[发明专利]一种绕过云WAF的恶意请求的检测系统及方法

权利要求书

1.一种绕过云WAF的恶意请求的检测系统，其特征在于，包括：

云WAF引擎IP地址记录模块，用于在WEB服务器端记录识别云WAF的端节点引擎IP地址，用正则匹配的方式，提取WEB后端日志中云WAF的端节点引擎IP地址，及添加到数据库中；

流量镜像模块，用于在WEB服务器端对服务端口进行流量镜像并保存流量文件，及使用nDPI分析技术实时解析流量文件中的关键信息；所述流量镜像模块解析流量文件中的关键信息时，所述关键信息至少包括请求源地址、请求时间；

IP地址来源判断模块，用于定时读取WEB服务器中保存的云WAF引擎IP地址并作为云WAF标准引擎IP地址集合，及实时对比流量中解析出来的请求源地址，并判断该请求是来自云WAF引擎IP地址还是来自其他地址；所述IP地址来源判断模块判断该请求是来自云WAF引擎IP地址还是来自其他地址的判断标准为：

若解析出的请求的源IP地址包含在云WAF标准引擎IP地址集合中，则判定该请求是来自云WAF引擎IP地址，否则判定该请求不是来自云WAF引擎IP地址；

流量重放模块，用于将IP地址来源判断模块识别为不是来自于云WAF引擎IP地址的请求通过重放技术转发至云WAF引擎；

引擎检测模块，用于对流量重放模块转发的请求进行检测，判断其是否为恶意请求；

在判定请求不是来自云WAF引擎IP地址后，所述IP地址来源判断模块进一步将流量镜像模块解析出的该请求的请求源地址、请求时间关联到该请求的流量，并将该请求的流量开头添加“no”字段，作为不安全流量标记，再将该请求的流量转发至流量重放模块。

2.一种绕过云WAF的恶意请求的检测方法，其特征在于，包括以下步骤：

A.设置云WAF接入，包括在云WAF的控制端添加WEB服务器IP地址及防护策略，设置网站域名DNS解析到云WAF；

B.云WAF引擎IP地址记录，包括接入云WAF时，收集DNS调度服务器分配的端节点防护引擎信息，并在被防护的WEB服务器上的后台程序数据库中记录云WAF端节点引擎IP地址；

C.对被云WAF防护的WEB服务器的服务开放端口进行监听，并将进入所述服务开放端口的流量镜像到目的接收端口；

D.设置目的接收端口并设置接收程序，其中，接收程序在接收到镜像的流量后保存成流量文件，使用nDPI库实时解析流量文件的关键信息，所述关键信息至少包括请求源地址；

E.每t分钟读取步骤B中已经记录的所有云WAF端节点引擎IP地址，并作为标准云WAF引擎IP地址集；

F.将步骤D中解析的请求源地址与所述标准云WAF引擎IP地址集进行比较，判断请求源地址是否包含在标准云WAF引擎IP地址集中，若包含，则判定该请求源地址对应的流量请求为安全流量请求，否则，判定为不安全流量请求；

G.关联WEB服务器端口和云WAF引擎IP地址，使云WAF引擎可完全接受来自WEB服务器重放的不安全流量请求，并用于威胁检测，再将步骤F中判定的不安全流量请求重放至云WAF引擎；

云WAF引擎接收被重放的不安全流量请求并进行检测，判断是否为恶意流量请求。

3.根据权利要求2所述的一种绕过云WAF的恶意请求的检测方法，其特征在于，所述步骤C中进行流量的镜像时，通过使用防火墙规则地址IPtalbes设置端口映射或使用流量镜像软件将被云WAF防护的WEB服务器的服务开放端口的流量进行镜像。

4.根据权利要求2所述的一种绕过云WAF的恶意请求的检测方法，其特征在于，所述步骤D中的关键信息还包括请求时间。

5.根据权利要求4所述的一种绕过云WAF的恶意请求的检测方法，其特征在于，所述步骤F中对于判定为不安全的流量请求，与步骤D中解析出的请求源地址及请求时间相关联，并在流量请求开头添加“no”字段作为不安全流量请求标记。