防护规则生成方法、装置和存储介质与流程

技术特征：
1.一种防护规则生成方法，包括：获取网站应用防护系统waf的安全规则；基于预定第一策略拆解所述安全规则，获取构成所述安全规则的原子规则；基于预定第二策略和所述原子规则获取待训练安全规则；根据所述待训练安全规则对攻击的有效性训练所述待训练安全规则，获取更新安全规则。2.根据权利要求1所述的方法，还包括：组合至少两个所述更新安全规则，获取组合更新安全规则；根据所述更新安全规则和所述组合更新安全规则更新所述waf的安全规则。3.根据权利要求1所述的方法，其中，所述获取网站应用防护系统waf的安全规则包括：获取waf的规则表达式信息；反编译所述规则表达式信息，获取所述安全规则。4.根据权利要求1所述的方法，还包括：获取waf攻击日志数据，以便根据所述waf攻击日志数据训练所述待训练安全规则。5.根据权利要求4所述的方法，还包括：根据所述目标网站的受攻击特征生成对目标网站的攻击向量；利用所述攻击向量攻击所述目标网站，以便获取所述目标网站的waf攻击日志数据。6.根据权利要求5所述的方法，其中，所述根据所述待训练安全规则对攻击的有效性训练所述待训练安全规则，获取更新安全规则包括：根据所述waf攻击日志数据、攻击向量和所述待训练安全规则，基于神经网络训练，确定所述待训练安全规则对攻击的有效性评估值；根据所述有效性评估值从所述待训练安全规则中确定所述更新安全规则。7.根据权利要求5所述的方法，还包括：预处理所述waf攻击日志数据，包括：过滤所述waf攻击日志数据、识别行为、识别触发规则和路径补充中的一项或多项；根据所述攻击向量确定所述waf攻击日志数据中的误报漏报攻击信息。8.根据权利要求5所述的方法，其中，所述根据所述waf攻击日志数据、攻击向量和所述待训练安全规则，基于神经网络训练，确定所述待训练安全规则对攻击的有效性评估值包括：设置所述待训练安全规则的初始权重，其中，每个所述待训练安全规则的初始权重相同；根据所述待训练安全规则对所述误报漏报攻击信息对应的所述攻击向量的拦截有效性更新所述待训练安全规则的权重；在完成训练后将所述权重作为所述有效性评估值。9.根据权利要求1所述的方法，其中，所述基于预定第一策略拆解所述安全规则包括：在所述安全规则为针对预定语句发出告警信息的情况下，将所述预定语句拆解为多个词语，生成针对每个词语发出告警信息的原子规则；和/或在所述安全规则为针对预定操作发出告警信息的情况下，将所述预定操作拆解为多个步骤，生成针对每个步骤发出告警信息的原子规则。
10.根据权利要求1或9所述的方法，其中，所述基于预定第二策略和所述原子规则获取待训练安全规则包括：根据与网站业务的关联性，执行在所述原子规则的基础上调整或组合两个以上的所述原子规则中的至少一项，获取所述待训练安全规则。11.一种防护规则生成装置，包括：基础规则获取单元，被配置为获取网站应用防护系统waf的安全规则；原子规则获取单元，被配置为基于预定第一策略拆解所述安全规则，获取构成所述安全规则的原子规则；待训练规则获取单元，被配置为基于预定第二策略和所述原子规则获取待训练安全规则；更新规则获取单元，被配置为根据所述待训练安全规则对攻击的有效性训练所述待训练安全规则，获取更新安全规则。12.根据权利要求11所述的装置，还包括：日志信息获取单元，被配置为获取waf攻击日志数据，以便根据所述waf攻击日志数据训练所述待训练安全规则。13.根据权利要求12所述的装置，还包括攻击单元，被配置为：根据所述目标网站的受攻击特征生成对目标网站的攻击向量；利用所述攻击向量攻击所述目标网站，以便获取所述目标网站的waf攻击日志数据。14.一种防护规则生成装置，包括：存储器；以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至10任一项所述的方法。15.一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现权利要求1至10任意一项所述的方法的步骤。

技术总结
本公开提出一种防护规则生成方法、装置和存储介质，涉及网络安全技术领域。本公开的一种防护规则生成方法，包括：获取WAF的安全规则；基于预定第一策略拆解安全规则，获取构成安全规则的原子规则；基于预定第二策略和原子规则获取待训练安全规则；根据待训练安全规则对攻击的有效性训练待训练安全规则，获取更新安全规则。通过这样的方法，能够在WAF已有安全规则的基础上，拆解重组安全规则，生成能够应对网站受到的攻击的新的安全规则，从而更新WAF的安全规则，提高WAF应对攻击的准确度和自适应能力。适应能力。适应能力。


技术研发人员：田金英 马晨 黎超超
受保护的技术使用者：中国电信股份有限公司
技术研发日：2020.04.22
技术公布日：2021/10/22