本发明涉及网络安全技术,旨在提供一种基于日志回放的误报消除方法。该种基于日志回放的误报消除方法包括步骤:动态生成测试样本库;更新安全策略后,对规则库进行回放测试;对得到的新规则测试结果进行分析,得出新规则在测试样本库里的误报率;将得到的误报率与误报阀值比较,自动配置新规则是否开启。本发明能智能、高效地判断新安全策略的适用性,能消除新安全策略启用导致的误报,以及消除新安全策略启用导致的误阻断。
1.一种基于日志回放的误报消除方法,用于对Web应用防护系统WAF的规则库进行维护,其特征在于,所述基于日志回放的误报消除方法包括下述步骤:步骤一:动态生成测试样本库,具体通过下述子步骤实现:
步骤A:首先获取某个时间段内Web应用的访问日志;
步骤B:在步骤A获取的访问日志中,抽取Web请求;
步骤C:根据步骤B中获取的Web请求,从访问日志中获取相应Web请求参数即请求内容,形成测试样本库;
所述测试样本库保存有Web请求、Web请求参数,测试样本库是Web应用防护系统WAF经过在线业务检测积累而形成的样本库;
步骤二:更新安全策略后,对规则库进行回放测试;具体通过下述子步骤实现:步骤D:针对Web应用环境的内部变化和外部变化,对安全策略进行更新,包括但不限于以下:重新组合规则库中已有规则、添加规则库中新规则;
所述规则库是Web应用防护系统WAF上,用于对网络流量进行规则匹配,检测和过滤恶意攻击流量的规则特征库;
所述Web应用环境的内部变化和外部变化是指在线业务系统环境即Web应用环境中存在的变化,包括黑客在尝试不同的新的攻击方式以构成威胁和在线业务系统中发现新的安全漏洞;
步骤E:回放测试检测引擎载入更新后的安全策略和测试样本库;
所述回放测试检测引擎与正常业务检测引擎是一样的工作机制,即运行规则库对访问请求进行检测,但回放测试检测引擎输入的规则库是更新后的规则库,输入的数据流量是样本库流量,仅用于进行回放测试;
步骤F:进行回放测试,回放测试检测引擎运行步骤E载入的安全策略对测试样本库里的Web请求进行检测,得到新规则测试结果;
步骤三:对步骤F中得到的新规则测试结果进行分析,得出新规则在测试样本库里的误报率;
步骤四:将步骤三得到的误报率与误报阀值比较,自动配置新规则是否开启:若误报率不低于误报阀值,则关闭新的安全策略;若误报率低于误报阀值,则打开新的安全策略,用于作为Web应用防护系统WAF的安全策略。
2.根据权利要求1所述的一种基于日志回放的误报消除方法,其特征在于,所述步骤C中,测试样本库的积累分为两种:
1)配置有测试样本库积累时间:当测试样本库的积累时间达到所配置的积累时间时,测试样本库完成积累;
2)配置有测试样本库积累数量:当测试样本库的积累数量达到所配置的积累数量时,测试样本库完成积累。
3.根据权利要求1所述的一种基于日志回放的误报消除方法,其特征在于,所述步骤二中,遍历测试离线进行,不影响在线检测业务。
4.根据权利要求1所述的一种基于日志回放的误报消除方法,其特征在于,所述回放测试检测引擎设置在Web应用防护系统WAF中,且回放测试检测引擎与Web应用防护系统WAF的正常业务检测引擎是两个独立的引擎进程,因此回放测试不影响正常业务。
一种基于日志回放的误报消除方法
技术领域
[0001] 本发明是关于网络安全技术领域,特别涉及一种基于日志回放的误报消除方法。
背景技术
[0002] 当WEB应用广泛,丰富的同时,WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁发生。
[0003] 在现实中,采用防火墙作为安全保障系统的第一道防线依旧会存在这样那样的问题,由此产生了Web应用防护系统WAF。Web应用防护系统用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。
[0004] 与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用访问的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
[0005] WAF一般分为基于规则的保护和基于异常的保护:
[0006] 基于异常的保护,是基于对合法行为应用数据建立模型,并以此为依据判断行为的异常。但这需要对应用行为业务十分了解才可能做到,可现实中这是十分困难的一件事情。
[0007] 基于规则的保护,是提供各种Web应用的安全规则,建立规则库并实时维护、更新。用户可以按照这些规则对Web应用进行全方面检测和防护。这种方式效率高、全面,但这会产生一定的误报。
[0008] 在实际的应用中,针对不同的系统内外部环境,WAF会配置适用的规则集作为安全策略。但在安全策略启用前,需要大量人工检查、监控该安全策略是否确实适用,不会产生误报或误阻断,从而影响正常业务的进行。
发明内容
[0009] 本发明的主要目的在于克服现有技术中的不足,提供一种基于日志回放的误报消除方法。为解决上述技术问题,本发明的解决方案是:
[0010] 提供一种基于日志回放的误报消除方法,用于对Web应用防护系统WAF的规则库进行维护,所述基于日志回放的误报消除方法包括下述步骤:
[0011] 步骤一:动态生成测试样本库,具体通过下述子步骤实现:
[0012] 步骤A:首先获取某个时间段(具体时间段可进行配置)内Web应用的访问日志(即WEB服务器中保存的访问日志);
[0013] 步骤B:在步骤A获取的访问日志中,抽取Web请求(所述Web请求,是客户端向Web应用发起的访问请求);
[0014] 步骤C:根据步骤B中获取的Web请求,从访问日志中获取相应Web请求参数即请求内容,形成测试样本库;
[0015] 所述测试样本库保存有Web请求、Web请求参数,测试样本库是Web应用防护系统WAF经过在线业务检测积累而形成的样本库;
[0016] 步骤二:更新安全策略后,对规则库进行回放测试;具体通过下述子步骤实现:
[0017] 步骤D:针对Web应用环境的内部变化和外部变化(在线业务系统环境,即Web应用环境中存在的变化包括但不限于以下:黑客在尝试不同的新的攻击方式以构成威胁、在线业务系统中发现新的安全漏洞),对安全策略(安全策略是用于所有与安全相关活动的一套规则集合)进行更新,包括但不限于以下:重新组合规则库中已有规则、添加规则库中新规则;
[0018] 所述规则库是Web应用防护系统WAF上,用于对网络流量进行规则匹配,检测和过滤恶意攻击流量的规则特征库;
[0019] 步骤E:回放测试检测引擎载入更新后的安全策略和测试样本库;
[0020] 所述回放测试检测引擎与正常业务检测引擎是一样的工作机制,即运行规则库对访问请求进行检测,但回放测试检测引擎输入的规则库是更新后的规则库,输入的数据流量是样本库流量,仅用于进行回放测试;
[0021] 步骤F:进行回放测试,回放测试检测引擎运行步骤E载入的安全策略对测试样本库里的Web请求进行检测,得到新规则测试结果;
[0022] 步骤三:对步骤F中得到的新规则测试结果进行分析,得出新规则在测试样本库里的误报率(由于测试样本库中哪些样本是攻击,哪些样本不是攻击,都是已知的,故根据这些已知情况,能够得到新的安全策略误报情况,从而算出误报率);
[0023] 步骤四:将步骤三得到的误报率与误报阀值(误报阀值是可配置项)比较,自动配置新规则是否开启:若误报率不低于误报阀值,则关闭新的安全策略;若误报率低于误报阀值,则打开新的安全策略,用于作为Web应用防护系统WAF的安全策略。
[0024] 在本发明中,所述步骤C中,测试样本库的积累分为两种:
[0025] 1)配置有测试样本库积累时间(即定期):当测试样本库的积累时间达到所配置的积累时间时,测试样本库完成积累;
[0026] 2)配置有测试样本库积累数量(即定量):当测试样本库的积累数量达到所配置的积累数量时,测试样本库完成积累。
[0027] 在本发明中,所述步骤二中,遍历测试离线进行,不影响在线检测业务。
[0028] 在本发明中,所述回放测试检测引擎设置在Web应用防护系统WAF中,且回放测试检测引擎与Web应用防护系统WAF的正常业务检测引擎是两个独立的引擎进程,因此回放测试不影响正常业务。
[0029] 与现有技术相比,本发明的有益效果是:
[0030] 本发明能智能、高效地判断新安全策略的适用性,能消除新安全策略启用导致的误报,以及消除新安全策略启用导致的误阻断。
附图说明
[0031] 图1为本发明的实现流程图。
[0032] 图2为本发明中测试样本库的生成流程示意图。
[0033] 图3为本发明中新策略测试的流程示意图。
具体实施方式
[0034] 下面结合附图与具体实施方式对本发明作进一步详细描述:
[0035] 如图1所示的一种基于日志回放的误报消除方法,用于对Web应用防护系统WAF的规则库进行维护,具体包括下述步骤:
[0036] S1)动态生成测试样本库,具体通过下述子步骤实现:
[0037] 步骤A:首先获取某个时间段(具体时间段可进行配置)内Web应用的访问日志,即WEB服务器中保存的访问日志。
[0038] 步骤B:在步骤A获取的访问日志中,抽取Web请求。Web请求,是客户端向Web应用发起的访问请求。
[0039] 步骤C:根据步骤B中获取的Web请求,从访问日志中获取相应Web请求参数即请求内容,形成测试样本库;
[0040] 所述测试样本库保存有Web请求、Web请求参数,测试样本库是Web应用防护系统WAF经过在线业务检测的积累。积累可以分两种:
[0041] 1)配置测试样本库积累时间;当测试样本库的积累时间达到所配置的时间时,测试样本库将完成积累。
[0042] 2)配置测试样本库积累数量;当测试样本库的积累数量达到所配置的积累数量时,测试样本库将完成积累。
[0043] S2)更新安全策略后,对规则库进行回放测试。具体通过下述子步骤实现:
[0044] 步骤D:针对在线业务系统环境的内部和外部变化,需要对安全策略进行更新。更新安全策略,包括但不限于以下:重新组合规则库中已有规则、添加规则库中新规则。
[0045] 具体是指,在线业务系统环境中存在的变化,包括但不限于以下:黑客可能在尝试不同的新的攻击方式以构成威胁、在线业务系统中发现新的安全漏洞。针对这些变化,安全防护系统需更新安全策略进行防护。
[0046] 所述安全策略,是用于所有与安全相关活动的一套规则集合。
[0047] 所述规则库是指网络安全防护设备上,用于对访问请求进行规则匹配,检测和过滤恶意攻击访问的规则特征库。
[0048] 步骤E:回放测试检测引擎载入更新后的安全策略和测试样本库。
[0049] 所述回放测试检测引擎设置在Web应用防护系统WAF中,回放测试检测引擎与Web应用防护系统WAF的正常业务检测引擎是两个独立的引擎进程,因此回放测试不影响正常业务。且回放测试检测引擎与实际运行引擎是一样的工作机制,即运行规则库对访问请求进行检测的引擎,但输入的规则库和访问请求不一样。回放测试检测引擎输入的规则库是更新后的规则库,输入的数据是样本库,仅用于进行回放测试。
[0050] 步骤F:进行回放测试,回放测试检测引擎运行步骤E载入的安全策略对测试样本库里的Web请求进行检测,得到新规则测试结果。
[0051] S3)对步骤F中得到的新规则测试结果进行分析,得出新的安全策略在测试样本库里的误报率。
[0052] 具体地,由于测试样本库中哪些样本是攻击,哪些样本不是攻击,都是已知的。根据这些已知情况,能够得到新的安全策略误报情况,从而算出误报率。
[0053] S4)将步骤三得到的误报率与误报阀值(误报阀值是可配置项)比较,自动配置新规则是否开启:若误报率不低于误报阀值,则关闭新的安全策略;若误报率低于误报阀值,则打开新的安全策略,用于作为Web应用防护系统WAF的安全策略。新的安全策略在启用前,必须进行回放测试
[0054] 下面的实施例可以使本专业的专业技术人员更全面地理解本发明,但不以任何方式限制本发明。
[0055] Web应用防护系统WAF根据在线业务检测日志,将最近一定量的Web请求及请求参数保存下来,形成测试样本库。比如:Web请求url1、url2、url3…,积累了一万条或者一个时间周期(这两个为可配置项)。假设现在新增加了一条规则A,Web应用防护系统WAF将新开一个检测引擎进程叫做回放测试检测引擎,载入新规则库A,将存储的web请求库回放,回放流量经过新开的这个检测引擎。回放测试检测引擎遍历样本库的所有Web请求并进行回放测试。Web应用防护系统WAF将规则A的测试结果与误报阀值比较后,确认是否开启这条新规则A,从而消除误报。
[0056] 最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形,均应认为是本发明的保护范围。
