一种恶意攻击拦截方法、装置、设备及可读存储介质与流程

专利2023-01-09  123



1.本技术涉及网络安全技术领域,尤其涉及一种恶意攻击拦截方法、装置、设备及可读存储介质。


背景技术:

2.随着互联网时代的兴起,各种应用系统层出不穷,系统安全问题也越来越重要,一些人通过恶意的攻击手段从而获取应用系统的数据进行违法操作,甚至可以导致系统崩溃无法运行。
3.传统行业一般情况下只有当系统被侵入之后才会意识到网络安全非常重要,往往发现问题的时候入侵已经形成并且造成了损失。
4.能否通过一种检测手段实时的检测系统的运行情况,在系统遭受到恶意攻击时做出必要的拦截阻断并将攻击的详细信息记录下来形成检测日志提供给专业人员分析这是一件相当困难的事情,针对.net平台目前还没有一个高效率,高准确率的系统安全防护机制。一旦遇到恶意攻击,只能亡羊补牢,不能准确的判别和防护。


技术实现要素:

5.本技术实施例提供了一种恶意攻击拦截方法、装置、设备及可读存储介质,至少能够解决相关技中无法对恶意攻击进行实时拦截阻断的问题。
6.本技术实施例第一方面提供了一种恶意攻击拦截方法,包括:
7.在被保护应用部署到web服务器之后,根据所述被保护应用的应用类型进行环境变量配置;
8.当所述环境变量配置完成之后,获取第一用户交互数据,并对所述第一用户交互数据进行分析;其中,所述第一用户交互数据为输入阶段用户输入的数据;
9.若根据分析结果确定所述第一用户交互数据中存在恶意攻击的攻击敏感字符,则对所述第一用户交互数据标记异常标识;
10.在输出阶段截取被执行的第二用户交互数据,并对存在所述异常标识的所述第二用户交互数据进行过滤防护;其中,所述第二用户交互数据为在传播阶段经过数据流转之后的用户交互数据。
11.本技术实施例第二方面提供了一种恶意攻击拦截装置,包括:
12.在被保护应用部署到web服务器之后,根据所述被保护应用的应用类型进行环境变量配置;
13.当所述环境变量配置完成之后,获取用户交互数据,并对所述用户交互数据进行分析;
14.若根据分析结果确定所述用户交互数据中存在恶意攻击的攻击敏感字符,则对所述用户交互数据标记异常标识;
15.在输出阶段截取被执行的第二用户交互数据,并对存在所述异常标识的所述第二
用户交互数据进行过滤防护;其中,所述第二用户交互数据为在传播阶段经过数据流转之后的用户交互数据。
16.本技术实施例第三方面提供了一种电子设备,其特征在于,包括存储器及处理器,其中,所述处理器用于执行存储在所述存储器上的计算机程序,所述处理器执行所述计算机程序时上述本技术实施例第一方面提供的恶意攻击拦截方法中的各步骤。
17.本技术实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时,实现上述本技术实施例第一方面提供的恶意攻击拦截方法中的各步骤。
18.由上可见,根据本技术方案所提供的恶意攻击拦截方法、装置、设备及可读存储介质,在被保护应用部署到web服务器之后,根据所述被保护应用的应用类型进行环境变量配置;当所述环境变量配置完成之后,获取第一用户交互数据,并对所述第一用户交互数据进行分析;其中,所述第一用户交互数据为输入阶段用户输入的数据;若根据分析结果确定所述第一用户交互数据中存在恶意攻击的攻击敏感字符,则对所述第一用户交互数据标记异常标识;在输出阶段截取被执行的第二用户交互数据,并对存在所述异常标识的所述第二用户交互数据进行过滤防护;其中,所述第二用户交互数据为在传播阶段经过数据流转之后的用户交互数据。通过本技术方案的实施,在被保护应用部署之后配置环境变量,并根据所配置的环境变量获取用户交互数据,在输出阶段将截取第二用户交互数据,对存在异常标识的第二用户交互数据进行过滤防护。通过本发明能够在系统运行的过程中对恶意攻击进行实时防护。
附图说明
19.图1为本技术第一实施例提供的恶意攻击拦截方法的基本流程示意图;
20.图2为本技术第一实施例提供的安全防护机制示意图;
21.图3为本技术第二实施例提供的恶意攻击拦截方法的细化流程示意图;
22.图4为本技术第三实施例提供的恶意攻击拦截装置的程序模块示意图;
23.图5为本技术第四实施例提供的电子设备的结构示意图。
具体实施方式
