本申请实施例涉及网络安全技术领域,提供了一种防止攻击文件绕过WAF检测的方法与装置,通过接收多个HTTP请求并进行解析,得到每个HTTP请求中的多个请求文件,对多个请求文件进行过滤,以得出免检测文件和检测对象文件,免检测文件的文件体积大于检测对象文件的文件体积,免除对免检测文件进行攻击检测,对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求,从而有效检测隐藏于免检测文件之后的攻击文件,避免业务服务器遭受隐蔽攻击文件的攻击,保护业务服务器,提升网络安全,同时对免检测文件的过滤可以避免对免检测文件进行攻击检测造成处理资源和存储资源的浪费,节约处理资源和存储资源。节约处理资源和存储资源。节约处理资源和存储资源。
【技术实现步骤摘要】
一种防止攻击文件绕过WAF检测的方法与装置
[0001]本申请各实施例属网络安全
,尤其涉及一种防止攻击文件绕过WAF检测的方法与装置。
技术介绍
[0002]由于硬件资源的限制,单台WAF(Web Application Firewall,Web应用防火墙)的检测能力往往受到限制。当WAF对HTTP请求进行检测时,通常只会对HTTP请求体的前若干个字节进行检测,检测长度可由用户配置或者是WAF系统自身提供一个默认值,例如,用户可以配置 HTTP请求体的前100MB文件作为WAF的检测对象,或者是WAF默认对HTTP请求体的前100MB 文件进行检测。这种仅仅对HTTP请求体的前若干个字节进行检测的方法存在一个严重安全隐患,即当攻击者在一个HTTP请求中携带多个文件体积较大的大文件,并将真正的攻击文件隐藏在该HTTP请求体中的大文件之后时,由于WAF只检查HTTP请求体的前若干个字节,导致检测的都是请求体中的正常文件,造成请求体中靠后的攻击文件没有被检测出来,进而产生业务服务器被入侵等网络安全问题。
[0003]综上所述,现有对HTTP请求的WAF检测技术存在无法检测隐藏在体积较大的大文件之后的攻击文件,计算机设备容易被入侵等技术问题。
技术实现思路
[0004]针对上述现有技术存在的不足,本申请提供一种防止攻击文件绕过WAF检测的方法与装置,以对HTTP请求中的免检测文件进行过滤,对隐藏在免检测文件之后的攻击文件进行检测,提升网络安全。
[0005]第一方面,本申请提供一种防止攻击文件绕过WAF的检测方法,用于检测HTTP请求携带的攻击文件,检测方法包括以下步骤:接收多个HTTP请求并进行解析,得到每个HTTP请求中的多个请求文件;对多个请求文件进行过滤,以得出免检测文件和检测对象文件,免检测文件的文件体积大于检测对象文件的文件体积;免除对免检测文件进行攻击检测,对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求。
[0006]第二方面,本申请提供一种防止攻击文件绕过WAF的检测装置,用于检测HTTP请求携带的攻击文件,检测装置包括:请求解析模块,用于接收多个HTTP请求并进行解析,得到每个HTTP请求中的多个请求文件;请求过滤模块,用于对多个请求文件进行过滤,以得出免检测文件和检测对象文件,免检测文件的文件体积大于检测对象文件的文件体积;请求拦截模块,用于免除对免检测文件进行攻击检测,对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求。
[0007]本申请与现有技术相比,本申请提供一种防止攻击文件绕过WAF检测的方法与装置,用于检测HTTP请求携带的攻击文件。本申请通过接收多个HTTP请求并进行解析,得到每个HTTP请求中的多个请求文件,对多个请求文件进行过滤,以得出免检测文件和检测对象文件,免检测文件的文件体积大于检测对象文件的文件体积,免除对免检测文件进行攻击检测,对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求,从而有效检测隐藏于免检测文件之后的攻击文件,避免业务服务器遭受隐蔽攻击文件的攻击,保护业务服务器,提升网络安全,同时对免检测文件的过滤可以避免对免检测文件进行攻击检测造成处理资源和存储资源的浪费,节约处理资源和存储资源。
[0008]针对上述现有技术存在的不足,本申请提供一种防止攻击文件绕过WAF检测的方法与装置,以对HTTP请求中的免检测文件进行过滤,对隐藏在免检测文件之后的攻击文件进行检测,提升网络安全。
[0009]第一方面,本申请提供一种防止攻击文件绕过WAF的检测方法,用于检测HTTP请求携带的攻击文件,检测方法包括以下步骤:接收多个HTTP请求并进行解析,得到每个HTTP请求中的多个请求文件;对多个请求文件进行过滤,以得出免检测文件和检测对象文件,免检测文件的文件体积大于检测对象文件的文件体积;免除对免检测文件进行攻击检测,对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求。
[0010]第二方面,本申请提供一种防止攻击文件绕过WAF的检测装置,用于检测HTTP请求携带的攻击文件,检测装置包括:请求解析模块,用于接收多个HTTP请求并进行解析,得到每个HTTP请求中的多个请求文件;请求过滤模块,用于对多个请求文件进行过滤,以得出免检测文件和检测对象文件,免检测文件的文件体积大于检测对象文件的文件体积;请求拦截模块,用于免除对免检测文件进行攻击检测,对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求。
[0011]本申请与现有技术相比,本申请提供一种防止攻击文件绕过WAF检测的方法与装置,用于检测HTTP请求携带的攻击文件。本申请通过接收多个HTTP请求并进行解析,得到每个HTTP请求中的多个请求文件,对多个请求文件进行过滤,以得出免检测文件和检测对象文件,免检测文件的文件体积大于检测对象文件的文件体积,免除对免检测文件进行攻击检测,对检测对象文件进行攻击检测并在确认检测对象文件为攻击文件时拦截HTTP请求,从而有效检测隐藏于免检测文件之后的攻击文件,避免业务服务器遭受隐蔽攻击文件的攻击,保护业务服务器,提升网络安全,同时对免检测文件的过滤可以避免对免检测文件进行攻击检测造成处理资源和存储资源的浪费,节约处理资源和存储资源。
附图说明
[0012]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标
记标示了相同或类似的部件或部分,本领域技术人员应该理解的是,这些附图未必是按比例绘制的,在附图中:图1是本申请防止攻击文件绕过WAF的检测方法的一种流程示意图;图2是计算机设备的一种架构示意图;图3是现有技术中WAF检测的一种系统架构示意图;图4是本申请防止攻击文件绕过WAF的检测的一种系统架构示意图;图5是本申请防止攻击文件绕过WAF的检测装置的一种架构示意图。
具体实施方式
[0013]了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
[0014]参见图1-图4,本实施例提供一种防止攻击文件绕过WAF的检测方法,用于检测HTTP请求携带的攻击文件,防止攻击文件绕过WAF的检测方法包括以下步骤:S101、接收多个HTTP请求并进行解析,得到每个HTTP请求中的多个请求文件;S103、对多个请求文件进行过滤,以得出免检测文件和检测对象文件,免检测文件的文件体积大于检测对象文件的文件体积;S105、免除对免检测文件进行攻击检测,对检测对象文件进行攻击本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种防止攻击文件绕过WAF检测的方法,用于检测HTTP请求携带的攻击文件,其特征在于,所述检测方法包括以下步骤:接收多个所述HTTP请求并进行解析,得到每个所述HTTP请求中的多个请求文件;对多个所述请求文件进行过滤,以得出免检测文件和检测对象文件,所述免检测文件的文件体积大于所述检测对象文件的文件体积;免除对所述免检测文件进行攻击检测,对所述检测对象文件进行攻击检测并在确认所述检测对象文件为所述攻击文件时拦截所述HTTP请求。2.如权利要求1所述的防止攻击文件绕过WAF检测的方法,其特征在于,所述接收多个所述HTTP请求并进行解析,得到每个所述HTTP请求中的多个请求文件,包括:接收多个所述HTTP请求,每个所述HTTP请求包括请求体;解析每个所述HTTP请求的所述请求体以得到所述多个请求文件。3.如权利要求2所述的防止攻击文件绕过WAF检测的方法,其特征在于,每个所述请求文件包括先后排列的第一边界字符串、文件头部、第一分隔符、文件内容、第二分隔符以及第二边界字符串。4.如权利要求1所述的防止攻击文件绕过WAF检测的方法,其特征在于,所述对多个所述请求文件进行过滤,以得出免检测文件,包括:确定多个所述请求文件中每个请求文件的文件体积;将每个请求文件的文件体积与第一预设值进行比较;如果所述请求文件中的文件体积超过第一预设值,则确认超过第一预设值的请求文件为免检测文件。5.如权利要求4所述的防止攻击文件绕过WAF检测的方法,其特征在于,所述将每个请求文件的文件体积与第一预设值进行比较之后,包括:将每个请求文件的文件体积与第二预设值进行比较,所述第二预设值小于所述第一预设值;如果所述请求文件中的文件体积低于所述第二预设值,则确认低于所述第二预设值的请求文件为所述检测对象文件。6.如权利要求4所述的防止攻击文件绕过WAF检测的方法,其特征在于,所述将每个请求文件的文件体积与第一预设值进行比较之后,包括:将每个请求文件的文件体积与第二预设值进行比较,所述第二预设值小于所述第一预设值;如果所述请求文件中的文件体积低于所述第二预设值,将低于所述第二预设值的请求文件类型与预设请求文件类型进行对比;当低于所述第二预设值的请求文件类型与预设请求文件类型匹配时,则确定低于第二预设值的请求文件为免检测文件;当低于所述第二预设值的请求文件类型与预设请求文件类型不匹配时,则确认低于所述第二预...
【专利技术属性】
技术研发人员:付晨聪,崔炳杰,王永振,石伟良,朱文雷,
申请(专利权)人:北京长亭未来科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。