(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111589091.3 (22)申请日 2021.12.23 (71)申请人 国家电网有限公司 地址 100000 北京市西城区西长安 街86号 申请人 国网湖北省电力有限公司信息通信 公司 (72)发明人 徐宁　张成　袁慧　董亮　梁源　 金波　胡耀东　朱兆宇　庄严　 郭岳　朱国威　柯旺松　叶宇轩　 李想　黄超　 (74)专利代理 机构 北京壹川鸣知识产权代理事 务所(特殊普通 合伙) 11765 代理人 田月广 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种Web安全防护系统实施及策略调优方 法、 系统 (57)摘要 本发明属于信息安全防护技术领域， 公开了 一种Web安全防护系统实施及策略调优 方法及系 统， 所述Web安全防护系统实施及策略调优系统 包括： 访问请求获取模块、 访问请求检测模块、 主 动校验识别模块、 中央控制模 块、 Web攻击行为识 别模块、 用户流量检测分析模块、 语义分析模块、 防御策略构建模块、 数据存储模块、 更新显示模 块。 本发明能够高效识别Web攻击 行为， 通过安全 风险的智能检测识别和分析， 发现并阻断安全威 胁； 通过用户流量分析检测， 阻断不符合业务特 征的流量访问， 防范非正 常访问； 支持灵活的Web 访问控制机制； 限制相关源的访问行为， 满足用 户的访问控制需求； 支持依据不同业务采取不同 的灵活防御策略， 保证对外网站安全。 权利要求书3页 说明书8页 附图4页 CN 114363023 A 2022.04.15 CN 114363023 A 1.一种Web安全防护系 统实施及策略调优方法， 其特征在于， 所述Web安全防护系统实 施及策略调优方法包括以下步骤： S1， 利用请求获取设备获取客户端对所述Web安全防护系统的访问请求； 利用检测程序 利用代理模式实现对所有访问请求的检测； S2， 利用解析识别检测访 问请求内容中的攻击行为以及客户端的超频异常访 问行为， 针对发起请求的客户端 进行多种主动校验识别， 统一管理BOT请求； S3， 通利用识别程序识别Web攻击行为， 通过安全风 险的智能检测识别和分析， 获取并 阻断安全威胁信息； 利用防护引擎对API 流量进行安全检测， 阻断攻击行为； S4， 利用语义分析程序对攻击Payload进行语义分析、 识别和防御， 实现运行状态和告 警信息的自动上报以及Web安全防护， 识别各种恶意 攻击行为， 变 被动防御为主动防御； S5， 利用中央处理器协调控制Web安全防护系统实施； 利用策略构建程序根据语义分析 结果构建防御策略， 并依据不同业 务采取不同的灵活防御策略； S6， 利用存储器存储获取的客户端对所述Web安全防护系统的访问请求、 访问请求检测 结果、 主动校验识别结果、 Web攻击行为识别结果、 用户流量检测分析结果、 语义分析结果以 及防御策略； S7， 利用显示器对获取的客户端对所述Web安全防护系统的访问请求、 访问请求检测结 果、 主动校验识别结果、 Web攻击行为识别结果、 用户流量检测分析结果、 语义分析结果以及 防御策略的实时数据进行 更新显示。 2.一种实施权利要求1所述Web安全防护系统实施及策略调优方法的Web安全防护系统 实施及策略调优系统， 其特 征在于， 所述 Web安全防护系统实施及策略调优系统包括： 访问请求获取模块， 与中央控制模块连接， 用于通过请求获取设备获取客户端对所述 Web安全防护系统的访问请求； 访问请求检测模块， 与中央控制模块连接， 用于通过检测程序利用代理模式实现对所 有访问请求的检测； 主动校验识别模块， 与中央控制模块连接， 用于通过解析识别检测访 问请求内容中的 攻击行为以及客户端的超频异常访问行为， 针对发起请求的客户端进行多种主动校验识 别， 统一管理BOT请求； 中央控制模块， 与访问请求获取模块、 访问请求检测模块、 主动校验识别 模块、 Web攻击 行为识别模块、 用户流量检测分析模块、 语义分析模块、 防御策略构建模块、 数据存储模块、 更新显示模块连接， 用于通过中央处理器协调控制所述Web安全防护系统实施及策略调优 系统各个模块的正常运行； Web攻击行为识别 模块， 与中央控制模块连接， 用于通过识别程序识别Web攻击行为， 通 过安全风险的智能检测识别和分析， 发现并阻断安全威胁； 用户流量检测分析模块， 与中央控制模块连接， 用于通过防护引擎对API流量进行安全 检测， 阻断攻击行为； 语义分析模块， 与中央控制模块连接， 用于通过语义分析程序对攻击Payload进行语义 分析、 识别和防御， 实现运行状态和告警信息的自动上报以及Web安全防护， 识别 各种恶意 攻击行为， 变 被动防御为主动防御； 防御策略构建模块， 与中央控制模块连接， 用于通过策略构建程序根据语义分析结果权　利　要　求　书 1/3 页 2 CN 114363023 A 2构建防御策略， 并依据不同业 务采取不同的灵活防御策略； 数据存储模块， 与中央控制模块连接， 用于通过存储器存储获取的客户端对所述Web安 全防护系统的访问请求、 访问请求检测结果、 主动校验识别结果、 Web攻击行为识别结果、 用 户流量检测分析 结果、 语义分析 结果以及防御策略； 更新显示模块， 与中央控制模块连接， 用于通过显示器对获取的客户端对所述Web安全 防护系统的访问请求、 访问请求检测结果、 主动校验识别结果、 Web攻击行为识别结果、 用户 流量检测分析 结果、 语义分析 结果以及防御策略的实时数据进行 更新显示。 3.如权利要求2所述Web安全防护系统实施及策略调优系统， 其特征在于， 访 问请求检 测模块中， 所述 通过利用检测程序利用代理模式实现对所有访问请求的检测包括： (1)在检测到客户端对所述Web安全防护系统的访问请求时， 获取所述客户端在设定时 段内访问所述 Web安全防护系统的业 务访问请求信息； (2)对所述客户端在设定时段内访问所述Web安全防护系统的业务访问请求信息进行 内容检测， 确定所述 客户端的攻击行为特 征和攻击频率特 征； (3)根据所述业务访 问请求信息、 攻击行为特征和攻击频率特征确定是否允许所述客 户端对所述 Web安全防护系统的访问请求。 4.如权利要求3所述Web安全防护系统实施及策略调优系统， 其特征在于， 所述确定所 述客户端的攻击频率特 征包括： 1)基于所述客户端在各子时段的业务访问请求 次数， 确定所述客户端对应的第 一攻击 频率； 2)基于所述客户端在各子时段的业务访问请求 次数以及所述第 一攻击频率， 确定所述 客户端对应的第二 攻击频率； 3)根据所述第一攻击频率和所述第二攻击频率， 确定所述客户端对所述Web安全防护 系统的攻击频率特 征。 5.如权利要求4所述Web安全防护系统实施及策略调优系统， 其特征在于， 所述第一攻 击频率用于表征所述客户端访问所述Web安全防护系统的访问行为集中趋势程度； 所述第 二攻击频率用于表征 所述客户端访问所述 Web安全防护系统的访问行为离 散程度。 6.如权利要求5所述Web安全防护系统实施及策略调优系统， 其特征在于， 所述第二攻 击频率满足下述形式： 式中， vari表示客户端对应的第二攻击频率， meani表示客户端对应的第一攻击频率， an 表示第n天客户端的总业 务访问请求次数， Wd表示设定窗口时段； 所述客户端对应的攻击频率特 征满足下述形式： 式中， γi表示客户端对应的攻击频率特 征， Fi表示运算中间结果 值。权　利　要　求　书 2/3 页 3 CN 114363023 A 3