[go: up one dir, main page]

CN111049842A - 利用动态黑名单提高waf防护效率的方法 - Google Patents

利用动态黑名单提高waf防护效率的方法 Download PDF

Info

Publication number
CN111049842A
CN111049842A CN201911306185.8A CN201911306185A CN111049842A CN 111049842 A CN111049842 A CN 111049842A CN 201911306185 A CN201911306185 A CN 201911306185A CN 111049842 A CN111049842 A CN 111049842A
Authority
CN
China
Prior art keywords
dynamic blacklist
message
protection
blacklist
dynamic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911306185.8A
Other languages
English (en)
Inventor
韩冠强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Unicloud Nanjing Digital Technology Co Ltd
Original Assignee
Unicloud Nanjing Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Unicloud Nanjing Digital Technology Co Ltd filed Critical Unicloud Nanjing Digital Technology Co Ltd
Priority to CN201911306185.8A priority Critical patent/CN111049842A/zh
Publication of CN111049842A publication Critical patent/CN111049842A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种利用动态黑名单提高WAF防护效率的方法。本发明包括如下步骤:(1)Request后,报文进入WAF,判断是否开启了动态黑名单防护,若判断为是,则执行下一步,(2)从请求的报文中获取源ip和host信息组成key,并在动态黑名单中查找;(3)对步骤(2)查找的结果进行判断,判断是否存在于动态黑名单,若为是,则执行下一步;(4)丢弃报文并返回错误页;(5)对步骤(1)、步骤(3)判断为否的结果,将请求报文传递给后续防护模块。本发明主要通过动态黑名单统一保存攻击者以及防护网站的信息,在所有防御模块之前进行过滤,如果发现了该报文信息与动态黑名单里的信息匹配就直接丢弃,提高防护效率。

Description

利用动态黑名单提高WAF防护效率的方法
技术领域
本发明涉及提高WAF防护效率方法的技术领域。
背景技术
目前WAF防护都是按照具体的防护模块进行防护,也就是报文依次进入多个防护模块,如果触发了某一个防护模块,被认为有攻击行为,就会被丢弃,该方案的缺点在于,如果第一个报文触发了防御被丢弃,第二个同源的报文也有可能被丢弃,如果这个防护模块在整个防护流程中处于靠后的位置,会导致这个应该被拦截的报文会经过这个防护模块之前的所有防护模块过滤,再到这个防护模块才能被判断为丢弃,这样防护效率很低,因为本该被拦截的报文要经过很多无关的防护模块才能被判断为丢弃。
发明内容
本发明的利用动态黑名单提高WAF防护效率的方法,简化了报文防护模块的程序,使得WAF的防御更加高效。
利用动态黑名单提高WAF防护效率的方法,包括如下步骤:
(1)Request后,报文进入WAF,判断是否开启了动态黑名单防护,若判断为是,则执行下一步,
(2)从请求的报文中获取源ip和host信息组成key,并在动态黑名单中查找;
(3)对步骤(2)查找的结果进行判断,判断是否存在于动态黑名单,若为是,则执行下一步;
(4)丢弃报文并返回错误页;
(5)对步骤(1)、步骤(3)判断为否的结果,将请求报文传递给后续防护模块。
本发明的动态黑名单结构为:红黑树map结构,ip_host为key,value为timeout。
本发明的防护模块为:在断定一个源ip对某一个被保护网站有攻击行为后并且动态黑名单功能开启的情况下,可将那个攻击报文的源ip和host以及timeout时间记录到动态黑名单。
本发明的timeout时间为10分之后的时刻。
本发明主要通过动态黑名单统一保存攻击者以及防护网站的信息,在所有防御模块之前进行过滤,如果发现了该报文信息与动态黑名单里的信息匹配就直接丢弃,提高防护效率。
附图说明
图1是本发明的防护流程示意图。
具体实施方式
如图1所示,利用动态黑名单提高WAF防护效率的方法,包括如下步骤:
(1)Request后,报文进入WAF,判断是否开启了动态黑名单防护,若判断为是,则执行下一步,
(2)从请求的报文中获取源ip和host信息组成key,并在动态黑名单中查找;
(3)对步骤(2)查找的结果进行判断,判断是否存在于动态黑名单,若为是,则执行下一步;
(4)丢弃报文并返回错误页;
(5)对步骤(1)、步骤(3)判断为否的结果,将请求报文传递给后续防护模块。
本发明防护模块的处理方式:在断定一个源ip对某一个被保护网站有攻击行为后并且动态黑名单功能开启的情况下,可将那个攻击报文的源ip和host以及timeout时间(时间自定,一般为10分之后的时刻)记录到动态黑名单即可。
本发明动态黑名单的设计:一般设计为map结构(红黑树结构),ip_host为key,value为timeout。
本发明动态黑名单老化设计,系统可以编写定时任务,timeout为过期的时刻,如果定时任务执行的时刻晚于timeout,即将这条从动态黑名单中删除。
本发明防护流程如下:报文进入WAF后,如果动态ip黑名单模块开启,则首先进入动态ip黑名单模块,然后根据报文的源ip和host组成key,从动态黑名单中查找,如果存在,则立即丢弃报文,如果不存在,则放行进入下一个防护模块。

Claims (4)

1.一种利用动态黑名单提高WAF防护效率的方法,其特征在于包括如下步骤:
(1)Request后,报文进入WAF,判断是否开启了动态黑名单防护,若判断为是,则执行下一步,
(2)从请求的报文中获取源ip和host信息组成key,并在动态黑名单中查找;
(3)对步骤(2)查找的结果进行判断,判断是否存在于动态黑名单,若为是,则执行下一步;
(4)丢弃报文并返回错误页;
(5)对步骤(1)、步骤(3)判断为否的结果,将请求报文传递给后续防护模块。
2.根据权利要求1所述的利用动态黑名单提高WAF防护效率的方法,其特征在于上述步骤(1)的动态黑名单结构为,红黑树map结构,ip_host为key,value为timeout。
3.根据权利要求1所述的利用动态黑名单提高WAF防护效率的方法,其特征在于上述步骤(1)的防护模块为:
在断定一个源ip对某一个被保护网站有攻击行为后并且动态黑名单功能开启的情况下,可将那个攻击报文的源ip和host以及timeout时间记录到动态黑名单。
4.根据权利要求3所述的利用动态黑名单提高WAF防护效率的方法,其特征在于上述timeout时间为10分之后的时刻。
CN201911306185.8A 2019-12-17 2019-12-17 利用动态黑名单提高waf防护效率的方法 Pending CN111049842A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911306185.8A CN111049842A (zh) 2019-12-17 2019-12-17 利用动态黑名单提高waf防护效率的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911306185.8A CN111049842A (zh) 2019-12-17 2019-12-17 利用动态黑名单提高waf防护效率的方法

Publications (1)

Publication Number Publication Date
CN111049842A true CN111049842A (zh) 2020-04-21

Family

ID=70237121

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911306185.8A Pending CN111049842A (zh) 2019-12-17 2019-12-17 利用动态黑名单提高waf防护效率的方法

Country Status (1)

Country Link
CN (1) CN111049842A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114928476A (zh) * 2022-04-27 2022-08-19 北京天融信网络安全技术有限公司 目标文件的安全性检测方法及检测装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107360162A (zh) * 2017-07-12 2017-11-17 北京奇艺世纪科技有限公司 一种网络应用防护方法和装置
CN107438074A (zh) * 2017-08-08 2017-12-05 北京神州绿盟信息安全科技股份有限公司 一种DDoS攻击的防护方法及装置
US20190173844A1 (en) * 2017-12-05 2019-06-06 Cyber Security Cloud, Inc. Firewall device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107360162A (zh) * 2017-07-12 2017-11-17 北京奇艺世纪科技有限公司 一种网络应用防护方法和装置
CN107438074A (zh) * 2017-08-08 2017-12-05 北京神州绿盟信息安全科技股份有限公司 一种DDoS攻击的防护方法及装置
US20190173844A1 (en) * 2017-12-05 2019-06-06 Cyber Security Cloud, Inc. Firewall device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114928476A (zh) * 2022-04-27 2022-08-19 北京天融信网络安全技术有限公司 目标文件的安全性检测方法及检测装置

Similar Documents

Publication Publication Date Title
CN102937926B (zh) 一种恢复移动终端已删除sqlite文件的方法及装置
CN112615862B (zh) 一种基于拟态防御的攻击防御装置、方法、设备和介质
CN105187394B (zh) 具有移动终端恶意软件行为检测能力的代理服务器及方法
WO2018032936A1 (zh) 一种对算法生成域名进行检测的方法及装置
EP2434689A1 (en) Method and apparatus for detecting message
CN108063759B (zh) Web漏洞扫描方法
CN115632878B (zh) 基于网络隔离的数据传输方法、装置、设备及存储介质
CN103561048A (zh) 一种确定tcp端口扫描的方法及装置
WO2020107446A1 (zh) 攻击者信息的获取方法、装置、设备和存储介质
CN113301012A (zh) 一种网络威胁的检测方法、装置、电子设备及存储介质
CN106034113A (zh) 数据处理方法及装置
CN110968476A (zh) 一种自动监控Linux系统登录信息的方法及装置
CN111049842A (zh) 利用动态黑名单提高waf防护效率的方法
CN112612670B (zh) 一种会话信息统计方法、装置、交换设备及存储介质
CN108616381B (zh) 一种事件关联报警方法和装置
CN109474510B (zh) 一种邮箱安全交叉审计方法、系统及存储介质
CN113098880A (zh) 一种重放攻击识别的方法、系统、设备及可读存储介质
CN105809031A (zh) 数据库审计的方法、装置及系统
CN112769827A (zh) 一种网络攻击代理端检测及溯源方法与装置
CN113794696B (zh) 一种基于因果模型的网络安全信息处理方法和系统
CN110324199B (zh) 一种通用的协议解析框架的实现方法及装置
CN111614674A (zh) 一种异常访问行为检测方法、系统、介质及其设备
CN101286986B (zh) 一种主动防御的方法、装置及系统
CN105024989A (zh) 一种基于异常端口的恶意url启发式检测方法及系统
CN112580016A (zh) 一种工控防火墙的登录权限配置方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200421

RJ01 Rejection of invention patent application after publication