CN112383529A - 一种拟态waf中的对抗流量生成方法 - Google Patents

一种拟态waf中的对抗流量生成方法 Download PDF

Info

Publication number
CN112383529A
CN112383529A CN202011239091.6A CN202011239091A CN112383529A CN 112383529 A CN112383529 A CN 112383529A CN 202011239091 A CN202011239091 A CN 202011239091A CN 112383529 A CN112383529 A CN 112383529A
Authority
CN
China
Prior art keywords
traffic
malicious
flow
waf
http
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011239091.6A
Other languages
English (en)
Other versions
CN112383529B (zh
Inventor
吴春明
陈双喜
赵若琰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN202011239091.6A priority Critical patent/CN112383529B/zh
Publication of CN112383529A publication Critical patent/CN112383529A/zh
Application granted granted Critical
Publication of CN112383529B publication Critical patent/CN112383529B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种拟态WAF中的对抗流量生成方法,该方法用于在拟态WAF中针对恶意访问流量产生对抗样本,从而绕过规则。本发明设计了流量收集模块、变异模块、对抗流量生成模块以及对抗流量二次检测模块来实现拟态WAF中的对抗流量生成。当HTTP(S)请求流量经过拟态WAF防御系统时,若被检测为恶意流量,则将该恶意流量输入变异模块,生成对抗恶意流量,对恶意对抗流量进行二次检测,若能绕过检测,则保留用于补充规则,若不能绕过,则丢弃。规则在WAF构造中具有至关重要的作用,而可以绕过规则的恶意流量是补充WAF规则的重要参照,本发明对补充WAF现有规则、优化WAF架构具有重要作用。

Description

一种拟态WAF中的对抗流量生成方法
技术领域
本发明属于网络安全技术领域,尤其涉及一种拟态WAF中的对抗流量生成方法。
背景技术
大多数的安全漏洞都是由于利用了WAF的脆弱性而发生的。在理想情况下,提高系统安全性的最佳方法是发现所有的漏洞并修复它们,但是由于系统的复杂性以及难评估性,几乎不可能做到修复所有漏洞,因此尽可能全面的补充WAF规则是一项重要且艰巨的任务。普通WAF虽可以阻挡住一种常规的恶意流量,但是对于该流量的多种变形不一定可以阻挡住。
发明内容
本发明的目的在于针对现有技术的不足,提供一种拟态WAF中的对抗流量生成方法。本发明基于拟态思想对常规恶意流量进行多种变形,生成恶意对抗HTTP(S)流量,可以用来补充正则规则或用作训练集进一步训练AI检测模型。
本发明的目的是通过以下技术方案实现的:一种拟态WAF中的对抗流量生成方法,该方法包括以下步骤:
(1)部署M个WAF恶意流量检测模块E={ei|i=1,2,...,M},其中ei为第i个检测模块;
(2)将流量送入恶意检测模块,得出检测结果t1i。具体步骤为:
(2.1)若流量为HTTP流量,则直接送入恶意检测模块E;
(2.2)若流量为HTTPS流量,则先将该流量解密为HTTP流量,再送入恶意检测模块E;
(3)将每个恶意检测模块的检测结果t1i送入拟态裁决模块,拟态裁决模块对恶意流量进行判决,得到最终属性t’1∈[0,1];
(4)拟态裁决模块根据最终属性对恶意流量h进行不同操作,具体为:
(4.1)若t’1=1,则送入变异模块;
(4.2)若t’1=0,则送入后端服务器;
(5)生成对抗恶意流量,主要包括如下子步骤:
(5.1)对恶意流量进行请求头字段提取;提取出URL地址l、URL参数r、User-Agent字段u、Host字段h、Content-Length字段c;
(5.2)变异模块对提取出的字段进行变异,生成对抗恶意HTTP流量,具体步骤为:
(5.2.1)分别对r进行CC、WS、IE、OS、IC处理得到r’j(j=1,...,5);
(5.2.2)分别对u进行八进制转换、十六进制转换得到u'k(k=1,2),再对u进行编码,得到u'k(k=3);
(5.2.3)分别对h进行八进制转换、十六进制转换得到h’n(n=1,2),再对h进行编码,得到h’n(n=3);
(5.2.4)从r’j、u'k、h’n每种字段集合中随机选取一个元素,组合r’j、u'k、h’n、l、c,得到对抗恶意HTTP流量;
(6)将对抗HTTP恶意流量k送入二次检测模块进行二次检测,得到检测结果t'2,具体为:
(6.1)若t'2=1,即绕过规则失败,则丢弃该对抗HTTP流量;
(6.2)若t'2=0,即绕过规则成功,则保留该对抗HTTP流量;
(7)输出保留的对抗恶意流量。
进一步地,所述步骤(1)中,检测模块的检测方式包括专注于SQL注入、专注于字符编码、专注于无效注释添加和专注于AI等。
进一步地,所述步骤(3)中,拟态裁决模块的拟态裁决方法包括加权表决和举手表决等。
本发明的有益效果是:本发明根据WAF中常用的规则绕过手段,基于WAF的性能以及安全要求,提供了一种恶意对抗HTTP流量生成方法,具有如下特点:
(1)根据多种绕过手段,生成多种变异算子,对HTTP流量中提取到的每个关键字进行对抗生成,再随机组合,生成恶意对抗HTTP流量,保证了生成恶意对抗HTTP流量的随机性与多样性;
(2)对恶意对抗HTTP流量进行二次检测,保留可以绕过规则的对抗HTTP恶意流量,是WAF中规则补充的重要依据。
附图说明
图1是生成恶意对抗HTTP流量的整体生成架构;
图2是变异模块架构图;
图3是二次检测模块构造图。
具体实施方式
本发明设计了流量收集模块、变异模块及对抗流量二次检测模块来实现拟态WAF中的对抗流量生成。当HTTP(S)请求流量经过拟态WAF防御系统时,若被检测为恶意流量,则将该恶意流量输入变异模块,生成对抗恶意流量,对恶意对抗流量进行二次检测,若能绕过检测,则保留用于补充规则,若不能绕过,则丢弃。规则在WAF构造中具有至关重要的作用,而可以绕过规则的恶意流量是补充WAF规则的重要参照,本发明主要对可以绕过规则HTTP恶意流量进行对抗生成,对补充WAF现有规则,优化WAF架构具有重要作用。如图1所示,本发明一种拟态WAF中的对抗流量生成方法主要包括以下步骤:
1、部署M个WAF恶意流量检测模块E={ei|i=1,2,...,M},其中ei为第i个检测模块,对每个检测模块ei采用不同的检测方式进行异构化处理;所述检测方式可以选用专注于SQL注入、专注于字符编码、专注于无效注释添加和专注于AI等方式。
2、将流量送入恶意检测模块,得出检测结果t1i(i=1,2,...,M),具体步骤为:
(2.1)若流量为HTTP流量,则直接送入恶意检测模块E。
(2.2)若流量为HTTPS流量,则先将该流量解密为HTTP流量,再送入恶意检测模块E。
3、将每个恶意检测模块ei的检测结果t1i(i=1,2,...,M)送入拟态裁决模块,拟态裁决模块对恶意流量进行判决,得到最终属性t’1∈{0,1};t’1=1表示为恶意流量,t’1=0表示为正常流量;其中拟态裁决方法可以采用加权表决、举手表决等方式。
4、拟态裁决模块根据最终属性对恶意流量h进行不同操作,具体为:
(4.1)若t’1=1,则送入变异模块。
(4.2)若t’1=0,则送入后端服务器。
5、如图2所示,生成对抗恶意流量,主要包括如下子步骤:
(5.1)对恶意流量进行请求头字段提取;提取出URL地址l、URL参数r、User-Agent字段u、Host字段h和Content-Length字段c。
(5.2)变异模块对提取出的字段进行变异,生成对抗恶意HTTP流量;部署多个变异模块可同时生成多个对抗恶意HTTP流量;具体为:
(5.2.1)变异模块对r、u、h进行变异得到r’j(j=1,...,5)、u'k(k=1,2,3)、h’n(n=1,2,3):分别对r进行CC(Case Conversion)、WS(Whitespace Substitution)、IE(Integer Encoding)、OS(Operator Swapping)、IC(Insert Comment)得到r’j(j=1,...,5);分别对u进行八进制转换、十六进制转换得到u'k(k=1,2),再对u进行编码得到u'k(k=3);分别对h进行八进制转换、十六进制转换得到h’n(n=1,2),再对h进行编码得到h’n(n=3)。
(5.2.2)对r’j、u'k、h’n、l、c进行随机组合,从每种字段集合中随机选取一个元素,组合得到对抗恶意HTTP流量。
6、将对抗HTTP恶意流量送入二次检测模块进行二次检测,得到检测结果t'2,二次检测模块的架构包括M个异构的检测模块(和步骤1中的一致)和拟态裁决模块;如图3所示,具体为:
(6.1)若对抗HTTP恶意流量分别送入M个异构的检测模块后经拟态裁决模块得到属性t'2=1,表示检测为恶意流量,即绕过规则失败,则丢弃该对抗HTTP流量。
(6.2)若对抗HTTP恶意流量分别送入M个异构的检测模块后经拟态裁决模块得到属性t'2=0,表示检测为正常流量,即绕过规则成功,则保留该对抗HTTP流量。
7、输出保留的对抗恶意流量,可以用于生成新规则。

Claims (3)

1.一种拟态WAF中的对抗流量生成方法,其特征在于,该方法包括以下步骤:
(1)部署M个WAF恶意流量检测模块E={ei|i=1,2,...,M},其中ei为第i个检测模块;
(2)将流量送入恶意检测模块,得出检测结果t1i。具体步骤为:
(2.1)若流量为HTTP流量,则直接送入恶意检测模块E;
(2.2)若流量为HTTPS流量,则先将该流量解密为HTTP流量,再送入恶意检测模块E;
(3)将每个恶意检测模块的检测结果t1i送入拟态裁决模块,拟态裁决模块对恶意流量进行判决,得到最终属性t′1∈[0,1];
(4)拟态裁决模块根据最终属性对恶意流量h进行不同操作,具体为:
(4.1)若t′1=1,则送入变异模块;
(4.2)若t′1=0,则送入后端服务器;
(5)生成对抗恶意流量,主要包括如下子步骤:
(5.1)对恶意流量进行请求头字段提取;提取出URL地址l、URL参数r、User-Agent字段u、Host字段h、Content-Length字段c;
(5.2)变异模块对提取出的字段进行变异,生成对抗恶意HTTP流量,具体步骤为:
(5.2.1)分别对r进行CC、WS、IE、OS、IC处理得到r′j(j=1,...,5);
(5.2.2)分别对u进行八进制转换、十六进制转换得到u′k(k=1,2),再对u进行编码,得到u′k(k=3);
(5.2.3)分别对h进行八进制转换、十六进制转换得到h′n(n=1,2),再对h进行编码,得到h′n(n=3);
(5.2.4)从r′j、u′k、h′n每种字段集合中随机选取一个元素,组合r′j、u′k、h′n、l、c,得到对抗恶意HTTP流量;
(6)将对抗HTTP恶意流量k送入二次检测模块进行二次检测,得到检测结果t′2,具体为:
(6.1)若t′2=1,即绕过规则失败,则丢弃该对抗HTTP流量;
(6.2)若t′2=0,即绕过规则成功,则保留该对抗HTTP流量;
(7)输出保留的对抗恶意流量。
2.如权利要求1所述拟态WAF中的对抗流量生成方法,其特征在于,所述步骤(1)中,检测模块的检测方式包括专注于SQL注入、专注于字符编码、专注于无效注释添加和专注于AI等。
3.如权利要求1所述拟态WAF中的对抗流量生成方法,其特征在于,所述步骤(3)中,拟态裁决模块的拟态裁决方法包括加权表决和举手表决等。
CN202011239091.6A 2020-11-09 2020-11-09 一种拟态waf中的对抗流量生成方法 Active CN112383529B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011239091.6A CN112383529B (zh) 2020-11-09 2020-11-09 一种拟态waf中的对抗流量生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011239091.6A CN112383529B (zh) 2020-11-09 2020-11-09 一种拟态waf中的对抗流量生成方法

Publications (2)

Publication Number Publication Date
CN112383529A true CN112383529A (zh) 2021-02-19
CN112383529B CN112383529B (zh) 2021-09-24

Family

ID=74579139

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011239091.6A Active CN112383529B (zh) 2020-11-09 2020-11-09 一种拟态waf中的对抗流量生成方法

Country Status (1)

Country Link
CN (1) CN112383529B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124520A (zh) * 2021-11-22 2022-03-01 浙江大学 基于多模态的拟态waf执行体实现方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453299A (zh) * 2016-09-30 2017-02-22 北京奇虎科技有限公司 网络安全监控方法、装置及云端web应用防火墙
CN108616498A (zh) * 2018-02-24 2018-10-02 国家计算机网络与信息安全管理中心 一种web访问异常检测方法和装置
CN109190368A (zh) * 2018-08-19 2019-01-11 杭州安恒信息技术股份有限公司 一种sql注入检测装置及sql注入检测方法
CN109302421A (zh) * 2018-11-23 2019-02-01 国网浙江省电力有限公司电力科学研究院 应用系统安全防护策略优化方法及装置
CN109639659A (zh) * 2018-12-05 2019-04-16 四川长虹电器股份有限公司 一种基于机器学习的web应用防火墙的实现方法
CN110290100A (zh) * 2019-03-06 2019-09-27 广东电网有限责任公司信息中心 一种基于SDN的拟态Web服务器及用户请求处理方法
CN110505235A (zh) * 2019-09-02 2019-11-26 四川长虹电器股份有限公司 一种绕过云waf的恶意请求的检测系统及方法
CN111221844A (zh) * 2019-11-14 2020-06-02 广东电网有限责任公司信息中心 基于拟态指令集随机化的Web服务器防护方法及数据库代理节点

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453299A (zh) * 2016-09-30 2017-02-22 北京奇虎科技有限公司 网络安全监控方法、装置及云端web应用防火墙
CN108616498A (zh) * 2018-02-24 2018-10-02 国家计算机网络与信息安全管理中心 一种web访问异常检测方法和装置
CN109190368A (zh) * 2018-08-19 2019-01-11 杭州安恒信息技术股份有限公司 一种sql注入检测装置及sql注入检测方法
CN109302421A (zh) * 2018-11-23 2019-02-01 国网浙江省电力有限公司电力科学研究院 应用系统安全防护策略优化方法及装置
CN109639659A (zh) * 2018-12-05 2019-04-16 四川长虹电器股份有限公司 一种基于机器学习的web应用防火墙的实现方法
CN110290100A (zh) * 2019-03-06 2019-09-27 广东电网有限责任公司信息中心 一种基于SDN的拟态Web服务器及用户请求处理方法
CN110505235A (zh) * 2019-09-02 2019-11-26 四川长虹电器股份有限公司 一种绕过云waf的恶意请求的检测系统及方法
CN111221844A (zh) * 2019-11-14 2020-06-02 广东电网有限责任公司信息中心 基于拟态指令集随机化的Web服务器防护方法及数据库代理节点

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
DIGAPIS: ""WAF机制及绕过方法总结:注入篇"", 《FREEBUF WEB安全 ,原文链接:HTTPS://WWW.FREEBUF.COM/ARTICLES/WEB/229982.HTML 》 *
S. CHEN, X. JIANG, G. PAN AND C. WU: "Research on Executive Control Strategy of Mimic Web Defense Gateway", 《2019 INTERNATIONAL SYMPOSIUM ON NETWORKS, COMPUTERS AND COMMUNICATIONS (ISNCC)》 *
吴春明等: "" 基于异构冗余架构的拟态防御建模技术"", 《电信科学》 *
陈双喜等: "" 新型主动防御框架的资源对抗模型分析"", 《电子学报》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124520A (zh) * 2021-11-22 2022-03-01 浙江大学 基于多模态的拟态waf执行体实现方法

Also Published As

Publication number Publication date
CN112383529B (zh) 2021-09-24

Similar Documents

Publication Publication Date Title
Han et al. LMCA: a lightweight anomaly network traffic detection model integrating adjusted mobilenet and coordinate attention mechanism for IoT
Jemal et al. Sql injection attack detection and prevention techniques using machine learning
Ghourabi A security model based on lightgbm and transformer to protect healthcare systems from cyberattacks
CN112688928A (zh) 结合自编码器和wgan的网络攻击流量数据增强方法及系统
Zhao et al. CAN bus intrusion detection based on auxiliary classifier GAN and out-of-distribution detection
CN113537400B (zh) 一种基于分支神经网络的边缘计算节点的分配与退出方法
Pan et al. Webshell detection based on executable data characteristics of php code
Shao Encoding IP address as a feature for network intrusion detection
Dodia et al. Exposing the rat in the tunnel: Using traffic analysis for tor-based malware detection
CN115314265B (zh) 基于流量和时序识别tls加密应用的方法和系统
CN112383529B (zh) 一种拟态waf中的对抗流量生成方法
Jafar et al. Analysis and investigation of malicious DNS queries using CIRA-CIC-DoHBrw-2020 dataset
Singh et al. Intrusion detection system using genetic algorithm for cloud
Fu et al. IoV-BERT-IDS: Hybrid Network Intrusion Detection System in IoV Using Large Language Models
Wu et al. Wafbooster: Automatic boosting of waf security against mutated malicious payloads
Liu et al. Spatial‐Temporal Feature with Dual‐Attention Mechanism for Encrypted Malicious Traffic Detection
Brindavathi et al. An Analysis of AI-based SQL Injection (SQLi) Attack Detection
Rashid et al. Enhanced website phishing detection based on the cyber kill chain and cloud computing
CN117354024A (zh) 基于大数据的dns恶意域名检测系统及方法
Hong et al. Hybrid feature selection for efficient detection of DDoS attacks in IoT
Abirami et al. Proactive network packet classification using artificial intelligence
Zhang et al. Construction of two statistical anomaly features for small-sample apt attack traffic classification
Lin et al. CrptAC: Find the Attack Chain with Multiple Encrypted System Logs
Han et al. The Machine Learning Ensemble for Analyzing Internet of Things Networks: Botnet Detection and Device Identification.
Kondaiah et al. Enhanced malicious traffic detection in encrypted communication using TLS features and a multi-class classifier ensemble

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant