漏洞攻击防护规则的生成方法及装置制造方法及图纸

本申请公开一种漏洞攻击防护规则的生成方法及装置，涉及网络安全技术领域。本申请的方法包括：获取访问请求数据，其中，所述访问请求数据包含对应当前业务场景下允许访问的至少一个访问请求；基于所述访问请求数据中的访问请求解析出参数序列结构，其中所述参数序列结构包括所述访问请求中对应所述业务场景的各个参数之间的层级关系以及每个层级的参数对应的数据格式；基于所述参数序列结构生成所述漏洞攻击防护规则，其中，所述漏洞攻击防护规则用于将不符合所述参数序列结构的访问请求进行过滤。求进行过滤。求进行过滤。

【技术实现步骤摘要】
漏洞攻击防护规则的生成方法及装置


[0001]本申请涉及网络安全
，尤其涉及一种漏洞攻击防护规则的生成方法及装置。

技术介绍

[0002]随着网络技术的不断发展，针对漏洞的攻击行为也逐步增多。为了应对漏洞攻击，往往需要设置一定的漏洞防护规则，以便基于这样的防护规则对访问请求进行检测。
[0003]目前，现有的漏洞攻击防护规则的生成方式主要是针对已经侦测到的访问请求设置的，也就是说在检测到某些具有漏洞攻击行为的访问请求后，分析该访问请求的特征，并基于这些特征设置一个过滤规则，当再次出现访问请求时检测该访问请求中是否存在上述特征以便对攻击行为进行过滤。但在实际应用中，现有的漏洞攻击防护规则都是基于已检测出的攻击行为的请求特征进行生成的，也就是说现有的漏洞攻击防护规则都是针对已有的业务环境设置的，这就导致一旦业务环境发生变换，譬如更换一个新的业务场景时，就会因未知的攻击方式导致当前生成的漏洞攻击防护规则不适配，影响漏洞攻击防护的效果。

技术实现思路

[0004]本申请实施例提供一种漏洞攻击防护规则的生成方法及装置，主要目的在于实现一种漏洞攻击防护规则的生成方法，以适配不同的业务场景，从而确保生成的漏洞攻击防护规则具有较好的防护效果。
[0005]为解决上述技术问题，本申请实施例提供如下技术方案：
[0006]第一方面，本申请提供了一种漏洞攻击防护规则的生成方法，所述方法包括：
[0007]获取访问请求数据，其中，所述访问请求数据包含对应当前业务场景下允许访问的至少一个访问请求；
[0008]基于所述访问请求数据中的访问请求解析出参数序列结构，其中所述参数序列结构包括所述访问请求中对应所述业务场景的各个参数之间的层级关系以及每个层级的参数对应的数据格式；
[0009]基于所述参数序列结构生成所述漏洞攻击防护规则，其中，所述漏洞攻击防护规则用于将不符合所述参数序列结构的访问请求进行过滤。
[0010]可选的，所述基于所述访问请求数据中的访问请求解析出参数序列结构，包括：
[0011]从所述访问请求中解析出所述参数以及每个所述参数的层级，并基于所述参数的层级确定各个所述参数之间的层级关系；
[0012]基于每个所述参数对应的参数信息的数据格式，确定对应每个所述参数的数据格式；
[0013]基于各个所述参数之间的所述层级关系，以及每个所述参数对应的数据格式确定所述参数序列结构。
[0014]可选的，所述基于每个所述参数对应的参数信息的数据格式，确定对应每个所述
参数的数据格式，还包括：
[0015]获取对应所述参数的参数信息以及攻击注入方式，其中，所述攻击注入方式中包含用以攻击所述参数的数据格式；
[0016]根据所述参数信息的数据格式以及所述攻击注入方式的数据格式，确定符合所述参数的目标类型，并将所述目标类型确定为所述参数的数据格式，其中，所述目标类型包括所述参数信息对应的数据格式且排除所述攻击注入方式的数据格式的至少一个类型。
[0017]可选的，所述基于各个所述参数之间的所述层级关系，以及每个所述参数对应的数据格式确定所述参数序列结构，包括：
[0018]当所述层级关系为树状关系时，根据所述参数之间的所述层级关系，在多个所述参数中确定出根节点参数以及对应根节点参数的子节点参数，以及每个所述子节点参数的下一级子节点参数，得到对应树结构；
[0019]在所述树结构中添加对应各个所述参数的数据格式，得到所述参数序列结构。
[0020]可选的，所述基于各个所述参数之间的所述层级关系，以及每个所述参数对应的数据格式确定所述参数序列结构，包括：
[0021]当所述层级关系为扁平状关系时，根据所述参数之间的所述层级关系，将所有参数均确定为根节点平级参数，得到扁平结构；
[0022]在所述扁平结构中添加对应各个所述参数的数据格式，得到所述参数序列结构。
[0023]可选的，所述基于所述参数序列结构生成所述漏洞攻击防护规则包括：
[0024]基于所述参数之间的所述层级关系确定各个所述参数之间的逻辑关系，并根据每个所述参数分别对应的所述数据格式，以及所述参数之间的逻辑关系，生成允许访问的访问请求参数的正则表达式，并将所述正则表达式确定为所述漏洞攻击防护规则。
[0025]可选的，所述基于所述参数之间的所述层级关系确定各个所述参数之间的逻辑关系，并根据每个所述参数分别对应的所述数据格式，以及所述参数之间的逻辑关系，生成允许访问的访问请求参数的正则表达式，并将所述正则表达式确定为所述漏洞攻击防护规则包括：
[0026]将所述参数和对应的数据格式分别选取不同的变量符，并选取第一逻辑运算符得到第一表达式；
[0027]基于各个所述参数之间的逻辑关系将多个所述第一表达式利用第二逻辑运算符进行组合，得到所述正则表达式，并将所述正则表达式确定为所述漏洞攻击防护规则。
[0028]第二方面，本申请还提供一种漏洞攻击防护规则的生成装置，包括：
[0029]获取单元，用于获取访问请求数据，其中，所述访问请求数据包含对应当前业务场景下允许访问的至少一个访问请求；
[0030]解析单元，用于基于所述访问请求数据中的访问请求解析出参数序列结构，其中所述参数序列结构包括所述访问请求中对应所述业务场景的各个参数之间的层级关系以及每个层级的参数对应的数据格式；
[0031]生成单元，用于基于所述参数序列结构生成所述漏洞攻击防护规则，其中，所述漏洞攻击防护规则用于将不符合所述参数序列结构的访问请求进行过滤。
[0032]可选的，所述解析单元，包括：
[0033]解析模块，用于从所述访问请求中解析出所述参数以及每个所述参数的层级，并
基于所述参数的层级确定各个所述参数之间的层级关系；
[0034]第一确定模块，用于基于每个所述参数对应的参数信息的数据格式，确定对应每个所述参数的数据格式；
[0035]第二确定模块，用于基于各个所述参数之间的所述层级关系，以及每个所述参数对应的数据格式确定所述参数序列结构。
[0036]可选的，所述第一确定模块，还用于获取对应所述参数的参数信息以及攻击注入方式，其中，所述攻击注入方式中包含用以攻击所述参数的数据格式；以及，用于根据所述参数信息的数据格式以及所述攻击注入方式的数据格式，确定符合所述参数的目标类型，并将所述目标类型确定为所述参数的数据格式，其中，所述目标类型包括所述参数信息对应的数据格式且排除所述攻击注入方式的数据格式的至少一个类型。
[0037]可选的，所述第二确定模块，包括：
[0038]第一确定子模块，用于当所述层级关系为树状关系时，根据所述参数之间的所述层级关系，在多个所述参数中确定出根节点参数以及对应根节点参数的子节点参数，以及每个所述子节点参数的下一级子节点参数，得到对应树结构；
[0039]第一添加子模块，用于在所述树结构中添加对应各本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种漏洞攻击防护规则的生成方法，其特征在于，包括：获取访问请求数据，其中，所述访问请求数据包含对应当前业务场景下允许访问的至少一个访问请求；基于所述访问请求数据中的访问请求解析出参数序列结构，其中所述参数序列结构包括所述访问请求中对应所述业务场景的各个参数之间的层级关系以及每个层级的参数对应的数据格式；基于所述参数序列结构生成所述漏洞攻击防护规则，其中，所述漏洞攻击防护规则用于将不符合所述参数序列结构的访问请求进行过滤。2.根据权利要求1所述的方法，其特征在于，所述基于所述访问请求数据中的访问请求解析出参数序列结构，包括：从所述访问请求中解析出所述参数以及每个所述参数的层级，并基于所述参数的层级确定各个所述参数之间的层级关系；基于每个所述参数对应的参数信息的数据格式，确定对应每个所述参数的数据格式；基于各个所述参数之间的所述层级关系，以及每个所述参数对应的数据格式确定所述参数序列结构。3.根据权利要求2所述的方法，其特征在于，所述基于每个所述参数对应的参数信息的数据格式，确定对应每个所述参数的数据格式，包括：获取对应所述参数的参数信息以及攻击注入方式，其中，所述攻击注入方式中包含用以攻击所述参数的数据格式；根据所述参数信息的数据格式以及所述攻击注入方式的数据格式，确定符合所述参数的目标类型，并将所述目标类型确定为所述参数的数据格式，其中，所述目标类型包括所述参数信息对应的数据格式且排除所述攻击注入方式的数据格式的至少一个类型。4.根据权利要求2所述的方法，其特征在于，所述基于各个所述参数之间的所述层级关系，以及每个所述参数对应的数据格式确定所述参数序列结构，包括：当所述层级关系为树状关系时，根据所述参数之间的所述层级关系，在多个所述参数中确定出根节点参数以及对应根节点参数的子节点参数，以及每个所述子节点参数的下一级子节点参数，得到对应树结构；在所述树结构中添加对应各个所述参数的数据格式，得到所述参数序列结构。5.根据权利要求2所述的方法，其特征在于，所述基于各个所述参数之间的所述层级关系，以及每个所述参数对应的数据格式确定所述参数序列结构，包括：当所述层级关系为扁平状关系时，根据所述参数之间的所述层级关系，...

【专利技术属性】
技术研发人员：陈华平，谈文彬，姚翼雄，赵伟，
申请(专利权)人：奇安信网神信息技术北京股份有限公司，
类型：发明
国别省市：