本申請公開了一種誤報檢測方法、設備及可讀存儲介質，WAF自動確定訪問日志集合并從訪問日志集合中確定出攻擊日志得到攻擊日志集合，從攻擊日志集合中確定出包含目標狀態碼且攔截狀態為預設狀態的攻擊日志以得到攻擊子集，對攻擊子集中的攻擊日志進行分析從而確定出導致誤報的安全策略。采用該種方案，通過自動獲取訪問日志集合和攻擊日志集合，對攻擊日志中包含目標狀態碼和預設狀態的攻擊日志進行分析，自動確定出導致誤報的安全策略，不依賴運維人員，自動化程度高、效率高且準確率高。

技術領域

本申請涉及網絡安全技術領域，特別涉及一種誤報檢測方法、設備及可讀存儲介質。

背景技術

隨著Web應用的日益普遍，對Web應用的網絡攻擊也越來越多，如跨站腳本攻擊(Cross Site Scripting，XSS)、結構化查詢語言(Structured Query Language，SQL)注入等。同時，Web應用的系統及依賴的基礎應用程序，出現的漏洞也是層出不窮。

網絡應用防火墻(Web Application Firewall，WAF)是抵御對Web應用的網絡攻擊的重要工具。WAF處于用戶與應用的后臺服務器之間，對網絡訪問請求進行實時安全檢測，阻斷各種網絡攻擊請求。目前，WAF主要基于規則進行防御，即由安全運營人員根據已知的安全漏洞、攻擊案例，并結合自己的安全經驗，從中抽象出特征數據，形成用于檢測網絡攻擊的規則(即黑名單)，最后配置到WAF，實現安全檢測與防御。

上述安全檢測方法中，要求安全運營人員不僅有豐富的WEB攻防對抗經驗，還要熟悉具體的業務場景，很多時候很難做出準確的判斷，容易發生誤報。

發明內容

本申請實施例提供一種誤報檢測方法、設備及可讀存儲介質，通過搭建出分析模型，利用分析模型實現自動快速從海量數據中分析出誤報的目的。

第一方面，本申請實施例提供一種誤報檢測方法，包括：

確定訪問日志集合和攻擊日志集合，所述攻擊日志集合是所述訪問日志集合的子集；

從所述攻擊日志集合中確定出超文本傳輸協議HTTP狀態碼為目標狀態碼、且攔截狀態為預設狀態的攻擊日志以得到攻擊子集；

根據所述攻擊子集確定導致誤報的安全策略。

第二方面，本申請實施例提供一種電子設備，包括：處理器、存儲器及存儲在所述存儲器上并可在處理器上運行的計算機程序，所述處理器執行所述計算機程序時使得所述電子設備實現如上第一方面或第一方面各種可能的實現方式所述的方法。

第三方面，本申請實施例提供一種計算機可讀存儲介質，所述計算機可讀存儲介質中存儲有計算機指令，所述計算機指令在被處理器執行時用于實現如上第一方面或第一方面各種可能的實現方式所述的方法。

本申請實施例提供的誤報檢測方法、設備及可讀存儲介質，WAF自動確定訪問日志集合并從訪問日志集合中確定出攻擊日志得到攻擊日志集合，從攻擊日志集合中確定出包含目標狀態碼且攔截狀態為預設狀態的攻擊日志以得到攻擊子集，對攻擊子集中的攻擊日志進行分析從而確定出導致誤報的安全策略。采用該種方案，通過自動獲取訪問日志集合和攻擊日志集合，對攻擊日志中包含目標狀態碼和預設狀態的攻擊日志進行分析，自動確定出導致誤報的安全策略，不依賴運維人員，自動化程度高、效率高且準確率高。

附圖說明

為了更清楚地說明本申請實施例中的技術方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本申請的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1是本申請實施例提供的誤報檢測方法的實施環境示意圖；

圖2是本申請實施例提供的誤報檢測方法的流程圖；