[发明专利]一种安全扫描方法、设备及系统

说明书

技术领域

本发明涉及网络安全技术，尤其涉及一种安全扫描方法、设备及系统，属于通信技术领域。

背景技术

随着网络的不断发展，网络攻击事件也越来越频繁，危害性也越来越严重，其中，又以网页（WEB）服务器受到的攻击最为频繁，因此针对WEB服务器的安全防护成为了服务器防护的重中之重。

目前WEB服务器的安全防护，主要是通过在网络中部署安全防护设备来实现的。图1为一种典型的部署有安全防护设备的网络系统的系统架构图。如图1所示，安全防护设备11连接在用户设备12与WEB服务器13之间，并与一个安全扫描设备14连接。安全防护设备11截获用户设备12发往WEB服务器13的超文本传输协议（Hypertext transfer protocol，HTTP）请求；将所截获的HTTP请求发送至安全扫描设备14，由安全扫描设备14通过对HTTP请求进行安全扫描，来判断是否为攻击，并将判断结果返回给安全防护设备11；如果判断该HTTP请求是攻击，则由安全防护设备11向用户设备返回提示信息，如果判断该HTTP请求不是攻击，则由安全防护设备11将该HTTP请求发送给WEB服务器13。

由于网络攻击者通常是针对软件和程序的安全漏洞进行攻击，以获得服务器的管理缺陷、窃取企业机密、修改服务器内容等，因此安全防护设备对HTTP请求进行安全扫描的过程，主要是将HTTP请求与已知WEB服务器的安全漏洞相匹配的过程。然而，目前已知的WEB服务器的安全漏洞多达上千种，并且随着WEB服务器软件新版本的不断发布和新的WEB服务器软件的发布和恶意人员的不断摸索，更多的漏洞将不断被发现。因此，用于进行安全扫描的扫描规则库（包括已知的全部安全漏洞，用于与HTTP请求进行匹配）越来越庞大，导致安全防护设备在进行扫描的时候，扫描消耗的资源越来越多，耗时越来越长。

发明内容

针对现有技术中存在的缺陷，本发明提供一种安全扫描方法、设备及系统，以实现提高安全扫描效率及节省安全扫描消耗的资源的目的。

第一方面，提供一种安全扫描方法，包括：

获取用户向网页WEB服务器请求网页的超文本传输协议HTTP请求；

获取与所述HTTP请求对应的扫描规则库，所述HTTP请求对应的扫描规则库包括与所述HTTP请求相关的安全漏洞，并且所述HTTP请求对应的扫描规则库为适用于任意HTTP请求的全类型扫描规则库的子集；

根据所述扫描规则库，对所述HTTP请求进行安全扫描。

在第一方面的第一种可能的实现方式中，所述获取与所述HTTP请求对应的扫描规则库具体包括：

根据所述WEB服务器的类型和/或请求的网页的类型，确定与所述HTTP请求对应的扫描规则库。

结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述根据所述WEB服务器的类型和/或请求的网页的类型，确定与所述HTTP请求对应的扫描规则库，以及根据所述扫描规则库，对所述HTTP请求进行安全扫描，包括：

判断是否存在与所述WEB服务器的类型对应的第一扫描规则库；

若存在所述第一扫描规则库，则根据所述第一扫描规则库对所述HTTP请求进行第一安全扫描；

若不存在所述第一扫描规则库，或者若所述第一安全扫描未发现攻击，则根据所述请求的网页的类型对应的第二扫描规则库，对所述HTTP请求进行第二安全扫描。

结合第一方面的第一种可能的实现方式，在第一方面的第三种可能的实现方式中，所述根据所述WEB服务器的类型，确定与所述HTTP请求对应的扫描规则库，之前还包括：

获取所述HTTP请求的统一资源定位符URL；

根据所述URL确定所述WEB服务器的类型。

第二方面，提供一种安全扫描设备，包括：

请求获取模块，用于获取用户向WEB服务器请求网页的HTTP请求；

扫描规则获取模块，用于获取与所述HTTP请求对应的扫描规则库，所述HTTP请求对应的扫描规则库包括与所述HTTP请求相关的安全漏洞，并且所述HTTP请求对应的扫描规则库为适用于任意HTTP请求的全类型扫描规则库的子集；

安全扫描模块，用于根据所述扫描规则库，对所述HTTP请求进行安全扫描。

在第二方面的第一种可能的实现方式中，扫描规则获取模块用于：

根据所述WEB服务器的类型和/或请求的网页的类型，确定与所述HTTP请求对应的扫描规则库。