CN112187833A - 一种拟态waf中的ai+正则双匹配检测方法 - Google Patents
一种拟态waf中的ai+正则双匹配检测方法 Download PDFInfo
- Publication number
- CN112187833A CN112187833A CN202011239108.8A CN202011239108A CN112187833A CN 112187833 A CN112187833 A CN 112187833A CN 202011239108 A CN202011239108 A CN 202011239108A CN 112187833 A CN112187833 A CN 112187833A
- Authority
- CN
- China
- Prior art keywords
- detection
- module
- detection result
- http
- regular
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种拟态WAF中的AI+正则双匹配检测方法。该方法基于拟态防御思想,能够对恶意HTTP(S)流量进行准确检测。本发明设计了正则检测模块、模板检测模块、异构模块以及裁决模块,首先将HTTP(S)流量输入正则检测模块进行第一次检测,若检测结果为1,则直接过滤,若检测结果为0,则送入模板检测进行二次检测,同样对于检测结果为0的恶意流量送入异构模块中用多个AI检测模块对其进行检测,最后将所有模块的检测结果送入裁决模块进行裁决,最后输出最终检测结果。本发明达到了用不同方式进行多重检测的目的,降低了错误检测率。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种拟态WAF中的AI+正则双匹配检测方法。
背景技术
由于云计算领域的快速发展,云安全问题的解决就显得尤为重要,而未知漏洞或后门很大的威胁了云安全。网络空间拟态防御(CMD,cyber mimic defense)是由邬江兴院士提出的改变游戏规则的一项新技术,将拟态防御技术应用到云服务,抵御攻击,加强安全效能。传统WAF大多只采用正则检测的方法,但是这种方法对于恶意注入流量的多样性很难做到完全防御。
发明内容
本发明的目的在于针对现有技术的不足,提供一种拟态WAF中的AI+正则双匹配检测方法。
本发明的目的是通过以下技术方案来实现的:一种拟态WAF中的AI+正则双匹配检测方法,该方法包括以下步骤:
(1)首先将HTTP(S)流量h送入正则检测模块,具体为:分别用正则检测模块中的检测库Ti(i=1,2,...,m)进行检测,若有其中任意一个匹配上,则输出检测结果为r1=1;否则检测结果为r1=0;
(2)将检测结果r1=0的HTTP(S)流量送入模板检测模块进行模板匹配,具体为:
(2.1)若匹配不成功,则输出检测结果r2=1;
(2.2)若匹配成功,则暂且计检测结果r2=0;
(3)给异构模块中的每个AI检测模型设置权重Wj(j=1,2,...,n);
(4)将检测结果r2为0的HTTP(S)流量送入异构模块进行下一步检测,具体为:将步骤(2)中得到的检测结果r2为0的HTTP(S)流量送入异构模块AI检测模型Mj(j=1,2,...,n)进行检测;得到n个检测结果r3j(j=1,2,...,n),其中r3j∈[0,1];
(5)将n个检测结果r3j送入裁决模块,具体步骤为:
(5.2)若R<0.5,则记最终检测结果r=0,表示为正常流量;
(5.3)若R≥0.5,则记r=1,表示为恶意流量;
(6)输出最终检测结果。
进一步地,所述检测库包括SQL注入检测库、恶意漏洞扫描库、XSS攻击库和PHP相关规则库等。
进一步地,所述步骤(3)中,设置权重的方法包括根据检测模型灵敏度、根据检测模型可信度和根据检测模型检测速度等。
本发明的有益效果是:本发明基于拟态防御思想优化对WAF的恶意流量检测方式,设计了AI+正则双检测模型,首先对流量先进行正则检测,然后将检测为正常的流量送入多种异构AI检测模型,最后通过拟态裁决模块对检测结果进行裁决,达到使用不同方式进行多重检测的目的,降低了错误检测率。
附图说明
图1为AI+正则双检测具体架构图;
图2为裁决模块具体架构图。
具体实施方式
本发明设计了正则检测模块、模板检测模块、异构模块以及裁决模块,首先将HTTP(S)流量输入正则检测模块进行第一次检测,若检测结果为1,则直接过滤,若检测结果为0,则送入模板检测进行二次检测,同样对于检测结果为0的恶意流量送入异构模块中用多个AI检测模块对其进行检测,最后将所有模块的检测结果送入裁决模块进行裁决,最后输出最终检测结果。如图1所示,本发明一种拟态WAF中的AI+正则双匹配检测方法,具体包括以下步骤:
1、首先将HTTP流量或HTTPS流量h送入正则检测模块,具体为:分别用正则检测模块中的检测库Ti(i=1,2,...,m)进行检测,若有其中任意一个匹配上,则输出检测结果为r1=1;其中正则模型的检测库可以选用SQL注入检测库、恶意漏洞扫描库、XSS攻击库、PHP相关规则库等。否则暂且计检测结果为r1=0。
2、将检测结果r1=0的HTTP流量送入模板检测模块进行模板匹配,具体为:
(2.1)若匹配不成功,则输出检测结果r2=1。
(2.2)若匹配成功,则暂且计检测结果r2=0。
3、给异构模块中的每个AI检测模型设置权重Wj(j=1,2,...,n),W1+W2+...+Wn=1其中设置权重的方法可以根据检测模型灵敏度、检测模型可信度、检测模型检测速度等。
4、将检测结果r2为0的HTTP流量送入异构模块进行下一步检测,具体为:将上述步骤2中得到的检测结果r2为0的HTTP流量分别送入异构模块AI检测模型Mj(j=1,2,...,n)进行检测,得到n个检测结果r3j(j=1,2,...,n),其中r3j∈[0,1]。
5、如图2所示,将n个检测结果r3j送入裁决模块,具体步骤为:
(5.2)若R<0.5,则记最终检测结果r=0,表示为正常流量。
(5.3)若R≥0.5,则记最终检测结果r=1,表示为恶意流量。
6、输出最终检测结果r。
本发明对传统WAF的恶意流量检测方式进行优化,首先对恶意流量进行正则检测和模板检测,过滤掉易于检测的恶意流量、然后将未检测出的流量送入异构化AI检测模型,最后对通过裁决模块对多种检测结果进行裁决,通过多重检测的方式,降低恶意流量检测的错误率,增加内部渗透者以及外部攻击者对WAF的认知以及攻击难度,从而增加WAF的安全性。
Claims (3)
1.一种拟态WAF中的AI+正则双匹配检测方法,其特征在于,该方法包括以下步骤:
(1)首先将HTTP(S)流量h送入正则检测模块,具体为:分别用正则检测模块中的检测库Ti(i=1,2,...,m)进行检测,若有其中任意一个匹配上,则输出检测结果为r1=1;否则检测结果为r1=0;
(2)将检测结果r1=0的HTTP(S)流量送入模板检测模块进行模板匹配,具体为:
(2.1)若匹配不成功,则输出检测结果r2=1;
(2.2)若匹配成功,则暂且计检测结果r2=0;
(3)给异构模块中的每个AI检测模型设置权重Wj(j=1,2,...,n);
(4)将检测结果r2为0的HTTP(S)流量送入异构模块进行下一步检测,具体为:将步骤(2)中得到的检测结果r2为0的HTTP(S)流量送入异构模块AI检测模型Mj(j=1,2,...,n)进行检测;得到n个检测结果r3j(j=1,2,...,n),其中r3j∈[0,1];
(5)将n个检测结果r3j送入裁决模块,具体步骤为:
(5.2)若R<0.5,则记最终检测结果r=0,表示为正常流量;
(5.3)若R≥0.5,则记r=1,表示为恶意流量;
(6)输出最终检测结果。
2.如权利要求1所述拟态WAF中的AI+正则双匹配检测方法,其特征在于,所述检测库包括SQL注入检测库、恶意漏洞扫描库、XSS攻击库和PHP相关规则库等。
3.如权利要求1所述拟态WAF中的AI+正则双匹配检测方法,其特征在于,所述步骤(3)中,设置权重的方法包括根据检测模型灵敏度、根据检测模型可信度和根据检测模型检测速度等。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011239108.8A CN112187833B (zh) | 2020-11-09 | 2020-11-09 | 一种拟态waf中的ai+正则双匹配检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011239108.8A CN112187833B (zh) | 2020-11-09 | 2020-11-09 | 一种拟态waf中的ai+正则双匹配检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112187833A true CN112187833A (zh) | 2021-01-05 |
CN112187833B CN112187833B (zh) | 2021-12-17 |
Family
ID=73917569
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011239108.8A Active CN112187833B (zh) | 2020-11-09 | 2020-11-09 | 一种拟态waf中的ai+正则双匹配检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112187833B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112788052A (zh) * | 2021-01-25 | 2021-05-11 | 烽火通信科技股份有限公司 | 拟态架构路由交换系统被动防御模块、系统及实现方法 |
CN114124520A (zh) * | 2021-11-22 | 2022-03-01 | 浙江大学 | 基于多模态的拟态waf执行体实现方法 |
CN114499991A (zh) * | 2021-12-30 | 2022-05-13 | 浙江大学 | 一种拟态waf中恶意流量检测和行为分析方法 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104994104A (zh) * | 2015-07-06 | 2015-10-21 | 浙江大学 | 基于web安全网关的服务器指纹拟态和敏感信息拟态方法 |
CN106411937A (zh) * | 2016-11-15 | 2017-02-15 | 中国人民解放军信息工程大学 | 基于拟态防御架构的零日攻击检测、分析和响应系统及其方法 |
CN108134740A (zh) * | 2017-12-08 | 2018-06-08 | 中国电子科技集团公司第三十研究所 | 一种基于物理异构冗余的加权裁决及随机调度方法 |
CN109067737A (zh) * | 2018-07-28 | 2018-12-21 | 中国人民解放军战略支援部队信息工程大学 | 一种输出非同步保序条件下的拟态判决装置及方法 |
CN109150831A (zh) * | 2018-07-16 | 2019-01-04 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的云任务执行装置及方法 |
US20190014084A1 (en) * | 2016-02-26 | 2019-01-10 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
CN110011965A (zh) * | 2019-02-28 | 2019-07-12 | 中国人民解放军战略支援部队信息工程大学 | 一种基于可信度的执行体完全非一致输出裁决方法及装置 |
CN110519220A (zh) * | 2019-07-10 | 2019-11-29 | 中国人民解放军战略支援部队信息工程大学 | 基于漏洞一致率的网络空间拟态防御安全性建模量化方法 |
CN110647918A (zh) * | 2019-08-26 | 2020-01-03 | 浙江工业大学 | 面向深度学习模型对抗攻击的拟态防御方法 |
US20200028864A1 (en) * | 2012-03-22 | 2020-01-23 | Triad National Security, Llc | Non-harmful insertion of data mimicking computer network attacks |
CN111343139A (zh) * | 2020-01-14 | 2020-06-26 | 浙江大学 | 一种工控拟态安全网关的多模判决方法 |
CN111628978A (zh) * | 2020-05-21 | 2020-09-04 | 河南信大网御科技有限公司 | 一种拟态归一化裁决系统、方法及可读存储介质 |
CN111783079A (zh) * | 2020-06-04 | 2020-10-16 | 河南信大网御科技有限公司 | 一种拟态防御装置、拟态防御方法和拟态防御架构 |
CN111884996A (zh) * | 2020-06-12 | 2020-11-03 | 中国人民解放军战略支援部队信息工程大学 | 一种基于可信度量的拟态交换机裁决系统及方法 |
-
2020
- 2020-11-09 CN CN202011239108.8A patent/CN112187833B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200028864A1 (en) * | 2012-03-22 | 2020-01-23 | Triad National Security, Llc | Non-harmful insertion of data mimicking computer network attacks |
CN104994104A (zh) * | 2015-07-06 | 2015-10-21 | 浙江大学 | 基于web安全网关的服务器指纹拟态和敏感信息拟态方法 |
US20190014084A1 (en) * | 2016-02-26 | 2019-01-10 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
CN106411937A (zh) * | 2016-11-15 | 2017-02-15 | 中国人民解放军信息工程大学 | 基于拟态防御架构的零日攻击检测、分析和响应系统及其方法 |
CN108134740A (zh) * | 2017-12-08 | 2018-06-08 | 中国电子科技集团公司第三十研究所 | 一种基于物理异构冗余的加权裁决及随机调度方法 |
CN109150831A (zh) * | 2018-07-16 | 2019-01-04 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的云任务执行装置及方法 |
CN109067737A (zh) * | 2018-07-28 | 2018-12-21 | 中国人民解放军战略支援部队信息工程大学 | 一种输出非同步保序条件下的拟态判决装置及方法 |
CN110011965A (zh) * | 2019-02-28 | 2019-07-12 | 中国人民解放军战略支援部队信息工程大学 | 一种基于可信度的执行体完全非一致输出裁决方法及装置 |
CN110519220A (zh) * | 2019-07-10 | 2019-11-29 | 中国人民解放军战略支援部队信息工程大学 | 基于漏洞一致率的网络空间拟态防御安全性建模量化方法 |
CN110647918A (zh) * | 2019-08-26 | 2020-01-03 | 浙江工业大学 | 面向深度学习模型对抗攻击的拟态防御方法 |
CN111343139A (zh) * | 2020-01-14 | 2020-06-26 | 浙江大学 | 一种工控拟态安全网关的多模判决方法 |
CN111628978A (zh) * | 2020-05-21 | 2020-09-04 | 河南信大网御科技有限公司 | 一种拟态归一化裁决系统、方法及可读存储介质 |
CN111783079A (zh) * | 2020-06-04 | 2020-10-16 | 河南信大网御科技有限公司 | 一种拟态防御装置、拟态防御方法和拟态防御架构 |
CN111884996A (zh) * | 2020-06-12 | 2020-11-03 | 中国人民解放军战略支援部队信息工程大学 | 一种基于可信度量的拟态交换机裁决系统及方法 |
Non-Patent Citations (2)
Title |
---|
SHUANGXICHEN: ""A Decentralized Multi-ruling Arbiter for Cyberspace Mimicry Defense"", 《2019 INTERNATIONAL SYMPOSIUM ON NETWORKS, COMPUTERS AND COMMUNICATIONS (ISNCC)》 * |
陈双喜: ""基于异构冗余架构的拟态防御建模技术"", 《电信科学》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112788052A (zh) * | 2021-01-25 | 2021-05-11 | 烽火通信科技股份有限公司 | 拟态架构路由交换系统被动防御模块、系统及实现方法 |
CN112788052B (zh) * | 2021-01-25 | 2022-06-24 | 烽火通信科技股份有限公司 | 拟态架构路由交换系统被动防御模块、系统及实现方法 |
CN114124520A (zh) * | 2021-11-22 | 2022-03-01 | 浙江大学 | 基于多模态的拟态waf执行体实现方法 |
CN114499991A (zh) * | 2021-12-30 | 2022-05-13 | 浙江大学 | 一种拟态waf中恶意流量检测和行为分析方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112187833B (zh) | 2021-12-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112187833B (zh) | 一种拟态waf中的ai+正则双匹配检测方法 | |
AU2019210493B2 (en) | Anomaly detection to identify coordinated group attacks in computer networks | |
Liu et al. | A GAN and Feature Selection‐Based Oversampling Technique for Intrusion Detection | |
CN111131260B (zh) | 一种海量网络恶意域名识别和分类方法及系统 | |
Chang et al. | Graph-based solutions with residuals for intrusion detection: The modified e-graphsage and e-resgat algorithms | |
Wang et al. | A Few‐Shot Learning‐Based Siamese Capsule Network for Intrusion Detection with Imbalanced Training Data | |
CN112788007A (zh) | 基于卷积神经网络的DDoS攻击检测方法 | |
CN112995150A (zh) | 一种基于cnn-lstm融合的僵尸网络检测方法 | |
Yuste et al. | Optimization of code caves in malware binaries to evade machine learning detectors | |
Peng et al. | Pairing Weak with Strong: Twin Models for Defending Against Adversarial Attack on Speaker Verification. | |
CN115907029A (zh) | 面向联邦学习投毒攻击的防御方法及系统 | |
Wang et al. | Ship radiated noise recognition technology based on ML-DS decision fusion | |
Tao et al. | A hybrid alarm association method based on AP clustering and causality | |
He et al. | Intrusion detection model with twin support vector machines | |
CN102111308A (zh) | 一种多态蠕虫自动检测方法 | |
CN117478403A (zh) | 一种全场景网络安全威胁关联分析方法及系统 | |
Zhou et al. | Network unknown‐threat detection based on a generative adversarial network and evolutionary algorithm | |
He et al. | A security analysis method of security protocol implementation based on unpurified security protocol trace and security protocol implementation ontology | |
CN113132414B (zh) | 一种多步攻击模式挖掘方法 | |
CN111343205B (zh) | 工控网络安全检测方法、装置、电子设备以及存储介质 | |
Wang et al. | FLForest: Byzantine-robust Federated Learning through Isolated Forest | |
Wang et al. | TransIDS: A Transformer-based approach for intrusion detection in Internet of Things using Label Smoothing | |
CN113989898A (zh) | 一种基于空间敏感度的人脸对抗样本检测方法 | |
Shah et al. | Group feature selection via structural sparse logistic regression for ids | |
Fang et al. | Integrating artificial intelligence into Snort IDS |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |