[发明专利]一种WAF误判识别方法以及装置有效
| 申请号: | 201710325990.X | 申请日: | 2017-05-10 |
| 公开(公告)号: | CN107172033B | 公开(公告)日: | 2020-11-13 |
| 发明(设计)人: | 任勇兵;高群凯 | 申请(专利权)人: | 深信服科技股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/26 |
| 代理公司: | 深圳市深佳知识产权代理事务所(普通合伙) 44285 | 代理人: | 王仲凯 |
| 地址: | 518055 广东省深圳市南*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 waf 误判 识别 方法 以及 装置 | ||
1.一种WAF误判识别方法,其特征在于,包括:
确定可信用户;
所述确定可信用户包括:确定第一网站在第一地域内的第一访问用户;统计所述第一访问用户在第一时间内的网站访问行为;按照预设方法对所述网站访问行为进行评分,得到评分结果;若所述评分结果高于预设可信阈值,则确定所述第一访问用户为可信用户;
或者,所述确定可信用户包括:获取第一网站的第一正常用户的源IP;对所述源IP进行地域分类,得到多个源地域;将多个所述源地域的第三访问量按照由高到低的原则排序,并从多个所述源地域中确定排序在前的第三预设数量的源地域为可信地域;从所述第一正常用户中确定所述可信地域内的正常用户为可信用户;
或者,所述确定可信用户包括:按照第二预设时间段统计第一网站的第二正常用户的第四访问量;将所述第二预设时间段的第四访问量按照由高到低的原则排序,并从所述第二预设时间段中确定排序在前的第四预设数量的时间段为可信时间;从所述第二正常用户中确定所述可信时间内的正常用户为可信用户;
当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对所述可信用户的数量进行统计;
若所述数量满足预设条件,则确定误判产生所述第一类型攻击。
2.根据权利要求1所述的WAF误判识别方法,其特征在于,所述按照预设方法对所述网站访问行为进行评分包括:
确定所述网站访问行为的行为维度;
按照预设维度权重对所述行为维度进行加权计算,得到评分结果。
3.根据权利要求2所述的WAF误判识别方法,其特征在于,所述行为维度包括请求内容和请求频率。
4.根据权利要求1至3中任一项所述的WAF误判识别方法,其特征在于,所述第一地域为可信地域,所述第一时间为可信时间。
5.根据权利要求4所述的WAF误判识别方法,其特征在于,在所述确定所述第一网站在第一地域内的第一访问用户之前,所述方法还包括:
确定所述可信地域;
所述确定所述可信地域包括:
获取所述第一网站的第二访问用户的源IP;
对所述源IP进行地域分类,得到多个源地域;
将多个所述源地域的第一访问量按照由高到低的原则排序,并从多个所述源地域中确定排序在前的第一预设数量的源地域为所述可信地域。
6.根据权利要求4所述的WAF误判识别方法,其特征在于,在所述统计所述第一访问用户在第一时间内的网站访问行为之前,所述方法还包括:
确定所述可信时间;
所述确定所述可信时间包括:
按照第一预设时间段统计所述第一网站的第三访问用户的第二访问量;
将所述第一预设时间段的第二访问量按照由高到低的原则排序,并从所述第一预设时间段中确定排序在前的第二预设数量的时间段为所述可信时间。
7.根据权利要求4所述的WAF误判识别方法,其特征在于,所述当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对所述可信用户的数量进行统计包括:
当在所述可信时间内可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对所述可信用户的数量进行统计。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深信服科技股份有限公司,未经深信服科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710325990.X/1.html,转载请声明来源钻瓜专利网。
