(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211210830.8 (22)申请日 2022.09.30 (71)申请人 北京知其 安科技有限公司 地址 102200 北京市昌平区回龙观东大街 318号院1号楼5层51 1(昌平示范园) (72)发明人 聂君　宫华　孟繁强　张践鳌　 姚逸　张游知　石天浩　吴佳波　 陈瑜　 (74)专利代理 机构 北京维正专利代理有限公司 11508 专利代理师 赵万凯 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 检测WAF拦截有效性的方法、 装置以及存储 介质 (57)摘要 本发明涉及信息安全技术领域， 具体涉及一 种检测WAF拦截有效性的方法、 装置以及存储介 质， 旨在解决人工检测拦截有效性时效率低下的 问题。 本发明的检测WAF拦截有效性的方法包括： 在原始请求中加入攻击载荷， 生成对应的攻击请 求； 向目标服务器发送原始请求， 并接收第一响 应结果； 向目标服务器发送攻击请求， 并接收第 二响应结果； 若第一响应结果收到且第二响应结 果未收到， 则根据发起攻击的TCP连接的状态判 断攻击请求是否已被拦截； 若第一响应结果和第 二响应结果均收到， 则根据第一响应结果与第二 响应结果的内容判断攻击请求是否已被拦截。 本 发明给出了一种简单、 高效的自动化测试方法， 有效降低了人力成本， 并大幅度提高了检测效 率。 权利要求书2页 说明书5页 附图3页 CN 115296932 A 2022.11.04 CN 115296932 A 1.一种检测WAF拦截有效性的方法， 其特 征在于， 所述方法包括： 在原始请求中加入攻击载荷， 生成对应的攻击请求； 向目标服务器发送所述原始请求， 并接收第一响应结果； 所述目标服务器为受所述WAF 保护的Web服 务器； 向所述目标服 务器发送所述 攻击请求， 并接收第二响应结果； 根据所述第一响应结果和所述第二响应结果， 判断所述 攻击请求是否被拦截。 2.根据权利要求1所述的检测WAF拦截有效性的方法， 其特征在于， 所述根据所述第一 响应结果和所述第二响应结果， 判断所述 攻击请求是否被拦截， 包括： 若所述第一响应结果收到， 且所述第二响应结果未收到， 则根据发起攻击的TCP连接的 状态判断所述 攻击请求是否已被拦截； 若所述第一响应结果和所述第 二响应结果均收到， 则根据 所述第一响应结果与所述第 二响应结果的内容判断所述 攻击请求是否已被拦截。 3.根据权利要求2所述的检测WAF拦截有效性的方法， 其特征在于， 所述根据发起攻击 的TCP连接的状态判断所述 攻击请求是否已被拦截， 包括： 若所述发起 攻击的TCP连接出错， 则确定所述 攻击请求已被拦截； 否则， 判断所述发起 攻击的TCP连接是否超时； 若超时， 则确定所述 攻击请求已被拦截； 否则， 确定所述 攻击请求疑似被拦截。 4.根据权利要求2所述的检测WAF拦截有效性的方法， 其特征在于， 所述根据所述第一 响应结果与所述第二响应结果的内容判断所述 攻击请求是否已被拦截， 包括： 判断所述第一响应结果中的状态码与所述第二响应结果中的状态码是否相同； 若是， 则根据 所述第一响应结果与 所述第二响应结果的内容相似度判断所述攻击请求 是否已被拦截； 否则， 确定所述 攻击请求已被拦截。 5.根据权利要求4所述的检测WAF拦截有效性的方法， 其特征在于， 所述根据所述第一 响应结果与所述第二响应结果的内容相似度判断所述 攻击请求是否已被拦截， 包括： 利用模糊哈希算法计算所述第一响应结果与所述第二响应结果的内容相似度； 若所述内容相似度小于或等于预设的阈值， 则确定所述攻击请求已被拦截； 否则， 确定 所述攻击请求未被拦截。 6.根据权利要求1所述的检测WAF拦截有效性的方法， 其特 征在于， 所述原始请求以及对应的所述 攻击请求均为多个； 所述方法还 包括： 记录所述攻击载荷对应的攻击类型和/或漏洞， 以及所述攻击请求是否被拦截的判断 结果。 7.一种检测WAF拦截有效性的装置， 其特 征在于， 所述装置包括： 攻击请求 生成单元， 用于在原 始请求中加入攻击载荷， 生成对应的攻击请求； 原始请求发送及接收单元， 用于向目标服务器发送所述原始请求， 并接收第一响应结 果； 所述目标服 务器为受所述 WAF保护的Web服 务器； 攻击请求发送及接收单元， 用于向所述目标服务器发送所述攻击请求， 并接收第二响权　利　要　求　书 1/2 页 2 CN 115296932 A 2应结果； 判断单元， 用于根据所述第一响应结果和所述第二响应结果， 判断所述攻击请求是否 被拦截。 8.根据权利要求7所述的检测WAF拦截有效性的装置， 其特征在于， 所述判断单元， 具体 配置为： 若所述第一响应结果收到， 且所述第二响应结果未收到， 则根据TCP连接状态判断所述 攻击请求是否已被拦截； 若所述第一响应结果和所述第 二响应结果均收到， 则根据 所述第一响应结果与所述第 二响应结果的内容判断所述 攻击请求是否已被拦截。 9.根据权利要求7 所述的检测WAF拦截有效性的装置， 其特 征在于， 所述原始请求以及对应的所述 攻击请求均为多个； 所述装置还 包括： 记录单元， 用于记录所述攻击载荷对应的攻击类型和/或漏洞， 以及所述攻击请求是否 被拦截的判断结果。 10.一种计算机可读存储介质， 其特征在于， 存储有能够被处理器加载并执行如权利要 求1‑6中任一项所述方法的计算机程序。权　利　要　求　书 2/2 页 3 CN 115296932 A 3