CN113660251B - 减少waf误报方法、系统、存储介质及终端设备 - Google Patents
减少waf误报方法、系统、存储介质及终端设备 Download PDFInfo
- Publication number
- CN113660251B CN113660251B CN202110924154.XA CN202110924154A CN113660251B CN 113660251 B CN113660251 B CN 113660251B CN 202110924154 A CN202110924154 A CN 202110924154A CN 113660251 B CN113660251 B CN 113660251B
- Authority
- CN
- China
- Prior art keywords
- current
- http request
- list
- sub
- waf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种减少WAF误报方法、系统、存储介质及终端设备,属于网络安全的技术领域;该方法包括:接收HTTP请求,获得HTTP请求相对应的当前IP,并判断当前IP是否存在于IP总列表中;若否,则检测当前IP是否存在攻击特性;若否,则对HTTP请求进行放行标记;将当前IP置于行为分析规则中,在IP总列表中查找出当前IP可归属的IP分列表,将当前IP添加至查找出的IP分列表中;执行与IP分列表相对应的关联控制规则,以对HTTP请求进行放行或防护控制。本发明通过关联多个防护规则进行综合分析,准确的判断WEB应用的正常业务中出现触发正则或语法语义规则和/或威胁情报中存在威胁的IP等情况下是否存在攻击行为以减少误报率。
Description
技术领域
本发明涉及网络安全的技术领域,特别是涉及一种减少WAF误报方法、系统、存储介质及终端设备。
背景技术
当WEB应用越来越为丰富的同时,WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件频繁发生。普通的WEB应用防火墙(简称WAF),部署在WEB应用前面,对用户的请求在到达WEB服务器之前进行扫描,分析并校验每个请求,对存在攻击行为的请求进行阻断。然而,随着相对应的WAF需求量越来越大,WAF误报的几率也越来越高;在某些业务场景下,一旦出现误报,会导致业务中断,并无法自动解决,需要技术人员参与分析HTTP报文,关闭相应的防护功能。
目前,WAF对HTTP请求报文的分析和检测,主要是通过正则表达式或者语法语义的分析,HTTP请求报文一旦符合正则或语法语义的规则,直接进行阻断。但是,WEB应用的正常业务中出现触发这些规则,就会导致误报的发生;此外,威胁情报会提供默写存在威胁的IP,如果直接使用,也会导致误报的发生。
因此,如何降低WEB应用的正常业务中出现触发正则或语法语义规则和/或威胁情报中存在威胁的IP等情况,对WAF误报率的影响是目前本领域技术人员亟待解决的问题。
发明内容
基于此,本发明提供了一种减少WAF误报方法、系统、存储介质及终端设备,通过关联多个防护规则进行综合分析,动态调整防护功能,准确的判断WEB应用的正常业务中出现触发正则或语法语义规则和/或威胁情报中存在威胁的IP等情况下是否存在攻击行为以减少误报率。
本发明实施例提供一种减少WAF误报方法,具体技术方案如下:
一种减少WAF误报方法,所述方法包括:
接收HTTP请求,获得所述HTTP请求相对应的当前IP,并判断所述当前IP是否存在于IP总列表中;
若否,则检测所述当前IP是否存在攻击特性;
若否,则对所述HTTP请求进行放行标记;
将所述当前IP置于行为分析规则中,在所述IP总列表中查找出所述当前IP可归属的IP分列表,将所述当前IP添加至查找出的所述IP分列表中;
执行与所述IP分列表相对应的关联控制规则,以对所述HTTP请求进行放行或防护控制。
相比现有技术,本发明方法的有益效果为:先通过接收HTTP请求相对应的当前IP否存在于IP总列表中,若否则说明该HTTP请求大概率为WEB应用的正常业务中出现触发正则或语法语义规则,或者威胁情报中存在威胁的IP等情况,进一步检测当前IP存在攻击特征被阻断,而不存在攻击特性的当前IP经行为分析规则可将其归类并添加至IP总列表相对应的IP分列表中,通过执行与IP分列表相对应的关联控制规则,以使对HTTP请求进行放行或防护控制;本发明方法通过关联多个威胁情报、防护规则和行为分析,多个维度综合考评,更加准确的判断WEB应用的正常业务中出现触发正则或语法语义规则和/或威胁情报中存在威胁的IP等情况下是否存在攻击行为,减少误报的发生。
较佳地,所述检测所述当前IP是否存在攻击特性的步骤包括:
解析所述HTTP请求的内容;
校验所述HTTP请求的内容,以检测所述当前IP是否存在攻击特性。
较佳地,所述将所述当前IP置于行为分析规则中,以使在所述IP总列表中查找出所述当前IP可归属的IP分列表,将所述当前IP添加至查找出的所述IP分列表中的步骤包括:
将所述当前IP与行为分析规则所包含的匹配条件进行匹配;
对匹配后的所述当前IP根据所述行为分析规则所包含的测量指标进行归类,以使在所述IP总列表中查找出所述当前IP可归属的IP分列表;
将所述当前IP添加至查找出的所述IP分列表中。
较佳地,所述接收HTTP请求,获得所述HTTP请求相对应的当前IP,并判断所述当前IP是否存在于IP总列表中的步骤之后,所述方法还包括:
若是,则查找出所述当前IP在所述IP总列表中对应的IP分列表,并执行与所述IP分列表对应的关联控制规则,以对所述HTTP请求进行放行或阻断控制。
较佳地,所述解析并校验所述HTTP请求,检测所述当前IP是否存在攻击特性的步骤之后,所述方法还包括:
若是,则对所述HTTP请求进行阻断标记,并对所述当前IP打上标签;
将所述当前IP添加至所述IP总列表对应的IP分列表;
执行与所述IP分列表对应的关联控制规则,以使对所述HTTP请求进行阻断控制。
进一步地,本发明的另一个实施例提出一种减少WAF误报系统,所述系统包括:
判断模块:用于接收HTTP请求,获得所述HTTP请求相对应的当前IP,并判断所述当前IP是否存在于IP总列表中;
检测模块:用于若所述当前IP不存在于所述IP总列表中,则检测所述当前IP是否存在攻击特性;
第一标示模块:用于若所述当前IP不存在于所述IP总列表中,且所述当前IP不存在攻击特性,则对所述HTTP请求进行放行标记,并对所述当前IP打上标签;
第一归类模块:将所述当前IP置于行为分析规则中,以使在所述IP总列表中查找出所述当前IP可归属的IP分列表,将所述当前IP添加至查找出的所述IP分列表中;
第一执行模块:执行与所述IP分列表相对应的关联控制规则,以使对所述HTTP请求进行放行或防护控制。
相比现有技术,本发明系统的有益效果为:先通过所述判断模块接收HTTP请求相对应的当前IP否存在于IP总列表中,若否则说明该HTTP请求大概率为WEB应用的正常业务中出现触发正则或语法语义规则,或者威胁情报中存在威胁的IP等情况,进一步所述检测模块检测当前IP存在攻击特征被阻断,而不存在攻击特性的当前IP经所述第一归类模块的行为分析规则可将其归类并添加至IP总列表相对应的IP分列表中,最后通过所述第一执行模块执行与IP分列表相对应的关联控制规则,以使对HTTP请求进行放行或防护控制;本发明方法通过关联多个威胁情报、防护规则和行为分析,多个维度综合考评,更加准确的判断WEB应用的正常业务中出现触发正则或语法语义规则和/或威胁情报中存在威胁的IP等情况下是否存在攻击行为,减少误报的发生。
较佳地,所述检测模块包括:
解析单元:用于解析所述HTTP请求的内容;
校验单元:用于校验所述HTTP请求的内容,以检测所述当前IP是否存在攻击特性。
较佳地,所述归类模块包括:
匹配单元:用于将所述当前IP与行为分析规则所包含的匹配条件进行匹配;
归属单元:用于对匹配后的所述当前IP根据所述行为分析规则所包含的测量指标进行归类,以使在所述IP总列表中查找出所述当前IP可归属的IP分列表;
添加单元:用于将所述当前IP添加至查找出的所述IP分列表中。
较佳地,所述系统还包括:第二执行模块,用于若是,则查找出所述当前IP在所述IP总列表中对应的IP分列表,并执行与所述IP分列表对应的关联控制规则,以使对所述HTTP请求进行放行或阻断控制。
较佳地,所述系统还包括:
第二标示模块,用于若所述当前IP存在于所述IP总列表中,则对所述HTTP请求进行阻断标记;
第二归类模块:用于将所述当前IP添加至所述IP总列表对应的IP分列表;
第三执行模块:用于执行与所述IP分列表对应的关联控制规则,以使对所述HTTP请求进行阻断控制。
进一步地,本发明的另一个实施例提出一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述中任意一项所述的减少WAF误报方法的步骤。
进一步地,本发明的另一个实施例提出一种终端设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如上述中任意一项所述的减少WAF误报方法的步骤。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的减少WAF误报方法的流程简图;
图2为本发明实施例一提供的减少WAF误报方法的流程框图;
图3为图2流程框图中提供的步骤S120的具体流程框图;
图4为图2流程框图中提供的步骤S140的具体流程框图;
图5为本发明实施例二提供的减少WAF误报系统的结构框图;
图6为本发明实施例三提供的另一减少WAF误报方法的流程框图;
图7为本发明实施例四提供的另一减少WAF误报系统的结构框图;
图8为本发明实施例三提供的再一减少WAF误报方法的流程框图;
图9为本发明实施例四提供的再一减少WAF误报系统的结构框图;
附图标记说明:
10-判断模块;
20-检测模块、21-解析单元、22-校验单元;
30-第一标示模块;
40-第一归类模块、41-匹配单元、42-归属单元、43-添加单元;
50-第一执行模块;
60-第二执行模块;
70-第二标示模块;
80-第二归类模块;
90-第三执行模块。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明的具体实施方式做详细的说明。在下面的描述中阐述了很多具体细节以便于充分理解本发明。但是本发明能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似改进,因此本发明不受下面公开的具体实施的限制。
如图1和图2所示,为本发明的实施例一提出的一种减少WAF误报方法,具体技术方案包括以下步骤:
S110:接收HTTP请求,获得所述HTTP请求相对应的当前IP,并判断所述当前IP是否存在于IP总列表中。
其中,HTTP请求获取客户端的IP,可采用在JAVA/PHP服务器端获取客户端IP,诸如其具体步骤为:
1)ip=request.getHeader("X-FORWARDED-FOR")
2)如果该值为空或数组长度为0或等于"unknown",那么:
ip=request.getHeader("Proxy-Client-IP")
3)如果该值为空或数组长度为0或等于"unknown",那么:
ip=request.getHeader("WL-Proxy-Client-IP")
4)如果该值为空或数组长度为0或等于"unknown",那么:
ip=request.getHeader("HTTP_CLIENT_IP")
5)如果该值为空或数组长度为0或等于"unknown",那么:
ip=request.getHeader("X-Real-IP")
6)如果该值为空或数组长度为0或等于"unknown",那么:
ip=request.getRemoteAddr()。需要注意的是:请求头“X-Forwarded-For”
是一个Squid开发的字段,只有在通过HTTP代理或者负载均衡服务器时才会添加该项。格式为X-Forwarded-For:client1、proxy1、proxy2,一般情况下,第一个IP为客户端真实IP,后面的为经过的代理服务器IP。
进一步地,所述IP总列表为WEB应用中HTTP请求出现的“正常请求”、“存在攻击性的恶意请求”及“威胁情报记录提供存在威胁的IP”等情况的IP汇集列表,便于直接判定接收HTTP请求相对应的当前IP是否在所述IP总列表中。
S120:若否,则检测所述当前IP是否存在攻击特性。
进一步地,如图3所示,所述步骤S120的具体步骤如下:
S121:解析所述HTTP请求的内容;
其中,所述HTTP请求的内容包括但不限于URL、HTTP请求头、HTTP请求参数、HTTP请求体内容等;
S122:校验所述HTTP请求的内容,以检测所述当前IP是否存在攻击特性。
其中,攻击特征包括但不限于sql注入攻击,xss攻击,webshell攻击等。
S130:若否,则对所述HTTP请求进行放行标记。
S140:将所述当前IP置于行为分析规则中,在所述IP总列表中查找出所述当前IP可归属的IP分列表,将所述当前IP添加至查找出的所述IP分列表中。
进一步地,如图4所示,所述步骤S140的具体步骤如下:
S141:将所述当前IP与行为分析规则所包含的匹配条件进行匹配;
其中,所述行为分析规则由匹配条件和测量指标组成;具体地,所述匹配条件包括存在某些标签,以便于所述当前IP的标签与所述匹配条件中的其一标签进行匹配;
S142:对匹配后的所述当前IP根据所述行为分析规则所包含的测量指标进行归类,以使在所述IP总列表中查找出所述当前IP可归属的IP分列表;
其中,所述测量指标包括请求速率和请求集中度,具体地,所述请求速率指满足匹配条件的其一IP,在单位时间内访问次数超过预设阈值,且该预设阈值可通过人工设定;所述请求集中度指满足匹配条件请求中,当前IP的比例大于预设阈值,且该预设阈值可通过人工设定。
S143:将所述当前IP添加至查找出的所述IP分列表中;
其中,通过S140的行为分析规则,使得所述当前IP添加至所述IP总列表中对应的所述IP分列表中,以使所述HTTP请求能具有对应的所述关联控制规则与之对应。
S150:执行与所述IP分列表相对应的关联控制规则,以对所述HTTP请求进行放行或防护控制。
其中,需要在WAF上添加关联控制规则,所述关联控制规则包括但不限于IP黑名单规则、IP白名单规则及防护功能控制规则,所述IP分列表对应一个所述关联控制规则,当所述当前IP属于满足其一所述IP分列表,则执行对应的关联控制规则,以使对所述当前IP进行阻断、放行或防护功能控制。需要说明的是:所述IP总列表可以通过手动创建,也可以通过S140自动创建或添加。
本实施例先通过接收HTTP请求相对应的当前IP否存在于IP总列表中,若否则说明该HTTP请求大概率为WEB应用的正常业务中出现触发正则或语法语义规则,或者威胁情报中存在威胁的IP等情况,进一步检测不存在攻击特性的当前IP经行为分析规则可将其归类并添加至IP总列表相对应的IP分列表中,通过执行与IP分列表相对应的关联控制规则,以使对HTTP请求进行放行或防护控制;本实施例通过关联多个威胁情报、防护规则和行为分析,多个维度综合考评,更加准确的判断是否存在攻击行为,减少误报的发生。
如图5所示,本发明的实施例二中提供实施例一所述方法相对应的系统的结构框图,所述系统包括:
判断模块10:用于接收HTTP请求,获得所述HTTP请求相对应的当前IP,并判断所述当前IP是否存在于IP总列表中;
检测模块20:用于若所述当前IP不存在于所述IP总列表中,则检测所述当前IP是否存在攻击特性;
第一标示模块30:用于若所述当前IP不存在于所述IP总列表中,且所述当前IP不存在攻击特性,则对所述HTTP请求进行放行标记;
第一归类模块40:将所述当前IP置于行为分析规则中,在所述IP总列表中查找出所述当前IP可归属的IP分列表,将所述当前IP添加至查找出的所述IP分列表中;
第一执行模块50:执行与所述IP分列表相对应的关联控制规则,以对所述HTTP请求进行放行或防护控制。
进一步地,所述检测模块20包括:
解析单元21:用于解析所述HTTP请求的内容;
校验单元22:用于校验所述HTTP请求的内容,以检测所述当前IP是否存在攻击特性。
进一步地,所述第一归类模块40包括:
匹配单元41:用于将所述当前IP与行为分析规则所包含的匹配条件进行匹配;
归属单元42:用于对匹配后的所述当前IP根据所述行为分析规则所包含的测量指标进行归类,以使在所述IP总列表中查找出所述当前IP可归属的IP分列表;
添加单元43:用于将所述当前IP添加至查找出的所述IP分列表中。
本实施例先通过所述判断模块接收HTTP请求相对应的当前IP否存在于IP总列表中,若否则说明该HTTP请求大概率为WEB应用的正常业务中出现触发正则或语法语义规则,或者威胁情报中存在威胁的IP等情况,进一步通过所述检测模块检测不存在攻击特性的当前IP经所述第一归类模块的行为分析规则可将其归类并添加至IP总列表相对应的IP分列表中,通过所述第一执行模块执行与IP分列表相对应的关联控制规则,以使对HTTP请求进行放行或防护控制;本实施例通过关联多个威胁情报、防护规则和行为分析,多个维度综合考评,更加准确的判断是否存在攻击行为,减少误报的发生。
如图1和图6所示,为本发明的第三实施例提出的一种减少WAF误报方法,具体技术方案包括以下步骤:
S210:同步骤S110,故在此不赘述。
S220:若是,则查找出所述当前IP在所述IP总列表中对应的IP分列表,并执行与所述IP分列表对应的关联控制规则,以使对所述HTTP请求进行放行或阻断控制。
本实施例通过接收HTTP请求,获得所述HTTP请求相对应的当前IP,判断所述当前IP存在于IP总列表中,则说明所述HTTP请求为正常请求或者是存在攻击的恶意请求,则直接通过所述IP总列表中对应的所述IP分列表中的关联控制规则进行放行或阻断控制。
如图7所示,本发明的实施例四中提供实施例三所述方法相对应的系统的结构框图,所述系统包括:
判断模块10:用于接收HTTP请求,获得所述HTTP请求相对应的当前IP,并判断所述当前IP是否存在于IP总列表中;
第二执行模块60:用于若所述当前IP存在于所述IP总列表中,则查找出所述当前IP在所述IP总列表中对应的IP分列表,并执行与所述IP分列表对应的关联控制规则,以对所述HTTP请求进行放行或阻断控制。
本实施例通过所述判断模块接收HTTP请求,获得所述HTTP请求相对应的当前IP,判断所述当前IP存在于IP总列表中,则说明所述HTTP请求为正常请求或者是存在攻击的恶意请求,则直接通过所述第二执行模块的控制,以使所述IP总列表中对应的所述IP分列表中的关联控制规则进行放行或阻断控制。
如图1和图8所示,为本发明的第五实施例提出的减少WAF误报方法,具体技术方案包括以下步骤:
S310:同步骤S110,故在此不赘述。
S320:同步骤S120,故在此不赘述。
S330:若是,则对所述HTTP请求进行阻断标记;
S340:将所述当前IP添加至所述IP总列表对应的IP分列表;
S350:执行与所述IP分列表对应的关联控制规则,以对所述HTTP请求进行阻断控制。
如图9所示,本发明的实施例六中提供实施例五所述方法相对应的系统的结构框图,所述系统包括:
判断模块10:用于接收HTTP请求,获得所述HTTP请求相对应的当前IP,并判断所述当前IP是否存在于IP总列表中;
检测模块20:用于若所述当前IP不存在于所述IP总列表中,则检测所述当前IP是否存在攻击特性;
第二标示模块70,用于若所述当前IP不存在于所述IP总列表中,但所述当前IP存在攻击特性,则对所述HTTP请求进行阻断标记;
第二归类模块80:用于将所述当前IP添加至所述IP总列表对应的IP分列表;
第三执行模块90:用于执行与所述IP分列表对应的关联控制规则,以使对所述HTTP请求进行阻断控制。
进一步地,所述检测模块20包括:
解析单元21:用于解析所述HTTP请求的内容;
校验单元22:用于校验所述HTTP请求的内容,以检测所述当前IP是否存在攻击特性。
本发明实施例还提供了一种存储介质,其上存储有应用程序,该程序被处理器执行时实现上述实施例一、实施例三和实施例五中方法的步骤。
本发明实施例还提供了一种终端设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的应用程序,所述处理器执行所述程序时实现上述实施例一、实施例三和实施例五中方法的步骤。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (8)
1.一种减少WAF误报方法,其特征在于,所述方法包括:
接收HTTP请求,获得所述HTTP请求相对应的当前IP,并判断所述当前IP是否存在于IP总列表中;
若否,则检测所述当前IP是否存在攻击特性;
若否,则对所述HTTP请求进行放行标记;
将所述当前IP与行为分析规则所包含的匹配条件进行匹配;
对匹配后的所述当前IP根据所述行为分析规则所包含的测量指标进行归类,以使在所述IP总列表中查找出所述当前IP可归属的IP分列表;
将所述当前IP添加至查找出的所述IP分列表中;
执行与所述IP分列表相对应的关联控制规则,以对所述HTTP请求进行放行或防护控制。
2.根据权利要求1所述的减少WAF误报方法,其特征在于,所述检测所述当前IP是否存在攻击特性的步骤包括:
解析所述HTTP请求的内容;
校验所述HTTP请求的内容,以检测所述当前IP是否存在攻击特性。
3.根据权利要求1所述的减少WAF误报方法,其特征在于,所述接收HTTP请求,获得所述HTTP请求相对应的当前IP,并判断所述当前IP是否存在于IP总列表中的步骤之后,所述方法还包括:
若是,则查找出所述当前IP在所述IP总列表中对应的IP分列表,并执行与所述IP分列表对应的关联控制规则,以对所述HTTP请求进行放行或阻断控制。
4.根据权利要求2所述的减少WAF误报方法,其特征在于,所述解析并校验所述HTTP请求,检测所述当前IP是否存在攻击特性的步骤之后,所述方法还包括:
若是,则对所述HTTP请求进行阻断标记,并对所述当前IP打上标签;
将所述当前IP添加至所述IP总列表对应的IP分列表;
执行与所述IP分列表对应的关联控制规则,以使对所述HTTP请求进行阻断控制。
5.一种减少WAF误报系统,其特征在于,所述系统包括:
判断模块:用于接收HTTP请求,获得所述HTTP请求相对应的当前IP,并判断所述当前IP是否存在于IP总列表中;
检测模块:用于若所述当前IP不存在于所述IP总列表中,则检测所述当前IP是否存在攻击特性;
第一标示模块:用于若所述当前IP不存在于所述IP总列表中,且所述当前IP不存在攻击特性,则对所述HTTP请求进行放行标记;
第一归类模块:将所述当前IP置于行为分析规则中,以使在所述IP总列表中查找出所述当前IP可归属的IP分列表,将所述当前IP添加至查找出的所述IP分列表中;
第一执行模块:执行与所述IP分列表相对应的关联控制规则,以使对所述HTTP请求进行放行或防护控制;
其中,所述第一归类模块包括:
匹配单元:用于将所述当前IP与行为分析规则所包含的匹配条件进行匹配;
归属单元:用于对匹配后的所述当前IP根据所述行为分析规则所包含的测量指标进行归类,以使在所述IP总列表中查找出所述当前IP可归属的IP分列表;
