[发明专利]一种WAF误判识别方法以及装置有效
| 申请号: | 201710325990.X | 申请日: | 2017-05-10 |
| 公开(公告)号: | CN107172033B | 公开(公告)日: | 2020-11-13 |
| 发明(设计)人: | 任勇兵;高群凯 | 申请(专利权)人: | 深信服科技股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/26 |
| 代理公司: | 深圳市深佳知识产权代理事务所(普通合伙) 44285 | 代理人: | 王仲凯 |
| 地址: | 518055 广东省深圳市南*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 waf 误判 识别 方法 以及 装置 | ||
本发明实施例公开了一种WAF误判识别方法以及装置,用于解决攻击误判需要手动识别的工作量大的问题。本发明实施例方法包括:当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对可信用户的数量进行统计;若数量满足预设条件,则确定误判产生第一类型攻击。
技术领域
本发明涉及通信技术领域,尤其涉及一种WAF误判识别方法以及装置。
背景技术
攻击误判是Web应用防护系统WAF安全产品遇到的常见问题。在实际应用中,由于网站开发人员的编码习惯、安全设备自身特征库场景适应性等因素,容易导致正常用户的网站访问被识别为黑客发动的网站攻击。
当前WAF识别网站攻击的方式,主要是基于黑名单机制-匹配特征库,这种基于正则非黑即白的方式,在不同的场景下,匹配结果和预期会有差别。例如:网站A识别来自客户端的请求字符串selectxxx and 1=1为SQL注入攻击;网站B网站可能因为前端开发人员编码风格原因,将SQL查询语句写在js内容中,导致用户请求中带有selectxxx and 1=1这类攻击串,这种预期正常的访问就会识别为攻击;另外,由于基于规则匹配自身的局限性,一些特征较弱规则也同样存在上述问题。
然而,攻击误判造成的影响是非常严重的,例如,导致正常网站访问业务被中断。目前,解决攻击误判技术比较常用的方法,主要是通过安全运维人员手动分析日志,发现误判后手动排除,但这种方法工作量大非常大。
发明内容
本发明实施例提供了一种WAF误判识别方法以及装置,用于解决攻击误判需要手动识别的工作量大的问题。
有鉴于此,本发明第一方面提供一种WAF误判识别方法,可包括:
当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对可信用户的数量进行统计;
若数量满足预设条件,则确定误判产生第一类型攻击。
进一步的,在当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对可信用户的数量进行统计之前,该方法还包括:
确定可信用户;
确定可信用户包括:
确定第一网站在第一地域内的第一访问用户;
统计第一访问用户在第一时间内的网站访问行为;
按照预设方法对网站访问行为进行评分,得到评分结果;
若评分结果高于预设可信阈值,则确定第一访问用户为可信用户。
进一步的,按照预设方法对网站访问行为进行评分包括:
确定网站访问行为的行为维度;
按照预设维度权重对行为维度进行加权计算,得到评分结果。
进一步的,行为维度包括请求内容和请求频率。
进一步的,第一地域为可信地域,第一时间为可信时间。
进一步的,在确定第一网站在第一地域内的第一访问用户之前,该方法还包括:
确定可信地域;
确定可信地域包括:
获取第一网站的第二访问用户的源IP;
对源IP进行地域分类,得到多个源地域;
将多个源地域的第一访问量按照由高到低的原则排序,并从多个源地域中确定排序在前的第一预设数量的源地域为可信地域。
进一步的,在统计第一访问用户在第一时间内的网站访问行为之前,该方法还包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深信服科技股份有限公司,未经深信服科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710325990.X/2.html,转载请声明来源钻瓜专利网。
