CN112187833A - 一种拟态waf中的ai+正则双匹配检测方法 - Google Patents

一种拟态waf中的ai+正则双匹配检测方法 Download PDF

Info

Publication number
CN112187833A
CN112187833A CN202011239108.8A CN202011239108A CN112187833A CN 112187833 A CN112187833 A CN 112187833A CN 202011239108 A CN202011239108 A CN 202011239108A CN 112187833 A CN112187833 A CN 112187833A
Authority
CN
China
Prior art keywords
detection
module
detection result
http
regular
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011239108.8A
Other languages
English (en)
Other versions
CN112187833B (zh
Inventor
吴春明
陈双喜
赵若琰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN202011239108.8A priority Critical patent/CN112187833B/zh
Publication of CN112187833A publication Critical patent/CN112187833A/zh
Application granted granted Critical
Publication of CN112187833B publication Critical patent/CN112187833B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种拟态WAF中的AI+正则双匹配检测方法。该方法基于拟态防御思想,能够对恶意HTTP(S)流量进行准确检测。本发明设计了正则检测模块、模板检测模块、异构模块以及裁决模块,首先将HTTP(S)流量输入正则检测模块进行第一次检测,若检测结果为1,则直接过滤,若检测结果为0,则送入模板检测进行二次检测,同样对于检测结果为0的恶意流量送入异构模块中用多个AI检测模块对其进行检测,最后将所有模块的检测结果送入裁决模块进行裁决,最后输出最终检测结果。本发明达到了用不同方式进行多重检测的目的,降低了错误检测率。

Description

一种拟态WAF中的AI+正则双匹配检测方法
技术领域
本发明属于网络安全技术领域,尤其涉及一种拟态WAF中的AI+正则双匹配检测方法。
背景技术
由于云计算领域的快速发展,云安全问题的解决就显得尤为重要,而未知漏洞或后门很大的威胁了云安全。网络空间拟态防御(CMD,cyber mimic defense)是由邬江兴院士提出的改变游戏规则的一项新技术,将拟态防御技术应用到云服务,抵御攻击,加强安全效能。传统WAF大多只采用正则检测的方法,但是这种方法对于恶意注入流量的多样性很难做到完全防御。
发明内容
本发明的目的在于针对现有技术的不足,提供一种拟态WAF中的AI+正则双匹配检测方法。
本发明的目的是通过以下技术方案来实现的:一种拟态WAF中的AI+正则双匹配检测方法,该方法包括以下步骤:
(1)首先将HTTP(S)流量h送入正则检测模块,具体为:分别用正则检测模块中的检测库Ti(i=1,2,...,m)进行检测,若有其中任意一个匹配上,则输出检测结果为r1=1;否则检测结果为r1=0;
(2)将检测结果r1=0的HTTP(S)流量送入模板检测模块进行模板匹配,具体为:
(2.1)若匹配不成功,则输出检测结果r2=1;
(2.2)若匹配成功,则暂且计检测结果r2=0;
(3)给异构模块中的每个AI检测模型设置权重Wj(j=1,2,...,n);
(4)将检测结果r2为0的HTTP(S)流量送入异构模块进行下一步检测,具体为:将步骤(2)中得到的检测结果r2为0的HTTP(S)流量送入异构模块AI检测模型Mj(j=1,2,...,n)进行检测;得到n个检测结果r3j(j=1,2,...,n),其中r3j∈[0,1];
(5)将n个检测结果r3j送入裁决模块,具体步骤为:
(5.1)计算加权和
Figure BDA0002767833470000011
(5.2)若R<0.5,则记最终检测结果r=0,表示为正常流量;
(5.3)若R≥0.5,则记r=1,表示为恶意流量;
(6)输出最终检测结果。
进一步地,所述检测库包括SQL注入检测库、恶意漏洞扫描库、XSS攻击库和PHP相关规则库等。
进一步地,所述步骤(3)中,设置权重的方法包括根据检测模型灵敏度、根据检测模型可信度和根据检测模型检测速度等。
本发明的有益效果是:本发明基于拟态防御思想优化对WAF的恶意流量检测方式,设计了AI+正则双检测模型,首先对流量先进行正则检测,然后将检测为正常的流量送入多种异构AI检测模型,最后通过拟态裁决模块对检测结果进行裁决,达到使用不同方式进行多重检测的目的,降低了错误检测率。
附图说明
图1为AI+正则双检测具体架构图;
图2为裁决模块具体架构图。
具体实施方式
本发明设计了正则检测模块、模板检测模块、异构模块以及裁决模块,首先将HTTP(S)流量输入正则检测模块进行第一次检测,若检测结果为1,则直接过滤,若检测结果为0,则送入模板检测进行二次检测,同样对于检测结果为0的恶意流量送入异构模块中用多个AI检测模块对其进行检测,最后将所有模块的检测结果送入裁决模块进行裁决,最后输出最终检测结果。如图1所示,本发明一种拟态WAF中的AI+正则双匹配检测方法,具体包括以下步骤:
1、首先将HTTP流量或HTTPS流量h送入正则检测模块,具体为:分别用正则检测模块中的检测库Ti(i=1,2,...,m)进行检测,若有其中任意一个匹配上,则输出检测结果为r1=1;其中正则模型的检测库可以选用SQL注入检测库、恶意漏洞扫描库、XSS攻击库、PHP相关规则库等。否则暂且计检测结果为r1=0。
2、将检测结果r1=0的HTTP流量送入模板检测模块进行模板匹配,具体为:
(2.1)若匹配不成功,则输出检测结果r2=1。
(2.2)若匹配成功,则暂且计检测结果r2=0。
3、给异构模块中的每个AI检测模型设置权重Wj(j=1,2,...,n),W1+W2+...+Wn=1其中设置权重的方法可以根据检测模型灵敏度、检测模型可信度、检测模型检测速度等。
4、将检测结果r2为0的HTTP流量送入异构模块进行下一步检测,具体为:将上述步骤2中得到的检测结果r2为0的HTTP流量分别送入异构模块AI检测模型Mj(j=1,2,...,n)进行检测,得到n个检测结果r3j(j=1,2,...,n),其中r3j∈[0,1]。
5、如图2所示,将n个检测结果r3j送入裁决模块,具体步骤为:
(5.1)计算加权和
Figure BDA0002767833470000031
(5.2)若R<0.5,则记最终检测结果r=0,表示为正常流量。
(5.3)若R≥0.5,则记最终检测结果r=1,表示为恶意流量。
6、输出最终检测结果r。
本发明对传统WAF的恶意流量检测方式进行优化,首先对恶意流量进行正则检测和模板检测,过滤掉易于检测的恶意流量、然后将未检测出的流量送入异构化AI检测模型,最后对通过裁决模块对多种检测结果进行裁决,通过多重检测的方式,降低恶意流量检测的错误率,增加内部渗透者以及外部攻击者对WAF的认知以及攻击难度,从而增加WAF的安全性。

Claims (3)

1.一种拟态WAF中的AI+正则双匹配检测方法,其特征在于,该方法包括以下步骤:
(1)首先将HTTP(S)流量h送入正则检测模块,具体为:分别用正则检测模块中的检测库Ti(i=1,2,...,m)进行检测,若有其中任意一个匹配上,则输出检测结果为r1=1;否则检测结果为r1=0;
(2)将检测结果r1=0的HTTP(S)流量送入模板检测模块进行模板匹配,具体为:
(2.1)若匹配不成功,则输出检测结果r2=1;
(2.2)若匹配成功,则暂且计检测结果r2=0;
(3)给异构模块中的每个AI检测模型设置权重Wj(j=1,2,...,n);
(4)将检测结果r2为0的HTTP(S)流量送入异构模块进行下一步检测,具体为:将步骤(2)中得到的检测结果r2为0的HTTP(S)流量送入异构模块AI检测模型Mj(j=1,2,...,n)进行检测;得到n个检测结果r3j(j=1,2,...,n),其中r3j∈[0,1];
(5)将n个检测结果r3j送入裁决模块,具体步骤为:
(5.1)计算加权和
Figure FDA0002767833460000011
(5.2)若R<0.5,则记最终检测结果r=0,表示为正常流量;
(5.3)若R≥0.5,则记r=1,表示为恶意流量;
(6)输出最终检测结果。
2.如权利要求1所述拟态WAF中的AI+正则双匹配检测方法,其特征在于,所述检测库包括SQL注入检测库、恶意漏洞扫描库、XSS攻击库和PHP相关规则库等。
3.如权利要求1所述拟态WAF中的AI+正则双匹配检测方法,其特征在于,所述步骤(3)中,设置权重的方法包括根据检测模型灵敏度、根据检测模型可信度和根据检测模型检测速度等。
CN202011239108.8A 2020-11-09 2020-11-09 一种拟态waf中的ai+正则双匹配检测方法 Active CN112187833B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011239108.8A CN112187833B (zh) 2020-11-09 2020-11-09 一种拟态waf中的ai+正则双匹配检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011239108.8A CN112187833B (zh) 2020-11-09 2020-11-09 一种拟态waf中的ai+正则双匹配检测方法

Publications (2)

Publication Number Publication Date
CN112187833A true CN112187833A (zh) 2021-01-05
CN112187833B CN112187833B (zh) 2021-12-17

Family

ID=73917569

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011239108.8A Active CN112187833B (zh) 2020-11-09 2020-11-09 一种拟态waf中的ai+正则双匹配检测方法

Country Status (1)

Country Link
CN (1) CN112187833B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112788052A (zh) * 2021-01-25 2021-05-11 烽火通信科技股份有限公司 拟态架构路由交换系统被动防御模块、系统及实现方法
CN114124520A (zh) * 2021-11-22 2022-03-01 浙江大学 基于多模态的拟态waf执行体实现方法
CN114499991A (zh) * 2021-12-30 2022-05-13 浙江大学 一种拟态waf中恶意流量检测和行为分析方法

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104994104A (zh) * 2015-07-06 2015-10-21 浙江大学 基于web安全网关的服务器指纹拟态和敏感信息拟态方法
CN106411937A (zh) * 2016-11-15 2017-02-15 中国人民解放军信息工程大学 基于拟态防御架构的零日攻击检测、分析和响应系统及其方法
CN108134740A (zh) * 2017-12-08 2018-06-08 中国电子科技集团公司第三十研究所 一种基于物理异构冗余的加权裁决及随机调度方法
CN109067737A (zh) * 2018-07-28 2018-12-21 中国人民解放军战略支援部队信息工程大学 一种输出非同步保序条件下的拟态判决装置及方法
CN109150831A (zh) * 2018-07-16 2019-01-04 中国人民解放军战略支援部队信息工程大学 一种内生安全的云任务执行装置及方法
US20190014084A1 (en) * 2016-02-26 2019-01-10 Microsoft Technology Licensing, Llc Hybrid hardware-software distributed threat analysis
CN110011965A (zh) * 2019-02-28 2019-07-12 中国人民解放军战略支援部队信息工程大学 一种基于可信度的执行体完全非一致输出裁决方法及装置
CN110519220A (zh) * 2019-07-10 2019-11-29 中国人民解放军战略支援部队信息工程大学 基于漏洞一致率的网络空间拟态防御安全性建模量化方法
CN110647918A (zh) * 2019-08-26 2020-01-03 浙江工业大学 面向深度学习模型对抗攻击的拟态防御方法
US20200028864A1 (en) * 2012-03-22 2020-01-23 Triad National Security, Llc Non-harmful insertion of data mimicking computer network attacks
CN111343139A (zh) * 2020-01-14 2020-06-26 浙江大学 一种工控拟态安全网关的多模判决方法
CN111628978A (zh) * 2020-05-21 2020-09-04 河南信大网御科技有限公司 一种拟态归一化裁决系统、方法及可读存储介质
CN111783079A (zh) * 2020-06-04 2020-10-16 河南信大网御科技有限公司 一种拟态防御装置、拟态防御方法和拟态防御架构
CN111884996A (zh) * 2020-06-12 2020-11-03 中国人民解放军战略支援部队信息工程大学 一种基于可信度量的拟态交换机裁决系统及方法

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200028864A1 (en) * 2012-03-22 2020-01-23 Triad National Security, Llc Non-harmful insertion of data mimicking computer network attacks
CN104994104A (zh) * 2015-07-06 2015-10-21 浙江大学 基于web安全网关的服务器指纹拟态和敏感信息拟态方法
US20190014084A1 (en) * 2016-02-26 2019-01-10 Microsoft Technology Licensing, Llc Hybrid hardware-software distributed threat analysis
CN106411937A (zh) * 2016-11-15 2017-02-15 中国人民解放军信息工程大学 基于拟态防御架构的零日攻击检测、分析和响应系统及其方法
CN108134740A (zh) * 2017-12-08 2018-06-08 中国电子科技集团公司第三十研究所 一种基于物理异构冗余的加权裁决及随机调度方法
CN109150831A (zh) * 2018-07-16 2019-01-04 中国人民解放军战略支援部队信息工程大学 一种内生安全的云任务执行装置及方法
CN109067737A (zh) * 2018-07-28 2018-12-21 中国人民解放军战略支援部队信息工程大学 一种输出非同步保序条件下的拟态判决装置及方法
CN110011965A (zh) * 2019-02-28 2019-07-12 中国人民解放军战略支援部队信息工程大学 一种基于可信度的执行体完全非一致输出裁决方法及装置
CN110519220A (zh) * 2019-07-10 2019-11-29 中国人民解放军战略支援部队信息工程大学 基于漏洞一致率的网络空间拟态防御安全性建模量化方法
CN110647918A (zh) * 2019-08-26 2020-01-03 浙江工业大学 面向深度学习模型对抗攻击的拟态防御方法
CN111343139A (zh) * 2020-01-14 2020-06-26 浙江大学 一种工控拟态安全网关的多模判决方法
CN111628978A (zh) * 2020-05-21 2020-09-04 河南信大网御科技有限公司 一种拟态归一化裁决系统、方法及可读存储介质
CN111783079A (zh) * 2020-06-04 2020-10-16 河南信大网御科技有限公司 一种拟态防御装置、拟态防御方法和拟态防御架构
CN111884996A (zh) * 2020-06-12 2020-11-03 中国人民解放军战略支援部队信息工程大学 一种基于可信度量的拟态交换机裁决系统及方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
SHUANGXICHEN: ""A Decentralized Multi-ruling Arbiter for Cyberspace Mimicry Defense"", 《2019 INTERNATIONAL SYMPOSIUM ON NETWORKS, COMPUTERS AND COMMUNICATIONS (ISNCC)》 *
陈双喜: ""基于异构冗余架构的拟态防御建模技术"", 《电信科学》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112788052A (zh) * 2021-01-25 2021-05-11 烽火通信科技股份有限公司 拟态架构路由交换系统被动防御模块、系统及实现方法
CN112788052B (zh) * 2021-01-25 2022-06-24 烽火通信科技股份有限公司 拟态架构路由交换系统被动防御模块、系统及实现方法
CN114124520A (zh) * 2021-11-22 2022-03-01 浙江大学 基于多模态的拟态waf执行体实现方法
CN114499991A (zh) * 2021-12-30 2022-05-13 浙江大学 一种拟态waf中恶意流量检测和行为分析方法

Also Published As

Publication number Publication date
CN112187833B (zh) 2021-12-17

Similar Documents

Publication Publication Date Title
CN112187833B (zh) 一种拟态waf中的ai+正则双匹配检测方法
AU2019210493B2 (en) Anomaly detection to identify coordinated group attacks in computer networks
Liu et al. A GAN and Feature Selection‐Based Oversampling Technique for Intrusion Detection
CN111131260B (zh) 一种海量网络恶意域名识别和分类方法及系统
Chang et al. Graph-based solutions with residuals for intrusion detection: The modified e-graphsage and e-resgat algorithms
Wang et al. A Few‐Shot Learning‐Based Siamese Capsule Network for Intrusion Detection with Imbalanced Training Data
CN112788007A (zh) 基于卷积神经网络的DDoS攻击检测方法
CN112995150A (zh) 一种基于cnn-lstm融合的僵尸网络检测方法
Yuste et al. Optimization of code caves in malware binaries to evade machine learning detectors
Peng et al. Pairing Weak with Strong: Twin Models for Defending Against Adversarial Attack on Speaker Verification.
CN115907029A (zh) 面向联邦学习投毒攻击的防御方法及系统
Wang et al. Ship radiated noise recognition technology based on ML-DS decision fusion
Tao et al. A hybrid alarm association method based on AP clustering and causality
He et al. Intrusion detection model with twin support vector machines
CN102111308A (zh) 一种多态蠕虫自动检测方法
CN117478403A (zh) 一种全场景网络安全威胁关联分析方法及系统
Zhou et al. Network unknown‐threat detection based on a generative adversarial network and evolutionary algorithm
He et al. A security analysis method of security protocol implementation based on unpurified security protocol trace and security protocol implementation ontology
CN113132414B (zh) 一种多步攻击模式挖掘方法
CN111343205B (zh) 工控网络安全检测方法、装置、电子设备以及存储介质
Wang et al. FLForest: Byzantine-robust Federated Learning through Isolated Forest
Wang et al. TransIDS: A Transformer-based approach for intrusion detection in Internet of Things using Label Smoothing
CN113989898A (zh) 一种基于空间敏感度的人脸对抗样本检测方法
Shah et al. Group feature selection via structural sparse logistic regression for ids
Fang et al. Integrating artificial intelligence into Snort IDS

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant