(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211073457.6 (22)申请日 2022.09.02 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 秦悦　刘东鑫　汪来富　史国水　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 专利代理师 孙宝海 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) (54)发明名称 Web应用安全防护方法和装置、 电子设备、 存 储介质 (57)摘要 本公开提供一种Web应用安全防护方法和装 置、 电子设备、 存储介质； 涉及网络安全技术领 域。 该方法包括： 响应于接收到用户在Web 页面的 访问请求， 确定访问请求是否包括独立访客 Cookie； 提取访问请求中的一组或多组报文特 征； 若访问请求包括独立访客Cookie， 统计预设 时间窗口内报文特征对应的独立访客Cookie信 息； 根据报文特征对应的独立访客Cookie信息， 确定报文特征相关的访问请求为攻击行为， 并采 用配置的安全处理策略处理所述攻击行为。 本公 开可以解决传统的网络安全设备在Web应用的安 全防护过程中存在的响应处理速度慢和防护准 确率低的问题。 权利要求书3页 说明书18页 附图9页 CN 115412359 A 2022.11.29 CN 115412359 A 1.一种Web应用安全防护方法， 其特 征在于， 所述方法包括： 响应于接收到用户在Web页面的访问请求， 确定所述访问请求是否包括独立访客 Cookie； 提取所述访问请求中的一组或多组报文特 征； 若所述访问请求包括独立访客Cookie， 统计预设时间窗口内所述报文特征对应的独立 访客Cookie信息； 根据所述报文特征对应的独立访客Cookie信息， 确定所述报文特征相关的访问请求为 攻击行为， 并采用配置的安全处 理策略处 理所述攻击行为。 2.根据权利要求1所述的方法， 其特征在于， 所述独立访客Cookie信息包括独立访客 Cookie的访问总量和每组报文 特征对应的独立访客Cookie访问量， 所述根据所述报文特征 对应的独立访客Co okie信息， 确定攻击行为， 包括： 响应于所述独立访客Co okie的访问总量大于等于预设第一阈值， 确定出现异常访问； 在出现所述异常访问的情况下， 响应于所述报文特征对应的独立访客Cookie数量大于 等于第二阈值， 确定所述报文特 征相关的访问请求 为攻击行为。 3.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 若所述访问请求不包括独立访客Cookie， 响应于预设时间窗口内所有报文特征对应访 问请求的增长率大于等于第三阈值， 确定所述报文特 征的分布情况； 当所述报文特 征分布于同一组， 则确定该组报文特 征相关的访问请求 为攻击行为。 4.根据权利要求3所述的方法， 其特 征在于， 所述方法还 包括： 根据所述独立访客Cookie的访问总量与所述报文特征的组数的比值， 确定所述第二阈 值； 根据预设时间窗口内的访问请求总数量与 所述报文特征的组数的比值， 确定所述第 三 阈值。 5.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 对所述报文特 征进行哈希映射， 获得对应哈希特 征值； 将所述哈希特 征值与对应的独立访客Co okie存储于第一缓存。 6.根据权利要求5所述的方法， 其特征在于， 所述第 一缓存包括第 一双向链表和第 一哈 希表； 所述第一双向链表包括多个第一节点， 每个第一节点存储一组所述报文特征和对应 的独立访客Cookie， 多个所述第一节点基于最近最多访问算法排序； 所述第一哈希表包括 多个第一键值对， 每个第一键值对的键为一组所述报文特征且值指向所述第一双向链表的 对应第一节点； 所述将所述哈希特征值与对应的独立访客Cookie存储于第一缓存时， 若所 述第一缓存 超过第一 容量阈值或到 达预设时间， 删除所述第一双向链 表的尾节点元 素。 7.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 响应于接收到用户在Web页面的访问请求， 对所述访问请求报文进行安全套接层解密， 并基于Ngi nx对解密后的报文 进行解析， 获得解析 结果； 实时装载存储于第 二缓存中的配置策略， 以按照所述配置策略对所述访问请求进行处 理， 所述配置策略包括所述 安全处理策略。 8.根据权利要求7所述的方法， 其特征在于， 在所述基于Nginx对解密后的报文进行解 析之后， 所述方法还 包括：权　利　要　求　书 1/3 页 2 CN 115412359 A 2实时装载存 储于第三缓存的IP黑名单； 通过所述IP黑名单对所述 解析结果的IP地址进行 过滤和限流。 9.根据权利要求1所述的方法， 其特征在于， 所述配置策略包括规则启停策略和排序 策 略， 所述方法还 包括： 根据所述规则启停策略， 调整存储于第四缓存中的入侵检测规则列表中的入侵检测规 则的状态信息； 根据所述 排序策略对所述入侵检测规则进行排序； 响应于所述入侵检测规则的状态信 息和排序 结果， 从所述第四缓存中实时装载目标入 侵检测规则； 采用所述目标入侵检测规则对所述访问请求进行入侵检测， 并基于所述检测结果处理 所述访问请求。 10.根据权利要求1所述的方法， 其特征在于， 所述配置策略还包括维度筛选策略， 所述 方法还包括： 根据所述维度筛 选策略确定多个统计维度和统计指标； 根据所述访问请求的处置策略， 统计预设时间窗口内每个所述统计维度下的统计指 标； 根据所述统计指标生成每个所述统计维度的统计黑白名单， 并定期将所述统计黑白名 单写入第五缓存； 实时装载所述统计黑白名单， 并根据 所述统计黑白名单和所述处置策略处理所述访问 请求。 11.根据权利要求10所述的方法， 其特征在于， 所述第五缓存包括第二双 向链表组、 第 二哈希表和第三哈希表； 所述第二哈希表包括多个第二键值对， 每个第二键值对的键为访 问频次且值指向所述第二双向链表组中的一第二双向链表； 所述第二双向链表组包括多个 第二节点， 每个第二节点存储一统计指标， 多个所述第二节 点基于最不经常使用算法排序； 所述第三哈希表包括多个第三键值对， 每个第三键值对的键为一统计指标且值指向所述第 二双向链表组中的一对应第二节点； 所述将所述统计黑白名单写入所述第 五缓存时， 若所 述第二双向链表组的容量超过第二容量阈值， 删除最小访问频次指向的一第二双向链表的 尾节点元 素。 12.根据权利要求5所述的方法， 其特 征在于， 所述方法还 包括： 当所述报文特征或独立访客Cookie所占用的缓存空间小于等于预设的第四阈值， 则生 成第一告警信息； 响应于所述第一告警信息， 对所述第一缓存进行扩容处 理。 13.根据权利要求1 ‑12任一项所述的方法， 其特征在于， 所述配置策略包括日志分析策 略， 所述方法还 包括： 对所述访问请求的处 理过程中的关键信息进行日志存 储； 采用所述日志分析 策略对存储的所述关键信息进行统计分析； 根据统计分析 结果， 通过开 放接口调整所述第二缓存中的所述配置策略。 14.一种Web应用安全防护装置， 其特 征在于， 所述装置包括： 确定模块， 用于响应于接收到用户在Web页面的访问请求， 确定所述访问请求是否包括权　利　要　求　书 2/3 页 3 CN 115412359 A 3