CN112019546B - 一种防护策略调整方法、系统、设备及计算机存储介质 - Google Patents
一种防护策略调整方法、系统、设备及计算机存储介质 Download PDFInfo
- Publication number
- CN112019546B CN112019546B CN202010888253.2A CN202010888253A CN112019546B CN 112019546 B CN112019546 B CN 112019546B CN 202010888253 A CN202010888253 A CN 202010888253A CN 112019546 B CN112019546 B CN 112019546B
- Authority
- CN
- China
- Prior art keywords
- protection
- target
- strategy
- protection strategy
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种防护策略调整方法、系统、设备及介质,获取WAF在防护过程中生成的目标业务防护日志;对目标业务防护日志进行分析统计,得到目标业务防护日志中触发的目标防护策略及目标防护策略的目标触发信息;根据目标防护策略及目标触发信息,确定WAF的防护策略调整结果;基于防护策略调整结果对WAF的防护策略进行调整。本申请对WAF的目标业务防护日志分析统计得到目标防护策略及目标触发信息,并根据目标防护策略及目标触发信息自动确定WAF的防护策略调整结果,无需人工操作,效率高,且由于目标防护策略及目标触发信息反映了WAF的防护策略触发结果,所以防护策略调整结果与WAF的真实防护情况相适应,调整准确性高。
Description
技术领域
本申请涉及网络安全技术领域,更具体地说,涉及一种防护策略调整方法、系统、设备及计算机存储介质。
背景技术
当前,WAF(Web Application Firewall,WEB应用防火墙)是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备的一款产品,其集成全新的安全理念与先进的创新架构,保障用户核心应用与业务持续稳定的运行。然而,在WAF的应用过程中,可能出现误报问题,此时,需要根据WAF出现的误报问题对WAF的防护策略进行调整以避免误报的产生。
现有的WAF防护策略的调整方法是人工根据误报问题对WAF的防护策略进行调整,占用大量的人力资源且效率低。
综上所述,如何提高防护策略调整的效率是目前本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种防护策略调整方法,其能在一定程度上解决如何提高防护策略调整的效率的技术问题。本申请还提供了一种防护策略调整系统、设备及计算机可读存储介质。
为了实现上述目的,本申请提供如下技术方案:
一种防护策略调整方法,包括:
获取WAF在防护过程中生成的目标业务防护日志;
对所述目标业务防护日志进行分析统计,得到所述目标业务防护日志中触发的目标防护策略及所述目标防护策略的目标触发信息;
根据所述目标防护策略及所述目标触发信息,确定所述WAF的防护策略调整结果;
基于所述防护策略调整结果对所述WAF的防护策略进行调整。
优选的,所述获取WAF在防护过程中生成的目标业务防护日志,包括:
获取所述WAF在防护过程中生成的实时业务防护日志;
基于所述实时业务防护日志中,将时长大于等于预设时长且日志数量大于等于预设数量的日志区间作为目标日志区间;
将所述目标日志区间中的所述实时业务防护日志作为所述目标业务防护日志。
优选的,对所述目标业务防护日志进行分析统计,得到所述目标业务防护日志中触发的目标防护策略及所述目标防护策略的目标触发信息,包括:
对所述目标业务防护日志进行分析统计,得到所述目标业务防护日志中触发的第一防护策略及所述第一防护策略对应的第一触发信息;
基于所述第一触发信息,将触发数值小于预设值的所述第一防护策略删除;
将剩余的所述第一防护策略作为所述目标防护策略,将所述目标防护策略对应的所述第一触发信息作为所述目标触发信息。
优选的,所述基于所述第一触发信息,将触发数值小于预设值的所述第一防护策略删除,包括:
基于所述第一触发信息,将触发次数小于预设次数值的所述第一防护策略删除。
优选的,所述基于所述第一触发信息,将触发数值小于预设值的所述第一防护策略删除,包括:
基于所述第一触发信息,将触发次数与所述预设数量的比值小于第一预设值的所述第一防护策略删除。
优选的,所述基于所述第一触发信息,将触发数值小于预设值的所述第一防护策略删除,包括:
基于所述第一触发信息,将对应的访问源IP数量与所述预设数量的比值小于第二预设值的所述第一防护策略删除。
优选的,所述根据所述目标防护策略及所述目标触发信息,确定所述WAF的防护策略调整结果,包括:
对于单个所述目标触发策略,基于所述目标触发信息,确定所述目标防护策略关联的URL数量,确定所述目标防护策略对应的访问源IP数量;
对于单个所述目标触发策略,若所述目标防护策略关联的URL数量等于1,则生成表征将所述目标防护策略关联的URL添加至所述目标防护策略的白名单中的所述防护策略调整结果;
对于单个所述目标触发策略,若所述目标防护策略关联的URL数量与所述目标防护策略对应的访问源IP数量的比值属于第一数值区间,则生成表征将所述目标防护策略关联的URL添加至所述目标防护策略的白名单中或对所述目标防护策略关联的URL继续进行分析的所述防护策略调整结果;
对于单个所述目标触发策略,若所述目标防护策略关联的URL数量与所述目标防护策略对应的访问源IP数量的比值属于第二数值区间,则生成表征将所述目标防护策略禁用或对所述目标防护策略继续进行分析的所述防护策略调整结果;
对于单个所述目标触发策略,若所述目标防护策略关联的URL数量与所述目标防护策略对应的访问源IP数量的比值属于第三数值区间,则生成表征直接将所述目标防护策略禁用的所述防护策略调整结果;
其中,所述第三数值区间的值大于所述第二数值区间的值,且所述第二数值区间的值大于所述第一数值区间的值。
一种防护策略调整系统,包括:
第一获取模块,用于获取WAF在防护过程中生成的目标业务防护日志;
第一统计模块,用于对所述目标业务防护日志进行分析统计,得到所述目标业务防护日志中触发的目标防护策略及所述目标防护策略的目标触发信息;
第一确定模块,用于根据所述目标防护策略及所述目标触发信息,确定所述WAF的防护策略调整结果;
第一调整模块,用于基于所述防护策略调整结果对所述WAF的防护策略进行调整。
一种防护策略调整设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一所述防护策略调整方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述防护策略调整方法的步骤。
本申请提供的一种防护策略调整方法,获取WAF在防护过程中生成的目标业务防护日志;对目标业务防护日志进行分析统计,得到目标业务防护日志中触发的目标防护策略及目标防护策略的目标触发信息;根据目标防护策略及目标触发信息,确定WAF的防护策略调整结果;基于防护策略调整结果对WAF的防护策略进行调整。本申请中,可以根据WAF的目标业务防护日志分析统计得到目标防护策略及目标触发信息,并根据目标防护策略及目标触发信息,自动确定WAF的防护策略调整结果,无需人工操作,效率高,且由于目标防护策略及目标触发信息反映了WAF的防护策略触发结果,所以防护策略调整结果与WAF的真实防护情况相适应,调整准确性高。本申请提供的一种防护策略调整系统、设备及计算机可读存储介质也解决了相应技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种防护策略调整方法的流程图;
图2为本申请实施例提供的一种防护策略调整系统的结构示意图;
图3为本申请实施例提供的一种防护策略调整设备的结构示意图;
图4为本申请实施例提供的一种防护策略调整设备的另一结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,图1为本申请实施例提供的一种防护策略调整方法的流程图。
本申请实施例提供的一种防护策略调整方法,可以包括以下步骤:
步骤S101:获取WAF在防护过程中生成的目标业务防护日志。
实际应用中,可以先获取WAF在防护过程中生成的目标业务防护日志,也即获取在WAF防护策略的应用过程中,WAF生成的目标业务防护日志,目标业务防护日志的类型及内容可以根据实际需要确定,比如目标业务防护日志中可以包括日志发生时间、触发的防护策略条目、访问URL(Uniform Resource Locator,统一资源定位系统)、访问源IP、引擎采取的动作等。
步骤S102:对目标业务防护日志进行分析统计,得到目标业务防护日志中触发的目标防护策略及目标防护策略的目标触发信息。
实际应用中,在获取WAF在防护过程中生成的目标业务防护日志之后,由于目标业务防护日志记录了防护策略的应用,所以可以对目标业务防护日志进行分析统计,得到目标业务防护日志中触发的目标防护策略及目标防护策略的目标触发信息,目标触发信息携带的数据内容可以根据实际需要确定,比如目标触发信息可以包括防护策略的触发次数、触发防护策略的源IP数量、触发防护策略的源IP类型等。
步骤S103:根据目标防护策略及目标触发信息,确定WAF的防护策略调整结果。
实际应用中,因为无论是正确的防护策略触发情况还是错误的防护策略触发情况,目标触发信息均能够反映,所以在对目标业务防护日志进行分析统计,得到目标业务防护日志中触发的目标防护策略及目标防护策略的目标触发信息之后,可以自动根据目标防护策略及目标触发信息,确定WAF的防护策略调整结果。
步骤S104:基于防护策略调整结果对WAF的防护策略进行调整。
实际应用中,在根据目标防护策略及目标触发信息,确定WAF的防护策略调整结果之后,便可以基于防护策略调整结果对WAF的防护策略进行调整,并在调整之后,通知WAF重新加载调整后的防护策略,以便更新WAF的防护策略。
应当指出,具体应用场景中,为了进一步排除WAF的误报防护策略,在更新WAF的防护策略之后,还可以重新执行本申请提供的防护策略调整方法,判断新的防护策略调整结果中是否有之前确定的防护策略调整结果,若无,则表示防护策略调整成功。
本申请提供的一种防护策略调整方法,获取WAF在防护过程中生成的目标业务防护日志;对目标业务防护日志进行分析统计,得到目标业务防护日志中触发的目标防护策略及目标防护策略的目标触发信息;根据目标防护策略及目标触发信息,确定WAF的防护策略调整结果;基于防护策略调整结果对WAF的防护策略进行调整。本申请中,可以根据WAF的目标业务防护日志分析统计得到目标防护策略及目标触发信息,并根据目标防护策略及目标触发信息,自动确定WAF的防护策略调整结果,无需人工操作,效率高,且由于目标防护策略及目标触发信息反映了WAF的防护策略触发结果,所以防护策略调整结果与WAF的真实防护情况相适应,调整准确性高。
本申请实施例提供的一种防护策略调整方法中,在获取WAF在防护过程中生成的目标业务防护日志的过程中,可以获取WAF在防护过程中生成的实时业务防护日志;基于实时业务防护日志中,将时长大于等于预设时长且日志数量大于等于预设数量的日志区间作为目标日志区间;将目标日志区间中的实时业务防护日志作为目标业务防护日志。也即只将时长大于预设时长且日志数量大于业务防护日志的日志区间作为目标日志区间,只将目标日志区间中的实时业务防护日志作为目标业务防护日志,这样可以保证获取的目标业务防护日志连续且日志数较多,后续根据目标业务防护日志进行防护策略调整的话,可以使得防护策略调整结果较为准确。
应当指出,预设数量的具体值可以根据实际需要确定,比如可以为目标日志区间的时长所对应的秒级数值等,比如目标日志区间的时长为1小时,则预设数量可以为3600等。
本申请实施例提供的一种防护策略调整方法中,在对目标业务防护日志进行分析统计,得到目标业务防护日志中触发的目标防护策略及目标防护策略的目标触发信息的过程中,虽然目标业务防护日志会记录每个被触发的防护策略及相应触发信息,但并非所有被触发的防护策略均需要调整,为了更为准确的调整防护策略,可以只对触发数值较大的防护策略进行调整,因为触发数值大的防护策略为误报的概率越大,也即可以对目标业务防护日志进行分析统计,得到目标业务防护日志中触发的第一防护策略及第一防护策略对应的第一触发信息;基于第一触发信息,将触发数值小于预设值的第一防护策略删除;将剩余的第一防护策略作为目标防护策略,将目标防护策略对应的第一触发信息作为目标触发信息。
实际应用中,为了避免局部样本容量太小,造成后续统计误差,在基于第一触发信息,将触发数值小于预设值的第一防护策略删除的过程中,可以基于第一触发信息,将触发次数小于预设次数值的第一防护策略删除。比如将触发次数小于50次的第一防护策略删除等,预设次数值可以根据实际需要确定。
实际应用中,如果一条防护策略的触发次数在总触发次数中占比太小,则可以认为该防护策略是偶然触发,并非误触发,因此在基于第一触发信息,将触发数值小于预设值的第一防护策略删除的过程中,可以基于第一触发信息,将触发次数与预设数量的比值小于第一预设值的第一防护策略删除,以删除该类防护策略。比如将触发次数与预设处理的比值小于0.01的第一防护策略删除等,第一预设值可以根据实际需要确定。
实际应用中,如果只是小范围的访问源IP触发该条防护策略,则表明该条防护策略的触发不具有普遍性,该条防护策略不属于误触发,因此在基于第一触发信息,将触发数值小于预设值的第一防护策略删除的过程中,可以基于第一触发信息,将对应的访问源IP数量与预设数量的比值小于第二预设值的第一防护策略删除,以删除该类防护策略。比如将对应的访问源IP数量与预设数量的比值小于0.01的第一防护策略删除等,第二预设值可以根据实际需要确定。
应当指出,本申请中并不限制基于第一触发信息,将触发数值小于预设值的第一防护策略删除的具体方式,比如可以先基于第一触发信息,将触发次数小于预设次数值的第一防护策略删除,再基于第一触发信息,将触发次数与预设数量的比值小于第一预设值的第一防护策略删除,最后基于第一触发信息,将对应的访问源IP数量与预设数量的比值小于第二预设值的第一防护策略删除,以得到最终的目标防护策略等。
本申请实施例提供的一种防护策略调整方法中,WAF的防护策略误报情况中,不仅可能出现由防护策略自身引起的误报,还可能出现由URL引起的误报,因此,在根据目标防护策略及目标触发信息,确定WAF的防护策略调整结果的过程中,需要确定到底是防护策略引起的误报还是URL引起的误报,并据此生成相应的防护策略调整结果,具体的,可以包括以下步骤:
对于单个目标触发策略,可以基于目标触发信息,确定目标防护策略关联的URL数量,确定目标防护策略对应的访问源IP数量;
对于单个目标触发策略,若目标防护策略关联的URL数量等于1,则生成表征将目标防护策略关联的URL添加至目标防护策略的白名单中的防护策略调整结果;
对于单个目标触发策略,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第一数值区间,则生成表征将目标防护策略关联的URL添加至目标防护策略的白名单中或对目标防护策略关联的URL继续进行分析的防护策略调整结果;
对于单个目标触发策略,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第二数值区间,则生成表征将目标防护策略禁用或对目标防护策略继续进行分析的防护策略调整结果;
对于单个目标触发策略,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第三数值区间,则生成表征直接将目标防护策略禁用的防护策略调整结果;其中,第三数值区间的值大于第二数值区间的值,且第二数值区间的值大于第一数值区间的值。
实际应用中,因为单个目标防护策略关联的URL数量等于1的话,则一定是由该URL导致的防护策略误报,所以可以生成表征将目标防护策略关联的URL添加至目标防护策略的白名单中的防护策略调整结果,这样,后续WAF便不会再生成与该URL对应的误报信息;相应的,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第一数值区间,则表明该URL很大程度上是导致WAF防护策略误报的原因,此时可以生成表征将目标防护策略关联的URL添加至目标防护策略的白名单中或对目标防护策略关联的URL继续进行分析的防护策略调整结果;相应的,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第二数值区间,则表明防护策略本身很大程度上是引发误报的原因,此时可以生成表征将目标防护策略禁用或对目标防护策略继续进行分析的防护策略调整结果;相应的,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第三数值区间,则表明防护策略本身一定是引发误报的原因,此时可以生成表征直接将目标防护策略禁用的防护策略调整结果。
应当指出,第三数值区间、第二数值区间、第一数值区间的值均可以根据实际需要确定,比如第一数值区间可以为小于0.005的数值区间,第二数值区间可以为0.5至0.95间的数值区间,第三数值区间可以为大于0.95的数值区间等。且对目标防护策略关联的URL及对目标防护策略继续进行分析的方式可以为人工分析方式,也即可以由人工对目标防护策略关联的URL及对目标防护策略进行误报分析,后续需要根据人工分析结果来确定最终的防护策略调整结果。
请参阅图2,图2为本申请实施例提供的一种防护策略调整系统的结构示意图。
本申请实施例提供的一种防护策略调整系统,可以包括:
第一获取模块101,用于获取WAF在防护过程中生成的目标业务防护日志;
第一统计模块102,用于对目标业务防护日志进行分析统计,得到目标业务防护日志中触发的目标防护策略及目标防护策略的目标触发信息;
第一确定模块103,用于根据目标防护策略及目标触发信息,确定WAF的防护策略调整结果;
第一调整模块104,用于基于防护策略调整结果对WAF的防护策略进行调整。
本申请实施例提供的一种防护策略调整系统,第一获取模块可以包括:
第一获取子模块,用于获取WAF在防护过程中生成的实时业务防护日志;
第一确定子模块,用于基于实时业务防护日志中,将时长大于等于预设时长且日志数量大于等于预设数量的日志区间作为目标日志区间;
第二确定子模块,用于将目标日志区间中的实时业务防护日志作为目标业务防护日志。
本申请实施例提供的一种防护策略调整系统,第一统计模块可以包括:
第一统计子模块,用于对目标业务防护日志进行分析统计,得到目标业务防护日志中触发的第一防护策略及第一防护策略对应的第一触发信息;
第一删除子模块,用于基于第一触发信息,将触发数值小于预设值的第一防护策略删除;
第一设置子模块,用于将剩余的第一防护策略作为目标防护策略,将目标防护策略对应的第一触发信息作为目标触发信息。
本申请实施例提供的一种防护策略调整系统,第一删除子模块可以包括:
第一删除单元,用于基于第一触发信息,将触发次数小于预设次数值的第一防护策略删除。
本申请实施例提供的一种防护策略调整系统,第一删除子模块可以包括:
第二删除单元,用于基于第一触发信息,将触发次数与预设数量的比值小于第一预设值的第一防护策略删除。
本申请实施例提供的一种防护策略调整系统,第一删除子模块可以包括:
第三删除单元,用于基于第一触发信息,将对应的访问源IP数量与预设数量的比值小于第二预设值的第一防护策略删除。
本申请实施例提供的一种防护策略调整系统,第一确定模块可以包括:
第一确定单元,用于对于单个目标触发策略,基于目标触发信息,确定目标防护策略关联的URL数量,确定目标防护策略对应的访问源IP数量;
第一生成单元,用于对于单个目标触发策略,若目标防护策略关联的URL数量等于1,则生成表征将目标防护策略关联的URL添加至目标防护策略的白名单中的防护策略调整结果;
第二生成单元,用于对于单个目标触发策略,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第一数值区间,则生成表征将目标防护策略关联的URL添加至目标防护策略的白名单中或对目标防护策略关联的URL继续进行分析的防护策略调整结果;
第三生成单元,用于对于单个目标触发策略,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第二数值区间,则生成表征将目标防护策略禁用或对目标防护策略继续进行分析的防护策略调整结果;
第四生成单元,用于对于单个目标触发策略,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第三数值区间,则生成表征直接将目标防护策略禁用的防护策略调整结果;
其中,第三数值区间的值大于第二数值区间的值,且第二数值区间的值大于第一数值区间的值。
本申请还提供了一种防护策略调整设备及计算机可读存储介质,其均具有本申请实施例提供的一种防护策略调整方法具有的对应效果。请参阅图3,图3为本申请实施例提供的一种防护策略调整设备的结构示意图。
本申请实施例提供的一种防护策略调整设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:
获取WAF在防护过程中生成的目标业务防护日志;
对目标业务防护日志进行分析统计,得到目标业务防护日志中触发的目标防护策略及目标防护策略的目标触发信息;
根据目标防护策略及目标触发信息,确定WAF的防护策略调整结果;
基于防护策略调整结果对WAF的防护策略进行调整。
本申请实施例提供的一种防护策略调整设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:获取WAF在防护过程中生成的实时业务防护日志;基于实时业务防护日志中,将时长大于等于预设时长且日志数量大于等于预设数量的日志区间作为目标日志区间;将目标日志区间中的实时业务防护日志作为目标业务防护日志。
本申请实施例提供的一种防护策略调整设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:对目标业务防护日志进行分析统计,得到目标业务防护日志中触发的第一防护策略及第一防护策略对应的第一触发信息;基于第一触发信息,将触发数值小于预设值的第一防护策略删除;将剩余的第一防护策略作为目标防护策略,将目标防护策略对应的第一触发信息作为目标触发信息。
本申请实施例提供的一种防护策略调整设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:基于第一触发信息,将触发次数小于预设次数值的第一防护策略删除。
本申请实施例提供的一种防护策略调整设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:基于第一触发信息,将触发次数与预设数量的比值小于第一预设值的第一防护策略删除。
本申请实施例提供的一种防护策略调整设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:基于第一触发信息,将对应的访问源IP数量与预设数量的比值小于第二预设值的第一防护策略删除。
本申请实施例提供的一种防护策略调整设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:对于单个目标触发策略,基于目标触发信息,确定目标防护策略关联的URL数量,确定目标防护策略对应的访问源IP数量;对于单个目标触发策略,若目标防护策略关联的URL数量等于1,则生成表征将目标防护策略关联的URL添加至目标防护策略的白名单中的防护策略调整结果;对于单个目标触发策略,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第一数值区间,则生成表征将目标防护策略关联的URL添加至目标防护策略的白名单中或对目标防护策略关联的URL继续进行分析的防护策略调整结果;对于单个目标触发策略,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第二数值区间,则生成表征将目标防护策略禁用或对目标防护策略继续进行分析的防护策略调整结果;对于单个目标触发策略,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第三数值区间,则生成表征直接将目标防护策略禁用的防护策略调整结果;其中,第三数值区间的值大于第二数值区间的值,且第二数值区间的值大于第一数值区间的值。
请参阅图4,本申请实施例提供的另一种防护策略调整设备中还可以包括:与处理器202连接的输入端口203,用于传输外界输入的命令至处理器202;与处理器202连接的显示单元204,用于显示处理器202的处理结果至外界;与处理器202连接的通信模块205,用于实现防护策略调整设备与外界的通信。显示单元204可以为显示面板、激光扫描使显示器等;通信模块205所采用的通信方式包括但不局限于移动高清链接技术(HML)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线连接:无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:
获取WAF在防护过程中生成的目标业务防护日志;
对目标业务防护日志进行分析统计,得到目标业务防护日志中触发的目标防护策略及目标防护策略的目标触发信息;
根据目标防护策略及目标触发信息,确定WAF的防护策略调整结果;
基于防护策略调整结果对WAF的防护策略进行调整。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:获取WAF在防护过程中生成的实时业务防护日志;基于实时业务防护日志中,将时长大于等于预设时长且日志数量大于等于预设数量的日志区间作为目标日志区间;将目标日志区间中的实时业务防护日志作为目标业务防护日志。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:对目标业务防护日志进行分析统计,得到目标业务防护日志中触发的第一防护策略及第一防护策略对应的第一触发信息;基于第一触发信息,将触发数值小于预设值的第一防护策略删除;将剩余的第一防护策略作为目标防护策略,将目标防护策略对应的第一触发信息作为目标触发信息。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:基于第一触发信息,将触发次数小于预设次数值的第一防护策略删除。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:基于第一触发信息,将触发次数与预设数量的比值小于第一预设值的第一防护策略删除。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:基于第一触发信息,将对应的访问源IP数量与预设数量的比值小于第二预设值的第一防护策略删除。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:对于单个目标触发策略,基于目标触发信息,确定目标防护策略关联的URL数量,确定目标防护策略对应的访问源IP数量;对于单个目标触发策略,若目标防护策略关联的URL数量等于1,则生成表征将目标防护策略关联的URL添加至目标防护策略的白名单中的防护策略调整结果;对于单个目标触发策略,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第一数值区间,则生成表征将目标防护策略关联的URL添加至目标防护策略的白名单中或对目标防护策略关联的URL继续进行分析的防护策略调整结果;对于单个目标触发策略,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第二数值区间,则生成表征将目标防护策略禁用或对目标防护策略继续进行分析的防护策略调整结果;对于单个目标触发策略,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第三数值区间,则生成表征直接将目标防护策略禁用的防护策略调整结果;其中,第三数值区间的值大于第二数值区间的值,且第二数值区间的值大于第一数值区间的值。
本申请所涉及的计算机可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。
本申请实施例提供的防护策略调整系统、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的防护策略调整方法中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种防护策略调整方法,其特征在于,包括:
获取WAF在防护过程中生成的目标业务防护日志;
对所述目标业务防护日志进行分析统计,得到所述目标业务防护日志中触发的目标防护策略及所述目标防护策略的目标触发信息;
根据所述目标防护策略及所述目标触发信息,确定所述WAF的防护策略调整结果;
基于所述防护策略调整结果对所述WAF的防护策略进行调整;
所述获取WAF在防护过程中生成的目标业务防护日志,包括:
获取所述WAF在防护过程中生成的实时业务防护日志;
基于所述实时业务防护日志中,将时长大于等于预设时长且日志数量大于等于预设数量的日志区间作为目标日志区间;
将所述目标日志区间中的所述实时业务防护日志作为所述目标业务防护日志;
所述根据所述目标防护策略及所述目标触发信息,确定所述WAF的防护策略调整结果,包括:
对于单个所述目标防护策略,基于所述目标触发信息,确定所述目标防护策略关联的URL数量,确定所述目标防护策略对应的访问源IP数量;
对于单个所述目标防护策略,若所述目标防护策略关联的URL数量等于1,则生成表征将所述目标防护策略关联的URL添加至所述目标防护策略的白名单中的所述防护策略调整结果;
对于单个所述目标防护策略,若所述目标防护策略关联的URL数量与所述目标防护策略对应的访问源IP数量的比值属于第一数值区间,则生成表征将所述目标防护策略关联的URL添加至所述目标防护策略的白名单中或对所述目标防护策略关联的URL继续进行分析的所述防护策略调整结果;
对于单个所述目标防护策略,若所述目标防护策略关联的URL数量与所述目标防护策略对应的访问源IP数量的比值属于第二数值区间,则生成表征将所述目标防护策略禁用或对所述目标防护策略继续进行分析的所述防护策略调整结果;
对于单个所述目标防护策略,若所述目标防护策略关联的URL数量与所述目标防护策略对应的访问源IP数量的比值属于第三数值区间,则生成表征直接将所述目标防护策略禁用的所述防护策略调整结果;
其中,所述第三数值区间的值大于所述第二数值区间的值,且所述第二数值区间的值大于所述第一数值区间的值。
2.根据权利要求1所述的方法,其特征在于,对所述目标业务防护日志进行分析统计,得到所述目标业务防护日志中触发的目标防护策略及所述目标防护策略的目标触发信息,包括:
对所述目标业务防护日志进行分析统计,得到所述目标业务防护日志中触发的第一防护策略及所述第一防护策略对应的第一触发信息;
基于所述第一触发信息,将触发数值小于预设值的所述第一防护策略删除;
将剩余的所述第一防护策略作为所述目标防护策略,将所述目标防护策略对应的所述第一触发信息作为所述目标触发信息。
3.根据权利要求2所述的方法,其特征在于,所述基于所述第一触发信息,将触发数值小于预设值的所述第一防护策略删除,包括:
基于所述第一触发信息,将触发次数小于预设次数值的所述第一防护策略删除。
4.根据权利要求2所述的方法,其特征在于,所述基于所述第一触发信息,将触发数值小于预设值的所述第一防护策略删除,包括:
基于所述第一触发信息,将触发次数与所述预设数量的比值小于第一预设值的所述第一防护策略删除。
5.根据权利要求2所述的方法,其特征在于,所述基于所述第一触发信息,将触发数值小于预设值的所述第一防护策略删除,包括:
基于所述第一触发信息,将对应的访问源IP数量与所述预设数量的比值小于第二预设值的所述第一防护策略删除。
6.一种防护策略调整系统,其特征在于,包括:
第一获取模块,用于获取WAF在防护过程中生成的目标业务防护日志;
第一统计模块,用于对所述目标业务防护日志进行分析统计,得到所述目标业务防护日志中触发的目标防护策略及所述目标防护策略的目标触发信息;
第一确定模块,用于根据所述目标防护策略及所述目标触发信息,确定所述WAF的防护策略调整结果;
第一调整模块,用于基于所述防护策略调整结果对所述WAF的防护策略进行调整;
所述第一获取模块包括:
第一获取子模块,用于获取WAF在防护过程中生成的实时业务防护日志;
第一确定子模块,用于基于实时业务防护日志中,将时长大于等于预设时长且日志数量大于等于预设数量的日志区间作为目标日志区间;
第二确定子模块,用于将目标日志区间中的实时业务防护日志作为目标业务防护日志;
所述第一确定模块包括:
第一确定单元,用于对于单个目标防护策略,基于目标触发信息,确定目标防护策略关联的URL数量,确定目标防护策略对应的访问源IP数量;
第一生成单元,用于对于单个目标防护策略,若目标防护策略关联的URL数量等于1,则生成表征将目标防护策略关联的URL添加至目标防护策略的白名单中的防护策略调整结果;
第二生成单元,用于对于单个目标防护策略,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第一数值区间,则生成表征将目标防护策略关联的URL添加至目标防护策略的白名单中或对目标防护策略关联的URL继续进行分析的防护策略调整结果;
第三生成单元,用于对于单个目标防护策略,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第二数值区间,则生成表征将目标防护策略禁用或对目标防护策略继续进行分析的防护策略调整结果;
第四生成单元,用于对于单个目标防护策略,若目标防护策略关联的URL数量与目标防护策略对应的访问源IP数量的比值属于第三数值区间,则生成表征直接将目标防护策略禁用的防护策略调整结果;
其中,第三数值区间的值大于第二数值区间的值,且第二数值区间的值大于第一数值区间的值。
7.一种防护策略调整设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至5任一项所述防护策略调整方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述防护策略调整方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010888253.2A CN112019546B (zh) | 2020-08-28 | 2020-08-28 | 一种防护策略调整方法、系统、设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010888253.2A CN112019546B (zh) | 2020-08-28 | 2020-08-28 | 一种防护策略调整方法、系统、设备及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112019546A CN112019546A (zh) | 2020-12-01 |
| CN112019546B true CN112019546B (zh) | 2022-11-25 |
Family
ID=73503007
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010888253.2A Active CN112019546B (zh) | 2020-08-28 | 2020-08-28 | 一种防护策略调整方法、系统、设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112019546B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114499998B (zh) * | 2021-12-31 | 2024-05-10 | 奇安信科技集团股份有限公司 | 安全防护方法、装置、电子设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105827627A (zh) * | 2016-04-29 | 2016-08-03 | 北京网康科技有限公司 | 一种信息获取方法和装置 |
| CN109639743A (zh) * | 2018-12-13 | 2019-04-16 | 成都亚信网络安全产业技术研究院有限公司 | 一种防火墙策略检测方法及设备 |
| CN111277586A (zh) * | 2020-01-17 | 2020-06-12 | 武汉思普崚技术有限公司 | 一种防火墙安全策略的调整方法及装置 |
| CN111371766A (zh) * | 2020-02-27 | 2020-07-03 | 中电福富信息科技有限公司 | 一种基于日志的防火墙策略管理方法及其系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9338134B2 (en) * | 2013-03-27 | 2016-05-10 | Fortinet, Inc. | Firewall policy management |
| CN107743118B (zh) * | 2017-09-25 | 2020-11-03 | 奇安信科技集团股份有限公司 | 一种分级式网络安全防护方法及装置 |
| CN110210231B (zh) * | 2019-06-04 | 2023-07-14 | 深信服科技股份有限公司 | 一种安全防护方法、系统、设备及计算机可读存储介质 |
-
2020
- 2020-08-28 CN CN202010888253.2A patent/CN112019546B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105827627A (zh) * | 2016-04-29 | 2016-08-03 | 北京网康科技有限公司 | 一种信息获取方法和装置 |
| CN109639743A (zh) * | 2018-12-13 | 2019-04-16 | 成都亚信网络安全产业技术研究院有限公司 | 一种防火墙策略检测方法及设备 |
| CN111277586A (zh) * | 2020-01-17 | 2020-06-12 | 武汉思普崚技术有限公司 | 一种防火墙安全策略的调整方法及装置 |
| CN111371766A (zh) * | 2020-02-27 | 2020-07-03 | 中电福富信息科技有限公司 | 一种基于日志的防火墙策略管理方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112019546A (zh) | 2020-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110609937A (zh) | 一种爬虫识别方法及装置 | |
| CN112311617A (zh) | 一种配置化数据监控告警方法及系统 | |
| CN109685144B (zh) | 一种对视频模型做评估的方法、装置及电子设备 | |
| US11062350B2 (en) | Method, apparatus, and device for monitoring promotion status data, and non-volatile computer storage medium | |
| CN104881408A (zh) | 页面点击次数统计及结果展示方法、装置和系统 | |
| CN111404937B (zh) | 一种服务器漏洞的检测方法和装置 | |
| CN107306200B (zh) | 网络故障预警方法和用于网络故障预警的网关 | |
| CN103974057A (zh) | 一种视频质量用户体验值测评方法、设备及系统 | |
| CN106713242B (zh) | 数据请求的处理方法及处理装置 | |
| CN110941632A (zh) | 一种数据库审计方法、装置及设备 | |
| CN112019546B (zh) | 一种防护策略调整方法、系统、设备及计算机存储介质 | |
| CN111193727A (zh) | 运行监测系统及运行监测方法 | |
| CN110784358A (zh) | 网络调用关系拓扑图的构建方法及装置 | |
| CN112087455B (zh) | 一种waf站点防护规则生成方法、系统、设备及介质 | |
| CN114640504A (zh) | Cc攻击防护方法、装置、设备和存储介质 | |
| CN111625700B (zh) | 防抓取的方法、装置、设备及计算机存储介质 | |
| CN104811418A (zh) | 病毒检测的方法及装置 | |
| CN110933070A (zh) | 一种用户识别方法、系统、设备及计算机可读存储介质 | |
| US9118563B2 (en) | Methods and apparatus for detecting and filtering forced traffic data from network data | |
| CN110830321A (zh) | 网站的检测调度方法及装置、存储介质、系统 | |
| CN108536604B (zh) | 一种测试web页面响应时间的方法及终端 | |
| CN108449224B (zh) | 数据获取方法、装置、设备和存储介质 | |
| CN112579682A (zh) | 数据模型变更的通知方法、装置、电子设备及存储介质 | |
| CN110557324A (zh) | 未读im消息处理方法及装置 | |
| EP3809675A1 (en) | Big-data-based business logic learning method and protection method and apparatuses thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |