一種基于Web應用的安全檢測方法
【專利摘要】本發(fā)明公開了一種基于Web應用的安全檢測方法�,其具體實現(xiàn)過程包括:通過操作系統(tǒng)的多核多任務并行處理技術(shù),將一次業(yè)務處理分隔成成多個階段請求接收�、預處理、請求檢測����、數(shù)據(jù)處理���、響應檢測和數(shù)據(jù)響應,分別對應不同的模塊���,由這些模塊完成相關(guān)操作�,將模塊綁定到CPU上運行����,模塊一旦建立只能運行在特定的CPU上。該一種基于Web應用的安全檢測方法與現(xiàn)有技術(shù)相比�,根據(jù)系統(tǒng)狀態(tài)和業(yè)務段的狀態(tài)智能判斷和設(shè)置業(yè)務處理過程中的各個模塊的并發(fā)數(shù)目,以提升系統(tǒng)性能��;同時通過監(jiān)控模塊的監(jiān)控���,提升系統(tǒng)的穩(wěn)定性�,實用性強����。
【專利說明】—種基于醫(yī)應用的安全檢測方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】,具體地說是一種實用性強���、基于應用的安全檢測方法�����。
【背景技術(shù)】
[0002]隨著云計算����、大數(shù)據(jù)、電子商務等新型技術(shù)的發(fā)展�����,基于肌1��?協(xié)議的服務器的業(yè)務邏輯處理成為辦公�、娛樂�����、購物等的活動的主要手段��。這些活動涉及到商業(yè)信息����、個人信息、財務等重要的數(shù)據(jù),然而它們卻是在未知安全的網(wǎng)絡(luò)環(huán)境中傳輸?shù)暮屯瓿傻?���。這種網(wǎng)絡(luò)環(huán)境下基于肌嚇協(xié)議的攻擊手段花樣繁多;設(shè)計����、編寫的這些業(yè)務系統(tǒng)的開發(fā)人員對安全的意識和防御手段也參差不齊。每年都有大量的商業(yè)信息�、個人信息被非法獲取����;金錢被非法轉(zhuǎn)移或者占有。在這種背景下�����,專業(yè)的基于肌1���?協(xié)議�、1613應用的安全檢測設(shè)備就尤為重要��,并成為抵御這些風險的一種有效手段��。
[0003]基于肌1?協(xié)議��、應用的安全檢測設(shè)備需要處理大量的客戶請求����,對設(shè)備性能的要求比較高。在高并發(fā)的情況下����,安全檢測設(shè)備可能會成為1613服務的瓶頸。前面提到的名單過濾和關(guān)鍵詞過濾雖然是目前實現(xiàn)信息安全過濾的主要方法�����,但是它們在進行過濾時也存在一定的缺陷���,如在名單過濾中��,當網(wǎng)頁中的部分內(nèi)容為非需求信息或非法信息時���,有可能導致整個網(wǎng)站被封�����,或者非法網(wǎng)站也可以通過改變I?地址�����,使之能夠在一段時間內(nèi)避免被過濾�����;而對于關(guān)鍵詞過濾�����,其較高的漏報和錯報率影響了安全過濾的效率�����?��;诖?���,本發(fā)明提供一種基于統(tǒng)計和知識特征的多級基于166應用的安全檢測方法���,能很好地解決以上問題��。本發(fā)明通過在設(shè)備環(huán)境不變的情況下通過對業(yè)務處理過程中對設(shè)備性能要求的不同����,對業(yè)務分段,將設(shè)備性能要求高的部分通過增加模塊的方式���,提升業(yè)務的處理性能��;根據(jù)系統(tǒng)狀態(tài)和業(yè)務段的狀態(tài)智能判斷和設(shè)置業(yè)務處理過程中的各個模塊的并發(fā)數(shù)目���,以提升系統(tǒng)性能;同時通過監(jiān)控模塊的監(jiān)控����,提升系統(tǒng)的穩(wěn)定性。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的技術(shù)任務是針對以上不足之處���,提供一種實用性強�����、基于應用的安全檢測方法�����。
[0005]一種基于應用的安全檢測方法���,其具體實現(xiàn)過程為:
包括綁定到0^上且只能在該0^上運行的接收請求模塊、預處理模塊��、請求檢測模塊�、數(shù)據(jù)處理模塊、響應檢測模塊和數(shù)據(jù)響應模塊�����;其具體檢測過程為:
^端發(fā)出請求�,請求接收模塊接收該1613請求并將請求存放到請求隊列中;
預處理模塊負責將請求隊列中的請求數(shù)據(jù)取出�,根據(jù)提前預制的檢測條件判斷是否需要進一步進行檢測,將需要檢測的數(shù)據(jù)存放到請求檢測隊列�,將不需要檢測將數(shù)據(jù)存放到數(shù)據(jù)處理隊列;將拒絕請求的數(shù)據(jù)將請求存放到響應隊列中��,并標志拒絕請求�����;
請求檢測模塊從請求檢測隊列提取數(shù)據(jù)���,并對數(shù)據(jù)進行安全檢測�;通過檢測將數(shù)據(jù)放入數(shù)據(jù)處理模塊隊列;未通過檢測將數(shù)據(jù)放入響應隊列�,并設(shè)置拒絕標志; 數(shù)據(jù)處理模塊從數(shù)據(jù)處理隊列提出數(shù)據(jù)�,根據(jù)請求數(shù)據(jù)及預制業(yè)務邏輯形成響應頁面;對需要檢測的響應頁面將數(shù)據(jù)存入響應檢測隊列��;對不需要檢測的響應頁面將數(shù)據(jù)存入響應隊列�;
響應檢測模塊從響應檢測隊列提取數(shù)據(jù),并進行安全檢測��;通過檢測將數(shù)據(jù)存入響應隊列��;未通過檢測將數(shù)據(jù)存入響應隊列�����,并設(shè)置拒絕標志�����;
響應模塊從響應隊列提取數(shù)據(jù)�,根據(jù)響應標志形成響應頁面,發(fā)送給客戶端。
[0006]所述預處理模塊對數(shù)據(jù)進行初步判斷時依據(jù)的檢測條件包括協(xié)議合規(guī)性���、請求方法檢測���、是否需要進行請求檢測���。
[0007]所述請求檢測模塊進行安全檢測的內(nèi)容包括:注入攻擊檢測����、跨站攻擊檢測���、木馬攻擊檢測�����、跨站請求攻擊檢測���。
[0008]響應階段為響應模塊,從響應隊列提取數(shù)據(jù)��,根據(jù)標識組織合適的數(shù)據(jù)返回客戶端���。如果為拒絕標識��,將根據(jù)預制條件返回特定響應內(nèi)容��。在此階段將決定是否關(guān)閉連接��。
[0009]所述方法還包括監(jiān)控模塊�����,該監(jiān)控模塊獨立于整個業(yè)務處理模塊之外��,即該監(jiān)控模塊設(shè)置在一個單獨的0^上完成且負責監(jiān)控系統(tǒng)狀態(tài)����、各個階段模塊狀態(tài)、各個階段的隊列狀態(tài)��、自身狀態(tài)����,所述監(jiān)控模塊通過這些狀態(tài)的監(jiān)控設(shè)置業(yè)務處理模塊各個階段的模塊的數(shù)目和隊列數(shù)目;當任務量小的時候該監(jiān)控模塊減少各階段模塊的數(shù)目��,當任務量增大到一定閾值時增加各階段模塊數(shù)目��。
[0010]本發(fā)明的一種基于應用的安全檢測方法,具有以下優(yōu)點:
該發(fā)明的一種基于166應用的安全檢測方法通過業(yè)務處理各個階段對系統(tǒng)性能要求的不同�,將業(yè)務分段���,有不同的模塊完成不同階段的邏輯處理。同時通過監(jiān)控模塊對系統(tǒng)狀態(tài)和模塊狀態(tài)的監(jiān)控���,根據(jù)預制算法,智能判斷和設(shè)置各個模塊的數(shù)目���,相同業(yè)務段的模塊之間并發(fā)處理業(yè)務邏輯����;可以提高并發(fā)數(shù)目和加快高并發(fā)狀態(tài)下的166請求的響應;不同的模塊將綁定到不同的0^核心上����,以確保業(yè)務邏輯處理過程中���,不會造成時間段分配時間不均和在進行切換時的時間浪費����,實用性較強���,適用范圍廣泛�����,易于推廣��。
【專利附圖】
【附圖說明】
[0011]附圖1為本發(fā)明的實現(xiàn)示意圖。
[0012]附圖2為本發(fā)明的監(jiān)控示意圖����。
【具體實施方式】
[0013]下面結(jié)合附圖和具體實施例對本發(fā)明作進一步說明�����。
[0014]為保證系統(tǒng)分為不同模塊后的穩(wěn)定性�,設(shè)置監(jiān)控模塊監(jiān)控自身及整個系統(tǒng)的狀態(tài)和各個模塊的狀態(tài)��,一旦發(fā)生錯誤����,由監(jiān)控模塊及時恢復。為保證監(jiān)控模塊的實時性及可靠性���,將設(shè)置一個單獨0^核心完成相關(guān)功能�。
