CN115225316A - 网络应用的访问控制方法及装置 - Google Patents
网络应用的访问控制方法及装置 Download PDFInfo
- Publication number
- CN115225316A CN115225316A CN202210634117.XA CN202210634117A CN115225316A CN 115225316 A CN115225316 A CN 115225316A CN 202210634117 A CN202210634117 A CN 202210634117A CN 115225316 A CN115225316 A CN 115225316A
- Authority
- CN
- China
- Prior art keywords
- http request
- network access
- risk
- http
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000012502 risk assessment Methods 0.000 claims abstract description 11
- 235000014510 cooky Nutrition 0.000 claims abstract description 9
- 238000012545 processing Methods 0.000 claims description 27
- 230000006399 behavior Effects 0.000 claims description 24
- 238000004590 computer program Methods 0.000 claims description 19
- 238000004891 communication Methods 0.000 claims description 10
- 238000007670 refining Methods 0.000 claims 2
- 230000008569 process Effects 0.000 abstract description 19
- 230000008901 benefit Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 8
- 239000000243 solution Substances 0.000 description 6
- 238000013461 design Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000002347 injection Methods 0.000 description 3
- 239000007924 injection Substances 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种网络应用的访问控制方法及装置。该方法包括:接收目标网络应用的HTTP请求,并对HTTP请求中的网络访问参数进行风险分析,得到HTTP请求的风险值;网络访问参数包括:请求类型、URL、HTTP版本、访问源IP、访问目的IP、目的字段、访问源连接来源、用于代理、域名、cookie和请求数据;若风险值大于等于高风险阈值,则拦截HTTP请求;若风险值小于等于低风险阈值,则放行HTTP请求;若风险值小于高风险阈值,且大于低风险阈值,则进行黑名单匹配,判断HTTP请求是否属于黑名单;若属于,则拦截HTTP请求,若不属于,则放行HTTP请求。本发明能够提高网络应用在访问过程中的防护能力。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种网络应用的访问控制方法及装置。
背景技术
网站应用级入侵防御***(web application firewall,WAF),又称Web应用防火墙,通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护。WAF代表一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,对合法的请求放行,对非法的请求予以实时阻断,实现访问控制,确保安全性与合法性,从而对各类网站站点进行有效防护。
目前的WAF按防护模式分两种类型:被动型和主动型。被动型WAF以攻击行为为主要研究目标,根据攻击特征设计规则来识别异常的请求,满足条件的阻断,不满足条件的放行。被动型WAF具有普适性,不随应用而改变;精准防护,误报率低;方便跟踪学***等优点。但被动型WAF的缺点是只能防护已知攻击,对未知攻击无效;且需跟踪研究各类攻击行为,运维工作量大;规则库巨大,性能较低。主动型WAF具有以应用***为主要研究目标,根据应用特征设计规则来识别正常的请求,满足条件放行,不满足条件的阻断。主动型WAF具有只关注应用特性本身,无需穷举各种攻击行为,运维工作量低;规则库简单,性能高;可防未知攻击等优点。主动型WAF的缺点是无法精准识别攻击,容易引发误报;不关心攻击行为,不利于安全防护研究和能力提升;不具有普适性,不同应用需管理不同应用特征库。
