安全访问控制、网络访问规则的生成方法、装置及设备制造方法及图纸

本申请实施例公开了一种安全访问控制、网络访问规则的生成方法、装置及设备，该安全访问控制方法包括：当网络访问规则的更新条件满足时，获取当前允许进行网络访问的访问请求对应的目标访问请求日志；基于所述目标访问请求日志生成网络访问规则，根据生成的网络访问规则更新当前的网络访问规则；基于更新后的所述网络访问规则，对接收到网络访问请求进行安全访问控制。利用本申请实施例，可以通过生成的用于判定能够进行网络访问的网络访问规则(即白名单)对访问请求进行是否响应的检测与判定，使得只有满足该网络访问规则的访问请求才可以被响应，从而避免新的漏洞或新的网络攻击形态造成的漏报，提高网络访问的安全性。

【技术实现步骤摘要】
安全访问控制、网络访问规则的生成方法、装置及设备
本申请涉及计算机
，尤其涉及一种安全访问控制、网络访问规则的生成方法、装置及设备。
技术介绍
随着Web应用的日益普遍，对Web应用的网络攻击也越来越多，如XSS(CrossSiteScripting，跨站脚本攻击)、SQL(StructuredQueryLanguage，结构化查询语言)注入等，同时Web应用的系统及依赖的基础应用程序，出现的漏洞也是层出不穷。WAF(WebApplicationFirewall)是抵御对Web应用的网络攻击的重要工具。WAF处于用户与应用的后台服务器之间，对网络访问请求进行实时安全检测，阻断各种网络攻击请求。目前WAF主要基于规则进行防御，即由安全运营人员根据已知的安全漏洞、攻击案例，并结合自己的安全经验，从中抽象出特征数据，形成用于检测网络攻击的规则(即黑名单)，最后配置到WAF，实现安全检测与防御。但是，现有的规则生成方法，主要依赖安全运营人员的经验生成，而一旦有新的网络攻击形态出现，就需要手工提取其中的特征，增加到上述规则中，然而，如果出现漏洞后，没有及时更新上述规则，则WAF将无法检测到相应形态的网络攻击，从而造成网络攻击出现漏报的情况，而且，现有的规则是针对攻击特征构建，而漏洞会不断出现，未知威胁层出不穷，尽管规则在不断更新，但是安全问题却始终无法得到彻底解决。
技术实现思路
本申请实施例的目的是提供一种安全访问控制、网络访问规则的生成方法、装置及设备，以实现避免新的漏洞或新的网络攻击形态造成的漏报，提高网络访问的安全性。为解决上述技术问题，本申请实施例是这样实现的：本申请实施例提供一种安全访问控制方法，所述方法包括：当网络访问规则的更新条件满足时，获取当前允许进行网络访问的访问请求对应的目标访问请求日志；基于所述目标访问请求日志生成网络访问规则，根据生成的网络访问规则更新当前的网络访问规则；基于更新后的所述网络访问规则，对接收到网络访问请求进行安全访问控制。可选地，所述预设的网络访问规则的更新条件包括以下中的一种或多种：当前时间距前一次更新网络访问规则的时间间隔达到预设值，和获取的待分析的网络访问日志的数量达到预设值。可选地，所述基于更新后的所述网络访问规则，对接收到网络访问请求进行安全访问控制，包括：如果接收到的所述网络访问请求与所述更新后的网络访问规则相匹配，则响应所述网络访问请求；如果接收到的所述网络访问请求与所述更新后的网络访问规则不匹配，则拒绝响应所述网络访问请求。可选地，所述根据生成的网络访问规则更新当前的网络访问规则，包括：将所述当前的网络访问规则中未包含、而生成的网络访问规则中包含的规则内容添加到所述当前的网络访问规则，以更新当前的网络访问规则；和/或，将所述当前的网络访问规则和生成的网络访问规则中包含的相同类别的不同规则内容进行合并，以更新当前的网络访问规则。本申请实施例提供的一种网络访问规则的生成方法，所述方法包括：获取待分析的访问请求日志；从所述待分析的访问请求日志中选取目标访问请求日志，所述目标访问请求日志为允许进行网络访问的访问请求所对应的访问请求日志；基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。