[0036]請參考圖4,在第二種方式中,切分單元可以執(zhí)行以下步驟。
[0037]步驟301,利用多模匹配算法對篩選出的HTTP協(xié)議進行切分;
[0038]步驟302,對于切分出的每一個字段,當所述字段與預設的選取策略相匹配時,確定所述字段為特征字段,記錄下所述特征字段。
[0039]這種獲取特征字段的方式不需要記錄所述字段的開始位置和結束位置,當把各字段切分出來后,直接將各字段與預設的選取策略進行對比,再根據對比結果獲取特征字段,這種方式較上一種則更為直接快速。
[0040]步驟103,分析單元分析所述特征字段,確認所述HTTP協(xié)議報文是否為可疑報文。
[0041]通過上述兩種方式獲取了特征字段(即通過獲取步驟203中所述特征字段的開始位置和結束位置,間接獲取特征字段,以及通過步驟302直接獲取特征字段),則分析單元可以對所述特征字段進行分析,進而確定所述HTTP協(xié)議報文是否為可疑報文。具體的說,將所述特征字段與所記錄的信息進行對比,根據對比結果確定所述HTTP協(xié)議報文是否為可疑報文。舉例說明,分析單元根據所述字段的開始位置和結束位置,獲取所述特征字段,該特征字段包含有一個可識別的網絡鏈接,將這個網絡鏈接與一張記錄有可疑網站(例如釣魚網站)信息的列表進行對比,如果發(fā)現(xiàn)所述網絡鏈接與所述列表中的某一可疑網站信息相匹配,則可以確定所述HTTP協(xié)議報文為可疑報文。
[0042]上述記錄有可疑網站信息的列表保存在所述報文轉發(fā)設備中,列表中的可疑網站信息可以是由公安機關公布的非法網站信息,也可是由眾多網友舉報投訴篩選出來的可疑網站信息,又或者是通過其他渠道和方式確定的可疑網站信息。
[0043]步驟104,處理單元對確認為可疑報文的HTTP協(xié)議報文采取防護處理,對確認不是可疑報文的HTTP協(xié)議報文進行轉發(fā)。
[0044]在經過步驟103的分析確認之后,處理單元會針對分析結果對HTTP協(xié)議報文進行處理。具體的說,如果確認所述HTTP協(xié)議報文為可疑報文,則采取防護處理;如果確認所述HTTP協(xié)議報文不是可疑報文,則將其進行轉發(fā)。
[0045]上文所說的防護處理,通常是指處理單元在確認可疑報文之后,為了保護WEB應用而采取的防護措施。例如,分析單元在分析出所述HTTP協(xié)議報文的特征字段包含有某釣魚網站的網絡鏈接,那么處理單元會將該報文丟棄,不再轉發(fā),或者向用戶顯示該網絡鏈接存在安全隱患的提示信息,由用戶自行決定是否打開所述網絡鏈接。
[0046]綜上所述,本發(fā)明采用多模匹配算法對HTTP協(xié)議報文進行細致切分,再對切分出的字段進行深度解析,而且確定所述HTTP協(xié)議報文是否為可疑報文。由于現(xiàn)有技術采用單模匹配算法,不對所述HTTP協(xié)議報文進行切分,而是直接對整個HTTP協(xié)議報文進行泛泛的分析,確定該報文是否為可疑報文,這種整體分析方式的準確性相對較低。另外,單模匹配算法對所分析的報文長度有一定要求,當報文信息量過大,超出規(guī)定的長度范圍,就無法進行分析,而且報文的長度越長,分析結果的準確性就越低。但本發(fā)明所采用的多模匹配算法的時間復雜度與報文長度無關,也就是說,報文的長度不會影響其分析結果的準確性。因此,本發(fā)明提供的技術方案,能夠更高效的對HTTP協(xié)議報文進行切分、分析,從而準確的確定所述HTTP協(xié)議報文是否為可疑報文,進而為WEB應用提供更加精準及高效的防護手段。
[0047]以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本發(fā)明保護的范圍之內。
【主權項】
