本申請(qǐng)涉及互聯(lián)網(wǎng)領(lǐng)域，更具體地說，涉及一種軟件信息的防護(hù)方法和裝置。

背景技術(shù)：

隨著信息化技術(shù)和互聯(lián)網(wǎng)的高速發(fā)展，惡意用戶利用web應(yīng)用程序存在的漏洞，對(duì)系統(tǒng)進(jìn)行惡意訪問，從而造成對(duì)系統(tǒng)的危害。隨著web攻擊的高速增長，軟件信息面臨越來越多的安全問題，系統(tǒng)也受到了越來越多的挑戰(zhàn)。

現(xiàn)有的安全防御方法，主要是在業(yè)務(wù)執(zhí)行代碼中編寫防護(hù)代碼對(duì)攻擊進(jìn)行攔截。然而，在業(yè)務(wù)執(zhí)行代碼中進(jìn)行攔截，容易影響業(yè)務(wù)執(zhí)行代碼的流程，同時(shí)，編寫防御各種參數(shù)形式漏洞的代碼造成的成本偏高，當(dāng)有新的漏洞時(shí)，需要重新對(duì)業(yè)務(wù)執(zhí)行代碼進(jìn)行編譯打包，并需要服務(wù)器下線加載新的業(yè)務(wù)執(zhí)行代碼，然后重新上線才能解決漏洞，其安全防護(hù)的效率低。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本申請(qǐng)?zhí)峁┮环N軟件信息的防護(hù)方法和裝置，以組件化的開發(fā)方式使得防護(hù)工作脫離于業(yè)務(wù)代碼，不僅能夠用于多個(gè)web應(yīng)用，還能使在更新防護(hù)策略時(shí)無需使系統(tǒng)下線或者服務(wù)器重啟等工作，能夠滿足系統(tǒng)長期的服務(wù)，提高了軟件信息的防護(hù)效率。

為了實(shí)現(xiàn)上述目的，現(xiàn)提出的方案如下：

一種軟件信息的防護(hù)方法，應(yīng)用于電子商務(wù)平臺(tái)，包括：

獲取客戶端發(fā)送的訪問請(qǐng)求；

基于預(yù)設(shè)安全檢測(cè)規(guī)則對(duì)所述訪問請(qǐng)求進(jìn)行安全檢測(cè)；

當(dāng)檢測(cè)結(jié)果表明所述訪問請(qǐng)求為安全訪問請(qǐng)求時(shí)，允許所述客戶端訪問所述電子商務(wù)平臺(tái)；

當(dāng)所述檢測(cè)結(jié)果表明所述訪問請(qǐng)求為惡意訪問請(qǐng)求時(shí)，攔截所述客戶端訪問所述電子商務(wù)平臺(tái)。

優(yōu)選的，所述基于預(yù)設(shè)安全檢測(cè)方法對(duì)所述訪問請(qǐng)求進(jìn)行檢測(cè)，包括：

判斷所述訪問請(qǐng)求是否存在于預(yù)設(shè)白名單中，其中所述白名單用于保存多個(gè)預(yù)設(shè)安全訪問請(qǐng)求；

若存在，則確定所述訪問請(qǐng)求為安全訪問請(qǐng)求；

若不存在，則判斷所述訪問請(qǐng)求是否滿足預(yù)設(shè)攔截規(guī)則；

若滿足，則確定所述訪問請(qǐng)求為惡意訪問請(qǐng)求；

若不滿足，則確定所述訪問請(qǐng)求為安全訪問請(qǐng)求。

優(yōu)選的，所述攔截所述客戶端訪問所述電子商務(wù)平臺(tái)之后，還包括：

生成對(duì)所述惡意訪問請(qǐng)求的攔截日志。

優(yōu)選的，所述生成對(duì)所述惡意訪問請(qǐng)求的攔截日志之后，還包括：

對(duì)所述攔截日志進(jìn)行分析，并基于分析結(jié)果對(duì)所述預(yù)設(shè)安全檢測(cè)規(guī)則進(jìn)行更新。

一種軟件信息的防護(hù)裝置，包括：

信息采集單元，用于獲取客戶端發(fā)送的訪問請(qǐng)求；

安全檢測(cè)單元，用于基于預(yù)設(shè)安全檢測(cè)規(guī)則對(duì)所述訪問請(qǐng)求進(jìn)行安全檢測(cè)；

防護(hù)單元，用于當(dāng)檢測(cè)結(jié)果表明所述訪問請(qǐng)求為安全訪問請(qǐng)求時(shí)，允許所述客戶端訪問所述電子商務(wù)平臺(tái)；

