一种自定义规则防护方法、装置、设备及可读存储介质

技术领域

本申请涉及电子技术领域，尤其涉及一种自定义规则防护方法、装置、设备及可读存储介质。

背景技术

现在的web应用安全防护基本上都是基于单一的安全检测方法或技术，例如DAST(Dynamic Application Security Testing，动态应用程序安全测试)，SAST(StaticApplication Security Testing，静态应用程序安全测试)和IAST(InteractiveApplication Security Testing，交互式应用程序安全测试)，这些技术的缺点在于：只是应用在web应用的测试和开发阶段，没法在产线上进行应用实时防护有些检测方法如SAST还需要产品的源码，这样对知识产权的代码的机密保护上存在隐私保护的问题。

目前的基于RASP形成的专利基本上都是使用WAF(webapplication fire ware)的规则匹配和硬件相结合，如基于RASP的防火墙。这些技术大部分是基于硬件相结合，从分析网络流量的角度出发，没有真正的深入到应用的代码级别，这些技术的缺点在于：安全漏洞信息来源单一化，不能全面、及时的保护web应用的安全；误报率高也是这类技术的硬伤；没法解决用户的个性化业务逻辑的需求；防护规则单一，缺乏灵活变更能力，很难扩展从而形成对0day漏洞等新型安全漏洞的防护。

发明内容

本申请实施例提供了一种自定义规则防护方法、装置、设备及可读存储介质，至少能够解决相关技中防护规则单一，缺乏灵活变更能力，无法解决用户的个性化业务需求的问题。

本申请实施例第一方面提供了一种自定义规则防护方法，包括：

在web服务器中加载RASP探针；其中，所述RASP探针为基于实时应用程序自我保护技术的安全检测探针；

通过Portal端向所述RASP探针发送自定义安全防护规则；其中，所述Portal端用于配置所述自定义安全防护规则的终端；

根据所述自定义安全防护规则对所述web服务器的访问流量进行安全检测，并将安全检测信息进行汇总；

根据汇总之后的所有所述安全检测信息对所述web服务器进行安全防护。

本申请实施例第二方面提供了一种自定义规则防护装置，包括：

加载模块，用于在web服务器中加载RASP探针；其中，所述RASP探针为基于实时应用程序自我保护技术的安全检测探针；

发送模块，用于通过Portal端向所述RASP探针发送自定义安全防护规则；其中，所述Portal端为与所述RASP探针以及所述web服务器端连接，用于配置所述自定义安全防护规则的终端；

检测模块，用于根据所述自定义安全防护规则对所述web服务器的访问流量进行安全检测，并将安全检测信息进行汇总；

防护模块，用于根据汇总之后的所有所述安全检测信息对所述web服务器进行安全防护。

本申请实施例第三方面提供了一种电子设备，其特征在于，包括存储器及处理器，其中，所述处理器用于执行存储在所述存储器上的计算机程序，所述处理器执行所述计算机程序时上述本申请实施例第一方面提供的自定义规则防护方法中的各步骤。

本申请实施例第四方面提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时，实现上述本申请实施例第一方面提供的自定义规则防护方法中的各步骤。

由上可见，根据本申请方案所提供的自定义规则防护方法、装置、设备及可读存储介质，在web服务器中加载RASP探针；其中，所述RASP探针为基于实时应用程序自我保护技术的安全检测探针；通过Portal端向所述RASP探针发送自定义安全防护规则；其中，所述Portal端用于配置所述自定义安全防护规则的终端；根据所述自定义安全防护规则对所述web服务器的访问流量进行安全检测，并将安全检测信息进行汇总；根据汇总之后的所有所述安全检测信息对所述web服务器进行安全防护。通过本申请方案的实施，在Portal端将自定义安全防护规则发送至RASP探针中，通过自定义安全防护规则检测需要防护的安全漏洞，在防护web服务器的同时，根据多变的防护规则，提高防护漏洞攻击时的灵活变更能力，解决用户的个性化业务需求。

附图说明

图1为本申请第一实施例提供的自定义规则防护方法的基本流程示意图；

图2为本申请第二实施例提供的自定义规则防护方法的细化流程示意图；

图3为本申请第三实施例提供的自定义规则防护装置的程序模块示意图；

图4为本申请第四实施例提供的电子设备的结构示意图。

具体实施方式

为使得本申请的发明目的、特征、优点能够更加的明显和易懂，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而非全部实施例。基于本申请中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

为了解决相关技术中防护规则单一，缺乏灵活变更能力，无法解决用户的个性化业务需求的问题，本申请第一实施例提供了一种自定义规则防护方法，如图1为本实施例提供的自定义规则防护方法的基本流程图，该自定义规则防护方法包括以下的步骤：

步骤101、在web服务器中加载RASP探针。

具体的，在本实施例中，RASP探针为基于实时应用程序自我保护(RASP，RuntimeApplication Self-Protection)技术的安全检测探针，RASP是一种新型应用安全保护技术，它将保护程序像疫苗一样注入到应用程序中，应用程序融为一体，能实时检测和阻断安全攻击，使应用程序具备自我保护能力，当应用程序遭受到实际攻击伤害，就可以自动对其进行防御，而不需要进行人工干预。RASP技术可以快速的将安全防御功能整合到正在运行的应用程序中，它拦截从应用程序到系统的所有调用，确保它们是安全的，并直接在应用程序内验证数据请求。Web和非Web应用程序都可以通过RASP进行保护。该技术不会影响应用程序的设计，因为RASP的检测和保护功能是在应用程序运行的系统上运行的。基于RASP技术，将RASP探针加载至web应用系统，确保RASP探针和web服务器在同一个服务器之中。传统的安全漏洞攻击防御技术通常是通过安装防火墙，而安装的防火墙不管是串联的部署模式，还是并联部署模式都需要用到用户的源代码，容易泄露保护应用的隐私，而通过RASP技术加载RASP探针则不需要使用客户源代码，能够保护私有应用的隐私。

步骤102、通过Portal端向RASP探针发送自定义安全防护规则。

具体的，在现有技术中，传统的安全漏洞攻击防护技术通常在安装的初始阶段编写防护规则，安装完成之后无法进行修改，或者需要将防护设备关掉之后进行规则修改，修改完成之后再重启设备，再此过程中存在较长的安防真空期，并且过程复杂。在本实施例中，Portal端与RASP探针以及web服务器端通信连接，用于配置自定义安全防护规则的终端，Portal端可以通过配置指令配置安全防护规则，该安全防护规则可以自定义配置，然后将配置好的安全防护规则发送到RASP探针中，基于此，RASP探针会根据相应的安全防护规则进行安全检测。

在本实施例一种可选的实施方式中，通过Portal端向RASP探针发送自定义安全防护规则的步骤之前，还包括：根据用户业务需求创建安全检测接口；通过安全检测接口配置对应于用户业务需求的自定义安全防护规则。

具体的，在本实施例中，Portal端设置有安全检测接口，初始状态下，Portal端的安全检测接口处于关闭状态，根据用户的业务需求不同，一些普通用户在安防方面并没有特殊要求，而有些用户对安防要求相对严格，或者有些用户专门开发安全漏洞防护方面的产品，同时需要向其客户展示相应功能，就需要从多维度对安全漏洞进行防护，或者直接放过某些安全漏洞，此时，根据用户的业务需求开通安全检测接口，并在安全检测接口中自定义安全防护规则，通过自定义安全防护规则，可以多维度的对安全漏洞进行防护。

在本实施例一种可选的实施方式中，通过安全检测接口配置对应于用户业务需求的自定义安全防护规则的步骤，包括：通过Portal端基于用户业务需求向安全检测接口发送自定义安全防护规则的配置指令；根据配置指令对不同安全检测接口配置不同自定义安全防护规则。

具体的，在本实施例中，当用户根据自身业务需求需要添加防护规则时，通过Portal端向安全检测接口发送自定义安全防护规则的配置指令，而在Portal端可以同时存在多个安全检测接口，不同的安全检测接口对应着不同的安全检测逻辑，也可以是不同的安全漏洞检测规则，根据配置指令对不同的安全检测接口配置不同的自定义安全防护规则，例如，检测Cookie中是否包含可执行恶意代码、进程安全检测、后台弱口令检测、数据库连接账号安全检测等，根据不同的自定义安全防护规则，可以选择是对这些安全漏洞在不同层次上进行防护。

应当说明的是，在本实施例中，当用户发现被保护产品存在安全漏洞且目前没有相应的应对措施时，可以及时通过Portal端配置与该安全漏洞相应的安全防护规则，并将相应安全防护规则发送到RASP探针中，通过检测指令控制RASP探针对该安全漏洞进行实时监测，可以有效的对0day漏洞进行阻拦，0day漏洞，是已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。

步骤103、根据自定义安全防护规则对web服务器的访问流量进行安全检测，并将安全检测信息进行汇总。

具体的，在本实施例中，Portal端通过与RASP探针的通信连接，将自定义安全防护规则发送到RASP探针中，在RASP探针对web服务器的访问流量进行实时监控分析时，根据自定义安全防护规则对访问流量进行相应的安全检测，并将安全检测信息进行汇总。

在本实施例一种可选的实施方式中，根据自定义安全防护规则对web服务器的访问流量进行安全检测的步骤，包括：根据自定义安全防护规则生成相应的检测指令；根据检测指令控制RASP探针，对web服务器的访问流量进行与自定义安全防护规则相应的安全检测。

具体的，在本实施例中，在将自定义安全防护规则发送的RASP探针之后，自定义安全防护规则会自动生成与之对应的检测指令，根据检测指令控制RASP探针对web服务器的访问流量进行与自定义安全防护规则相应的实时安全检测。应当说明的是，检测指令可以通过Portal端直接发送，即可以根据用户的实际业务需求，当需要通过自定义安全防护规则检测访问流量时，用户通过Portal端发送检测指令进行实时安全检测。

步骤104、根据汇总之后的所有安全检测信息对web服务器进行安全防护。

具体的，不管是传统的安防硬件设备还是软件设备，往往只能针对一种安全漏洞进行有效的防护。在本实施例中，在将安全检测信息汇总之后，根据所有的安全检测信息对web服务器进行安全防护。

在本实施例一种可选的实施方式中，根据汇总之后的所有安全检测信息对web服务器进行安全防护的步骤，包括：当根据自定义安全防护规则确定安全检测信息中存在相应的安全漏洞信息时，确定安全漏洞信息对应安全漏洞的漏洞特征；根据漏洞特征与国家信息安全漏洞库CVE和CNNVD进行特征匹配；当特征匹配一致时，获取匹配一致的漏洞特征相应的漏洞解决方案；根据漏洞解决方案对web服务器进行安全防护。

具体的，在本实施例中，RASP探针根据自定义安全防护规则确定安全检测信息中存在相应的安全漏洞信息，而此时还只能确定访问流量中存在需要防御的安全漏洞攻击，需要进一步确定安全漏洞信息对应安全漏洞的漏洞特征，根据漏洞特征与RASP探针中预设的国家信息安全漏洞库CVE和CNNVD进行特征匹配，其中，安全漏洞库也可以是根据用户业务需求预先设定的本地漏洞库，当特征匹配一致时，确定该安全漏洞的详细信息，并获取国家信息安全漏洞库CVE和CNNVD针对该安全漏洞提出的漏洞解决方案，根据漏洞解决方案对web服务器进行安全防护，提高对用户被保护应用的安全性。

应当说明的是，用户可以根据自身业务需求选择在安全漏洞的不同层次上进行安全防护，防护手段包括但不限于攻击阻断、攻击上报以及日志记录等，例如，从事网络安全防护设备的用户就需要查看对应安全漏洞攻击对被保护设备所造成的影响，所以在检测出存在该安全漏洞攻击时，只需要对安全漏洞攻击进行上报，时刻关注安全漏洞攻击的整个周期并记录到日志中，通过用户个性化需求选择安全漏洞的处理方式，能够更加灵活的进行安全防护。

进一步的，在本实施例一种可选的实施方式中，根据汇总之后的所有安全检测信息对web服务器进行安全防护的步骤之后，还包括：在安全漏洞信息中获取相应安全攻击在关键阶段的详细信息；将详细信息上传至后台服务器并分析安全攻击的生命周期；针对生命周期的各关键阶段，制定阻断安全攻击的防御策略。

具体的，在本实施例中，在RASP探针根据自定义安全防护规则检测出安全漏洞信息之后，首先通过Portal端收集对应安全攻击在关键阶段的详细信息，在将所收集到的安全攻击在关键阶段的详细信息上传至web服务器，并观察分析整个安全漏洞的生命周期，根据生命周期中各个关键阶段制定阻断安全攻击的防御策略。

