[发明专利]网页服务器的攻击检测方法、装置及系统

说明书

技术领域

本申请涉及互联网安全领域，具体而言，涉及一种网页服务器的攻击检测方法、装置及系统。

背景技术

当前网页应用(即WEB应用)越来越为丰富的同时，WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件频繁发生。在此背景下，WAF(Web应用防护系统)逐渐兴起。Web应用防护系统(Web Application Firewall，简称：WAF)代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。

在云计算数据中心中，用户部署WAF防护时，一般是通过配置CNAME的方式，将自身的网页流量(即web流量)引入到WAF防护中心(即上述的Web应用防护系统)，web流量经过WAF防护中心后，再通过一定的策略将web流量回源到用户的WEB服务器中。

如图1所示，通过手动配置CNAME的方式，配置www.user1.com(web服务器的访问地址)的访问请求变更到www.WAFxxx.com(WAF服务器的地址)上，这样，在开启WAF防护后，用户访问的www.user1.com的流量都会被自动接入WAF服务器，在访问流量经过WAF清洗后，可以将攻击方的流量过滤掉，并将正常访问流量回源到用户web服务器上，当用户需要取消WAF防护时，更改自己的CNAME，将流量直接引入WEB服务器上。

由于云计算数据中心中用户及服务器数量庞大，当用户需要部署WAF防护时，都需要配置CNAME，将自己的web服务器的流量导入WAF引擎，经过WAF引擎清洗后，再将正常访问流量回源到用户WEB服务器；当用户需要取消WAF防护时，需要更改自己的CNAME，将流量直接引入自己的WEB服务器，整个接入和取消流程都需要用户手 工操作配置，不够灵活。

针对上述对通过配置CNAME的方式部署WAF防护，效率低的问题，目前尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种网页服务器的攻击检测方法、装置及系统，以至少解决通过配置CNAME的方式部署WAF防护，效率低的技术问题。

根据本申请实施例的一个方面，提供了一种网页服务器的攻击检测方法，应用在网页服务器中的转发代理引擎上，该攻击检测方法包括：获取用于访问网页服务器的网页报文；将获取到的网页报文转发至检测引擎，其中，检测引擎用于对网页报文进行攻击检测生成检测结果；接收检测结果。

根据本申请实施例的另一方面，还提供了一种网页服务器的攻击检测方法，应用在网页防护服务器中的检测引擎中，该攻击检测方法包括：接收转发代理引擎转发的用于访问网页服务器的网页报文；对网页报文进行攻击检测生成检测结果；将检测结果反馈至转发代理引擎。

根据本申请实施例的另一方面，还提供了一种网页服务器的攻击检测系统，该攻击检测系统包括：转发代理引擎，部署在网页服务器的主机中，用于获取用于访问网页服务器的网页报文，并将获取到的网页报文转发至检测引擎；检测引擎，部署在网页防护服务器中，用于对网页报文进行攻击检测生成检测结果，并将检测结果反馈给转发代理引擎。

根据本申请实施例的另一方面，还提供了一种网页服务器的攻击检测装置，设置在网页服务器中的转发代理引擎上，该攻击检测装置包括：获取单元，用于获取用于访问网页服务器的网页报文；转发单元，用于将获取到的网页报文转发至检测引擎，其中，检测引擎用于对网页报文进行攻击检测生成检测结果；结果接收单元，用于接收检测结果。

根据本申请实施例的另一方面，还提供了一种网页服务器的攻击检测装置，应用在网页防护服务器中的检测引擎中，该攻击检测装置包括：报文接收单元，用于接收转发代理引擎转发的用于访问网页服务器的网页报文；检测单元，用于对网页报文进行攻击检测生成检测结果；反馈单元，用于将检测结果反馈至转发代理引擎。