本技術(shù)涉及二進(jìn)制代碼文件同源性分析，特別是涉及一種基于日志分析的網(wǎng)絡(luò)攻擊防護(hù)方法、裝置和計(jì)算機(jī)設(shè)備。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)攻擊的形式和手段也日益復(fù)雜和多樣化。web應(yīng)用成為攻擊者的主要目標(biāo)之一，因?yàn)樗鼈兺ǔ１┞对诨ヂ?lián)網(wǎng)中，并承載大量敏感數(shù)據(jù)。web應(yīng)用防火墻（waf）是保護(hù)web應(yīng)用免受各種攻擊的重要工具。傳統(tǒng)的waf主要依賴預(yù)定義的靜態(tài)規(guī)則和簽名庫(kù)來(lái)檢測(cè)和攔截惡意流量。這些規(guī)則和簽名庫(kù)基于已知的攻擊模式和特征，例如特定的url模式、參數(shù)和值。然而，這種基于規(guī)則的保護(hù)方式存在更新滯后，難以應(yīng)對(duì)新型和變種攻擊，且無(wú)法主動(dòng)防御。因此，如何提升web對(duì)新型和變種攻擊的防御效果是當(dāng)前的研究重點(diǎn)。

2、現(xiàn)有網(wǎng)絡(luò)攻擊手段的防御方式是通過(guò)在受到網(wǎng)絡(luò)攻擊時(shí)，通過(guò)結(jié)合網(wǎng)絡(luò)攻擊的攻擊方式、以及攻擊數(shù)據(jù)，從而通過(guò)防火墻（waf）等預(yù)設(shè)程序進(jìn)行網(wǎng)絡(luò)攻擊防護(hù)，但是新型攻擊的隱藏手段、與偽裝手段較強(qiáng)，且辨識(shí)度較差，使得互聯(lián)網(wǎng)對(duì)新型網(wǎng)絡(luò)攻擊手段的防控措施較弱，從而導(dǎo)致對(duì)新型網(wǎng)絡(luò)攻擊手段的安全防護(hù)效果較差。

技術(shù)實(shí)現(xiàn)思路

1、基于此，有必要針對(duì)上述技術(shù)問(wèn)題，提供一種基于日志分析的網(wǎng)絡(luò)攻擊防護(hù)方法、裝置、計(jì)算機(jī)設(shè)備、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)和計(jì)算機(jī)程序產(chǎn)品。

2、第一方面，本技術(shù)提供了一種基于日志分析的網(wǎng)絡(luò)攻擊防護(hù)方法，包括：

3、獲取防火墻的各日志信息、以及所述防火墻的各流量數(shù)據(jù)，并基于各所述日志信息、以及各所述流量數(shù)據(jù)，通過(guò)會(huì)話識(shí)別程序，匹配各所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則；

4、在存在所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則的情況下，基于所述日志信息，通過(guò)所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則，識(shí)別所述日志信息中的攻擊訪問(wèn)請(qǐng)求，并在不存在所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則的情況下，基于所述日志信息，通過(guò)規(guī)則匹配策略，識(shí)別所述日志信息對(duì)應(yīng)的目標(biāo)匹配規(guī)則；

5、基于所述日志信息的目標(biāo)匹配規(guī)則，識(shí)別所述日志信息的攻擊訪問(wèn)請(qǐng)求，并將所述攻擊訪問(wèn)請(qǐng)求進(jìn)行請(qǐng)求攔截處理。

6、可選的，所述基于各所述日志信息、以及各所述流量數(shù)據(jù)，通過(guò)會(huì)話識(shí)別程序，匹配各所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則，包括：

7、針對(duì)每個(gè)流量數(shù)據(jù)，采集系統(tǒng)的當(dāng)前防護(hù)規(guī)則，并通過(guò)所述當(dāng)前防護(hù)規(guī)則，對(duì)所述流量數(shù)據(jù)進(jìn)行會(huì)話識(shí)別處理，得到所述流量數(shù)據(jù)對(duì)應(yīng)的當(dāng)前訪問(wèn)請(qǐng)求信息；

8、基于所述日志信息、以及所述當(dāng)前訪問(wèn)請(qǐng)求信息，在動(dòng)態(tài)規(guī)則數(shù)據(jù)庫(kù)中，匹配所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則。

9、可選的，所述基于所述日志信息，通過(guò)所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則，識(shí)別所述日志信息中的攻擊訪問(wèn)請(qǐng)求，包括：

10、識(shí)別所述日志信息對(duì)應(yīng)的動(dòng)態(tài)驗(yàn)證信息，并通過(guò)所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則，以及所述動(dòng)態(tài)驗(yàn)證信息，識(shí)別所述日志信息對(duì)應(yīng)的當(dāng)前訪問(wèn)請(qǐng)求信息的請(qǐng)求行為信息、以及所述當(dāng)前訪問(wèn)請(qǐng)求信息對(duì)應(yīng)的設(shè)備指紋信息；

11、基于所述設(shè)備指紋信息、以及所述請(qǐng)求訪問(wèn)信息，判斷所述設(shè)備指紋信息是否為異常指紋，并在所述設(shè)備指紋信息為異常指紋時(shí)，將所述請(qǐng)求訪問(wèn)信息，作為所述日志信息中的攻擊訪問(wèn)請(qǐng)求。

12、可選的，所述基于所述日志信息，通過(guò)規(guī)則匹配策略，識(shí)別所述日志信息對(duì)應(yīng)的目標(biāo)匹配規(guī)則，包括：

13、基于所述當(dāng)前防護(hù)規(guī)則，在各所述日志信息、以及各所述流量數(shù)據(jù)中，篩選各目標(biāo)日志信息、以及各目標(biāo)流量數(shù)據(jù)，并對(duì)各所述目標(biāo)日志信息、以及各所述目標(biāo)流量數(shù)據(jù)進(jìn)行聚類處理，得到各聚合信息組；

14、通過(guò)規(guī)則匹配策略，識(shí)別每個(gè)聚合信息組對(duì)應(yīng)的目標(biāo)匹配規(guī)則，并將每個(gè)聚合組對(duì)應(yīng)的目標(biāo)匹配規(guī)則，作為每個(gè)聚合信息組的各目標(biāo)日志信息的目標(biāo)匹配規(guī)則。

15、可選的，所述基于所述日志信息的目標(biāo)匹配規(guī)則，識(shí)別所述日志信息的攻擊訪問(wèn)請(qǐng)求，包括：

16、基于所述日志信息的目標(biāo)匹配規(guī)則，識(shí)別所述日志信息對(duì)應(yīng)的當(dāng)前請(qǐng)求信息在所述目標(biāo)匹配規(guī)則的各匹配條件的匹配值；

17、在所有匹配有條件的匹配值均大于各所述匹配條件的匹配閾值時(shí)，將所述日志信息對(duì)應(yīng)的當(dāng)前請(qǐng)求信息，作為攻擊訪問(wèn)請(qǐng)求。

18、可選的，所述將所述攻擊訪問(wèn)請(qǐng)求進(jìn)行請(qǐng)求攔截處理，包括：

19、在所述攻擊訪問(wèn)請(qǐng)求為存在動(dòng)態(tài)規(guī)則的日志信息對(duì)應(yīng)的當(dāng)前訪問(wèn)請(qǐng)求信息時(shí)，通過(guò)預(yù)設(shè)訪問(wèn)攔截策略，對(duì)所述攻擊訪問(wèn)請(qǐng)求進(jìn)行訪問(wèn)攔截處理；

20、在所述攻擊訪問(wèn)請(qǐng)求不為存在動(dòng)態(tài)規(guī)則的日志信息對(duì)應(yīng)的當(dāng)前訪問(wèn)請(qǐng)求信息時(shí)，生成所述攻擊訪問(wèn)請(qǐng)求對(duì)應(yīng)的日志信息的新動(dòng)態(tài)規(guī)則、以及所述攻擊訪問(wèn)請(qǐng)求對(duì)應(yīng)的日志信息的主動(dòng)防御代碼，并將所述新動(dòng)態(tài)規(guī)則、以及所述主動(dòng)防御代碼傳輸至當(dāng)前防護(hù)規(guī)則中；

21、通過(guò)預(yù)設(shè)訪問(wèn)攔截策略，對(duì)所述攻擊訪問(wèn)請(qǐng)求進(jìn)行訪問(wèn)攔截處理。

22、第二方面，本技術(shù)還提供了一種基于日志分析的網(wǎng)絡(luò)攻擊防護(hù)裝置，包括：

23、獲取模塊，用于獲取防火墻的各日志信息、以及所述防火墻的各流量數(shù)據(jù)，并基于各所述日志信息、以及各所述流量數(shù)據(jù)，通過(guò)會(huì)話識(shí)別程序，匹配各所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則；

24、識(shí)別模塊，用于在存在所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則的情況下，基于所述日志信息，通過(guò)所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則，識(shí)別所述日志信息中的攻擊訪問(wèn)請(qǐng)求，并在不存在所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則的情況下，基于所述日志信息，通過(guò)規(guī)則匹配策略，識(shí)別所述日志信息對(duì)應(yīng)的目標(biāo)匹配規(guī)則；

25、攔截模塊，用于基于所述日志信息的目標(biāo)匹配規(guī)則，識(shí)別所述日志信息的攻擊訪問(wèn)請(qǐng)求，并將所述攻擊訪問(wèn)請(qǐng)求進(jìn)行請(qǐng)求攔截處理。

26、可選的，所述獲取模塊，具體用于：

27、針對(duì)每個(gè)流量數(shù)據(jù)，采集系統(tǒng)的當(dāng)前防護(hù)規(guī)則，并通過(guò)所述當(dāng)前防護(hù)規(guī)則，對(duì)所述流量數(shù)據(jù)進(jìn)行會(huì)話識(shí)別處理，得到所述流量數(shù)據(jù)對(duì)應(yīng)的當(dāng)前訪問(wèn)請(qǐng)求信息；

28、基于所述日志信息、以及所述當(dāng)前訪問(wèn)請(qǐng)求信息，在動(dòng)態(tài)規(guī)則數(shù)據(jù)庫(kù)中，匹配所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則。

29、可選的，所述識(shí)別模塊，具體用于：

30、識(shí)別所述日志信息對(duì)應(yīng)的動(dòng)態(tài)驗(yàn)證信息，并通過(guò)所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則，以及所述動(dòng)態(tài)驗(yàn)證信息，識(shí)別所述日志信息對(duì)應(yīng)的當(dāng)前訪問(wèn)請(qǐng)求信息的請(qǐng)求行為信息、以及所述當(dāng)前訪問(wèn)請(qǐng)求信息對(duì)應(yīng)的設(shè)備指紋信息；

31、基于所述設(shè)備指紋信息、以及所述請(qǐng)求訪問(wèn)信息，判斷所述設(shè)備指紋信息是否為異常指紋，并在所述設(shè)備指紋信息為異常指紋時(shí)，將所述請(qǐng)求訪問(wèn)信息，作為所述日志信息中的攻擊訪問(wèn)請(qǐng)求。

32、可選的，所述識(shí)別模塊，具體用于：

33、基于所述當(dāng)前防護(hù)規(guī)則，在各所述日志信息、以及各所述流量數(shù)據(jù)中，篩選各目標(biāo)日志信息、以及各目標(biāo)流量數(shù)據(jù)，并對(duì)各所述目標(biāo)日志信息、以及各所述目標(biāo)流量數(shù)據(jù)進(jìn)行聚類處理，得到各聚合信息組；

34、通過(guò)規(guī)則匹配策略，識(shí)別每個(gè)聚合信息組對(duì)應(yīng)的目標(biāo)匹配規(guī)則，并將每個(gè)聚合組對(duì)應(yīng)的目標(biāo)匹配規(guī)則，作為每個(gè)聚合信息組的各目標(biāo)日志信息的目標(biāo)匹配規(guī)則。

35、可選的，所述攔截模塊，具體用于：

36、基于所述日志信息的目標(biāo)匹配規(guī)則，識(shí)別所述日志信息對(duì)應(yīng)的當(dāng)前請(qǐng)求信息在所述目標(biāo)匹配規(guī)則的各匹配條件的匹配值；

37、在所有匹配有條件的匹配值均大于各所述匹配條件的匹配閾值時(shí)，將所述日志信息對(duì)應(yīng)的當(dāng)前請(qǐng)求信息，作為攻擊訪問(wèn)請(qǐng)求。

38、可選的，所述攔截模塊，具體用于：

39、在所述攻擊訪問(wèn)請(qǐng)求為存在動(dòng)態(tài)規(guī)則的日志信息對(duì)應(yīng)的當(dāng)前訪問(wèn)請(qǐng)求信息時(shí)，通過(guò)預(yù)設(shè)訪問(wèn)攔截策略，對(duì)所述攻擊訪問(wèn)請(qǐng)求進(jìn)行訪問(wèn)攔截處理；

40、在所述攻擊訪問(wèn)請(qǐng)求不為存在動(dòng)態(tài)規(guī)則的日志信息對(duì)應(yīng)的當(dāng)前訪問(wèn)請(qǐng)求信息時(shí)，生成所述攻擊訪問(wèn)請(qǐng)求對(duì)應(yīng)的日志信息的新動(dòng)態(tài)規(guī)則、以及所述攻擊訪問(wèn)請(qǐng)求對(duì)應(yīng)的日志信息的主動(dòng)防御代碼，并將所述新動(dòng)態(tài)規(guī)則、以及所述主動(dòng)防御代碼傳輸至當(dāng)前防護(hù)規(guī)則中；

41、通過(guò)預(yù)設(shè)訪問(wèn)攔截策略，對(duì)所述攻擊訪問(wèn)請(qǐng)求進(jìn)行訪問(wèn)攔截處理。

42、第三方面，本技術(shù)提供了一種計(jì)算機(jī)設(shè)備。所述計(jì)算機(jī)設(shè)備包括存儲(chǔ)器和處理器，所述存儲(chǔ)器存儲(chǔ)有計(jì)算機(jī)程序，所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)第一方面中任一項(xiàng)所述的方法的步驟。

43、第四方面，本技術(shù)提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。其上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)第一方面中任一項(xiàng)所述的方法的步驟。

44、第五方面，本技術(shù)提供了一種計(jì)算機(jī)程序產(chǎn)品。所述計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)程序，該計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)第一方面中任一項(xiàng)所述的方法的步驟。

45、上述基于日志分析的網(wǎng)絡(luò)攻擊防護(hù)方法、裝置和計(jì)算機(jī)設(shè)備，通過(guò)獲取防火墻的各日志信息、以及所述防火墻的各流量數(shù)據(jù)，并基于各所述日志信息、以及各所述流量數(shù)據(jù)，通過(guò)會(huì)話識(shí)別程序，匹配各所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則；在存在所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則的情況下，基于所述日志信息，通過(guò)所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則，識(shí)別所述日志信息中的攻擊訪問(wèn)請(qǐng)求，并在不存在所述日志信息對(duì)應(yīng)的動(dòng)態(tài)規(guī)則的情況下，基于所述日志信息，通過(guò)規(guī)則匹配策略，識(shí)別所述日志信息對(duì)應(yīng)的目標(biāo)匹配規(guī)則；基于所述日志信息的目標(biāo)匹配規(guī)則，識(shí)別所述日志信息的攻擊訪問(wèn)請(qǐng)求，并將所述攻擊訪問(wèn)請(qǐng)求進(jìn)行請(qǐng)求攔截處理。本方案通過(guò)實(shí)時(shí)全量分析日志數(shù)據(jù)，結(jié)合動(dòng)態(tài)封裝和動(dòng)態(tài)驗(yàn)證，實(shí)現(xiàn)對(duì)威脅流量的主動(dòng)防御。通過(guò)動(dòng)態(tài)封裝，動(dòng)態(tài)驗(yàn)證，用戶行為、設(shè)備指紋驗(yàn)證以及js挑戰(zhàn)/驗(yàn)證碼等一系列手段，增強(qiáng)了防御措施的靈活性和有效性，對(duì)高級(jí)bot具備一定的防御能力。最后，本方案在傳統(tǒng)waf的基礎(chǔ)上引入了先進(jìn)的日志分析、實(shí)時(shí)統(tǒng)計(jì)處理和主動(dòng)防御技術(shù)，顯著提升了網(wǎng)絡(luò)安全防護(hù)能力，適應(yīng)了當(dāng)前復(fù)雜多變的網(wǎng)絡(luò)安全環(huán)境。從而提升了對(duì)新型網(wǎng)絡(luò)攻擊手段的安全防護(hù)效果。