當(dāng)所述檢測(cè)結(jié)果表明所述訪問請(qǐng)求為惡意訪問請(qǐng)求時(shí)，攔截所述客戶端訪問所述電子商務(wù)平臺(tái)。

優(yōu)選的，所述安全檢測(cè)單元包括：

第一判斷模塊，用于判斷所述訪問請(qǐng)求是否存在于預(yù)設(shè)白名單中，其中所述白名單用于保存多個(gè)預(yù)設(shè)安全訪問請(qǐng)求；

若存在，則確定所述訪問請(qǐng)求為安全訪問請(qǐng)求；

第二判斷單元，用于當(dāng)所述預(yù)設(shè)白名單中不存在所述訪問請(qǐng)求時(shí)，判斷所述訪問請(qǐng)求是否滿足預(yù)設(shè)攔截規(guī)則；

若滿足，則確定所述訪問請(qǐng)求為惡意訪問請(qǐng)求；

若不滿足，則確定所述訪問請(qǐng)求為安全訪問請(qǐng)求。

優(yōu)選的，還包括：日志生成單元，用于生成對(duì)所述惡意訪問請(qǐng)求的攔截日志。

優(yōu)選的，還包括：日志分析單元，用于對(duì)所述攔截日志進(jìn)行分析，并基于分析結(jié)果對(duì)所述預(yù)設(shè)安全檢測(cè)規(guī)則進(jìn)行更新。

經(jīng)由上述技術(shù)方案可知，本申請(qǐng)公開了一種軟件信息的防護(hù)方法和裝置。當(dāng)客戶端訪問電子商務(wù)平臺(tái)時(shí)，該平臺(tái)的服務(wù)器獲取客戶端發(fā)送的訪問請(qǐng)求，并基于預(yù)先設(shè)置的安全檢測(cè)規(guī)則對(duì)訪問請(qǐng)求進(jìn)行安全檢測(cè)。當(dāng)確定該訪問請(qǐng)求為安全訪問請(qǐng)求時(shí)允許客戶端訪問該電子商務(wù)平臺(tái)，若確定該訪問請(qǐng)求為惡意訪問請(qǐng)求時(shí)，則攔截訪問。與現(xiàn)有技術(shù)相比，本發(fā)明以組件化的開發(fā)方式使得防護(hù)工作脫離于業(yè)務(wù)代碼，不僅能夠用于多個(gè)web應(yīng)用，還能使在更新防護(hù)策略時(shí)無需使系統(tǒng)下線或者服務(wù)器重啟等工作，能夠滿足系統(tǒng)長期的服務(wù)，提高了軟件信息的防護(hù)效率。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)提供的附圖獲得其他的附圖。

圖1示出了本發(fā)明一個(gè)實(shí)施例公開的一種軟件信息的方法的流程示意圖；

圖2示出了本發(fā)明另一個(gè)實(shí)施例公開的一種軟件信息防護(hù)方法的流程示意圖；

圖3示出了本發(fā)明另一個(gè)實(shí)施例公開的一種軟件信息的防護(hù)裝置的結(jié)構(gòu)示意圖；

圖4示出了本發(fā)明另一個(gè)實(shí)施例公開的一種軟件信息的防護(hù)裝置的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

參見圖1示出了本發(fā)明一個(gè)實(shí)施例公開的一種軟件信息的方法的流程示意圖。

由圖1可知，該方法包括：

S101：獲取客戶端發(fā)送的訪問請(qǐng)求。

當(dāng)用戶需要訪問某個(gè)電子商務(wù)平臺(tái)時(shí)，利用客戶端向該電子商務(wù)平臺(tái)的服務(wù)器訪問訪問請(qǐng)求?？蛇x的，該訪問請(qǐng)求為http格式。HTTP請(qǐng)求信息由3部分組成：1、請(qǐng)求方法URI協(xié)議/版本；2、請(qǐng)求頭(Request Header)；3、請(qǐng)求正文。