可选地，所述从所述待分析的访问请求日志中选取目标访问请求日志，包括：从所述待分析的访问请求日志中选取攻击日志，以及所述攻击日志的来源地址信息对应的第一访问请求日志；将所述攻击日志和所述第一访问请求日志从所述待分析的访问请求日志中删除，将剩余的访问请求日志作为所述目标访问请求日志。可选地，所述将所述攻击日志和所述第一访问请求日志从所述待分析的访问请求日志中删除之后，所述方法还包括：从剩余的访问请求日志中删除符合预设条件的访问请求日志；其中，所述符合预设条件的访问请求日志包括：包含指定字段和/或指定关键字的访问请求日志，和/或，静态资源的访问请求日志。可选地，所述基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则，包括：将所述目标访问请求日志中的指定字符串进行拆分，得到多个字段；获取所述多个字段中的预定字段的指标参数；根据所述预定字段的指标参数，生成用于判定允许进行网络访问的网络访问规则。可选地，所述指标参数包括不同参数值的数目；所述根据所述预定字段的指标参数，生成用于判定允许进行网络访问的网络访问规则，包括：如果所述不同参数值的数目小于预定参数阈值，则根据所述预定字段的指标参数，生成用于判定允许进行网络访问的网络访问规则。可选地，所述方法还包括：如果所述不同参数值的数目不小于预定参数阈值，则将所述预定字段的指标参数进行泛化处理，得到泛化后的指标参数；根据所述预定字段的指标参数和所述泛化后的指标参数，生成用于判定允许进行网络访问的网络访问规则。可选地，所述基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则，包括：如果所述目标访问请求日志中包括访问请求路径的数目超过第一预定数目阈值，且包括的源地址信息的数目超过第二预定数目阈值，则基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。可选地，所述方法还包括：将所述网络访问规则提供给服务器，以使服务器基于所述网络访问规则进行安全访问控制。本申请实施例还提供一种安全访问控制方法，所述方法包括：获取当前允许进行网络访问的访问请求对应的目标访问请求日志；基于所述目标访问请求日志生成网络访问规则；根据生成的网络访问规则，对接收到网络访问请求进行安全访问控制。本申请实施例还提供一种安全访问控制装置，所述装置包括：日志获取模块，当网络访问规则的更新条件满足时，获取当前允许进行网络访问的访问请求对应的目标访问请求日志；规则更新模块，用于基于所述目标访问请求日志生成网络访问规则，根据生成的网络访问规则更新当前的网络访问规则；访问控制模块，用于基于更新后的所述网络访问规则，对接收到网络访问请求进行安全访问控制。可选地，所述预设的网络访问规则的更新条件包括以下中的一种或多种：当前时间距前一次更新网络访问规则的时间间隔达到预设值，和获取的待分析的网络访问日志的数量达到预设值。本申请实施例提供的一种网络访问规则的生成装置，所述装置包括：日志获取模块，用于获取待分析的访问请求日志；目标日志获取模块，用于从所述待分析的访问请求日志中选取目标访问请求日志，所述目标访问请求日志为允许进行网络访问的访问请求所对应的访问请求日志；规则生成模块，用于基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。可选地，所述目标日志获取模块，包括：第一日志获取单元，用于从所述待分析的访问请求日志中选取攻击日志，以及所述攻击日志的来源地址信息对应的第一访问请求日志；目标日志获取单元，用于将所述攻击日志和所述第一访问请求日志从所述待分析的访问请求日志中删除，将剩余的访问请求日志作为所述目标访问请求日志。可选地，所述装置还包括：日志删除模块，用于从剩余的访问请求日志中删除符合预设条件的访问请求日志；其中，所述符合预设条件的访问请求日志包括：包含指定字段和/或指定关键字的访问请求日志，和/或，静态资源的访问请求日志。可选地，所述规则生成模块，包括：拆分单元，用于将所述目标访问请求日志中的指定字符串进行拆本文档来自技高网...

【技术保护点】
1.一种安全访问控制方法，其特征在于，所述方法包括：当网络访问规则的更新条件满足时，获取当前允许进行网络访问的访问请求对应的目标访问请求日志；基于所述目标访问请求日志生成网络访问规则，根据生成的网络访问规则更新当前的网络访问规则；基于更新后的所述网络访问规则，对接收到网络访问请求进行安全访问控制。

【技术特征摘要】
1.一种安全访问控制方法，其特征在于，所述方法包括：当网络访问规则的更新条件满足时，获取当前允许进行网络访问的访问请求对应的目标访问请求日志；基于所述目标访问请求日志生成网络访问规则，根据生成的网络访问规则更新当前的网络访问规则；基于更新后的所述网络访问规则，对接收到网络访问请求进行安全访问控制。2.根据权利要求1所述的方法，其特征在于，所述预设的网络访问规则的更新条件包括以下中的一种或多种：当前时间距前一次更新网络访问规则的时间间隔达到预设值，和获取的待分析的网络访问日志的数量达到预设值。3.根据权利要求1所述的方法，其特征在于，所述基于更新后的所述网络访问规则，对接收到网络访问请求进行安全访问控制，包括：如果接收到的所述网络访问请求与所述更新后的网络访问规则相匹配，则响应所述网络访问请求；如果接收到的所述网络访问请求与所述更新后的网络访问规则不匹配，则拒绝响应所述网络访问请求。4.根据权利要求1所述的方法，其特征在于，所述根据生成的网络访问规则更新当前的网络访问规则，包括：将所述当前的网络访问规则中未包含、而生成的网络访问规则中包含的规则内容添加到所述当前的网络访问规则，以更新当前的网络访问规则；和/或，将所述当前的网络访问规则和生成的网络访问规则中包含的相同类别的不同规则内容进行合并，以更新当前的网络访问规则。5.一种网络访问规则的生成方法，其特征在于，所述方法包括：获取待分析的访问请求日志；从所述待分析的访问请求日志中选取目标访问请求日志，所述目标访问请求日志为允许进行网络访问的访问请求所对应的访问请求日志；基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。6.根据权利要求5所述的方法，其特征在于，所述从所述待分析的访问请求日志中选取目标访问请求日志，包括：从所述待分析的访问请求日志中选取攻击日志，以及所述攻击日志的来源地址信息对应的第一访问请求日志；将所述攻击日志和所述第一访问请求日志从所述待分析的访问请求日志中删除，将剩余的访问请求日志作为所述目标访问请求日志。7.根据权利要求6所述的方法，其特征在于，所述将所述攻击日志和所述第一访问请求日志从所述待分析的访问请求日志中删除之后，所述方法还包括：从剩余的访问请求日志中删除符合预设条件的访问请求日志；其中，所述符合预设条件的访问请求日志包括：包含指定字段和/或指定关键字的访问请求日志，和/或，静态资源的访问请求日志。8.根据权利要求5所述的方法，其特征在于，所述基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则，包括：将所述目标访问请求日志中的指定字符串进行拆分，得到多个字段；获取所述多个字段中的预定字段的指标参数；根据所述预定字段的指标参数，生成用于判定允许进行网络访问的网络访问规则。9.根据权利要求8所述的方法，其特征在于，所述指标参数包括不同参数值的数目；所述根据所述预定字段的指标参数，生成用于判定允许进行网络访问的网络访问规则，包括：如果所述不同参数值的数目小于预定参数阈值，则根据所述预定字段的指标参数，生成用于判定允许进行网络访问的网络访问规则。10.根据权利要求9所述的方法，其特征在于，所述方法还包括：如果所述不同参数值的数目不小于预定参数阈值，则将所述预定字段的指标参数进行泛化处理，得到泛化后的指标参数；根据所述预定字段的指标参数和所述泛化后的指标参数，生成用于判定允许进行网络访问的网络访问规则。11.根据权利要求5所述的方法，其特征在于，所述基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则，包括：如果所述目标访问请求日志中包括访问请求路径的数目超过第一预定数目阈值，且包括的源地址信息的数目超过第二预定数目阈值，则基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。12.根据权利要求5-11中任一项所述的方法，其特征在于，所述方法还包括：将所述网络访问规则提供给服务器，以使服务器基于所述网络访问规则进行安全访问控制。13.一种安全访问控制方法，其特征在于，所述方法包括：获取当前允许进行网络访问的访问请求对应的目标访问请求日志...

【专利技术属性】
技术研发人员：任宏伟，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY