本發明公開了基于應用防火墻的安全檢測方法及相關設備，用于通過應用防火墻主動采集應用系統的請求參數，通過對請求參數配置合適的規則，實現精準校驗，降低因使用通用規則而導致的誤報率。本發明方法包括：在應用系統中部署應用防火墻WAF并配置過濾器；調用應用防火墻按照預置的通用規則對應用系統中的初始入站請求進行安全檢查過濾，得到目標入站請求；啟用參數自動收集機制對目標入站請求進行監控，參數自動收集機制用于收集目標入站請求對應的請求參數值；將對應的請求參數值發送至參數規則配置平臺；獲取參數規則配置平臺發送的目標參數規則，將目標參數規則同步部署到應用系統；調用WAF基于目標參數規則進行后續的安全檢測。

技術領域

本發明涉及網絡安全領域，尤其涉及基于應用防火墻的安全檢測方法及相關設備。

背景技術

隨著互聯網技術的快速發展，網絡安全也越來越受到重視。目標，普遍采用網絡應用防火墻(Web application firewall，WAF)，對來自Web應用程序客戶端的各類請求進行內容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，為Web應用提供防護，WAF是網絡安全縱深防御體系里重要的一環。

現在市場上大多數的產品是基于規則的WAF。其原理是每一個會話都要經過一系列的測試，每一項測試都由一個過多個檢測規則組成，如果測試沒通過，請求就會被認為非法并拒絕。基于規則的WAF測試很容易構建并且能有效的防范已知安全問題。當我們要制定自定義防御策略時使用它會更加便捷。但是因為它們必須要首先確認每一個威脅的特點，所以要由一個強大的規則數據庫支持。WAF生產商維護這個數據庫，并且他們要提供自動更新的工具。

現有方案是針對攻擊特征整體防御檢測，無法和實際應用系統的業務進行強關聯，導致誤報率高，影響應用系統的正常功能。

發明內容

本發明提供了基于應用防火墻的安全檢測方法及相關設備，用于通過應用防火墻主動采集應用系統的請求參數，通過對請求參數配置合適的規則，實現精準校驗，降低因使用通用規則而導致的誤報率。

本發明實施例的第一方面提供一種基于應用防火墻的安全檢測方法，包括：在應用系統中部署應用防火墻WAF并配置過濾器，所述過濾器用于攔截所有通過所述WAF的入站請求和請求參數；調用所述應用防火墻按照預置的通用規則對所述應用系統中的初始入站請求進行安全檢查過濾，得到目標入站請求；啟用參數自動收集機制對所述目標入站請求進行監控，所述參數自動收集機制用于收集所述目標入站請求對應的請求參數值；將所述對應的請求參數值發送至參數規則配置平臺，所述參數規則配置平臺設置有多種類型規則，以使得所述參數規則配置平臺通過所述請求參數值在所述多種類型規則中匹配目標參數規則；獲取所述參數規則配置平臺發送的目標參數規則，將所述目標參數規則同步部署到所述應用系統；調用所述WAF基于所述目標參數規則進行后續的安全檢測。

可選的，在本發明實施例第一方面的第一種實現方式中，所述調用所述應用防火墻按照預置的通用規則對所述應用系統中的初始入站請求進行安全檢查過濾，得到目標入站請求，包括：接收初始入站請求；獲取所述應用系統中預置的通用規則；調用所述應用防火墻基于所述預置的通用規則對所述初始入站請求進行安全檢查，所述預置的通用規則用于判斷所述初始入站請求是否屬于惡意請求；若初始入站請求不符合所述預置的通用規則，則確實所述初始入站請求屬于惡意請求，并對所述初始入站請求進行攔截過濾；若初始入站請求符合所述預置的通用規則，則將所述初始入站請求確定為目標入站請求。

可選的，在本發明實施例第一方面的第二種實現方式中，所述調用所述 WAF基于所述目標參數規則進行后續的安全檢測，包括：調用所述WAF對預置路徑進行掃描，得到多個安全規則；加載所述多個安全規則；當所述WAF后續接收到新的入站請求時，調用所述多個安全規則對所述新的入站請求進行安全校驗。