本公开提出一种防护规则生成方法、装置和存储介质,涉及网络安全技术领域。本公开的一种防护规则生成方法,包括:获取WAF的安全规则;基于预定第一策略拆解安全规则,获取构成安全规则的原子规则;基于预定第二策略和原子规则获取待训练安全规则;根据待训练安全规则对攻击的有效性训练待训练安全规则,获取更新安全规则。通过这样的方法,能够在WAF已有安全规则的基础上,拆解重组安全规则,生成能够应对网站受到的攻击的新的安全规则,从而更新WAF的安全规则,提高WAF应对攻击的准确度和自适应能力。适应能力。适应能力。
【技术实现步骤摘要】
防护规则生成方法、装置和存储介质
[0001]本公开涉及网络安全
,特别是一种防护规则生成方法、装置和存储介质。
技术介绍
[0002]当WEB应用越来越为丰富的同时,WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL(Structured Query Language,结构化查询语言)注入、网页篡改、网页挂木马等安全事件,频繁发生。
[0003]WAF(Web Application Firewall,网站应用防护系统)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
技术实现思路
[0004]本公开的一个目的在于提高WAF攻击检测的准确度。
[0005]根据本公开的一些实施例的一个方面,提出一种防护规则生成方法,包括:获取WAF的安全规则;基于预定第一策略拆解安全规则,获取构成安全规则的原子规则;基于预定第二策略和原子规则获取待训练安全规则;根据待训练安全规则对攻击的有效性训练待训练安全规则,获取更新安全规则。
[0006]在一些实施例中,防护规则生成方法还包括:组合至少两个更新安全规则,获取组合更新安全规则;根据更新安全规则和组合更新安全规则更新WAF的安全规则。
[0007]在一些实施例中,获取WAF的安全规则包括:获取WAF的规则表达式信息;反编译规则表达式信息,获取安全规则。
[0008]在一些实施例中,防护规则生成方法还包括:获取WAF攻击日志数据,以便根据WAF攻击日志数据训练待训练安全规则。
[0009]在一些实施例中,防护规则生成方法还包括:根据目标网站的受攻击特征生成对目标网站的攻击向量;利用攻击向量攻击目标网站,以便获取目标网站的WAF攻击日志数据。
[0010]在一些实施例中,根据待训练安全规则对攻击的有效性训练待训练安全规则,获取更新安全规则包括:根据WAF攻击日志数据、攻击向量和待训练安全规则,基于神经网络训练,确定待训练安全规则对攻击的有效性评估值;根据有效性评估值从待训练安全规则中确定更新安全规则。
[0011]在一些实施例中,防护规则生成方法还包括:预处理WAF攻击日志数据,包括:过滤WAF攻击日志数据、识别行为、识别触发规则和路径补充中的一项或多项;根据攻击向量确定WAF攻击日志数据中的误报漏报攻击信息。
[0012]在一些实施例中,根据WAF攻击日志数据、攻击向量和待训练安全规则,基于神经
网络训练,确定待训练安全规则对攻击的有效性评估值包括:设置待训练安全规则的初始权重,其中,每个待训练安全规则的初始权重相同;根据待训练安全规则对误报漏报攻击信息对应的攻击向量的拦截有效性更新待训练安全规则的权重;在完成训练后将权重作为有效性评估值。
[0013]在一些实施例中,基于预定第一策略拆解安全规则包括:在安全规则为针对预定语句发出告警信息的情况下,将预定语句拆解为多个词语,生成针对每个词语发出告警信息的原子规则。
[0014]在一些实施例中,基于预定第一策略拆解安全规则包括:在安全规则为针对预定操作发出告警信息的情况下,将预定操作拆解为多个步骤,生成针对每个步骤发出告警信息的原子规则。
[0015]在一些实施例中,基于预定第二策略和原子规则获取待训练安全规则包括:根据与网站业务的关联性,执行在原子规则的基础上调整或组合两个以上的原子规则中的至少一项,获取待训练安全规则。
[0016]通过这样的方法,能够在WAF已有安全规则的基础上,拆解重组安全规则,生成能够应对网站受到的攻击的新的安全规则,从而更新WAF的安全规则,提高WAF应对攻击的准确度和自适应能力。
[0017]根据本公开的一些实施例的一个方面,提出一种防护规则生成装置,包括:基础规则获取单元,被配置为获取网站应用防护系统WAF的安全规则;原子规则获取单元,被配置为基于预定第一策略拆解安全规则,获取构成安全规则的原子规则;待训练规则获取单元,被配置为基于预定第二策略和原子规则获取待训练安全规则;更新规则获取单元,被配置为根据待训练安全规则对攻击的有效性训练待训练安全规则,获取更新安全规则。
[0018]在一些实施例中,防护规则生成装置还包括:日志信息获取单元,被配置为获取WAF攻击日志数据,以便根据WAF攻击日志数据训练待训练安全规则。
[0019]在一些实施例中,防护规则生成装置还包括攻击单元,被配置为:根据目标网站的受攻击特征生成对目标网站的攻击向量;利用攻击向量攻击目标网站,以便获取目标网站的WAF攻击日志数据。
[0020]根据本公开的一些实施例的一个方面,提出一种防护规则生成装置,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器的指令执行如上文中提到的任意一种防护规则生成方法。
[0021]这样的装置能够在WAF已有安全规则的基础上,拆解重组安全规则,生成能够应对网站受到的攻击的新的安全规则,从而更新WAF的安全规则,提高WAF应对攻击的准确度和自适应能力。
[0022]根据本公开的一些实施例的一个方面,提出一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上文中提到的任意一种防护规则生成方法的步骤。
[0023]通过执行这样的计算机可读存储介质上的指令,能够在WAF已有安全规则的基础上,拆解重组安全规则,生成能够应对网站受到的攻击的新的安全规则,从而更新WAF的安全规则,提高WAF应对攻击的准确度和自适应能力。
附图说明
[0024]此处所说明的附图用来提供对本公开的进一步理解,构成本公开的一部分,本公开的示意性实施例及其说明用于解释本公开,并不构成对本公开的不当限定。在附图中:
[0025]图1为本公开的防护规则生成方法的一些实施例的流程图。
[0026]图2为本公开的防护规则生成方法的另一些实施例的流程图。
[0027]图3为本公开的防护规则生成方法的又一些实施例的流程图。
[0028]图4为本公开的防护规则生成装置的一些实施例的示意图。
[0029]图5为本公开的防护规则生成装置的另一些实施例的示意图。
[0030]图6为本公开的防护规则生成装置的又一些实施例的示意图。
具体实施方式
[0031]下面通过附图和实施例,对本公开的技术方案做进一步的详细描述。
[0032]本公开的防护规则生成方法的一些实施例的流程图如图1所示。
[0033]在步骤101中,获取WAF的安全规则。WAF的安全规则以正则表达式的形式存储和应用。在一些实施例中,可以获取WAF的规则表达式信息,反编译规则表达式信息本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种防护规则生成方法,包括:获取网站应用防护系统WAF的安全规则;基于预定第一策略拆解所述安全规则,获取构成所述安全规则的原子规则;基于预定第二策略和所述原子规则获取待训练安全规则;根据所述待训练安全规则对攻击的有效性训练所述待训练安全规则,获取更新安全规则。2.根据权利要求1所述的方法,还包括:组合至少两个所述更新安全规则,获取组合更新安全规则;根据所述更新安全规则和所述组合更新安全规则更新所述WAF的安全规则。3.根据权利要求1所述的方法,其中,所述获取网站应用防护系统WAF的安全规则包括:获取WAF的规则表达式信息;反编译所述规则表达式信息,获取所述安全规则。4.根据权利要求1所述的方法,还包括:获取WAF攻击日志数据,以便根据所述WAF攻击日志数据训练所述待训练安全规则。5.根据权利要求4所述的方法,还包括:根据所述目标网站的受攻击特征生成对目标网站的攻击向量;利用所述攻击向量攻击所述目标网站,以便获取所述目标网站的WAF攻击日志数据。6.根据权利要求5所述的方法,其中,所述根据所述待训练安全规则对攻击的有效性训练所述待训练安全规则,获取更新安全规则包括:根据所述WAF攻击日志数据、攻击向量和所述待训练安全规则,基于神经网络训练,确定所述待训练安全规则对攻击的有效性评估值;根据所述有效性评估值从所述待训练安全规则中确定所述更新安全规则。7.根据权利要求5所述的方法,还包括:预处理所述WAF攻击日志数据,包括:过滤所述WAF攻击日志数据、识别行为、识别触发规则和路径补充中的一项或多项;根据所述攻击向量确定所述WAF攻击日志数据中的误报漏报攻击信息。8.根据权利要求5所述的方法,其中,所述根据所述WAF攻击日志数据、攻击向量和所述待训练安全规则,基于神经网络训练,确定所述待训练安全规则对攻击的有效性评估值包括:设置所述待训练安全规则的初始权重,其中,每个所述待训练安全规则的初始权重相同;根据所述待训练安全规则对所述误报漏报攻击信...
【专利技术属性】
技术研发人员:田金英,马晨,黎超超,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。