防护规则生成方法、装置和存储介质与流程

1.本公开涉及网络安全技术领域，特别是一种防护规则生成方法、装置和存储介质。


背景技术：

2.当web应用越来越为丰富的同时，web服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。sql(structured query language，结构化查询语言)注入、网页篡改、网页挂木马等安全事件，频繁发生。
3.waf(web application firewall，网站应用防护系统)代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的web应用安全问题。与传统防火墙不同，waf工作在应用层，因此对web应用防护具有先天的技术优势。基于对web应用业务和逻辑的深刻理解，waf对来自web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。


技术实现要素：

4.本公开的一个目的在于提高waf攻击检测的准确度。
5.根据本公开的一些实施例的一个方面，提出一种防护规则生成方法，包括：获取waf的安全规则；基于预定第一策略拆解安全规则，获取构成安全规则的原子规则；基于预定第二策略和原子规则获取待训练安全规则；根据待训练安全规则对攻击的有效性训练待训练安全规则，获取更新安全规则。
6.在一些实施例中，防护规则生成方法还包括：组合至少两个更新安全规则，获取组合更新安全规则；根据更新安全规则和组合更新安全规则更新waf的安全规则。
7.在一些实施例中，获取waf的安全规则包括：获取waf的规则表达式信息；反编译规则表达式信息，获取安全规则。
8.在一些实施例中，防护规则生成方法还包括：获取waf攻击日志数据，以便根据waf攻击日志数据训练待训练安全规则。
9.在一些实施例中，防护规则生成方法还包括：根据目标网站的受攻击特征生成对目标网站的攻击向量；利用攻击向量攻击目标网站，以便获取目标网站的waf攻击日志数据。
10.在一些实施例中，根据待训练安全规则对攻击的有效性训练待训练安全规则，获取更新安全规则包括：根据waf攻击日志数据、攻击向量和待训练安全规则，基于神经网络训练，确定待训练安全规则对攻击的有效性评估值；根据有效性评估值从待训练安全规则中确定更新安全规则。
11.在一些实施例中，防护规则生成方法还包括：预处理waf攻击日志数据，包括：过滤waf攻击日志数据、识别行为、识别触发规则和路径补充中的一项或多项；根据攻击向量确定waf攻击日志数据中的误报漏报攻击信息。
12.在一些实施例中，根据waf攻击日志数据、攻击向量和待训练安全规则，基于神经
网络训练，确定待训练安全规则对攻击的有效性评估值包括：设置待训练安全规则的初始权重，其中，每个待训练安全规则的初始权重相同；根据待训练安全规则对误报漏报攻击信息对应的攻击向量的拦截有效性更新待训练安全规则的权重；在完成训练后将权重作为有效性评估值。
13.在一些实施例中，基于预定第一策略拆解安全规则包括：在安全规则为针对预定语句发出告警信息的情况下，将预定语句拆解为多个词语，生成针对每个词语发出告警信息的原子规则。
14.在一些实施例中，基于预定第一策略拆解安全规则包括：在安全规则为针对预定操作发出告警信息的情况下，将预定操作拆解为多个步骤，生成针对每个步骤发出告警信息的原子规则。
15.在一些实施例中，基于预定第二策略和原子规则获取待训练安全规则包括：根据与网站业务的关联性，执行在原子规则的基础上调整或组合两个以上的原子规则中的至少一项，获取待训练安全规则。
16.通过这样的方法，能够在waf已有安全规则的基础上，拆解重组安全规则，生成能够应对网站受到的攻击的新的安全规则，从而更新waf的安全规则，提高waf应对攻击的准确度和自适应能力。
17.根据本公开的一些实施例的一个方面，提出一种防护规则生成装置，包括：基础规则获取单元，被配置为获取网站应用防护系统waf的安全规则；原子规则获取单元，被配置为基于预定第一策略拆解安全规则，获取构成安全规则的原子规则；待训练规则获取单元，被配置为基于预定第二策略和原子规则获取待训练安全规则；更新规则获取单元，被配置为根据待训练安全规则对攻击的有效性训练待训练安全规则，获取更新安全规则。
18.在一些实施例中，防护规则生成装置还包括：日志信息获取单元，被配置为获取waf攻击日志数据，以便根据waf攻击日志数据训练待训练安全规则。
