网络应用防火墙的动态规则防护方法、装置和计算机设备与流程

1.本技术涉及网络安全技术领域，特别是涉及一种网络应用防火墙的动态规则防护方法、装置和计算机设备。


背景技术：

2.随着web 2.0、微信、api等等一系列新型的互联网产品的诞生，基于网络环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在网络平台上，面临各种黑客的入侵危险。
3.网络应用防火墙运行的核心基础能力，是具备多种防护规则，但防火墙的使用人员并不清楚防护规则的最佳配置方式，为了应对未知的黑客入侵，工作人员通常会加载启用全部的防护规则，使规则级别最为严格，但同时也带了网络应用防火墙运行负载压力大变、误报告警数量会上升等问题，影响了正常业务访问的畅通性。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种能够减轻网络应用防火墙自身的运行压力，提升访问网络业务的畅通性的网络应用防火墙的动态规则防护方法、装置和计算机设备。
5.第一方面一种网络应用防火墙的动态规则防护方法，所述方法包括：
6.获取访问请求以及所述访问请求的源地址；
7.基于预设的地址标签表，获取所述源地址的可信度标签；
8.基于所述源地址的所述可信度标签，从预设的网络应用防火墙规则组中选择对应的规则组，并利用所述规则组对所述访问请求进行检测，得到检测结果；
9.若检测结果通过，则通过所述访问请求访问目标地址。
10.在其中一个实施例中，所述基于预设的地址标签表，获取所述源地址的可信度标签，包括：
11.在预设的地址标签表中搜索所述源地址；
12.若所述源地址在预存的地址标签表中存在记录，从所述记录中获得所述源地址的可信度标签。
13.在其中一个实施例中，在所述在预存的地址标签表中搜索所述源地址之后，还包括：
14.若所述源地址在所述地址标签表中无记录，则赋予所述源地址第一标签；其中，所述第一标签为所述可信度标签中可信度最低的标签。
15.在其中一个实施例中，所述基于所述源地址的所述可信度标签，从预设的网络应用防火墙规则组中选择对应的规则组，并利用所述规则组对所述访问请求进行检测，得到检测结果，包括：
16.所述可信度标签包括第一梯队标签和第二梯队标签；其中，所述第一梯队标签的
可信度低于所述第二梯队标签；所述第一梯队标签包括低可信度标签和中可信度标签；所述第二梯队标签包括高可信度标签；
17.所述预设的网络应用防火墙规则组包括第一规则组和第二规则组；其中，所述第一规则组的防护严格程度高于所述第二规则组；
18.若所述源地址的所述可信度标签为所述第一梯队标签；则利用所述第一规则组对所述访问请求进行检测，得到第一检测结果；
19.若所述源地址的所述可信度标签为所述第二梯队标签；则利用所述第二规则组对所述访问请求进行检测，得到第二检测结果。
20.在其中一个实施例中，还包括：
21.若所述检测结果不满足动态更新条件，则在所述地址标签表中保留所述源地址与所述可信度标签当前的对应关系；
22.若所述检测结果满足动态更新条件，则更改所述源地址对应的所述可信度标签，并相应地修改所述地址标签表。
23.在其中一个实施例中，所述若所述检测结果满足动态更新条件，则修改所述源地址对应的所述可信度标签，并相应地修改所述地址标签表，包括：
24.当获取到第一检测结果时，若所述第一检测结果在观察期内不存在网络攻击行为，则将所述源地址对应的第一梯队标签进行更改；
25.当获取到第二检测结果时，若所述第二检测结果存在网络攻击行为，则将所述源地址对应的所述第二梯队标签更改为所述第一梯队标签；
26.基于所述源地址与所述第一梯队标签或所述第二梯队标签的更改后的对应关系，修改所述地址标签表。
27.在其中一个实施例中，所述当获取到第一检测结果时，若所述第一检测结果在观察期内不存在网络攻击行为，则将所述源地址对应的第一梯队标签进行更改，包括：
28.当获取到第一检测结果时，若所述第一检测结果在观察期内存在网络攻击行为，则重新起算观察期，并保留所述源地址与当前第一梯队标签的对应关系；
29.若所述第一检测结果在观察期内不存在网络攻击行为，则将所述源地址对应的第一梯队标签进行更改。
30.第二方面，本技术还提供了一种网络应用防火墙的动态规则防护装置。所述装置包括：
31.获取请求模块，用于获取访问请求以及所述访问请求的源地址；
32.获取标签模块，用于基于预设的地址标签表，获取所述源地址的可信度标签；
33.规则组检测模块，用于基于所述源地址的所述可信度标签，从预设的网络应用防火墙规则组中选择对应的规则组，并利用所述规则组对所述访问请求进行检测，得到检测结果；
34.访问目标地址模块，用于若检测结果通过，则通过所述访问请求访问目标地址。
35.第三方面，本技术还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现第一方面所述的网络应用防火墙的动态规则防护方法。
36.第四方面，本技术还提供了一种计算机可读存储介质。所述计算机可读存储介质，
其上存储有计算机程序，所述计算机程序被处理器执行时实现第一方面所述的网络应用防火墙的动态规则防护方法。
37.上述网络应用防火墙的动态规则防护方法、装置和计算机设备，通过获取访问请求的源地址的可信度标签，对该客户端访问请求的合规性进行初步判断，然后利用与该可信度标签对应的网络应用防火墙规则组对该访问请求进行相应等级的安全性检测，检测结果通过方能对目标地址进行访问，从而实现对每一次的访问请求的动态防护效果，减轻网络应用防火墙自身的运行压力，避免了安全检测引擎能力长期占据设备性能，极大程度的保证了访问网络业务的畅通连续性。
附图说明
38.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
39.图1为一个实施例中网络应用防火墙的动态规则防护方法的硬件结构框图；
40.图2为一个实施例中网络应用防火墙的动态规则防护方法的流程示意图；
41.图3为一个优选实施例中网络应用防火墙的动态规则防护方法的流程示意图；
42.图4为一个优选实施例中对访问请求进行安全检测的步骤的流程示意图；
43.图5为一个实施例中网络应用防火墙的动态规则防护装置的结构框图。
具体实施方式
44.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。基于本技术提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
45.显而易见地，下面描述中的附图仅仅是本技术的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本技术应用于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本技术公开的内容相关的本领域的普通技术人员而言，在本技术揭露的技术内容的基础上进行的一些设计、制造或者生产等变更只是常规的技术手段，不应当理解为本技术公开的内容不充分。
46.在本技术中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本技术的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本技术所描述的实施例在不冲突的情况下，可以与其它实施例相结合。
47.除非另作定义，本技术所涉及的技术术语或者科学术语应当为本技术所属技术领域内具有一般技能的人士所理解的通常意义。本技术所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本技术所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有
列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本技术所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本技术所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“a和/或b”可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本技术所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。
48.在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行，图1是本实施例的网络应用防火墙的动态规则防护方法的硬件结构框图。如图1所示，终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104，其中，处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述终端的结构造成限制。例如，终端还可包括比图1中所示更多或者更少的组件，或者具有与图1所示出的不同配置。
49.存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如在本实施例中的网络应用防火墙的动态规则防护方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
50.传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中，传输设备106包括一个网络适配器(network interface controller，简称为nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输设备106可以为射频(radio frequency，简称为rf)模块，其用于通过无线方式与互联网进行通讯。
51.在本实施例中提供了一种网络应用防火墙的动态规则防护方法，图2是本实施例的网络应用防火墙的动态规则防护方法的流程示意图，如图2所示，该流程包括如下步骤：
52.步骤s210，获取访问请求以及访问请求的源地址。
53.具体的，网络应用防火墙部署在网络站点服务器的外侧，来自互联网客户端的http请求会先经过网络应用防火墙，网络应用防火墙获取该http请求以及产生该http请求的源ip。
54.步骤s220，基于预设的地址标签表，获取源地址的可信度标签。
55.具体的，可信度标签包括三种，即“高可信度标签”、“中可信度标签”和“低可信度标签”。其中，“中可信度标签”的安全可信度强于“低可信度标签”，“高可信度标签”安全可信度强于“中可信度标签”。每个源地址都对应一种可信度标签，以反映源地址的安全性。将源地址与该可信度标签的对应关系存储在地址标签表中，通过查询源地址，可以获得源地址所对应的可信度标签。
56.步骤s230，基于源地址的可信度标签，从预设的网络应用防火墙规则组中选择对
应的规则组，并利用规则组对访问请求进行检测，得到检测结果。
57.具体的，预设的网络应用防火墙规则组包括第一规则组和第二规则组，第一规则组和第二规则组中各自包含若干条防护规则，但第一规则组比第二规则组的检测更为严格。若源地址的可信度标签为“低可信度标签”或“中可信度标签”，则将源地址产生访问请求发送至第一规则组进行安全检测；若源地址的可信度标签为“高可信度标签”，则将源地址产生访问请求发送至第二规则组进行安全检测。从而确保安全级别较低的“低可信度标签”或“中可信度标签”对应的请求消息被充分检查，而对安全级别较高的“高可信度标签”对应的请求消息只进行部分关键规则的检测，以节省计算资源，提高检测速度。
58.步骤s240，若检测结果通过，则通过访问请求访问目标地址。
59.具体的，若检测结果中不存在网络攻击行为，则通过本次检测，继续访问目标地址，若检测结果中存在网络攻击行为，则拦截本次访问请求。
60.上述网络应用防火墙的动态规则防护方法中，通过获取访问请求的源地址的可信度标签，对该客户端访问请求的合规性进行初步判断，然后利用与该可信度标签对应的网络应用防火墙规则组对该访问请求进行相应等级的安全性检测，检测结果通过方能对目标地址进行访问，从而实现对每一次的访问请求的动态防护效果，减轻网络应用防火墙自身的运行压力，避免了安全检测引擎能力长期占据设备性能，极大程度的保证了访问网络业务的畅通连续性。
61.在其中一个实施例中，基于上述步骤s220，基于预设的地址标签表，获取源地址的可信度标签，具体可以包括以下步骤：
62.步骤s221，在预设的地址标签表中搜索源地址。
63.具体的，可信度标签包括三种，即“高可信度标签”、“中可信度标签”和“低可信度标签”，每个已知的源地址都被赋予了一种可信度标签，将已知的源地址与其可信度标签以一一对应的关系存储在地址标签表中。
64.步骤s222，若源地址在预存的地址标签表中存在记录，从记录中获得源地址的可信度标签。
65.步骤s223，若源地址在地址标签表中无记录，则赋予源地址第一标签；其中，第一标签为可信度标签中可信度最低的标签。
66.具体的，若源地址第一次出现，在地址标签表中无记录，则赋予源地址“低可信度标签”。并将新出现的源地址与其可信度标签添加至地址标签表。
67.在本实施例中，通过源地址在地址标签表中的记录情况查询其可信度标签，若无记录可赋予可信度最低的标签，从而全面覆盖所有获取到的源地址，实现源地址的威胁程度的自动的判断。
68.在其中一个实施例中，基于上述步骤s230，基于源地址的可信度标签，从预设的网络应用防火墙规则组中选择对应的规则组，并利用规则组对访问请求进行检测，得到检测结果，具体可以包括以下步骤：
69.步骤s231，可信度标签包括第一梯队标签和第二梯队标签；其中，第一梯队标签的可信度低于第二梯队标签；第一梯队标签包括低可信度标签和中可信度标签；第二梯队标签包括高可信度标签。
70.其中，低可信度标签、中可信度标签和高可信度标签的安全性依次提升。
71.步骤s232，预设的网络应用防火墙规则组包括第一规则组和第二规则组；其中，第一规则组的防护严格程度高于第二规则组。
72.具体的，预先设置两套规则组，每套规则组中启用不同数量、不同类型的防护规则。
73.步骤s233，若源地址的可信度标签为第一梯队标签；则利用第一规则组对访问请求进行检测，得到第一检测结果。
74.步骤s234，若源地址的可信度标签为第二梯队标签；则利用第二规则组对访问请求进行检测，得到第二检测结果。
75.具体的，当源地址对应的标签为低可信度标签或中可信度标签，则利用第一规则组对访问请求进行检测；当源地址对应的标签为高可信度标签，则利用第二规则组对访问请求进行检测。
76.在本实施例中，当源地址在不同的标签状态下，接受对应的规则组检测，不根据网络应用的地址(即目标地址)确定多组规则组，只预先设置两套规则组，即可实现所以访问请求的检测，减小了人工来调研、规划多组规则组的成本，提升工作人员运维效率。
77.在其中一个实施例中，上述网络应用防火墙的动态规则防护方法还包括以下步骤：
78.步骤s250，若检测结果不满足动态更新条件，则在地址标签表中保留源地址与可信度标签当前的对应关系。
79.其中，动态更新条件可以根据可信度标签的不同来设置不同的更新规则。具体的，动态更新条件包括第一动态更新条件和第二动态更新条件。第一动态更新条件内置观察期，只针对低可信度标签和中可信度标签，当低可信度标签或中可信度标签的源地址，其访问请求若在观察期内未被检测出网络攻击行为，则满足第一动态更新条件；第二动态更新条件不设置观察期，且只针对高可信度标签，当高可信度标签的源地址，其访问请求一旦被检测出网络攻击行为，则满足第二动态更新条件。
80.步骤s260，若检测结果满足动态更新条件，则更改源地址对应的可信度标签，并相应地修改地址标签表。
81.具体的，若满足上述第一动态更新条件或第二动态更新条件，则将对应的源地址的可信度标签进行调整。
82.在本实施例中，通过检测结果，及时反馈源地址的安全等级，通过闭环调节，保证对访问请求合规性检测的可靠性。
83.在其中一个实施例中，基于上述步骤s260，若检测结果满足动态更新条件，则修改源地址对应的可信度标签，并相应地修改地址标签表，具体可以包括以下步骤：
84.步骤s261，当获取到第一检测结果时，若第一检测结果在观察期内不存在网络攻击行为，则将源地址对应的第一梯队标签进行更改。
85.具体的，根据上述步骤s233，第一检测结果为第一规则组输出的检测结果。当第一规则组用于对低可信度标签对应的访问请求进行检测时，其第一检测结果在观察期内不存在网络攻击行为，则将对应的源地址从低可信度标签修改为中可信度标签；当第一规则组用于对中可信度标签对应的访问请求进行检测时，其第一检测结果在观察期内不存在网络攻击行为，则将对应的源地址从中可信度标签修改为高可信度标签。
86.具体的，当获取到第一检测结果时，若第一检测结果在观察期内存在网络攻击行为，则重新起算观察期，并保留源地址与当前第一梯队标签的对应关系。其中，观察期为连续的至少一个自然日，并且要求源地址在当日产生至少一条访问请求才算作一个自然日。低可信度标签修改为中可信度标签时的观察期与中可信度标签修改为高可信度标签时的观察期可根据需要由用户设置，可以设置成相同的期限，也可设置成不同的期限。
87.步骤s262，当获取到第二检测结果时，若第二检测结果存在网络攻击行为，则将源地址对应的第二梯队标签更改为第一梯队标签。
88.具体的，根据上述步骤s234，第二检测结果为第二规则组输出的检测结果，第二规则组用于对高可信度标签对应的访问请求进行检测，因此，其第二检测结果无需设置观察期，一旦检测出网络攻击行为，则将对应的源地址的高可信度标签修改为低可信度标签。
89.步骤s263，基于源地址与第一梯队标签或第二梯队标签的更改后的对应关系，修改地址标签表。
90.在本实施例中，通过设置观察期，对第一梯队标签对应的源地址的标签进行更新，提高源地址与可信度标签对应的关系准确性。
91.下面通过优选实施例对本实施例进行描述和说明。
92.图3是本优选实施例的网络应用防火墙的动态规则防护方法的流程图。如图3所示，本优选实施例包括如下步骤：
93.步骤s310，对访问请求进行安全检测。
94.步骤s320，若检测结果通过，则通过访问请求访问目标地址。
95.其中，本优选实施例还包括对步骤s310中对访问请求进行安全检测的具体实现步骤。如图4所示，步骤s310，对访问请求进行安全检测，包括以下步骤：
96.步骤s410，获取访问请求以及访问请求的源地址。
97.步骤s420，标签分配及检测处置。
98.具体的，基于预设的地址标签表，获取源地址的可信度标签。其中，可信度标签包括三种，即“高可信度标签”、“中可信度标签”和“低可信度标签”。
99.具体的，基于源地址的可信度标签，从预设的网络应用防火墙规则组中选择对应的规则组，并利用规则组对访问请求进行检测，得到检测结果。其中，预设的网络应用防火墙规则组包括第一规则组和第二规则组。若源地址的可信度标签为“低可信度标签”或“中可信度标签”，则将源地址产生访问请求发送至第一规则组进行安全检测；若源地址的可信度标签为“高可信度标签”，则将源地址产生访问请求发送至第二规则组进行安全检测。
100.步骤s430，可信度统计及更新。
101.具体的，若规则组的检测结果满足动态更新条件，则更改源地址对应的可信度标签，并相应地修改地址标签表。
102.其中，动态更新条件可以根据可信度标签的不同来设置不同的更新规则。
103.针对低可信度标签，当低可信度标签对应的访问请求在观察期内未被检测出网络攻击行为时，则将对应的源地址从低可信度标签修改为中可信度标签；针对中可信度标签，当中可信度标签对应的访问请求在观察期内未被检测出网络攻击行为时，则将对应的源地址从中可信度标签修改为高可信度标签；当上述两种情况中，在观察期内存出现网络攻击行为，则重新起算观察期。
104.针对高可信度标签，不设置观察期，一旦检测出网络攻击行为，则将对应的源地址的高可信度标签修改为低可信度标签。
105.在本优选实施例中，通过获取访问请求的源地址的可信度标签，对该客户端访问请求的合规性进行初步判断，然后利用与该可信度标签对应的网络应用防火墙规则组对该访问请求进行相应等级的安全性检测，检测结果通过方能对目标地址进行访问，从而实现对每一次的访问请求的动态防护效果，减轻网络应用防火墙自身的运行压力，避免了安全检测引擎能力长期占据设备性能，极大程度的保证了访问网络业务的畅通连续性。
106.应该理解的是，虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
107.基于同样的发明构思，在本实施例中还提供了一种网络应用防火墙的动态规则防护装置，该系统用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的系统较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
108.在其中一个实施例中，如图5所示，提供了一种网络应用防火墙的动态规则防护装置，包括：获取请求模块51、获取标签模块52、规则组检测模块53和访问目标地址模块54，其中：
109.获取请求模块51，用于获取访问请求以及访问请求的源地址；
110.获取标签模块52，用于基于预设的地址标签表，获取源地址的可信度标签；
111.规则组检测模块53，用于基于源地址的可信度标签，从预设的网络应用防火墙规则组中选择对应的规则组，并利用规则组对访问请求进行检测，得到检测结果；
112.访问目标地址模块54，用于若检测结果通过，则通过访问请求访问目标地址。
113.在其中一个实施例中，获取标签模块52还用于在预设的地址标签表中搜索源地址；若源地址在预存的地址标签表中存在记录，从记录中获得源地址的可信度标签。
114.在其中一个实施例中，获取标签模块52还用于若源地址在地址标签表中无记录，则赋予源地址第一标签；其中，第一标签为可信度标签中可信度最低的标签。
115.在其中一个实施例中，规则组检测模块53还用于可信度标签包括第一梯队标签和第二梯队标签；其中，第一梯队标签的可信度低于第二梯队标签；第一梯队标签包括低可信度标签和中可信度标签；第二梯队标签包括高可信度标签；预设的网络应用防火墙规则组包括第一规则组和第二规则组；其中，第一规则组的防护严格程度高于第二规则组；若源地址的可信度标签为第一梯队标签；则利用第一规则组对访问请求进行检测，得到第一检测结果；若源地址的可信度标签为第二梯队标签；则利用第二规则组对访问请求进行检测，得到第二检测结果。
116.在其中一个实施例中，网络应用防火墙的动态规则防护方法，还包括动态更新模
块，动态更新模块用于若检测结果不满足动态更新条件，则在地址标签表中保留源地址与可信度标签当前的对应关系；若检测结果满足动态更新条件，则更改源地址对应的可信度标签，并相应地修改地址标签表。
117.在其中一个实施例中，动态更新模块还用于当获取到第一检测结果时，若第一检测结果在观察期内不存在网络攻击行为，则将源地址对应的第一梯队标签进行更改；当获取到第二检测结果时，若第二检测结果存在网络攻击行为，则将源地址对应的第二梯队标签更改为第一梯队标签；基于源地址与第一梯队标签或第二梯队标签的更改后的对应关系，修改地址标签表。
118.在其中一个实施例中，动态更新模块还用于当获取到第一检测结果时，若第一检测结果在观察期内存在网络攻击行为，则重新起算观察期，并保留源地址与当前第一梯队标签的对应关系；若第一检测结果在观察期内不存在网络攻击行为，则将源地址对应的第一梯队标签进行更改。
119.上述网络应用防火墙的动态规则防护装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
120.在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述任一实施例中的网络应用防火墙的动态规则防护方法。
121.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述任一实施例中的网络应用防火墙的动态规则防护方法。
122.在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述任一实施例中的网络应用防火墙的动态规则防护方法。
123.需要说明的是，本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。
124.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(reram)、磁变存储器(magnetoresistive random access memory，mram)、铁电存储器(ferroelectric random access memory，fram)、相变存储器(phase change memory，pcm)、石墨烯存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器等。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，
不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
125.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
126.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。

技术特征：
1.一种网络应用防火墙的动态规则防护方法，其特征在于，所述方法包括：获取访问请求以及所述访问请求的源地址；基于预设的地址标签表，获取所述源地址的可信度标签；基于所述源地址的所述可信度标签，从预设的网络应用防火墙规则组中选择对应的规则组，并利用所述规则组对所述访问请求进行检测，得到检测结果；若检测结果通过，则通过所述访问请求访问目标地址。2.根据权利要求1所述的网络应用防火墙的动态规则防护方法，其特征在于，所述基于预设的地址标签表，获取所述源地址的可信度标签，包括：在预设的地址标签表中搜索所述源地址；若所述源地址在预存的地址标签表中存在记录，从所述记录中获得所述源地址的可信度标签。3.根据权利要求2所述的网络应用防火墙的动态规则防护方法，其特征在于，在所述在预存的地址标签表中搜索所述源地址之后，还包括：若所述源地址在所述地址标签表中无记录，则赋予所述源地址第一标签；其中，所述第一标签为所述可信度标签中可信度最低的标签。4.根据权利要求1所述的网络应用防火墙的动态规则防护方法，其特征在于，所述基于所述源地址的所述可信度标签，从预设的网络应用防火墙规则组中选择对应的规则组，并利用所述规则组对所述访问请求进行检测，得到检测结果，包括：所述可信度标签包括第一梯队标签和第二梯队标签；其中，所述第一梯队标签的可信度低于所述第二梯队标签；所述第一梯队标签包括低可信度标签和中可信度标签；所述第二梯队标签包括高可信度标签；所述预设的网络应用防火墙规则组包括第一规则组和第二规则组；其中，所述第一规则组的防护严格程度高于所述第二规则组；若所述源地址的所述可信度标签为所述第一梯队标签；则利用所述第一规则组对所述访问请求进行检测，得到第一检测结果；若所述源地址的所述可信度标签为所述第二梯队标签；则利用所述第二规则组对所述访问请求进行检测，得到第二检测结果。5.根据权利要求4所述的网络应用防火墙的动态规则防护方法，其特征在于，还包括：若所述检测结果不满足动态更新条件，则在所述地址标签表中保留所述源地址与所述可信度标签当前的对应关系；若所述检测结果满足动态更新条件，则更改所述源地址对应的所述可信度标签，并相应地修改所述地址标签表。6.根据权利要求5所述的网络应用防火墙的动态规则防护方法，其特征在于，所述若所述检测结果满足动态更新条件，则修改所述源地址对应的所述可信度标签，并相应地修改所述地址标签表，包括：当获取到第一检测结果时，若所述第一检测结果在观察期内不存在网络攻击行为，则将所述源地址对应的第一梯队标签进行更改；当获取到第二检测结果时，若所述第二检测结果存在网络攻击行为，则将所述源地址对应的所述第二梯队标签更改为所述第一梯队标签；
基于所述源地址与所述第一梯队标签或所述第二梯队标签的更改后的对应关系，修改所述地址标签表。7.根据权利要求6所述的网络应用防火墙的动态规则防护方法，其特征在于，所述当获取到第一检测结果时，若所述第一检测结果在观察期内不存在网络攻击行为，则将所述源地址对应的第一梯队标签进行更改，包括：当获取到第一检测结果时，若所述第一检测结果在观察期内存在网络攻击行为，则重新起算观察期，并保留所述源地址与当前第一梯队标签的对应关系；若所述第一检测结果在观察期内不存在网络攻击行为，则将所述源地址对应的第一梯队标签进行更改。8.一种网络应用防火墙的动态规则防护装置，其特征在于，所述装置包括：获取请求模块，用于获取访问请求以及所述访问请求的源地址；获取标签模块，用于基于预设的地址标签表，获取所述源地址的可信度标签；规则组检测模块，用于基于所述源地址的所述可信度标签，从预设的网络应用防火墙规则组中选择对应的规则组，并利用所述规则组对所述访问请求进行检测，得到检测结果；访问目标地址模块，用于若检测结果通过，则通过所述访问请求访问目标地址。9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至权利要求7中任一项所述的方法的步骤。10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至权利要求7中任一项所述的方法的步骤。

技术总结
本申请涉及一种网络应用防火墙的动态规则防护方法、装置和计算机设备。所述方法包括：获取访问请求以及所述访问请求的源地址；基于预设的地址标签表，获取所述源地址的可信度标签；基于所述源地址的所述可信度标签，从预设的网络应用防火墙规则组中选择对应的规则组，并利用所述规则组对所述访问请求进行检测，得到检测结果；若检测结果通过，则通过所述访问请求访问目标地址。采用本方法能够减轻网络应用防火墙自身的运行压力，避免了安全检测引擎能力长期占据设备性能，极大程度的保证了访问网络业务的畅通连续性。网络业务的畅通连续性。网络业务的畅通连续性。


技术研发人员：李祯 吴磊
受保护的技术使用者：杭州安恒信息技术股份有限公司
技术研发日：2023.06.25
技术公布日：2023/9/6