添加单元:用于将所述当前IP添加至查找出的所述IP分列表中。
6.根据权利要求5所述的减少WAF误报系统,其特征在于,所述检测模块包括:
解析单元:用于解析所述HTTP请求的内容;
校验单元:用于校验所述HTTP请求的内容,以检测所述当前IP是否存在攻击特性。
7.一种存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至4中任一项所述的减少WAF误报方法的步骤。
8.一种终端设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4中任一项所述的减少WAF误报方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110924154.XA CN113660251B (zh) | 2021-08-12 | 2021-08-12 | 减少waf误报方法、系统、存储介质及终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110924154.XA CN113660251B (zh) | 2021-08-12 | 2021-08-12 | 减少waf误报方法、系统、存储介质及终端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113660251A CN113660251A (zh) | 2021-11-16 |
| CN113660251B true CN113660251B (zh) | 2023-02-28 |
Family
ID=78479561
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110924154.XA Active CN113660251B (zh) | 2021-08-12 | 2021-08-12 | 减少waf误报方法、系统、存储介质及终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113660251B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115277224A (zh) * | 2022-07-29 | 2022-11-01 | 北京天融信网络安全技术有限公司 | 确定应用防护规则的方法、装置、存储介质及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107786545A (zh) * | 2017-09-29 | 2018-03-09 | 中国平安人寿保险股份有限公司 | 一种网络攻击行为检测方法及终端设备 |
| CN108234462A (zh) * | 2017-12-22 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于云防护的智能拦截威胁ip的方法 |
| CN111031009A (zh) * | 2019-11-25 | 2020-04-17 | 杭州安恒信息技术股份有限公司 | 一种基于多层次的nosql注入攻击的检测方法和装置 |
| CN111385270A (zh) * | 2018-12-29 | 2020-07-07 | 北京奇虎科技有限公司 | 基于waf的网络攻击检测方法及装置 |
| CN113190838A (zh) * | 2021-03-29 | 2021-07-30 | 贵州电网有限责任公司 | 一种基于表达式的web攻击行为检测方法及系统 |
-
2021
- 2021-08-12 CN CN202110924154.XA patent/CN113660251B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107786545A (zh) * | 2017-09-29 | 2018-03-09 | 中国平安人寿保险股份有限公司 | 一种网络攻击行为检测方法及终端设备 |
| CN108234462A (zh) * | 2017-12-22 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于云防护的智能拦截威胁ip的方法 |
| CN111385270A (zh) * | 2018-12-29 | 2020-07-07 | 北京奇虎科技有限公司 | 基于waf的网络攻击检测方法及装置 |
| CN111031009A (zh) * | 2019-11-25 | 2020-04-17 | 杭州安恒信息技术股份有限公司 | 一种基于多层次的nosql注入攻击的检测方法和装置 |
| CN113190838A (zh) * | 2021-03-29 | 2021-07-30 | 贵州电网有限责任公司 | 一种基于表达式的web攻击行为检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113660251A (zh) | 2021-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10303873B2 (en) | Device for detecting malware infected terminal, system for detecting malware infected terminal, method for detecting malware infected terminal, and program for detecting malware infected terminal | |
| US10516671B2 (en) | Black list generating device, black list generating system, method of generating black list, and program of generating black list | |
| US9191398B2 (en) | Method and system for alert classification in a computer network | |
| CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
| CN113472721B (zh) | 一种网络攻击检测方法及装置 | |
| CN108134761B (zh) | 一种apt检测系统及装置 | |
| KR20150124370A (ko) | 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템 | |
| CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
| JP5832951B2 (ja) | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム | |
| CN110365674B (zh) | 一种预测网络攻击面的方法、服务器和系统 | |
| CN102546641B (zh) | 一种在应用安全系统中进行精确风险检测的方法及系统 | |
| CN107995179B (zh) | 一种未知威胁感知方法、装置、设备及系统 | |
| CN107666464B (zh) | 一种信息处理方法及服务器 | |
| CA2710614A1 (en) | Intrusion detection systems and methods | |
| CN113660251B (zh) | 减少waf误报方法、系统、存储介质及终端设备 | |
| CN113378161A (zh) | 一种安全检测方法、装置、设备及存储介质 | |
| CN113542252A (zh) | Web攻击的检测方法、检测模型和检测装置 | |
| Li et al. | Real-time correlation of network security alerts | |
| US7908657B1 (en) | Detecting variants of known threats | |
| CN109729084B (zh) | 一种基于区块链技术的网络安全事件检测方法 | |
| KR100734866B1 (ko) | 비정상 패킷 탐지 방법 및 장치 | |
| US20200334353A1 (en) | Method and system for detecting and classifying malware based on families | |
| KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
| KR101420301B1 (ko) | DDoS 공격 검출 방법 및 장치 | |
| KR101712462B1 (ko) | Ip 위험군 탐지 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |