WAF告警脚本的正则解析技巧

凌晨三点，安全运营中心的告警蜂鸣器突然安静了下来。这反常的宁静并非无事发生，而是意味着某条精心编写的正则表达式，刚刚从海量日志里精准地“捞出”了一条真正的攻击链，触发了自动化的阻断流程。对于安全工程师而言，编写WAF告警脚本中的正则表达式，与其说是一门技术，不如说是一场与攻击者思维的博弈，每一段模式匹配的背后，都藏着对流量和攻击手法的深刻理解。

精确制导：从“匹配”到“识别”的思维跃迁

新手最常犯的错误，是把正则写成“关键词探测器”。比如，一看到alert(就报XSS。攻击者稍微变个花样，用prompt(、confirm(，甚至Unicode编码，脚本就瞎了。高手的正则，构建的是攻击的模型而非实例。

以SQL注入检测为例，匹配union select太基础了。攻击者会用注释符拆分（uni/**/on sel/**/ect）、大小写混合（UnIoN SeLeCt）。更高级的脚本会这样写：

(?i)(?:us*ss*es*r|unionW+select).*?(?:from|where|0x)

这里用(?i)忽略大小写，用s*匹配任意空白，用W+匹配非单词字符（应对注释符），并关联后续的关键上下文（如from）。它匹配的是一种“试图联合查询并指定字段”的行为意图，而非固定的字符串。

边界定锚：避免“误伤友军”的关键

正则解析告警日志时，日志格式本身是固定的。解析src_ip: 192.168.1.1，蹩脚的正则src_ip:s*(.*)可能会错误地匹配到整行剩余内容。而精确的写法会锚定下一个已知的字段边界：

src_ip:s*([^s]+)s+dst_ip:

用[^s]+匹配非空字符，并立即期待下一个字段dst_ip:的出现。这确保了提取的IP地址不会越界，尤其在日志格式可能微调时，这种写法鲁棒性更强。原文脚本中提取uri时使用的(S{1,19})，其实隐含了对URI长度的大胆假设，在真实场景中可能是个脆弱的环节。

性能与深度：贪婪与非贪婪的取舍艺术

WAF脚本处理的是实时流。一个性能糟糕的正则可能让解析脚本本身成为瓶颈。贪婪匹配.*是性能杀手，它会一直“吃掉”字符直到字符串末尾，再无奈地回溯。

假设要从日志中提取被攻击的URL参数值，如id=1' AND '1'='1。用贪婪匹配：id=(.*)，它会一直匹配到行尾。而非贪婪匹配：id=(.*?)(?:&|s|$)，匹配到第一个参数分隔符（&）、空白或行尾就停止。后者在长日志行中的效率优势是指数级的。

但非贪婪不是万能的。当需要匹配嵌套结构或确切的尾部边界时，必须精确设计字符集。例如，识别可能闭合的SQL注入片段：'[^']*?(?:''[^']*?)*'，这个模式能正确处理像'O''Reilly'这样的合法转义单引号，避免误报。它比简单的'.*?'复杂，但精确度天差地别。

上下文关联：让告警“聪明”起来

单一的正则匹配往往只能发现“可疑片段”。真正的杀伤力在于关联。原文脚本中有一个精妙的细节：它不仅在匹配dir1路径，还同时检查了method是否为GET，并且event_type包含HTTP_Protocol_Validation。这是一个典型的多条件关联策略。

在正则层面，我们可以将这种关联前置。比如，一条正则可以同时捕获攻击载荷和攻击类型：

event_type:(Cross_Site_Scripting).*?uri:.*?(?:

src_ip:s*([^s]+).*?dst_ip:s*([^s]+).*?event_type:s*(Cross_Site_Scripting|SQL_Injection)