[发明专利]一种报文检测扫描方法、装置及网络安全设备

说明书

技术领域

本发明涉及计算机技术领域，尤指一种报文检测扫描方法、装置及网络安全设备。

背景技术

近年来，Web应用越来越广泛，同时Web应用也存在着大量漏洞，这引起了黑客们的强烈关注。传统的网络安全设备（如防火墙、入侵检测系统等）在解决Web应用安全问题时存在局限性，由于整改网站代码来避免漏洞需要付出较高代价从而变得较难实现，Web应用防火墙（Web Application Firewall，WAF）应运而生。

WAF是位于Web客户端和Web服务器端之间的中间设备，部署在Web服务器之前，用于对基于超文本传输协议（Hyper Text Transfer Protocol，HTTP）或基于安全套接层的超文本传输协议（Hypertext Transfer Protocol over SecureSocket Layer，HTTPS）的双向报文执行检测扫描来保证Web应用的安全。其主要特点是建立“代理”安全模型，这种安全模型一般会以调用规则的方式对报文进行检测扫描，由于黑客的攻击手段千变万化，Web应用的漏洞层出不穷，因此必须根据攻击和漏洞的特征，设计出成千上万的规则用于对报文检测扫描来保证Web应用的安全，这些规则就形成了规则库。

WAF在对报文检测扫描时，一般会逐条顺序调用规则库中所有的规则，对报文进行检测扫描，由于每条规则对报文进行检测扫描时都要消耗一定的时间，当规则库中的规则数量急剧增加时，检测扫描的效率就急剧下降。

发明内容

本发明实施例提供一种报文检测扫描方法、装置及网络安全设备，用以解决现有技术中存在的当规则库中的规则数量急剧增加时，逐条顺序调用规则库中所有的规则对报文进行检测扫描，导致的检测扫描效率急剧下降的问题。

一种报文检测扫描方法，包括：

A、根据预设的所需规则总数量和每个防护对象中规则的总数量，确定每个防护对象所需规则的数量；

B、根据规则的闲置时间和命中率对每个防护对象中的规则排序，并在每个防护对象排序后的规则中从第一个规则开始获取每个防护对象所需数量的规则，其中，所述闲置时间是每个规则距上次扫描检测报文的时间间隔，所述命中率是每个规则单位时间内与报文匹配成功的次数；

C、根据获取的每个防护对象中所需数量的规则确定每个防护对象的排序，得到检测扫描队列；

D、设定时间周期内，逐条调用所述检测扫描队列中的规则检测扫描报文，每检测扫描一个报文，更新一次所有规则的闲置时间和命中率；

E、所述设定时间周期到期后，执行B。

一种报文检测扫描装置，包括：

确定单元，用于根据预设的所需规则总数量和每个防护对象中规则的总数量，确定每个防护对象所需规则的数量；

获取单元，用于根据规则的闲置时间和命中率对每个防护对象中的规则排序，并在每个防护对象排序后的规则中从第一个规则开始获取每个防护对象所需数量的规则，其中，所述闲置时间是每个规则距上次扫描检测报文的时间间隔，所述命中率是每个规则单位时间内与报文匹配成功的次数；

排序单元，用于根据获取的每个防护对象中所需数量的规则确定每个防护对象的排序，得到检测扫描队列；

扫描单元，用于设定时间周期内，逐条调用所述检测扫描队列中的规则检测扫描报文，每检测扫描一个报文，更新一次所有规则的闲置时间和命中率；

计时单元，用于在监控所述设定时间周期到期后，转向所述获取单元。

一种网络安全设备，包括上述报文检测扫描装置。

本发明有益效果如下：