[发明专利]一种基于应用网关的Web应用防火墙方法及系统

权利要求书

1.一种基于应用网关的Web应用防火墙方法，其特征在于，所述基于应用网关的Web应用防火墙方法利用具有统一网络入口的防火墙网关，配合负载均衡进行调度，拦截Web入侵行为、数据泄露；

使用异常检测方法，对day0进行防御；并进行联动检测，对证书进行管理以及进行私钥保护，不将证书文件、私钥文件直接明文的存放在服务器某个目录下，进行浏览器配置。

2.如权利要求1所述基于应用网关的Web应用防火墙方法，其特征在于，所述防火墙网关配置有多个节点，配合负载均衡进行调度。

3.如权利要求1所述基于应用网关的Web应用防火墙方法，其特征在于，所述异常检测方法包括请求计数分析、请求长度分析和请求频率分析，对重要的异常评分信息，选择合理的异常评分计算参数，进行异常数据的检测。

4.如权利要求3所述基于应用网关的Web应用防火墙方法，其特征在于，所述请求计数分析的方法包括：对于不同的地方发送相同的请求次数，根据应用程序判读请求是否受到攻击。

5.如权利要求3所述基于应用网关的Web应用防火墙方法，其特征在于，所述请求长度分析方法包括：根据web应用程序的体系结构，进入web站点的请求内存溢出和跨站点脚本攻击的请求值大于正常请求；由Kruegel和Vigna使用平均值和方差值进行评估；

P：概率；σ：方差，为请求长度的方差值；l：检测到的请求长度值；u：请求的平均值；

根据web应用程序获得请求长度异常检测所示的值；根据上述公式，HTTP请求长度的0值表示异常极限值；每个请求的异常概率值小于长度值为0的请求的异常值，则将请求定义为异常。

6.如权利要求3所述基于应用网关的Web应用防火墙方法，其特征在于，

所述请求频率分析方法包括：利用字符分布模型确定请求的字符频率值；构成web应用程序正常请求的字符的字母频率值高于异常请求的字母频率值；ASCII字符用于字符分发。

7.如权利要求6所述基于应用网关的Web应用防火墙方法，其特征在于，字符频率值确定中，通过字母频率分析检测每个字符的请求总数和平均值；如使用像index.php？secim＝9mid＝50请求，得到该表达式中字母的频率值和平均值；

当将发送给web应用程序的100个请求的频率值从最小排序为最大时，平均频率值小于0.9的请求被确定为异常。

8.如权利要求6所述基于应用网关的Web应用防火墙方法，其特征在于，联动检测中，包括签名检测，根据攻击技术对签名数据库进行更新，使异常检测运行有效，否则，无效。

9.一种实施权利要求1～8任意一项所述基于应用网关的Web应用防火墙方法的基于应用网关的Web应用防火墙系统，其特征在于，所述基于应用网关的Web应用防火墙系统包括：

异常检测模块，包括请求计数分析模块、请求长度分析模块和请求频率分析模块对重要的异常评分信息；选择合理的异常评分计算参数，进行异常数据的检测；

签名检测模块，根据攻击技术对签名数据库进行更新，使异常检测运行有效，否则，无效。

10.如权利要求9所述的基于应用网关的Web应用防火墙系统，其特征在于，请求计数分析模块，对于不同的地方发送相同的请求次数，根据应用程序判读请求是否受到攻击；

请求长度分析模块，根据web应用程序的体系结构，进入web站点的请求进行评估异常；

请求频率分析模块，利用字符分布模型确定请求的字符频率值。