[发明专利]一种绕过云WAF的恶意请求的检测系统及方法

说明书

本发明公开了一种绕过云WAF的恶意请求的检测系统，包括：云WAF引擎IP记录模块、流量镜像模块、IP来源判断模块、流量重放模块、引擎检测模块，云WAF引擎IP记录模块，用于在WEB端记录识别云WAF的端节点引擎IP并使用正则匹配的方式，提取WEB后端日志中引擎源地址IP，及添加云WAF端节点引擎并保存到数据库中。本发明的检测系统可有效有识别来自非云WAF引擎的恶意请求，减少云WAF被绕过的攻击情况，降低恶意攻击被漏报的几率。

技术领域

本发明涉及网络安全技术领域，特别涉及一种绕过云WAF的恶意请求的检测系统及方法。

背景技术

当前的WAF(Web Application Firewall)形式存在三种：硬件WAF，软件WAF，云WAF，下面将主要针对云WAF进行说明。

通常情况下，云WAF系统由控制中心及端节点两大部分组成。控制中心部署有DNS服务器、调度系统等，用来解析并调度客户端对网站的访问请求。端节点采用多台分布式部署，每一个端节点都是一台独立的硬件WAF设备或者引擎，用来过滤非法的网站请求。

但在实际中，存在云WAF容易被绕过的现象，这是云WAF发展中比较突出的问题，且目前并无良好的解决办法；WAF对网站实施保护，主要采用的是反向代理技术，具体实现过程为：用户首先需要将被保护的网站域名解析权移交给云WAF系统(采用修改域名DNS记录或CNAME记录的方式)即用户需要在自己的WEB服务器控制台上，设置DNS解析服务器为云WAF的DNS服务器，然后云WAF的控制中心调度DNS服务器把针对该网站的访问解析到云WAF的指定的防护节点引擎上进行检测，经过防护节点引擎检测，确认该访问请求安全后，再递交给原始的WEB服务器，对用户请求进行响应和回复。

网站运营者接入WAF，需要通过配置代理端口并设定地址映射规则，通过WAF防护引擎将用户请求转发到WEB服务器，而不是直接将WEB服务器暴露给用户进行访问，从而达到隐藏真实服务器的目的。

然而问题在于，云WAF系统高度依赖于云WAF的DNS服务器进行访问调度，以实现用户访问流量牵引，被防护网站的所有访问流量只有经过指定的DNS服务器解析后才会被转发到云WAF系统的防护节点引擎进行过滤。这样一来，如果黑客利用社会工程学或者找到该网站业务逻辑漏洞，例如通过在业务返回的信息中本身就存在该网站WEB服务器的源IP，或通过社会工程学手段和其他渗透技术手段获取到该业务WEB服务器的IP信息，然后通过伪造DNS服务器，或者本地绑定域名和该网站WEB服务器真实IP的方式，把夹带有恶意攻击的请求，直接发送给WEB服务器，实现从用户直接到WEB服务器访问，而不经过云WAF的检测，就可以轻松的绕过云WAF系统对原始服务器实施攻击，简单的过程如图1所示。

发明内容

本发明的目的是克服上述背景技术中不足，提供一种绕过云WAF的恶意请求的检测系统及方法，可有效有识别来自非云WAF引擎的恶意请求，减少云WAF被绕过的攻击情况，降低恶意攻击被漏报的几率。

为了达到上述的技术效果，本发明采取以下技术方案：

一种绕过云WAF的恶意请求的检测系统，包括：

云WAF引擎IP记录模块，用于在WEB端记录识别云WAF的端节点引擎IP并使用正则匹配的方式，提取WEB后端日志中引擎源地址IP，及添加云WAF端节点引擎并保存到数据库中；

流量镜像模块，用于在WEB服务器端对服务端口进行流量镜像并保存流量文件，及使用nDPI分析技术实时解析流量中的关键信息；

IP来源判断模块，用于定时读取WEB服务器中保存的云WAF引擎地址并作为云WAF标准引擎地址集合，及实时对比流量中解析出来的请求源地址，并判断该请求是来自云WAF引擎地址还是来自其他地址；

流量重放模块，用于将IP来源判断模块识别为不是来自于云WAF引擎地址的请求通过重放技术转发至云WAF引擎；