S102：基于預(yù)設(shè)安全檢測(cè)規(guī)則對(duì)所述訪問請(qǐng)求進(jìn)行安全檢測(cè)。

安全檢測(cè)中最重要的部分為安全檢測(cè)規(guī)則。在實(shí)際應(yīng)用中安全檢測(cè)規(guī)則不是一成不變的，是隨著時(shí)間或漏洞的更新而更新的，從而保證安全檢測(cè)規(guī)則的時(shí)效性。

S103：當(dāng)檢測(cè)結(jié)果表明所述訪問請(qǐng)求為安全訪問請(qǐng)求時(shí)，允許所述客戶端訪問所述電子商務(wù)平臺(tái)。

S104：當(dāng)所述檢測(cè)結(jié)果表明所述訪問請(qǐng)求為惡意訪問請(qǐng)求時(shí)，攔截所述客戶端訪問所述電子商務(wù)平臺(tái)。

可選的，當(dāng)電子商務(wù)平臺(tái)攔截了客戶端發(fā)送的訪問請(qǐng)求時(shí)，可向客戶端展示訪問錯(cuò)誤界面，以體現(xiàn)用戶其使用的訪問請(qǐng)求無效。

由上述實(shí)施例可知，本申請(qǐng)公開了一種軟件信息的防護(hù)方法。當(dāng)客戶端訪問電子商務(wù)平臺(tái)時(shí)，該平臺(tái)的服務(wù)器獲取客戶端發(fā)送的訪問請(qǐng)求，并基于預(yù)先設(shè)置的安全檢測(cè)規(guī)則對(duì)訪問請(qǐng)求進(jìn)行安全檢測(cè)。當(dāng)確定該訪問請(qǐng)求為安全訪問請(qǐng)求時(shí)允許客戶端訪問該電子商務(wù)平臺(tái)，若確定該訪問請(qǐng)求為惡意訪問請(qǐng)求時(shí)，則攔截訪問。與現(xiàn)有技術(shù)相比，本發(fā)明以組件化的開發(fā)方式使得防護(hù)工作脫離于業(yè)務(wù)代碼，不僅能夠用于多個(gè)web應(yīng)用，還能使在更新防護(hù)策略時(shí)無需使系統(tǒng)下線或者服務(wù)器重啟等工作，能夠滿足系統(tǒng)長期的服務(wù)，提高了軟件信息的防護(hù)效率。

參見圖2示出了本發(fā)明另一個(gè)實(shí)施例公開的一種軟件信息防護(hù)方法的流程示意圖。

由圖2可知，該方法包括：

S201：獲取客戶端發(fā)送的訪問請(qǐng)求。

當(dāng)用戶需要訪問某個(gè)電子商務(wù)平臺(tái)時(shí)，利用客戶端向該電子商務(wù)平臺(tái)的服務(wù)器訪問訪問請(qǐng)求?？蛇x的，該訪問請(qǐng)求為http格式。HTTP請(qǐng)求信息由3部分組成：1、請(qǐng)求方法URI協(xié)議/版本；2、請(qǐng)求頭(Request Header)；3、請(qǐng)求正文。

S202：判斷所述訪問請(qǐng)求是否存在于預(yù)設(shè)白名單中。

其中，所述白名單用于保存多個(gè)預(yù)設(shè)安全訪問請(qǐng)求，當(dāng)客戶端發(fā)送的訪問請(qǐng)求存在于所述白名單中，則確定客戶端發(fā)送的訪問請(qǐng)求為安全訪問請(qǐng)求。若客戶端發(fā)送的訪問請(qǐng)求不存在上述白名單中，則執(zhí)行步驟S203。

S203：判斷所述訪問請(qǐng)求是否滿足預(yù)設(shè)攔截規(guī)則。

當(dāng)客戶端發(fā)送的白名單不存在于步驟S202中所述的白名單時(shí)，進(jìn)一步判斷客戶端發(fā)送的訪問請(qǐng)求是否滿足預(yù)設(shè)攔截規(guī)則。

可選的，在本實(shí)施例中所述預(yù)設(shè)攔截規(guī)則對(duì)四種不同的訪問行為進(jìn)行攔截。

上述四種不同的訪問行為包括：

當(dāng)客戶端發(fā)送的訪問請(qǐng)求滿足上述行為時(shí)則確定所述訪問請(qǐng)求為惡意訪問請(qǐng)求；

當(dāng)客戶端發(fā)送的訪問請(qǐng)求不滿足上述行為時(shí)。則確定所述訪問請(qǐng)求為安全訪問請(qǐng)求。

S204：當(dāng)檢測(cè)結(jié)果表明所述訪問請(qǐng)求為安全訪問請(qǐng)求時(shí)，允許所述客戶端訪問所述電子商務(wù)平臺(tái)。

S205：當(dāng)所述檢測(cè)結(jié)果表明所述訪問請(qǐng)求為惡意訪問請(qǐng)求時(shí)，攔截所述客戶端訪問所述電子商務(wù)平臺(tái)，并生成所述惡意訪問請(qǐng)求的攔截日志。

攔截日志包含日志的生成和管理兩個(gè)部分。其中，對(duì)惡意訪問請(qǐng)求的攔截日志進(jìn)行記錄，其中包含訪問時(shí)間，客戶端IP，攔截類型和相應(yīng)的請(qǐng)求資源；攔截日志的管理管主要是進(jìn)行查看和刪除日志。

S206：對(duì)所述攔截日志進(jìn)行分析，并基于分析結(jié)果對(duì)所述預(yù)設(shè)安全檢測(cè)規(guī)則進(jìn)行更新。

安全防護(hù)中最關(guān)鍵的部分為本發(fā)明中所設(shè)計(jì)的安全檢測(cè)規(guī)則，安全檢測(cè)規(guī)則不是一成不變的，是隨著時(shí)間或者漏洞的更新而更新的。由于我們不可能做到完全覆蓋，所以規(guī)則庫的自主學(xué)習(xí)就非常重要。本發(fā)明是通過對(duì)新的漏洞攻擊進(jìn)行分析，然后系統(tǒng)進(jìn)行相應(yīng)的規(guī)則設(shè)定，因?yàn)榘踩珯z測(cè)有優(yōu)先級(jí)設(shè)定，而這個(gè)優(yōu)先級(jí)別是在對(duì)系統(tǒng)的訪問中動(dòng)態(tài)生成的，可通過對(duì)攔截日志的分析，判斷哪種規(guī)則訪問的次數(shù)多，優(yōu)先匹配該規(guī)則。

另外，在實(shí)際應(yīng)用中某條訪問請(qǐng)求可能滿足步驟S203中預(yù)設(shè)的攔截規(guī)則，但實(shí)際并非真正的惡意訪問請(qǐng)求，本發(fā)明可通過對(duì)攔截日志中的攔截記錄進(jìn)行分析，從而得到該類訪問請(qǐng)求，并基于分析結(jié)果對(duì)步驟S202中的白名單進(jìn)行更新。

參見圖3示出了本發(fā)明另一個(gè)實(shí)施例公開的一種軟件信息的防護(hù)裝置的結(jié)構(gòu)示意圖。

由圖3可知，該裝置包括：信息采集單元1、安全檢測(cè)單元2和防護(hù)單元3。

其中，信息采集單元1用于獲取客戶端發(fā)送的訪問請(qǐng)求并將獲取到的訪問請(qǐng)求發(fā)送至安全檢測(cè)單元2中。其中，該訪問請(qǐng)求為http格式。HTTP請(qǐng)求信息由3部分組成：1、請(qǐng)求方法URI協(xié)議/版本；2、請(qǐng)求頭(Request Header)；3、請(qǐng)求正文。

安全檢測(cè)單元2接收信息采集單元1發(fā)送的訪問請(qǐng)求并基于預(yù)設(shè)安全檢測(cè)規(guī)則對(duì)該訪問請(qǐng)求進(jìn)行安全檢測(cè)，以確定該訪問請(qǐng)求是安全訪問請(qǐng)求還是惡意訪問請(qǐng)求。

當(dāng)安全檢測(cè)單元2的檢測(cè)結(jié)果表明該訪問請(qǐng)求為安全訪問請(qǐng)求時(shí)，防護(hù)單元3允許客戶端訪問所述電子商務(wù)平臺(tái)；當(dāng)檢測(cè)結(jié)果表明所述訪問請(qǐng)求為惡意訪問請(qǐng)求時(shí)，防護(hù)單元攔截所述客戶端訪問所述電子商務(wù)平臺(tái)。

