CN116319289A - 一种基于Modsecurity日志的安全规则处理方法 - Google Patents
一种基于Modsecurity日志的安全规则处理方法 Download PDFInfo
- Publication number
- CN116319289A CN116319289A CN202310205191.4A CN202310205191A CN116319289A CN 116319289 A CN116319289 A CN 116319289A CN 202310205191 A CN202310205191 A CN 202310205191A CN 116319289 A CN116319289 A CN 116319289A
- Authority
- CN
- China
- Prior art keywords
- security
- rule
- modsecurity
- firewall
- rules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 9
- 238000000034 method Methods 0.000 claims abstract description 16
- 230000007123 defense Effects 0.000 claims description 19
- 230000004044 response Effects 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 6
- 238000012163 sequencing technique Methods 0.000 claims description 4
- 230000001960 triggered effect Effects 0.000 claims description 4
- 230000008901 benefit Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于Modsecurity日志的安全规则处理方法,本发明首先获取防火墙日志信息,根据触发日志的安全规则按照防御阶段进行分类,然后以通过各种规则被匹配到的次数进行排序,形成新的规则集。该方法减低了防火墙策略的复杂度,直观的查看了防火墙有哪些有效策略。与现有防火墙规则匹配相比,本发明的匹配方法具有匹配效率高,耗时更少的特点,较好的维护了网络防护性能。
Description
技术领域
本发明涉及一种基于Modsecurity日志的安全规则处理方法。
背景技术
作为保护网络安全不受侵害的主要防御武器防火墙日趋收到人们的重视与使用,它是目前被广泛采用的保护企业网络系统不受外来因素攻击与侵入的强有力的武器,它能基本保证流入的信息是安全可靠,不会损坏系统的。防火墙可以对流入的信息数据包进行读取分析,再进行检测筛选,最后将合法安全的数据信息传入网络系统供企业使用,而对于非法、安全度低的数据便被防火墙阻止拦截,不予通过。对于数据包的处理过程是其中最基本的部分,整个过程是防火墙的管理人员根据原先的安全策略而制定的过滤规则。随着网络攻击手段的增多,保护计算机网络安全的防火墙规则不断增加,提高防火墙过滤速度已经非常重要。
ModSecurity是一个开源、跨平台的web应用程序防火墙模块。它可以作为服务器的一个模块或单独的应用程序来运行。ModSecurity的目的是为增强应用程序的安全性和保护应用程序避免遭受来自已知与未知的攻击。现有技术中,Modsecurity安全规则的具体动作是数据包中信息进行对比,这种对比方式是逐条进行的,这样就造成了经常触发的安全规则没有任何优势,直接影响了安全规则的匹配效率。
发明内容
本发明是为了解决上述现有技术存在的问题而提供一种基于Modsecurity日志的安全规则处理方法。
本发明所采用的技术方案有:
一种基于Modsecurity日志的安全规则处理方法,包括
1)建立新的规则集;
获取防火墙日志信息,将日志中触发安全规则的日志解析出安全规则输入到Modsecurity防火墙策略库;
将上述Modsecurity防火墙策略库中的安全规则按照不同防御阶段分为四大类,第一类为请求头阶段安全规则,第二类为请求体阶段安全规则,第三类为响应头阶段安全规则,第四类为响应体阶段安全规则;
利用日志中解析出的安全规则在相应的防御阶段中触发次数进行排序,若在对应防御阶段中触发的次数不同,则按照次数出现多少在Modsecurity防火墙策略库中依次排序, 次数出现相同,则按照时间出现先后进行排序;排序后最终形成新的规则集;
2)替换Modsecurity防火墙策略库中原有规则集;
将Modsecurity防火墙策略库中已近触发的安全规则删除,然后将剩余的安全规则按照上述不同防御阶段进行分类以及进行排序,然后将所建立的新规则集添加至Modsecurity防火墙策略库中,同时设置更新时间段,根据每个时间段内安全规则在相应的防御阶段中触发次数进行重新排序,由此不断对规则集进行更新。
进一步地,在替换Modsecurity防火墙策略库中原有规则集,以及对替换后规则集进行更新时,是通过Sunday算法进行匹配,在匹配过程中出现一样的规则时,则删除原有的防火墙规则库中相同的规则,匹配结束后,将原有规则集中不同阶段规则添加到新的规则集中。
本发明具有如下有益效果:
本发明首先获取防火墙日志信息,根据触发日志的安全规则按照防御阶段进行分类,然后以通过各种规则被匹配到的次数进行排序,形成新的规则集。该方法减低了防火墙策略的复杂度,直观的查看了防火墙有哪些有效策略。与现有防火墙规则匹配相比,本发明的匹配方法具有匹配效率高,耗时更少的特点,较好的维护了网络防护性能。
附图说明
图1为获取的安全规则与原防火墙策略库匹配流程图。
实施方式
下面结合附图对本发明作进一步的说明。
如图1,本发明一种基于Modsecurity日志的安全规则处理方法,其包括以下步骤:
S101:获取防火墙日志信息,将日志中触发安全规则的日志解析出安全规则输入到Modsecurity防火墙策略库。
S102:将上述输入的安全规则按照不同防御阶段分为四大类,分别如下:
第一类为请求头阶段安全规则;
第二类为请求体阶段安全规则;
第三类为响应头阶段安全规则;
第四类为响应体阶段安全规则。
S103:利用日志中解析出的安全规则在相应的防御阶段中触发次数进行排序,若在对应防御阶段中触发的次数不同,则按照次数出现多少在Modsecurity防火墙策略库中依次排序, 次数出现相同,则按照时间出现先后进行排序;排序后最终形成新的规则集。
对安全规则分类的优点,便于让经常使用的规则在最短的时间内与外来数据进行匹配,从而提高检测速率。
S104:剔除掉Modsecurity防火墙策略库中日志中已经触发的安全规则,然后将剩余的安全规则按照上述不同防御阶段进行分类以及进行排序,然后将所建立的新规则集添加至Modsecurity防火墙策略库中
该步骤中日志中关于安全规则的日志解析出的安全规则,以算法Sunday的匹配方法,按照不同防御阶段与原有的防火墙策略库中规则进行匹配,在匹配过程中出现一样的规则时,则删除原有的防火墙规则库中相同的规则,匹配结束后将原有防火墙规则库中不同阶段规则添加到新的防火墙策略库,流程如图1。
S105:同时设置更新时间段,根据每个时间段内安全规则在相应的防御阶段中触发次数进行重新排序,由此不断对规则集进行更新。
示例,获得日志中关于安全规则日志解析出按照请求头请求体响应头和响应体分类的安全规则;
例如,当安全日志解析后的规则为SecRule REQUEST_HEADERS:Host "^[\d\.]+$""phase:1,deny,id:47,log,status:400,msg:'Host header is a numeric IPaddress'";找到REQUEST_HEADERS,将此规则分类到请求头这一类安全规则当中。
对分类后不同防御阶段的安全规则按照日志解析后的安全规则出现的次数多少进行排序,多者在前,出现次数相同时,按照最先出现的时间在前排序;
对排序好的Modsecurity不同防御阶段的安全规则以算法Sunday与原有的安全规则进行一一匹配;
当两个安全规则匹配成功时,将原防火墙测量库中相同的规则删除,重复此过程,直至排序好的所有安全规则匹配结束,同时将现存的原防火墙安全规则添加到Modsecurity新防火墙不同防御阶段的策略库中。
本发明首先获取防火墙日志信息,根据触发日志的安全规则按照防御阶段进行分类,然后以通过各种规则被匹配到的次数进行排序,形成新的规则集。该方法减低了防火墙策略的复杂度,直观的查看了防火墙有哪些有效策略。与现有防火墙规则匹配相比,本发明的匹配方法具有匹配效率高,耗时更少的特点,较好的维护了网络防护性能。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下还可以作出若干改进,这些改进也应视为本发明的保护范围。
Claims (2)
1.一种基于Modsecurity日志的安全规则处理方法,其特征在于:包括
1)建立新的规则集;
获取防火墙日志信息,将日志中触发安全规则的日志解析出安全规则输入到Modsecurity防火墙策略库;
将上述Modsecurity防火墙策略库中的安全规则按照不同防御阶段分为四大类,第一类为请求头阶段安全规则,第二类为请求体阶段安全规则,第三类为响应头阶段安全规则,第四类为响应体阶段安全规则;
利用日志中解析出的安全规则在相应的防御阶段中触发次数进行排序,若在对应防御阶段中触发的次数不同,则按照次数出现多少在Modsecurity防火墙策略库中依次排序,次数出现相同,则按照时间出现先后进行排序;排序后最终形成新的规则集;
2)替换Modsecurity防火墙策略库中原有规则集;
将Modsecurity防火墙策略库中已近触发的安全规则删除,然后将剩余的安全规则按照上述不同防御阶段进行分类以及进行排序,然后将所建立的新规则集添加至Modsecurity防火墙策略库中,同时设置更新时间段,根据每个时间段内安全规则在相应的防御阶段中触发次数进行重新排序,由此不断对规则集进行更新。
2.如权利要求1所述的基于Modsecurity日志的安全规则处理方法,其特征在于:在替换Modsecurity防火墙策略库中原有规则集,以及对替换后规则集进行更新时,是通过Sunday算法进行匹配,在匹配过程中出现一样的规则时,则删除原有的防火墙规则库中相同的规则,匹配结束后,将原有规则集中不同阶段规则添加到新的规则集中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310205191.4A CN116319289A (zh) | 2023-03-06 | 2023-03-06 | 一种基于Modsecurity日志的安全规则处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310205191.4A CN116319289A (zh) | 2023-03-06 | 2023-03-06 | 一种基于Modsecurity日志的安全规则处理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116319289A true CN116319289A (zh) | 2023-06-23 |
Family
ID=86779121
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310205191.4A Pending CN116319289A (zh) | 2023-03-06 | 2023-03-06 | 一种基于Modsecurity日志的安全规则处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116319289A (zh) |
-
2023
- 2023-03-06 CN CN202310205191.4A patent/CN116319289A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11102223B2 (en) | Multi-host threat tracking | |
Radford et al. | Network traffic anomaly detection using recurrent neural networks | |
US10114934B2 (en) | Calculating consecutive matches using parallel computing | |
US8769692B1 (en) | System and method for detecting malware by transforming objects and analyzing different views of objects | |
US20080141332A1 (en) | System, method and program product for identifying network-attack profiles and blocking network intrusions | |
Kaur et al. | Automatic attack signature generation systems: A review | |
CN111431939A (zh) | 基于cti的sdn恶意流量防御方法及系统 | |
CN104901971A (zh) | 对网络行为进行安全分析的方法和装置 | |
CN112333195B (zh) | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 | |
Chun et al. | An empirical study of intelligent security analysis methods utilizing big data | |
Li et al. | A lightweight intrusion detection model based on feature selection and maximum entropy model | |
Giacinto et al. | Alarm clustering for intrusion detection systems in computer networks | |
CN112287340B (zh) | 用于终端攻击的取证溯源方法、装置、计算机设备 | |
Rastogi et al. | Network anomalies detection using statistical technique: A chi-square approach | |
CN116319289A (zh) | 一种基于Modsecurity日志的安全规则处理方法 | |
Najafi et al. | NLP-based Entity Behavior Analytics for Malware Detection | |
CN113343231A (zh) | 一种基于集中管控的威胁情报的数据采集系统 | |
Zhang et al. | Analysis of payload based application level network anomaly detection | |
US20120005206A1 (en) | Apparatus and method for analysis of data traffic | |
Hussain et al. | An Enhanced Intelligent Intrusion Detection System to Secure E-Commerce Communication Systems | |
KR102592624B1 (ko) | 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법 | |
Anashkin et al. | Implementation of Behavioral Indicators in Threat Detection and User Behavior Analysis | |
Chatzis et al. | Flow level data mining of DNS query streams for email worm detection | |
Nisar | Intrusion Detection Systems: Categories, Attack Detection and Response | |
Meng et al. | POSTER: Security Logs Graph Analytics for Industry Network System |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |