CN112383529B - 一种拟态waf中的对抗流量生成方法 - Google Patents
一种拟态waf中的对抗流量生成方法 Download PDFInfo
- Publication number
- CN112383529B CN112383529B CN202011239091.6A CN202011239091A CN112383529B CN 112383529 B CN112383529 B CN 112383529B CN 202011239091 A CN202011239091 A CN 202011239091A CN 112383529 B CN112383529 B CN 112383529B
- Authority
- CN
- China
- Prior art keywords
- traffic
- malicious
- flow
- waf
- http
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本发明公开了一种拟态WAF中的对抗流量生成方法,该方法用于在拟态WAF中针对恶意访问流量产生对抗样本,从而绕过规则。本发明设计了流量收集模块、变异模块、对抗流量生成模块以及对抗流量二次检测模块来实现拟态WAF中的对抗流量生成。当HTTP(S)请求流量经过拟态WAF防御系统时,若被检测为恶意流量,则将该恶意流量输入变异模块,生成对抗恶意流量,对恶意对抗流量进行二次检测,若能绕过检测,则保留用于补充规则,若不能绕过,则丢弃。规则在WAF构造中具有至关重要的作用,而可以绕过规则的恶意流量是补充WAF规则的重要参照,本发明对补充WAF现有规则、优化WAF架构具有重要作用。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种拟态WAF中的对抗流量生成方法。
背景技术
大多数的安全漏洞都是由于利用了WAF的脆弱性而发生的。在理想情况下,提高系统安全性的最佳方法是发现所有的漏洞并修复它们,但是由于系统的复杂性以及难评估性,几乎不可能做到修复所有漏洞,因此尽可能全面的补充WAF规则是一项重要且艰巨的任务。普通WAF虽可以阻挡住一种常规的恶意流量,但是对于该流量的多种变形不一定可以阻挡住。
发明内容
本发明的目的在于针对现有技术的不足,提供一种拟态WAF中的对抗流量生成方法。本发明基于拟态思想对常规恶意流量进行多种变形,生成恶意对抗HTTP(S)流量,可以用来补充正则规则或用作训练集进一步训练AI检测模型。
本发明的目的是通过以下技术方案实现的:一种拟态WAF中的对抗流量生成方法,该方法包括以下步骤:
(1)部署M个WAF恶意流量检测模块E={ei|i=1,2,...,M},其中ei为第i个检测模块;
(2)将流量送入恶意检测模块,得出检测结果t1i。具体步骤为:
(2.1)若流量为HTTP流量,则直接送入恶意检测模块E;
(2.2)若流量为HTTPS流量,则先将该流量解密为HTTP流量,再送入恶意检测模块E;
(3)将每个恶意检测模块的检测结果t1i送入拟态裁决模块,拟态裁决模块对恶意流量进行判决,得到最终属性t’1∈[0,1];
(4)拟态裁决模块根据最终属性对恶意流量h进行不同操作,具体为:
(4.1)若t’1=1,则送入变异模块;
(4.2)若t’1=0,则送入后端服务器;
(5)生成对抗恶意流量,主要包括如下子步骤:
(5.1)对恶意流量进行请求头字段提取;提取出URL地址l、URL参数r、User-Agent字段u、Host字段h、Content-Length字段c;
(5.2)变异模块对提取出的字段进行变异,生成对抗恶意HTTP流量,具体步骤为:
(5.2.1)分别对r进行CC、WS、IE、OS、IC处理得到r’j(j=1,...,5);
(5.2.2)分别对u进行八进制转换、十六进制转换得到u'k(k=1,2),再对u进行编码,得到u'k(k=3);
(5.2.3)分别对h进行八进制转换、十六进制转换得到h’n(n=1,2),再对h进行编码,得到h’n(n=3);
(5.2.4)从r’j、u'k、h’n每种字段集合中随机选取一个元素,组合r’j、u'k、h’n、l、c,得到对抗恶意HTTP流量;
(6)将对抗HTTP恶意流量k送入二次检测模块进行二次检测,得到检测结果t'2,具体为:
(6.1)若t'2=1,即绕过规则失败,则丢弃该对抗HTTP流量;
(6.2)若t'2=0,即绕过规则成功,则保留该对抗HTTP流量;
(7)输出保留的对抗恶意流量。
进一步地,所述步骤(1)中,检测模块的检测方式包括专注于SQL注入、专注于字符编码、专注于无效注释添加和专注于AI等。
进一步地,所述步骤(3)中,拟态裁决模块的拟态裁决方法包括加权表决和举手表决等。
本发明的有益效果是:本发明根据WAF中常用的规则绕过手段,基于WAF的性能以及安全要求,提供了一种恶意对抗HTTP流量生成方法,具有如下特点:
(1)根据多种绕过手段,生成多种变异算子,对HTTP流量中提取到的每个关键字进行对抗生成,再随机组合,生成恶意对抗HTTP流量,保证了生成恶意对抗HTTP流量的随机性与多样性;
(2)对恶意对抗HTTP流量进行二次检测,保留可以绕过规则的对抗HTTP恶意流量,是WAF中规则补充的重要依据。
附图说明
图1是生成恶意对抗HTTP流量的整体生成架构;
图2是变异模块架构图;
图3是二次检测模块构造图。
具体实施方式
本发明设计了流量收集模块、变异模块及对抗流量二次检测模块来实现拟态WAF中的对抗流量生成。当HTTP(S)请求流量经过拟态WAF防御系统时,若被检测为恶意流量,则将该恶意流量输入变异模块,生成对抗恶意流量,对恶意对抗流量进行二次检测,若能绕过检测,则保留用于补充规则,若不能绕过,则丢弃。规则在WAF构造中具有至关重要的作用,而可以绕过规则的恶意流量是补充WAF规则的重要参照,本发明主要对可以绕过规则HTTP恶意流量进行对抗生成,对补充WAF现有规则,优化WAF架构具有重要作用。如图1所示,本发明一种拟态WAF中的对抗流量生成方法主要包括以下步骤:
1、部署M个WAF恶意流量检测模块E={ei|i=1,2,...,M},其中ei为第i个检测模块,对每个检测模块ei采用不同的检测方式进行异构化处理;所述检测方式可以选用专注于SQL注入、专注于字符编码、专注于无效注释添加和专注于AI等方式。
2、将流量送入恶意检测模块,得出检测结果t1i(i=1,2,...,M),具体步骤为:
(2.1)若流量为HTTP流量,则直接送入恶意检测模块E。
(2.2)若流量为HTTPS流量,则先将该流量解密为HTTP流量,再送入恶意检测模块E。
3、将每个恶意检测模块ei的检测结果t1i(i=1,2,...,M)送入拟态裁决模块,拟态裁决模块对恶意流量进行判决,得到最终属性t’1∈{0,1};t’1=1表示为恶意流量,t’1=0表示为正常流量;其中拟态裁决方法可以采用加权表决、举手表决等方式。
4、拟态裁决模块根据最终属性对恶意流量h进行不同操作,具体为:
(4.1)若t’1=1,则送入变异模块。
(4.2)若t’1=0,则送入后端服务器。
5、如图2所示,生成对抗恶意流量,主要包括如下子步骤:
(5.1)对恶意流量进行请求头字段提取;提取出URL地址l、URL参数r、User-Agent字段u、Host字段h和Content-Length字段c。
(5.2)变异模块对提取出的字段进行变异,生成对抗恶意HTTP流量;部署多个变异模块可同时生成多个对抗恶意HTTP流量;具体为:
(5.2.1)变异模块对r、u、h进行变异得到r’j(j=1,...,5)、u'k(k=1,2,3)、h’n(n=1,2,3):分别对r进行CC(Case Conversion)、WS(Whitespace Substitution)、IE(Integer Encoding)、OS(Operator Swapping)、IC(Insert Comment)得到r’j(j=1,...,5);分别对u进行八进制转换、十六进制转换得到u'k(k=1,2),再对u进行编码得到u'k(k=3);分别对h进行八进制转换、十六进制转换得到h’n(n=1,2),再对h进行编码得到h’n(n=3)。
(5.2.2)对r’j、u'k、h’n、l、c进行随机组合,从每种字段集合中随机选取一个元素,组合得到对抗恶意HTTP流量。
6、将对抗HTTP恶意流量送入二次检测模块进行二次检测,得到检测结果t'2,二次检测模块的架构包括M个异构的检测模块(和步骤1中的一致)和拟态裁决模块;如图3所示,具体为:
(6.1)若对抗HTTP恶意流量分别送入M个异构的检测模块后经拟态裁决模块得到属性t'2=1,表示检测为恶意流量,即绕过规则失败,则丢弃该对抗HTTP流量。
(6.2)若对抗HTTP恶意流量分别送入M个异构的检测模块后经拟态裁决模块得到属性t'2=0,表示检测为正常流量,即绕过规则成功,则保留该对抗HTTP流量。
7、输出保留的对抗恶意流量,可以用于生成新规则。
Claims (3)
1.一种拟态WAF中的对抗流量生成方法,其特征在于,该方法包括以下步骤:
(1)部署M个WAF恶意流量检测模块E={ei|i=1,2,...,M},其中ei为第i个检测模块;
(2)将流量送入恶意检测模块,得出检测结果t1i;具体步骤为:
(2.1)若流量为HTTP流量,则直接送入恶意检测模块E;
(2.2)若流量为HTTPS流量,则先将该流量解密为HTTP流量,再送入恶意检测模块E;
(3)将每个恶意检测模块的检测结果t1i送入拟态裁决模块,拟态裁决模块对恶意流量进行判决,得到最终属性t′1∈[0,1];
(4)拟态裁决模块根据最终属性对恶意流量进行不同操作,具体为:
(4.1)若t′1=1,则送入变异模块;
(4.2)若t′1=0,则送入后端服务器;
(5)生成对抗恶意流量,主要包括如下子步骤:
(5.1)对恶意流量进行请求头字段提取;提取出URL地址l、URL参数r、User-Agent字段u、Host字段h、Content-Length字段c;
(5.2)变异模块对提取出的字段进行变异,生成对抗恶意HTTP流量,具体步骤为:
(5.2.1)分别对r进行Case Conversion、Whitespace Substitution、IntegerEncoding、Operator Swapping、Insert Comment处理得到r′j,j=1,...,5;
(5.2.2)分别对u进行八进制转换、十六进制转换得到u′1、u′2,再对u进行编码,得到u′3;
(5.2.3)分别对h进行八进制转换、十六进制转换得到h′1、h′2,再对h进行编码,得到h′3;
(5.2.4)从r′j、u′k、h′n每种字段集合中随机选取一个元素,组合r′j、u′k、h′n、l、c,得到对抗恶意HTTP流量;k=1~3,n=1~3;
(6)将对抗恶意HTTP流量送入二次检测模块进行二次检测,得到检测结果t′2,具体为:
(6.1)若t′2=1,即绕过规则失败,则丢弃该对抗HTTP流量;
(6.2)若t′2=0,即绕过规则成功,则保留该对抗HTTP流量;
(7)输出保留的对抗恶意流量。
2.如权利要求1所述拟态WAF中的对抗流量生成方法,其特征在于,所述步骤(1)中,检测模块的检测方式包括专注于SQL注入、专注于字符编码、专注于无效注释添加和专注于AI。
3.如权利要求1所述拟态WAF中的对抗流量生成方法,其特征在于,所述步骤(3)中,拟态裁决模块的拟态裁决方法包括加权表决和举手表决。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011239091.6A CN112383529B (zh) | 2020-11-09 | 2020-11-09 | 一种拟态waf中的对抗流量生成方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011239091.6A CN112383529B (zh) | 2020-11-09 | 2020-11-09 | 一种拟态waf中的对抗流量生成方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112383529A CN112383529A (zh) | 2021-02-19 |
CN112383529B true CN112383529B (zh) | 2021-09-24 |
Family
ID=74579139
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011239091.6A Active CN112383529B (zh) | 2020-11-09 | 2020-11-09 | 一种拟态waf中的对抗流量生成方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112383529B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114124520A (zh) * | 2021-11-22 | 2022-03-01 | 浙江大学 | 基于多模态的拟态waf执行体实现方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110290100A (zh) * | 2019-03-06 | 2019-09-27 | 广东电网有限责任公司信息中心 | 一种基于SDN的拟态Web服务器及用户请求处理方法 |
CN111221844A (zh) * | 2019-11-14 | 2020-06-02 | 广东电网有限责任公司信息中心 | 基于拟态指令集随机化的Web服务器防护方法及数据库代理节点 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106453299B (zh) * | 2016-09-30 | 2020-04-07 | 北京奇虎测腾科技有限公司 | 网络安全监控方法、装置及云端web应用防火墙 |
CN108616498A (zh) * | 2018-02-24 | 2018-10-02 | 国家计算机网络与信息安全管理中心 | 一种web访问异常检测方法和装置 |
CN109190368B (zh) * | 2018-08-19 | 2021-01-12 | 杭州安恒信息技术股份有限公司 | 一种sql注入检测装置及sql注入检测方法 |
CN109302421B (zh) * | 2018-11-23 | 2021-05-18 | 国网浙江省电力有限公司电力科学研究院 | 应用系统安全防护策略优化方法及装置 |
CN109639659A (zh) * | 2018-12-05 | 2019-04-16 | 四川长虹电器股份有限公司 | 一种基于机器学习的web应用防火墙的实现方法 |
CN110505235B (zh) * | 2019-09-02 | 2021-10-01 | 四川长虹电器股份有限公司 | 一种绕过云waf的恶意请求的检测系统及方法 |
-
2020
- 2020-11-09 CN CN202011239091.6A patent/CN112383529B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110290100A (zh) * | 2019-03-06 | 2019-09-27 | 广东电网有限责任公司信息中心 | 一种基于SDN的拟态Web服务器及用户请求处理方法 |
CN111221844A (zh) * | 2019-11-14 | 2020-06-02 | 广东电网有限责任公司信息中心 | 基于拟态指令集随机化的Web服务器防护方法及数据库代理节点 |
Also Published As
Publication number | Publication date |
---|---|