19.在一些实施例中，防护规则生成装置还包括攻击单元，被配置为：根据目标网站的受攻击特征生成对目标网站的攻击向量；利用攻击向量攻击目标网站，以便获取目标网站的waf攻击日志数据。
20.根据本公开的一些实施例的一个方面，提出一种防护规则生成装置，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基于存储在存储器的指令执行如上文中提到的任意一种防护规则生成方法。
21.这样的装置能够在waf已有安全规则的基础上，拆解重组安全规则，生成能够应对网站受到的攻击的新的安全规则，从而更新waf的安全规则，提高waf应对攻击的准确度和自适应能力。
22.根据本公开的一些实施例的一个方面，提出一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现上文中提到的任意一种防护规则生成方法的步骤。
23.通过执行这样的计算机可读存储介质上的指令，能够在waf已有安全规则的基础上，拆解重组安全规则，生成能够应对网站受到的攻击的新的安全规则，从而更新waf的安全规则，提高waf应对攻击的准确度和自适应能力。
附图说明
24.此处所说明的附图用来提供对本公开的进一步理解，构成本公开的一部分，本公开的示意性实施例及其说明用于解释本公开，并不构成对本公开的不当限定。在附图中：
25.图1为本公开的防护规则生成方法的一些实施例的流程图。
26.图2为本公开的防护规则生成方法的另一些实施例的流程图。
27.图3为本公开的防护规则生成方法的又一些实施例的流程图。
28.图4为本公开的防护规则生成装置的一些实施例的示意图。
29.图5为本公开的防护规则生成装置的另一些实施例的示意图。
30.图6为本公开的防护规则生成装置的又一些实施例的示意图。
具体实施方式
31.下面通过附图和实施例，对本公开的技术方案做进一步的详细描述。
32.本公开的防护规则生成方法的一些实施例的流程图如图1所示。
33.在步骤101中，获取waf的安全规则。waf的安全规则以正则表达式的形式存储和应用。在一些实施例中，可以获取waf的规则表达式信息，反编译规则表达式信息，获取安全规则。在一些实施例中，可以编写正则表达式编译器对正则表达式进行反编译，得到相应的安全规则。
34.在步骤102中，基于预定第一策略拆解安全规则，获取构成安全规则的原子规则。原子规则指规则的最小粒度单位。在一些实施例中，在安全规则为针对预定语句发出告警信息的情况下，将预定语句拆解为多个词语，生成针对每个词语发出告警信息的原子规则。例如原始对sql注入语句
‘
or’＝
‘
or’进行检测，新的检测对象则是
‘
or’、＝。
35.在一些实施例中，在安全规则为针对预定操作发出告警信息的情况下，将预定操作拆解为多个步骤，生成针对每个步骤发出告警信息的原子规则。
36.在步骤103中，基于预定第二策略和原子规则获取待训练安全规则。在一些实施例中，可以根据与网站业务的关联性，执行在原子规则的基础上调整，获取待训练安全规则。在另一些实施例中，还可以执行组合两个以上的原子规则，获取待训练安全规则。
37.在一些实施例中，可以基于日志数据对于原子规则进行处理，增加待训练安全规则与网站业务的关联性。在一些实施例中，可以对日志数据进行预处理，包括过滤所述waf攻击日志数据、识别行为、识别触发规则和路径补充中的一项或多项，以使日志数据便于自动化分析运用。
38.在步骤104中，根据待训练安全规则对攻击的有效性训练待训练安全规则，获取更新安全规则。在一些实施例中，可以组合至少两个更新安全规则，获取组合更新安全规则，再根据更新安全规则和组合更新安全规则更新waf的安全规则。
39.发明人发现，相关技术中，基于正则表达式匹配的攻击检测规则在较低检测粒度时可通过多重编码和组装复杂攻击载荷的方式绕过，造成大量漏报，而提高检测粒度则会发生很多误报，浪费安全分析人员的工作量。
40.通过上文实施例中的方法，能够在waf已有安全规则的基础上，拆解重组安全规则，生成能够应对网站受到的攻击的新的安全规则，从而更新waf的安全规则，提高waf应对攻击的准确度和自适应能力。
41.在一些实施例中，防护规则生成方法还可以包括获取waf攻击日志数据，以便为训练待训练安全规则提供实际的数据基础。
42.发明人发现，某些特殊网站业务可能会包含某个敏感字符串，但对于网站而言并不构成攻击，waf的检测规则无法根据业务特点调整；另外，如果要修改规则中的正则表达式，则需要人工编写后重新部署更新规则，流程复杂效率低。
43.本公开的防护规则生成方法的另一些实施例的流程图如图2所示。
44.在步骤201中，根据目标网站的受攻击特征生成对目标网站的攻击向量。在一些实施例中，可以针对网站的业务、功能、底层设计等设计关联性攻击向量。
45.在步骤202中，利用攻击向量攻击目标网站。
46.在步骤203中，获取waf攻击日志数据。
47.在步骤204中，预处理waf攻击日志数据，包括：过滤waf攻击日志数据、识别行为、识别触发规则和路径补充中的一项或多项。在一些实施例中，可以根据攻击向量确定waf攻击日志数据中的误报漏报攻击信息。
48.在步骤205中，根据waf攻击日志数据、攻击向量训练待训练安全规则。在一些实施例中，待训练安全规则可以通过上文步骤101～103中的操作生成。
49.在一些实施例中，可以根据waf攻击日志数据、攻击向量和待训练安全规则，基于神经网络训练，确定待训练安全规则对攻击的有效性评估值，包括待训练安全规则对于waf攻击日志数据中的误报漏报攻击信息对应的攻击向量的有效性进行评估，确定其有效性评估值。
50.在步骤206中，根据有效性评估值从待训练安全规则中确定更新安全规则。在一些实施例中，可以根据有效性评估值的排名，按照从高到低的顺序选择预定数量的待训练安全规则，作为更新安全规则。在一些实施例中，可以组合至少两个更新安全规则，获取组合更新安全规则，再根据组合更新安全规则更新waf的安全规则。
51.通过这样的方法，能够根据业务需要设计和模拟攻击，生成符合网站业务特点的安全规则，使得对网站的防护符合网站的实际情况，实现定制化防御，提高waf的自适应程度，进一步提高可靠性。另外，在更新规则后，在waf引擎内部可以完成自动化部署和日志记录，不需要人工参与，提高部署的效率。
52.在一些实施例中，可以基于神经网络对标注了误漏报日志数据和攻击向量以及拆解后waf规则建立模型进行训练分析，进行待训练安全规则的训练生成，如图3所示。
53.在步骤301中，设置待训练安全规则的初始权重，其中，每个待训练安全规则的初始权重相同。
54.在步骤302中，根据待训练安全规则对误报漏报攻击信息对应的攻击向量的拦截有效性更新待训练安全规则的权重，训练过程中对于越有效的规则权重会增加。
55.在一些实施例中，可以训练神经网络模型，更新神经元权重和连接值，计算误差和以及模型权重，更新各个待训练安全规则的权重。
56.在步骤303中，判断是否完成训练。在一些实施例中，可以根据权重的收敛情况确定是否完成训练；或可以设定迭代次数；或可以执行训练直至攻击向量、日志数据等数据使用完，确定完成训练。若未完成训练，则执行步骤302；若完成，则执行步骤304。
57.在步骤304中，将待训练安全规则的权重作为其有效性评估值。
58.通过这样的方法，能够采用异步自学习的方式，对日志数据、攻击向量和高粒度waf规则建立神经网络模型训练分析，在训练结束后挑选权重排名较高的小规则组成新的大规则，保证生成的规则对攻击向量的有效性，在提高waf的可靠性的同时也避免安全规则过多而降低效率。
59.本公开的防护规则生成装置的一些实施例的示意图如图4所示。
60.基础规则获取单元401能够获取waf的安全规则。waf的安全规则以正则表达式的形式存储和应用。在一些实施例中，基础规则获取单元401可以获取waf的规则表达式信息，反编译规则表达式信息，获取安全规则。在一些实施例中，可以编写正则表达式编译器对正则表达式进行反编译，得到相应的安全规则。
61.原子规则获取单元402能够基于预定第一策略拆解安全规则，获取构成安全规则的原子规则。原子规则指规则的最小粒度单位。在一些实施例中，在安全规则为针对预定语句发出告警信息的情况下，将预定语句拆解为多个词语，生成针对每个词语发出告警信息的原子规则。在一些实施例中，在安全规则为针对预定操作发出告警信息的情况下，将预定操作拆解为多个步骤，生成针对每个步骤发出告警信息的原子规则。
62.待训练规则获取单元403能够基于预定第二策略和原子规则获取待训练安全规则。在一些实施例中，可以根据与网站业务的关联性，执行在原子规则的基础上调整规则条件，获取待训练安全规则。在另一些实施例中，还可以执行组合两个以上的原子规则，获取待训练安全规则。在一些实施例中，可以基于日志数据对于原子规则进行处理，增加待训练安全规则与网站业务的关联性。在一些实施例中，可以对日志数据进行预处理，包括过滤所述waf攻击日志数据、识别行为、识别触发规则和路径补充中的一项或多项，以使日志数据便于自动化分析运用。
63.更新规则获取单元404能够根据待训练安全规则对攻击的有效性训练待训练安全规则，获取更新安全规则。在一些实施例中，可以组合至少两个更新安全规则，获取组合更新安全规则，再根据更新安全规则和组合更新安全规则更新waf的安全规则。