在本实施例一种可选的实施方式中，针对生命周期的各关键阶段，制定阻断安全攻击的防御策略的步骤之后，还包括：将安全漏洞信息以及防御策略实时上传至Portal端；通过Portal端的配置指令，将安全漏洞信息以及防御策略通过安全检测接口配置到相应自定义安全防护规则中；在RASP探针根据检测指令检测时，若检测到与防御策略对应的安全漏洞攻击，则直接对安全漏洞攻击进行安全防护。

具体的，在本实施例中，在对web服务器进行有效的安全防护之后，将汇总的安全漏洞信息以及防御策略汇报给Portal端，Portal端通过安全检测接口的配置指令，将汇总的安全漏洞信息以及防御策略配置到相应的自定义安全防护规则中，RASP探针会根据重新配置后的自定义安全防护规则对web服务器进行实时检测，若检测到自定义安全防护规则中需要防护的安全漏洞攻击时，通过对应的防御策略直接对安全漏洞攻击进行安全防护，能够有效提高RASP探针的检测效率。

基于上述申请的实施例方案，在web服务器中加载RASP探针；其中，RASP探针为基于实时应用程序自我保护技术的安全检测探针；通过Portal端向RASP探针发送自定义安全防护规则；其中，Portal端用于配置自定义安全防护规则的终端；根据自定义安全防护规则对web服务器的访问流量进行安全检测，并将安全检测信息进行汇总；根据汇总之后的所有安全检测信息对web服务器进行安全防护。通过本申请方案的实施，在Portal端将自定义安全防护规则发送至RASP探针中，通过自定义安全防护规则检测需要防护的安全漏洞，在防护web服务器的同时，根据多变的防护规则，提高防护漏洞攻击时的灵活变更能力，解决用户的个性化业务需求。

图2中的方法为本申请第二实施例提供的一种细化的自定义规则防护方法，该自定义规则防护方法包括：

步骤201、在web服务器中加载RASP探针。

步骤202、根据用户服务器的安全等级设置Portal端。

步骤203、当根据用户业务需求需要针对不同的安全漏洞进行安全检测时，在Portal端创建安全检测接口，并通过Portal端向安全检测接口发送自定义安全防护规则的配置指令。

步骤204、根据配置指令对不同安全检测接口配置不同自定义安全防护规则。

步骤205、将配置完成的自定义安全防护规发送至RASP探针。

步骤206、根据与自定义安全防护规则相应的检测指令，控制RASP探针对web服务器的访问流量进行安全检测，并将安全检测信息进行汇总。

步骤207、根据汇总之后的所有安全检测信息对相应的安全漏洞进行不同层次的安全防护。

根据本申请方案所提供的自定义规则防护方法，在web服务器中加载RASP探针；根据用户服务器的安全等级设置Portal端；当根据用户业务需求需要针对不同的安全漏洞进行安全检测时，在Portal端创建安全检测接口，并通过Portal端向安全检测接口发送自定义安全防护规则的配置指令；根据配置指令对不同安全检测接口配置不同自定义安全防护规则；将配置完成的自定义安全防护规发送至RASP探针；根据与自定义安全防护规则相应的检测指令，控制RASP探针对web服务器的访问流量进行安全检测，并将安全检测信息进行汇总；根据汇总之后的所有安全检测信息对相应的安全漏洞进行不同层次的安全防护。通过本申请方案的实施，对Portal端上不同安全检测接口配置对应于用户业务需求的不同自定义安全防护规则，在防护web服务器的同时，根据多变的防护规则，提高防护漏洞攻击时的灵活变更能力，解决用户的个性化业务需求。

图3为本申请第三实施例提供的一种自定义规则防护装置，该自定义规则防护装置可用于实现前述实施例中的自定义规则防护方法。如图3所示，该自定义规则防护装置主要包括：

加载模块301，用于在web服务器中加载RASP探针；其中，RASP探针为基于实时应用程序自我保护技术的安全检测探针；

发送模块302，用于通过Portal端向RASP探针发送自定义安全防护规则；其中，Portal端为与RASP探针以及web服务器端连接，用于配置自定义安全防护规则的终端；

检测模块303，用于根据自定义安全防护规则对web服务器的访问流量进行安全检测，并将安全检测信息进行汇总；

防护模块304，用于根据安全检测信息对web服务器进行多维度安全防护。

在本实施例一种可选的实施方式中，该自定义规则防护装置还包括：创建模块、配置模块。创建模块用于：根据用户业务需求创建安全检测接口。配置模块用于：通过安全检测接口配置对应于用户业务需求的自定义安全防护规则。

进一步的，在本实施例一种可选的实施方式中，配置模块具体用于：通过Portal端基于用户业务需求向安全检测接口发送自定义安全防护规则的配置指令；根据配置指令对不同安全检测接口配置不同自定义安全防护规则。

在本实施例一种可选的实施方式中，检测模块具体用于：根据自定义安全防护规则生成相应的检测指令；根据检测指令控制RASP探针，对web服务器的访问流量进行与自定义安全防护规则相应的安全检测。

在本实施例一种可选的实施方式中，防护模块具体用于：当根据自定义安全防护规则确定安全检测信息中存在相应的安全漏洞信息时，确定安全漏洞信息对应安全漏洞的漏洞特征；根据漏洞特征与国家信息安全漏洞库CVE和CNNVD进行特征匹配；当特征匹配一致时，获取匹配一致的漏洞特征相应的漏洞解决方案；根据漏洞解决方案对web服务器进行安全防护。

进一步的，在本实施例一种可选的实施方式中，该自定义规则防护装置还包括：获取模块、上传模块、制定模块。获取模块用于：在安全漏洞信息中获取相应安全攻击在关键阶段的详细信息。上传模块用于：将详细信息上传至后台服务器并分析安全攻击的生命周期。制定模块用于：针对生命周期的各关键阶段，制定阻断安全攻击的防御策略。

再进一步的，在本实施例一种可选的实施方式中，上传模块还用于：将安全漏洞信息以及防御策略实时上传至Portal端。配置模块还用于：通过Portal端的配置指令，将安全漏洞信息以及防御策略通过安全检测接口配置到相应自定义安全防护规则中。防护模块还用于：在RASP探针根据检测指令检测时，若检测到与防御策略对应的安全漏洞攻击，则直接对安全漏洞攻击进行安全防护。

根据本申请方案所提供的自定义规则防护装置，在web服务器中加载RASP探针；其中，RASP探针为基于实时应用程序自我保护技术的安全检测探针；通过Portal端向RASP探针发送自定义安全防护规则；其中，Portal端用于配置自定义安全防护规则的终端；根据自定义安全防护规则对web服务器的访问流量进行安全检测，并将安全检测信息进行汇总；根据汇总之后的所有安全检测信息对web服务器进行安全防护。通过本申请方案的实施，在Portal端将自定义安全防护规则发送至RASP探针中，通过自定义安全防护规则检测需要防护的安全漏洞，在防护web服务器的同时，根据多变的防护规则，提高防护漏洞攻击时的灵活变更能力，解决用户的个性化业务需求。

图4为本申请第四实施例提供的一种电子设备。该电子设备可用于实现前述实施例中的自定义规则防护方法，主要包括：

存储器401、处理器402及存储在存储器401上并可在处理器402上运行的计算机程序403，存储器401和处理器402通过通信连接。处理器402执行该计算机程序403时，实现前述实施例中的自定义规则防护方法。其中，处理器的数量可以是一个或多个。

存储器401可以是高速随机存取记忆体(RAM，Random Access Memory)存储器，也可为非不稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器401用于存储可执行程序代码，处理器402与存储器401耦合。

进一步的，本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质可以是设置于上述各实施例中的电子设备中，该计算机可读存储介质可以是前述图4所示实施例中的存储器。

该计算机可读存储介质上存储有计算机程序，该程序被处理器执行时实现前述实施例中的自定义规则防护方法。进一步的，该计算机可存储介质还可以是U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个可读存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的可读存储介质包括：U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

需要说明的是，对于前述的各方法实施例，为了简便描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定都是本申请所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。

以上为对本申请所提供的自定义规则防护方法、装置、设备及可读存储介质的描述，对于本领域的技术人员，依据本申请实施例的思想，在具体实施方式及应用范围上均会有改变之处，综上，本说明书内容不应理解为对本申请的限制。