CN106534095A - 一种waf安全规则的快速匹配方法 - Google Patents
一种waf安全规则的快速匹配方法 Download PDFInfo
- Publication number
- CN106534095A CN106534095A CN201610952671.7A CN201610952671A CN106534095A CN 106534095 A CN106534095 A CN 106534095A CN 201610952671 A CN201610952671 A CN 201610952671A CN 106534095 A CN106534095 A CN 106534095A
- Authority
- CN
- China
- Prior art keywords
- rule
- matching
- waf
- data
- logical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种WAF安全规则的快速匹配方法,包括以下步骤:将现有规则按照逻辑原子化原则转换成一条逻辑语句,所述逻辑语句由多个逻辑子条件以及逻辑运算符组成;将由逻辑语句组成的规则集合转换为规则图;对数据包进行预处理,包括数据格式处理、数据解码处理;使用规则图对已经处理好的数据包进行分层匹配,看是否包含结束节点被匹配到;统计拦截数据,根据拦截比例,调整规则图的分层,拦截比例高的规则整体向下调整,拦截比例低的规则整体向上调整。本发明匹配方法更高效,且可根据攻击态势,周期性地调整规则图的分层,达到保持高效匹配的目的。
Description
技术领域
本发明涉及WAF安全规则领域,特别涉及一种WAF安全规则的快速匹配方法。
背景技术
规则图是根据规则生成的严格分层的有向非循环图。WAF规则图是根据WAF规则内部逻辑关系,将每条规则转换成一条逻辑语句,然后合并相同语句,再根据每条子语句的重要性,生成一个严格分层的有向非循环图。
现有技术中,串行的使用WAF规则,对数据包进行匹配,直到有规则匹配到或者所有规则全部匹配完。采用此方法,其主要问题是:顺序匹配,往往导致在匹配到真的拦截的规则之前需要进行很多没必要的匹配,如果是一条正常数据包,常常要将所有的规则全部进行匹配,因此,其匹配效率低,常常导致正常业务变慢。
发明内容
本发明所要解决的技术问题是提供是一种WAF安全规则的快速匹配方法,通过将规则集合转换成严格分层的规则图使用规则图进行数据包的匹配,以及根据规则拦截比例调整规则图分层等方式,解决WAF规则匹配效率低的问题。
为解决上述技术问题,本发明采用的技术方案是:
一种WAF安全规则的快速匹配方法,包括以下步骤:
步骤1:步骤1:将现有规则按照逻辑原子化原则转换成一条逻辑语句,所述逻辑语句由多个逻辑子条件以及逻辑运算符组成,所述现有规则为一个或多个正则表达式及多个复杂逻辑运算组成;
步骤2:将由逻辑语句组成的规则集合转换为规则图;
步骤3:对数据包进行预处理,包括数据格式处理、数据解码处理;
步骤4:使用规则图对已经处理好的数据包进行分层匹配,看是否包含结束节点被匹配到;具体关系是:
若包含,匹配结束,判定此条数据包为攻击数据,结束节点所属的规则为匹配到的规则;
若不包含,根据这一层的匹配结果,获取规则树下一层需要匹配的子节点集合,然后进行匹配,依次递归匹配,若都没有匹配到结束节点,或下一层无子节点需要匹配,匹配结束,判定此条数据包为正常数据;
若父节点匹配结果为未匹配到false,子节点无需匹配,若父节点匹配结果为t匹配到true,子节点需要匹配;
步骤5:统计拦截数据,根据拦截比例,调整规则图的分层,拦截比例高的规则整体向下调整,拦截比例低的规则整体向上调整。
根据上述方案,所述步骤2中,若规则R1与规则R2存在同一个子条件,则该子条件在规则图中合并,且下沉到最底层。
根据上述方案,拦截比例的统计是单挑规则统计。
根据上述方案,拦截比例的统计是按类分规则集统计。
与现有技术相比,本发明的有益效果是:现有的安全规则匹配方案,一种是使用规则集合顺序比较每条规则的方式进行安全规则匹配,一种是将规则集合和进行并行匹配,然后根据所有规则的匹配结果得出最终匹配结果,这两种方法的匹配效率都较低,本发明匹配方法更高效,且可根据攻击态势,周期性地调整规则图的分层,达到保持高效匹配的目的。
附图说明
图1是本发明一种WAF安全规则的快速匹配方法之规则图。
图2是本发明一种WAF安全规则的快速匹配方法之调整后的规则图。
图3是本发明一种WAF安全规则的快速匹配方法流程示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。本发明方法包括规则集合使用有向图结构化,生成规则图、使用规则有向进行安全规则匹配、根据固定周期的拦截统计数据,对规则图的分层进行调整,生成新的规则有向图。详述如下:
1、将现有规则按照逻辑原子化原则转换成一条逻辑语句,例如:规则R1转换为R1a&(R1b|R1c)&R1D,其由四个子条件及逻辑运算符组成。
2、将由逻辑语句组成的规则集合转换为规则图。规则图进行严格分层,如果规则R1与规则R2存在同一个子条件,则该子条件在规则图中合并,且下沉到最底层,如图1所示。
3、对数据包进行预处理,包括数据格式处理、数据解码处理等。
4、使用规则图对已经处理好的数据包进行分层匹配。对结果进行分析,看是否包含结束节点被匹配到(初度为0的节点)。具体有如下情况:
1)如果包含,匹配结束,判定此条数据包为攻击数据,结束节点所属的规则为匹配到的规则。
2)如果不包含,根据这一层的匹配结果,获取规则树下一层需要匹配的子节点集合,然后进行匹配,依次递归匹配,如果都没有匹配到结束节点,或下一层无子节点需要匹配,匹配结束,判定此条数据包为正常数据。
3)如果父节点匹配结果为false,子节点无需匹配,如果父节点匹配为true,子节点需要匹配。
5、统计一定周期(例如以一天为一个周期)的拦截数据,根据拦截比例,对规则图的分层进行调整,拦截比例高的规则整体向下调整,拦截比例低的规则整体向上调整。拦截比例统计可以是单挑规则统计也可以是按类分规则集统计。
例如,现在存在规则R1,R2,R3,R4,根据统计R4拦截次数占40%,R2拦截次数占30%,R3和R1拦截次数各占15%,规则图从图1调整为图2。
Claims (4)
1.一种WAF安全规则的快速匹配方法,其特征在于,包括以下步骤:
步骤1:将现有规则按照逻辑原子化原则转换成一条逻辑语句,所述逻辑语句由多个逻辑子条件以及逻辑运算符组成,所述现有规则为一个或多个正则表达式及多个复杂逻辑运算组成;
步骤2:将由逻辑语句组成的规则集合转换为规则图;
步骤3:对数据包进行预处理,包括数据格式处理、数据解码处理;
步骤4:使用规则图对已经处理好的数据包进行分层匹配,看是否包含结束节点被匹配到;具体关系是:
若包含,匹配结束,判定此条数据包为攻击数据,结束节点所属的规则为匹配到的规则;
若不包含,根据这一层的匹配结果,获取规则树下一层需要匹配的子节点集合,然后进行匹配,依次递归匹配,若都没有匹配到结束节点,或下一层无子节点需要匹配,匹配结束,判定此条数据包为正常数据;
若父节点匹配结果为未匹配到,子节点无需匹配,若父节点匹配结果为匹配到true,子节点需要匹配;
步骤5:统计拦截数据,根据拦截比例,调整规则图的分层,拦截比例高的规则整体向下调整,拦截比例低的规则整体向上调整。
2.如权利要求1所述的一种WAF安全规则的快速匹配方法,其特征在于,所述步骤2中,若规则R1与规则R2存在同一个子条件,则该子条件在规则图中合并,且下沉到最底层。
3.如权利要求1或2所述的一种WAF安全规则的快速匹配方法,其特征在于,拦截比例的统计是单挑规则统计。
4.如权利要求1或2所述的一种WAF安全规则的快速匹配方法,其特征在于,拦截比例的统计是按类分规则集统计。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610952671.7A CN106534095A (zh) | 2016-10-27 | 2016-10-27 | 一种waf安全规则的快速匹配方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610952671.7A CN106534095A (zh) | 2016-10-27 | 2016-10-27 | 一种waf安全规则的快速匹配方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106534095A true CN106534095A (zh) | 2017-03-22 |
Family
ID=58325372
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610952671.7A Pending CN106534095A (zh) | 2016-10-27 | 2016-10-27 | 一种waf安全规则的快速匹配方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106534095A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639694A (zh) * | 2018-12-20 | 2019-04-16 | 国云科技股份有限公司 | 一种基于规则树检索的防火墙数据包匹配算法 |
| CN110113356A (zh) * | 2019-05-22 | 2019-08-09 | 北京明朝万达科技股份有限公司 | 一种数据监测方法及装置 |
| CN112527953A (zh) * | 2020-11-20 | 2021-03-19 | 出门问问(武汉)信息科技有限公司 | 规则匹配方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1991879A (zh) * | 2005-12-29 | 2007-07-04 | 腾讯科技(深圳)有限公司 | 一种垃圾邮件的过滤方法 |
| CN102255788A (zh) * | 2010-05-19 | 2011-11-23 | 北京启明星辰信息技术股份有限公司 | 报文分类决策构建系统及方法、报文分类系统及方法 |
| CN103873441A (zh) * | 2012-12-12 | 2014-06-18 | 中国电信股份有限公司 | 防火墙安全规则优化方法及装置 |
| CN103973684A (zh) * | 2014-05-07 | 2014-08-06 | 北京神州绿盟信息安全科技股份有限公司 | 规则编译匹配方法及装置 |
| CN104468161A (zh) * | 2013-09-17 | 2015-03-25 | 中国移动通信集团设计院有限公司 | 一种防火墙规则集的配置方法、装置及防火墙 |
| CN104811384A (zh) * | 2015-05-04 | 2015-07-29 | 山东超越数控电子有限公司 | 一种多级流表优先级调整方法 |
| CN105357118A (zh) * | 2015-10-23 | 2016-02-24 | 上海斐讯数据通信技术有限公司 | 一种基于规则的流量分类方法和系统 |
| CN105574032A (zh) * | 2014-10-15 | 2016-05-11 | 阿里巴巴集团控股有限公司 | 规则匹配运算方法及装置 |
| CN105897739A (zh) * | 2016-05-23 | 2016-08-24 | 西安交大捷普网络科技有限公司 | 数据包深度过滤方法 |
-
2016
- 2016-10-27 CN CN201610952671.7A patent/CN106534095A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1991879A (zh) * | 2005-12-29 | 2007-07-04 | 腾讯科技(深圳)有限公司 | 一种垃圾邮件的过滤方法 |
| CN102255788A (zh) * | 2010-05-19 | 2011-11-23 | 北京启明星辰信息技术股份有限公司 | 报文分类决策构建系统及方法、报文分类系统及方法 |
| CN103873441A (zh) * | 2012-12-12 | 2014-06-18 | 中国电信股份有限公司 | 防火墙安全规则优化方法及装置 |
| CN104468161A (zh) * | 2013-09-17 | 2015-03-25 | 中国移动通信集团设计院有限公司 | 一种防火墙规则集的配置方法、装置及防火墙 |
| CN103973684A (zh) * | 2014-05-07 | 2014-08-06 | 北京神州绿盟信息安全科技股份有限公司 | 规则编译匹配方法及装置 |
| CN105574032A (zh) * | 2014-10-15 | 2016-05-11 | 阿里巴巴集团控股有限公司 | 规则匹配运算方法及装置 |
| CN104811384A (zh) * | 2015-05-04 | 2015-07-29 | 山东超越数控电子有限公司 | 一种多级流表优先级调整方法 |
| CN105357118A (zh) * | 2015-10-23 | 2016-02-24 | 上海斐讯数据通信技术有限公司 | 一种基于规则的流量分类方法和系统 |
| CN105897739A (zh) * | 2016-05-23 | 2016-08-24 | 西安交大捷普网络科技有限公司 | 数据包深度过滤方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639694A (zh) * | 2018-12-20 | 2019-04-16 | 国云科技股份有限公司 | 一种基于规则树检索的防火墙数据包匹配算法 |
| CN110113356A (zh) * | 2019-05-22 | 2019-08-09 | 北京明朝万达科技股份有限公司 | 一种数据监测方法及装置 |
| CN112527953A (zh) * | 2020-11-20 | 2021-03-19 | 出门问问(武汉)信息科技有限公司 | 规则匹配方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104579823B (zh) | 一种基于大数据流的网络流量异常检测系统及方法 | |
| CN106534095A (zh) | 一种waf安全规则的快速匹配方法 | |
| CN103268350B (zh) | 一种互联网舆情信息监测系统及监测方法 | |
| CN104753931B (zh) | 一种基于正则表达式的深度报文检测方法 | |
| CN105306463B (zh) | 基于支持向量机的Modbus TCP入侵检测方法 | |
| CN105337991B (zh) | 一种一体化的报文流查找与更新方法 | |
| CN107959690A (zh) | 基于软件定义网络的DDoS攻击跨层协同防御方法 | |
| CN102035698A (zh) | 基于决策树分类算法的http隧道检测方法 | |
| CN103457909B (zh) | 一种僵尸网络检测方法及装置 | |
| CN101895521A (zh) | 一种网络蠕虫检测与特征自动提取方法及其系统 | |
| CN103200133A (zh) | 一种基于网络流引力聚类的流量识别方法 | |
| CN105491018B (zh) | 一种基于dpi技术的网络数据安全性分析方法 | |
| CN101599963A (zh) | 网络疑似威胁信息筛选器及筛选处理方法 | |
| CN104378264A (zh) | 一种基于sFlow的虚拟机进程流量监控方法 | |
| CN102117339A (zh) | 针对不安全网页文本的过滤监管方法 | |
| CN107370752A (zh) | 一种高效的远控木马检测方法 | |
| CN103475653A (zh) | 网络数据包的检测方法 | |
| CN103685224A (zh) | 网络入侵检测方法 | |
| CN107832344A (zh) | 一种基于storm流计算框架的食品安全网络舆情分析方法 | |
| CN109088903A (zh) | 一种基于流式的网络异常流量检测方法 | |
| CN106603326A (zh) | 基于异常反馈的NetFlow采样处理方法 | |
| CN102510388B (zh) | 基于自体半径可变的否定选择入侵检测方法 | |
| CN103685222A (zh) | 基于确定性有穷状态自动机的数据匹配检测方法 | |
| CN103746867B (zh) | 一种基于基函数的网络协议分析方法 | |
| CN109474598A (zh) | 一种基于数据包时序的恶意加密流量分析特征提取方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170322 |
|
| RJ01 | Rejection of invention patent application after publication |