在网络应用的访问过程中,单独的被动型WAF和主动型WAF具有各自的优缺点,导致网络应用的防护能力较低。
发明内容
本发明提供了一种网络应用的访问控制方法及装置,能够提高网络应用在访问过程中的防护能力。
第一方面,本发明提供了一种网络应用的访问控制方法,包括:接收目标网络应用的HTTP请求,并对HTTP请求中的网络访问参数进行风险分析,得到HTTP请求的风险值;网络访问参数包括:请求类型、URL、HTTP版本、访问源IP、访问目的IP、目的字段、访问源连接来源、用于代理、域名、cookie和请求数据;若风险值大于等于高风险阈值,则拦截HTTP请求;若风险值小于等于低风险阈值,则放行HTTP请求;若风险值小于高风险阈值,且大于低风险阈值,则进行黑名单匹配,判断HTTP请求是否属于黑名单;若属于,则拦截HTTP请求,若不属于,则放行HTTP请求。
本发明提供一种网络应用的访问控制方法,通过对HTTP请求中的网络访问参数进行风险分析确定风险值,并基于风险值对HTTP请求进行拦截或放行。在风险值较高或较低时,执行主动性WAF,也即,风险值较高拦截HTTP请求,风险值较低放行HTTP请求;之后执行被动性WAF,也即执行黑名单策略,属于黑名单拦截,不属于黑名单放行,从而实现了主动性WAF和被动性WAF的联合防护,同时兼顾了主动性WAF和被动性WAF的优点,实现优势互补,具有高性能、易维护、策略丰富、防护准确、可靠的优势,提高了网络应用在访问过程中的防护能力。
在一种可能的实现方式中,若风险值小于等于低风险阈值,则放行HTTP请求,包括:若风险值小于等于低风险阈值,则基于白名单应用特征库,对HTTP进行应用特征匹配;若匹配成功,则放行HTTP请求。
在一种可能的实现方式中,访问控制方法,还包括:若匹配不成功,则进行黑名单匹配,判断HTTP请求是否属于黑名单;若属于,则拦截HTTP请求,若不属于,则放行HTTP请求。
在一种可能的实现方式中,若不属于,则放行HTTP请求,之后还包括:基于HTTP请求,完善白名单应用特征库。
在一种可能的实现方式中,基于HTTP请求,完善白名单应用特征库,包括:记录一定时期内放行的多个HTTP请求,进行特征分析和AI学习,确定放行的多个HTTP请求的网络访问参数出现的频次;基于放行的多个HTTP请求的网络访问参数出现的频次,生成多条应用规则,每条应用规则中包括一项或多项网络访问参数;将多条应用规则,增加至白名单应用特征库。
在一种可能的实现方式中,对HTTP请求中的网络访问参数进行风险分析,得到HTTP请求的风险值,包括:确定HTTP请求的网络访问参数对应的数据类型,数据类型包括数字类参数、非数字类参数;按数据类型,对HTTP请求的网络访问参数,进行攻击行为特征分析,确定HTTP请求中各网络访问参数的风险等级;风险等级包括低风险等级、中风险等级和高风险等级;基于HTTP请求中各网络访问参数的风险等级,以及各风险等级对应的取值,确定HTTP请求的风险值。
在一种可能的实现方式中,按数据类型,对HTTP请求的网络访问参数,进行攻击行为特征分析,确定HTTP请求中各网络访问参数的风险等级,包括:对于HTTP请求的网络访问参数中的每一项网络访问参数:若该网络访问参数为数字类参数,则直接确定该网络访问参数为低风险等级,或,在该网络访问参数的数值大于设定值时,确定该网络访问参数为高风险等级;若该网络访问参数为非数字类参数,则判断该网络访问参数中是否包含攻击行为特征分析关键字,若包含,则确定该网络访问参数为高风险等级,若不包含,则确定该网络访问参数为中风险等级;其中,攻击行为特征分析关键字为对黑名单进行特征提取得到的。
在一种可能的实现方式中,访问控制方法,还包括:记录一定时期内被拦截的多个HTTP请求;对被拦截的HTTP请求中高风险等级对应的网络访问参数,进行特征分析和AI学习,确定高风险等级对应的网络访问参数出现的频次;基于被拦截的多个HTTP请求的网络访问参数出现的频次,完善黑名单。
第二方面,本发明实施例提供了一种网络应用的访问控制装置,该访问控制装置包括:通信模块和处理模块;通信模块,用于接收目标网络应用的HTTP请求;处理模块,用于对HTTP请求中的网络访问参数进行风险分析,得到HTTP请求的风险值;网络访问参数包括:请求类型、URL、HTTP版本、访问源IP、访问目的IP、目的字段、访问源连接来源、用于代理、域名、cookie和请求数据;若风险值大于等于高风险阈值,则拦截HTTP请求;若风险值小于等于低风险阈值,则放行HTTP请求;若风险值小于高风险阈值,且大于低风险阈值,则进行黑名单匹配,判断HTTP请求是否属于黑名单;若属于,则拦截HTTP请求,若不属于,则放行HTTP请求。
在一种可能的实现方式中,处理模块,具体用于若风险值小于等于低风险阈值,则基于白名单应用特征库,对HTTP进行应用特征匹配;若匹配成功,则放行HTTP请求。
在一种可能的实现方式中,处理模块,还用于若匹配不成功,则进行黑名单匹配,判断HTTP请求是否属于黑名单;若属于,则拦截HTTP请求,若不属于,则放行HTTP请求。
在一种可能的实现方式中,处理模块,还用于基于HTTP请求,完善白名单应用特征库。
在一种可能的实现方式中,处理模块,具体用于记录一定时期内放行的多个HTTP请求,进行特征分析和AI学习,确定放行的多个HTTP请求的网络访问参数出现的频次;基于放行的多个HTTP请求的网络访问参数出现的频次,生成多条应用规则,每条应用规则中包括一项或多项网络访问参数;将多条应用规则,增加至白名单应用特征库。
在一种可能的实现方式中,处理模块,具体用于确定HTTP请求的网络访问参数对应的数据类型,数据类型包括数字类参数、非数字类参数;按数据类型,对HTTP请求的网络访问参数,进行攻击行为特征分析,确定HTTP请求中各网络访问参数的风险等级;风险等级包括低风险等级、中风险等级和高风险等级;基于HTTP请求中各网络访问参数的风险等级,以及各风险等级对应的取值,确定HTTP请求的风险值。
在一种可能的实现方式中,处理模块,具体用于对于HTTP请求的网络访问参数中的每一项网络访问参数:若该网络访问参数为数字类参数,则直接确定该网络访问参数为低风险等级,或,在该网络访问参数的数值大于设定值时,确定该网络访问参数为高风险等级;若该网络访问参数为非数字类参数,则判断该网络访问参数中是否包含攻击行为特征分析关键字,若包含,则确定该网络访问参数为高风险等级,若不包含,则确定该网络访问参数为中风险等级;其中,攻击行为特征分析关键字为对黑名单进行特征提取得到的。
在一种可能的实现方式中,处理模块,还用于记录一定时期内被拦截的多个HTTP请求;对被拦截的HTTP请求中高风险等级对应的网络访问参数,进行特征分析和AI学习,确定高风险等级对应的网络访问参数出现的频次;基于被拦截的多个HTTP请求的网络访问参数出现的频次,完善黑名单。
第三方面,本发明实施例提供了一种电子设备,其特征在于,所述电子设备包括存储器和处理器,该存储器存储有计算机程序,所述处理器用于调用并运行所述存储器中存储的计算机程序执行如上述第一方面以及第一方面中任一种可能的实现方式所述方法的步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如上述第一方面以及第一方面中任一种可能的实现方式所述方法的步骤。
上述第二方面至第四方面中任一种实现方式所带来的技术效果可以参见第一方面对应实现方式所带来的技术效果,此处不再赘述。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种网络应用的访问控制方法的流程示意图;
图2是本发明实施例提供的另一种网络应用的访问控制方法的流程示意图;
图3是本发明实施例提供的另一种网络应用的访问控制方法的流程示意图;
图4是本发明实施例提供的一种网络应用的访问控制装置的结构示意图;
图5是本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定***结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的***、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
在本发明的描述中,除非另有说明,“/”表示“或”的意思,例如,A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。此外,“至少一个”“多个”是指两个或两个以上。“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
在本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念,便于理解。
此外,本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或模块的过程、方法、***、产品或设备没有限定于已列出的步骤或模块,而是可选的还包括其他没有列出的步骤或模块,或可选的还包括对于这些过程、方法、产品或设备固有的其它步骤或模块。
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明的附图通过具体实施例来进行说明。
如背景技术所述,在网络应用的访问过程中,单独的被动型WAF和主动型WAF具有各自的优缺点,各自单独运行,存在网络应用的防护能力较低的问题。
为解决上述技术问题,如图1所示,本发明实施例提供了一种网络应用的访问控制方法,执行主体为访问控制装置,该访问控制方法包括步骤S101-S104。
S101、接收目标网络应用的HTTP请求,并对HTTP请求中的网络访问参数进行风险分析,得到HTTP请求的风险值。
在一些实施例中,HTTP请求包括请求行、请求头和请求体。其中,请求行包括请求类型、统一资源定位符(uniform resource locator,URL)和HTTP版本。请求头包括访问源IP、访问目的IP、目的字段、访问源连接来源、用户代理、域名和cookie。请求体包括请求数据。请求数据为目标网络应用向服务器请求的数据。
本申请实施例中,网络访问参数包括:请求类型、URL、HTTP版本、访问源IP、访问目的IP、目的字段、访问源连接来源、用户代理、域名、cookie和请求数据。
在一些实施例中,HTTP请求的风险值用于表征该HTTP请求的风险程度。示例性的,HTTP请求的风险值越高,表示该HTTP请求的风险程度越高,接收该HTTP请求的服务器受到攻击的可能性越高。
需要说明的是,网络攻击行为主要通过修改HTTP请求各字段,已实现对于服务器或访问过程的攻击。示例性的,SQL注入是常见的网络攻击行为。攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。例如,将Web页面的原URL、域名或请求数据输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证,就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击。
如此,访问控制装置可以对HTTP请求进行风险值分析,确定HTTP请求的风险程度,也即服务器可能受到攻击的概率。
作为一种可能的实现方式,如图2所示,访问控制装置可以基于步骤S1011-S1013,确定HTTP请求的风险值。
S1011、确定HTTP请求的网络访问参数对应的数据类型。
其中,数据类型包括数字类参数、非数字类参数。
需要说明的是,网络应用可以分为数字敏感类应用和非数字敏感类应用。示例性的,金融类应用为数字敏感类应用。金融类应用可能会将大额数字定义为高风险。
S1012、按数据类型,对HTTP请求的网络访问参数,进行攻击行为特征分析,确定HTTP请求中各网络访问参数的风险等级。
其中,风险等级包括低风险等级、中风险等级和高风险等级。
作为一种可能的实现方式,访问控制装置可以基于步骤A1-A4,确定HTTP请求中各网络访问参数的风险等级。
A1、对于HTTP请求的网络访问参数中的每一项网络访问参数。
A2、若该网络访问参数为数字类参数,则直接确定该网络访问参数为低风险等级,或,在该网络访问参数的数值大于设定值时,确定该网络访问参数为高风险等级。
需要说明的是,对于数字敏感类应用,访问控制装置可以在数值大于设定值时,确定该网络访问参数为高风险等级,也即超大数值风险等级需要设高,降低服务器受到攻击的可能性。
A3、若该网络访问参数为非数字类参数,则判断该网络访问参数中是否包含攻击行为特征分析关键字,若包含,则确定该网络访问参数为高风险等级,若不包含,则确定该网络访问参数为中风险等级。
其中,攻击行为特征分析关键字为对黑名单进行特征提取得到的。
示例性的,以SQL注入攻击为例,攻击行为特征分析关键字可以为“or like”、“or1=1”等。如果网络访问参数中包含类似关键字,可以确定该网络访问参数为高风险等级。
在一些实施例中,访问控制装置还可以基于用户的需求,确定各网络访问参数的风险等级。
S1013、基于HTTP请求中各网络访问参数的风险等级,以及各风险等级对应的取值,确定HTTP请求的风险值。
如此一来,本发明实施例可以对HTTP请求中各网络访问参数进行风险等级分析,最终确定HTTP请求的风险值,可以更加准确的确定HTTP请求的风险值,提高网络应用在访问过程中的防护能力。
S102、若风险值大于等于高风险阈值,则拦截HTTP请求。
需要说明的是,风险值大于等于高风险阈值,表示该HTTP请求较危险,风险程度较高,需要拦截,如此可减小服务器受到攻击的概率。
在一些实施例中,拦截HTTP请求,还可以表述为禁止HTTP请求访问服务器。
S103、若风险值小于等于低风险阈值,则放行HTTP请求。
需要说明的是,风险值小于等于低风险阈值,表示该HTTP请求较安全,风险程度较低,可以放行。而为了进一步提高网络应用访问过程的安全性,提高防护能力,访问控制装置可以对风险值小于等于低风险阈值的HTTP请求,进行白名单匹配和黑名单匹配。
作为一种可能的实现方式,若风险值小于等于低风险阈值,则访问控制装置可以基于白名单应用特征库,对HTTP进行应用特征匹配;若匹配成功,则放行HTTP请求。
作为另一种可能的实现方式,若风险值小于等于低风险阈值,则访问控制装置可以基于白名单应用特征库,对HTTP进行应用特征匹配;若匹配不成功,则进行黑名单匹配,判断HTTP请求是否属于黑名单;若属于,则拦截HTTP请求,若不属于,则放行HTTP请求。
需要说明的是,对于风险值小于等于低风险阈值的HTTP请求,若该HTTP请求与白名单和黑名单匹配不成功,表示该HTTP请求不属于白名单和黑名单,且可以进行安全访问,如此,访问控制装置可以对该HTTP请求进行特征分析,以完善白名单。
作为一种可能的实现方式,访问控制装置可以基于HTTP请求,完善白名单应用特征库。
在一些实施例中,访问控制装置可以对与黑名单匹配不成功的HTTP请求,进行特征分析,得到与黑名单匹配不成功的HTTP请求对应的控制参数特征;并基于该控制参数特征,完善白名单应用特征库。
示例性的,访问控制装置可以基于步骤B1-B3,完善白名单应用特征库。
B1、记录一定时期内放行的多个HTTP请求,进行特征分析和AI学习,确定放行的多个HTTP请求的网络访问参数出现的频次。
B2、基于放行的多个HTTP请求的网络访问参数出现的频次,生成多条应用规则。