24.为使得本技术的发明目的、特征、优点能够更加的明显和易懂,下面将结合本技术实施例中的附图,对本技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本技术一部分实施例,而非全部实施例。基于本技术中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本技术保护的范围。
25.为了解决相关技术中无法对恶意攻击进行实时拦截阻断的问题,本技术第一实施例提供了一种恶意攻击拦截方法,如图1为本实施例提供的恶意攻击拦截方法的基本流程图,该恶意攻击拦截方法包括以下的步骤:
26.步骤101、在被保护应用部署到web服务器之后,根据被保护应用的应用类型进行环境变量配置。
27.具体的,在本实施例中,先将方法配置到服务器中,在被保护应用部署到web服务器之后根据被保护应用的应用类型,通过恶意攻击拦截方法进行环境变量配置。
28.在本实施例一种可选的实施方式中,根据被保护应用的应用类型进行环境变量配置的步骤,包括:若被保护应用为.net framework平台的应用,则调用注册表编辑器,并在注册表编辑器中创建environment数值;其中,environment数值包括:被保护应用的应用标识以及安全防护机制的部署目录;或,若被保护应用为.net 6平台的应用,则获取被保护应用的web.config文件,并在web.config文件中进行环境变量配置。
29.具体的,在本实施例中,若被保护应用为.net framework平台的应用,将被保护应用部署在web服务器中,在windows平台下为iis,部署完成后不能直接启动应用程序,而是调用注册表编辑器,定位到w3svc文件目录,创建environment数值,其中,environment数值包括:被保护应用的应用标识以及安全防护机制的部署目录,在environment数值部署完成之后,在进行后续配置。或者,若被保护应用为.net 6平台的应用,同样在windows平台下为iis,部署完成后不能直接启动应用程序,首先找到被保护应用的web.config文件,并在配置文件中加入相应配置,根据对被保护应用的环境变量配置,针对不同的.net平台配置不同的环境变量,能够有效的对恶意攻击进行实时防护。
30.进一步的,在本实施例一种可选的实施方式中,根据被保护应用的应用类型进行环境变量配置的步骤之后,还包括:设置探针闪烁时间以及灰盒测试的基本配置;对第一用户交互数据进行分析的步骤,包括:根据探针闪烁时间对第一用户交互数据进行灰盒测试。
31.具体的,在本实施例中,如图2所示为本技术实施例提供的安全防护机制示意图,在被保护应用的环境变量配置完成之后,根据环境变量对安全防护机制进行配置,首先,对安全防护机制的安全探针进行配置,设置探针闪烁时间,其次,安全防护机制中包括灰盒测试,需要先设置服务器主机标识,获取代理登录令牌、设置应用程序全名以及灰盒测试的测试标识,在对安全防护机制的配置中,还可以根据需求进行攻击上报的服务器和安全日志等初始配置。应当说明的是,当安全防护机制配置完成之后,会在用户输入交互数据时,根据探针闪烁时间对用户交互数据进行灰盒测试,根据灰盒测试对被保护应用进行攻击检测。
32.步骤102、当环境变量配置完成之后,获取第一用户交互数据,并对第一用户交互数据进行分析。
33.具体的,在本实施例中,第一用户交互数据为输入阶段用户输入的数据,当用户在正常使用被保护应用时,安全防护机制将开启输入检测功能,所有的用户交互和输入都会被收集,进行分析。
34.在本实施例一种可选的实施方式中,获取第一用户交互数据的步骤,包括:对被保护应用的所有输入形式进行输入检测;其中,输入形式包括:页面数据交互、表单提交、数据提交以及数据流转;获取与输入形式对应的第一用户交互数据。
35.具体的,在本实施例中,安全防护机制安装配置完成后,会对被保护应用的所有存在输入形式的方法进行保护监控,其中,输入形式指的是用户在使用被保护应用时所存在的页面数据交互,如,表单提交、数据提交等操作,应用收到来自用户输入的数据进行下一步数据的流转,根据输入检测功能,所有的用户交互和输入都会被收集。
36.步骤103、若根据分析结果确定第一用户交互数据中存在恶意攻击的攻击敏感字符,则对第一用户交互数据标记异常标识。
37.具体的,在本实施例中,如果通过对用户交互数据的分析,分析出来输入阶段存在
一些恶意的攻击敏感字符等行为,该安全防护机制会将此输入进行一个标记,此标记标明此输入阶段可能存在一些人为攻击风险。应当理解的是,此时安全防护机制并没有直接阻断,而是进行了标记。
38.步骤104、在输出阶段截取被执行的第二用户交互数据,并对存在异常标识的第二用户交互数据进行过滤防护。
39.具体的,在本实施例中,第二用户交互数据为在传播阶段经过数据流转之后的用户交互数据,实际在输出阶段,安全防护机制会同时截取第一交互数据以及第二交互数据,不排除输入阶段输入的数据没有经过任何传播阶段的形式转变直接在输出阶段执行,因此在输出阶段会对所有带有异常标识的数据进行过滤防护。
40.在本实施例一种可选的实施方式中,在输出阶段截取被执行的第二用户交互数据的步骤之前,还包括:在第一用户交互数据的传播阶段,将第二用户交互数据与第一用户交互数据进行比对,确定第二用户交互数据中是否存在包含异常标识的第一用户交互数据;若第二用户交互数据经过数据流转之后,存在包含异常标识的第一用户交互数据,则对相应第二用户交互数据标识异常标识。
41.具体的,在本实施例中,当输入阶段的数据被标记后,数据流转到业务处理阶段,此时称之为传播阶段,如登录操作,一个用户在输入用户名密码后,用户名和密码作为输入流转到传播阶段,此时应用会通过在输入阶段获取的数据对数据库进行数据查找,如果通过用户名和密码在数据库中查到用户数据,那么登录成功,没有查到则登录失败。在上述事例中,系统通过用户填写的用户名和密码进行查找数据库的一系列流程就是传播阶段。在第一用户交互数据的传播阶段,将第二用户交互数据与第一用户交互数据进行比对,如果传播阶段中存在一些数据是从输入阶段过来了包含标记的,那么此传播阶段也将会被打上标记。传播阶段还没有对数据库进行查询,可能是生成了一条查询数据库的sql语句,那么这条sql语句中的部分内容就是输入阶段中被标记的恶意字符,sql中就也会存在恶意字符,因此需要对该sql语句同样标记异常标识。
42.进一步的,在本实施例一种可选的实施方式中,对存在异常标识的第二用户交互数据进行过滤防护的步骤,包括:从被截取的第二用户交互数据中获取参数信息;其中,参数信息包括:第二用户交互数据的入参数据以及返回值;若参数信息中存在异常标识,则过滤参数信息,并生成执行异常指令;根据执行异常指令控制第二用户交互数据的对应代码停止运行;若参数信息中不存在异常标识,则允许第二用户交互数据在输出阶段继续运行。
43.具体的,在实际应用中,当把输入阶段和传播阶段的两处数据都进行了标记后,此时应用就会执行查询这个操作,此时成为输出阶段,输出阶段就是攻击的最终阶段,如果输出阶段没有任何防范行为,那么在输入和传播阶段过来的存在恶意的攻击就会在输出阶段直接运行。在本实施例中,安全防护机制会接替输出阶段的方法,对方法的入参和返回值进行过滤防护,如果输出阶段的方法被执行,首先会获取到输出阶段方法的参数信息,若此参数是被标记的传播阶段,则会抛出一个执行异常,后面的代码将不会运行,从而阻断存在的恶意攻击,若此参数并不是之前标记过的任何一个阶段,则不会干预输出阶段的执行。
44.在本实施例一种可选的实施方式中,对存在异常标识的第二用户交互数据进行过滤防护的步骤之后,还包括:通过灰盒测试对包含异常标识的参数信息进行检测,确定恶意攻击的攻击类型以及攻击敏感字符;根据参数信息、恶意攻击的攻击类型以及攻击敏感字
符生成安全日志,并将安全日志上传至服务器主机;当在输入阶段再次检测到攻击敏感字符,向服务器主机发送阻断指令。
45.具体的,在本实施例中,在安全防护机制将带有异常标识的参数信息拦截下来之后,会通过灰盒测试对参数信息进行检测,确定该参数信息中所包含的恶意攻击的攻击类型以及标识的攻击敏感字符,再根据恶意攻击的攻击类型以及铭感字符生成安全日志,并将安全日志上传至所配置的服务器,其中,安全日志用于服务器主机对攻击敏感字符生成阻断规则,根据阻断规则,当通过安全防护机制在输入阶段再次检测到该攻击敏感字符时,向服务器主机发送阻断指令,服务器主机根据阻断规则直接对攻击敏感字符进行阻断,即直接拦截用户交互数据,并在用户终端的显示页面进行反馈。
46.基于上述申请的实施例方案,在被保护应用部署到web服务器之后,根据被保护应用的应用类型进行环境变量配置;当环境变量配置完成之后,获取第一用户交互数据,并对第一用户交互数据进行分析;其中,第一用户交互数据为输入阶段用户输入的数据;若根据分析结果确定第一用户交互数据中存在恶意攻击的攻击敏感字符,则对第一用户交互数据标记异常标识;在输出阶段截取被执行的第二用户交互数据,并对存在异常标识的第二用户交互数据进行过滤防护;其中,第二用户交互数据为在传播阶段经过数据流转之后的用户交互数据。通过本技术方案的实施,在被保护应用部署之后配置环境变量,并根据所配置的环境变量获取用户交互数据,在输出阶段将截取第二用户交互数据,对存在异常标识的第二用户交互数据进行过滤防护。通过本发明能够在系统运行的过程中对恶意攻击进行实时防护。
47.图3中的方法为本技术第二实施例提供的一种细化的恶意攻击拦截方法,该恶意攻击拦截方法包括:
48.步骤301、在被保护应用部署到web服务器之后,根据被保护应用的应用类型进行环境变量配置。
49.具体的,在本实施例中,若被保护应用为.net framework平台的应用,则调用注册表编辑器,并在注册表编辑器中创建environment数值;其中,environment数值包括:被保护应用的应用标识以及安全防护机制的部署目录;或,若被保护应用为.net 6平台的应用,则获取被保护应用的web.config文件,并在web.config文件中进行环境变量配置。
50.步骤302、当环境变量配置完成之后,在输入阶段获取第一用户交互数据。
51.步骤303、对第一用户交互数据中所有输入形式进行输入检测,并对检测结果进行分析。
52.具体的,在本实施例中,输入形式包括:页面数据交互、表单提交、数据提交以及数据流转。
53.步骤304、若根据分析结果确定第一用户交互数据中存在恶意攻击的攻击敏感字符,则对第一用户交互数据中包含攻击敏感字符的参数标记异常标识。
54.步骤305、在第一用户交互数据的传播阶段,第二用户交互数据与第一用户交互数据进行比对,确定第二用户交互数据中是否存在包含异常标识的参数信息。
55.具体的,在本实施例中,第二用户交互数据为在传播阶段经过数据流转之后的第一用户交互数据。
56.步骤306、若第二用户交互数据中存在包含异常标识的参数信息,则对第二用户交
互数据标记异常标识。
57.步骤307、在输出阶段截取第二用户交互数据,并从第二用户交互数据中获取参数信息。
58.步骤308、若参数信息中存在异常标识,则过滤与异常标识对应的参数信息,并生成执行异常指令;根据执行异常指令控制第二用户交互数据的对应代码停止运行。
59.步骤309、若参数信息中不存在异常标识,则允许第二用户交互数据在输出阶段继续运行。
60.根据本技术方案所提供的恶意攻击拦截方法,在被保护应用部署到web服务器之后,根据被保护应用的应用类型进行环境变量配置;当环境变量配置完成之后,在输入阶段获取第一用户交互数据;对第一用户交互数据中所有输入形式进行输入检测,并对检测结果进行分析;若根据分析结果确定第一用户交互数据中存在恶意攻击的攻击敏感字符,则对第一用户交互数据中包含攻击敏感字符的参数标记异常标识;在第一用户交互数据的传播阶段,第二用户交互数据与第一用户交互数据进行比对,确定第二用户交互数据中是否存在包含异常标识的参数信息;若第二用户交互数据中存在包含异常标识的参数信息,则对第二用户交互数据标记异常标识;在输出阶段截取第二用户交互数据,并从第二用户交互数据中获取参数信息;若参数信息中存在异常标识,则过滤与异常标识对应的参数信息,并生成执行异常指令;根据执行异常指令控制第二用户交互数据的对应代码停止运行;若参数信息中不存在异常标识,则允许第二用户交互数据在输出阶段继续运行。通过本技术方案的实施,在被保护应用部署之后配置环境变量,在输出阶段将截取第二用户交互数据,对存在异常标识的第二用户交互数据进行过滤防护。通过本发明能够在系统运行的过程中对恶意攻击进行实时防护。
61.图4为本技术第三实施例提供的一种恶意攻击拦截装置,该恶意攻击拦截装置可用于实现前述实施例中的恶意攻击拦截方法。如图4所示,该恶意攻击拦截装置主要包括:
62.配置模块401,用于在被保护应用部署到web服务器之后,根据所述被保护应用的应用类型进行环境变量配置;
63.分析模块402,用于当所述环境变量配置完成之后,获取用户交互数据,并对所述用户交互数据进行分析;
64.标记模块403,用于若根据分析结果确定所述用户交互数据中存在恶意攻击的攻击敏感字符,则对所述用户交互数据标记异常标识;
65.防护模块404,用于在输出阶段截取被执行的第二用户交互数据,并对存在所述异常标识的所述第二用户交互数据进行过滤防护;其中,所述第二用户交互数据为在传播阶段经过数据流转之后的用户交互数据。
66.在本实施例一种可选的实施方式中,配置模块具体用于:若所述被保护应用为.net framework平台的应用,则调用注册表编辑器,并在所述注册表编辑器中创建environment数值;其中,所述environment数值包括:所述被保护应用的应用标识以及安全防护机制的部署目录;或,若所述被保护应用为.net 6平台的应用,则获取所述被保护应用的web.config文件,并在所述web.config文件中进行环境变量配置。
67.进一步地,在本实施例一种可选的实施方式中,该恶意攻击拦截装置还包括:设置模块。设置模块用于:设置探针闪烁时间以及灰盒测试的基本配置;其中,所述基本配置包
括:服务器主机标识、登录令牌、应用程序全名以及测试标识。分析模块具体还用于:根据所述探针闪烁时间对所述第一用户交互数据进行灰盒测试。
68.在本实施例一种可选的实施方式中,分析模块在实现获取第一用户交互数据的功能时,具体用于:对所述被保护应用的所有输入形式进行输入检测;其中,所述输入形式包括:页面数据交互、表单提交、数据提交以及数据流转;获取与所述输入形式对应的第一用户交互数据。
69.在本实施例一种可选的实施方式中,该恶意攻击拦截装置还包括:比对模块。比对模块用于:在所述第一用户交互数据的传播阶段,将所述第二用户交互数据与所述第一用户交互数据进行比对,确定所述第二用户交互数据中是否存在包含所述异常标识的所述第一用户交互数据。标识模块具有还用于:若所述第二用户交互数据经过数据流转之后,存在包含所述异常标识的所述第一用户交互数据,则对相应所述第二用户交互数据标识所述异常标识。
70.进一步地,在本实施例一种可选的实施方式中,防护模块具体用于:从被截取的所述第二用户交互数据中获取参数信息;其中,所述参数信息包括:所述第二用户交互数据的入参数据以及返回值;若所述参数信息中存在所述异常标识,则过滤所述参数信息,并生成执行异常指令;根据所述执行异常指令控制所述第二用户交互数据的对应代码停止运行;若所述参数信息中不存在所述异常标识,则允许所述第二用户交互数据在所述输出阶段继续运行。
71.在本实施例一种可选的实施方式中,该恶意攻击拦截装置还包括:检测模块、上传模块、发送模块。检测模块用于:通过灰盒测试对包含所述异常标识的所述参数信息进行检测,确定恶意攻击的攻击类型以及攻击敏感字符。上传模块用于:根据所述参数信息、所述恶意攻击的攻击类型以及所述攻击敏感字符生成安全日志,并将所述安全日志上传至所述服务器主机;其中,所述安全日志用于所述服务器主机对所述攻击敏感字符生成阻断规则。发送模块用于:当在输入阶段再次检测到所述攻击敏感字符,向所述服务器主机发送阻断指令;其中,所述阻断指令用于服务器主机根据所述阻断规则直接对所述攻击敏感字符进行阻断。
72.根据本技术方案所提供的恶意攻击拦截装置,在被保护应用部署到web服务器之后,根据所述被保护应用的应用类型进行环境变量配置;当所述环境变量配置完成之后,获取第一用户交互数据,并对所述第一用户交互数据进行分析;其中,所述第一用户交互数据为输入阶段用户输入的数据;若根据分析结果确定所述第一用户交互数据中存在恶意攻击的攻击敏感字符,则对所述第一用户交互数据标记异常标识;在输出阶段截取被执行的第二用户交互数据,并对存在所述异常标识的所述第二用户交互数据进行过滤防护;其中,所述第二用户交互数据为在传播阶段经过数据流转之后的用户交互数据。通过本技术方案的实施,在被保护应用部署之后配置环境变量,并根据所配置的环境变量获取用户交互数据,在输出阶段将截取第二用户交互数据,对存在异常标识的第二用户交互数据进行过滤防护。通过本发明能够在系统运行的过程中对恶意攻击进行实时防护。
73.图5为本技术第四实施例提供的一种电子设备。该电子设备可用于实现前述实施例中的恶意攻击拦截方法,主要包括:
74.存储器501、处理器502及存储在存储器501上并可在处理器502上运行的计算机程
序503,存储器501和处理器502通过通信连接。处理器502执行该计算机程序503时,实现前述实施例中的恶意攻击拦截方法。其中,处理器的数量可以是一个或多个。
75.存储器501可以是高速随机存取记忆体(ram,random access memory)存储器,也可为非不稳定的存储器(non-volatile memory),例如磁盘存储器。存储器501用于存储可执行程序代码,处理器502与存储器501耦合。
76.进一步的,本技术实施例还提供了一种计算机可读存储介质,该计算机可读存储介质可以是设置于上述各实施例中的电子设备中,该计算机可读存储介质可以是前述图5所示实施例中的存储器。
77.该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现前述实施例中的恶意攻击拦截方法。进一步的,该计算机可存储介质还可以是u盘、移动硬盘、只读存储器(rom,read-only memory)、ram、磁碟或者光盘等各种可以存储程序代码的介质。
78.在本技术所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
79.作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
80.另外,在本技术各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
81.集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本技术各个实施例方法的全部或部分步骤。而前述的可读存储介质包括:u盘、移动硬盘、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
82.需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本技术并不受所描述的动作顺序的限制,因为依据本技术,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本技术所必须的。
83.在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
84.以上为对本技术所提供的恶意攻击拦截方法、装置、设备及可读存储介质的描述,对于本领域的技术人员,依据本技术实施例的思想,在具体实施方式及应用范围上均会有
改变之处,综上,本说明书内容不应理解为对本技术的限制。

技术特征:
1.一种恶意攻击拦截方法,其特征在于,包括:在被保护应用部署到web服务器之后,根据所述被保护应用的应用类型进行环境变量配置;当所述环境变量配置完成之后,获取第一用户交互数据,并对所述第一用户交互数据进行分析;其中,所述第一用户交互数据为输入阶段用户输入的数据;若根据分析结果确定所述第一用户交互数据中存在恶意攻击的攻击敏感字符,则对所述第一用户交互数据标记异常标识;在输出阶段截取被执行的第二用户交互数据,并对存在所述异常标识的所述第二用户交互数据进行过滤防护;其中,所述第二用户交互数据为在传播阶段经过数据流转之后的第一用户交互数据。2.根据权利要求1所述的恶意攻击拦截方法,其特征在于,所述根据所述被保护应用的应用类型进行环境变量配置的步骤,包括:若所述被保护应用为.net framework平台的应用,则调用注册表编辑器,并在所述注册表编辑器中创建environment数值;其中,所述environment数值包括:所述被保护应用的应用标识以及安全防护机制的部署目录;或,若所述被保护应用为.net 6平台的应用,则获取所述被保护应用的web.config文件,并在所述web.config文件中进行环境变量配置。3.根据权利要求2所述的恶意攻击拦截方法,其特征在于,所述根据所述被保护应用的应用类型进行环境变量配置的步骤之后,还包括:设置探针闪烁时间以及灰盒测试的基本配置;其中,所述基本配置包括:服务器主机标识、登录令牌、应用程序全名以及测试标识;所述对所述第一用户交互数据进行分析的步骤,包括:根据所述探针闪烁时间对所述第一用户交互数据进行灰盒测试。4.根据权利要求1所述的恶意攻击拦截方法,其特征在于,所述获取第一用户交互数据的步骤,包括:对所述被保护应用的所有输入形式进行输入检测;其中,所述输入形式包括:页面数据交互、表单提交、数据提交以及数据流转;获取与所述输入形式对应的第一用户交互数据。5.根据权利要求1所述的恶意攻击拦截方法,其特征在于,所述在输出阶段截取被执行的所述第二用户交互数据的步骤之前,还包括:在所述第一用户交互数据的传播阶段,将所述第二用户交互数据与所述第一用户交互数据进行比对,确定所述第二用户交互数据中是否存在包含所述异常标识的所述第一用户交互数据;若所述第二用户交互数据经过数据流转之后,存在包含所述异常标识的所述第一用户交互数据,则对相应所述第二用户交互数据标识所述异常标识。6.根据权利要求5所述的恶意攻击拦截方法,其特征在于,所述对存在所述异常标识的所述第二用户交互数据进行过滤防护的步骤,包括:从被截取的所述第二用户交互数据中获取参数信息;其中,所述参数信息包括:所述第二用户交互数据的入参数据以及返回值;
若所述参数信息中存在所述异常标识,则过滤所述参数信息,并生成执行异常指令;根据所述执行异常指令控制所述第二用户交互数据的对应代码停止运行;若所述参数信息中不存在所述异常标识,则允许所述第二用户交互数据在所述输出阶段继续运行。7.根据权利要求1至6任意一项所述的恶意攻击拦截方法,其特征在于,所述对存在所述异常标识的所述第二用户交互数据进行过滤防护的步骤之后,还包括:通过灰盒测试对包含所述异常标识的所述参数信息进行检测,确定恶意攻击的攻击类型以及攻击敏感字符;根据所述参数信息、所述恶意攻击的攻击类型以及所述攻击敏感字符生成安全日志,并将所述安全日志上传至所述服务器主机;其中,所述安全日志用于所述服务器主机对所述攻击敏感字符生成阻断规则;当输入阶段再次检测到所述攻击敏感字符,向所述服务器主机发送阻断指令;其中,所述阻断指令用于服务器主机根据所述阻断规则直接对所述攻击敏感字符进行阻断。8.一种恶意攻击拦截装置,其特征在于,包括:配置模块,用于在被保护应用部署到web服务器之后,根据所述被保护应用的应用类型进行环境变量配置;分析模块,用于当所述环境变量配置完成之后,获取第一用户交互数据,并对所述第一用户交互数据进行分析;其中,所述第一用户交互数据为输入阶段用户输入的数据;标记模块,用于若根据分析结果确定所述第一用户交互数据中存在恶意攻击的攻击敏感字符,则对所述第一用户交互数据标记异常标识;防护模块,用于在输出阶段截取被执行的第二用户交互数据,并对存在所述异常标识的所述第二用户交互数据进行过滤防护;其中,所述第二用户交互数据为在传播阶段经过数据流转之后的第一用户交互数据。9.一种电子设备,其特征在于,包括存储器及处理器,其中:所述处理器用于执行存储在所述存储器上的计算机程序;所述处理器执行所述计算机程序时,实现权利要求1至7中任意一项所述方法中的步骤。10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至7中的任意一项所述方法中的步骤。

技术总结
本申请提供了一种恶意攻击拦截方法、装置、设备及可读存储介质,在被保护应用部署到web服务器之后,根据被保护应用的应用类型进行环境变量配置;当环境变量配置完成之后,获取第一用户交互数据,并对第一用户交互数据进行分析;若根据分析结果确定第一用户交互数据中存在恶意攻击的攻击敏感字符,则对第一用户交互数据标记异常标识;在输出阶段截取被执行的第二用户交互数据,并对存在异常标识的第二用户交互数据进行过滤防护。通过本申请方案的实施,在被保护应用部署之后配置环境变量,在输出阶段将截取第二用户交互数据,对存在异常标识的第二用户交互数据进行过滤防护。通过本发明能够在系统运行的过程中对恶意攻击进行实时防护。实时防护。实时防护。


技术研发人员:贾宏祥 万振华 王颉 董燕 李华
受保护的技术使用者:深圳开源互联网安全技术有限公司
技术研发日:2022.06.13
技术公布日:2022/11/1
转载请注明原文地址: https://tieba.8miu.com/read-220.html

最新回复(0)