CN109302421A - 应用系统安全防护策略优化方法及装置 - Google Patents

Abstract

本发明公开了一种应用系统安全防护策略优化方法及装置。针对目前单个WAF的防护可能会被绕过的问题，本发明通过旁路的异构冗余WAF策略进行多模表决，确定当前请求是否是恶意请求，并将优化的策略更新至串接的主WAF，从而提升识别率，降低误报。本发明通过异构冗余的第三方WAF的检测结果，为主WAF提供更多的样本素材；通过表决方式进一步精简样本，减少互为冲突的检测结果，同时增加结果的可信度。

Description

应用系统安全防护策略优化方法及装置

技术领域

本发明属于网络安全技术领域，具体是Web安全防护和拟态安全领域，涉及一种基于异构冗余动态表决的应用系统安全防护策略优化方法及装置。

背景技术

传统的应用系统防护技术主要是通过应用防火墙(WAF)进行HTTP请求的安全检测和过滤，来抵御SQL注入、XSS、命令执行等Web层的恶意攻击。而WAF的主要作用是通过特征匹配识别HTTP流量中是否存在攻击行为，并及时阻断攻击。

但实际应用中发现，特征匹配规则很容易被攻击者通过一定的技术变形绕过，从而将攻击载荷穿透WAF的防护直接攻击应用系统。而目前只能通过进一步优化特征库的质量来降低WAF的误报和漏洞率，但效果有限，无法很好的解决特征规则绕过问题。

发明内容

本发明所要解决的技术问题是克服上述现有技术存在的缺陷，提供一种基于异构冗余动态表决的应用系统安全防护策略优化方法，其通过旁路的异构冗余WAF策略进行多模表决，确定当前请求是否是恶意请求，并将优化的策略更新至串接的主WAF，从而提升识别率，降低误报。

为此，本发明采用如下的技术方案：应用系统安全防护策略优化方法，其包括步骤：

步骤1：用户发出的HTTP请求首先经过分发器D，将请求分发至旁路的m个异构WAF防护系统，设为{W1，W2，…，Wm}，m为≥3的奇数，同时按照正常路径分发至被防护应用系统前端串接的主WAF，进行正常的业务请求；

步骤2：设置{W1，W2，…，Wm}为旁路检测模式，开启异构WAF访问日志和告警日志，并将日志信息按统一格式转发至日志分析器S；异构WAF{W1，W2，…，Wm}分别收到相同的HTTP请求后，经过自身安全检测，生成对每个请求的日志信息发送至日志分析器；

步骤3：日志分析器对日志进行归类，选取相同请求的日志，归并访问日志和告警日志结果，生成对同一请求的m个异构WAF的判断结果；在归并访问日志和告警日志后的信息中，筛选出同一请求的日志有i条，i≤m；若i<m，说明部分WAF由于故障原因未生成日志，则舍弃其日志，汇总后将判断结果转发至表决器V；

步骤4：表决器V判断阳性结果/i是否超过阈值n，若大于等于n则判断为恶意请求，若小于n则判断为正常请求；

步骤5：表决器将表决结果转发至正式运行的主WAF，结果表示为{X,Y}的组合，X为请求内容，Y为布尔量；

步骤6：主WAF通过内置的策略机器学习接口，接收表决器的表决结果，作为机器学习样本进行定期学习，优化主WAF的防护策略。

本发明针对目前单个WAF的防护可能会被绕过的问题，通过旁路异构WAF对相同请求的判断结果，表决得出综合判断结果后反馈至主WAF进行策略更新，异构WAF可以是成熟的开源或商业WAF系统。

本发明的主WAF需要支持机器学习算法进行检测，并提供对外二次开发接口。

作为上述技术方案的补充，阈值n为0.5。

作为上述技术方案的补充，布尔量为0代表正常，为1代表恶意。

作为上述技术方案的补充，步骤3中，将这些日志中来源于告警日志的定义为{WAF_IP,1}，表示该WAF将该请求判定为阳性，即告警，将其中来源于访问日志的定义为{WAF_IP,0}，表示该WAF将该请求判定为阴性，即正常访问，WAF_IP为WAF的ip地址；若i<m，说明部分WAF由于故障原因未生成日志，则舍弃其日志，汇总后将判断结果转发至表决器V。

本发明的另一技术方案是提供一种应用系统安全防护策略优化装置，其包括：

HTTP请求分发模块：用户发出的HTTP请求首先经过分发器，将请求分发至旁路的m个异构WAF防护系统，设为{W1，W2，…，Wm}，m为≥3的奇数，同时按照正常路径分发至被防护应用系统前端串接的主WAF，进行正常的业务请求；

异构WAF模块：设置{W1，W2，…，Wm}为旁路检测模式，开启异构WAF访问日志和告警日志，并将日志信息按统一格式转发至日志分析器；异构WAF{W1，W2，…，Wm}分别收到相同的HTTP请求后，经过自身安全检测，生成对每个请求的日志信息发送至日志分析器；

日志分析器：对日志进行归类，选取相同请求的日志，归并访问日志和告警日志结果，生成对同一请求的m个异构WAF的判断结果；在归并访问日志和告警日志后的信息中，筛选出同一请求的日志有i条，i≤m；若i<m，说明部分WAF由于故障原因未生成日志，则舍弃其日志，汇总后将判断结果转发至表决器；

表决器：判断阳性结果/i是否超过阈值n，若大于等于n则判断为恶意请求，若小于n则判断为正常请求；将表决结果转发至正式运行的主WAF，结果表示为{X,Y}的组合，X为请求内容，Y为布尔量；

主WAF模块：主WAF通过内置的策略机器学习接口，接收表决器的表决结果，作为机器学习样本进行定期学习，优化主WAF的防护策略。

进一步地，表决器中，所述的阈值n为0.5。

进一步地，策略更新模块中，所述的布尔量为0代表正常，为1代表恶意。

进一步地，日志分析器中，将这些日志中来源于告警日志的定义为{WAF_IP,1}，表示该WAF将该请求判定为阳性，即告警，将其中来源于访问日志的定义为{WAF_IP,0}，表示该WAF将该请求判定为阴性，即正常访问，WAF_IP为WAF的ip地址。

本发明具有的有益效果如下：本发明通过旁路的异构冗余WAF策略进行多模表决，确定当前请求是否是恶意请求，并将优化的策略更新至串接的主WAF，提升了识别率，降低了误报。本发明通过异构冗余的第三方WAF的检测结果，为主WAF提供更多的样本素材；通过表决方式进一步精简样本，减少互为冲突的检测结果，同时增加结果的可信度。

附图说明

图1为本发明应用系统安全防护策略优化方法的原理框图；

图2为本发明应用系统安全防护策略优化装置的结构框图。

具体实施方式

下面结合实施例和说明书附图来对本发明进行进一步说明，但本发明的保护范围不限于下述实施例。在本发明的精神和权利要求的保护范围内，对本发明作出的任何修改和变更，都落入本发明的保护范围。

实施例1

本发明提供一种基于异构冗余动态表决的应用系统安全防护策略优化方法，如图1所示，其具体步骤如下：

1.用户发出的HTTP请求首先经过分发器D，将请求分发至旁路的m(m为>＝3的奇数)个异构WAF防护系统(设为{W1，W2，…，Wm})，同时按照正常路径分发至被防护应用系统前端串接的主WAF，进行正常的业务请求；

2.设置{W1，W2，…，Wm}为旁路检测模式，开启异构WAF访问日志和告警日志，并将日志信息按统一格式(如syslog格式)转发至日志分析器S。异构WAF{W1，W2，…，Wm}分别收到相同的HTTP请求后，经过自身安全检测，生成对每个请求的日志信息发送至日志分析器。

3.日志分析器对日志进行归类，选取相同请求的日志，归并访问日志和告警日志结果，生成对同一请求的m个异构WAF的判断结果，将这些日志中来源于告警日志的定义为{WAF_IP,1}，表示该WAF将该请求判定为阳性，即告警，将其中来源于访问日志的定义为{WAF_IP,0}，表示该WAF将该请求判定为阴性，即正常访问，WAF_IP为WAF的ip地址；在归并访问日志和告警日志后的信息中，筛选出同一请求的日志有i条，i≤m；若i<m，说明部分WAF由于故障原因未生成日志，则舍弃其日志，汇总后将判断结果转发至表决器V。

4.表决器V判断阳性结果/i是否超过阈值n，若大于等于n则判断为恶意请求，若小于n则判断为正常请求。n可配置，默认为0.5。

5.表决器将表决结果转发至正式运行的主WAF系统，结果表示为{X,Y}的组合，X为请求内容，Y为布尔量(0代表正常，1代表恶意)。

6.主WAF通过内置的策略机器学习接口，接收表决器的表决结果，作为机器学习样本进行定期学习，优化主WAF的防护策略。

实施例2

本实施例提供一种基于异构冗余动态表决的应用系统安全防护策略优化装置，如图2所示，其包括：

HTTP请求分发模块：用户发出的HTTP请求首先经过分发器，将请求分发至旁路的m个异构WAF防护系统，设为{W1，W2，…，Wm}，m为≥3的奇数，同时按照正常路径分发至被防护应用系统前端串接的主WAF，进行正常的业务请求；

异构WAF模块：设置{W1，W2，…，Wm}为旁路检测模式，开启异构WAF访问日志和告警日志，并将日志信息按统一格式转发至日志分析器；异构WAF{W1，W2，…，Wm}分别收到相同的HTTP请求后，经过自身安全检测，生成对每个请求的日志信息发送至日志分析器；

日志分析器：对日志进行归类，选取相同请求的日志，归并访问日志和告警日志结果，生成对同一请求的m个异构WAF的判断结果；在归并访问日志和告警日志后的信息中，筛选出同一请求的日志有i条，i≤m；若i<m，说明部分WAF由于故障原因未生成日志，则舍弃其日志，汇总后将判断结果转发至表决器；

表决器：判断阳性结果/i是否超过阈值n，若大于等于n则判断为恶意请求，若小于n则判断为正常请求；n可配置，默认为0.5。将表决结果转发至正式运行的主WAF，结果表示为{X,Y}的组合，X为请求内容，Y为布尔量；布尔量为0代表正常，为1代表恶意。

主WAF模块：主WAF通过内置的策略机器学习接口，接收表决器的表决结果，作为机器学习样本进行定期学习，优化主WAF的防护策略。

日志分析器中，将这些日志中来源于告警日志的定义为{WAF_IP,1}，表示该WAF将该请求判定为阳性，即告警，将其中来源于访问日志的定义为{WAF_IP,0}，表示该WAF将该请求判定为阴性，即正常访问，WAF_IP为WAF的ip地址。

Claims (8)

1.应用系统安全防护策略优化方法，其特征在于，包括步骤：

步骤1：用户发出的HTTP请求首先经过分发器D，将请求分发至旁路的m个异构WAF防护系统，设为{W1，W2，…，Wm}，m为≥3的奇数，同时按照正常路径分发至被防护应用系统前端串接的主WAF，进行正常的业务请求；

步骤2：设置{W1，W2，…，Wm}为旁路检测模式，开启异构WAF访问日志和告警日志，并将日志信息按统一格式转发至日志分析器S；异构WAF{W1，W2，…，Wm}分别收到相同的HTTP请求后，经过自身安全检测，生成对每个请求的日志信息发送至日志分析器；

步骤3：日志分析器对日志进行归类，选取相同请求的日志，归并访问日志和告警日志结果，生成对同一请求的m个异构WAF的判断结果；在归并访问日志和告警日志后的信息中，筛选出同一请求的日志有i条，i≤m；若i<m，说明部分WAF由于故障原因未生成日志，则舍弃其日志，汇总后将判断结果转发至表决器V；

步骤4：表决器V判断阳性结果/i是否超过阈值n，若大于等于n则判断为恶意请求，若小于n则判断为正常请求；

步骤5：表决器将表决结果转发至正式运行的主WAF，结果表示为{X,Y}的组合，X为请求内容，Y为布尔量；

步骤6：主WAF通过内置的策略机器学习接口，接收表决器的表决结果，作为机器学习样本进行定期学习，优化主WAF的防护策略。

2.根据权利要求1所述的应用系统安全防护策略优化方法，其特征在于，所述的阈值n为0.5。

3.根据权利要求1或2所述的应用系统安全防护策略优化方法，其特征在于，所述的布尔量为0代表正常，为1代表恶意。

4.根据权利要求1或2所述的应用系统安全防护策略优化方法，其特征在于，步骤3中，将这些日志中来源于告警日志的定义为{WAF_IP,1}，表示该WAF将该请求判定为阳性，即告警，将其中来源于访问日志的定义为{WAF_IP,0}，表示该WAF将该请求判定为阴性，即正常访问，WAF_IP为WAF的ip地址。

5.应用系统安全防护策略优化装置，其特征在于，包括：

HTTP请求分发模块：用户发出的HTTP请求首先经过分发器，将请求分发至旁路的m个异构WAF防护系统，设为{W1，W2，…，Wm}，m为≥3的奇数，同时按照正常路径分发至被防护应用系统前端串接的主WAF，进行正常的业务请求；

异构WAF模块：设置{W1，W2，…，Wm}为旁路检测模式，开启异构WAF访问日志和告警日志，并将日志信息按统一格式转发至日志分析器；异构WAF{W1，W2，…，Wm}分别收到相同的HTTP请求后，经过自身安全检测，生成对每个请求的日志信息发送至日志分析器；

日志分析器：对日志进行归类，选取相同请求的日志，归并访问日志和告警日志结果，生成对同一请求的m个异构WAF的判断结果；在归并访问日志和告警日志后的信息中，筛选出同一请求的日志有i条，i≤m；若i<m，说明部分WAF由于故障原因未生成日志，则舍弃其日志，汇总后将判断结果转发至表决器；

表决器：判断阳性结果/i是否超过阈值n，若大于等于n则判断为恶意请求，若小于n则判断为正常请求；将表决结果转发至正式运行的主WAF，结果表示为{X,Y}的组合，X为请求内容，Y为布尔量；

主WAF模块：主WAF通过内置的策略机器学习接口，接收表决器的表决结果，作为机器学习样本进行定期学习，优化主WAF的防护策略。

6.根据权利要求5所述的应用系统安全防护策略优化装置，其特征在于，表决器中，所述的阈值n为0.5。

7.根据权利要求5或6所述的应用系统安全防护策略优化方法，其特征在于，所述的布尔量为0代表正常，为1代表恶意。

8.根据权利要求5或6所述的应用系统安全防护策略优化方法，其特征在于，日志分析器中，将这些日志中来源于告警日志的定义为{WAF_IP,1}，表示该WAF将该请求判定为阳性，即告警，将其中来源于访问日志的定义为{WAF_IP,0}，表示该WAF将该请求判定为阴性，即正常访问，WAF_IP为WAF的ip地址。