[发明专利]一种智能收集Web应用防火墙白名单的方法

说明书

技术领域

本发明涉及计算机技术领域，尤其涉及一种智能收集Web应用防火墙白名单的方法。

背景技术

在PC桌面应用不断迁往云端的趋势下，从保证单机安全到保证用户从云端获取信息和服务的安全也势在必行。目前，WAF有两种主流技术：第一种基于特征检测网络攻击：收集已知的攻击特征，如木马库，浏览器漏洞库等等，它的主旨思想是特征匹配，即根据现有的攻击手段的特征，判断用户请求是否符合某一攻击特征。二是基于规则检测网络攻击：使用一个规则库，根据http协议头的相关信息及GET、POST提交的相关数据来判断是否易受到攻击。此两种技术的联系是：有的厂商会以某种技术为主，但也会用到另一技术，区别是：基于特征的检测着重预防已知风险，基于规则的检测着重检测用户实际访问数据，判别相关Http数据是否有危险和攻击行为，而不管风险是否已知。

在使用白名单的技术方案中，要检测实际产生的用户请求数据，所以在没有相关工具的情况下，要靠人工遍历网站的每个网址的方式来产生实际请求，以便保证当用户访问任一网址时都有相应的规则检测过。但是该方法效率低、人工劳动时间长，还是有可能存在有些网址因遍历不全而没有检测过的问题。

发明内容

本发明的目的是为了克服现有技术的缺陷，提供一种智能收集Web应用防火墙白名单的方法，该方法为，管理中心对白名单收集程序下达命令，例如开启、停止、收集命令，接收从白名单收集程序所产生的规则并下发到各个反向代理服务器节点，当通信模块接收到“开启”命令后，开始产生模拟用户请求，在对网站模拟请求时，如果管理中心并没有停止模拟请求，则若有违反规则库的请求，白名单反向代理服务器节点会把该请求的信息按一定格式转发给白名单收集程序；当管理中心发来“收集”命令后，白名单收集程序会把产生的规则交给管理中心，由管理中心把这些规则转发到反向代理服务器节点上，以便使这些规则生效。

为不影响反向代理服务器节点对用户的服务，应该将为白名单收集程序单独配置一台反向代理服务器，因为反向代理服务器节点在工作时，并不会发送被拒绝的相关信息到某一信息接口，只是会简单的拒绝。

其中，产生规则是根据反向代理服务器解析规则的格式来产生。

分发规则是把产生的规则更新到反向代理服务器节点所用到的规则库，使其生效。

储存是对接收信息的一种组织方式，可储存到数据库或为其他储存方式。

白名单反向代理服务器节点，用来遍历网站，其中配置的防火墙规则库与反向代理服务器节点中的一样。

模拟用户请求，会自动产生Http请求，以快速遍历网站。

此外，白名单收集程序有两种工作模式，一是自动收集，由自己所带的模拟用户请求功能实现遍历网站功能；第二阶段是：人工收集，人工收集的需要是由于某些交互式设计的网站，往往需要用户填写一些信息，模拟用户填写信息这个功能暂时还无法在此程序中实现，只能由人工代为补充。

在反向代理服务器节点中，当违反规则时，用户不会访问到他所请求的网址，反向代理服务器会返回某一自定义页面或只是返回相关错误信息，节点守护进程完成与管理中心的通信，接收白名单收集程序所产生的规则并将规则部署到本地。

在白名单反向代理服务器节点中，当违反规则时，把此请求信息发送到白名单收集程序。

反向代理服务器节点，完成将用户的请求正确的路由到用户的请求的实际网址，并返回用户所请求的信息，是介于实际网站和用户的一个通信服务。

本发明技术方案带来的有益效果：本发明采用白名单收集程序实现了对Web应用防火墙白名单智能收集，而且由于白名单收集程序有两种工作模式，即采用自动收集为主人工收集为辅的方式，从而加快了白名单的产生。同时还可以自动、方便地部署即时产生的规则。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1是本发明中白名单收集程序工作流程图；

图2是本发明实施例中白名单工作模式示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。