本發明提供一種面向WAF日志的攻擊行為模式挖掘方法及裝置，涉及信息安全技術領域，用以降低攻擊行為模式挖掘的難度。本發明的面向WAF日志的攻擊行為模式挖掘方法，包括：獲取WAF日志，并從所述WAF日志中提取至少一個待處理攻擊序列；從所述至少一個待處理攻擊序列中提取至少一個有效攻擊序列；對所述至少一個有效攻擊序列進行聚類，獲得至少一個類別的有效攻擊序列；根據所述至少一個類別的有效攻擊序列，獲取每個類別的有效攻擊序列對應的攻擊行為模式。本發明主要用于攻擊行為模式挖掘技術中。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種面向WAF日志的攻擊行為模式挖掘方法及裝置。

背景技術

WAF(Web Application Firewall，Web應用防護系統)，是一類新產生的信息安全技術，它通過執行一系列針對HTTP/HTTPS的安全策略，為Web應用提供保護。與傳統的防火墻不同，WAF工作在應用層，所以可以對Web應用程序的各類請求進行檢測，確保其安全合法，并對于各種非法的請求進行及時的阻斷。

WAF的配置往往依賴于領域知識和專家配置，而未配置的攻擊行為模式則很難被檢測出。自動化WAF攻擊行為模式的挖掘方法，由于能夠減少WAF規則的配置難度，有效提高WAF的防護效果，對于Web應用防護具有很大的價值，因此一直是研究的熱點問題。由于WAF日志記錄了WAF處理各類請求的日志信息，基于WAF日志對攻擊行為進行模式挖掘，是目前自動化WAF攻擊行為模式挖掘的最主要途徑。

目前，現有技術中，基于WAF日志進行攻擊行為模式挖掘的方法需要利用較多的領域知識進行參數的設置，較為復雜。

發明內容

有鑒于此，本發明提供一種面向WAF日志的攻擊行為模式挖掘方法及裝置，用以降低攻擊行為模式挖掘的難度。

為解決上述技術問題，本發明提供一種面向WAF日志的攻擊行為模式挖掘方法，包括：

獲取WAF日志，并從所述WAF日志中提取至少一個待處理攻擊序列；

從所述至少一個待處理攻擊序列中提取至少一個有效攻擊序列；

對所述至少一個有效攻擊序列進行聚類，獲得至少一個類別的有效攻擊序列；

根據所述至少一個類別的有效攻擊序列，獲取每個類別的有效攻擊序列對應的攻擊行為模式。

其中，所述從所述WAF日志中提取至少一個待處理攻擊序列的步驟，包括：

以攻擊者的IP地址和被攻擊的Web應用的域名為鍵值，從所述WAF日志中提取至少一個待處理攻擊序列。

其中，所述從所述至少一個待處理攻擊序列中提取至少一個有效攻擊序列的步驟，包括：

將所述至少一個待處理攻擊序列中的每一待處理攻擊序列，按照預定攻擊序列間隔劃分成一個或多個待處理攻擊子序列；

將所述待處理攻擊子序列作為所述有效攻擊序列。

其中，所述從所述至少一個待處理攻擊序列中提取至少一個有效攻擊序列的步驟，還包括：

對所述待處理攻擊子序列進行以下任意一種或幾種序列操作，獲得序列操作后的待處理攻擊子序列；所述序列操作包括：去重操作，合并操作，刪除操作；

所述將所述待處理攻擊子序列作為所述有效攻擊序列的步驟具體為：

將所述序列操作后的待處理攻擊子序列作為所述有效攻擊序列。

其中，所述去重操作包括：從所述待處理攻擊子序列中，獲取一個或多個待去重攻擊子序列，從所述待去重攻擊子序列中去除第一數量的待去重攻擊子序列；