其中,每条应用规则中包括一项或多项网络访问参数。
B3、将多条应用规则,增加至白名单应用特征库。
如此一来,本发明实施例可以对风险值较低但不存在于白名单中的HTTP请求进行特征学习,完善白名单应用特征库,降低防护过程的工作量,提高防护性能,提高了网络应用在访问过程中的防护能力。
S104、若风险值小于高风险阈值,且大于低风险阈值,则进行黑名单匹配,判断HTTP请求是否属于黑名单;若属于,则拦截HTTP请求,若不属于,则放行HTTP请求。
需要说明的是,风险值小于高风险阈值,且大于低风险阈值,表示该HTTP请求的风险值待定,访问控制装置可以在主动型防护的基础上,进行被动型防护,也即进行黑名单匹配。
作为一种可能的实现方式,访问控制装置可以基于黑名单规则库,进行特征匹配,示例性的黑名单规则库可以为owasp crs规则库。
本发明提供一种网络应用的访问控制方法,通过对HTTP请求中的网络访问参数进行风险分析确定风险值,并基于风险值对HTTP请求进行拦截或放行。在风险值较高或较低时,执行主动性WAF,也即,风险值较高拦截HTTP请求,风险值较低放行HTTP请求;之后执行被动性WAF,也即执行黑名单策略,属于黑名单拦截,不属于黑名单放行,从而实现了主动性WAF和被动性WAF的联合防护,同时兼顾了主动性WAF和被动性WAF的优点,实现优势互补,具有高性能、易维护、策略丰富、防护准确、可靠的优势,提高了网络应用在访问过程中的防护能力。
可选的,如图3所示,本发明实施例提供的网络应用的访问控制方法,在步骤S104之后,还包括步骤S201-S203。
S201、记录一定时期内被拦截的多个HTTP请求。
S202、对被拦截的HTTP请求中高风险等级对应的网络访问参数,进行特征分析和AI学习,确定高风险等级对应的网络访问参数出现的频次。
S203、基于被拦截的多个HTTP请求的网络访问参数出现的频次,完善黑名单。
示例性的,访问控制装置可以将频次大于设定阈值的HTTP请求,确定为高风险请求,基于高风险请求中被拦截的网络访问参数,生成黑名单应用规则,将黑名单应用规则添加值黑名单,以完善黑名单。
如此一来,本发明实施例可以对被拦截的多个HTTP请求,进行特征学习,完善黑名单应用特征库,提高网络防护的精准度,提高了网络应用在访问过程中的防护能力。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
以下为本发明的装置实施例,对于其中未详尽描述的细节,可以参考上述对应的方法实施例。
图4示出了本发明实施例提供的一种网络应用的访问控制装置的结构示意图。
在一些实施例中,该访问控制装置300可以设置于服务器中,也即该访问控制装置300作为嵌入式引擎,以插件形式嵌入应用***的Web server服务中。由于随服务器一起部署不改变现有的网络结构,可以共享应用***已有的高可用解决方案,不需要单独的主机资源,部署迅速。这种部署方式的缺点是要占用应用***Web server资源,对于***服务器资源比较空闲、流量不大的应用可以优先考虑嵌入式部署方案。
在另一些实施例中,该访问控制装置300可以设置于服务器之外,也即该访问控制装置300作为代理式引擎,以反向代理形式单独部署。代理式部署不与现有服务器争用资源,不影响现有应用性能,部署灵活。为WAF提供更多资源,提高处理流量、处理规则更完备。考虑***的扩展性。
在另一些实施例中,该访问控制装置300可以设置于网络之中,也即该访问控制装置300作为集成式引擎,直接在网络上抓取流量,不影响应用***部署架构,如网络二层桥接型式和iptables NFQUEUE型式。
本申请实施例中,该访问控制装置300包括:通信模块301和处理模块302。
通信模块301,用于接收目标网络应用的HTTP请求。
处理模块302,用于对HTTP请求中的网络访问参数进行风险分析,得到HTTP请求的风险值;网络访问参数包括:请求类型、URL、HTTP版本、访问源IP、访问目的IP、目的字段、访问源连接来源、用于代理、域名、cookie和请求数据;若风险值大于等于高风险阈值,则拦截HTTP请求;若风险值小于等于低风险阈值,则放行HTTP请求;若风险值小于高风险阈值,且大于低风险阈值,则进行黑名单匹配,判断HTTP请求是否属于黑名单;若属于,则拦截HTTP请求,若不属于,则放行HTTP请求。
在一种可能的实现方式中,处理模块302,具体用于若风险值小于等于低风险阈值,则基于白名单应用特征库,对HTTP进行应用特征匹配;若匹配成功,则放行HTTP请求。
在一种可能的实现方式中,处理模块302,还用于若匹配不成功,则进行黑名单匹配,判断HTTP请求是否属于黑名单;若属于,则拦截HTTP请求,若不属于,则放行HTTP请求。
在一种可能的实现方式中,处理模块302,还用于基于HTTP请求,完善白名单应用特征库。
在一种可能的实现方式中,处理模块302,具体用于记录一定时期内放行的多个HTTP请求,进行特征分析和AI学习,确定放行的多个HTTP请求的网络访问参数出现的频次;基于放行的多个HTTP请求的网络访问参数出现的频次,生成多条应用规则,每条应用规则中包括一项或多项网络访问参数;将多条应用规则,增加至白名单应用特征库。
