[发明专利]一种基于目标站点自学习建模的WAF防御方法

权利要求书

1.一种基于目标站点自学习建模的WAF防御方法，其特征在于，包括以下步骤：

(1)Linux服务器上用Apache开源模块ModSecurity和Nginx搭建WAF；

(2)开启学习模式：目标站点发起网络访问后，WAF通过Nginx调用ModSecurity的Lua脚本采集目标站点信息，包括URI、HEAD、COOKIE、参数名、参数值；

(3)对步骤(2)采集到的目标站点信息进行处理，包括以下步骤：

3.1将采集到的URI存入数据库URI表，将参数名、HEAD、COOKIE存入参数名表，将参数值存入参数值表，将参数名表和URI表ID相关联，将参数值表和URI表ID相关联，将参数值表和参数名表参数名关联；参数名表记录参数名次数和参数名正则；参数值表记录参数值正则；

3.2相同的URI在URI表中只记录一次，URI表设置学习次数来标记相同URI采集次数；

3.3步骤3.2中学习次数达到设定次数后，根据URI表ID找到参数名表对应的所有参数名，若每个参数名对应的参数名次数均等于学习次数，则参数名正则设置为和参数名一致，若有参数名对应的参数名次数不等于学习次数，则自定义正则匹配参数名填入参数名正则；

3.4参数值表中将相同参数名的所有参数值与正则库进行正则比对，得到匹配该参数名所有参数值的正则，设置为参数值正则；

(4)关闭学习模式，切换防御模式，根据数据库中URI表、参数值表和参数名表生成ModSecurity规则，添加规则到nginx配置文件中，开启ModSecurity模块，对目标站点进行针对性防御。

2.根据权利要求1所述的一种基于目标站点自学习建模的WAF防御方法，其特征在于，所述步骤(2)中，lua脚本获取信息包括以下公式：

req_uri＝m.getvar(REQUEST_URI)公式(1)；

headers＝m.getvars(REQUEST_HEADERS)公式(2)；

cookies＝m.getvars(REQUEST_COOKIES)公式(3)；

args＝m.getvars(ARGS,{none})公式(4)；

公式(1)为获取URL；公式(2)为获取HEAD；公式(3)为获取COOKIE；公式(4)为获取参数名、参数值。

3.根据权利要求1所述的一种基于目标站点自学习建模的WAF防御方法，其特征在于，所述步骤3.2中，针对前部分相同的若干相似URI，截取相同部分保留，去掉不同部分，且学习次数为所有部分的学习次数相加，相似URI对应的参数名表相同参数名去重合并，参数名表中重复参数名的参数名次数相加，参数值表相同参数值去重合并。

4.根据权利要求1所述的一种基于目标站点自学习建模的WAF防御方法，其特征在于，可以对数据库中采集到的站点信息进行人为更改，使最后生成的防御模型更加贴合目标站点。

5.根据权利要求1所述的一种基于目标站点自学习建模的WAF防御方法，其特征在于，切换防御模式后可以重新进入学习模式，以避免漏学。