[0015]本發(fā)明提供一種基于應用的安全檢測方法��,該方法的顯著特征是高性能���、穩(wěn)定性和平衡性。通過多核多任務模式智能調(diào)度各個檢測過程的數(shù)據(jù)處理模塊�����,確保請求和響應得到快速處理��。一次請求的處理過程假定為一次業(yè)務處理��。通過操作系統(tǒng)的多核多任務并行處理技術(shù)����,將一次業(yè)務處理分隔成成多個階段(請求接收、預處理�、請求檢測、數(shù)據(jù)處理�、響應檢測和數(shù)據(jù)響應),分別對應不同的模塊,由這些模塊完成相關(guān)操作���,將模塊綁定到上運行�����,模塊一旦建立只能運行在特定的上���;對任務量大的階段分配多個功能相同的模塊共同完成��,模塊的分配數(shù)目由監(jiān)控模塊根據(jù)業(yè)務量大小動態(tài)決定���,當任務量小的時候?qū)p少模塊的數(shù)目,當任務量增大到一定閾值時將增加模塊數(shù)目����;各個模塊之間由不同的隊列連接,隊列的狀態(tài)和整個系統(tǒng)的監(jiān)控由監(jiān)控模塊完成��。通過模塊分工合作的方式將加快166請求的處理過程�,實現(xiàn)在海量并發(fā)請求下的快速響應�。
[0016]如附圖1、圖2所示��,其具體實現(xiàn)過程為:
包括綁定到0^上且只能在該0^上運行的接收請求模塊����、預處理模塊����、請求檢測模塊���、數(shù)據(jù)處理模塊��、響應檢測模塊和數(shù)據(jù)響應模塊�;其具體檢測過程為:
1613端發(fā)出請求�����,請求接收模塊接收該16^請求并將請求存放到請求隊列中�;
預處理模塊負責將請求隊列中的請求數(shù)據(jù)取出,根據(jù)提前預制的檢測條件判斷是否需要進一步進行檢測�,將需要檢測的數(shù)據(jù)存放到請求檢測隊列,將不需要檢測將數(shù)據(jù)存放到數(shù)據(jù)處理隊列����;將拒絕請求的數(shù)據(jù)將請求存放到響應隊列中,并標志拒絕請求��;
請求檢測模塊從請求檢測隊列提取數(shù)據(jù)��,并對數(shù)據(jù)進行安全檢測���;通過檢測將數(shù)據(jù)放入數(shù)據(jù)處理模塊隊列����;未通過檢測將數(shù)據(jù)放入響應隊列,并設(shè)置拒絕標志���;
數(shù)據(jù)處理模塊從數(shù)據(jù)處理隊列提出數(shù)據(jù)�,根據(jù)請求數(shù)據(jù)及預制業(yè)務邏輯形成響應頁面�����;對需要檢測的響應頁面將數(shù)據(jù)存入響應檢測隊列�����;對不需要檢測的響應頁面將數(shù)據(jù)存入響應隊列����;
響應檢測模塊從響應檢測隊列提取數(shù)據(jù),并進行安全檢測����;通過檢測將數(shù)據(jù)存入響應隊列�;未通過檢測將數(shù)據(jù)存入響應隊列����,并設(shè)置拒絕標志���;
響應模塊從響應隊列提取數(shù)據(jù)��,根據(jù)響應標志形成響應頁面���,發(fā)送給客戶端。
[0017]對業(yè)務進行分段處理具有負載均衡的特點���。根據(jù)模塊對系統(tǒng)性能要求的不同���,可以分配不同數(shù)目的模塊。以達到并發(fā)處理的��,高速響應等要求�����。
[0018]所述預處理模塊對數(shù)據(jù)進行初步判斷時依據(jù)的檢測條件包括協(xié)議合規(guī)性�����、請求方法檢測、是否需要進行請求檢測��。
[0019]所述請求檢測模塊進行安全檢測的內(nèi)容包括:注入攻擊檢測��、跨站攻擊檢測���、木馬攻擊檢測��、跨站請求攻擊檢測�����。
[0020]響應階段為響應模塊���,從響應隊列提取數(shù)據(jù),根據(jù)標識組織合適的數(shù)據(jù)返回客戶端����。如果為拒絕標識,將根據(jù)預制條件返回特定響應內(nèi)容����。在此階段將決定是否關(guān)閉連接。
[0021]所述方法還包括監(jiān)控模塊,該監(jiān)控模塊獨立于整個業(yè)務處理模塊之外���,即該監(jiān)控模塊設(shè)置在一個單獨的0^上完成且負責監(jiān)控系統(tǒng)狀態(tài)、各個階段模塊狀態(tài)��、各個階段的隊列狀態(tài)�����、自身狀態(tài)��,所述監(jiān)控模塊通過這些狀態(tài)的監(jiān)控設(shè)置業(yè)務處理模塊各個階段的模塊的數(shù)目和隊列數(shù)目����;當任務量小的時候該監(jiān)控模塊減少各階段模塊的數(shù)目,當任務量增大到一定閾值時增加各階段模塊數(shù)目��。
[0022]上述【具體實施方式】僅是本發(fā)明的具體個案���,本發(fā)明的專利保護范圍包括但不限于上述【具體實施方式】�,任何符合本發(fā)明的一種基于166應用的安全檢測方法的權(quán)利要求書的且任何所述【技術(shù)領(lǐng)域】的普通技術(shù)人員對其所做的適當變化或替換����,皆應落入本發(fā)明的專利保護范圍。
【權(quán)利要求】
1.一種基于Web應用的安全檢測方法,其特征在于�,其具體實現(xiàn)過程為: 包括綁定到CPU上且只能在該CPU上運行的接收請求模塊、預處理模塊�、請求檢測模塊、數(shù)據(jù)處理模塊��、響應檢測模塊和數(shù)據(jù)響應模塊�����;其具體檢測過程為: Web端發(fā)出請求,請求接收模塊接收該Web請求并將請求存放到請求隊列中���; 預處理模塊負責將請求隊列中的Web請求數(shù)據(jù)取出�����,根據(jù)提前預制的檢測條件判斷是否需要進一步進行檢測���,將需要檢測的數(shù)據(jù)存放到請求檢測隊列,將不需要檢測將數(shù)據(jù)存放到數(shù)據(jù)處理隊列���;將拒絕請求的數(shù)據(jù)將請求存放到響應隊列中�,并標志拒絕請求��; 請求檢測模塊從請求檢測隊列提取數(shù)據(jù),并對數(shù)據(jù)進行安全檢測����;通過檢測將數(shù)據(jù)放入數(shù)據(jù)處理模塊隊列;未通過檢測將數(shù)據(jù)放入響應隊列�,并設(shè)置拒絕標志�����; 數(shù)據(jù)處理模塊從數(shù)據(jù)處理隊列提出數(shù)據(jù)�,根據(jù)請求數(shù)據(jù)及預制業(yè)務邏輯形成響應頁面;對需要檢測的響應頁面將數(shù)據(jù)存入響應檢測隊列���;對不需要檢測的響應頁面將數(shù)據(jù)存入響應隊列�����; 響應檢測模塊從響應檢測隊列提取數(shù)據(jù)���,并進行安全檢測;通過檢測將數(shù)據(jù)存入響應隊列�;未通過檢測將數(shù)據(jù)存入響應隊列,并設(shè)置拒絕標志�����; 響應模塊從響應隊列提取數(shù)據(jù),根據(jù)響應標志形成響應頁面���,發(fā)送給客戶端���。
2.根據(jù)權(quán)利要求1所述的一種基于Web應用的安全檢測方法,其特征在于�,所述預處理模塊對數(shù)據(jù)進行初步判斷時依據(jù)的檢測條件包括協(xié)議合規(guī)性、請求方法檢測���、是否需要進行請求檢測�。
3.根據(jù)權(quán)利要求1所述的一種基于Web應用的安全檢測方法�,其特征在于,所述請求檢測模塊進行安全檢測的內(nèi)容包括:注入攻擊檢測���、跨站攻擊檢測�、木馬攻擊檢測����、跨站請求攻擊檢測。
4.根據(jù)權(quán)利要求1所述的一種基于Web應用的安全檢測方法����,其特征在于���,響應階段為響應模塊,從響應隊列提取數(shù)據(jù)�����,根據(jù)標識組織合適的數(shù)據(jù)返回客戶端����;如果為拒絕標識����,將根據(jù)預制條件返回特定響應內(nèi)容;在此階段將決定是否關(guān)閉連接���。
5.根據(jù)權(quán)利要求1-4中任一所述的一種基于Web應用的安全檢測方法�,其特征在于�����,所述方法還包括監(jiān)控模塊�����,該監(jiān)控模塊獨立于整個業(yè)務處理模塊之外,即該監(jiān)控模塊設(shè)置在一個單獨的CPU上完成且負責監(jiān)控系統(tǒng)狀態(tài)�����、各個階段模塊狀態(tài)�����、各個階段的隊列狀態(tài)��、自身狀態(tài)�,所述監(jiān)控模塊通過這些狀態(tài)的監(jiān)控設(shè)置業(yè)務處理模塊各個階段的模塊的數(shù)目和隊列數(shù)目;當任務量小的時候該監(jiān)控模塊減少各階段模塊的數(shù)目���,當任務量增大到一定閾值時增加各階段模塊數(shù)目��。
【文檔編號】H04L29/06GK104394163SQ201410730716
【公開日】2015年3月4日 申請日期:2014年12月5日 優(yōu)先權(quán)日:2014年12月5日
【發(fā)明者】戴純興 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司