在一种可能的实现方式中,处理模块302,具体用于确定HTTP请求的网络访问参数对应的数据类型,数据类型包括数字类参数、非数字类参数;按数据类型,对HTTP请求的网络访问参数,进行攻击行为特征分析,确定HTTP请求中各网络访问参数的风险等级;风险等级包括低风险等级、中风险等级和高风险等级;基于HTTP请求中各网络访问参数的风险等级,以及各风险等级对应的取值,确定HTTP请求的风险值。
在一种可能的实现方式中,处理模块302,具体用于对于HTTP请求的网络访问参数中的每一项网络访问参数:若该网络访问参数为数字类参数,则直接确定该网络访问参数为低风险等级,或,在该网络访问参数的数值大于设定值时,确定该网络访问参数为高风险等级;若该网络访问参数为非数字类参数,则判断该网络访问参数中是否包含攻击行为特征分析关键字,若包含,则确定该网络访问参数为高风险等级,若不包含,则确定该网络访问参数为中风险等级;其中,攻击行为特征分析关键字为对黑名单进行特征提取得到的。
在一种可能的实现方式中,处理模块302,还用于记录一定时期内被拦截的多个HTTP请求;对被拦截的多个HTTP请求中高风险等级对应的网络访问参数,进行特征分析和AI学习,确定高风险等级对应的网络访问参数出现的频次;基于被拦截的多个HTTP请求的网络访问参数出现的频次,完善黑名单。
图5是本发明实施例提供的一种电子设备的结构示意图。如图5所示,该实施例的电子设备400包括:处理器401、存储器402以及存储在所述存储器402中并可在所述处理器401上运行的计算机程序403。所述处理器401执行所述计算机程序403时实现上述各方法实施例中的步骤,例如图1所示的步骤101至步骤104。或者,所述处理器401执行所述计算机程序403时实现上述各装置实施例中各模块/单元的功能,例如,图4所示通信模块301和处理模块302的功能。
示例性的,所述计算机程序403可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器402中,并由所述处理器401执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序403在所述电子设备400中的执行过程。例如,所述计算机程序403可以被分割成图4所示通信模块301和处理模块302的功能。
所称处理器401可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器402可以是所述电子设备400的内部存储单元,例如电子设备400的硬盘或内存。所述存储器402也可以是所述电子设备400的外部存储设备,例如所述电子设备400上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器402还可以既包括所述电子设备400的内部存储单元也包括外部存储设备。所述存储器402用于存储所述计算机程序以及所述终端所需的其他程序和数据。所述存储器402还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述***中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/终端和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括是电载波信号和电信信号。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络应用的访问控制方法,其特征在于,包括:
接收目标网络应用的HTTP请求,并对所述HTTP请求中的网络访问参数进行风险分析,得到所述HTTP请求的风险值;所述网络访问参数包括:请求类型、URL、HTTP版本、访问源IP、访问目的IP、目的字段、访问源连接来源、用户代理、域名、cookie和请求数据;
若所述风险值大于等于高风险阈值,则拦截所述HTTP请求;
若所述风险值小于等于低风险阈值,则放行所述HTTP请求;
若所述风险值小于高风险阈值,且大于低风险阈值,则进行黑名单匹配,判断所述HTTP请求是否属于黑名单;若属于,则拦截所述HTTP请求,若不属于,则放行所述HTTP请求。
2.根据权利要求1所述的网络应用的访问控制方法,其特征在于,若所述风险值小于等于低风险阈值,则放行所述HTTP请求,包括:
若所述风险值小于等于所述低风险阈值,则基于白名单应用特征库,对所述HTTP进行应用特征匹配;若匹配成功,则放行所述HTTP请求。
3.根据权利要求2所述的网络应用的访问控制方法,其特征在于,所述访问控制方法,还包括:
若匹配不成功,则进行黑名单匹配,判断所述HTTP请求是否属于黑名单;若属于,则拦截所述HTTP请求,若不属于,则放行所述HTTP请求。
4.根据权利要求1至3中任一项所述的网络应用的访问控制方法,其特征在于,所述若不属于,则放行所述HTTP请求,之后还包括:
基于所述HTTP请求,完善白名单应用特征库。
5.根据权利要求4所述的网络应用的访问控制方法,其特征在于,所述基于所述HTTP请求,完善白名单应用特征库,包括:
记录一定时期内放行的多个HTTP请求,进行特征分析和AI学习,确定所述放行的多个HTTP请求的网络访问参数出现的频次;
基于所述放行的多个HTTP请求的网络访问参数出现的频次,生成多条应用规则,每条应用规则中包括一项或多项网络访问参数;
将所述多条应用规则,增加至所述白名单应用特征库。
6.根据权利要求1所述的网络应用的访问控制方法,其特征在于,所述对所述HTTP请求中的网络访问参数进行风险分析,得到所述HTTP请求的风险值,包括:
确定所述HTTP请求的网络访问参数对应的数据类型,所述数据类型包括数字类参数、非数字类参数;
按所述数据类型,对所述HTTP请求的网络访问参数,进行攻击行为特征分析,确定所述HTTP请求中各网络访问参数的风险等级;所述风险等级包括低风险等级、中风险等级和高风险等级;
基于所述HTTP请求中各网络访问参数的风险等级,以及各风险等级对应的取值,确定所述HTTP请求的风险值。
7.根据权利要求6所述的网络应用的访问控制方法,其特征在于,所述按所述数据类型,对所述HTTP请求的网络访问参数,进行攻击行为特征分析,确定所述HTTP请求中各网络访问参数的风险等级,包括:
对于所述HTTP请求的网络访问参数中的每一项网络访问参数:
若该网络访问参数为数字类参数,则直接确定该网络访问参数为低风险等级,或,在该网络访问参数的数值大于设定值时,确定该网络访问参数为高风险等级;
若该网络访问参数为非数字类参数,则判断该网络访问参数中是否包含攻击行为特征分析关键字,若包含,则确定该网络访问参数为高风险等级,若不包含,则确定该网络访问参数为中风险等级;
其中,所述攻击行为特征分析关键字为对所述黑名单进行特征提取得到的。
8.根据权利要求1至7中任一项所述的网络应用的访问控制方法,其特征在于,所述访问控制方法,还包括:
记录一定时期内被拦截的多个HTTP请求;
对所述被拦截的HTTP请求中高风险等级对应的网络访问参数,进行特征分析和AI学习,确定所述高风险等级对应的网络访问参数出现的频次;
基于所述被拦截的多个HTTP请求的网络访问参数出现的频次,完善所述黑名单。
9.一种网络应用的访问控制装置,其特征在于,包括:通信模块和处理模块;
所述通信模块,用于接收目标网络应用的HTTP请求;
所述处理模块,用于对所述HTTP请求中的网络访问参数进行风险分析,得到所述HTTP请求的风险值;所述网络访问参数包括:请求类型、URL、HTTP版本、访问源IP、访问目的IP、目的字段、访问源连接来源、用于代理、域名、cookie和请求数据;若所述风险值大于等于高风险阈值,则拦截所述HTTP请求;若所述风险值小于等于低风险阈值,则放行所述HTTP请求;若所述风险值小于高风险阈值,且大于低风险阈值,则进行黑名单匹配,判断所述HTTP请求是否属于黑名单;若属于,则拦截所述HTTP请求,若不属于,则放行所述HTTP请求。
10.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,该存储器存储有计算机程序,所述处理器用于调用并运行所述存储器中存储的计算机程序执行如权利要求1至8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210634117.XA CN115225316A (zh) | 2022-06-06 | 2022-06-06 | 网络应用的访问控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210634117.XA CN115225316A (zh) | 2022-06-06 | 2022-06-06 | 网络应用的访问控制方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115225316A true CN115225316A (zh) | 2022-10-21 |
Family
ID=83607710
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210634117.XA Pending CN115225316A (zh) | 2022-06-06 | 2022-06-06 | 网络应用的访问控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115225316A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180262521A1 (en) * | 2017-03-13 | 2018-09-13 | Molbase (Shanghai) Biotechnology Co., Ltd | Method for web application layer attack detection and defense based on behavior characteristic matching and analysis |
| CN109831465A (zh) * | 2019-04-12 | 2019-05-31 | 重庆天蓬网络有限公司 | 一种基于大数据日志分析的网站入侵检测方法 |
| US20200302074A1 (en) * | 2019-03-22 | 2020-09-24 | Fortinet, Inc. | File access control based on analysis of user behavior patterns |
-
2022
- 2022-06-06 CN CN202210634117.XA patent/CN115225316A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180262521A1 (en) * | 2017-03-13 | 2018-09-13 | Molbase (Shanghai) Biotechnology Co., Ltd | Method for web application layer attack detection and defense based on behavior characteristic matching and analysis |
| US20200302074A1 (en) * | 2019-03-22 | 2020-09-24 | Fortinet, Inc. | File access control based on analysis of user behavior patterns |
| CN109831465A (zh) * | 2019-04-12 | 2019-05-31 | 重庆天蓬网络有限公司 | 一种基于大数据日志分析的网站入侵检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| US10033746B2 (en) | Detecting unauthorised changes to website content | |
| US8170352B2 (en) | String searching facility | |
| US8949995B2 (en) | Certifying server side web applications against security vulnerabilities | |
| US20220217169A1 (en) | Malware detection at endpoint devices | |
| CN104954384B (zh) | 一种保护Web应用安全的url拟态方法 | |
| CN106899561B (zh) | 一种基于acl的tnc权限控制方法和*** | |
| CN107276986B (zh) | 一种通过机器学习保护网站的方法、装置和*** | |
| RU2601147C2 (ru) | Система и способ выявления целевых атак | |
| Sharieh et al. | Securing apis and chaos engineering | |
| CN115296916A (zh) | 一种基于决策树模型的零信任安全*** | |
| CN114500026A (zh) | 一种网络流量处理方法、装置及存储介质 | |
| US11729176B2 (en) | Monitoring and preventing outbound network connections in runtime applications | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| CN111131166A (zh) | 一种用户行为预判方法及相关设备 | |
| CN114793171B (zh) | 访问请求的拦截方法、装置、存储介质及电子装置 | |
| CN115225316A (zh) | 网络应用的访问控制方法及装置 | |
| CN113489738B (zh) | 一种宽带账号的违规处理方法、装置、设备和介质 | |
| CN114297639A (zh) | 一种接口调用行为的监测方法、装置、电子设备及介质 | |
| CN110971606B (zh) | 一种Web应用开发中的HACCP安全体系的构建方法以及应用方法 | |
| CN112637171A (zh) | 数据流量处理方法、装置、设备、***和存储介质 | |
| Fernandez-de-Retana et al. | Keep your Identity Small: Privacy-preserving Client-side Fingerprinting | |
| CN117254977B (zh) | 一种网络安全监控方法及***、存储介质 | |
| CN116582366B (zh) | Web攻击防范方法、装置和***、存储介质 | |
| CN117499071A (zh) | 一种数据处理方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |