(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111355392.X (22)申请日 2021.11.16 (71)申请人 北京网宿科技有限公司 地址 100083 北京市海淀区学院路39号唯 实大厦6层 (72)发明人 陈水文　殷声芳　林燕文　 (74)专利代理 机构 北京华智 则铭知识产权代理 有限公司 1 1573 代理人 王昌贵 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) H04L 69/22(2022.01) (54)发明名称 误报检测方法、 设备及可读存 储介质 (57)摘要 本申请公开了一种误报检测方法、 设备及可 读存储介质， WAF自动确定访问日志集合并从访 问日志集合中确定出攻击日志得到攻击日志集 合， 从攻击日志集合中确定出包含目标状态码且 拦截状态为预设状态的攻击日志以得到攻击子 集， 对攻击子集中的攻击日志进行分析从而确定 出导致误报的安全策略。 采用该种方案， 通过自 动获取访问日志集合和攻击日志集合， 对攻击日 志中包含目标状态码和预设状态的攻击日志进 行分析， 自动确定出导致误报的安全策略， 不依 赖运维人员， 自动化 程度高、 效率高且准确率高。 权利要求书3页 说明书19页 附图10页 CN 114257403 A 2022.03.29 CN 114257403 A 1.一种误报检测方法， 其特 征在于， 包括： 确定访问日志集 合和攻击日志集 合， 所述攻击日志集 合是所述访问日志集 合的子集； 从所述攻击日志集合中确定出超文本传输协议HTTP状态码为目标状态码、 且拦截状态 为预设状态的攻击日志以得到攻击 子集； 根据所述 攻击子集确定导 致误报的安全策略。 2.根据权利要求1所述的方法， 其特征在于， 所述根据所述攻击子集确定导致误报的安 全策略， 包括： 确定分析粒度， 所述分析粒度包括IP粒度、 统一资源定位符URL粒度和攻击类型粒度中 的至少一个； 分析所述攻击子集， 以针对所述分析 粒度确定出导 致误报的安全策略。 3.根据权利要求2所述的方法， 其特征在于， 所述分析所述攻击子集， 以针对所述分析 粒度确定出导 致误报的安全策略， 包括： 当所述分析粒度为IP粒度时， 从所述攻击子集包含的各攻击日志中提取出IP地址， 以 得到至少一个IP地址； 对于所述至少一个IP地址中的每个IP地址， 根据所述IP地址查询所述访问日志集合以 确定出各IP地址对应的第一访问子集， 所述第一访问子集中的访问日志包含对应的IP地 址， 且所述第一访问子集中的各访问日志位于目标时间段范围内， 所述 目标时间段根据所 述攻击子集中首个包 含对应IP地址的攻击日志确定出； 根据所述至少一个IP地址中每个IP地址的第一访问子集， 从所述至少一个IP地址中确 定出目标IP地址， 所述目标IP地址的第一访问子集符合预设条件； 针对所述目标IP地址， 确定导 致误报的安全策略。 4.根据权利要求3所述的方法， 其特征在于， 所述针对所述目标IP地址， 确定导致误报 的安全策略， 包括： 当所述预设条件为所述第一访问子集中访问日志的数量与所述攻击子集中包含所述 目标IP地址的攻击日志的数量的比值超过第一阈值时， 从包含所述目标IP地址的第一访问 子集中提取 出攻击类型， 以得到 至少一个攻击类型； 针对所述目标IP地址， 当所述至少一个攻击类型对应的种类小于或等于第二阈值时， 确定所述第一访问子集中各访问日志包含的策略标识对应的安全策略为导致误报的安全 策略。 5.根据权利要求3所述的方法， 其特征在于， 所述针对所述目标IP地址， 确定导致误报 的安全策略， 包括： 当所述预设条件为所述第 一访问子集中访问日志的数量大于第 三阈值时， 从包含所述 目标IP地址的攻击日志中提取 出攻击类型， 以得到 至少一个攻击类型； 针对所述目标IP地址， 当所述至少一个攻击类型对应的种类小于或等于第 四阈值， 且 所述至少一个攻击类型中每种攻击类型的攻击数量大于第五 阈值时， 确定所述第一访问子 集中各访问日志包 含的策略标识对应的安全策略为 导致误报的安全策略。 6.根据权利要求5所述的方法， 其特 征在于， 还 包括： 当所述至少一个攻击类型对应的种类大于第四阈值， 和/或， 所述至少一个攻击类型中 存在攻击数量小于或等于第五 阈值的攻击类型时， 确定所述至少一个攻击类型中每种攻击权　利　要　求　书 1/3 页 2 CN 114257403 A 2类型的占比； 针对所述目标IP地址， 当所述至少一个攻击类型中存在占比大于第六阈值的攻击类型 时， 从所述第一访问子集中确定出包含占比大于第六阈值的攻击类型 的访问日志， 并提取 出策略标识， 以得到导 致误报的安全策略。 7.根据权利要求2所述的方法， 其特征在于， 所述分析所述攻击子集， 以针对所述分析 粒度确定导 致误报的安全策略， 包括： 当所述分析粒度为攻击类型时， 从所述攻击子集包含的各攻击日志中提取出攻击类 型， 以得到 至少一个攻击类型； 针对所述至少一个攻击类型中的目标攻击类型， 从包含所述目标攻击类型的攻击日志 中提取出策略标识， 以得到至少一个策略标识， 所述 目标攻击类型是所述至少一个攻击类 型中， 占比超过第七阈值， 且 对应的攻击日志的数量大于第八阈值的攻击类型； 针对所述目标攻击类型， 根据所述至少一个策略标识确定导 致误报的安全策略。 8.根据权利要求7所述的方法， 其特征在于， 所述针对所述目标攻击类型， 根据所述至 少一个策略标识确定导 致误报的安全策略， 包括： 针对所述至少一个策略标识中的目标策略标识， 从所述攻击子集中确定出包含所述目 标安全策略的攻击日志以得到第二访问子集， 所述目标策略标识为所述至少一个策略标识 中占比超过第九阈值的策略标识； 从所述第二访问子集包 含的各攻击日志中提取 出IP地址， 以得到 至少一个IP地址； 针对所述目标攻击类型， 根据所述至少一个IP地址中的每个IP地址确定导致误报的安 全策略。 9.根据权利要求8所述的方法， 其特征在于， 所述针对所述目标攻击类型， 根据所述至 少一个IP地址中的每 个IP地址确定导 致误报的安全策略， 包括： 根据所述至少一个IP地址中的每个IP地址查询所述访问日志集合， 以确定出第三访问 子集， 所述第三访问子集中的访问日志包 含所述至少一个IP地址中的任意 一个IP地址； 针对所述目标攻击类型， 当所述第三访 问子集为空时， 确定所述第二访 问子集中各访 问日志包 含的策略标识对应的安全策略为 导致误报的安全策略。 10.根据权利要求9所述的方法， 其特 征在于， 还 包括： 当所述第三访问子集不为空时， 从所述第 三访问子集包含的访问日志中提取出攻击类 型， 以得到 至少一个攻击类型； 当所述至少一个攻击类型对应的种类小于第十 阈值时， 确定所述第 三访问子集中各访 问日志包 含的策略标识对应的安全策略为 导致误报的安全策略。 11.根据权利要求9所述的方法， 其特 征在于， 还 包括： 当所述第三访问子集不为空时， 从所述第 三访问子集包含的访问日志中确定出非攻击 的业务请求对应的访问日志； 确定所述非攻击的业 务请求对应的访问日志的占比； 当所述占比大于第十一阈值 时， 确定所述第 三访问子集中各访问日志包含的策略标识 对应的安全策略为 导致误报的安全策略。 12.根据权利要求2所述的方法， 其特征在于， 所述分析所述攻击子集， 以针对所述分析 粒度确定导 致误报的安全策略， 包括：权　利　要　求　书 2/3 页 3 CN 114257403 A 3