[发明专利]基于URL自学习的Web防护方法

说明书

本发明公开一种基于URL自学习的Web防护方法，当请求的URL触发白名单时执行对应的预设动作，URL自学习与Web安全防护实时同步进行，判断请求的URL是否存在于内存数据库中；若存在，将请求转至Web服务器进行响应；若不存在，加载执行自学习策略，并更新至内存数据库。该方法中，URL自学习与Web防护实时同步进行，保证学习结果的实时性；学习结果保存在内存数据库，读取速率高，保证防护效率；学习结果设置有效周期，超期后清除数据重新学习，保证学习结果有效性，提高Web安全防护的效率。

技术领域

本发明属于网络安全技术领域，尤其是涉及一种基于URL自学习的Web防护方法。

背景技术

据调研统计，大部分的网络攻击行为都来自于应用层面而非网络层面，并且国内有超过一半的站点存在各种Web层面的安全问题。虽然大部分企业部署了入侵检测系统、网络防火墙、网络防病毒等网络安全防护系统，但是在面对来自Web应用层的安全威胁，很多企业仍然应对乏力。

Web应用防火墙是解决Web应用安全问题的安全产品，通过安全域划分和边界隔离的方法，在客户区域和服务器应用系统区域之间加固一道安全屏障，通过一系列的安全策略组合，从而最大程度的保护服务器区域、应用服务系统和数据的安全，帮助、保障客户网站业务安全运行。Web应用防火墙的安全防护功能，提供针对性的攻击检查、页面防篡改、统计分析等，当URL请求触发预设条件时，执行对应的动作。

对同一类型的URL站点组执行统一动作可以提高防护效率，这就需要通过统计分析得到对应的站点模型。通过网站URL自学习，分析用户正常访问的请求数据，提取URL请求的方法、参数等信息，生成一套白名单策略，防御指定URL的未知攻击。但是目前的URL自学习，大多是在用户访问流量较少的夜间对日间的流量数据进行复习，没有与安全防护同步进行，自学习结果具有迟延。另一方面，目前的自学习结果的数据库存储，读取速率较低；而且结果数据长期累积，有效性存疑。

发明内容

鉴于上述背景，提出一种Web安全防护方法，通过学习用户对被保护站点的正常流量的数据信息，分析得到站点保护对象的正常模型，并生成相应的白名单策略，加载到白名单规则引擎中，实现对异常请求与流量进行检测和防护。

基于URL自学习的Web防护方法，当请求的URL触发白名单时执行对应的预设动作，URL自学习与Web安全防护实时同步进行，判断请求的URL是否存在于内存数据库中；若存在，将请求转至Web服务器进行响应；若不存在，加载执行自学习策略，并更新至内存数据库。

上述的URL自学习，包括：引擎的第一线程接收界面下发的自学习策略；引擎的第二线程从消息队列实时获取待学习的URL数据；判断所述数据是否满足自学习策略的条件，若不满足则结束，若满足则进一步判断URL信息是否存在于内存数据库中；若内存数据库中已存在则结束自学习，若内存数据库中不存在则将该URL信息写入内存数据库。

优选的，URL的自学习结果信息具有预设的有效周期，当超过所述周期后，将其信息从内存数据库中清除。

优选的，自学习策略的条件，包括HTTP方法与HTTP响应码；

还包括设定样本数及其来源IP数、自学习时间段；样本数及其来源IP数未设定时取默认的最少样本数与最少样本来源IP数；

还包括URL的参数配置：是否必须具有参数、参数个数、参数类型、参数取值范围；

所述参数类型包括字符串型或数字型；所述字符串型参数取值范围包括字符串长度，数字型参数取值范围包括数字大小。

作为一种优选实施方式，从内存数据库选取自学习得到的站点，添加至白名单；当新的请求触发白名单时，执行预设的动作。

上述的预设动作包括，

放行：不再进行安全监测、直接转发至服务器；