应用防御方法、装置、设备、介质和程序产品与流程

1.本公开涉及信息安全领域，更具体地，涉及一种应用防御方法、装置、设备、介质和程序产品。


背景技术：

2.随着互联网技术的发展，黑客针对应用系统的攻击行为也变得较为频繁，所以网络安全问题值得重视。上述攻击行为是指对应用系统任何类型的攻击动作，例如在没有得到授权的情况下破坏、劫持或修改应用系统。相关技术中，可以利用专门防护设备快速发现并阻断攻击行为。例如利用应用防火墙等设备，在应用层面进行攻击行为检测。
3.在实现本公开构思的过程中，发明人发现相关技术中至少存在以下问题：应用系统的防御依赖于防护设备，当访问请求高并发时，防护设备可能处理能力不足，容易出现访问请求堵塞而影响访问性能。


技术实现要素：

4.鉴于上述问题，本公开提供了一种应用本身可实现攻击防御的方法、装置、设备、介质和程序产品。
5.本公开实施例的一个方面，提供了一种应用防御方法，用于应用服务端，包括：接收访问所述应用服务端的请求报文，其中，所述请求报文中包括发起访问的客户端的第一网络地址；基于第一检测规则检测所述请求报文中的攻击内容，其中，所述攻击内容包括对所述应用服务端产生攻击行为的内容；在所述请求报文中包括所述攻击内容的情况下，运行请求处理函数中的攻击防御代码封禁所述第一网络地址，其中，所述攻击防御代码通过字节码插桩的方式插入至所述请求处理函数中。
6.根据本公开的实施例，还包括：将所述第一网络地址加入至黑名单列表，其中，所述黑名单列表包括至少一条黑名单地址；和/或将所述第一网络地址发送至防御服务端，其中，所述防御服务端用于与n个所述应用服务端进行通信连接，n为大于或等于1的整数。
7.根据本公开的实施例，还包括：接收所述防御服务端发送的第二网络地址；将所述第二网络地址更新至所述黑名单列表。
8.根据本公开的实施例，还包括：接收所述防御服务端发送的第二检测规则；基于所述第二检测规则更新所述第一检测规则。
9.根据本公开的实施例，包括：通过字节码插桩的方式将攻击判断代码插入至所述请求处理函数；其中，所述基于第一检测规则检测所述请求报文中的攻击内容，其中，所述攻击内容包括对所述应用服务端产生攻击行为的内容包括：运行所述攻击判断代码检测所述攻击内容，其中，所述攻击判断代码用于执行所述第一检测规则。
10.根据本公开的实施例，所述运行所述攻击判断代码检测所述攻击内容包括：将所述第一网络地址与黑名单列表中的黑名单地址进行匹配，其中，所述黑名单列表包括至少一条所述黑名单地址；和/或将所述请求报文中的报文字段与预设攻击字段进行匹配。
11.根据本公开的实施例，包括：通过字节码插桩的方式将内容获取代码插入至所述请求处理函数；在封禁所述第一网络地址之前，还包括：运行所述内容获取代码获取所述第一网络地址和/或所述攻击内容。
12.本公开实施例的另一方面提供了一种应用防御方法，用于防御服务端，所述防御服务端用于与n个应用服务端进行通信连接，n为大于或等于1的整数，所述方法包括：接收第一应用服务端发送的攻击处理信息，其中，所述第一应用服务端为n个所述应用服务端中的任一个，所述攻击处理信息包括所述第一应用服务端封禁的第一网络地址；其中，所述第一应用服务端被配置为执行以下操作：接收访问所述第一应用服务端的请求报文，其中，所述请求报文中包括发起访问的客户端的所述第一网络地址；基于第一检测规则检测所述请求报文中的攻击内容，其中，所述攻击内容包括对所述应用服务端产生攻击行为的内容；在所述请求报文中包括所述攻击内容的情况下，运行请求处理函数中的攻击防御代码封禁所述第一网络地址，其中，所述攻击防御代码通过字节码插桩的方式插入至所述请求处理函数中。
13.根据本公开的实施例，还包括：将所述第一网络地址发送至第二应用服务端，其中，所述第二应用服务端被配置为将所述第一网络地址加入至黑名单列表，所述第二应用服务端为n个所述应用服务端中除所述第一应用服务端之外的任一个，所述黑名单列表包括至少一条黑名单地址。
14.根据本公开的实施例，还包括：向n个所述应用服务端发送第二网络地址，其中，n个所述应用服务端被配置为将所述第二网络地址加入至黑名单列表，所述第二网络地址包括直接在所述防御服务端加入的地址，所述黑名单列表包括至少一条黑名单地址。
15.根据本公开的实施例，还包括：向n个所述应用服务端发送第二检测规则，其中，n个所述应用服务端被配置为基于所述第二检测规则更新所述第一检测规则。
16.本公开实施例的另一方面提供了一种应用防御装置，用于应用服务端，包括：请求接收模块，用于接收访问所述应用服务端的请求报文，其中，所述请求报文中包括发起访问的客户端的第一网络地址；攻击检测模块，用于基于第一检测规则检测所述请求报文中的攻击内容，其中，所述攻击内容包括对所述应用服务端产生攻击行为的内容；地址封禁模块，用于在所述请求报文中包括所述攻击内容的情况下，运行请求处理函数中的攻击防御代码封禁所述第一网络地址，其中，所述攻击防御代码通过字节码插桩的方式插入至所述请求处理函数中。
17.本公开实施例的另一方面提供了一种应用防御装置，用于防御服务端，所述防御服务端用于与n个应用服务端进行通信连接，n为大于或等于1的整数，所述装置包括：信息接收模块，用于接收第一应用服务端发送的攻击处理信息，其中，所述第一应用服务端为n个所述应用服务端中的任一个，所述攻击处理信息包括所述第一应用服务端封禁的第一网络地址；其中，所述第一应用服务端被配置为执行以下操作：接收访问所述第一应用服务端的请求报文，其中，所述请求报文中包括发起访问的客户端的所述第一网络地址；基于第一检测规则检测所述请求报文中的攻击内容，其中，所述攻击内容包括对所述应用服务端产生攻击行为的内容；在所述请求报文中包括所述攻击内容的情况下，运行请求处理函数中的攻击防御代码封禁所述第一网络地址，其中，所述攻击防御代码通过字节码插桩的方式插入至所述请求处理函数中。
18.本公开实施例的另一方面提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得一个或多个处理器执行如上所述的方法。
19.本公开实施例的另一方面还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行如上所述的方法。
20.本公开实施例的另一方面还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现如上所述的方法。
21.上述一个或多个实施例具有如下有益效果：
22.相比于利用专门防护设备对攻击进行防御的方式，本公开实施例可以利用字节码插桩技术，将攻击防御代码插入请求处理函数中，若基于第一检测规则检测到请求报文中存在攻击内容，则运行攻击防御代码封禁请求报文中的网络地址，从而令应用本身具有防御功能，不再依赖于专门防护设备，避免了依赖外在安全设备防护可能存在的访问性能问题。
附图说明
23.通过以下参照附图对本公开实施例的描述，本公开的上述内容以及其他目的、特征和优点将更为清楚，在附图中：
24.图1示意性示出了根据本公开实施例的应用防御方法的应用场景图；
25.图2示意性示出了根据本公开实施例的用于应用服务端的应用防御方法的流程图；
26.图3示意性示出了根据本公开实施例的字节码插桩的示意图；
27.图4示意性示出了根据本公开实施例的获取报文内容的流程图；
28.图5示意性示出了根据本公开实施例的检测攻击内容的流程图；
29.图6示意性示出了根据本公开实施例的用于防御服务端的应用防御方法的流程图；
30.图7示意性示出了根据本公开的另一实施例的多方交互执行应用防御方法的流程图；
31.图8示意性示出了根据本公开实施例的用于应用服务端的应用防御装置的结构框图；
32.图9示意性示出了根据本公开实施例的用于防御服务端的应用防御装置的结构框图；
33.图10示意性示出了根据本公开实施例的适于实现应用防御方法的电子设备的方框图。
具体实施方式
34.以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免
不必要地混淆本公开的概念。
35.在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
36.在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。
37.在使用类似于“a、b和c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。
38.为了便于理解本技术的技术方案，下面对本技术涉及的一些技术术语进行介绍。
39.客户端：又称为用户端，是指与服务端相对应，为用户提供应用服务的程序。其可以安装在用户的终端设备上，例如以应用安装包(application)的形式安装在智能手机上，或者以浏览器客户端的形式运行web网页。
40.应用服务端：可以部署在应用服务器上。利用为应用程序提供业务逻辑的代码，来实现应用服务。其提供了访问机制以供客户端使用，从而与客户端配合满足用户的需求。
41.请求报文：客户端发起的访问请求包括http(hyper text transfer protocol，超文本传输协议)请求或https(hyper text transfer protocol over securesocket layer)请求。请求报文即为访问请求发送的报文。例如http报文内容可以包括请求头(header)和实体(body)，其中，请求头(header)中包括起始行和头部字段，实体即为消息正文。客户端是访问请求的发起方，应用服务端是访问请求的应答方。
42.请求处理函数：应用服务端中用于处理访问请求，解析请求报文并返回响应信息的函数。该函数由根据编程语言(如c、c 、go、java或python等语言)编写的至少一条业务代码组成。
43.代码：根据编程语言编写的计算机语言指令，可以被计算机执行。
44.防御服务端：用于与应用服务端进行交互，例如接收封禁的网络地址，或发送网络地址、检测规则等。并管理一个或多个应用服务端的防御服务。其中，应用服务端利用内容获取代码、攻击判断代码和攻击防御代码等代码的执行实现防御功能。
45.字节码插桩：例如将一段代码通过某种策略(如java agent、javassist等)插入到另一段代码中，或替换另一段代码，以实现字节码增强。不同于在客户端的插桩或二进制插桩，本公开实施例的字节码插桩在应用服务端实现代码插桩。
46.随着网络安全发展，如何快速发现并阻断攻击行为是安全防护领域的重要问题。一般的应用防御方法可以利用防火墙、ips(intrusion prevention system，入侵防御系统)等设备，在网络层进行检测，发现攻击行为将在防火墙或ips上进行封禁，此类方法无法实现针对加密流量的检测。还可以利用应用防火墙等设备，在应用层面进行检测。不过应用防火墙等设备容易出现访问性能问题，导致防护失效。另外，随着云计算发展，很多应用部署在云环境，防护设备的部署变得较为困难。
47.本公开的实施例提供了一种用于应用服务端的应用防御方法、装置、设备、介质和
程序产品。相比于利用专门防护设备对攻击进行防御的方式，本公开实施例可以利用字节码插桩技术，将攻击防御代码插入请求处理函数中，若基于第一检测规则检测到请求报文中存在攻击内容，则运行攻击防御代码封禁请求报文中的网络地址，从而令应用本身具有防御功能，不再依赖于专门防护设备，避免了依赖外在安全设备防护可能存在的访问性能问题。
48.本公开的实施例还提供了一种用于防御服务端的应用防御方法、装置、设备、介质和程序产品。利用防御服务端通信连接至少一个应用服务端，可以管理一个或多个应用服务端的防御情况，提高应用服务端整体的防御能力。
49.图1示意性示出了根据本公开实施例的应用防御方法的应用场景图。
50.如图1所示，根据该实施例的应用场景100可以包括n个第一服务器(如服务器111～11n)，第二服务器120，网络131和132，终端设备141、142和143。网络131用以在终端设备141、142和143和任一个第一服务器之间提供通信链路的介质。网络132用以在第二服务器120和任一个第一服务器之间提供通信链路的介质。网络131和132可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
51.用户可以使用终端设备141、142和143通过网络131与任一个第一服务器交互，以接收或发送消息等。终端设备141、142和143上可以安装有各种客户端应用，例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。在一些实施例中，用户可以使用终端设备141、142和143通过网络131、132与第二服务器120交互，在此不做赘述。
52.终端设备141、142和143可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
53.第一服务器或第二服务器120可以是提供各种服务的服务器，例如对用户利用终端设备141、142和143所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理，并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
54.根据本公开的实施例，任一个第一服务器中可以部署应用服务端。n个第一服务器可以是基于分布式架构为一个应用系统提供服务，还可以是部署不同应用系统的服务端。第二服务器120中可以部署防御服务端。
55.应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。
56.以下将基于图1描述的场景，通过图2～图7对本公开实施例的应用防御方法进行详细描述。
57.图2示意性示出了根据本公开实施例的用于应用服务端的应用防御方法的流程图。
58.如图2所示，该实施例的应用防御方法包括操作s210～操作s240。
59.在操作s210，接收访问应用服务端的请求报文，其中，请求报文中包括发起访问的客户端的第一网络地址。
60.示例性地，应用服务端可以接收多个客户端的访问。第一网络地址为该次访问的客户端的ip地址(internet protocol address)。
61.在操作s220，基于第一检测规则检测请求报文中的攻击内容，其中，所述攻击内容包括对所述应用服务端产生攻击行为的内容。
62.示例性地，请求报文的请求头(header)和实体(body)中包括多个字段，如请求方法字段、url字段、版本字段等，或由一个或多个字段组成的计算机执行指令。对请求报文中的多个字段进行检测来判断是否有攻击内容。
63.在一些实施例中，请求报文内容的获取可以是其他服务或设备执行，第一检测规则也可以是由其他服务或设备执行。例如，在应用服务端之前设置请求拦截服务，获取到内容并交由应用服务端检测之后，确定是否有攻击内容。
64.在一些实施例中，应用服务端接收到访问请求后，可以先发送至防御服务端，由防御服务端执行检测后，再根据检测结果执行攻击行为处理。
65.在操作s230，在请求报文中包括攻击内容的情况下，运行请求处理函数中的攻击防御代码封禁第一网络地址，其中，攻击防御代码通过字节码插桩的方式插入至请求处理函数中。
66.示例性地，攻击防御代码由至少一条代码组成，其具有对攻击行为进行处理的功能。例如，封禁第一网络地址可以是拦截该地址的访问流量，阻止该ip发起对客户端的进一步扫描，保护应用的安全运行。进一步地，可以是中断对请求报文的处理，直接返回404状态码(服务不可用)，阻止请求的进一步处理。还可以将第一网络地址加入黑名单中。
67.示例性地，请求处理函数可以由用户自定义，也可以使用规范代码库中提供的函数。在一些实施例中，可以插入至规范代码库提供的函数中。其作用在于，规范代码库提供的函数具有统一函数名称和结构，便于提高插桩成功率。
68.相比于利用额外的防护设备进行应用防御，本公开的实施例可以利用字节码插桩技术，将攻击防御代码插入请求处理函数中，若基于第一检测规则检测到请求报文中存在攻击内容，则运行攻击防御代码封禁请求报文中的网络地址，从而令应用本身具有防御功能，不再依赖于专门防护设备，避免了依赖外在防护设备可能存在的访问性能问题。
69.图3示意性示出了根据本公开实施例的字节码插桩的示意图。图4示意性示出了根据本公开实施例的获取报文内容的流程图。
70.如图4所示，该实施例的获取报文内容包括操作s410～操作s420。
71.在操作s410，通过字节码插桩的方式将内容获取代码插入至请求处理函数。
72.在操作s230中封禁第一网络地址之前，可以执行操作s420，运行内容获取代码获取第一网络地址和/或攻击内容。
73.参照图3，内容获取代码可以包括http请求信息获取代码和客户端ip获取代码。其中，http请求信息获取代码可以获取到请求报文中的除ip地址之外的字段(包括请求的url、http请求头、http请求体等信息)，从而可以运行检测该些字段获取到攻击内容。
74.在一些实施例中，客户端ip获取代码可以获取到第一网络地址。例如，客户端ip获取代码首先判断请求中是否存在特定的头信息，一般请求在经过代理软件转发后，会添加特定头来附加真实ip地址，当然，如果通过了多级反向代理的话，ip可能是一组值，此时取第一个ip才是真实ip。若不存在ip头信息，则通过getremoteaddr()方法获取ip地址。
75.根据本公开的实施例，通过字节码插桩的方式插入内容获取代码，可以有效获得每次的访问信息，便于快速定位攻击行为，提供响应效率。即使在高并发的情况下，基于服
务端本身的服务器资源运行代码获取请求报文的内容，也能避免因防护设备性能不足导致的阻塞问题。
76.图5示意性示出了根据本公开实施例的检测攻击内容的流程图。
77.如图5所示，该实施例的检测攻击内容包括操作s510～操作s520。
78.在操作s510，通过字节码插桩的方式将攻击判断代码插入至请求处理函数。
79.参照图3，可以将攻击判断代码插入至现有应用中的代码，如服务端的http请求处理函数。在操作s230中的攻击防御代码可以包括ip封禁代码，也是由字节码插桩的方式插入现有应用中的代码。
80.操作s220中基于第一检测规则检测请求报文中的攻击内容可以包括操作s520。在操作s520，运行攻击判断代码检测攻击内容，其中，攻击判断代码用于执行第一检测规则。
81.示例性地，攻击判断代码也是由至少一条代码组成。该些代码的执行逻辑即包括第一检测规则的逻辑。在一些实施例中，攻击判断代码根据提取出的http请求的url、body体信息，执行第一检测规则进行攻击行为比对。
82.在一些实施例中，攻击判断代码可以调用模拟环境，执行第一检测规则包括模拟处理请求报文，并对处理后的结果进行判断是否存在不良因素。模拟环境可以是与应用服务端相同的执行逻辑。
83.在另一些实施例中，执行第一检测规则包括差异性分析。具体地，将请求报文中的内容与预设的报文模板进行对比，判断是否存在差异。若报文模板为无攻击模板，若存在差异则检测差异部分，或直接封禁。若报文模板为攻击模板，若不存在差异则直接封禁。
84.在另一些实施例中，攻击判断代码可以调用预先训练的神经网络模型，执行第一检测规则包括将请求报文的内容输入至神经网络模型中，得到该模型对请求报文的分类结果，如攻击报文或非攻击报文。
85.根据本公开的实施例，可以利用插桩技术实现字节码增强，并结合内容获取代码、攻击判断代码和攻击防御代码的综合应用，可以快速定位攻击行为，同时针对攻击ip进行实时的阻断，提高响应效率。一方面，可以突破传统网络层检测的限制，通过检测应用层访问请求，实现对加密流量(https)的攻击检测，检测准确性更高。另一方面，无需借助外在安全防护工具，应用自身即可注入攻击检测和恶意ip的封禁功能，实现了内容获取、检测和封禁的实时性和一体化。
86.根据本公开的实施例，运行攻击判断代码检测攻击内容包括：将第一网络地址与黑名单列表中的黑名单地址进行匹配，其中，黑名单列表包括至少一条黑名单地址。
87.示例性，第一检测规则可以包括黑名单比对规则。若当前请求的客户端ip地址命中黑名单，则直接返回404状态码，阻止请求的进一步处理。
88.在一些实施例中，执行第一检测规则包括基于对输入结构和语法的分析，实现攻击行为检测。还可以将相关字段与一个正则表达式(该正则表达式包括检测逻辑)进行关联。例如利用正则对比的方式将请求报文中的报文字段与预设攻击字段进行匹配。
89.示例性地，攻击行为包括文件遍历(如请求中出现../../../../)，sql注入(如请求中出现1’or
‘1’
＝’1)，文件上传(如请求头类型为content-type：multipart/form-data且请求体中包含常见木马特征)或xss攻击(如请求中出现恶意javascript代码)等等攻击特征，若请求匹配成功预设攻击字段，则判定为攻击请求，记录下当前请求的客户端ip，并
执行封禁。
90.图6示意性示出了根据本公开实施例的用于防御服务端的应用防御方法的流程图。
91.如图6所示，该实施例的应用防御方法包括操作s610～操作s640。其中，防御服务端用于与n个应用服务端进行通信连接，通信连接是指防御服务端和n个应用服务端之间可以利用网络实现信息交互。
92.在操作s610，接收第一应用服务端发送的攻击处理信息，其中，第一应用服务端为n个应用服务端中的任一个，攻击处理信息包括第一应用服务端封禁的第一网络地址。其中，第一应用服务端可以执行图2～图5描述的任一实施例的应用防御方法来封禁第一网络地址，在此不做赘述。
93.在一些实施例中，防御服务端可以将攻击处理信息进行展示，便于相关人员直观的了解各个应用服务端遭遇到的攻击行为。
94.示例性地，攻击处理信息还可以包括第一应用服务端所在的应用服务器的运行信息，例如第一应用服务端与防御服务端保持心跳连接。心跳连接负责将应用服务器实时信息，以及实时ip封禁信息，以一定的频率上送至防御服务端。心跳信息的存在，代表应用及插桩代码是存活状态，没有出现宕机等问题，而心跳中带有的应用服务器实时运行信息及ip实时封禁信息，可以反映出应用服务器的负载情况与攻击拦截情况。
95.示例性地，防御服务端负责管理各应用服务端上送的心跳信息和实时ip封禁信息。多个应用服务端上送的信息由防御服务端统一管理。用户在防御服务端上，可以看到每个应用服务端所在服务器的运行状态、攻击ip地址、攻击ip发送的恶意请求流量、ip封禁时间等信息，直观的展示应用实时运行信息与防御执行状态。
96.根据本公开的实施例，利用防御服务端通信连接至少一个应用服务端，可以管理一个或多个应用服务端的防御情况，提高应用服务端整体的防御能力。
97.在操作s620，将第一网络地址发送至第二应用服务端，其中，第二应用服务端被配置为将第一网络地址加入至黑名单列表，第二应用服务端为n个应用服务端中除第一应用服务端之外的任一个。
98.根据本公开的实施例，将某个应用服务端发现的攻击地址进行共享，其他应用服务端若接收到来自该地址的请求，可以在匹配到黑名单后直接封禁，无需再运行攻击判断代码，节省了计算资源，提高了整体防御能力。
99.在操作s630，向n个应用服务端发送第二网络地址，其中，n个应用服务端被配置为将第二网络地址加入至黑名单列表，第二网络地址包括直接在防御服务端加入的地址。
100.在一些实施例中，还可以直接在防御服务端加入第二网络地址。防御服务端可以将第二网络地址发送至n个应用服务端，令各个应用服务端接收防御服务端发送的第二网络地址，并将第二网络地址更新至黑名单列表。其作用在于，各个应用服务端不再局限于本身的攻击判断能力，例如可以及时接收网络上发现的攻击地址并实现快速防御。
101.在操作s640，向n个应用服务端发送第二检测规则，其中，n个应用服务端被配置为基于第二检测规则更新第一检测规则。
102.在一些实施例中，第一检测规则可以是一条或多条，相应的第二检测规则可以是一条或多条。更新第一检测规则可以是将第二检测规则作为新增的第一检测规则，也可以
是替代部分或全部原有的第一检测规则。
103.根据本公开的实施例，可以利用防御服务端统一更新检测规则，避免每个应用服务端各自管理检测规则导致的规则不统一而防御能力不一致或相关人员维护多个应用服务端容易导致遗漏等情况。
104.需要说明的是，虽然上述依次对操作s610～操作s640进行了描述，但是本公开并不限定各个操作的先后顺序。各个操作执行可以同时执行也可以相独立的先后执行。
105.图7示意性示出了根据本公开的另一实施例的多方交互执行应用防御方法的流程图。
106.如图1所示，该实施例的应用防御方法可以由客户端、第一应用服务端、防御服务端和第二应用服务端交互执行，可以包括操作s701～操作s712。
107.在操作s701，客户端向第一应用服务端发起访问请求。
108.在操作s702，在第一应用服务端加载插桩代码。其中，插桩代码可以包括内容获取代码、攻击判断代码和攻击防御代码。
109.在操作s703，运行内容获取代码获取请求报文内容。
110.在操作s704，运行内容获取代码获取客户端ip地址。
111.在操作s705，判断请求报文中是否有攻击内容。若否，则执行操作s706，若是，则执行操作s707。
112.在操作s706，处理请求报文并返回响应信息。
113.在操作s707，将客户端ip地址加入黑名单返回404状态码，并发送至防御服务端。
114.在操作s708，防御服务端将客户端ip地址发送至第二应用服务端，令第二应用服务端将该ip地址加入至黑名单列表。
115.在操作s709，防御服务端将本地新增的ip地址发送至第二应用服务端，令第二应用服务端将该ip地址加入至黑名单列表。
116.在操作s710，防御服务端将本地新增的ip地址发送至第一应用服务端，令第一应用服务端将该ip地址加入至黑名单列表。
117.在操作s711，防御服务端将本地新增的攻击检测规则发送至第二应用服务端，令第二应用服务端进行更新。
118.在操作s712，防御服务端将本地新增的攻击检测规则发送至第一应用服务端，令第一应用服务端进行更新。
119.根据本公开的实施例，可以监控应用系统遭遇的恶意攻击，并对发起攻击的ip进行实时封禁。具体地，利用字节码插桩的方式，对应用接收的每一条请求信息进行检测，当判断请求信息中包含攻击特征时，启动ip封禁功能，将请求对应的客户端ip列入黑名单，并阻止黑名单中的ip流量继续访问被保护应用。同时将被拦截的ip地址、攻击请求信息、封禁时间等信息上送至防御服务端。防御服务端负责管理多个应用服务端，并将拦截信息实时整理入库并展示给用户。
120.需要说明的是，虽然上述依次对操作s701～操作s712进行了描述，但是本公开并不限定各个操作的先后顺序。各个操作执行可以同时执行也可以相独立的先后执行。
121.基于上述应用防御方法，本公开还提供了应用防御装置。以下将结合图8和图9对该装置进行详细描述。
122.图8示意性示出了根据本公开实施例的用于应用服务端的应用防御装置的结构框图。
123.如图8所示，该实施例的应用防御装置800可以包括请求接收模块810、攻击检测模块820和地址封禁模块830。
124.请求接收模块810可以执行操作s210，用于接收访问应用服务端的请求报文，其中，请求报文中包括发起访问的客户端的第一网络地址。
125.攻击检测模块820可以执行操作s220，用于基于第一检测规则检测请求报文中的攻击内容，其中，攻击内容包括对应用服务端产生攻击行为的内容。
126.地址封禁模块830可以执行操作s230，用于在请求报文中包括攻击内容的情况下，运行请求处理函数中的攻击防御代码封禁第一网络地址，其中，攻击防御代码通过字节码插桩的方式插入至请求处理函数中。
127.根据本公开的实施例，应用防御装置800还可以包括字节码插桩模块，用于通过字节码插桩的方式将攻击判断代码、内容获取代码和攻击防御代码中的至少一个插入至请求处理函数。
128.根据本公开的实施例，应用防御装置800还可以包括信息采集模块，用于采集应用服务器的实时运行信息，如cpu使用率、内存使用情况等信息。还可以用于运行内容获取代码，获取第一网络地址和/或攻击内容。
129.根据本公开的实施例，应用防御装置800还可以包括心跳保持模块，用于将采集到的应用服务器实时信息，以及实时ip封禁信息，以一定的频率上送至防御服务端。
130.根据本公开的实施例，应用防御装置800还可以包括地址接收模块，用于接收防御服务端发送的第二网络地址。将第二网络地址更新至黑名单列表。
131.根据本公开的实施例，应用防御装置800还可以包括规则接收模块，用于接收防御服务端发送的第二检测规则。基于第二检测规则更新第一检测规则。
132.图9示意性示出了根据本公开实施例的用于防御服务端的应用防御装置的结构框图。
133.如图9所示，该实施例的应用防御装置900可以包括信息接收模块910。
134.信息接收模块910可以执行操作s610，用于接收第一应用服务端发送的攻击处理信息，其中，第一应用服务端为n个应用服务端中的任一个，攻击处理信息包括第一应用服务端封禁的第一网络地址。其中，第一应用服务端可以执行操作s210～操作s230。
135.根据本公开的实施例，应用防御装置900还可以包括发送模块，发送模块用于将第一网络地址发送至第二应用服务端，向n个应用服务端发送第二网络地址或向n个应用服务端发送第二检测规则。
136.需要说明的是，装置部分实施例中各模块/单元/子单元等的实施方式、解决的技术问题、实现的功能、以及达到的技术效果分别与方法部分实施例中各对应的步骤的实施方式、解决的技术问题、实现的功能、以及达到的技术效果相同或类似，在此不再赘述。
137.根据本公开的实施例，应用防御装置800或应用防御装置900中的任意多个模块可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。
138.根据本公开的实施例，应用防御装置800或应用防御装置900中的至少一个模块可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，应用防御装置800或应用防御装置900中的至少一个模块可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
139.图10示意性示出了根据本公开实施例的适于实现应用防御方法的电子设备的方框图。
140.如图10所示，根据本公开实施例的电子设备1000包括处理器1001，其可以根据存储在只读存储器(rom)1002中的程序或者从存储部分1008加载到随机访问存储器(ram)1003中的程序而执行各种适当的动作和处理。处理器1001例如可以包括通用微处理器(例如cpu)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))等等。处理器1001还可以包括用于缓存用途的板载存储器。处理器1001可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
141.在ram 1003中，存储有电子设备1000操作所需的各种程序和数据。处理器1001、rom 1002以及ram 1003通过总线1004彼此相连。处理器1001通过执行rom 1002和/或ram 1003中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除rom 1002和ram 1003以外的一个或多个存储器中。处理器1001也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
142.根据本公开的实施例，电子设备1000还可以包括输入/输出(i/o)接口1005，输入/输出(i/o)接口1005也连接至总线1004。电子设备1000还可以包括连接至i/o接口1005的以下部件中的一项或多项：包括键盘、鼠标等的输入部分1006；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分1007；包括硬盘等的存储部分1008；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至i/o接口1005。可拆卸介质1011，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1010上，以便于从其上读出的计算机程序根据需要被安装入存储部分1008。
143.本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。
144.根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的rom 1002和/或ram 1003和/或rom 1002和ram 1003以外的一个或多个存储器。
145.本公开的实施例还包括一种计算机程序产品，其包括计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时，该程序代码用于使计算机系统实现本公开实施例所提供的方法。
146.在该计算机程序被处理器1001执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例，上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
147.在一种实施例中，该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中，该计算机程序也可以在网络介质上以信号的形式进行传输、分发，并通过通信部分1009被下载和安装，和/或从可拆卸介质1011被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。
148.在这样的实施例中，该计算机程序可以通过通信部分1009从网络上被下载和安装，和/或从可拆卸介质1011被安装。在该计算机程序被处理器1001执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
149.根据本公开的实施例，可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码，具体地，可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如java，c ，python，“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
150.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
151.本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
152.以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱
离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。