(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111585039.0 (22)申请日 2021.12.2 2 (71)申请人 天翼云科技有限公司 地址 100007 北京市东城区青龙胡同甲1 号、 3号2幢2层20 5-32室 (72)发明人 张枫漳　陈晓　方宏昊　施纯毅　 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) (54)发明名称 一种WEB应用防火墙规则检测方法、 装置及 电子设备 (57)摘要 本发明公开了一种WEB应用防火墙规则检测 方法、 装置及电子设备， 获取WEB应用防火墙规则 库的规则id， 并根据WEB应用防火墙规则库中每 一条规则的规则id对其对应的yaml文件进行命 名得到每一条规则对应的目标yaml文件； 在由多 条规则对应的目标yaml文件构成的yaml文件夹 中获取任 一目标yaml文件， 并根据yaml文件名称 在规则库中抽取对应文件名 称的规则生成新的 规则库并进行热加载； 依次抽取目标yaml文件中 的每一个安全漏洞对WEB应用防火墙发送 攻击请 求； 根据WEB应用防火墙处理攻击请求并将处理 结果输出到测试报 告中。 该方法根据yaml文件名 针对性的逐一抽取单条WEB应用防火墙规则， 精 准确定单 条WEB应用防火墙规则的有效性。 权利要求书2页 说明书7页 附图2页 CN 114448665 A 2022.05.06 CN 114448665 A 1.一种WEB应用防火墙规则检测方法， 其特 征在于， 包括如下步骤： 获取WEB应用防火墙规则库的规则id， 并根据所述WEB应用防火墙规则库中每一条规则 的规则id对其对应的yaml文件进行命名得到每一条规则对应的目标yaml文件； 在由多条规则对应的目标yaml文件构成的yaml文件夹中获取任一目标yaml文件， 并根 据所述目标yaml文件的文件名称在所述WEB应用防火墙规则库中抽取对应所述文件名称的 规则生成新的WEB应用防火墙规则库并进行 热加载； 利用socket重新封装后的模块获取所述目标yaml文件中的至少一个安全漏洞， 并依次 抽取每一个安全漏洞对WEB应用防火墙发送攻击请求； 根据所述WEB应用防火墙处理所述攻击请求并将返回的响应内容和状态码与目标yaml 文件中相 应的安全漏洞所对应预设响应内容和状态码进行比对并将比对结果输出到测试 报告中。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 当漏洞库中有新增安全漏洞时， 将所述新增安全漏洞补入到相应规则对应的目标yaml 文件中和/或对所述新增安全漏洞进 行标记后 将所述新增安全漏洞以及对应的标记补 入到 相应规则对应的目标yaml文件中。 3.根据权利要求1所述的方法， 其特征在于， 所述根据所述WEB应用防火墙处理所述攻 击请求并将返回的响应内容和 状态码与yaml预设响应内容和状态码进行比对并将比对结 果输出到测试报告中， 包括： 当所述返回的响应内容和状态码与对应的目标yaml文件中预设响应内容和状态码相 同， 输出拦截成功 记录到所述测试报告中； 当所述返回的响应内容和状态码与对应的目标yaml文件中预设响应内容和状态码不 同， 输出拦截失败记录 到所述测试报告中。 4.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 当所述目标yaml文件内的安全漏洞全部执行结束， 在 所述yaml文件夹中获取新的目标 yaml文件直至所述yaml文件夹下的安全漏洞全部循环结束。 5.一种WEB应用防火墙规则检测装置， 其特 征在于， 包括： 获取模块， 用于获取WEB应用防火墙规则库的规则id， 并根据所述WEB应用防火墙规则 库中每一条规则的规则id对其对应的yaml文件进行命名得到每一条规则对应的目标yaml 文件； 第一处理模块， 用于在由多条规则 对应的目标yaml文件构成的yaml文件夹中获取任一 目标yaml文件， 并根据所述目标yaml文件的文件名称在所述WEB应用防火墙规则库中抽取 对应所述文件名称的规则生成新的WEB应用防火墙规则库并进行 热加载； 第二处理模块， 用于利用socket重新封装后的模块获取所述目标yaml文件中的至少一 个安全漏洞， 并依次抽取每一个安全漏洞对WEB应用防火墙发送攻击请求； 比对模块， 用于根据所述WEB应用防火墙处理所述攻击请求并将返回的响应内容和状 态码与目标yaml文件中相应的安全漏洞所对应预设响应内容和 状态码进行比对并将比对 结果输出到测试报告中。 6.根据权利要求5所述的装置， 其特 征在于， 所述装置还 包括： 扩展模块， 用于当漏洞库中有新增安全漏洞时， 将所述新增安全漏洞补入到相应规则权　利　要　求　书 1/2 页 2 CN 114448665 A 2对应的目标yaml文件中和/或对 所述新增安全漏洞进 行标记后将所述新增安全漏洞以及 对 应的标记补入到相应规则对应的目标yaml文件中。 7.根据权利要求5所述的装置， 其特 征在于， 所述装置还 包括： 第一输出模块， 用于当所述返回的响应内容和状态码与对应的目标yaml文件中预设响 应内容和状态码相同， 输出拦截成功 记录到所述测试报告中； 第二输出模块， 用于当所述返回的响应内容和状态码与对应的目标yaml文件中预设响 应内容和状态码不同， 输出拦截失败记录 到所述测试报告中。 8.根据权利要求5所述的装置， 其特 征在于， 所述装置还 包括： 循环模块， 用于当所述目标yaml文件内的安全漏洞全部执行结束， 在所述yaml文件夹 中获取新的目标yaml文件直至所述yaml文件夹下的安全漏洞全部循环结束。 9.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机指 令， 所述计算机指令用于使所述计算机执行如权利要求1－4任一项所述的WEB应用防火墙 规则检测方法。 10.一种电子设备， 其特征在于， 包括： 存储器和处理器， 所述存储器和所述处理器之间 互相通信连接， 所述存储器存储有计算机指 令， 所述处理器通过执行所述计算机指令， 从而 执行如权利要求1－ 4任一项所述的WEB应用防火墙规则检测方法。权　利　要　求　书 2/2 页 3 CN 114448665 A 3