CN111914998A - 服务器攻击信息生成器的训练方法及装置 - Google Patents
服务器攻击信息生成器的训练方法及装置 Download PDFInfo
- Publication number
- CN111914998A CN111914998A CN202010745058.4A CN202010745058A CN111914998A CN 111914998 A CN111914998 A CN 111914998A CN 202010745058 A CN202010745058 A CN 202010745058A CN 111914998 A CN111914998 A CN 111914998A
- Authority
- CN
- China
- Prior art keywords
- information
- server
- attack information
- attack
- generator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/049—Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及一种服务器攻击信息生成器的训练方法及装置。所述方法包括根据服务器攻击信息生成器中的预设样本信息生成第一攻击信息,并将第一攻击信息发送至网页服务器;接收网页服务器中的网页应用防火墙根据第一攻击信息反馈的反馈信息;根据反馈信息对服务器攻击信息生成器进行训练;通过网页服务器中的网页应用防火墙反馈的反馈信息对服务器攻击信息生成器进行训练,能够降低训练服务器攻击信息生成器所需的计算量并且为服务器攻击信息生成器生成攻击信息提供了指导方向,有助于提高攻击信息攻击服务器的成功率。
Description
技术领域
本公开涉及网络安全领域,尤其涉及一种服务器攻击信息生成器的训练方法及装置。
背景技术
随着技术发展,网页的功能越来越丰富,网页服务器因其强大的计算能力,处理性能,具有较高价值,成为主要的攻击目标。
现有技术主要是通过网页应用防火墙保护网页服务器不受攻击。现有的网页应用防火墙主要是通过执行一系列针对超文本传输协议的安全策略,实现对网页应用防火墙的保护。但是现有的网页应用防火墙是通过预设的防护规则库防护已知的服务器攻击,无法应对未知的服务器攻击。
发明内容
有鉴于此,本公开提出了一种服务器攻击信息生成器的训练方法,所述方法包括:
根据所述服务器攻击信息生成器中的预设样本信息生成第一攻击信息,并将所述第一攻击信息发送至网页服务器,其中,所述预设样本信息包括网页服务器攻击信息,所述第一攻击信息用于攻击所述网页服务器;
接收所述网页服务器中的网页应用防火墙根据所述第一攻击信息反馈的反馈信息,其中,所述反馈信息用于指示所述网页应用防火墙对所述第一攻击信息的识别结果;
根据所述反馈信息对所述服务器攻击信息生成器进行训练。
在一种可能的实现方式中,所述服务器攻击信息生成器包括生成对抗网络模型。
在一种可能的实现方式中,根据所述反馈信息对所述服务器攻击信息生成器进行训练,包括:
根据所述生成对抗网络模型中的生成器的第一损失函数的值和判别器的第二损失函数的值,分别对所述生成器和所述判别器的参数进行调整;
在所述第一损失函数的值和所述第二损失函数的值分别满足收敛条件时,完成所述服务器攻击信息生成器的训练;
其中,所述第一损失函数和所述第二损失函数分别通过所述反馈信息构建。
在一种可能的实现方式中,所述方法还包括:
利用训练后的服务器攻击信息生成器生成第二攻击信息,所述第二攻击信息用于绕过所述网页应用防火墙攻击所述网页服务器,并且所述第二攻击信息用于保存至所述网页应用防火墙的预设攻击信息库中。
在一种可能的实现方式中,第一攻击信息和第二攻击信息包括服务器访问请求信息。
根据本公开的另一方面,提供了一种服务器攻击信息生成器的训练装置,所述装置包括:
第一生成模块,用于根据所述服务器攻击信息生成器中的预设样本信息生成第一攻击信息,并将所述第一攻击信息发送至网页服务器,其中,所述预设样本信息包括网页服务器攻击信息,所述第一攻击信息用于攻击所述网页服务器;
接收模块,用于接收所述网页服务器中的网页应用防火墙根据所述第一攻击信息反馈的反馈信息,其中,所述反馈信息用于指示所述网页应用防火墙对所述第一攻击信息的识别结果;
训练模块,用于根据所述反馈信息对所述服务器攻击信息生成器进行训练。
在一种可能的实现方式中,所述服务器攻击信息生成器包括生成对抗网络模型。
在一种可能的实现方式中,所述训练模块根据所述反馈信息对所述服务器攻击信息生成器进行训练,包括:
根据所述生成对抗网络模型中的生成器的第一损失函数的值和判别器的第二损失函数的值,分别对所述生成器和所述判别器的参数进行调整;
