CN114499991A - 一种拟态waf中恶意流量检测和行为分析方法 - Google Patents
一种拟态waf中恶意流量检测和行为分析方法 Download PDFInfo
- Publication number
- CN114499991A CN114499991A CN202111652529.8A CN202111652529A CN114499991A CN 114499991 A CN114499991 A CN 114499991A CN 202111652529 A CN202111652529 A CN 202111652529A CN 114499991 A CN114499991 A CN 114499991A
- Authority
- CN
- China
- Prior art keywords
- detection
- behavior
- malicious
- flow
- detection result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/2431—Multiple classes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种拟态WAF中恶意流量检测和行为分析方法,首先将HTTP(S)流量同时输入异构检测模块和行为检测模型1进行检测,对于异构检测模块中的流量,若检测结果为0,则放行,记录其检测结果为正常流量,若检测结果为1,则送入行为检测模型2进行行为分析,最后输出最终的检测结果和行为分析结果;对于送入行为检测模型1中的流量,若检测结果为正常行为,则输出检测结果为正常流量,若检测结果为恶意,则输出检测结果及其对应的恶意行为类别。本发明基于拟态防御思想,对恶意HTTP(S)流量进行双重检测和行为分析,可以降低漏报率。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种拟态WAF中恶意流量检测和行为分析方法。
背景技术
随着云计算领域的快速发展,云安全问题变得越来越重要。邬江兴院士提出了网络空间拟态防御方法(CMD,cyber mimic defense),将拟态防御技术应用到云服务,抵御攻击,加强安全效能。传统WAF大多只采用正则检测的方法,但是这种方法存在着很大缺陷,具有一定的局限性。
发明内容
本发明的目的在于针对现有技术的不足,提供一种拟态WAF中恶意流量检测和行为分析方法。本发明能够实现对流量进行多重检测和行为分析,可以降低漏报率,提升了WAF检测和拦截未知恶意流量的能力。
本发明的目的通过以下技术方案来实现的:一种拟态WAF中恶意流量检测和行为分析方法,包含以下步骤:
(1)将HTTP(S)流量同时送入异构检测模块Mj(j=1,2,...,n,n+1)和行为检测模型1进行检测。
(1.1)对于异构检测模块:
(1.1.1)将HTTP(S)流量同时送入一个正则检测模块和n个AI检测模型,得到n+1个检测结果rj(j=1,2,...,n,n+1),其中rj∈[0,1];
(1.1.2)将n+1个检测结果rj送入裁决模块:
若R<0.5,则记最终检测结果r1=0,表示初步检测结果为正常流量;
若R≥0.5,则记r1=1,表示初步检测结果为恶意流量。
(1.2)对于行为检测模型1,得到恶意行为检测结果h′∈[h0,h1,...,hm];其中,h0代表正常行为,h1,h2,...,hm代表m种异常行为;
(2)将异构检测模块检测到的恶意流量,送入行为检测模型2,进行恶意行为检测,得到检测结果h∈[h1,h2,...,hm]。
进一步地,拦截恶意流量,每个恶意流量对应两个行为检测模型输出的检测结果。
进一步地,行为检测模型1和行为检测模型2均为分类模型。
进一步地,分类模型包括CNN、RNN、LSTM等。
本发明的有益效果是:本发明对传统WAF的恶意检测方式进行优化,对流量进行异构检测和行为分析检测的双重检测,同时可以得到恶意流量对应的恶意行为,降低了恶意流量检测的错误率、漏报率,同时便于相关人员对恶意流量对应的恶意行为进行分析,采取更妥善的防御措施。
附图说明
图1为拟态WAF中异构检测结合语义分析的流量检测和行为分析方法示意图。
具体实施方式
如图1所示,本发明一种拟态WAF中恶意流量检测和行为分析方法,基于拟态防御思想,设计了异构检测模块、裁决模块、行为检测模型1和行为检测模型2。首先将HTTP(S)流量同时输入异构检测模块和行为检测模型1进行检测;对于异构检测模块中的流量,若检测结果为0,则放行,记录其检测结果为正常流量;若检测结果为1,则送入行为检测模型2进行行为分析;最后输出最终的检测结果和行为分析结果;对于送入行为检测模型1中的流量,若检测结果为正常行为,则输出检测结果为正常流量;若检测结果为恶意,则输出检测结果及其对应的恶意行为类别。具体包括以下步骤:
(1)将HTTP/HTTPS流量同时送入异构检测模块Mj(j=1,2,..,n,n+1)和行为检测模型1进行检测。
(1.1)异构检测模块用于判断是否为恶意流量:
(1.1.1)将HTTP/HTTPS流量同时送入一个正则检测模块和n个不同的AI检测模型i(i=1~n),得到n+1个检测结果rj(j=1,2,..,n,n+1),rj∈[0,1];其中,0表示正常流量,1表示恶意流量。
(a)若R<0.5,则记最终检测结果r1=0,表示初步检测结果为正常流量。
(b)若R≥0.5,则记r1=1,表示初步检测结果为恶意流量。
(1.2)行为检测模型1用于进行恶意行为检测,得到检测结果h′,h′∈[h0,h1,...,hm],其中,h0代表正常行为,h1,h2,...,hm代表m种异常行为,由人为设定。行为检测模型1是一个分类模型,可以使用CNN、RNN、LSTM等。
(2)将步骤(1.1)异构检测结果r1=1的恶意流量,送入行为检测模型2,进行恶意行为检测,得到检测结果h∈[h1,h2,...,hm]。其中,行为检测模型2也是一个分类模型,可使用CNN、RNN、LSTM等;行为检测模型2训练出的权重参数与行为检测模型1不同。
(3)合并行为检测模型1输出的hr≠h0和行为检测模型2输出为h,对应的流量,将它们拦截,并输出对应的异常行为。
Claims (4)
1.一种拟态WAF中恶意流量检测和行为分析方法,其特征在于,包含以下步骤:
(1)将HTTP(S)流量同时送入异构检测模块Mj(j=1,2,...,n,n+1)和行为检测模型1进行检测。
(1.1)对于异构检测模块:
(1.1.1)将HTTP(S)流量同时送入一个正则检测模块和n个AI检测模型,得到n+1个检测结果rj(j=1.2,...,n,n+1),其中rj∈[0,1];
(1.1.2)将n+1个检测结果rj送入裁决模块:
若R<0.5,则记最终检测结果r1=0,表示初步检测结果为正常流量;
若R≥0.5,则记r1=1,表示初步检测结果为恶意流量。
(1.2)对于行为检测模型1,得到恶意行为检测结果h′∈[h0,h1,...,hm];其中,h0代表正常行为,h1,h2,...,hm代表m种异常行为;
(2)将异构检测模块检测到的恶意流量,送入行为检测模型2,进行恶意行为检测,得到检测结果h∈[h1,h2,...,hm]。
2.如权利要求1所述拟态WAF中恶意流量检测和行为分析方法,其特征在于,拦截恶意流量,每个恶意流量对应两个行为检测模型输出的检测结果。
3.如权利要求1所述拟态WAF中恶意流量检测和行为分析方法,其特征在于,行为检测模型1和行为检测模型2均为分类模型。
4.如权利要求3所述拟态WAF中恶意流量检测和行为分析方法,其特征在于,分类模型包括CNN、RNN、LSTM等。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111652529.8A CN114499991B (zh) | 2021-12-30 | 2021-12-30 | 一种拟态waf中恶意流量检测和行为分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111652529.8A CN114499991B (zh) | 2021-12-30 | 2021-12-30 | 一种拟态waf中恶意流量检测和行为分析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114499991A true CN114499991A (zh) | 2022-05-13 |
CN114499991B CN114499991B (zh) | 2023-04-18 |
Family
ID=81508435
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111652529.8A Active CN114499991B (zh) | 2021-12-30 | 2021-12-30 | 一种拟态waf中恶意流量检测和行为分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114499991B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040059695A1 (en) * | 2002-09-20 | 2004-03-25 | Weimin Xiao | Neural network and method of training |
CN108322445A (zh) * | 2018-01-02 | 2018-07-24 | 华东电力试验研究院有限公司 | 一种基于迁移学习和集成学习的网络入侵检测方法 |
CN110166436A (zh) * | 2019-04-18 | 2019-08-23 | 杭州电子科技大学 | 采用随机选择进行动态调度的拟态Web网关系统及方法 |
CN110213287A (zh) * | 2019-06-12 | 2019-09-06 | 北京理工大学 | 一种基于集成机器学习算法的双模式入侵检测装置 |
CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
CN110839042A (zh) * | 2019-11-22 | 2020-02-25 | 上海交通大学 | 一种基于流量的自反馈恶意软件监测系统和方法 |
CN112187833A (zh) * | 2020-11-09 | 2021-01-05 | 浙江大学 | 一种拟态waf中的ai+正则双匹配检测方法 |
US20210218754A1 (en) * | 2020-01-13 | 2021-07-15 | Shanghai Jiaotong University | System for Malicious HTTP Traffic Detection with Multi-Field Relation |
CN113194091A (zh) * | 2021-04-28 | 2021-07-30 | 顶象科技有限公司 | 恶意流量入侵检测系统和硬件平台 |
US20210281492A1 (en) * | 2020-03-09 | 2021-09-09 | Cisco Technology, Inc. | Determining context and actions for machine learning-detected network issues |
-
2021
- 2021-12-30 CN CN202111652529.8A patent/CN114499991B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040059695A1 (en) * | 2002-09-20 | 2004-03-25 | Weimin Xiao | Neural network and method of training |
CN108322445A (zh) * | 2018-01-02 | 2018-07-24 | 华东电力试验研究院有限公司 | 一种基于迁移学习和集成学习的网络入侵检测方法 |
CN110166436A (zh) * | 2019-04-18 | 2019-08-23 | 杭州电子科技大学 | 采用随机选择进行动态调度的拟态Web网关系统及方法 |
CN110213287A (zh) * | 2019-06-12 | 2019-09-06 | 北京理工大学 | 一种基于集成机器学习算法的双模式入侵检测装置 |
CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
CN110839042A (zh) * | 2019-11-22 | 2020-02-25 | 上海交通大学 | 一种基于流量的自反馈恶意软件监测系统和方法 |
US20210218754A1 (en) * | 2020-01-13 | 2021-07-15 | Shanghai Jiaotong University | System for Malicious HTTP Traffic Detection with Multi-Field Relation |
US20210281492A1 (en) * | 2020-03-09 | 2021-09-09 | Cisco Technology, Inc. | Determining context and actions for machine learning-detected network issues |
CN112187833A (zh) * | 2020-11-09 | 2021-01-05 | 浙江大学 | 一种拟态waf中的ai+正则双匹配检测方法 |
CN113194091A (zh) * | 2021-04-28 | 2021-07-30 | 顶象科技有限公司 | 恶意流量入侵检测系统和硬件平台 |
Non-Patent Citations (7)
Title |
---|
WEIJUN ZHU; YICHEN LIU: "If Air-Gap Attacks Encounter the Mimic Defense" * |
WU QIANG;WU CHUNMING: "Intrinsic Security and Self-Adaptive Cooperative Protection Enabling Cloud Native Network Slicing", 《IEEE TRANSACTIONS ON NETWORK AND SERVICE MANAGEMENT 》 * |
XIAONAN SANG; QIANMU LI: "Mimic Defense Techniques of Edge-Computing Terminal" * |
秦俊宁等: "基于异构冗余架构的拟态防御建模技术", 《电信科学》 * |
翟明芳;张兴明;赵博;: "基于深度学习的加密恶意流量检测研究" * |
赵蓓等: "基于攻击分类的异构检测引擎构建技术", 《科技导报》 * |
陈利跃等: "面向Web隐藏后门技术的防御", 《电信科学》 * |
Also Published As
Publication number | Publication date |
---|---|
CN114499991B (zh) | 2023-04-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Feng et al. | Heterogeneity-aware twitter bot detection with relational graph transformers | |
WO2021088372A1 (zh) | SDN网络中基于神经网络的DDoS检测方法及系统 | |
WO2021077642A1 (zh) | 一种基于异构图嵌入的网络空间安全威胁检测方法及系统 | |
Folino et al. | Ensemble based collaborative and distributed intrusion detection systems: A survey | |
Liu et al. | A GAN and feature selection-based oversampling technique for intrusion detection | |
Zhang et al. | Comparative research on network intrusion detection methods based on machine learning | |
CN102591854B (zh) | 针对文本特征的广告过滤系统及其过滤方法 | |
CN107911346B (zh) | 一种基于极限学习机的入侵检测方法 | |
Peng et al. | Network intrusion detection based on deep learning | |
TW200849917A (en) | Detecting method of network invasion | |
CN112187833B (zh) | 一种拟态waf中的ai+正则双匹配检测方法 | |
CN110134876B (zh) | 一种基于群智传感器的网络空间群体性事件感知与检测方法 | |
CN111652732A (zh) | 一种基于交易图匹配的比特币异常交易实体识别方法 | |
CN104579782A (zh) | 一种热点安全事件的识别方法及系统 | |
Feng et al. | BotFlowMon: Learning-based, content-agnostic identification of social bot traffic flows | |
El-Kadhi et al. | A Mobile Agents and Artificial Neural Networks for Intrusion Detection. | |
Zhang et al. | Temporal burstiness and collaborative camouflage aware fraud detection | |
CN114499991A (zh) | 一种拟态waf中恶意流量检测和行为分析方法 | |
Hao et al. | A sequential detection method for intrusion detection system based on artificial neural networks | |
Zhu et al. | Application of data mining technology in detecting network intrusion and security maintenance | |
Qiao et al. | Malware classification method based on word vector of bytes and multilayer perception | |
Xu et al. | Hybrid model for network anomaly detection with gradient boosting decision trees and tabtransformer | |
CN117478403A (zh) | 一种全场景网络安全威胁关联分析方法及系统 | |
Qi | Computer Real-Time Location Forensics Method for Network Intrusion Crimes. | |
CN115080554A (zh) | 一种基于多维数据碰撞分析的告警方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |