[实用新型]基于实时统计的Web服务防御装置

说明书

技术领域

本实用新型涉及一种Web服务防御装置，尤其是涉及一种基于实时统计的Web服务防御装置。

背景技术

尽管很多网站服务器前面均部署了传统防火墙设备，但仍有很多的网站系统被入侵或存在被入侵的风险。

传统的安全设备，如防火墙、IDS/IPS，由于其产品定位、防护深度、检测手段，不能提供完善的保护。Web攻击仍然可以到达Web服务器。黑客的攻击变形、碎片绕过等手段可以轻松绕过以上设备的检测。

发明内容

发明目的

针对现有技术的不足，本实用提出一种解决Web服务防御的装置，应用本装置可以有效的解决Web服务攻击问题。

技术方案

为了实现上述发明目的，本实用新型采用如下技术方案：

基于实时统计的Web服务防御装置，包括控制模块、存储模块，还包括网络核心驱动模块、数据包重组模块、多编码智能转换模块、检测引擎、实时过滤模块、实时阻断模块、实时统计模块，其中控制模块、存储模块、网络核心驱动模块、数据包重组模块、多编码智能转换模块、检测引擎、实时过滤模块、实时阻断模块、实时统计模块通过总线相连接。

有益效果

本实用新型的有益效果在于，可以从数据包中抽取安全决策所需的所有源于应用层中的状态相关信息，并在动态状态表中维持这些信息以提供后继连接的可能性预测。能提供高安全性、高性能和扩展性、高伸缩性的解决方案。

附图说明

图1是本实用新型的结构示意图。

具体实施方式

以下结合附图对本实用新型作进一步说明：

基于实时统计的Web服务防御装置，包括控制模块、存储模块，还包括网络核心驱动模块、数据包重组模块、多编码智能转换模块、检测引擎、实时过滤模块、实时阻断模块、实时统计模块，其中控制模块、存储模块、网络核心驱动模块、数据包重组模块、多编码智能转换模块、检测引擎、实时过滤模块、实时阻断模块、实时统计模块通过总线相连接。

其中控制模块用于控制本实用新型其他模块的工作，存储模块用于数据的读写和数据存储。

检测引擎具备特征对比功能，用于对接收到的数据包与预定义的存在网络安全风险的特征代码进行对比，若发现数据包存在风险则将其丢弃。

实时过滤模块用于双向清洗网页中的敏感内容，可以实现对各种不安全的内容实施过滤。访问Web内容时，对内容进行实时扫描，根据已知的敏感关键字/词、图片和页面构成特点，分析是否含有禁止访问的内容。这是最有效的控制方法，只要建立一个足够完全的关键字库就可以完全杜绝对不良信息的访问。

网络核心驱动层模块将用于数据包批量提交给数据包重组模块。

数据包重组模块负责数据包的组装，防止黑客将攻击行为分为多个碎片，每个碎片中携带一部分的攻击代码，最终在Web服务器端完成组装后发起攻击。

多编码智能转换模块用于各种编码转换。

实时阻断模块用于断开各种存在安全风险的连接。

实时统计模块用于统计和记录安全事件，并将结果存储于存储模块。

首先，当用户通过HTTP协议访问Web应用时，本实用新型首先捕获网桥入口的数据包，位于网络核心驱动层的模块将数据包批量提交给数据包重组模块。数据包重组模块根据TCP/IP层的协议，对数据包进行合规检查，如果数据包不合规，则自行丢弃该数据包。接着进行数据包组装的进一步处理，组装好的数据包交给智能编码转换模块，由该模块进行各种编码转换，杜绝各种编码变形攻击。下一步，数据包被提交给各种检测插件，比如：白名单、实时过滤、HTTP类型验证、防溢出检查。如果检测插件没有发现任何问题，该数据包继续提交到特征比对模块。特征比对模块根据多字符串匹配对数据包进行最终的检查，如果检测到有问题，则丢弃该数据包并记录攻击日志。而对于用户的正常访问的数据包，经过上述的检测以后，网络层立即将数据包发送到网桥的出口。根据网络部署方式的不同，最终Web服务器得到来自用户的正常访问数据包，Web服务器将响应数据包继续通过网桥并最终传递给用户的浏览器，完成一次正常的Web访问；而在此过程中，异常访问流量已经被本实用新型清洗，无法到达Web服务器，从而保护了Web服务器的安全。