CN108092944A - 一种基于自学习防waf误报的技术 - Google Patents

一种基于自学习防waf误报的技术 Download PDF

Info

Publication number
CN108092944A
CN108092944A CN201611046653.9A CN201611046653A CN108092944A CN 108092944 A CN108092944 A CN 108092944A CN 201611046653 A CN201611046653 A CN 201611046653A CN 108092944 A CN108092944 A CN 108092944A
Authority
CN
China
Prior art keywords
waf
self study
technology based
wrong reports
website
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201611046653.9A
Other languages
English (en)
Inventor
杨育斌
吴沛栩
柯宗贵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Blue Shield Information Security Technology Co Ltd
Bluedon Information Security Technologies Co Ltd
Original Assignee
Blue Shield Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Blue Shield Information Security Technology Co Ltd filed Critical Blue Shield Information Security Technology Co Ltd
Priority to CN201611046653.9A priority Critical patent/CN108092944A/zh
Publication of CN108092944A publication Critical patent/CN108092944A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种基于自学习防WAF误报的技术,该发明通过自学习技术,建立站点规则模型,实现防止WAF规则误报的目的。

Description

一种基于自学习防WAF误报的技术
技术领域
本发明涉及通信技术领域,具体的说,涉及一种基于自学习防WAF误报的技术。
背景技术
当WEB应用越来越为丰富的同时,WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁发生。相对应的waf的需求量也越来越大。在这样的背景下,waf误报的几率越来越高,但是以前技术无法对单站点进行针对性的防误报。
用户进行正常网络访问,waf进行抓包,然后进行规则检索。规则匹配之后进行阻断。管理员通过禁用规则达到防误报的效果。在禁用匹配规则之后会对整个waf起作用,所有受WAF保护的网站都生效,达不到针对某一特定网站防误报的效果。
发明内容
为了解决上述问题,本发明提供了一种基于自学习防WAF误报的技术。
本发明技术方案如下:
(1)在学习期内,分析学习期内具体站点请求包的特征,记录特征和所有触发的规则。
(2)学习期结束,获取所有的特征并对站点特征进行汇总分析,建立站点规则模型。
(3)正常运行期内应用规则模型,达到防误报功能。
本发明技术方案带来的有益效果:
本发明提出的一种基于自学习防WAF误报的技术,该技术能够将规则细化到站点上,做到站点的防误报;而不是较为死板的对整个waf进行规则禁用,对其他站点造成影响,提高了waf的防护性,避免规则被绕过。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明提出的一种基于自学习防WAF误报的技术流程示意图;
图2是本发明提出的一种基于自学习防WAF误报的技术规则模型创建示意图;
图3是本发明提出的一种基于自学习防WAF误报的技术规则模型使用示意图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图并举实施例,对本发明进行详细的描述。
本发明的实施例提供了本发明提出的一种基于自学习防WAF误报的技术。结合图1所示,设定学习期,在学习期内,分析学习期内具体站点请求包的特征,记录特征和所有触发的规则;学习期结束,获取所有的特征并对站点特征进行汇总分析,建立站点规则模型;正常运行期内应用规则模型,达到防误报功能。
日志分析模块会判断站点是否设置了学习期:如果设置了学习期则判断是否到期,在学习期内进行站点特征分析以及告警结果收集,数据库存储结果;如学习期到期,则获取之前收集的信息,进行规则模型创建,入库存储。并且清除学习期设置状态。如附图2所示。
结合附图3,用户发起网络访问之后,waf进行抓包。通过nginx调用modsecurity模块对抓取的数据包进行分析。modsecurity模块调用lua脚本获取对应的规则模型。
Lua脚本首先会试图去Redis数据库获取对应站点的规则模型,如果获取到了则直接使用。否则,试图去mysql数据库获取规则模型。如果也获取不到,则使用Redis缓存的基础规则模型。在这个过程中,如果两个数据库都无法使用,会选择文件方式存储的基础规则模型进行防护,避免因为数据库意外而造成无法防护。
以上对本发明实施例所提供的一种基于自学习防WAF误报的技术进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (4)

1.一种基于自学习防WAF误报的技术,其特征在于,设定学习期,建立站点规则模型。
2.根据权利要求1所述的一种基于自学习防WAF误报的技术,其特征在于,在学习期内,分析学习期内具体站点请求包的特征,记录特征和所有触发的规则。
3.根据权利要求1所述的一种基于自学习防WAF误报的技术,其特征在于,学习期结束,获取所有的特征并对站点特征进行汇总分析,建立站点规则模型。
4.根据权利要求1所述的一种基于自学习防WAF误报的技术,其特征在于,正常运行期内应用规则模型,达到防误报功能。
CN201611046653.9A 2016-11-23 2016-11-23 一种基于自学习防waf误报的技术 Pending CN108092944A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611046653.9A CN108092944A (zh) 2016-11-23 2016-11-23 一种基于自学习防waf误报的技术

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611046653.9A CN108092944A (zh) 2016-11-23 2016-11-23 一种基于自学习防waf误报的技术

Publications (1)

Publication Number Publication Date
CN108092944A true CN108092944A (zh) 2018-05-29

Family

ID=62170552

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611046653.9A Pending CN108092944A (zh) 2016-11-23 2016-11-23 一种基于自学习防waf误报的技术

Country Status (1)

Country Link
CN (1) CN108092944A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109684299A (zh) * 2018-11-20 2019-04-26 远江盛邦(北京)网络安全科技股份有限公司 基于自学习建模的web防护方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104994076A (zh) * 2015-06-01 2015-10-21 广东电网有限责任公司信息中心 一种基于机器学习的日常访问模型实现方法及***
CN105704120A (zh) * 2016-01-05 2016-06-22 中云网安科技(北京)有限公司 一种基于自学习形式的安全访问网络的方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104994076A (zh) * 2015-06-01 2015-10-21 广东电网有限责任公司信息中心 一种基于机器学习的日常访问模型实现方法及***
CN105704120A (zh) * 2016-01-05 2016-06-22 中云网安科技(北京)有限公司 一种基于自学习形式的安全访问网络的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李雪: "一种新的Web应用防火墙的自学习模型", 《小型微型计算机***》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109684299A (zh) * 2018-11-20 2019-04-26 远江盛邦(北京)网络安全科技股份有限公司 基于自学习建模的web防护方法

Similar Documents

Publication Publication Date Title
Petrenko et al. Protection model of PCS of subway from attacks type «wanna cry»,«petya» and «bad rabbit» IoT
CN102663311B (zh) 一种解除屏幕锁定状态的方法及其装置
US11100241B2 (en) Virtual trap protection of data elements
CN102982283B (zh) 一种杀死受保护的恶意计算机进程的***及方法
CN103218561B (zh) 一种保护浏览器的防篡改方法和装置
CN102833269B (zh) 跨站攻击的检测方法、装置和具有该装置的防火墙
CN106130777A (zh) 一种基于云计算的工业设备维护***
CN106557396A (zh) 基于qemu的虚拟机程序运行状态监控方法
CN106330972A (zh) 一种保护用户网站密码的方法
CN104063669A (zh) 一种实时监测文件完整性的方法
CN108092944A (zh) 一种基于自学习防waf误报的技术
CN106911629A (zh) 一种报警关联方法及装置
CN104598401A (zh) 国产平台***设备管控***及其管控方法
US10423789B2 (en) Identification of suspicious system processes
EP2690574B1 (en) Method and system for digital content online reading authentication
RU2007122786A (ru) Способ и система для защиты программных приложений от пиратства
CN104598838B (zh) 一种随机校验及提供可信操作环境的文件存储与编辑方法
CN103414614A (zh) 一种应用于家庭网关的上网控制***及其方法
CN104834553A (zh) 一种用户终端的业务并发处理方法及用户终端
CN104079572B (zh) 一种基于从客户端到服务器端字符转换的网站防护方法
CN102394783A (zh) 一种远程网络监控方法
US11019496B2 (en) Method and electronic device for identifying a pseudo wireless access point
CN104951711B (zh) 一种保护web应用安全的网站结构拟态方法
KR101525885B1 (ko) 브로드캐스트 방식으로 소프트웨어 라이선스를 제한하는 라이선스 관리 방법 및 이를 수행하는 라이선스 관리 시스템
CN105550599A (zh) 一种基于Linux虚拟文件***的防篡改方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20180529

WD01 Invention patent application deemed withdrawn after publication