1.一種WEB應用防護方法,應用于報文轉發(fā)設備上,其特征在于,所述方法包括: 從報文轉發(fā)設備所接收到的報文中篩選出HTTP協(xié)議報文; 利用多模匹配算法對篩選出的HTTP協(xié)議報文進行切分,獲取至少一個特征字段; 分析所述特征字段,確認所述HTTP協(xié)議報文是否為可疑報文; 對確認為可疑報文的HTTP協(xié)議報文采取防護處理,對確認不是可疑報文的HTTP協(xié)議報文進行轉發(fā)。2.根據權利要求1所述方法,其特征在于,所述利用多模匹配算法對篩選出的HTTP協(xié)議報文進行切分,獲取至少一個特征字段具體為: 利用多模匹配算法將篩選出的HTTP協(xié)議報文切分成若干個字段,并記錄所述字段的開始位置和結束位置; 根據所述開始位置和結束位置,獲取所述字段; 當所述字段與預設的選取策略匹配時,確定所述字段為特征字段,并記錄所述特征字段的開始位置和結束位置。3.根據權利要求1所述方法,其特征在于,所述利用多模匹配算法對篩選出的HTTP協(xié)議報文進行切分,獲取至少一個特征字段具體為: 利用多模匹配算法對篩選出的HTTP協(xié)議進行切分; 對于切分出的每一個字段,當所述字段與預設的選取策略相匹配時,確定所述字段為特征字段,記錄所述特征字段。4.根據權利要求2或3所述方法,其特征在于,所述選取策略包括至少一個下述策略:選取包含可識別的網絡鏈接的字段,選取包含有IP地址的字段,選取包含有報文產生時間的字段。5.根據權利要求1所述方法,其特征在于,所述分析所述特征字段,確認所述HTTP協(xié)議報文是否為可疑報文具體為:將所述特征字段與所記錄的信息進行對比,根據對比結果確定所述HTTP協(xié)議報文是否為可疑報文。6.一種WEB應用防護裝置,應用于報文轉發(fā)設備上,其特征在于,所述裝置包括: 篩選單元,用于從報文轉發(fā)設備所接收到的報文中篩選出HTTP協(xié)議報文; 切分單元,用于利用多模匹配算法對篩選出的HTTP協(xié)議報文進行切分,獲取至少一個特征字段; 分析單元,用于分析所述特征字段,確認所述HTTP協(xié)議報文是否為可疑報文; 處理單元,用于對確認為可疑報文的HTTP協(xié)議報文采取防護處理,對確認不是可疑報文的HTTP協(xié)議報文進行轉發(fā)。7.根據權利要求6所述裝置,其特征在于,所述切分單元具體用于: 利用多模匹配算法將篩選出的HTTP協(xié)議報文切分成若干個字段,并記錄所述字段的開始位置和結束位置; 根據所述開始位置和結束位置,獲取所述字段; 當所述字段與預設的選取策略匹配時,確定所述字段為特征字段,并記錄所述特征字段的開始位置和結束位置。8.根據權利要求6所述裝置,其特征在于,所述切分單元具體用于: 利用多模匹配算法對篩選出的HTTP協(xié)議進行切分; 對于切分出的每一個字段,當所述字段與預設的選取策略相匹配時,確定所述字段為特征字段,記錄下所述特征字段。9.根據權利要求7或8所述裝置,其特征在于,所述選取策略包括至少一個下述策略:選取包含可識別的網絡鏈接的字段,選取包含有IP地址的字段,選取包含有報文產生時間的字段。10.根據權利要求6所述裝置,其特征在于,所述分析單元具體用于:將所述特征字段與所記錄的信息進行對比,根據對比結果確定所述HTTP協(xié)議報文是否為可疑報文。
【專利摘要】本發(fā)明提供一種WEB應用防護方法和裝置,應用于報文轉發(fā)設備上。其中,所述方法包括:從報文轉發(fā)設備所接收到的報文中篩選出HTTP協(xié)議報文;利用多模匹配算法對篩選出的HTTP協(xié)議報文進行切分,獲取至少一個特征字段;分析所述特征字段,確認所述HTTP協(xié)議報文是否為可疑報文;對確認為可疑報文的HTTP協(xié)議報文采取防護處理,對確認不是可疑報文的HTTP協(xié)議報文進行轉發(fā)。本發(fā)明能夠有效提高可疑報文的識別率,及時對WEB應用進行防護。
【IPC分類】H04L29/06, H04L29/08
【公開號】CN105337932
【申請?zhí)枴緾N201410308572
【發(fā)明人】李盼盼
【申請人】杭州迪普科技有限公司
【公開日】2016年2月17日
【申請日】2014年6月30日