本技術(shù)涉及二進制代碼文件同源性分析，特別是涉及一種基于日志分析的網(wǎng)絡(luò)攻擊防護方法、裝置和計算機設(shè)備。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)攻擊的形式和手段也日益復(fù)雜和多樣化。web應(yīng)用成為攻擊者的主要目標之一，因為它們通常暴露在互聯(lián)網(wǎng)中，并承載大量敏感數(shù)據(jù)。web應(yīng)用防火墻（waf）是保護web應(yīng)用免受各種攻擊的重要工具。傳統(tǒng)的waf主要依賴預(yù)定義的靜態(tài)規(guī)則和簽名庫來檢測和攔截惡意流量。這些規(guī)則和簽名庫基于已知的攻擊模式和特征，例如特定的url模式、參數(shù)和值。然而，這種基于規(guī)則的保護方式存在更新滯后，難以應(yīng)對新型和變種攻擊，且無法主動防御。因此，如何提升web對新型和變種攻擊的防御效果是當前的研究重點。

2、現(xiàn)有網(wǎng)絡(luò)攻擊手段的防御方式是通過在受到網(wǎng)絡(luò)攻擊時，通過結(jié)合網(wǎng)絡(luò)攻擊的攻擊方式、以及攻擊數(shù)據(jù)，從而通過防火墻（waf）等預(yù)設(shè)程序進行網(wǎng)絡(luò)攻擊防護，但是新型攻擊的隱藏手段、與偽裝手段較強，且辨識度較差，使得互聯(lián)網(wǎng)對新型網(wǎng)絡(luò)攻擊手段的防控措施較弱，從而導(dǎo)致對新型網(wǎng)絡(luò)攻擊手段的安全防護效果較差。

技術(shù)實現(xiàn)思路

1、基于此，有必要針對上述技術(shù)問題，提供一種基于日志分析的網(wǎng)絡(luò)攻擊防護方法、裝置、計算機設(shè)備、計算機可讀存儲介質(zhì)和計算機程序產(chǎn)品。

2、第一方面，本技術(shù)提供了一種基于日志分析的網(wǎng)絡(luò)攻擊防護方法，包括：

3、獲取防火墻的各日志信息、以及所述防火墻的各流量數(shù)據(jù)，并基于各所述日志信息、以及各所述流量數(shù)據(jù)，通過會話識別程序，匹配各所述日志信息對應(yīng)的動態(tài)規(guī)則；

4、在存在所述日志信息對應(yīng)的動態(tài)規(guī)則的情況下，基于所述日志信息，通過所述日志信息對應(yīng)的動態(tài)規(guī)則，識別所述日志信息中的攻擊訪問請求，并在不存在所述日志信息對應(yīng)的動態(tài)規(guī)則的情況下，基于所述日志信息，通過規(guī)則匹配策略，識別所述日志信息對應(yīng)的目標匹配規(guī)則；

5、基于所述日志信息的目標匹配規(guī)則，識別所述日志信息的攻擊訪問請求，并將所述攻擊訪問請求進行請求攔截處理。

6、可選的，所述基于各所述日志信息、以及各所述流量數(shù)據(jù)，通過會話識別程序，匹配各所述日志信息對應(yīng)的動態(tài)規(guī)則，包括：

7、針對每個流量數(shù)據(jù)，采集系統(tǒng)的當前防護規(guī)則，并通過所述當前防護規(guī)則，對所述流量數(shù)據(jù)進行會話識別處理，得到所述流量數(shù)據(jù)對應(yīng)的當前訪問請求信息；

8、基于所述日志信息、以及所述當前訪問請求信息，在動態(tài)規(guī)則數(shù)據(jù)庫中，匹配所述日志信息對應(yīng)的動態(tài)規(guī)則。

9、可選的，所述基于所述日志信息，通過所述日志信息對應(yīng)的動態(tài)規(guī)則，識別所述日志信息中的攻擊訪問請求，包括：

10、識別所述日志信息對應(yīng)的動態(tài)驗證信息，并通過所述日志信息對應(yīng)的動態(tài)規(guī)則，以及所述動態(tài)驗證信息，識別所述日志信息對應(yīng)的當前訪問請求信息的請求行為信息、以及所述當前訪問請求信息對應(yīng)的設(shè)備指紋信息；

11、基于所述設(shè)備指紋信息、以及所述請求訪問信息，判斷所述設(shè)備指紋信息是否為異常指紋，并在所述設(shè)備指紋信息為異常指紋時，將所述請求訪問信息，作為所述日志信息中的攻擊訪問請求。

12、可選的，所述基于所述日志信息，通過規(guī)則匹配策略，識別所述日志信息對應(yīng)的目標匹配規(guī)則，包括：

13、基于所述當前防護規(guī)則，在各所述日志信息、以及各所述流量數(shù)據(jù)中，篩選各目標日志信息、以及各目標流量數(shù)據(jù)，并對各所述目標日志信息、以及各所述目標流量數(shù)據(jù)進行聚類處理，得到各聚合信息組；

14、通過規(guī)則匹配策略，識別每個聚合信息組對應(yīng)的目標匹配規(guī)則，并將每個聚合組對應(yīng)的目標匹配規(guī)則，作為每個聚合信息組的各目標日志信息的目標匹配規(guī)則。

15、可選的，所述基于所述日志信息的目標匹配規(guī)則，識別所述日志信息的攻擊訪問請求，包括：

16、基于所述日志信息的目標匹配規(guī)則，識別所述日志信息對應(yīng)的當前請求信息在所述目標匹配規(guī)則的各匹配條件的匹配值；

17、在所有匹配有條件的匹配值均大于各所述匹配條件的匹配閾值時，將所述日志信息對應(yīng)的當前請求信息，作為攻擊訪問請求。

18、可選的，所述將所述攻擊訪問請求進行請求攔截處理，包括：

19、在所述攻擊訪問請求為存在動態(tài)規(guī)則的日志信息對應(yīng)的當前訪問請求信息時，通過預(yù)設(shè)訪問攔截策略，對所述攻擊訪問請求進行訪問攔截處理；

20、在所述攻擊訪問請求不為存在動態(tài)規(guī)則的日志信息對應(yīng)的當前訪問請求信息時，生成所述攻擊訪問請求對應(yīng)的日志信息的新動態(tài)規(guī)則、以及所述攻擊訪問請求對應(yīng)的日志信息的主動防御代碼，并將所述新動態(tài)規(guī)則、以及所述主動防御代碼傳輸至當前防護規(guī)則中；

21、通過預(yù)設(shè)訪問攔截策略，對所述攻擊訪問請求進行訪問攔截處理。

22、第二方面，本技術(shù)還提供了一種基于日志分析的網(wǎng)絡(luò)攻擊防護裝置，包括：

23、獲取模塊，用于獲取防火墻的各日志信息、以及所述防火墻的各流量數(shù)據(jù)，并基于各所述日志信息、以及各所述流量數(shù)據(jù)，通過會話識別程序，匹配各所述日志信息對應(yīng)的動態(tài)規(guī)則；

24、識別模塊，用于在存在所述日志信息對應(yīng)的動態(tài)規(guī)則的情況下，基于所述日志信息，通過所述日志信息對應(yīng)的動態(tài)規(guī)則，識別所述日志信息中的攻擊訪問請求，并在不存在所述日志信息對應(yīng)的動態(tài)規(guī)則的情況下，基于所述日志信息，通過規(guī)則匹配策略，識別所述日志信息對應(yīng)的目標匹配規(guī)則；

25、攔截模塊，用于基于所述日志信息的目標匹配規(guī)則，識別所述日志信息的攻擊訪問請求，并將所述攻擊訪問請求進行請求攔截處理。

26、可選的，所述獲取模塊，具體用于：

27、針對每個流量數(shù)據(jù)，采集系統(tǒng)的當前防護規(guī)則，并通過所述當前防護規(guī)則，對所述流量數(shù)據(jù)進行會話識別處理，得到所述流量數(shù)據(jù)對應(yīng)的當前訪問請求信息；

28、基于所述日志信息、以及所述當前訪問請求信息，在動態(tài)規(guī)則數(shù)據(jù)庫中，匹配所述日志信息對應(yīng)的動態(tài)規(guī)則。

29、可選的，所述識別模塊，具體用于：

30、識別所述日志信息對應(yīng)的動態(tài)驗證信息，并通過所述日志信息對應(yīng)的動態(tài)規(guī)則，以及所述動態(tài)驗證信息，識別所述日志信息對應(yīng)的當前訪問請求信息的請求行為信息、以及所述當前訪問請求信息對應(yīng)的設(shè)備指紋信息；

31、基于所述設(shè)備指紋信息、以及所述請求訪問信息，判斷所述設(shè)備指紋信息是否為異常指紋，并在所述設(shè)備指紋信息為異常指紋時，將所述請求訪問信息，作為所述日志信息中的攻擊訪問請求。

32、可選的，所述識別模塊，具體用于：

33、基于所述當前防護規(guī)則，在各所述日志信息、以及各所述流量數(shù)據(jù)中，篩選各目標日志信息、以及各目標流量數(shù)據(jù)，并對各所述目標日志信息、以及各所述目標流量數(shù)據(jù)進行聚類處理，得到各聚合信息組；

34、通過規(guī)則匹配策略，識別每個聚合信息組對應(yīng)的目標匹配規(guī)則，并將每個聚合組對應(yīng)的目標匹配規(guī)則，作為每個聚合信息組的各目標日志信息的目標匹配規(guī)則。

35、可選的，所述攔截模塊，具體用于：

36、基于所述日志信息的目標匹配規(guī)則，識別所述日志信息對應(yīng)的當前請求信息在所述目標匹配規(guī)則的各匹配條件的匹配值；

37、在所有匹配有條件的匹配值均大于各所述匹配條件的匹配閾值時，將所述日志信息對應(yīng)的當前請求信息，作為攻擊訪問請求。

38、可選的，所述攔截模塊，具體用于：

39、在所述攻擊訪問請求為存在動態(tài)規(guī)則的日志信息對應(yīng)的當前訪問請求信息時，通過預(yù)設(shè)訪問攔截策略，對所述攻擊訪問請求進行訪問攔截處理；

40、在所述攻擊訪問請求不為存在動態(tài)規(guī)則的日志信息對應(yīng)的當前訪問請求信息時，生成所述攻擊訪問請求對應(yīng)的日志信息的新動態(tài)規(guī)則、以及所述攻擊訪問請求對應(yīng)的日志信息的主動防御代碼，并將所述新動態(tài)規(guī)則、以及所述主動防御代碼傳輸至當前防護規(guī)則中；

41、通過預(yù)設(shè)訪問攔截策略，對所述攻擊訪問請求進行訪問攔截處理。

42、第三方面，本技術(shù)提供了一種計算機設(shè)備。所述計算機設(shè)備包括存儲器和處理器，所述存儲器存儲有計算機程序，所述處理器執(zhí)行所述計算機程序時實現(xiàn)第一方面中任一項所述的方法的步驟。

43、第四方面，本技術(shù)提供了一種計算機可讀存儲介質(zhì)。其上存儲有計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)第一方面中任一項所述的方法的步驟。

44、第五方面，本技術(shù)提供了一種計算機程序產(chǎn)品。所述計算機程序產(chǎn)品包括計算機程序，該計算機程序被處理器執(zhí)行時實現(xiàn)第一方面中任一項所述的方法的步驟。

45、上述基于日志分析的網(wǎng)絡(luò)攻擊防護方法、裝置和計算機設(shè)備，通過獲取防火墻的各日志信息、以及所述防火墻的各流量數(shù)據(jù)，并基于各所述日志信息、以及各所述流量數(shù)據(jù)，通過會話識別程序，匹配各所述日志信息對應(yīng)的動態(tài)規(guī)則；在存在所述日志信息對應(yīng)的動態(tài)規(guī)則的情況下，基于所述日志信息，通過所述日志信息對應(yīng)的動態(tài)規(guī)則，識別所述日志信息中的攻擊訪問請求，并在不存在所述日志信息對應(yīng)的動態(tài)規(guī)則的情況下，基于所述日志信息，通過規(guī)則匹配策略，識別所述日志信息對應(yīng)的目標匹配規(guī)則；基于所述日志信息的目標匹配規(guī)則，識別所述日志信息的攻擊訪問請求，并將所述攻擊訪問請求進行請求攔截處理。本方案通過實時全量分析日志數(shù)據(jù)，結(jié)合動態(tài)封裝和動態(tài)驗證，實現(xiàn)對威脅流量的主動防御。通過動態(tài)封裝，動態(tài)驗證，用戶行為、設(shè)備指紋驗證以及js挑戰(zhàn)/驗證碼等一系列手段，增強了防御措施的靈活性和有效性，對高級bot具備一定的防御能力。最后，本方案在傳統(tǒng)waf的基礎(chǔ)上引入了先進的日志分析、實時統(tǒng)計處理和主動防御技術(shù)，顯著提升了網(wǎng)絡(luò)安全防護能力，適應(yīng)了當前復(fù)雜多變的網(wǎng)絡(luò)安全環(huán)境。從而提升了對新型網(wǎng)絡(luò)攻擊手段的安全防護效果。