理。

數(shù)據(jù)包在協(xié)議棧中傳遞時會經(jīng)過不同的hook點，而每個hook點上又被netfilter預先注冊了一系列hook回調函數(shù)，當每個數(shù)據(jù)包達到這些點后會被這些hook函數(shù)處理。

具體到本申請實施例中，所有流向web服務器的網(wǎng)絡流量都會經(jīng)過網(wǎng)絡過濾器，網(wǎng)絡過濾器中部署了多個hook點，每個hook點上被預先注冊了多個鉤子函數(shù)，本申請的鉤子函數(shù)用于檢測達到檢測點的數(shù)據(jù)包中是否包括網(wǎng)頁報文，并阻止網(wǎng)頁報文傳遞至web服務器。

可選地，攜帶有網(wǎng)頁報文的數(shù)據(jù)包中記錄有源ip地址、目的ip地址、源端口和目的端口，鉤子函數(shù)可以檢測到達檢測點的數(shù)據(jù)包中的目的ip地址是否指向該web服務器，若該數(shù)據(jù)包中的目的ip地址指向該web服務器，則檢測出該數(shù)據(jù)包中包含有網(wǎng)頁報文，則阻止該網(wǎng)頁報文傳遞至web服務器。

轉發(fā)代理引擎在通過hook獲取這些網(wǎng)頁報文之后，將這些網(wǎng)頁報文轉發(fā)至waf檢測引擎，若檢測引擎返回的檢測結果表明網(wǎng)頁報文為正常報文，則繼續(xù)將該網(wǎng)頁報文發(fā)送至web服務器的報文處理引擎，若該網(wǎng)頁報文是異常攻擊報文，則將該網(wǎng)頁報文丟棄。

具體地，在接收檢測引擎對網(wǎng)頁報文進行攻擊檢測生成的檢測結果之后，該方法還可以包括：若檢測結果指示網(wǎng)頁報文為攻擊報文，則丟棄網(wǎng)頁報文；若檢測結果指示網(wǎng)頁報文不為攻擊報文，則將網(wǎng)頁報文發(fā)送至網(wǎng)頁服務器。

通過上述實施例，轉發(fā)代理引擎通過檢測結果將用戶的報文上送至web服務器或者丟棄，若該網(wǎng)頁報文為攻擊報文，則不將其發(fā)送至web服務器，從而可以避免該攻擊報文對web服務器的攻擊；若該網(wǎng)頁報文為正常報文，才將該報文發(fā)送至web服務器，并將web服務器響應該網(wǎng)頁報文的響應報文返回至對應的終端。

在一個可選的實施例中，將獲取到的網(wǎng)頁報文轉發(fā)至檢測引擎可以包括：設置網(wǎng)頁報文的報文標識；將網(wǎng)頁報文和對應的報文標識轉發(fā)至檢測引擎。

可選地，在設置網(wǎng)頁報文中網(wǎng)頁報文的報文標識之后，方法還可以包括：將網(wǎng)頁報文和對應的報文標識緩存至本地的報文隊列。

通過上述實施例，在轉發(fā)代理引擎通過hook的方式從網(wǎng)絡過濾器中獲取訪問本機的web報文之后，轉發(fā)代理引擎為獲取的網(wǎng)頁報文設置報文標識，并將網(wǎng)頁報文和對應的報文標識一并緩存至本地的報文隊列中?？蛇x地，該報文隊列中可以保存網(wǎng)頁報文與報文標識的對應關系，該報文隊列可以按照報文的獲取順序存儲。

上述的報文標識可以為報文編號，如：可以按照獲取的時間先后順序為網(wǎng)頁報文依序設置自然數(shù)的編號，如報文1、報文2等；也可以按照獲取的時間先后順序為網(wǎng)頁報文設置隨機生成的字符串編號，如：報文53247、報文95135等，本申請不對報文標識的設置方式做限定，只要是符合本申請發(fā)明思想的均屬于本申請的保護范疇。

需要說明的是，在轉發(fā)代理引擎為獲取的網(wǎng)頁報文設置報文標識之后，轉發(fā)代理引擎一并將網(wǎng)頁報文和報文標識轉發(fā)至檢測引擎，檢測引擎接收到轉發(fā)代理引擎轉發(fā)來的網(wǎng)頁報文處理亂序及組包，將web報文組裝完畢之后，進行攻擊檢測，生成檢測結果；將網(wǎng)頁報文的報文標識及檢測結果發(fā)送至轉發(fā)代理引擎。

根據(jù)本申請的上述實施例，在接收檢測引擎對網(wǎng)頁報文進行攻擊檢測生成的檢測結果之后，該方法還可以包括：若檢測結果指示網(wǎng)頁報文為攻擊報文，則從報文隊列中獲取該網(wǎng)頁報文，并丟棄網(wǎng)頁報文；若檢測結果指示網(wǎng)頁報文不為攻擊報文，則從報文隊列中獲取網(wǎng)頁報文，將網(wǎng)頁報文通過網(wǎng)絡過濾器發(fā)送至網(wǎng)頁服務器。

轉發(fā)代理引擎接收到檢測結果和報文標識之后，依據(jù)報文標識從報文隊列中獲取原始報文，當檢測結果為正常報文時，將原始報文推送到netfilter，并繼續(xù)上送協(xié)議棧道web服務器；當檢測結果為異常攻擊報文時，將該原始報文丟棄。

下面結合圖5詳述本申請實施例。如圖5所示，該實施例可以通過如下步驟實現(xiàn)：

步驟s501：終端訪問webserver，即網(wǎng)頁服務器。

終端(包括普通用戶終端和攻擊方終端)在訪問網(wǎng)頁服務器時，生成訪問請求，該訪問請求寫在網(wǎng)頁報文中，并對該網(wǎng)頁報文進行封裝得到數(shù)據(jù)包，通過數(shù)據(jù)包傳遞該訪問請求。

步驟s502：轉發(fā)代理引擎從網(wǎng)絡過濾器獲取網(wǎng)頁報文。

本申請所有流入web服務器的網(wǎng)絡流量先流經(jīng)部署在web服務器的主機上的waf轉發(fā)代理引擎，該waf轉發(fā)代理引擎通過hook的方式從netfilter獲取訪問本機的web報文。

步驟s503：轉發(fā)代理引擎將獲取到的網(wǎng)頁報文轉發(fā)給waf服務器上的檢測引擎。

具體地，waf轉發(fā)代理引擎將網(wǎng)頁報文設置編號并緩存到本地，然后將web報文以及其編號通過專用通道發(fā)送到waf的檢測引擎。

waf的檢測引擎接收轉發(fā)引擎發(fā)來的報文并處理亂序及組包，當一個web報文組裝完畢后，進行規(guī)則檢測(即上述的攻擊檢測)，生成檢測結果。

步驟s504：waf服務器的檢測引擎將檢測結果發(fā)送給轉發(fā)代理引擎。

具體地，waf的檢測引擎將報文id以及檢測結果發(fā)送到waf的轉發(fā)代理引擎。

步驟s505：waf報文轉發(fā)引擎接收到檢測結果后，執(zhí)行如下操作：

當檢測結果為正常報文時，從報文隊列中獲取到原始報文，并將報文推送到netfilter，繼續(xù)上送協(xié)議棧到webserver。

當檢測結果為異常攻擊報文時，從報文隊列中獲取原始報文并丟棄。

步驟s506：在檢測結果指示網(wǎng)頁報文為正常報文時，從報文隊列中獲取到原始報文，并將報文推送到netfilter，繼續(xù)上送協(xié)議棧到webserver。

步驟s507：web服務器執(zhí)行該網(wǎng)頁報文中的訪問請求，生成響應信息，將該響應信息攜帶在響應報文中，將響應報文返回至網(wǎng)絡過濾器。

步驟s508：網(wǎng)絡過濾器將響應報文返回至終端。

可選地，終端可以通過瀏覽器(即，browser)客戶端生成訪問請求。

通過上述實施例提供的waf防護引擎的形態(tài)，使得云計算數(shù)據(jù)中心中得以偶能過戶使用waf防護時，無需再配置cname等繁瑣的流程，更加便捷。

需要說明的是，對于前述的各方法實施例，為了簡單描述，故將其都表述為一系列的動作組合，但是本領域技術人員應該知悉，本申請并不受所描述的動作順序的限制，因為依據(jù)本申請，某些步驟可以采用其他順序或者同時進行。其次，本領域技術人員也應該知悉，說明書中所描述的實施例均屬于優(yōu)選實施例，所涉及的動作和模塊并不一定是本申請所必須的。

通過以上的實施方式的描述，本領域的技術人員可以清楚地了解到根據(jù)上述實施例的方法可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)，當然也可以通過硬件，但很多情況下前者是更佳的實施方式?；谶@樣的理解，本申請的技術方案本質上或者說對現(xiàn)有技術做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質(如rom/ram、磁碟、光盤)中，包括若干指令用以使得一臺終端設備(可以是手機，計算機，服務器，或者網(wǎng)絡設備等)執(zhí)行本申請各個實施例所述的方法。

實施例2

在圖2所示的運行環(huán)境下，本申請還提供了如圖6所示的網(wǎng)頁服務器的攻擊檢測方法。圖6是根據(jù)本申請實施例的網(wǎng)頁服務器的攻擊檢測方法的流程圖二。如圖6所示,該方法應用在網(wǎng)頁防護服務器中的檢測引擎上，該方法具體可以包括如下步驟:

步驟s602：接收轉發(fā)代理引擎轉發(fā)的用于訪問網(wǎng)頁服務器的網(wǎng)頁報文；

步驟s604：對網(wǎng)頁報文進行攻擊檢測生成檢測結果；

步驟s606：將檢測結果反饋至轉發(fā)代理引擎。

上述網(wǎng)頁報文即web報文，該網(wǎng)頁報文攜帶在web流量中。

根據(jù)本申請的上述實施例，對網(wǎng)頁報文進行攻擊檢測生成檢測結果可以包括：按照預設攻擊規(guī)則對網(wǎng)頁報文進行攻擊檢測，生成檢測結果。

具體地，預設攻擊規(guī)則中記錄有攻擊特征，其中，按照預設攻擊規(guī)則對網(wǎng)頁報文進行攻擊檢測可以包括：檢測網(wǎng)頁報文中是否包含攻擊特征。

可選地，若網(wǎng)頁報文中包含攻擊特征，則該網(wǎng)頁報文被確定為攻擊報文(即異常攻擊報文)；若該網(wǎng)頁報文中不包含攻擊特征，則該網(wǎng)頁報文不是攻擊報文(即正常報文)。

通過上述實施例，在轉發(fā)代理引擎為獲取的網(wǎng)頁報文設置報文標識之后，轉發(fā)代理引擎一并將網(wǎng)頁報文和報文標識轉發(fā)至檢測引擎，檢測引擎接收到轉發(fā)代理引擎轉發(fā)來的網(wǎng)頁報文處理亂序及組包，將web報文組裝完畢之后，進行攻擊檢測，生成檢測結果；將網(wǎng)頁報文的報文標識及檢測結果發(fā)送至轉發(fā)代理引擎。

通過上述實施例提供的waf防護引擎的形態(tài)，使得云計算數(shù)據(jù)中心中得以偶能過戶使用waf防護時，無需再配置cname等繁瑣的流程，更加便捷。

實施例3

根據(jù)本申請實施例，還提供了一種用于實施上述網(wǎng)頁服務器的攻擊檢測方法的檢測系統(tǒng)，如圖7所示，該系統(tǒng)包括：

轉發(fā)代理引擎71，部署在網(wǎng)頁服務器的主機中，用于獲取用于訪問網(wǎng)頁服務器的網(wǎng)頁報文，并將獲取到的網(wǎng)頁報文轉發(fā)至檢測引擎；

檢測引擎73，部署在網(wǎng)頁防護服務器中，用于對網(wǎng)頁報文進行攻擊檢測生成檢測結果，并將檢測結果反饋給轉發(fā)代理引擎。

通過本申請上述實施例，可以通過轉發(fā)代理引擎獲取用于訪問網(wǎng)頁服務器的網(wǎng)頁報文，將獲取到的網(wǎng)頁報文轉發(fā)至waf的檢測引擎，通過檢測引擎對網(wǎng)頁報文進行攻擊檢測，得到檢測結果。在該過程中轉發(fā)代理引擎可以直接獲取網(wǎng)頁報文，并轉發(fā)給 waf的檢測引擎，無需配置cname即可進行waf放回，省去了配置cname的時間和配置資源，大大提高了處理效率，解決了現(xiàn)有技術中通過配置cname的方式部署waf防護，效率低的問題。

上述網(wǎng)頁報文即web報文，該網(wǎng)頁報文攜帶在web流量中。

用戶終端訪問web服務器時，可以通過web報文訪問web服務器，該web報文的目的ip地址為web服務器的ip地址，上述實施例中的步驟s302，轉發(fā)代理引擎可以獲取網(wǎng)絡流量中目的ip地址為目標web服務器的ip地址的報文，以獲取上述的網(wǎng)頁報文，在獲取到網(wǎng)頁報文之后，將獲取的網(wǎng)頁報文轉發(fā)給waf服務器中的檢測引擎?？蛇x地，以流量的方式將網(wǎng)頁報文轉發(fā)至waf服務器中的檢測引擎。

可選地，轉發(fā)代理引擎具體用于：利用鉤子函數(shù)，從網(wǎng)絡過濾器中獲取網(wǎng)頁報文。

轉發(fā)代理引擎還用于：在接收檢測引擎反饋的檢測結果之后，若檢測結果指示網(wǎng)頁報文為攻擊報文，則丟棄網(wǎng)頁報文；若檢測結果指示網(wǎng)頁報文不為攻擊報文，則將網(wǎng)頁報文發(fā)送至網(wǎng)頁服務器。

在上述實施例中，檢測引擎可以用于：按照預設攻擊規(guī)則對網(wǎng)頁報文進行攻擊檢測，生成檢測結果。

waf轉發(fā)代理引擎部署在用戶web服務器的內(nèi)核中，通過hook的方式從netfilter獲取訪問本機的web報文；waf轉發(fā)代理引擎將報文設置編號并緩存到本地，然后將報文以及其編號通過專用通道發(fā)送到waf規(guī)則檢測引擎。

waf規(guī)則檢測引擎接收轉發(fā)引擎發(fā)來的報文并處理亂序及組包，當一個web報文組裝完畢后，進行規(guī)則檢測，waf規(guī)則檢測引擎將報文id以及檢測結果發(fā)送到waf報文轉發(fā)引擎。

waf報文轉發(fā)引擎接收到檢測結果后，執(zhí)行如下操作：當檢測結果為正常報文時，從報文隊列中獲取到原始報文，并將報文推送到netfilter，繼續(xù)上送協(xié)議棧到webserver；當檢測結果為異常攻擊報文時，從報文隊列中獲取原始報文并丟棄

通過上述實施例提供的waf防護引擎的形態(tài)，使得云計算數(shù)據(jù)中心中得以偶能過戶使用waf防護時，無需再配置cname等繁瑣的流程，更加便捷。

本實施例中所提供的各個引擎與方法實施例對應步驟所提供的使用方法相同、應用場景也可以相同。當然，需要注意的是，上述引擎涉及的方案可以不限于上述實施例中的內(nèi)容和場景，且上述引擎可以運行在計算機終端或移動終端，可以通過軟件或硬件實現(xiàn)。

實施例4

根據(jù)本申請實施例，還提供了一種用于實施上述網(wǎng)頁服務器的攻擊檢測方法的檢測裝置，如圖8所示，該裝置設置在網(wǎng)頁服務器中的轉發(fā)代理引擎上，包括：

獲取單元81，用于獲取用于訪問網(wǎng)頁服務器的網(wǎng)頁報文；

轉發(fā)單元83，用于將獲取到的網(wǎng)頁報文轉發(fā)至檢測引擎，其中，檢測引擎用于對網(wǎng)頁報文進行攻擊檢測生成檢測結果；

結果接收單元85，用于接收檢測引擎對網(wǎng)頁報文進行攻擊檢測生成的檢測結果。

上述網(wǎng)頁報文即web報文，該網(wǎng)頁報文攜帶在web流量中。

具體地，獲取單元可以包括：報文檢測模塊，用于檢測流經(jīng)網(wǎng)絡過濾器的網(wǎng)絡流量，得到網(wǎng)頁報文。

進一步地，報文檢測模塊可以包括：獲取子模塊，用于獲取流經(jīng)網(wǎng)絡過濾器的網(wǎng)絡流量；檢測子模塊，用于利用鉤子函數(shù)檢測網(wǎng)絡流量中的網(wǎng)頁報文。

在一個可選的實施例中，裝置可以包括：丟棄單元，用于在接收檢測引擎對網(wǎng)頁報文進行攻擊檢測生成的檢測結果之后，若檢測結果指示網(wǎng)頁報文為攻擊報文，則丟棄網(wǎng)頁報文；發(fā)送單元，用于若檢測結果指示網(wǎng)頁報文不為攻擊報文，則將網(wǎng)頁報文發(fā)送至網(wǎng)頁服務器。

可選地，轉發(fā)單元可以包括：設置模塊，用于設置網(wǎng)頁報文的報文標識；轉發(fā)模塊，用于將網(wǎng)頁報文和對應的報文標識轉發(fā)至檢測引擎。

進一步地，裝置還可以包括：緩存單元，用于在設置網(wǎng)頁報文中網(wǎng)頁報文的報文標識之后，將網(wǎng)頁報文和對應的報文標識緩存至本地的報文隊列。

在另一個可選的實施例中，該裝置還可以包括：第一處理單元，用于在接收檢測引擎對網(wǎng)頁報文進行攻擊檢測生成的檢測結果之后，若檢測結果指示網(wǎng)頁報文為攻擊報文，則從報文隊列中獲取該網(wǎng)頁報文，并丟棄網(wǎng)頁報文；第二處理單元，用于若檢測結果指示網(wǎng)頁報文不為攻擊報文，則從報文隊列中獲取網(wǎng)頁報文，將網(wǎng)頁報文通過網(wǎng)絡過濾器發(fā)送至網(wǎng)頁服務器。

本實施例中所提供的各個模塊與方法實施例對應步驟所提供的使用方法相同、應用場景也可以相同。當然，需要注意的是，上述模塊涉及的方案可以不限于上述實施例中的內(nèi)容和場景，且上述模塊可以運行在計算機終端或移動終端，可以通過軟件或硬件實現(xiàn)。

實施例5

根據(jù)本申請實施例，還提供了一種用于實施上述網(wǎng)頁服務器的攻擊檢測方法的檢測裝置，如圖9所示，該裝置設置在網(wǎng)頁防護服務器中的檢測引擎中，包括：

報文接收單元91，用于接收轉發(fā)代理引擎轉發(fā)的用于訪問網(wǎng)頁服務器的網(wǎng)頁報文；

檢測單元93，用于對網(wǎng)頁報文進行攻擊檢測生成檢測結果；

反饋單元95，用于將檢測結果反饋至轉發(fā)代理引擎。

上述網(wǎng)頁報文即web報文，該網(wǎng)頁報文攜帶在web流量中。

用戶終端訪問web服務器時，可以通過web報文訪問web服務器，該web報文的目的ip地址為web服務器的ip地址，上述實施例中的步驟s302，轉發(fā)代理引擎可以獲取網(wǎng)絡流量中目的ip地址為目標web服務器的ip地址的報文，以獲取上述的網(wǎng)頁報文，在獲取到網(wǎng)頁報文之后，將獲取的網(wǎng)頁報文轉發(fā)給waf服務器中的檢測引擎?？蛇x地，以流量的方式將網(wǎng)頁報文轉發(fā)至waf服務器中的檢測引擎。

具體地，檢測單元可以包括：檢測子單元，用于按照預設攻擊規(guī)則對網(wǎng)頁報文進行攻擊檢測，生成檢測結果。

進一步地，預設攻擊規(guī)則中記錄有攻擊特征，其中，檢測子單元包括：特征檢測模塊，用于檢測網(wǎng)頁報文中是否包含攻擊特征。

實施例6

本申請的實施例可以提供一種計算機終端，該計算機終端可以是計算機終端群中的任意一個計算機終端設備，如服務器?？蛇x地，在本實施例中，上述計算機終端也可以替換為移動終端等終端設備。

可選地，在本實施例中，上述計算機終端可以位于計算機網(wǎng)絡的多個網(wǎng)絡設備中的至少一個網(wǎng)絡設備。

在本實施例中，上述計算機終端可以執(zhí)行網(wǎng)頁服務器的攻擊檢測方法中以下步驟的程序代碼：

步驟s2：獲取用于訪問網(wǎng)頁服務器的網(wǎng)頁報文；

步驟s4：將獲取到的網(wǎng)頁報文轉發(fā)至檢測引擎，其中，網(wǎng)頁報文用于檢測引擎進行攻擊檢測；

步驟s6：接收檢測引擎對網(wǎng)頁報文進行攻擊檢測生成的檢測結果。

可選地，圖10是根據(jù)本申請實施例的一種計算機終端的結構框圖。如圖10所示，該計算機終端a可以包括：一個或多個(圖中僅示出一個)處理器、存儲器、以及傳輸裝置。

其中，存儲器可用于存儲軟件程序以及模塊，如本申請實施例中的網(wǎng)頁服務器的攻擊檢測方法和裝置對應的程序指令/模塊，處理器通過運行存儲在存儲器內(nèi)的軟件程序以及模塊，從而執(zhí)行各種功能應用以及數(shù)據(jù)處理，即實現(xiàn)上述的網(wǎng)頁服務器的攻擊檢測方法。存儲器可包括高速隨機存儲器，還可以包括非易失性存儲器，如一個或者多個磁性存儲裝置、閃存、或者其他非易失性固態(tài)存儲器。在一些實例中，存儲器可進一步包括相對于處理器遠程設置的存儲器，這些遠程存儲器可以通過網(wǎng)絡連接至終端a。上述網(wǎng)絡的實例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動通信網(wǎng)及其組合。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：檢測流經(jīng)網(wǎng)絡過濾器的網(wǎng)絡流量，得到網(wǎng)頁報文。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：獲取流經(jīng)網(wǎng)絡過濾器的網(wǎng)絡流量；利用鉤子函數(shù)檢測網(wǎng)絡流量中的網(wǎng)頁報文。

通過上述實施例提供的waf防護引擎的形態(tài)，使得云計算數(shù)據(jù)中心中得以偶能過戶使用waf防護時，無需再配置cname等繁瑣的流程，更加便捷，解決了通過配置cname的方式部署waf防護，效率低的技術問題。

本領域普通技術人員可以理解，圖10所示的結構僅為示意，計算機終端也可以是智能手機(如android手機、ios手機等)、平板電腦、掌聲電腦以及移動互聯(lián)網(wǎng)設備(mobileinternetdevices，mid)、pad等終端設備。圖10其并不對上述電子裝置的結構造成限定。例如，計算機終端a還可包括比圖10中所示更多或者更少的組件(如網(wǎng)絡接口、顯示裝置等)，或者具有與圖10所示不同的配置。

本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可以通過程序來指令終端設備相關的硬件來完成，該程序可以存儲于一計算機可讀存儲介質中，存儲介質可以包括：閃存盤、只讀存儲器(read-onlymemory，rom)、隨機存取器(randomaccessmemory，ram)、磁盤或光盤等。

實施例7

本申請的實施例還提供了一種存儲介質?？蛇x地，在本實施例中，上述存儲介質可以用于保存上述實施例一所提供的網(wǎng)頁服務器的攻擊檢測方法所執(zhí)行的程序代碼。

可選地，在本實施例中，上述存儲介質可以位于計算機網(wǎng)絡中計算機終端群中的任意一個計算機終端中，或者位于移動終端群中的任意一個移動終端中。

可選地，在本實施例中，存儲介質被設置為存儲用于執(zhí)行以下步驟的程序代碼：

步驟s1：獲取用于訪問網(wǎng)頁服務器的網(wǎng)頁報文；

步驟s3：將獲取到的網(wǎng)頁報文轉發(fā)至檢測引擎，其中，網(wǎng)頁報文用于檢測引擎進行攻擊檢測；

步驟s5：接收檢測引擎對網(wǎng)頁報文進行攻擊檢測生成的檢測結果。

上述本申請實施例序號僅僅為了描述，不代表實施例的優(yōu)劣。

在本申請的上述實施例中，對各個實施例的描述都各有側重，某個實施例中沒有詳述的部分，可以參見其他實施例的相關描述。

在本申請所提供的幾個實施例中，應該理解到，所揭露的技術內(nèi)容，可通過其它的方式實現(xiàn)。其中，以上所描述的裝置實施例僅僅是示意性的，例如所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，例如多個單元或組件可以結合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，單元或模塊的間接耦合或通信連接，可以是電性或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。

另外，在本申請各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實現(xiàn)，也可以采用軟件功能單元的形式實現(xiàn)。

所述集成的單元如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時，可以存儲在一個計算機可讀取存儲介質中?；谶@樣的理解，本申請的技術方案本質上或者說對現(xiàn)有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可為個人計算機、服務器或者網(wǎng)絡設備等)執(zhí)行本申請各個實施例所述方法的全部或部分步驟。而前述的存儲介質包括：u盤、只讀存儲器(rom，read-onlymemory)、隨機存取存儲器(ram，randomaccessmemory)、移動硬盤、磁碟或者光盤等各種可以存儲程序代碼的介質。

以上所述僅是本申請的優(yōu)選實施方式，應當指出，對于本技術領域的普通技術人員來說，在不脫離本申請原理的前提下，還可以做出若干改進和潤飾，這些改進和潤飾也應視為本申請的保護范圍。

完整全部詳細技術資料下載

當前第1頁1 2