一種安全性檢測方法�、裝置和系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及通信技術領域,具體涉及一種安全性檢測方法�����、裝置和系統(tǒng)���。
【背景技術】
[0002]隨著通信技術的發(fā)展���,各種網(wǎng)絡應用服務也日益繁多起來,與此同時���,提供服務的應用服務器所面臨的威脅也日益增加��,而如何保證服務器的安全性�����,對于整個網(wǎng)絡的健康發(fā)展而言�,也極為重要��。
[0003]對漏洞進行防護是保障服務器安全性的一項重要內容����。針對網(wǎng)頁(Web)漏洞的防護,傳統(tǒng)方法是基于主機層實現(xiàn)���,比如�����,通?����?梢酝ㄟ^在應用服務器上設置相應的安全接口/模塊��,來達到對用戶請求的檢測分析和惡意攔截防護�,等等,其中�����,針對不同的應用服務器特性�,需要分別設置相應的安全接口 /模塊,比如����,如果是apache ( 一種應用服務器軟件),則需要針對apache專門設置對應安全接口 /模塊�����,如果是nginx ( 一種應用服務器軟件)��,則需要針對nginx專門設置對應安全接口 /模塊�,以此類推,等等�,然后,當應用服務器接收到用戶的訪問請求���,比如超文本傳輸協(xié)議(Http, Hypertext transfer protocol)請求后�,調用該安全接口 /模塊對接收到的訪問請求進行解析�,以進行安全性檢測�,如果確定該訪問行為為惡意�,則進行阻斷。
[0004]在對現(xiàn)有技術的研究和實踐過程中�,本發(fā)明的發(fā)明人發(fā)現(xiàn),由于應用服務器特性種類繁多���,而安全接口 /模塊均需要根據(jù)不同的特性進行定制,因此��,開發(fā)和運維成本較高���,而且�����,安全接口 /模塊的安裝較為繁瑣復雜�����,工作時也需要占用應用服務器一定的資源���,所以,對應用服務器本身的性能也具有一定影響�����,不利于提高應用服務器的性能。
【發(fā)明內容】
[0005]本發(fā)明實施例提供一種安全性檢測方法���、裝置和系統(tǒng)��,不僅可以減低開發(fā)和運維成本�,而且���,無需占用應用服務器的資源��,有利于提高服務器性能��。
[0006]一種安全性檢測方法���,其特征在于,包括:
[0007]攔截發(fā)往應用服務器的數(shù)據(jù)流����;
[0008]對所述數(shù)據(jù)流進行基于五元組的流跟蹤,以確定屬于同一訪問請求的數(shù)據(jù)流��;
[0009]對所述屬于同一訪問請求的數(shù)據(jù)流進行數(shù)據(jù)重組���,以還原所述訪問請求�����;
[0010]對所述訪問請求進行檢測����,以確定所述訪問請求是否為惡意請求;
[0011]若是���,則阻斷所述訪問請求;
[0012]若否�,則向所述應用服務器發(fā)送所述數(shù)據(jù)流。
[0013]一種安全性檢測裝置�,包括:
[0014]攔截單元,用于攔截發(fā)往應用服務器的數(shù)據(jù)流����;
[0015]流跟蹤單元,用于對所述數(shù)據(jù)流進行基于五元組的流跟蹤����,以確定屬于同一訪問請求的數(shù)據(jù)流;
[0016]重組單元���,用于對所述屬于同一訪問請求的數(shù)據(jù)流進行數(shù)據(jù)重組�����,以還原所述訪問請求�����;
[0017]檢測單元�����,用于對所述訪問請求進行檢測��,以確定所述訪問請求是否為惡意請求�����;
[0018]阻斷單元�,用于在檢測單元確定所述訪問請求為惡意請求時,阻斷所述訪問請求�;
[0019]發(fā)送單元,用于在檢測單元確定所述訪問請求不是惡意請求時�,向所述應用服務器發(fā)送所述數(shù)據(jù)流。
[0020]一種通信系統(tǒng),包括本發(fā)明實施例提供的任一種安全性檢測裝置��。
[0021]本發(fā)明實施例采用攔截發(fā)往應用服務器的數(shù)據(jù)流����,對該數(shù)據(jù)流進行基于五元組的流跟蹤,以確定屬于同一訪問請求的數(shù)據(jù)流,然后對屬于該同一訪問請求的數(shù)據(jù)流進行數(shù)據(jù)重組,以還原該訪問請求��,并對該訪問請求進行檢測,以確定該訪問請求是否為惡意請求,若為惡意請求,則阻斷該訪問請求�,否則���,若不是惡意請求����,則向該應用服務器發(fā)送該數(shù)據(jù)流���,從而實現(xiàn)防止漏洞攻擊的惡意請求的目的。由于在該方案中��,采用的是在數(shù)據(jù)流進入應用服務器之前���,由專用的安全性檢測裝置對該數(shù)據(jù)流進行安全性檢測����,因此,并不受制于應用服務器服務軟件的特性��,相對于現(xiàn)有技術中需要根據(jù)不同的特性在應用服務器內設置不同的安全接口 /模塊而言��,大大可以減低開發(fā)和運維成本����,而且,無需占用應用服務器的資源���,有利于提高服務器性能�。
【附圖說明】
[0022]為了更清楚地說明本發(fā)明實施例中的技術方案�,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域技術人員來講��,在不付出創(chuàng)造性勞動的前提下�,還可以根據(jù)這些附圖獲得其他的附圖。
[0023]圖1是本發(fā)明實施例提供的安全性檢測方法的流程圖�����;
[0024]圖2a是本發(fā)明實施例提供的安全性檢測方法的網(wǎng)絡框圖;
[0025]圖2b是本發(fā)明實施例提供的安全性檢測方法的場景示意圖��;
[0026]圖2c是本發(fā)明實施例提供的安全性檢測方法的另一流程圖����;
[0027]圖3是本發(fā)明實施例提供的安全性檢測裝置的結構示意圖;
[0028]圖4是本發(fā)明實施例提供的網(wǎng)絡安全防護設備的結構示意圖����。
【具體實施方式】
[0029]下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚��、完整地描述���,顯然���,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例�?��;诒景l(fā)明中的實施例����,本領域技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍����。
[0030]本發(fā)明實施例提供一種安全性檢測方法、裝置和系統(tǒng)��。以下分別進行詳細說明��。
[0031]實施例一�、
[0032]本實施例將從安全性檢測裝置的角度進行描述,該安全性檢測裝置可以作為獨立的實體來實現(xiàn)�,也可以集成在網(wǎng)關等其他的設備中。
[0033]一種安全性檢測方法�����,包括:攔截發(fā)往應用服務器的數(shù)據(jù)流���,對該數(shù)據(jù)流進行基于五元組的流跟蹤��,以確定屬于同一訪問請求的數(shù)據(jù)流�;對該屬于同一訪問請求的數(shù)據(jù)流進行數(shù)據(jù)重組�,以還原該訪問請求����;對該訪問請求進行檢測���,以確定該訪問請求是否為惡意請求����,若是����,則阻斷該訪問請求;若否��,則向該應用服務器發(fā)送該數(shù)據(jù)流����。
[0034]如圖1所示,該安全性檢測方法���,具體流程可以如下:
[0035]101�����、攔截發(fā)往應用服務器的數(shù)據(jù)流����,例如�,具體可以如下:
[0036]向該應用服務器對應的核心層路由設備發(fā)送動態(tài)牽引指令,接收該核心層路由設備根據(jù)該動態(tài)牽引指令所牽引的數(shù)據(jù)流��。
[0037]當然�����,也可以采用其他可以對數(shù)據(jù)流進行牽引的指令����,或者,還可以采用其他的攔截技術�����,在此不再贅述�。
[0038]102、對該數(shù)據(jù)流進行基于五元組的流跟蹤�,以確定屬于同一訪問請求的數(shù)據(jù)流。例如�����,具有可以如下:
[0039]對該數(shù)據(jù)流中數(shù)據(jù)包的包頭進行解析,提取源地址和目的地址��,將具有同一源地址和目的地址的所有數(shù)據(jù)包作為屬于同一訪問請求的數(shù)據(jù)流�����。
[0040]103����、對該屬于同一訪問請求的數(shù)據(jù)流進行數(shù)據(jù)重組,以還原該訪問請求�。
[0041]基于傳輸控制協(xié)議(TCP,Transmiss1n Control Protocol)對所述屬于同一訪問請求的數(shù)據(jù)流進行數(shù)據(jù)重組,以還原所述訪問請求���。
[0042]104���、對該訪問請求進行檢測,以確定該訪問請求是否為惡意請求�,若為惡意請求,則執(zhí)行步驟105�����,若不是惡意請求��,則執(zhí)行步驟106。
[0043]其中��,檢測的技術可以有多種�,例如���,可以預先設置病毒庫��,通過將訪問請求與該病毒庫進行字段匹配����,來確定該訪問請求中是否存在有對應用服務器造成威脅的字段����,從而判斷該訪問請求是否為惡意請求;即步驟“對該訪問請求進行檢測�,以確定該訪問請求是否為惡意請求”具體可以如下:
[0044]根據(jù)該訪問請求查詢病毒庫,若該訪問請求中存在與所述病毒庫匹配的字段����,則確定該訪問請求為惡意請求;若該訪問請求中不存在與該病毒庫匹配的字段��,則確定該訪問請求不是惡意請求�。
[0045]其中���,該病毒庫可以根據(jù)實際應用的需求進行設置,主要用于收集并記錄各種可能會對應用服務器造成威脅的訪問請求所攜帶的字段��,在此不再贅述�。
[0046]105、在確定該訪問請求為惡意請求時�����,阻斷該訪問請求����,以避免該訪問請求對應用服務器造成威脅。
[0047]可選的�,在阻斷該訪問請求之后,還可以將訪問請求的阻斷情況通知給應用服務器�,即在步驟“阻斷該訪問請求”之后,該安全性檢測方法還可以包括:
[0048]向該服務器發(fā)送指示訪問請求已被阻斷的通知�。
[0049]106、在確定該訪問請求不是惡意請求時����,向該應用服務器發(fā)送該數(shù)據(jù)流,即對原攔截到的數(shù)據(jù)流進行回注。
[0050]例如�,具體可以向核心路由設備發(fā)送該數(shù)據(jù)流,以便該核心路由設備將該數(shù)據(jù)流發(fā)送給應用服務器��。
[0051]需說明的是����,為了避免惡意請求完全被透傳到應用服務器,在對該訪問請求進行檢測之前����,可以對屬于同一訪問請求的數(shù)據(jù)流進行緩存���,然后再確定該訪問請求不是惡意請求時�����,才將這些數(shù)據(jù)流傳送給應用服務器�。但是�����,為了減輕負載����,提高傳輸效率�����,在緩存這些需要進行數(shù)據(jù)重組的數(shù)據(jù)流時�,也可以只緩存一部分����,另一部分則直接轉發(fā)給應用服務器,如果后續(xù)確定該訪問請求為惡意請求���,則無需將緩存的數(shù)據(jù)流發(fā)送給應用服務器���,而如果后續(xù)確定該訪問請求不是惡意請求,則將緩存的數(shù)據(jù)流發(fā)送給應用服務器�����,從而使得應用服務器可以接收到關于該訪問請求的完整的數(shù)據(jù)流�。即,在步驟“對該屬于同一訪問請求的數(shù)據(jù)流進行數(shù)據(jù)重組���,以還原該訪問請求(步驟103) ”之后����,還可以
[0052]緩存屬于同一訪問請求的數(shù)據(jù)流中的至少一個數(shù)據(jù)包,并將該屬于同一訪問請求的數(shù)據(jù)流中的其他數(shù)據(jù)包(即除緩存了的數(shù)據(jù)包之外的其他數(shù)據(jù)包)發(fā)送給所述應用服務器�����。
[0053]則此時���,步驟“在確定該訪問請求不是惡意請求時��,向該應用服務器發(fā)送所述數(shù)據(jù)流”可以包括:
[0054]將緩存的數(shù)據(jù)包發(fā)送給該應用服務器�。