[发明专利]一种基于应用层防火墙的防御方法、装置、设备、介质

说明书

本申请公开了一种基于应用层防火墙的防御方法、装置、设备、介质，该方法包括：接收目标服务器中的防火墙代理获取到的第一服务器信息向量，其中，所述防火墙代理为部署在所述目标服务器中的可执行文件，用于获取关于所述目标服务器的所述第一服务器信息向量；解析所述第一服务器信息向量，得到第二服务器信息向量；根据所述第二服务器信息向量和本地预设策略树，确定出所述目标服务器对应的目标防火墙攻击检测策略；利用所述目标防火墙攻击检测策略对所述目标服务器进行防御，这样能够生成与服务器对应的检测策略，提高检测效率和检测准确度，减低漏报率和误报率，增强防御性能。

技术领域

本申请涉及网络安全技术领域，特别涉及一种基于应用层防火墙的防御方法、装置、设备、介质。

背景技术

目前，应用层防火墙在对相关服务器等进行防御的过程中，需要执行相应的检测策略以实现对相应的数据流进行检测，以便判断数据流是否会对服务器造成攻击。

在现有技术中，应用层防火墙在数据流检测过程中，对于所有防护服务器都需要执行所有预设的攻击检测策略，以防止漏检，但对于许多服务器来说，有部分攻击检测策略是多余的，这就造成了检测效率低下的问题。且在检测过程中对服务器进行的是黑盒检测，也即向服务器发送相应的请求，并根据响应来获取服务器上应用的类型，这会被防火墙的防护干扰，减低检测准确度，漏报率和误报率高。

发明内容

有鉴于此，本申请的目的在于提供一种基于应用层防火墙的防御方法、装置、设备、介质，能够生成与服务器对应的攻击检测策略，提高检测效率和检测准确度，减低漏报率和误报率，增强防御性能。其具体方案如下：

第一方面，本申请公开了一种基于应用层防火墙的防御方法，应用于应用层防火墙设备，包括：

接收目标服务器中的防火墙代理获取到的第一服务器信息向量，其中，所述防火墙代理为部署在所述目标服务器中的可执行文件，用于获取关于所述目标服务器的所述第一服务器信息向量；

解析所述第一服务器信息向量，得到第二服务器信息向量；

根据所述第二服务器信息向量和本地预设策略树，确定出所述目标服务器对应的目标防火墙攻击检测策略；

利用所述目标防火墙攻击检测策略对所述目标服务器进行防御。

可选的，所述接收目标服务器中的防火墙代理获取到的第一服务器信息向量，包括：

接收目标服务器中的防火墙代理按照预设时间间隔获取到的第一服务器信息向量。

可选的，所述接收目标服务器中的防火墙代理获取到的第一服务器信息向量，包括：

接收目标服务器中的防火墙代理获取到的，包括操作系统类型、操作系统类型版本、应用容器类型、应用容器类型版本、应用类型软件、应用软件类型版本的第一服务器信息向量。

可选的，所述接收目标服务器中的防火墙代理获取到的第一服务器信息向量，包括：

通过TCP套接字接收目标服务器中的防火墙代理获取到的第一服务器信息向量。

可选的，所述解析所述第一服务器信息向量，得到第二服务器信息向量，包括：

对所述第一服务器信息向量进行解密，得到第二服务器信息向量；

和/或，对所述第一服务器信息向量进行解码，得到第二服务器信息向量。

可选的，所述利用所述目标防火墙攻击检测策略对所述目标服务器进行防御，包括：

如果所述应用层防火墙设备为应用层防火墙控制器，则将所述目标防火墙攻击检测策略发送到对应的应用层防火墙，以控制所述应用层防火墙利用所述目标防火墙攻击检测策略对所述目标服务器进行防御；