[发明专利]一种网络应用防护方法和装置

说明书

本发明公开了一种网络应用防护方法和装置，涉及网络安全技术领域。所述方法，包括：接收客户端用户发送的业务请求；根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则；利用所述轻量级过滤规则检查所述业务请求是否存在异常；如果所述业务请求存在异常，则将所述业务请求转发至重量级WAF集群；如果所述业务请求不存在异常，则将所述业务请求发送至所述业务请求对应的业务服务集群。解决了现有的网络应用防护方法的检测性能不佳，不能满足大请求量的业务需求的技术问题。取得了提高网络应用防护的检测性能，满足对大请求量的业务需求的有益效果。

技术领域

本发明涉及网络安全技术领域，具体涉及一种网络应用防护方法和装置。

背景技术

当Web(网络)应用越来越为丰富的同时，Web服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL(Structured Query Language，结构化查询语言)注入、网页篡改、网页挂马等安全事件，频繁发生。网络安全，尤其是Internet(互联网)安全正在面临前所未有的挑战。由此产生了WAF(Web Application Firewall，网络应用防护系统)。WAF代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。

但是传统的WAF基本上是提供一体硬件盒子,这类WAF服务器通常不利于扩展，随着业务的访问量增大，必须通过不断采购增加WAF服务器来实现扩容，扩容方案不够弹性。在超高访问量的业务中，如果对所有的业务请求都经过传统的重量级Web攻击规则检测，则会耗时较长，容易导致检测性能受到一定影响，不能满足大请求量的业务需求。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种网络应用防护方法和相应的一种网络应用防护装置。

依据本发明的一个方面，提供了一种网络应用防护方法，包括：

接收客户端用户发送的业务请求；

根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则；

利用所述轻量级过滤规则检查所述业务请求是否存在异常；如果所述业务请求存在异常，则将所述业务请求转发至重量级WAF集群；如果所述业务请求不存在异常，则将所述业务请求发送至所述业务请求对应的业务服务集群。

可选地，所述轻量级过滤规则包括基础黑名单过滤规则、基于全局日志的攻击源黑名单过滤规则、粗放的传统网络攻击检测规则。

可选地，所述利用所述轻量级过滤规则检查所述业务请求是否存在异常的步骤，包括：

判断所述业务请求是否与所述基础黑名单过滤规则对应的基础黑名单匹配，如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单匹配，则拦截所述业务请求；

如果所述业务请求与所述基础黑名单过滤规则对应的基础黑名单不匹配，则判断所述业务请求是否与基于全局日志的攻击源黑名单匹配；如果所述业务请求与基于全局日志的攻击源黑名单匹配，则拦截所述业务请求；

如果所述业务请求与基于全局日志的攻击源黑名单不匹配，则利用所述粗放的传统网络攻击检测规则检测所述业务请求是否存在异常。

可选地，所述根据所述业务请求获取与所述业务请求匹配的轻量级过滤规则的步骤，包括：

将所述业务请求对应的业务域名经由传输层负载均衡器提供的虚拟IP入口发送至应用层的轻量级WAF集群；