[发明专利]根据攻击日志调整命中特征的方法和装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种根据攻击日志调整命中特征的方法和装置。

背景技术

基于Web网站攻击的防御，可以采用web应用防火墙（WAF）进行防御。Web应用防火墙都内置了一个规则库，提取了各种攻击web网站常见的攻击特征，当报文通过web防火墙时，检测引擎通过和预先定义的特征做对比，检测提交到web服务器的报文是否存在攻击。内置规则库会根据规则的复杂、严重程度，每条规则设定一个缺省的动作。如果匹配某个规则，WAF防火墙会根据规则的缺省动作决定如何进一步处理报文。

由于网络报文的复杂性和多样性，用户网络实现环境各不相同，规则误报不可避免，不同的规则在不同的用户处使用，也会触发不同的效果，有的可能是真正攻击，有的可能就是误报。比如针对一个目录穿越攻击，某个规则是识别目录穿越攻击，规则是URL中存在“../”等关键字，一般情况下，如果URL中存在这类关键字，都是黑客尝试使用目录穿越攻击。但是在实际情况中，有的网站中在参数中包含“../”参数来实现不同路径间文件访问：在这种情况下，该规则针对该用户网站就会触发误报。

正因为用户web网站实现差异很大，规则的配置也很难有完全通用统一的标准，只能根据具体网站进行调整，常规的做法一般为将WAF设备放到实际环境中，测试一段时间如1到2周，然后人工分析攻击日志，找出哪些规则在用户网站环境下是误报，然后人工调整规则状态，避免影响用户的正常使用。

这种方法，缺点非常明显：人工分析日志，效率很低，一方面需要投入较多人力进行日志分析，另外一方面对日志分析人员也有一定技能要求，需要对攻击比较熟悉，才能给出正确分析结果，所以对人力和技能要求都比较高，整体投入较大。特征的调整无法做到精细化，如果出现误报，一般就是打开或者关闭该规则，某个规则可能只是针对某个URL和IP地址不适用，但是其它环境还是适用的，直接关闭某个规则可能会降低防御效果。

发明内容

本发明的主要目的是提供一种根据攻击日志调整命中特征的方法和装置，旨在不降低防御效果的前提下减少误报。

本发明提出一种根据攻击日志调整命中特征的方法，包括：

获取预设的第一时间间隔内同一IP地址的攻击日志，并提取获取到的攻击日志中的命中特征和目标网址；

若提取到的攻击日志中的目标网址相同且命中特征相同，确定获取到的攻击日志的数量；

若确定的攻击日志的数量大于或等于第一预设阈值，则在所述命中特征中同时排除所述IP地址以及对应的目标网址。

优选地，提取到的攻击日志中的目标网址相同且命中特征相同，确定获取到的攻击日志的数量的步骤之后，还包括：

若确定的攻击日志的数量小于第一预设阈值大于或等于第二预设阈值，且在持续时间超出第一时间间隔的预设整数倍时，在所述命中特征中同时排除所述IP地址以及对应的目标网址。

优选地，该方法还包括：

获取预设的第二时间间隔内同一命中特征的攻击日志，并提取所述攻击日志中的IP地址和目标网址；

若获取到的攻击日志的目标网址相同，则确定获取到的攻击日志中不同IP地址的数量；

若确定的不同IP地址的数量大于或等于第三预设阈值，则在所述命中特征中排除获取到的攻击日志中的目标网址。

优选地，所述确定获取到的攻击日志中不同IP地址的数量的步骤之后，该方法还包括：

若确定的不同IP地址的数量小于第三预设阈值大于或等于第四预设阈值，且在持续时间超出第二时间间隔的预设整数倍时，则在所述命中特征中排除获取到的攻击日志中的目标网址。

优选地，所述确定获取到的攻击日志的数量的步骤之后该方法还包括：

若确定的攻击日志的数量小于第一预设阈值且大于或等于第五预设阈值，且所述IP地址为内网地址，则在所述命中特征中同时排除所述IP地址以及对应的目标网址。

本发明还提出一种根据攻击日志调整命中特征的装置，包括：

获取模块，用于获取预设的第一时间间隔内同一IP地址的攻击日志，并提取获取到的攻击日志中的命中特征和目标网址；

确定模块，若提取到的目标网址相同且命中特征相同，确定获取到的攻击日志的数量；

控制模块，若确定的攻击日志的数量大于或等于第一预设阈值，则在所述命中特征中同时排除所述IP地址以及对应的目标网址。