64.这样的装置能够在waf已有安全规则的基础上，拆解重组安全规则，生成能够应对网站受到的攻击的新的安全规则，从而更新waf的安全规则，提高waf应对攻击的准确度和自适应能力。
65.在一些实施例中，如图4所示，防护规则生成装置还可以包括日志信息获取单元405，能够获取waf攻击日志数据，以作为训练待训练安全规则的数据基础，在一些实施例中，也可以作为基于预定第二策略和原子规则获取待训练安全规则的数据基础。
66.在一些实施例中，日志信息获取单元405可以预处理waf攻击日志数据，包括：过滤waf攻击日志数据、识别行为、识别触发规则和路径补充中的一项或多项。在一些实施例中，日志信息获取单元405还可以根据攻击向量确定waf攻击日志数据中的误报漏报攻击信息。
67.这样的装置能够采用真实的日志数据作为规则训练的数据基础，使得训练能够符合网站遇到的攻击的情况。
68.在一些实施例中，如图4所示，防护规则生成装置还可以包括攻击单元406，根据目标网站的受攻击特征生成对目标网站的攻击向量，并利用攻击向量攻击目标网站。在一些实施例中，可以针对网站的业务、功能、底层设计等设计关联性攻击向量。
69.这样的装置能够根据业务需要设计和模拟攻击，生成符合网站业务特点的安全规
则，使得对网站的防护符合网站的实际情况，提高waf的自适应程度，进一步提高可靠性。
70.本公开防护规则生成装置的一个实施例的结构示意图如图5所示。防护规则生成装置包括存储器501和处理器502。其中：存储器501可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储上文中防护规则生成方法的对应实施例中的指令。处理器502耦接至存储器501，可以作为一个或多个集成电路来实施，例如微处理器或微控制器。该处理器502用于执行存储器中存储的指令，能够更新waf的安全规则，提高waf应对攻击的准确度和自适应能力。
71.在一个实施例中，还可以如图6所示，防护规则生成装置600包括存储器601和处理器602。处理器602通过bus总线603耦合至存储器601。该防护规则生成装置600还可以通过存储接口604连接至外部存储装置605以便调用外部数据，还可以通过网络接口606连接至网络或者另外一台计算机系统(未标出)。此处不再进行详细介绍。
72.在该实施例中，通过存储器存储数据指令，再通过处理器处理上述指令，能够更新waf的安全规则，提高waf应对攻击的准确度和自适应能力。
73.在另一个实施例中，一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现防护规则生成方法对应实施例中的方法的步骤。本领域内的技术人员应明白，本公开的实施例可提供为方法、装置、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
74.本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
75.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
76.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
77.至此，已经详细描述了本公开。为了避免遮蔽本公开的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。
78.可能以许多方式来实现本公开的方法以及装置。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明，本公开的方法的步骤不限于以上具体描述的顺序，除非以其它方
式特别说明。此外，在一些实施例中，还可将本公开实施为记录在记录介质中的程序，这些程序包括用于实现根据本公开的方法的机器可读指令。因而，本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
79.最后应当说明的是：以上实施例仅用以说明本公开的技术方案而非对其限制；尽管参照较佳实施例对本公开进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本公开的具体实施方式进行修改或者对部分技术特征进行等同替换；而不脱离本公开技术方案的精神，其均应涵盖在本公开请求保护的技术方案范围当中。