[发明专利]web应用防火墙设备和安全防护日志的异步处理方法

说明书

技术领域

本发明涉及信息技术，尤其涉及一种web应用防火墙设备和安全防护日志的异步处理方法。

背景技术

随着网络信息技术的高速发展，基于Web网络的应用在全球被越来越多的公司和机构使用。但是，很多企业在享受电子商务、软件即服务（Software-as-a-service，SaaS）等带来的快捷便利的同时，却又被紧随其后的对Web服务器的非法访问入侵等安全问题所困扰。

现有技术中，采用web应用防火墙（Web application firewall，WAF）来解决上述Web应用安全问题。WAF设备中的安全防护日志采用同步记录的方式，即发现攻击后产生安全防护日志，然后直接将安全防护日志存入数据库。但是，当WAF设备防护的Web服务器发生大量攻击时，将产生的大量安全防护日志仍然直接存入数据库会产生大量的I/O操作，这会影响到WAF设备的性能，并且处理的日志数量级过大，会加剧WAF设备的资源耗尽，导致WAF设备不可用。

发明内容

本发明提供一种web应用防火墙设备和安全防护日志的异步处理方法，用以解决现有技术中，web应用防火墙设备处理安全防护日志的性能差的技术问题。

一方面，本发明实施例提供一种web应用防火墙设备，包括：防护预警模块、日志产生模块、日志发送模块、日志存储模块和故障处理模块；

所述防护预警模块，用于检测客户端向Web服务器发送的请求信息，并在所述请求信息对所述Web服务器产生威胁时，触发日志产生模块；

所述日志产生模块，用于生成所述请求信息对应的日志信息，并将所述日志信息存储至缓存中；

所述日志发送模块，用于提取所述缓存中的日志信息，并通过socket长连接将所述日志信息发送至所述日志存储模块；

所述日志存储模块，用于将接收的所述日志信息存储至数据库中；

所述日志发送模块，还用于通过所述socket长连接向所述日志存储模块发送心跳信息，以检测所述socket长连接的连接状态；若检测到所述socket长连接的连接状态出现异常，则触发所述故障处理模块；

所述故障处理模块，用于重新建立socket长连接，并不断将所述缓存中的日志信息进行文本存储，直至所述socket长连接重新建立完成。

另一方面，本发明实施例提供一种安全防护日志的异步处理方法，包括：

web应用防火墙设备中的防护预警模块检测客户端向Web服务器发送的请求信息，并在所述请求信息对所述Web服务器产生威胁时，触发所述web应用防火墙设备中的日志产生模块；

所述web应用防火墙设备中的日志产生模块生成所述请求信息对应的日志信息，并将所述日志信息存储至缓存中；

所述web应用防火墙设备中的日志发送模块提取所述缓存中的日志信息，并通过socket长连接将所述日志信息发送至所述web应用防火墙设备中的日志存储模块；

所述日志存储模块将接收的所述日志信息存储至数据库中；

所述日志发送模块通过所述socket长连接向所述日志存储模块发送心跳信息，以检测所述socket长连接的连接状态；若检测到所述socket长连接的连接状态出现异常，则触发所述web应用防火墙设备中的故障处理模块；

所述故障处理模块重新建立socket长连接，并不断将所述缓存中的日志信息进行文本存储，直至所述socket长连接重新建立完成。

本发明提供的web应用防火墙设备和安全防护日志的异步处理方法，在发现客户端对防护的Web服务器产生威胁时，生成相应的日志信息并存储至缓存中；提取缓存中的日志信息，并通过socket长连接将所述日志信息存储至数据库中；通过socket长连接发送心跳信息，以检测socket长连接的连接状态；若检测到socket长连接的连接状态出现异常，则重新建立socket长连接，并不断将缓存中的日志信息进行文本存储，直至所述socket长连接重新建立完成。该方案采用异步实现安全防护日志的产生和存储过程，有效提高了处理日志的性能。

附图说明

图1为本发明提供的web应用防火墙设备一个实施例的结构示意图；

图2为本发明提供的web应用防火墙设备场景应用示意图。

图3为本发明提供的安全防护日志的异步处理方法一个实施例的流程图。

具体实施方式