CN114070615B - 一种提升waf规则匹配速度的方法 - Google Patents
一种提升waf规则匹配速度的方法 Download PDFInfo
- Publication number
- CN114070615B CN114070615B CN202111347877.4A CN202111347877A CN114070615B CN 114070615 B CN114070615 B CN 114070615B CN 202111347877 A CN202111347877 A CN 202111347877A CN 114070615 B CN114070615 B CN 114070615B
- Authority
- CN
- China
- Prior art keywords
- rule
- end processor
- waf
- cluster
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000002347 injection Methods 0.000 claims description 4
- 239000007924 injection Substances 0.000 claims description 4
- 230000014509 gene expression Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24564—Applying rules; Deductive queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2471—Distributed queries
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computational Linguistics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Business, Economics & Management (AREA)
- Fuzzy Systems (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种提升WAF规则匹配速度的方法,包括:将所有规则按照攻击类型或规则等级进行分组;根据规则分组数量创建同等数量的规则服务;通过规则引擎前置机将用户请求同时发送给规则服务集群进行同时匹配;前置机将集群返回结果组装处理后返回给WAF。通过分布式规则引擎,大大提高了WAF规则匹配性能,从而整个WAF的性能大大提高。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及一种提升WAF规则匹配速度的方法。
背景技术
WAF(Web Application Firewall,网络应用防火墙)设备是一种用于对提供网络应用的服务进行安全防护的设备。WAF设备对网络是否进行拦截,主要是依据WAF中的规则,为了实现对各种攻击的防御能力,WAF中通常有成千上万的规则;而规则主要为正则表达式,WAF通过这些正则表达式来匹配网络请求中的请求url,请求头,请求体等能否匹配到相关字符串,若匹配到则进行拦截,并将匹配到的请求数据存储用于前端展示。因此WAF系统性能的好坏,规则匹配的性能极其重要。
现有技术中,WAF对规则匹配通常采用的方式为:1.获取系统中配置的所有规则。2.遍历所有规则,将请求数据与规则进行匹配。3.遍历完所有规则将匹配到的数据进行返回。随着规则库越来越大,规则条目越来越多,这种方式会使得规则匹配速度越来越慢。
发明内容
为解决WAF对规则进行逐个遍历匹配带来的性能问题,本专利采用一种提升WAF规则匹配速度的方法,在各个分布式系统中规则匹配同时进行将极大地缩短规则匹配时间,从而提升WAF的规则匹配性能。
为了实现上述目的,本发明采用以下技术方案:
一种提升WAF规则匹配速度的方法,包括:
将所有规则按照攻击类型或规则等级进行分组;
根据规则分组数量创建同等数量的规则服务;
通过规则引擎前置机将用户请求同时发送给规则服务集群进行同时匹配;
前置机将集群返回结果组装处理后返回给WAF。
在一些实施例中,所述攻击类型或规则为:ss攻击,sql注入攻击,恶意爬虫攻击,会话攻击,信息泄漏攻击,应用漏洞攻击,webshell攻击,跨站脚本攻击。
在一些实施例中,所述根据规则分组数量创建同等数量的规则服务,包括:规则引擎前置机通过api接口从WAF获取规则及分组情况,规则引擎前置机根据规则的分组数量,采用docker的方式运行基础镜像创建同等数量的规则集群服务。
在一些实施例中,所述通过规则引擎前置机将用户请求同时发送给规则服务集群进行同时匹配,包括:在规则引擎前置机中记录每个规则服务的ip地址及端口,同时通过docker-e的方式将规则引擎前置机的ip端口记录到每个规则服务中。
在一些实施例中,所述通过规则引擎前置机将用户请求同时发送给规则服务集群进行同时匹配,包括:WAF获取到用户的http(s)请求,将请求url,请求头,请求体内容发送给规则引擎前置机,规则引擎前置机将收到的数据通过记录的集群的ip地址及端口号,通过http的方式发送给规则引擎集群,每个规则服务收到请求后同时执行规则匹配任务。
在一些实施例中,所述前置机将集群返回结果组装处理后返回给WAF,包括:规则引擎每个规则服务收到请求后立即执行规则匹配任务,执行结束后将结果返回给规则引擎前置机;规则引擎前置机收到所有规则服务返回信息后,将结果进行组装并返回给WAF端。
本申请所披露的一种提升WAF规则匹配速度的方法可能带来的有益效果包括但不限于:通过应用本发明发的提升WAF规则匹配速度的方法,大大提高了WAF规则匹配性能,从而整个WAF的性能大大提高。
附图说明
图1为本发明提出的提升WAF规则匹配速度的方法流程图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
相反,本申请涵盖任何由权利要求定义的在本申请的精髓和范围上做的替代、修改、等效方法以及方案。进一步,为了使公众对本申请有更好的了解,在下文对本申请的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本申请。
以下将结合图1对本申请实施例所涉及的一种提升WAF规则匹配速度的方法进行详细说明。值得注意的是,以下实施例仅仅用于解释本申请,并不构成对本申请的限定。
在本申请的实施例中,如图1所示,一种提升WAF规则匹配速度的方法,包括:
步骤1:将所有规则按照攻击类型或规则等级进行分组,减少每个规则服务的规则条目数量以提高规则匹配的速度。具体为:将WAF的规则导入数据库中,并按规则的作用进行分组,如xss规则,sql注入规则,会话攻击规则,及其他防护规则等,并将相关数据存入数据库中。将基础的规则服务打包成docker镜像。将分组后的规则持久化到数据库中供系统使用。
步骤2:规则分布式服务创建,规则引擎前置机获取系统中规则及规则分组情况为每个规则分组创建一个规则服务。根据规则分组数量创建同等数量的规则服务以提高每个独立的规则服务执行效率。具体为:规则引擎前置机通过api接口从WAF获取规则及分组情况,规则引擎前置机根据规则的分组数量,采用docker的方式运行步骤1中创建的基础镜像创建同等数量的规则引擎集群服务,如xss规则服务,sql注入规则服务,会话攻击规则服务,及其他防护规则服务等。
创建服务的方式可以采用docker容器化的方式创建,通过docker命令为规则服务指定ip和端口,将规则引擎前置机ip及端口通过docker命令写入到每个规则服务环境变量中。
步骤3:通过规则引擎前置机将用户请求同时发送给规则服务集群进行同时匹配;为使规则引擎前置机与集群通信ip地址及端口更灵活在规则引擎前置机中记录每个规则引擎服务的ip地址及端口,同时通过通过docker-e的方式将规则引擎前置机的ip端口记录到每个规则服务中。
规则分布式服务同时并行运行可提高规则匹配效率。具体为:WAF获取到用户的http(s)请求,将请求url,请求头,请求体内容发送给规则引擎前置机,规则引擎前置机将收到的数据通过步骤3记录的集群的ip地址及端口号,通过http的方式发送给规则引擎集群,每个规则服务收到请求后同时执行规则匹配任务。
步骤4:前置机将集群返回结果组装处理后返回给WAF。了保持规则服务集群执行结果的完整性,需要将每个规则服务返回数据进行组装。具体为:每个规则引擎通过遍历规则与步骤4发送的数据进行正则匹配,将匹配到的数据返回给规则引擎前置机,规则引擎前置机收到所有返回结果后将结果组装返回给WAF端。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (2)
1.一种提升WAF规则匹配速度的方法,其特征在于,包括:
将所有规则按照攻击类型或规则等级进行分组;
根据规则分组数量创建同等数量的规则服务;
通过规则引擎前置机将用户请求同时发送给规则服务集群进行同时匹配;
前置机将集群返回结果组装处理后返回给WAF;
所述根据规则分组数量创建同等数量的规则服务,包括:规则引擎前置机通过api接口从WAF获取规则及分组情况,规则引擎前置机根据规则的分组数量,采用docker的方式运行基础镜像创建同等数量的规则集群服务;
所述通过规则引擎前置机将用户请求同时发送给规则服务集群进行同时匹配,包括:在规则引擎前置机中记录每个规则服务的ip地址及端口,同时通过docker-e的方式将规则引擎前置机的ip端口记录到每个规则服务中;
所述通过规则引擎前置机将用户请求同时发送给规则服务集群进行同时匹配,包括:WAF获取到用户的http(s)请求,将请求url,请求头,请求体内容发送给规则引擎前置机,规则引擎前置机将收到的数据通过记录的集群的ip地址及端口号,通过http的方式发送给规则引擎集群,每个规则服务收到请求后同时执行规则匹配任务;
所述前置机将集群返回结果组装处理后返回给WAF,包括:规则引擎每个规则服务收到请求后立即执行规则匹配任务,执行结束后将结果返回给规则引擎前置机;规则引擎前置机收到所有规则服务返回信息后,将结果进行组装并返回给WAF端。
2.根据权利要求1所述的一种提升WAF规则匹配速度的方法,其特征在于,所述攻击类型或规则为:ss攻击,sql注入攻击,恶意爬虫攻击,会话攻击,信息泄漏攻击,应用漏洞攻击,webshell攻击,跨站脚本攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111347877.4A CN114070615B (zh) | 2021-11-15 | 2021-11-15 | 一种提升waf规则匹配速度的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111347877.4A CN114070615B (zh) | 2021-11-15 | 2021-11-15 | 一种提升waf规则匹配速度的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114070615A CN114070615A (zh) | 2022-02-18 |
| CN114070615B true CN114070615B (zh) | 2023-09-15 |
Family
ID=80272014
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111347877.4A Active CN114070615B (zh) | 2021-11-15 | 2021-11-15 | 一种提升waf规则匹配速度的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114070615B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104618392A (zh) * | 2015-02-25 | 2015-05-13 | 浪潮电子信息产业股份有限公司 | 一种nginx-modsecurity安全规则智能匹配方法 |
| CN107948127A (zh) * | 2017-09-27 | 2018-04-20 | 北京知道未来信息技术有限公司 | 一种基于回馈和监督学习的waf检测方法及系统 |
| CN109033206A (zh) * | 2018-06-29 | 2018-12-18 | 北京奇虎科技有限公司 | 一种规则匹配方法、云服务器及规则匹配系统 |
| CN110808963A (zh) * | 2019-10-17 | 2020-02-18 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法、装置及防火墙设备 |
| CN112187700A (zh) * | 2019-07-02 | 2021-01-05 | 网宿科技股份有限公司 | 一种waf安全规则匹配方法、设备及存储介质 |
| CN112351020A (zh) * | 2020-10-29 | 2021-02-09 | 北京健康之家科技有限公司 | Waf规则解析方法及装置 |
| CN112767135A (zh) * | 2021-01-26 | 2021-05-07 | 北京健康之家科技有限公司 | 规则引擎的配置方法及装置、存储介质、计算机设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8380785B2 (en) * | 2010-06-04 | 2013-02-19 | International Business Machines Corporation | Managing rule sets as web services |
| US11665138B2 (en) * | 2019-12-30 | 2023-05-30 | Radware Ltd. | System and method for automatic WAF service configuration |
-
2021
- 2021-11-15 CN CN202111347877.4A patent/CN114070615B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104618392A (zh) * | 2015-02-25 | 2015-05-13 | 浪潮电子信息产业股份有限公司 | 一种nginx-modsecurity安全规则智能匹配方法 |
| CN107948127A (zh) * | 2017-09-27 | 2018-04-20 | 北京知道未来信息技术有限公司 | 一种基于回馈和监督学习的waf检测方法及系统 |
| CN109033206A (zh) * | 2018-06-29 | 2018-12-18 | 北京奇虎科技有限公司 | 一种规则匹配方法、云服务器及规则匹配系统 |
| CN112187700A (zh) * | 2019-07-02 | 2021-01-05 | 网宿科技股份有限公司 | 一种waf安全规则匹配方法、设备及存储介质 |
| CN110808963A (zh) * | 2019-10-17 | 2020-02-18 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法、装置及防火墙设备 |
| CN112351020A (zh) * | 2020-10-29 | 2021-02-09 | 北京健康之家科技有限公司 | Waf规则解析方法及装置 |
| CN112767135A (zh) * | 2021-01-26 | 2021-05-07 | 北京健康之家科技有限公司 | 规则引擎的配置方法及装置、存储介质、计算机设备 |
Non-Patent Citations (2)
| Title |
|---|
| 基于规则的无人机集群运动控制;景晓年;梁晓龙;孙强;张佳强;;计算机仿真(09);全文 * |
| 提高Snort规则匹配速度方法的研究与实现;王志强;王猛;;计算机安全(08);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114070615A (zh) | 2022-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3424178B1 (en) | Deterministic reproduction of client/server computer state or output sent to one or more client computers | |
| CN103428224B (zh) | 一种智能防御DDoS攻击的方法和装置 | |
| US8561188B1 (en) | Command and control channel detection with query string signature | |
| US20140101724A1 (en) | Network attack detection and prevention based on emulation of server response and virtual server cloning | |
| CN111314281A (zh) | 一种攻击流量转发至蜜罐的方法 | |
| Winter et al. | How china is blocking tor | |
| Zang et al. | Botnet detection through fine flow classification | |
| Gupta et al. | DDoS attack algorithm using ICMP flood | |
| CN109450766B (zh) | 一种工作区级vpn的访问处理方法及装置 | |
| CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
| US20230362131A1 (en) | Systems and methods for monitoring and securing networks using a shared buffer | |
| Ren et al. | An Detection algorithm for ARP man-in-the-middle attack based on data packet forwarding behavior characteristics | |
| CN114172697B (zh) | 一种防御高速网络中IP地址欺骗DDoS攻击的方法 | |
| CN101873324B (zh) | 穿越防火墙的方法 | |
| Li et al. | {IMap}: Fast and scalable {In-Network} scanning with programmable switches | |
| CN107451469A (zh) | 一种进程管理系统及方法 | |
| CN114070615B (zh) | 一种提升waf规则匹配速度的方法 | |
| CN114510711A (zh) | 防护cc攻击的方法、装置、介质以及计算机设备 | |
| CN103001942A (zh) | 一种虚拟服务器和一种防御网络攻击的方法 | |
| John et al. | Searching the Searchers with {SearchAudit} | |
| US11201887B1 (en) | Systems and methods for low latency stateful threat detection and mitigation | |
| US11122080B2 (en) | Method and system for identifying a preferred set of hierarchically structured items in streaming data | |
| King et al. | Data exfiltration: methods and detection countermeasures | |
| Sivabalan et al. | Detecting IoT zombie attacks on web servers | |
| Oliveira et al. | Investigation of amplification-based DDoS attacks on IoT devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |