本申请公开一种网络攻击的防护方法和系统、电子设备、存储介质,涉及信息安全检测技术领域。方法包括,响应于网络应用防火墙发送的操作确认请求,确定网络应用防火墙判定待确认操作为合法操作,对获取到的待确认操作对应的待确认信息进行再次分析,确定待确认操作是否为网络攻击行为,在确定待确认操作为网络攻击行为的情况下,阻断网络攻击行为,并对待确认操作和待确认信息进行标记,向网络应用防火墙发送操作确认响应,以供网络应用防火墙对操作确认响应中包括的网络攻击行为进行记录,并对网络攻击行为进行追踪和溯源。便于对待确认操作进行准确衡量,降低网络攻击行为被漏检的比例,实现对网络攻击行为的溯源和反制,提升网络安全性。

　　响应于网络应用防火墙发送的操作确认请求,确定所述网络应用防火墙判定待确认操作为合法操作,

　　对获取到的所述待确认操作对应的待确认信息进行再次分析,确定所述待确认操作是否为网络攻击行为,

　　在确定所述待确认操作为所述网络攻击行为的情况下,阻断所述网络攻击行为,并对所述待确认操作和所述待确认信息进行标记,

　　向所述网络应用防火墙发送操作确认响应,以供所述网络应用防火墙对所述操作确认响应中包括的网络攻击行为进行记录,并对所述网络攻击行为进行追踪和溯源。

　　2.根据权利要求1所述的方法,其特征在于,所述对获取到的所述待确认操作对应的待确认信息进行再次分析,确定所述待确认操作是否为网络攻击行为,包括,

　　将所述待确认操作的信息与多种预设应用攻击操作信息进行匹配,基于匹配结果确定所述待确认操作是否为所述网络攻击行为,

　　其中,所述预设应用攻击操作信息包括,浏览器指纹信息和/或所述预设应用攻击方的操作行为。

　　3.根据权利要求2所述的方法,其特征在于,所述将所述待确认操作的信息与多种预设应用攻击操作信息进行匹配,基于匹配结果确定所述待确认操作是否为所述网络攻击行为,包括,

　　将所述待确认操作与多种所述预设应用攻击方的操作行为进行匹配,获得操作匹配结果,

　　将所述待确认信息与所述浏览器指纹信息进行匹配,获得信息匹配结果,其中,所述浏览器指纹信息包括浏览器版本信息和/或访问的网络地址,

　　在确定所述操作匹配结果为所述待确认操作与至少一种所述预设应用攻击方的操作相匹配,且,所述信息匹配结果为所述待确认信息中包括所述浏览器指纹信息的情况下,确定所述待确认操作为所述网络攻击行为,否则,确定所述待确认操作为合法操作。

　　4.根据权利要求3所述的方法,其特征在于,所述确定所述待确认操作为合法操作之后,还包括,

　　5.根据权利要求1至4中任一项所述的方法,其特征在于,所述对所述待确认操作和所述待确认信息进行标记,包括,

　　对获取到的待确认操作的信息进行分析,确定所述待确认操作为合法操作,并向实时应用程序自我保护装置发送操作确认请求,

　　响应于所述实时应用程序自我保护装置反馈的操作确认响应,判定所述待确认操作为网络攻击行为,并对所述操作确认响应中包括的网络攻击行为进行记录,

　　向数据集群发送所述网络攻击行为及其对应的攻击信息,以供所述数据集群基于威胁

　　7.根据权利要求6所述的方法,其特征在于,所述向数据集群发送所述网络攻击行为及其对应的攻击信息,以供所述数据集群基于威胁狩猎服务器对所述网络攻击行为进行追踪和溯源之后,还包括,

　　在确定检测到与所述网络攻击行为相匹配的操作的情况下,判定与网络攻击行为相匹配的操作为异常操作,并阻断所述异常操作。

　　8.根据权利要求7所述的方法,其特征在于,所述向数据集群发送所述网络攻击行为及其对应的攻击信息,以供所述数据集群基于威胁狩猎服务器对所述网络攻击行为进行追踪和溯源,包括,

　　向所述数据集群发送所述网络攻击行为及其对应的攻击信息,以供所述数据集群将所述网络攻击行为和所述攻击信息转发给威胁狩猎服务器,

　　其中,所述威胁狩猎服务器用于基于主动识别算法对所述攻击信息进行分析,确定所述网络攻击行为的操作者的网络地址、以及所述网络攻击行为的入侵操作步骤。

　　9.一种网络攻击的防护系统,其包括,通信连接的网络应用防火墙和实时应用程序自我保护装置,

　　所述实时应用程序自我保护装置,被配置为执行如权利要求1至5中任一项所述的网络攻击的防护方法,

　　所述网络应用防火墙,被配置为执行如权利要求6至8中任一项所述的网络攻击的防护方法。

　　所述存储器存储有可被所述至少一个处理器执行的一个或多个计算机程序,一个或多个所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至5中任一项,或,如权利要求6至8中任一项所述的网络攻击的防护方法。

　　11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序在被处理器执行时实现如权利要求1至5中任一项,或,如权利要求6至8中任一项所述的网络攻击的防护方法。

　　[0001]本申请涉及信息安全检测技术领域,具体涉及一种网络攻击的防护方法和系统、电子设备、存储介质。

　　[0002]随着数字化技术的飞速发展,网络(Web)应用业务系统已经成为人们日常生活和工作的重要组成部分,在进行网络应用业务的过程中,应用业务会受到越来越多的黑客攻击,降低了业务数据的安全性。

　　[0003]目前,主要通过网络应用防火墙(WebApplicationFirewall,WAF)对业务数据进行防护,但是,WAF主要依赖规则库去匹配攻击行为,虽然通过WAF能够发现并阻断一些常见的Web攻击,但是WAF由于过度依赖规则库,若规则库中没有保存某些新型攻击行为,以使得这些新型攻击行为突破WAF的防护,无法保证业务数据的安全,并且,WAF虽然能够发现攻击行为,但不能对攻击者进行标记跟踪,无法实现对攻击行为的溯源和反制。

　　[0004] 为此,本申请提供一种网络攻击的防护方法和系统、电子设备、存储介质,解决如何对网络攻击行为进行准确判断,以提升网络安全性的问题。

　　[0005] 为了实现上述目的,本申请第一方面提供一种网络攻击的防护方法,方法包括,响应于网络应用防火墙发送的操作确认请求,确定网络应用防火墙判定待确认操作为合法操作,对获取到的待确认操作对应的待确认信息进行再次分析,确定待确认操作是否为网络攻击行为,在确定待确认操作为网络攻击行为的情况下,阻断网络攻击行为,并对待确认操作和待确认信息进行标记,向网络应用防火墙发送操作确认响应,以供网络应用防火墙对操作确认响应中包括的网络攻击行为进行记录,并对网络攻击行为进行追踪和溯源。

　　[0006] 为了实现上述目的,本申请第二方面提供一种网络攻击的防护方法,方法包括,对获取到的待确认操作的信息进行分析,确定待确认操作为合法操作,并向实时应用程序自我保护装置发送操作确认请求,响应于实时应用程序自我保护装置反馈的操作确认响应,判定待确认操作为网络攻击行为,并对操作确认响应中包括的网络攻击行为进行记录,向数据集群发送网络攻击行为及其对应的攻击信息,以供数据集群基于威胁狩猎服务器对网络攻击行为进行追踪和溯源。

　　[0007] 为了实现上述目的,本申请第三方面提供一种网络攻击的防护系统,其包括,通信连接的网络应用防火墙和实时应用程序自我保护装置,实时应用程序自我保护装置,被配置为执行本申请第一方面中的任一种网络攻击的防护方法,网络应用防火墙,被配置为执行本申请第二方面中的任一种网络攻击的防护方法。

　　[0008] 为了实现上述目的,本申请第四方面,本申请提供了一种电子设备,该电子设备包括,至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的一个或多个计算机程序,一个或多个所述计算机程序

　　被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述网络攻击的防护方法。

　　[0009] 为了实现上述目的,本申请第五方面,本申请提供了一种计算机可读存储介质,其上存储有计算机程序,其中,所述计算机程序在被处理器/处理核执行时实现上述网络攻击的防护方法。

　　[0010] 本申请中的网络攻击的防护方法和系统、电子设备、存储介质,通过响应于网络应用防火墙发送的操作确认请求,确定网络应用防火墙判定待确认操作为合法操作,能够明确网络应用防火墙对待确认操作的判定,但仍需要对待该确认操作进行进一步的分析,对获取到的待确认操作对应的待确认信息进行再次分析,确定待确认操作是否为网络攻击行为,以便于对待确认操作进行准确衡量,降低网络攻击行为被漏检的比例,在确定待确认操作为网络攻击行为的情况下,阻断网络攻击行为,并对待确认操作和待确认信息进行标记,方便下次再检测到该待确认操作时能够快捷判定其为网络攻击行为,加快对网络攻击行为的检测速度,保证业务数据的安全,向网络应用防火墙发送操作确认响应,以供网络应用防火墙对操作确认响应中包括的网络攻击行为进行记录,并对网络攻击行为进行追踪和溯源,实现对网络攻击行为的溯源和反制,降低接收到网络攻击的可能性,提升网络安全性。

　　[001 1] 附图用来提供对本公开实施例的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开,并不构成对本公开的限制。通过参考附图对详细示例实施例进行描述,以上和其它特征和优点对本领域技术人员将变得更加显而易见,在附图中。

　　[0012] 图1为本申请实施例提供的一种网络攻击的防护方法的流程示意图。

　　[0013] 图2为本申请实施例提供的一种网络攻击的防护方法的流程示意图。

　　[0014] 图3为本申请实施例提供的一种实时应用程序自我保护装置的组成方框图。

　　[0016] 图5为本申请实施例提供的一种网络攻击的防护系统的组成方框图。

　　[0017] 图6为本申请实施例提供的一种网络攻击的防护系统的组成方框图。

　　[0018] 图7为本申请实施例提供的一种网络攻击的防护系统中的数据流向示意图。

　　[0019] 图8为本申请实施例提供的一种网络攻击的防护系统的工作方法的流程示意图。

　　[0021] 以下结合附图对本申请的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本申请,并不用于限制本申请。对于本领域技术人员来说,本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请更好的理解。

　　[0022] 为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。

　　[0024] 图1为本申请实施例提供的一种网络攻击的防护方法的流程示意图。该网络攻击

　　的防护方法可应用于实时应用程序自我保护装置。如图1所示,该网络攻击的防护方法包括但不限于如下步骤。

　　[0025] 步骤S101 ,响应于网络应用防火墙发送的操作确认请求,确定网络应用防火墙判定待确认操作为合法操作。

　　[0026] 其中,操作确认请求包括待确认操作的标识,以及确定该待确认操作对应的终端信息。例如,某个用户使用某个终端通过访问互联网,并在浏览器上进行的操作等。

　　[0027] 网络应用防火墙通过查找其存储的预设网络攻击信息对待确认操作进行对比,若确定待确认操作对应的操作信息不在预设网络攻击信息中,则说明待确认操作为合法操作,否则,确定该待确认操作为恶意操作(或非法操作) 。

　　[0028] 步骤S102,对获取到的待确认操作对应的待确认信息进行再次分析,确定待确认操作是否为网络攻击行为。

　　[0029] 其中,待确认信息包括待确认操作对应的操作信息(如浏览网页时的网址信息) 、待确认操作对应的访问方信息(如,某个终端的标识等) 、以及待确认操作需要获取的数据中的至少一种。

　　[0030] 通过实时应用程序自我保护装置对待确认信息进行分析,能够明确待确认操作是否是针对当前的实时应用程序自我保护装置所保护的应用(如,基于软件实现的音频播放器、视频播放器等)进行的恶意操作,从而确定待确认操作是否为网络攻击行为。

　　[0031] 步骤S103,在确定待确认操作为网络攻击行为的情况下,阻断网络攻击行为,并对待确认操作和待确认信息进行标记。

　　[0032] 其中,通过直接停止为待确认操作提供其对应的数据的方式,阻断网络攻击行为,能够快速的降低受到网络侵害所带来的损失,或者,通过直接将待确认操作对应的进程直接关闭,能够及时停止数据的泄露,又或者,通过预设的阻断工具(如,杀毒软件等)对待确认操作进行关闭,能够减少数据泄露的比例。

　　[0033] 进一步地,将待确认操作和待确认信息分别标记为网络攻击行为对应的操作和信息,能够使实时应用程序自我保护装置在下次接收到同样的网络攻击时,可以及时将对应的操作进行阻断,避免数据的泄露,提升数据安全性。

　　[0034] 步骤S104,向网络应用防火墙发送操作确认响应,以供网络应用防火墙对操作确认响应中包括的网络攻击行为进行记录,并对网络攻击行为进行追踪和溯源。

　　[0035] 其中,通过向网络应用防火墙发送操作确认响应的方式,使网络应用防火墙能够同步获取到域待确认操作对应的网络攻击行为,以便于网络应用防火墙对操作确认响应中包括的网络攻击行为进行记录,以使网络应用防火墙能够再下次再获取的同样的网络攻击行为时,可以及时对该网络攻击行为进行确认,提升网络安全性。

　　[0036] 并且,网络应用防火墙还可以针对该网络攻击行为进行追踪和溯源,以找到该网络攻击行为的发起方,从根源上阻断网络攻击,提升数据的安全性。

　　[0037] 在本实施例中,通过响应于网络应用防火墙发送的操作确认请求,确定网络应用防火墙判定待确认操作为合法操作,能够明确网络应用防火墙对待确认操作的判定,但仍需要对待该确认操作进行进一步的分析,对获取到的待确认操作对应的待确认信息进行再次分析,确定待确认操作是否为网络攻击行为,以便于对待确认操作进行准确衡量,降低网络攻击行为被漏检的比例,在确定待确认操作为网络攻击行为的情况下,阻断网络攻击行

　　为,并对待确认操作和待确认信息进行标记,方便下次再检测到该待确认操作时能够快捷判定其为网络攻击行为,加快对网络攻击行为的检测速度,保证业务数据的安全,向网络应用防火墙发送操作确认响应,以供网络应用防火墙对操作确认响应中包括的网络攻击行为进行记录,并对网络攻击行为进行追踪和溯源,实现对网络攻击行为的溯源和反制,降低接收到网络攻击的可能性,提升网络安全性。

　　[0038] 在一些可选的实施方式中,步骤S102中的对获取到的待确认操作对应的待确认信息进行再次分析,确定待确认操作是否为网络攻击行为,可以采用如下方式实现,将待确认操作的信息与多种预设应用攻击操作信息进行匹配,基于匹配结果确定待确认操作是否为网络攻击行为。

　　[0039] 其中,预设应用攻击操作信息包括,浏览器指纹信息和/或预设应用攻击方的操作行为。

　　[0040] 例如,浏览器指纹信息可以是通过浏览器对网站可见的配置信息、设置信息等来跟踪Web浏览器,以根据用户的各种特征来区分不同用户。浏览器指纹信息就像人手上的指纹一样,具有个体辨识度,能够辨识用户在访问网站时对应的时区、地理位置、网络地址或者是使用的语言等等,浏览器所开发的信息决定了浏览器指纹的准确性。

　　[0041] 进一步地,基于上述预设应用攻击操作信息的中浏览器指纹信息和/或预设应用攻击方的操作行为,对待确认操作进行识别和匹配,能够准确衡量待确认操作是否是网络攻击行为,提升对待确认操作的辨识准确性。

　　[0042] 在一些可选的实施方式中,将待确认操作的信息与多种预设应用攻击操作信息进行匹配,基于匹配结果确定待确认操作是否为网络攻击行为,包括,将待确认操作与多种预设应用攻击方的操作行为进行匹配,获得操作匹配结果,将待确认信息与浏览器指纹信息进行匹配,获得信息匹配结果,在确定操作匹配结果为待确认操作与至少一种预设应用攻击方的操作相匹配,且,信息匹配结果为待确认信息中包括浏览器指纹信息的情况下,确定待确认操作为网络攻击行为,否则,确定待确认操作为合法操作。

　　[0043] 其中,浏览器指纹信息包括浏览器版本信息和/或访问的网络地址。预设应用攻击方的操作行为可以包括,对音频应用进行攻击的操作行为,对视频应用进行攻击的操作行为、对文本应用进行攻击的操作行为中的至少一种。

　　[0044] 通过将待确认操作与多种不同维度的预设应用攻击方的操作行为进行匹配,能够快速对待确认操作进行准确识别,以确定待确认操作是否为网络攻击行为。

　　[0045] 当操作匹配结果为待确认操作与至少一种预设应用攻击方的操作相匹配,且,信息匹配结果为待确认信息中包括浏览器指纹信息时,可确定待确认操作为网络攻击行为,即表征待确认操作与某个(或多个)预设应用攻击方的操作行为相同,并且,待确认信息中包括与该预设应用攻击方的浏览器版本信息和/或访问的网络地址,从而实现对待确认操作进行快速定性为网络攻击行为,降低网络攻击行为的危害。

　　[0046] 在一些可选的实施方式中,确定待确认操作为合法操作之后,还包括,基于合法操作所请求的业务服务,获取合法操作对应的业务数据,向合法操作的操作方反馈业务数据。

　　[0047] 其中,业务服务包括请求音频数据、请求视频数据、请求文本数据等等。

　　[0048] 通过向合法操作的操作方提供其需要的音频数据(或视频数据,或文本数据) ,能够满足合法操作的操作方的数据需求,提升数据交互的效率,是数据得以使用,扩展数据网

　　[0049] 在一些可选的实施方式中,步骤S103中的对待确认操作和待确认信息进行标记,包括,将待确认操作标记为网络攻击行为,将待确认信息标记为与网络攻击行为对应的攻击信息。

　　[0050] 其中,标记可以为设定某些特定标识,例如,在待确认操作中增加“网络攻击”的标识,同时,在待确认信息中增加一个“恶意攻击”的信息标识位,从而在获取到上述标识时,能够快速的对待确认操作及其对应的待确认信息进行准确识别,提升数据识别的效率,加快辨识网络攻击行为的速度,降低网络攻击行为对数据的侵害程度。

　　[0051] 图2为本申请实施例提供的一种网络攻击的防护方法的流程示意图。该网络攻击的防护方法可应用于网络应用防火墙。如图2所示,该网络攻击的防护方法包括但不限于如下步骤。

　　[0052] 步骤S201 ,对获取到的待确认操作的信息进行分析,确定待确认操作为合法操作,并向实时应用程序自我保护装置发送操作确认请求。

　　[0053] 其中,操作确认请求包括待确认操作的标识,以及确定该待确认操作对应的终端信息。例如,某个用户使用某个终端通过访问互联网,并在浏览器上进行的操作等。

　　[0054] 步骤S202,响应于实时应用程序自我保护装置反馈的操作确认响应,判定待确认操作为网络攻击行为,并对操作确认响应中包括的网络攻击行为进行记录。

　　[0055] 需要说明的是,对操作确认响应中包括的网络攻击行为进行记录,以便于在下次检测到该待确认操作时,及时对待确认操作进行阻断,提升网络安全性。

　　[0056] 并且,在判定待确认操作为网络攻击行为的同时,需要启动与该待确认操作对应的阻断方式,及时阻止该待确认操作所带来的安全隐患,降低数据被泄露的风险。

　　[0057] 步骤S203,向数据集群发送网络攻击行为及其对应的攻击信息,以供数据集群基于威胁狩猎服务器对网络攻击行为进行追踪和溯源。

　　[0058] 其中,数据集群包括多个服务器(如,定位服务器、威胁狩猎服务器、查找服务器等) ,以便于获取到域网络攻击行为相匹配的多维度信息,从而对网络攻击行为进行准确的定位和追踪。

　　[0059] 在本实施例中,通过对获取到的待确认操作的信息进行分析,确定待确认操作为合法操作,初步判定该待确认操作的安全性,进一步地,向实时应用程序自我保护装置发送操作确认请求,以使实时应用程序自我保护装置可以更具针对性的,对待确认操作对应的待确认信息进行再次分析,确定待确认操作是否为网络攻击行为,采用双层的验证方式对待确认操作进行验证,提升对待确认操作的验证准确性,然后,基于接收到的实时应用程序自我保护装置反馈的操作确认响应,判定待确认操作为网络攻击行为,并对操作确认响应中包括的网络攻击行为进行记录,能够明确待确认操作是恶意操作,需要对该恶意操作进行阻断,以数据被泄露的风险,进一步地,向数据集群发送网络攻击行为及其对应的攻击信息,以供数据集群基于威胁狩猎服务器对网络攻击行为进行追踪和溯源,从根源上阻止网络攻击行为,提升网络安全性。

　　[0060] 在一些可选的实施方式中,在执行步骤S203中的向数据集群发送网络攻击行为及其对应的攻击信息,以供数据集群基于威胁狩猎服务器对网络攻击行为进行追踪和溯源之后,还包括,

　　[0061] 在确定检测到与网络攻击行为相匹配的操作的情况下,判定与网络攻击行为相匹配的操作为异常操作,并阻断异常操作。

　　[0062] 需要说明的是,当再次检测到与网络攻击行为相匹配的操作时,可基于前面所接收到的实时应用程序自我保护装置反馈的操作确认响应中的信息,确定与网络攻击行为相匹配的操作为异常操作,或者直接判断该异常操作为网络攻击行为,并及时的阻断该网络攻击行为,提升数据的安全性。

　　[0063] 在一些可选的实施方式中,步骤S203中的向数据集群发送网络攻击行为及其对应的攻击信息,以供数据集群基于威胁狩猎服务器对网络攻击行为进行追踪和溯源,可采用如下方式实现,向数据集群发送网络攻击行为及其对应的攻击信息,以供数据集群将网络攻击行为和攻击信息转发给威胁狩猎服务器。

　　[0064] 其中,威胁狩猎服务器用于基于主动识别算法对攻击信息进行分析,确定网络攻击行为的操作者的网络地址、以及网络攻击行为的入侵操作步骤。

　　[0065] 需要说明的是,威胁狩猎服务器可以采用如下方式实现对网络攻击行为的追踪,基于欺骗伪装技术,通过在攻击者入侵的关键路径上部署诱饵和陷阱,诱导攻击者进入与真实网络隔离的蜜网,让攻击者在蜜网中攻击假目标、获取虚假数据。在此过程中,威胁狩猎服务器可以基于主动识别算法,完整的记录攻击者发起的网络攻击行为,捕获高级未知攻击,并且可以对攻击者做追踪溯源,提供先人一步的主动防御手段,保护真实数据,提升主动防御能力。

　　[0067] 图3为本申请实施例提供的一种实时应用程序自我保护装置的组成方框图。

　　[0068] 如图3所示,该实时应用程序自我保护装置300包括但不限于如下模块。

　　[0069] 初始判定模块301 ,被配置为响应于网络应用防火墙发送的操作确认请求,确定网络应用防火墙判定待确认操作为合法操作。