參見圖4示出了本發(fā)明另一個(gè)實(shí)施例公開的一種軟件信息的防護(hù)裝置的結(jié)構(gòu)示意圖。

由圖4可知，該裝置包括：信息采集單元1、安全檢測(cè)單元2、防護(hù)單元3、日志生成單元4以及日志分析單元5。

其中，信息采集單元1用于獲取客戶端發(fā)送的訪問請(qǐng)求并將獲取到的訪問請(qǐng)求發(fā)送至安全檢測(cè)單元2中。

安全檢測(cè)單元2接收信息采集單元1發(fā)送的訪問請(qǐng)求并基于預(yù)設(shè)安全檢測(cè)規(guī)則對(duì)該訪問請(qǐng)求進(jìn)行安全檢測(cè)，以確定該訪問請(qǐng)求是安全訪問請(qǐng)求還是惡意訪問請(qǐng)求。

具體的，該安全檢測(cè)單元包括：第一判斷模塊21和第二判斷單元22。

其中，第一判斷模塊21用于判斷信息采集單元1獲取到的訪問請(qǐng)求是否存在于預(yù)設(shè)白名單中。其中所述白名單用于保存多個(gè)預(yù)設(shè)安全訪問請(qǐng)求。

當(dāng)該訪問請(qǐng)求存在于上述白名單中時(shí)，則確定該訪問請(qǐng)求為安全訪問請(qǐng)求，防護(hù)單元3允許客戶端對(duì)電子商務(wù)平臺(tái)進(jìn)行訪問。

當(dāng)該訪問請(qǐng)求不存在于上述白名單時(shí)，則進(jìn)一步采用第二判斷單元22判斷該訪問請(qǐng)求是否滿足預(yù)設(shè)攔截規(guī)則。

當(dāng)該訪問請(qǐng)求滿足預(yù)設(shè)攔截規(guī)則時(shí)，確定該訪問請(qǐng)求為惡意訪問請(qǐng)求，防護(hù)單元2攔截客戶端對(duì)該電子商務(wù)平臺(tái)的訪問。

當(dāng)該訪問請(qǐng)求不滿足預(yù)設(shè)攔截規(guī)則時(shí)，則確定訪問請(qǐng)求為安全訪問請(qǐng)求，防護(hù)單元2允許客戶端對(duì)電子商務(wù)平臺(tái)的訪問。

當(dāng)安全檢測(cè)單元2的檢測(cè)結(jié)果表明該訪問請(qǐng)求為安全訪問請(qǐng)求時(shí)，防護(hù)單元3允許客戶端訪問所述電子商務(wù)平臺(tái)；當(dāng)檢測(cè)結(jié)果表明所述訪問請(qǐng)求為惡意訪問請(qǐng)求時(shí)，防護(hù)單元攔截所述客戶端訪問所述電子商務(wù)平臺(tái)。

進(jìn)一步，當(dāng)訪問單元攔截客戶端對(duì)電子商務(wù)平臺(tái)的訪問后，日志生成單元4生成對(duì)該惡意訪問請(qǐng)求的攔截日志。

攔截日志包含日志的生成和管理兩個(gè)部分。其中，對(duì)惡意訪問請(qǐng)求的攔截日志進(jìn)行記錄，其中包含訪問時(shí)間，客戶端IP，攔截類型和相應(yīng)的請(qǐng)求資源；攔截日志的管理管主要是進(jìn)行查看和刪除日志。

進(jìn)而，日志分析單元5，對(duì)攔截日志進(jìn)行分析，并基于分析結(jié)果對(duì)所述預(yù)設(shè)安全檢測(cè)規(guī)則進(jìn)行更新，保證安全檢測(cè)規(guī)則的時(shí)效性。

需要說明的是該裝置實(shí)施例與方法實(shí)施例相對(duì)應(yīng)，其執(zhí)行過程和執(zhí)行原理相同，在此不作贅述。

最后，還需要說明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來，而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個(gè)……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。

本說明書中各個(gè)實(shí)施例采用遞進(jìn)的方式描述，每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處，各個(gè)實(shí)施例之間相同相似部分互相參見即可。

對(duì)所公開的實(shí)施例的上述說明，使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對(duì)這些實(shí)施例的多種修改對(duì)本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實(shí)施例中實(shí)現(xiàn)。因此，本發(fā)明將不會(huì)被限制于本文所示的這些實(shí)施例，而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最寬的范圍。