在所述第一损失函数的值和所述第二损失函数的值分别满足收敛条件时,完成所述服务器攻击信息生成器的训练;
其中,所述第一损失函数和所述第二损失函数分别通过所述反馈信息构建。
在一种可能的实现方式中,所述装置还包括第二生成模块,所述第二生成模块用于利用训练后的服务器攻击信息生成器生成第二攻击信息,所述第二攻击信息用于绕过所述网页应用防火墙攻击所述网页服务器,并且所述第二攻击信息用于保存至所述网页应用防火墙的预设攻击信息库中。
在一种可能的实现方式中,第一攻击信息和第二攻击信息包括服务器访问请求信息。
通过网页服务器中的网页应用防火墙反馈的反馈信息对服务器攻击信息生成器进行训练,能够降低训练服务器攻击信息生成器所需的计算量并且为服务器攻击信息生成器生成攻击信息提供了指导方向,有助于提高攻击信息攻击服务器的成功率。通过训练后的服务器攻击信息生成器所生成的攻击信息,能够模拟对服务器的未知攻击,有利于提高网页应用防火墙的防御性能。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出根据本公开实施例的服务器攻击信息生成器的训练方法的流程示意图。
图2示出根据本公开实施例的服务器攻击信息生成器的训练装置的框图。
图3示出根据本公开实施例的服务器攻击信息生成器的训练装置的结构示意图。
图4示出根据本公开实施例的服务器攻击信息生成器的训练系统的结构示意图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
图1示出根据本公开实施例的服务器攻击信息生成器的训练方法的流程示意图。如图1所示,所述方法包括:
步骤S101,根据所述服务器攻击信息生成器中的预设样本信息生成第一攻击信息,并将所述第一攻击信息发送至网页服务器;
步骤S102,接收所述网页服务器中的网页应用防火墙根据所述第一攻击信息反馈的反馈信息;
步骤S103,根据所述反馈信息对所述服务器攻击信息生成器进行训练。
在一种可能的实现方式中,服务器攻击信息生成器可以包括生成对抗网络模型,生成对抗网络模型可以包括生成器和鉴别器,生成器和鉴别器可以由RNN(RecurrentNeural Network,循环神经网络)组成,采用LSTM(Long Short Term Memory,长短期记忆网络)结构。
示例性地,生成器用于根据生成对抗网络模型中的预设样本信息生成新的样本信息,并将所生成的新的样本信息发送至鉴别器;鉴别器用于鉴别生成器所发送的样本信息属于真实样本信息还是伪造的样本信息。
需要说明的是,生成对抗网络模型中的预设样本信息可以根据应用场景相适应性调整。示例性地,预设样本信息可以包括图片、文本、网页服务器攻击信息等信息,本公开实施例对预设样本信息的类型不作限定。生成器所生成的新的样本信息可以是伪造的信息,也即与预设样本信息具有相同或者相似特征,以使鉴别器难以鉴别生成器所生成的新的样本信息是否为伪造的信息;鉴别器的鉴别结果可以用0-1之间的参数表示,示例性地,1可以表示真实样本信息,0可以表示伪造的样本信息。
在一种可能的实现方式中,网页应用防火墙可以对来自网页应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为网页应用提供防护。
示例性地,网页应用防火墙可以通过执行一系列针对超文本传输协议的安全策略来专门为网页应用提供保护,具体地,网页应用防火墙可以对基于超文本传输协议请求的内容进行规则匹配、行为识别,通过解析超文本传输协议的数据,在不同的字段分别在特征、规则等维度进行判断,判断基于超文本传输协议请求的内容是否为网页入侵等网页攻击行为。
示例性地,网页应用防火墙可以采用开源的Open WAF(Web ApplicationFirewall,网页应用防火墙)引擎,Open WAF引擎是全方位开源的网页应用防护系统,可以分析超文本传输协议请求信息,由行为分析引擎和规则引擎构成。
其中,行为分析引擎主要负责对跨请求信息进行追踪,行为分析引擎可以包括防探测模块、防攻击模块以及防信息泄露模块等,其中,防探测模块具有基于频率进行模糊识别、防止恶意爬虫攻击以及进行人机识别等功能;防攻击模块具有防CSRF(Cross-siterequest forgery,跨站请求伪造)攻击、防提权攻击等功能;防信息泄露模块具有防止cookie(保存在客户端的纯文本文件)被篡改等功能。
规则引擎主要对单个超文本传输协议请求信息进行分析,规则引擎可以进行服务器访问协议规范、防止注入攻击、阻止异常访问请求等功能。
在一种可能的实现方式中,在步骤S101中,可以根据服务器攻击信息生成器中的预设样本信息生成第一攻击信息,并将第一攻击信息发送至网页服务器。
示例性地,预设样本信息和第一攻击信息用于攻击网页服务器,预设样本信息和第一攻击信息可以包括服务器访问流量特征参数,示例性地,服务器访问流量特征参数可以包括注入攻击信息(例如SQL(Structured Query Language,结构化查询语言)注入攻击)、跨站攻击信息(例如CSS(Cross Site Scripting)攻击)、网络爬虫信息等,本公开实施例对预设样本信息和第一攻击信息的类型不作限定。
在一种可能的实现方式中,服务器攻击信息生成器可以包括生成对抗网络模型。示例性地,可以通过生成对抗网络模型中的生成器,并根据服务器攻击信息生成器中的预设样本信息生成第一攻击信息。
在一种可能的实现方式中,生成器可以包括噪声生成器,噪声生成器用于生成噪声信息。根据服务器攻击信息生成器中的预设样本信息生成第一攻击信息可以包括:
通过提取预设样本信息的特征信息,并将所提取的特征信息输入生成器中,根据特征信息以及噪声信息生成第一攻击信息,其中,第一攻击信息具有与预设样本信息相同或者相似的特征。
根据服务器攻击信息生成器中的预设样本信息所生成的第一攻击信息,具有与预设样本信息相同或者相似的特征,有利于提高第一攻击信息攻击服务器成功的概率。
在一种可能的实现方式中,在步骤S102中,接收网页服务器中的网页应用防火墙根据第一攻击信息反馈的反馈信息,其中,反馈信息用于指示网页应用防火墙对第一攻击信息的识别结果。
示例性地,网页应用防火墙能够识别服务器访问信息是否为正常的访问信息。具体地,若网页应用防火墙判断服务器访问信息是正常的访问信息,网页应用防火墙则允许该服务器访问请求信息通过;若网页应用防火墙判断服务器访问请求信息是服务器攻击信息,网页应用防火墙则阻断该服务器访问请求信息。
网页应用防火墙反馈的反馈信息能够表明生成器所生成的第一攻击信息能否绕过网页应用防火墙,为后续训练服务器攻击信息生成器提供了指导方向。
在一种可能的实现方式中,在步骤S103中,根据反馈信息对服务器攻击信息生成器进行训练。
示例性地,对服务器攻击信息生成器进行训练可以包括对生成器和鉴别器进行训练。其中,生成器的训练目标可以包括鉴别器无法鉴别出生成器所生成的第一攻击信息是真实的信息还是伪造的信息,以及生成器所生成的第一攻击信息能够绕过网页应用防火墙,成功攻击服务器;鉴别器的训练目标可以包括鉴别器能够准确鉴别出输入鉴别器的信息是真实的信息还是伪造的信息。
在没有引入反馈信息的情况下,对服务器攻击信息生成器进行训练,只能通过多次重复迭代,直至生成器和鉴别器对应的损失函数的值满足收敛条件;通过引入反馈信息对服务器攻击信息生成器进行训练,能够有效降低迭代次数,降低训练服务器攻击信息生成器所需的计算量。
在一种可能的实现方式中,根据反馈信息对服务器攻击信息生成器进行训练,包括
根据所述生成对抗网络模型中的生成器的第一损失函数的值和判别器的第二损失函数的值,分别对所述生成器和所述判别器的参数进行调整;
在所述第一损失函数的值和所述第二损失函数的值分别满足收敛条件时,完成所述服务器攻击信息生成器的训练;
其中,所述第一损失函数和所述第二损失函数可以分别通过所述反馈信息构建。示例性地,生成器的第一损失函数可以如下公式(1)所示:
公式(1):
其中,G表示生成器,E表示期望函数,z表示噪声信息,G(z)表示第一攻击信息,D(G(z))表示鉴别器对第一攻击信息的鉴别结果,其中,z可以包括反馈信息;
鉴别器的第二损失函数可以如下公式(2)所示:
公式(2):
其中,D表示鉴别器,x表示某个预设样本信息,pdata表示预设样本信息的集合,D(x)表示鉴别器对预设样本信息的鉴别结果。
示例性地,JG的值越大,说明生成器的生成能力越强,所生成的信息越接近于真实信息;JD的值越小,说明鉴别器的鉴别能力越强,越能区分伪造信息和真实信息。
生成器可以采用启发式方法生成第一攻击信息,生成器的第一损失函数的噪声信息中可以包括反馈信息,反馈信息能够为生成器生成第一攻击信息提供指导方向,增加第一攻击信息绕过网页应用防火墙攻击服务器的成功率,使得生成器的第一损失函数的值更好地反映生成器的输出质量。
同样地,反馈信息能够指导鉴别器鉴别何种信息是伪造信息,从而提高鉴别器的鉴别能力,进而促使生成器生成更加接近于真实信息的伪造信息。
示例性地,反馈信息可以包括网络流特征,例如访问持续时间、访问信息字节数、访问时间戳、超文本传输协议的协议字段等,可以将网络流特征转换为时间序列,并将其作为生成器和鉴别器的输入变量,用于对生成对抗网络模型进行训练,并且能够促使生成器生成更加接近真实信息的伪造信息。
示例性地,第一损失函数的收敛条件可以包括生成器所生成的信息输入到鉴别器中,鉴别器判断其为为真实信息;第二损失函数的收敛条件可以包括鉴别器无法判定生成器所生成的信息的真伪。
在一种可能的实现方式中,在步骤S103之后,本公开实施例的方法还可以包括:
利用训练后的服务器攻击信息生成器生成第二攻击信息,所述第二攻击信息用于绕过所述网页应用防火墙攻击所述网页服务器,并且所述第二攻击信息用于保存至所述网页应用防火墙的预设攻击信息库中。
示例性地,第一攻击信息和第二攻击信息可以包括服务器访问请求信息。训练后的服务器攻击信息生成器所生成的第二攻击信息能够在网页应用防火墙认为其是正常服务器访问信息的情况下,攻击服务器,能够很好地模拟未知的服务器攻击信息,通过将第二攻击信息保存至网页应用防火墙的预设攻击信息库中,可以帮助网页应用防火墙更新预设攻击信息库,增强网页应用防火墙对未知攻击的拦截能力。
本公开实施例的服务器攻击信息生成器的训练方法,通过网页服务器中的网页应用防火墙反馈的反馈信息对服务器攻击信息生成器进行训练,能够降低训练服务器攻击信息生成器所需的计算量并且为服务器攻击信息生成器生成攻击信息提供了指导方向,有助于提高攻击信息攻击服务器的成功率。利用训练后的服务器攻击信息生成器生成第二攻击信息,并将第二攻击信息保存至网页应用防火墙的预设攻击信息库中,可以帮助网页应用防火墙更新预设攻击信息库,增强网页应用防火墙对未知攻击的拦截能力。
图2示出根据本公开实施例的服务器攻击信息生成器的训练装置的框图。如图2所示,所述装置包括服务器攻击信息生成器21,信息交互器22以及服务器23。
其中,服务器攻击信息生成器21可以包括生成器211和鉴别器212,服务器攻击信息生成器21用于生成攻击信息攻击服务器23。
信息交互器22用于接收服务器攻击信息生成器21发送的攻击信息,并将该攻击信息发送至服务器23;信息交互器22还用于接收服务器23根据攻击信息反馈的反馈信息,并将该反馈信息发送至服务器攻击信息生成器21。
服务器23可以包括网页应用防火墙231,网页应用防火墙231用于判断信息交互器22发送的攻击信息是否为正常的访问信息。具体地,若网页应用防火墙231判断攻击信息是正常的访问信息,网页应用防火墙231则允许该攻击信息通过;若网页应用防火墙231判断攻击信息用于攻击服务器23,网页应用防火墙231则阻断攻击信息访问服务器23。
图3示出根据本公开实施例的服务器攻击信息生成器的训练装置的结构示意图。如图3所示,所述装置包括:
第一生成模块31,用于根据所述服务器攻击信息生成器中的预设样本信息生成第一攻击信息,并将所述第一攻击信息发送至网页服务器,其中,所述预设样本信息包括网页服务器攻击信息,所述第一攻击信息用于攻击所述网页服务器;
接收模块32,用于接收所述网页服务器中的网页应用防火墙根据所述第一攻击信息反馈的反馈信息,其中,所述反馈信息用于指示所述网页应用防火墙对所述第一攻击信息的识别结果;
训练模块33,用于根据所述反馈信息对所述服务器攻击信息生成器进行训练。
在一种可能的实现方式中,所述服务器攻击信息生成器包括生成对抗网络模型。
在一种可能的实现方式中,所述训练模块33根据所述反馈信息对所述服务器攻击信息生成器进行训练,包括:
根据所述生成对抗网络模型中的生成器的第一损失函数的值和判别器的第二损失函数的值,分别对所述生成器和所述判别器的参数进行调整;
在所述第一损失函数的值和所述第二损失函数的值分别满足收敛条件时,完成所述服务器攻击信息生成器的训练;
其中,所述第一损失函数和所述第二损失函数分别通过所述反馈信息构建。
在一种可能的实现方式中,所述装置还包括第二生成模块,所述第二生成模块用于利用训练后的服务器攻击信息生成器生成第二攻击信息,所述第二攻击信息用于绕过所述网页应用防火墙攻击所述网页服务器,并且所述第二攻击信息用于保存至所述网页应用防火墙的预设攻击信息库中。
在一种可能的实现方式中,第一攻击信息和第二攻击信息包括服务器访问请求信息。
图4示出根据本公开实施例的服务器攻击信息生成器的训练系统的结构示意图。如图4所示,所述系统包括生成对抗网络模型41(服务器攻击信息生成器21的示例)、网页服务组件42、策略绕过发生器43(网页服务组件42、策略绕过发生器43共同构成信息交互器22的示例)以及网页服务器44(服务器23的示例)。其中,生成对抗网络模型41可以包括生成器411和鉴别器412,网页服务器44可以包括网页应用防火墙441以及网页应用442。
示例性地,生成对抗网络模型41能够通过预设的样本信息生成攻击信息,其中,攻击信息用于攻击网页服务器44。攻击信息通过网页服务组件42发送至策略绕过发生器43,再由策略绕过发生器43发送至网页服务器44。网页服务器44中的网页应用防火墙441识别攻击信息是否用于攻击服务器,并将反馈信息经由策略绕过发生器43发送至生成对抗网络模型41,通过反馈信息训练生成对抗网络模型41。
