(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111347877.4 (22)申请日 2021.11.15 (71)申请人 四川启睿 克科技有限公司 地址 610000 四川省成 都市中国 （四川） 自 由贸易试验区成都高新区天府四街 199号1栋33层 (72)发明人 陈波　 (74)专利代理 机构 四川省成 都市天策商标专利 事务所(有限合 伙) 51213 代理人 赵以鹏 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/2455(2019.01) G06F 16/2458(2019.01) (54)发明名称 一种提升WAF规则匹配 速度的方法 (57)摘要 本发明公开了一种提升WAF规则匹配速度的 方法， 包括:将所有规则按照攻击类型或规则等 级进行分组； 根据规则分组数量创建同等数量的 规则服务； 通过规则引擎前置机将用户请求同时 发送给规则服务集群进行同时匹配； 前置机将集 群返回结果组装处理后返回给WAF。 通过分布式 规则引擎， 大大提高了WAF规则匹配性能， 从而整 个WAF的性能大 大提高。 权利要求书1页 说明书3页 附图1页 CN 114070615 A 2022.02.18 CN 114070615 A 1.一种提升WAF规则匹配速度的方法， 其特 征在于， 包括: 将所有规则按照攻击类型或规则等级 进行分组； 根据规则分组数量创建同等数量的规则服 务； 通过规则引擎前置 机将用户请求同时发送给规则服 务集群进行同时匹配； 前置机将集群返回结果组装处 理后返回给WAF。 2.根据权利要求1所述的一种提升WAF规则匹配速度的方法， 其特征在于， 所述攻击类 型或规则为： ss攻击， sql注入攻击， 恶意爬虫攻击， 会话攻击， 信息泄漏攻击， 应用漏洞攻 击， webshel l攻击， 跨站脚本攻击 。 3.根据权利要求1所述的一种提升WAF规则匹配速度的方法， 其特征在于， 所述根据规 则分组数量创建同等数量的规则服务， 包括： 规则引擎前置机通过api接口从WAF获取规则 及分组情况， 规则引擎前置机根据规则的分组数量， 采用docker的方式运行基础镜像创建 同等数量的规则集群服 务。 4.根据权利要求1所述的一种提升WAF规则匹配速度的方法， 其特征在于， 所述通过规 则引擎前置机将用户请求同时发送给规则服务集群进行同时匹配， 包括： 在规则引擎前置 机中记录每个规则服务的ip地址及 端口， 同时通过docker ‑e的方式将规则引擎前置机的ip 端口记录 到每个规则服 务中。 5.根据权利要求3所述的一种提升WAF规则匹配速度的方法， 其特征在于， 所述通过规 则引擎前置机将用户请求同时发送给规则服务集群进 行同时匹配， 包括： WAF获取到用户的 http(s)请求， 将请求url， 请求头， 请求体内容发送给规则引擎前置机， 规则引擎前置机将 收到的数据通过记录的集群的ip地址及端口号， 通过http的方式发送给规则引擎集群， 每 个规则服 务收到请求后同时执 行规则匹配任务。 6.根据权利要求1所述的一种提升WAF规则匹配速度的方法， 其特征在于， 所述前置机 将集群返回结果组装处理后返回给WAF， 包括： 规则引擎每个规则服务收到请求后立即执行 规则匹配任务， 执行结束后将结果返回给规则引擎前置机； 规则引擎前置机 收到所有规则 服务返回信息后， 将结果进行组装并返回给WAF端。权　利　要　求　书 1/1 页 2 CN 114070615 A 2一种提升WAF规则匹配速度的方 法 技术领域 [0001]本发明涉及信息安全技 术领域， 具体涉及一种提升WAF规则匹配速度的方法。 背景技术 [0002]WAF(Web Application  Firewall， 网络应用防火墙)设备是一种用于对提供网络 应用的服务进 行安全防护的设备。 WAF设备对网络是否进行拦截， 主要是依据WAF中的规则， 为了实现对各种攻击的防御能力， WAF中通常有成千上万的规则； 而规则主要为正则表达 式， WAF通过这些正则表达式来匹配网络请求中的请求ur l， 请求头， 请求体等能否匹配到相 关字符串， 若匹配到则进行拦截， 并将匹配到的请求数据存储用于前端展示。 因此WAF系统 性能的好坏， 规则匹配的性能极其重要。 [0003]现有技术中， WAF对规则匹配通常采用的方式为： 1.获取系统中配置的所有规则。 2.遍历所有规则， 将请求数据与规则进行匹配。 3.遍历完所有规则将匹配到的数据进行返 回。 随着规则库越来越大， 规则条目越来越多， 这种方式会使得规则匹配速度越来越慢。 发明内容 [0004]为解决WA F对规则进行逐个遍历匹配带来的性能问题， 本专利采用一种提升WA F规 则匹配速度的方法， 在各个分布式系统中规则匹配同时进行将极大地缩短规则匹配时间， 从而提升WAF的规则匹配性能。 [0005]为了实现上述目的， 本发明采用以下技 术方案： [0006]一种提升WAF规则匹配速度的方法， 包括: [0007]将所有规则按照攻击类型或规则等级 进行分组； [0008]根据规则分组数量创建同等数量的规则服 务； [0009]通过规则引擎前置 机将用户请求同时发送给规则服 务集群进行同时匹配； [0010]前置机将集群返回结果组装处 理后返回给WAF。 [0011]在一些实施例中， 所述攻击类型或规则为： ss攻击， sql注入攻击， 恶意爬虫攻击， 会话攻击， 信息泄漏攻击， 应用漏洞攻击， webshel l攻击， 跨站脚本攻击 。 [0012]在一些实施例中， 所述根据规则分组数量创建同等数量的规则服务， 包括： 规则引 擎前置机通过api接口从WAF获取规则及分组情况， 规则引擎前置机根据规则的分组数量， 采用docker的方式运行基础镜像创建同等数量的规则集群服 务。 [0013]在一些实施例中， 所述通过规则引擎前置机将用户请求同时发送给规则服务集群 进行同时匹配， 包括： 在规则引擎前置机中记录每个规则服务的ip地址及端口， 同时通过 docker‑e的方式将规则引擎前置 机的ip端口记录 到每个规则服 务中。 [0014]在一些实施例中， 所述通过规则引擎前置机将用户请求同时发送给规则服务集群 进行同时匹配， 包括： WAF获取到用户的http(s)请求， 将请求url， 请求头， 请求体内容发送 给规则引擎前置机， 规则引擎前置机将收到的数据通过记录的集群的ip地址及端口号， 通 过http的方式发送给规则引擎 集群， 每个规则服 务收到请求后同时执 行规则匹配任务。说　明　书 1/3 页 3 CN 114070615 A 3