CN112383529A (zh) | 2021-02-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Dutta et al. | Generative adversarial networks in security: A survey | |
US11582251B2 (en) | Identifying patterns in computing attacks through an automated traffic variance finder | |
Razaque et al. | Efficient and reliable forensics using intelligent edge computing | |
CN112688928A (zh) | 结合自编码器和wgan的网络攻击流量数据增强方法及系统 | |
CN111221844A (zh) | 基于拟态指令集随机化的Web服务器防护方法及数据库代理节点 | |
CN112383529B (zh) | 一种拟态waf中的对抗流量生成方法 | |
Zhao et al. | CAN bus intrusion detection based on auxiliary classifier GAN and out-of-distribution detection | |
Shao | Encoding IP address as a feature for network intrusion detection | |
Bao et al. | Using passive dns to detect malicious domain name | |
CN113537400B (zh) | 一种基于分支神经网络的边缘计算节点的分配与退出方法 | |
Hu et al. | Network traffic classification model based on attention mechanism and spatiotemporal features | |
Singh et al. | Intrusion detection system using genetic algorithm for cloud | |
Khajehpour et al. | Deep inside tor: Exploring website fingerprinting attacks on tor traffic in realistic settings | |
US20110093694A1 (en) | Pattern Recognition Using Transition Table Templates | |
Han et al. | LMCA: a lightweight anomaly network traffic detection model integrating adjusted mobilenet and coordinate attention mechanism for IoT | |
CN115314265B (zh) | 基于流量和时序识别tls加密应用的方法和系统 | |
Ray et al. | Detection of malicious URLs using deep learning approach | |
Hong et al. | Hybrid feature selection for efficient detection of DDoS attacks in IoT | |
Abirami et al. | Proactive network packet classification using artificial intelligence | |
EP3965362A1 (en) | Machine learning to determine domain reputation, content classification, phishing sites, and command and control sites | |
CN1276342C (zh) | 基于动态口令的身份鉴别方法 | |
Shen et al. | Deep Learning Powered Adversarial Sample Attack Approach for Security Detection of DGA Domain Name in Cyber Physical Systems | |
Zhang et al. | Construction of two statistical anomaly features for small-sample apt attack traffic classification | |
CN114462025A (zh) | 一种拟态waf中基于无监督思想的正则规则生成方法 | |
Chen et al. | TLS-MHSA: An Efficient Detection Model for Encrypted Malicious Traffic based on Multi-Head Self-Attention Mechanism |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |