[发明专利]一种基于流量分析的网络攻击防护方法和装置

说明书

技术领域

本申请涉及网络技术领域，具体涉及一种基于流量分析的网络攻击防护方法，以及一种基于流量分析的网络攻击防护装置。

背景技术

Web应用越来越丰富的同时，web服务器也逐渐成为了主要的攻击目标，SQL注入、网页篡改、网页挂马等安全事件也频繁发生。

通常采用WAF(Web Application Firewall，web应用防火墙)作为访问控制设备来加强web服务器的安全，通过解析web客户端发起的请求，对其中的内容进行检测，确保请求的合法性，阻断非法的请求，可以对web服务器进行有效防护。

早期的WAF通常是一种硬件设备，通过串联或者旁路方式接入到网络中，一般适用于IDC(Internet Data Center，互联网数据中心)机房或企业用户。在当前盛行的云计算网络中，提供给用户的WAF通常是云WAF，即所有的WAF功能都是通过云端提供，不需要在本地部署产品。其实现方式为通过修改用户终端的NS(Name Serve，域名服务器)记录或CNAME记录(别名记录)将网络流量导入的WAF服务器。

现有的WAF存在如下弊端：

1、因为硬件形式的WAF的防护规则是预定义的，在新的漏洞出现后防护规则更新困难。并且其部署方式的复杂性和较高的维护成本决定了其并不适用于云计算网络环境。

2、需要用户自己更改NS记录或CNAME记录才能实现安全防护，增加了用户的学习成本；并且，针对未接入WAF服务器的用户终端，无法对web服务器提供安全防护，在云计算网络中不能达到100％防护，降低了云计算网络整体的安全性。

3、现有的WAF的处理一般是先完成网络请求与所有规则的匹配后再决定该请求是拦截还是放过，增加了用户访问Web服务器的延时。

4、现有的WAF针对的是单一网站或单一Web服务的防护，对于针对整个网络的大规模漏洞扫描感知较差，对于同一个攻击者对云计算网络的大规模扫描未作很好的联动防护。

发明内容

本申请实施例所要解决的技术问题是提供一种部分或全部解决上述问题的基于流量分析的网络攻击防护方法。

相应的，本申请实施例还提供了一种基于流量分析的网络攻击防护装置，用以保证上述方法的实现及应用。

为了解决上述问题，本申请公开了一种基于流量分析的网络攻击防护方法，包括：

采集经过网络服务器与网络路由设备之间的网络流量；

解析所述网络流量中的网络访问参数；

通过与预置规则匹配，查找由网络攻击源访问网络服务器产生的网络流量对应的目标网络访问参数；

根据所述目标网络访问参数禁止所述网络攻击源与所述网络服务器建立连接。

优选地，所述采集经过网络服务器与网络路由设备之间的网络流量包括：

采用连接在所述网络服务器与所述网络路由设备之间的网络分光器、网络交换机或集线器，复制所述网络供应商服务器发送给所述网络路由设备的网络流量。

优选地，所述采集经过网络服务器与网络路由设备之间的网络流量还包括：

通过网络分流器对属于同一次网络访问的所述网络流量进行划分。

优选地，所述网络流量为TCP报文，在所述解析所述网络流量中的网络访问参数之前，所述方法还包括：

确定所述TCP报文为记录一次完整的网络访问过程的Http数据。

优选地，在所述解析所述网络流量中的网络访问参数之前，所述方法还 包括：

若所述TCP报文并非记录一次完整的网络访问过程的Http数据，则根据所述TCP报文携带的编号，将属于同一次网络访问的多个TCP报文重组为记录经过七层网络传输结构的一次网络访问的Http数据。

优选地，所述网络访问参数包括统一资源标识符、访问源IP、访问目的IP、Host字段、访问链接来源、用户代理、cookie和访问请求参数中至少一种。

优选地，所述通过与预置规则匹配，查找由网络攻击源访问网络服务器产生的网络流量对应的目标网络访问参数包括：

针对对应同一次网络访问的网络流量，将所述网络访问参数与所述预置规则匹配，所述预置规则指示所述网络攻击源访问所述网络服务器时携带的至少一个特征数据，所述预置规则包括多条子规则；

若所述网络访问参数与至少一条所述子规则匹配，则确定对应的网络流量为所述网络攻击源访问所述网络服务器产生的网络流量，并将对应的网络访问参数作为目标网络访问参数。