CN112187833B - 一种拟态waf中的ai+正则双匹配检测方法 - Google Patents

Abstract

本发明公开了一种拟态WAF中的AI+正则双匹配检测方法。该方法基于拟态防御思想，能够对恶意HTTP(S)流量进行准确检测。本发明设计了正则检测模块、模板检测模块、异构模块以及裁决模块，首先将HTTP(S)流量输入正则检测模块进行第一次检测，若检测结果为1，则直接过滤，若检测结果为0，则送入模板检测进行二次检测，同样对于检测结果为0的恶意流量送入异构模块中用多个AI检测模块对其进行检测，最后将所有模块的检测结果送入裁决模块进行裁决，最后输出最终检测结果。本发明达到了用不同方式进行多重检测的目的，降低了错误检测率。

Description

一种拟态WAF中的AI+正则双匹配检测方法

技术领域

本发明属于网络安全技术领域，尤其涉及一种拟态WAF中的AI+正则双匹配检测方法。

背景技术

由于云计算领域的快速发展，云安全问题的解决就显得尤为重要，而未知漏洞或后门很大的威胁了云安全。网络空间拟态防御(CMD，cyber mimic defense)是由邬江兴院士提出的改变游戏规则的一项新技术，将拟态防御技术应用到云服务，抵御攻击，加强安全效能。传统WAF大多只采用正则检测的方法，但是这种方法对于恶意注入流量的多样性很难做到完全防御。

发明内容

本发明的目的在于针对现有技术的不足，提供一种拟态WAF中的AI+正则双匹配检测方法。

本发明的目的是通过以下技术方案来实现的：一种拟态WAF中的AI+正则双匹配检测方法，该方法包括以下步骤：

(1)首先将HTTP(S)流量h送入正则检测模块，具体为：分别用正则检测模块中的检测库T_i(i＝1,2,...,m)进行检测，若有其中任意一个匹配上，则输出检测结果为r₁＝1；否则检测结果为r₁＝0；

(2)将检测结果r₁＝0的HTTP(S)流量送入模板检测模块进行模板匹配，具体为：

(2.1)若匹配不成功，则输出检测结果r₂＝1；

(2.2)若匹配成功，则暂且计检测结果r₂＝0；

(3)给异构模块中的每个AI检测模型设置权重W_j(j＝1,2,...,n)；

(4)将检测结果r₂为0的HTTP(S)流量送入异构模块进行下一步检测，具体为：将步骤(2)中得到的检测结果r₂为0的HTTP(S)流量送入异构模块AI检测模型M_j(j＝1,2,...,n)进行检测；得到n个检测结果r_3j(j＝1,2,...,n)，其中r_3j∈[0,1]；

(5)将n个检测结果r_3j送入裁决模块，具体步骤为：

(5.1)计算加权和

(5.2)若R＜0.5，则记最终检测结果r＝0，表示为正常流量；

(5.3)若R≥0.5，则记r＝1，表示为恶意流量；

(6)输出最终检测结果。

进一步地，所述检测库包括SQL注入检测库、恶意漏洞扫描库、XSS攻击库和PHP相关规则库等。

进一步地，所述步骤(3)中，设置权重的方法包括根据检测模型灵敏度、根据检测模型可信度和根据检测模型检测速度等。

本发明的有益效果是：本发明基于拟态防御思想优化对WAF的恶意流量检测方式，设计了AI+正则双检测模型，首先对流量先进行正则检测，然后将检测为正常的流量送入多种异构AI检测模型，最后通过拟态裁决模块对检测结果进行裁决，达到使用不同方式进行多重检测的目的，降低了错误检测率。

附图说明

图1为AI+正则双检测具体架构图；

图2为裁决模块具体架构图。

具体实施方式

本发明设计了正则检测模块、模板检测模块、异构模块以及裁决模块，首先将HTTP(S)流量输入正则检测模块进行第一次检测，若检测结果为1，则直接过滤，若检测结果为0，则送入模板检测进行二次检测，同样对于检测结果为0的恶意流量送入异构模块中用多个AI检测模块对其进行检测，最后将所有模块的检测结果送入裁决模块进行裁决，最后输出最终检测结果。如图1所示，本发明一种拟态WAF中的AI+正则双匹配检测方法，具体包括以下步骤：

1、首先将HTTP流量或HTTPS流量h送入正则检测模块，具体为：分别用正则检测模块中的检测库T_i(i＝1,2,...,m)进行检测，若有其中任意一个匹配上，则输出检测结果为r₁＝1；其中正则模型的检测库可以选用SQL注入检测库、恶意漏洞扫描库、XSS攻击库、PHP相关规则库等。否则暂且计检测结果为r₁＝0。

2、将检测结果r₁＝0的HTTP流量送入模板检测模块进行模板匹配，具体为：

(2.1)若匹配不成功，则输出检测结果r₂＝1。

(2.2)若匹配成功，则暂且计检测结果r₂＝0。

3、给异构模块中的每个AI检测模型设置权重W_j(j＝1,2,...,n)，W₁+W₂+...+W_n＝1其中设置权重的方法可以根据检测模型灵敏度、检测模型可信度、检测模型检测速度等。

4、将检测结果r₂为0的HTTP流量送入异构模块进行下一步检测，具体为：将上述步骤2中得到的检测结果r₂为0的HTTP流量分别送入异构模块AI检测模型M_j(j＝1,2,...,n)进行检测，得到n个检测结果r_3j(j＝1,2,...,n)，其中r_3j∈[0,1]。

5、如图2所示，将n个检测结果r_3j送入裁决模块，具体步骤为：

(5.1)计算加权和

(5.2)若R＜0.5，则记最终检测结果r＝0，表示为正常流量。

(5.3)若R≥0.5，则记最终检测结果r＝1，表示为恶意流量。

6、输出最终检测结果r。

本发明对传统WAF的恶意流量检测方式进行优化，首先对恶意流量进行正则检测和模板检测，过滤掉易于检测的恶意流量、然后将未检测出的流量送入异构化AI检测模型，最后对通过裁决模块对多种检测结果进行裁决，通过多重检测的方式，降低恶意流量检测的错误率，增加内部渗透者以及外部攻击者对WAF的认知以及攻击难度，从而增加WAF的安全性。

Claims (3)

1.一种拟态WAF中的AI+正则双匹配检测方法，其特征在于，该方法包括以下步骤：

(1)首先将HTTP(S)流量h送入正则检测模块，具体为：分别用正则检测模块中的检测库T_i(i＝1,2,...,m)进行检测，若有其中任意一个匹配上，则输出检测结果为r₁＝1；否则检测结果为r₁＝0；

(2)将检测结果r₁＝0的HTTP(S)流量送入模板检测模块进行模板匹配，具体为：

(2.1)若匹配不成功，则输出检测结果r₂＝1；

(2.2)若匹配成功，则暂且计检测结果r₂＝0；

(3)给异构模块中的每个AI检测模型设置权重W_j(j＝1,2,...,n)；

(4)将检测结果r₂为0的HTTP(S)流量送入异构模块进行下一步检测，具体为：将步骤(2)中得到的检测结果r₂为0的HTTP(S)流量送入异构模块AI检测模型M_j(j＝1,2,...,n)进行检测；得到n个检测结果r_3j(j＝1,2,...,n)，其中r_3j∈[0,1]；

(5)将n个检测结果r_3j送入裁决模块，具体步骤为：

(5.1)计算加权和

(5.2)若R＜0.5，则记最终检测结果r＝0，表示为正常流量；

(5.3)若R≥0.5，则记r＝1，表示为恶意流量；

(6)输出最终检测结果。

2.如权利要求1所述拟态WAF中的AI+正则双匹配检测方法，其特征在于，所述检测库包括SQL注入检测库、恶意漏洞扫描库、XSS攻击库和PHP相关规则库。

3.如权利要求1所述拟态WAF中的AI+正则双匹配检测方法，其特征在于，步骤(3)中，设置权重的方法包括根据检测模型灵敏度、根据检测模型可信度和根据检测模型检测速度。

Images