在一种可能的实现方式中,生成对抗网络模型41包括生成器411和鉴别器412,其中,生成器411和鉴别器412可以由循环神经网络构成,使用长短期记忆结构。生成器411和鉴别器412的损失函数可以分别如前述公式(1)和公式(2)所示,在此不再赘述。
但是损失函数无法准确地反映生成器411所生成的攻击信息的攻击有效性,可以通过引入网页应用防火墙441对攻击信息的反馈信息对生成对抗网络模型41进行训练。
在一种可能的实现方式中,网页服务组件42用于在生成对抗网络模型41与策略绕过发生器43之间进行信息交互。示例性地,网页服务组件42可以包括两个API(ApplicationProgramming Interface,应用程序接口),分别是获取参数接口和反馈信息接口。
其中,获取参数接口能够获取生成器411生成的攻击信息,并将该攻击信息以json格式发送至策略绕过发生器43,然后由策略绕过发生器43将攻击信息发送至网页服务器44,尝试绕过网页应用防火墙441;反馈信息接口能够获取网页应用防火墙441对攻击信息的反馈信息,并将反馈信息反馈至生成器411和鉴别器412,根据反馈信息对生成对抗网络模型41进行训练。
在一种可能的实现方式中,策略绕过发生器43能够通过API向生成对抗网络模型41发起请求,请求获取生成对抗网络模型41生成的攻击信息,并将该攻击信息发送至网页服务器44;此外,策略绕过发生器43还可以获取网页应用防火墙441对攻击信息的反馈信息,并将该信息反馈生成对抗网络模型41。可以通过与生成对抗网络模型41进行多次信息交互,帮助生成对抗网络模型41改变攻击策略(例如,调整攻击的时间、攻击频率以及攻击周期等),以使生成对抗网络模型41所生成的攻击信息能够绕过网页应用防火墙441。
在一种可能的实现方式中,网页服务器44用于提供正常的网页服务,在本公开实施例中可以将其看作是被攻击的目标。网页服务器44中可以配置网页应用防火墙441,同时部署Open WAF引擎,Open WAF引擎的防护策略可以采用默认的Open WAF防护配置,能够对一般的注入攻击、跨站攻击、信息泄露等攻击进行防护。如果用户进行正常的访问,则提供正常的网页服务;如果网页应用防火墙441检测到攻击,则阻断用户访问。
在一种可能的实现方式中,网页应用防火墙441的功能包括发现并阻断疑似对网页服务器44的攻击。其中,网页应用防火墙441可以采用开源的Open WAF引擎。Open WAF引擎是第一个全方位开源的网页应用防护系统,由行为分析引擎和规则引擎构成,其可以基于Nginx应用程序接口分析超文本传输协议请求信息。
其中,规则引擎的启发来自mod–security以及free-waf,将mod–security的规则机制通过lua实现。基于规则引擎可以进行协议规范、自动工具、注入攻击、跨站攻击、信息泄露、异常请求等安全防护,支持动态添加规则,能够及时修补网页服务器漏洞。
行为分析引擎包含基于频率的模糊识别、防恶意爬虫、人机识别等防探测模块,以及防CSRF(Cross-site request forgery,跨站请求伪造)攻击、防提权、文件上传防护等防攻击模块,以及cookie防篡改、防盗链、自定义响应头、攻击响应页面等防信息泄露模块。
本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (10)
1.一种服务器攻击信息生成器的训练方法,其特征在于,所述方法包括:
根据所述服务器攻击信息生成器中的预设样本信息生成第一攻击信息,并将所述第一攻击信息发送至网页服务器,其中,所述预设样本信息包括网页服务器攻击信息,所述第一攻击信息用于攻击所述网页服务器;
接收所述网页服务器中的网页应用防火墙根据所述第一攻击信息反馈的反馈信息,其中,所述反馈信息用于指示所述网页应用防火墙对所述第一攻击信息的识别结果;
根据所述反馈信息对所述服务器攻击信息生成器进行训练。
2.根据权利要求1所述的方法,其特征在于,所述服务器攻击信息生成器包括生成对抗网络模型。
3.根据权利要求2所述的方法,其特征在于,根据所述反馈信息对所述服务器攻击信息生成器进行训练,包括:
根据所述生成对抗网络模型中的生成器的第一损失函数的值和判别器的第二损失函数的值,分别对所述生成器和所述判别器的参数进行调整;
在所述第一损失函数的值和所述第二损失函数的值分别满足收敛条件时,完成所述服务器攻击信息生成器的训练;
其中,所述第一损失函数和所述第二损失函数分别通过所述反馈信息构建。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
利用训练后的服务器攻击信息生成器生成第二攻击信息,所述第二攻击信息用于绕过所述网页应用防火墙攻击所述网页服务器,并且所述第二攻击信息用于保存至所述网页应用防火墙的预设攻击信息库中。
5.根据权利要求1至4任一项所述的方法,其特征在于,第一攻击信息和第二攻击信息包括服务器访问请求信息。
6.一种服务器攻击信息生成器的训练装置,其特征在于,所述装置包括:
第一生成模块,用于根据所述服务器攻击信息生成器中的预设样本信息生成第一攻击信息,并将所述第一攻击信息发送至网页服务器,其中,所述预设样本信息包括网页服务器攻击信息,所述第一攻击信息用于攻击所述网页服务器;
接收模块,用于接收所述网页服务器中的网页应用防火墙根据所述第一攻击信息反馈的反馈信息,其中,所述反馈信息用于指示所述网页应用防火墙对所述第一攻击信息的识别结果;
训练模块,用于根据所述反馈信息对所述服务器攻击信息生成器进行训练。
7.根据权利要求6所述的装置,其特征在于,所述服务器攻击信息生成器包括生成对抗网络模型。
8.根据权利要求7所述的装置,其特征在于,所述训练模块根据所述反馈信息对所述服务器攻击信息生成器进行训练,包括:
根据所述生成对抗网络模型中的生成器的第一损失函数的值和判别器的第二损失函数的值,分别对所述生成器和所述判别器的参数进行调整;
在所述第一损失函数的值和所述第二损失函数的值分别满足收敛条件时,完成所述服务器攻击信息生成器的训练;
其中,所述第一损失函数和所述第二损失函数分别通过所述反馈信息构建。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括第二生成模块,所述第二生成模块用于利用训练后的服务器攻击信息生成器生成第二攻击信息,所述第二攻击信息用于绕过所述网页应用防火墙攻击所述网页服务器,并且所述第二攻击信息用于保存至所述网页应用防火墙的预设攻击信息库中。
10.根据权利要求6至9中任一项所述的装置,其特征在于,第一攻击信息和第二攻击信息包括服务器访问请求信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010745058.4A CN111914998A (zh) | 2020-07-29 | 2020-07-29 | 服务器攻击信息生成器的训练方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010745058.4A CN111914998A (zh) | 2020-07-29 | 2020-07-29 | 服务器攻击信息生成器的训练方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111914998A true CN111914998A (zh) | 2020-11-10 |
Family
ID=73287738
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010745058.4A Pending CN111914998A (zh) | 2020-07-29 | 2020-07-29 | 服务器攻击信息生成器的训练方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111914998A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113076539A (zh) * | 2021-04-13 | 2021-07-06 | 郑州信息科技职业学院 | 一种基于大数据的计算机安全防护系统 |
-
2020
- 2020-07-29 CN CN202010745058.4A patent/CN111914998A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113076539A (zh) * | 2021-04-13 | 2021-07-06 | 郑州信息科技职业学院 | 一种基于大数据的计算机安全防护系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10366231B1 (en) | Framework for classifying an object as malicious with machine learning for deploying updated predictive models | |
| RU2668710C1 (ru) | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике | |
| US11122061B2 (en) | Method and server for determining malicious files in network traffic | |
| Aborujilah et al. | Cloud‐Based DDoS HTTP Attack Detection Using Covariance Matrix Approach | |
| Shurman et al. | IoT denial-of-service attack detection and prevention using hybrid IDS | |
| Ndibwile et al. | Web server protection against application layer DDoS attacks using machine learning and traffic authentication | |
| US20080295169A1 (en) | Detecting and defending against man-in-the-middle attacks | |
| US9462011B2 (en) | Determining trustworthiness of API requests based on source computer applications' responses to attack messages | |
| US10373135B2 (en) | System and method for performing secure online banking transactions | |
| CN110598404A (zh) | 安全风险监控方法、监控装置、服务器和存储介质 | |
| Selvakani et al. | Genetic Algorithm for framing rules for Intrusion Detection | |
| Ye et al. | A system-fault-risk framework for cyber attack classification | |
| Veprytska et al. | AI powered attacks against AI powered protection: Classification, scenarios and risk analysis | |
| CN111914998A (zh) | 服务器攻击信息生成器的训练方法及装置 | |
| CN113973503A (zh) | 验证设备和应用完整性 | |
| Thangavel et al. | Review on machine and deep learning applications for cyber security | |
| CN114124453A (zh) | 网络安全信息的处理方法、装置、电子设备及储存介质 | |
| Ashwini et al. | Security from phishing attack on internet using evolving fuzzy neural network | |
| Belous et al. | Viruses, Hardware and Software Trojans: Attacks and Countermeasures | |
| Todd et al. | Alert verification evasion through server response forging | |
| EP3252645B1 (en) | System and method of detecting malicious computer systems | |
| Limkar et al. | An effective defence mechanism for detection of DDoS attack on application layer based on hidden Markov model | |
| Bhardwaj | Cybersecurity Incident Response Against Advanced Persistent Threats (APTs) | |
| Leite et al. | Waste flooding: a phishing retaliation tool | |
| Memon et al. | Anti phishing for mid-range mobile phones |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |