本申請實施例公開了一種安全訪問控制、網絡訪問規則的生成方法、裝置及設備，該安全訪問控制方法包括：當網絡訪問規則的更新條件滿足時，獲取當前允許進行網絡訪問的訪問請求對應的目標訪問請求日志；基于所述目標訪問請求日志生成網絡訪問規則，根據生成的網絡訪問規則更新當前的網絡訪問規則；基于更新后的所述網絡訪問規則，對接收到網絡訪問請求進行安全訪問控制。利用本申請實施例，可以通過生成的用于判定能夠進行網絡訪問的網絡訪問規則(即白名單)對訪問請求進行是否響應的檢測與判定，使得只有滿足該網絡訪問規則的訪問請求才可以被響應，從而避免新的漏洞或新的網絡攻擊形態造成的漏報，提高網絡訪問的安全性。

技術領域

本申請涉及計算機技術領域，尤其涉及一種安全訪問控制、網絡訪問規則的生成方法、裝置及設備。

背景技術

隨著Web應用的日益普遍，對Web應用的網絡攻擊也越來越多，如XSS(Cross SiteScripting，跨站腳本攻擊)、SQL(Structured Query Language，結構化查詢語言)注入等，同時Web應用的系統及依賴的基礎應用程序，出現的漏洞也是層出不窮。

WAF(Web Application Firewall)是抵御對Web應用的網絡攻擊的重要工具。WAF處于用戶與應用的后臺服務器之間，對網絡訪問請求進行實時安全檢測，阻斷各種網絡攻擊請求。目前WAF主要基于規則進行防御，即由安全運營人員根據已知的安全漏洞、攻擊案例，并結合自己的安全經驗，從中抽象出特征數據，形成用于檢測網絡攻擊的規則(即黑名單)，最后配置到WAF，實現安全檢測與防御。

但是，現有的規則生成方法，主要依賴安全運營人員的經驗生成，而一旦有新的網絡攻擊形態出現，就需要手工提取其中的特征，增加到上述規則中，然而，如果出現漏洞后，沒有及時更新上述規則，則WAF將無法檢測到相應形態的網絡攻擊，從而造成網絡攻擊出現漏報的情況，而且，現有的規則是針對攻擊特征構建，而漏洞會不斷出現，未知威脅層出不窮，盡管規則在不斷更新，但是安全問題卻始終無法得到徹底解決。

發明內容

本申請實施例的目的是提供一種安全訪問控制、網絡訪問規則的生成方法、裝置及設備，以實現避免新的漏洞或新的網絡攻擊形態造成的漏報，提高網絡訪問的安全性。

為解決上述技術問題，本申請實施例是這樣實現的：

本申請實施例提供一種安全訪問控制方法，所述方法包括：

當網絡訪問規則的更新條件滿足時，獲取當前允許進行網絡訪問的訪問請求對應的目標訪問請求日志；

基于所述目標訪問請求日志生成網絡訪問規則，根據生成的網絡訪問規則更新當前的網絡訪問規則；

基于更新后的所述網絡訪問規則，對接收到網絡訪問請求進行安全訪問控制。

可選地，所述預設的網絡訪問規則的更新條件包括以下中的一種或多種：當前時間距前一次更新網絡訪問規則的時間間隔達到預設值，和獲取的待分析的網絡訪問日志的數量達到預設值。

可選地，所述基于更新后的所述網絡訪問規則，對接收到網絡訪問請求進行安全訪問控制，包括：

如果接收到的所述網絡訪問請求與所述更新后的網絡訪問規則相匹配，則響應所述網絡訪問請求；

如果接收到的所述網絡訪問請求與所述更新后的網絡訪問規則不匹配，則拒絕響應所述網絡訪問請求。

可選地，所述根據生成的網絡訪問規則更新當前的網絡訪問規則，包括：

將所述當前的網絡訪問規則中未包含、而生成的網絡訪問規則中包含的規則內容添加到所述當前的網絡訪問規則，以更新當前的網絡訪問規則；和/或，

將所述當前的網絡訪問規則和生成的網絡訪問規則中包含的相同類別的不同規則內容進行合并，以更新當前的網絡訪問規則。