一种基于安全的WAF检测方法和系统与流程

本发明涉及waf安全规则技术领域，尤其是涉及一种基于安全的waf检测方法和系统。

背景技术：

随着互联网(web)的快速发展，web安全威胁也越来越严重。web应用防火墙(waf)是通过执行一系列针对http/https的安全策略来专门为web应用提供保护的一款产品。web应用防火墙对来自客户端的请求进行检测，确保其安全性。

目前waf对防护规则的检测都是按顺序检测，有些防护规则可能具有较为复杂的正则表达式，导致对这些防护规则的检测占据了较多的响应时间，具有使正常响应超时的风险，从而影响了客户正常的业务进行。

技术实现要素：

有鉴于此，本发明的目的在于提供一种基于安全的waf检测方法和系统，该方法通过动态规划算法确定了可检测的规则集合，在尽量保证安全的情况下限定了规则检测的总时间不超过规则检测时间，以此来降低客户办理正常业务具有的超时风险。

第一方面，本发明实施例提供了一种基于安全的waf检测方法，应用于web应用防护系统，包括：获取目标防护规则库中每条防护规则的平均运行时间和危险系数，其中，所述危险系数为用于表征每条防护规则能防护的漏洞的危险程度的系数；在获取到服务器发送的web访问请求之后，获取所述web访问请求的规则检测时间，其中，所述规则检测时间为对所述访问请求进行检测的时间段；利用动态规划算法，并基于所述平均运行时间、所述危险系数和所述规则检测时间从所述目标防护规则库中确定目标规则集合；根据所述目标规则集合对所述web访问请求进行规则检测，得到检测结果；并基于所述检测结果确定所述web访问请求是否为正常访问请求。

进一步地，获取目标防护规则库中每条防护规则的平均运行时间包括：获取在线测试样本库，其中，所述在线测试样本库中包括有各种业务的web访问请求的报文；对所述在线测试样本库中的web访问请求的报文进行规则检测，得到检测运行时间，其中，所述检测运行时间为各个web访问请求的报文进行检测的时间；基于所述检测运行时间计算所述目标防护规则库中每条防护规则的平均运行时间。

进一步地，基于所述检测运行时间计算所述目标防护规则库中每条防护规则的平均运行时间包括：在所述web访问请求的报文中，确定防护规则ai所检测过的目标web访问请求，其中，i依次取1至i，i为所述防护规则的数量；确定所述防护规则ai对每个目标web访问请求进行检测的运行时间，得到多个运行时间，并计算所述多个运行时间之间和值，得到目标和值；计算所述目标和值和所述web访问请求的报文的总数之间的比值，得到目标比值；将所述目标比值作为所述防护规则ai的平均运行时间。

进一步地，获取目标防护规则库中每条防护规则的危险系数包括：将所述目标防护规则库中的每条防护规则按照能防护的漏洞的危险度，划分成多个危险等级；为所述多个危险等级中的每个危险等级设置对应的标识信息；将所述标识信息确定为对应防护规则的危险系数。

进一步地，利用动态规划算法，并基于所述平均运行时间、所述危险系数和所述规则检测时间从所述目标防护规则库中确定目标规则集合包括：按照所述平均运行时间从所述目标防护规则库中确定多组防护规则集合，其中，每组防护规则集合中所包含的防护规则的平均运行时间的总和小于所述规则检测时间；从所述多组防护规则集合中确定所述目标规则集合，其中，所述目标规则集合中所包含的防护规则的危险系数的总和最大。

进一步地，所述方法还包括：如果所述检测结果为所述web访问请求为攻击请求，则对所述web访问请求进行拦截处理；如果所述检测结果为所述web访问请求为正常请求，则对所述web访问请求进行放行处理。

第二方面，本发明实施例还提供了一种基于安全的waf检测系统，应用于web应用防护系统，包括：第一获取模块，第二获取模块，检索模块和检测模块，其中，所述第一获取模块，用于获取目标防护规则库中每条防护规则的平均运行时间和危险系数，其中，所述危险系数为用于表征每条防护规则能防护的漏洞的危险程度的系数；所述第二获取模块，用于在获取到服务器发送的web访问请求之后，获取所述web访问请求的规则检测时间，其中，所述规则检测时间为对所述访问请求进行检测的时间段；所述检索模块，用于利用动态规划算法，并基于所述平均运行时间、所述危险系数和所述规则检测时间从所述目标防护规则库中确定目标规则集合；所述检测模块，用于根据所述目标规则集合对所述web访问请求进行规则检测，得到检测结果；并基于所述检测结果确定所述web访问请求是否为正常访问请求。

进一步地，所述检索模块包括：第一检索单元和第二检索单元，其中，所述第一检索单元，用于按照所述平均运行时间从所述目标防护规则库中确定多组防护规则集合，其中，每组防护规则集合中所包含的防护规则的平均运行时间的总和小于所述规则检测时间；所述第二检索单元，用于从所述多组防护规则集合中确定所述目标规则集合，其中，所述目标规则集合中所包含的防护规则的危险系数的总和最大。

进一步地，所述系统还包括：执行模块，用于如果所述检测结果为所述web访问请求为攻击请求，则对所述web访问请求进行拦截处理；如果所述检测结果为所述web访问请求为正常请求，则对所述web访问请求进行放行处理。

第三方面，本发明实施例还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质，所述程序代码使所述处理器执行上述第一方面所述方法。

在本发明实施例中，通过动态规划算法确定了可检测的规则集合，在尽量保证安全的情况下限定了规则检测的总时间不超过规则检测时间，以此来降低客户办理正常业务具有的超时风险。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种基于安全的waf检测方法流程图；

图2为本发明实施例提供的一种获取目标防护规则库中每条防护规则的平均运行时间的方法流程图；

图3为本发明实施例提供的一种基于检测运行时间计算目标防护规则库中每条防护规则的平均运行时间的方法流程图；

图4为本发明实施例提供的一种获取目标防护规则库中每条防护规则的危险系数的方法流程图；

图5为本发明实施例提供的一种基于安全的waf检测系统的示意图；

图6为本发明实施例提供的另一种基于安全的waf检测系统的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

实施例一：

根据本发明实施例，提供了一种基于安全的waf检测方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是根据本发明实施例的一种基于安全的waf检测方法的流程图，如图1所示，该方法包括如下步骤：

步骤s102，获取目标防护规则库中每条防护规则的平均运行时间和危险系数，其中，危险系数为用于表征每条防护规则能防护的漏洞的危险程度的系数。

步骤s104，在获取到服务器发送的web访问请求之后，获取web访问请求的规则检测时间，其中，规则检测时间为对访问请求进行检测的时间段，且规则检测时间可以根据实际需要任意设定。

步骤s106，利用动态规划算法，并基于平均运行时间、危险系数和规则检测时间从目标防护规则库中确定目标规则集合。其中，目标规则集合中的所有规则的平均运行时间之和不超过规则检测时间。

可选地，可以用基于动态规划的01背包算法来实现，从目标防护规则库中确定目标规则集合。

步骤s108，根据目标规则集合对web访问请求进行规则检测，得到检测结果；并基于检测结果确定web访问请求是否为正常访问请求。具体地，如果检测到web访问请求与目标规则集合中至少一条规则相匹配，则判定该请求为攻击请求，否则判定该请求为正常请求。

在本发明实施例中，通过动态规划算法确定了可检测的规则集合，在尽量保证安全的情况下限定了规则检测的总时间不超过规则检测时间，以此来降低客户办理正常业务具有的超时风险。

具体地，如图2所示，步骤s102中的获取目标防护规则库中每条防护规则的平均运行时间的过程，包括如下步骤：

步骤s201，获取在线测试样本库，其中，在线测试样本库中包括有各种业务的web访问请求的报文；

步骤s202，对在线测试样本库中的web访问请求的报文进行规则检测，得到检测运行时间，其中，检测运行时间为各个web访问请求的报文进行检测的时间；

步骤s203，基于检测运行时间计算目标防护规则库中每条防护规则的平均运行时间。

具体地，如图3所示，步骤s203中的，基于检测运行时间计算目标防护规则库中每条防护规则的平均运行时间，包括如下步骤：

步骤s2031，在web访问请求的报文中，确定防护规则ai所检测过的目标web访问请求，其中，i依次取1至i，i为防护规则的数量；

步骤s2032，确定防护规则ai对每个目标web访问请求进行检测的运行时间，得到多个运行时间，并计算多个运行时间之间和值，得到目标和值；

步骤s2033，计算目标和值和所述web访问请求的报文的总数之间的比值，得到目标比值；

步骤s2034，将目标比值作为防护规则ai的平均运行时间。

例如：获取防护规则ai对第j个目标web访问请求进行检测的运行时间为tij，其中，j依次取1到n，j为在线测试样本库中web访问请求的报文总数；则可以计算得到防护规则ai的平均运行时间ti为：

具体地，如图4所示，步骤s102中，获取目标防护规则库中每条防护规则的危险系数，包括如下步骤：

步骤s1021，将目标防护规则库中的每条防护规则按照能防护的漏洞的危险度，划分成多个危险等级；

步骤s1022，为多个危险等级中的每个危险等级设置对应的标识信息；

步骤s1023，将标识信息确定为对应防护规则的危险系数。

例如：可以将目标防护规则库中的每条防护规则按照能防护的漏洞的危险度，划分为五个危险等级；为每个危险等级按照从低到高的顺序，分别设置1～5五个整数作为对应危险等级的标识信息，并将该标识信息确定为对应防护规则的危险系数。

可选地，步骤s106中，利用动态规划算法，并基于平均运行时间、危险系数和规则检测时间从目标防护规则库中确定目标规则集合包括：

步骤s1061，按照平均运行时间从目标防护规则库中确定多组防护规则集合，其中，每组防护规则集合中所包含的防护规则的平均运行时间的总和不大于规则检测时间；

步骤s1062，从多组防护规则集合中确定目标规则集合，其中，目标规则集合中所包含的防护规则的危险系数的总和最大。

可选地，在步骤s106中，可以利用动态规划中的01背包算法来确定目标规则集合，具体步骤如下：

判断web应用防护系统规则库中的所有防护规则的平均运行时间之和，是否大于或等于所述规则检测时间；

如果是，则将web应用防护系统规则库中的所有防护规则作为目标规则集合；

如果否，则：

将规则检测时间作为01背包算法中的背包容量，将web应用防护系统规则库中的每条防护规则作为01背包算法中放入背包的物品，将危险系数作为01背包算法中的物品价值，将平均运行时间作为01背包算法中的物品体积，得到动态规划状态转移方程dp[i][j]＝max(dp[i-1][j],dp[i-1][j-ti]+wi)。其中，

dp[i][j]为检测前i条防护规则的危险系数之和，且剩余检测时间为j；

max为求后两者最大值运算；

ti为第i条防护规则的平均运行时间，wi为第i条防护规则的危险系数；

i为大于等于1且小于等于web应用防护系统规则库中防护规则总数目的整数，j为大于等于1且小于等于规则检测时间的整数。

同时使用一维数组use[i]记录第i条防护规则是否被检测，其中，use[i]＝0表示不检测第i条防护规则，use[i]＝1表示检测第i条防护规则，i为大于等于1且小于等于web应用防护系统规则库中防护规则总数目的整数；判断等式dp[i][j]＝dp[i-1][j]是否成立,如果等式成立，则令use[i]＝0；如果等式不成立，则令use[i]＝1。

当use[i]＝0时，由dp[i-1][j]作为动态规划过程的下一节点继续构造最优解；当use[i]＝1时，则由dp[i-1][j-wi]作为动态规划过程的下一节点继续构造最优解。以此类推，可构造出所有的最优解。

最后将所有满足use[i]＝1的防护规则的集合作为目标规则集合。

需要说明的是，通过步骤s106得到目标规则集合满足以下条件：目标规则集合中所包含的防护规则的平均运行时间的总和不大于规则检测时间，且目标规则集合中所包含的防护规则的危险系数的总和为最大。

可选地，步骤s108还包括：在根据目标规则集合对web访问请求进行规则检测的同时，根据本次规则检测的运行时间，更新目标规则集合中的每条规则的平均运行时间。

可选地，本发明实施例提供的基于安全的waf检测方法，还包括：

如果检测结果为web访问请求为攻击请求，则对web访问请求进行拦截处理；

如果检测结果为web访问请求为正常请求，则对web访问请求进行放行处理。

通过以上描述可知，本发明实施例通过动态规划算法确定了可检测的规则集合，可选地，通过动态规划中的01背包算法确定了可检测的目标规则集合，使得web应用防护系统waf对目标规则集合中的防护规则的总检测时间不超过规则检测时间，同时保证了在规则检测时间内能检测的目标规则集合的危险系数之和为最大值，以此达到了，在尽量保证安全的情况下降低客户办理正常业务具有的超时风险的技术效果。

实施例二：

本发明实施例还提供了一种基于安全的waf检测系统，该基于安全的waf检测系统主要用于执行本发明实施例上述内容所提供的一种基于安全的waf检测方法，以下对本发明实施例提供的基于安全的waf检测系统做具体介绍。

图5是根据本发明实施例的一种基于安全的waf检测系统的示意图，如图5所示，该基于安全的waf检测系统主要包括：第一获取模块10，第二获取模块20，检索模块30和检测模块40，其中，

第一获取模块10，用于获取目标防护规则库中每条防护规则的平均运行时间和危险系数，其中，危险系数为用于表征每条防护规则能防护的漏洞的危险程度的系数；

第二获取模块20，用于在获取到服务器发送的web访问请求之后，获取web访问请求的规则检测时间，其中，规则检测时间为对访问请求进行检测的时间段，且规则检测时间可以根据实际需要任意设定；

检索模块30，用于利用动态规划算法，并基于平均运行时间、危险系数和规则检测时间从目标防护规则库中确定目标规则集合。其中，目标规则集合中的所有规则的平均运行时间之和不超过规则检测时间。

可选地，可以用基于动态规划的01背包算法来实现，从目标防护规则库中确定目标规则集合。

检测模块40，用于根据目标规则集合对web访问请求进行规则检测，得到检测结果；并基于检测结果确定web访问请求是否为正常访问请求。具体地，如果检测到web访问请求与目标规则集合中至少一条规则相匹配，则判定该请求为攻击请求，否则判定该请求为正常请求。

可选地，图6是根据本发明实施例的另一种基于安全的waf检测系统的示意图，如图6所示，检索模块30包括：第一检索单元31和第二检索单元32，其中

第一检索单元31，用于按照平均运行时间从目标防护规则库中确定多组防护规则集合，其中，每组防护规则集合中所包含的防护规则的平均运行时间的总和小于规则检测时间；

第二检索单元32，用于从多组防护规则集合中确定目标规则集合，其中，目标规则集合中所包含的防护规则的危险系数的总和最大。

可选地，如图6所示，本发明实施例提供的基于安全的waf检测系统还包括执行模块50，用于：

如果检测结果为web访问请求为攻击请求，则对web访问请求进行拦截处理；

如果检测结果为web访问请求为正常请求，则对web访问请求进行放行处理。

通过以上描述可知，本发明实施例提供的一种基于安全的waf检测系统，通过检索模块利用动态规划算法确定了可检测的规则集合，可选地，通过动态规划中的01背包算法确定了可检测的目标规则集合，使得web应用防护系统waf对目标规则集合中的防护规则的总检测时间不超过规则检测时间，同时保证了在规则检测时间内能检测的目标规则集合的危险系数之和为最大值，以此达到了，在尽量保证安全的情况下降低客户办理正常业务具有的超时风险的技术效果。

可选地，本发明实施例还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质，所述程序代码使所述处理器执行上述实施例一所述的一种基于安全的waf检测方法。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。

在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。