CN114499991B - 一种拟态waf中恶意流量检测和行为分析方法 - Google Patents
一种拟态waf中恶意流量检测和行为分析方法 Download PDFInfo
- Publication number
- CN114499991B CN114499991B CN202111652529.8A CN202111652529A CN114499991B CN 114499991 B CN114499991 B CN 114499991B CN 202111652529 A CN202111652529 A CN 202111652529A CN 114499991 B CN114499991 B CN 114499991B
- Authority
- CN
- China
- Prior art keywords
- detection
- behavior
- malicious
- flow
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/2431—Multiple classes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Biophysics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Biomedical Technology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种拟态WAF中恶意流量检测和行为分析方法,首先将HTTP(S)流量同时输入异构检测模块和行为检测模型1进行检测,对于异构检测模块中的流量,若检测结果为0,则放行,记录其检测结果为正常流量,若检测结果为1,则送入行为检测模型2进行行为分析,最后输出最终的检测结果和行为分析结果;对于送入行为检测模型1中的流量,若检测结果为正常行为,则输出检测结果为正常流量,若检测结果为恶意,则输出检测结果及其对应的恶意行为类别。本发明基于拟态防御思想,对恶意HTTP(S)流量进行双重检测和行为分析,可以降低漏报率。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种拟态WAF中恶意流量检测和行为分析方法。
背景技术
随着云计算领域的快速发展,云安全问题变得越来越重要。邬江兴院士提出了网络空间拟态防御方法(CMD,cyber mimic defense),将拟态防御技术应用到云服务,抵御攻击,加强安全效能。传统WAF大多只采用正则检测的方法,但是这种方法存在着很大缺陷,具有一定的局限性。
发明内容
本发明的目的在于针对现有技术的不足,提供一种拟态WAF中恶意流量检测和行为分析方法。本发明能够实现对流量进行多重检测和行为分析,可以降低漏报率,提升了WAF检测和拦截未知恶意流量的能力。
本发明的目的通过以下技术方案来实现的:一种拟态WAF中恶意流量检测和行为分析方法,包含以下步骤:
(1)将HTTP(S)流量同时送入异构检测模块Mj(j=1,2,...,n,n+1)和行为检测模型1进行检测。
(1.1)对于异构检测模块:
(1.1.1)将HTTP(S)流量同时送入一个正则检测模块和n个AI检测模型,得到n+1个检测结果rj(j=1,2,...,n,n+1),其中rj∈[0,1];
(1.1.2)将n+1个检测结果rj送入裁决模块:
若R<0.5,则记最终检测结果r1=0,表示初步检测结果为正常流量;
若R≥0.5,则记r1=1,表示初步检测结果为恶意流量。
(1.2)对于行为检测模型1,得到恶意行为检测结果h′∈[h0,h1,...,hm];其中,h0代表正常行为,h1,h2,...,hm代表m种异常行为;
(2)将异构检测模块检测到的恶意流量,送入行为检测模型2,进行恶意行为检测,得到检测结果h∈[h1,h2,...,hm]。
进一步地,拦截恶意流量,每个恶意流量对应两个行为检测模型输出的检测结果。
进一步地,行为检测模型1和行为检测模型2均为分类模型。
进一步地,分类模型包括CNN、RNN、LSTM等。
本发明的有益效果是:本发明对传统WAF的恶意检测方式进行优化,对流量进行异构检测和行为分析检测的双重检测,同时可以得到恶意流量对应的恶意行为,降低了恶意流量检测的错误率、漏报率,同时便于相关人员对恶意流量对应的恶意行为进行分析,采取更妥善的防御措施。
附图说明
图1为拟态WAF中异构检测结合语义分析的流量检测和行为分析方法示意图。
具体实施方式
如图1所示,本发明一种拟态WAF中恶意流量检测和行为分析方法,基于拟态防御思想,设计了异构检测模块、裁决模块、行为检测模型1和行为检测模型2。首先将HTTP(S)流量同时输入异构检测模块和行为检测模型1进行检测;对于异构检测模块中的流量,若检测结果为0,则放行,记录其检测结果为正常流量;若检测结果为1,则送入行为检测模型2进行行为分析;最后输出最终的检测结果和行为分析结果;对于送入行为检测模型1中的流量,若检测结果为正常行为,则输出检测结果为正常流量;若检测结果为恶意,则输出检测结果及其对应的恶意行为类别。具体包括以下步骤:
(1)将HTTP/HTTPS流量同时送入异构检测模块Mj(j=1,2,..,n,n+1)和行为检测模型1进行检测。
(1.1)异构检测模块用于判断是否为恶意流量:
(1.1.1)将HTTP/HTTPS流量同时送入一个正则检测模块和n个不同的AI检测模型i(i=1~n),得到n+1个检测结果rj(j=1,2,..,n,n+1),rj∈[0,1];其中,0表示正常流量,1表示恶意流量。
(a)若R<0.5,则记最终检测结果r1=0,表示初步检测结果为正常流量。
(b)若R≥0.5,则记r1=1,表示初步检测结果为恶意流量。
(1.2)行为检测模型1用于进行恶意行为检测,得到检测结果h′,h′∈[h0,h1,...,hm],其中,h0代表正常行为,h1,h2,...,hm代表m种异常行为,由人为设定。行为检测模型1是一个分类模型,可以使用CNN、RNN、LSTM等。
(2)将步骤(1.1)异构检测结果r1=1的恶意流量,送入行为检测模型2,进行恶意行为检测,得到检测结果h∈[h1,h2,...,hm]。其中,行为检测模型2也是一个分类模型,可使用CNN、RNN、LSTM等;行为检测模型2训练出的权重参数与行为检测模型1不同。
(3)合并行为检测模型1输出的hr≠h0和行为检测模型2输出为h,对应的流量,将它们拦截,并输出对应的异常行为。
Claims (3)
1.一种拟态WAF中恶意流量检测和行为分析方法,其特征在于,包含以下步骤:
(1)将HTTP(S)流量同时送入异构检测模块和行为检测模型1进行检测;
(1.1)对于异构检测模块:
(1.1.1)将HTTP(S)流量同时送入一个正则检测模块和n个AI检测模型,得到n+1个检测结果,其中;
(1.1.2)将n+1个检测结果送入裁决模块:
计算加权和;其中,为的权重;
若,则记最终检测结果r1=0,表示初步检测结果为正常流量;
若,则记r1=1,表示初步检测结果为恶意流量;
(1.2)对于行为检测模型1,得到恶意行为检测结果;其中,代表正常行为,代表m种异常行为;行为检测模型1是一个分类模型;
(2)将异构检测模块检测到的恶意流量,送入行为检测模型2,进行恶意行为检测,得到检测结果;其中,行为检测模型2也是一个分类模型;行为检测模型2训练出的权重参数与行为检测模型1不同;
(3)合并行为检测模型1输出的 和行为检测模型2输出为h,对应的流量,将它们拦截,并输出对应的异常行为。
2.如权利要求1所述拟态WAF中恶意流量检测和行为分析方法,其特征在于,拦截恶意流量,每个恶意流量对应两个行为检测模型输出的检测结果。
3.如权利要求1所述拟态WAF中恶意流量检测和行为分析方法,其特征在于,分类模型包括CNN、RNN、LSTM。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111652529.8A CN114499991B (zh) | 2021-12-30 | 2021-12-30 | 一种拟态waf中恶意流量检测和行为分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111652529.8A CN114499991B (zh) | 2021-12-30 | 2021-12-30 | 一种拟态waf中恶意流量检测和行为分析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114499991A CN114499991A (zh) | 2022-05-13 |
CN114499991B true CN114499991B (zh) | 2023-04-18 |
Family
ID=81508435
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111652529.8A Active CN114499991B (zh) | 2021-12-30 | 2021-12-30 | 一种拟态waf中恶意流量检测和行为分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114499991B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110166436A (zh) * | 2019-04-18 | 2019-08-23 | 杭州电子科技大学 | 采用随机选择进行动态调度的拟态Web网关系统及方法 |
CN110839042A (zh) * | 2019-11-22 | 2020-02-25 | 上海交通大学 | 一种基于流量的自反馈恶意软件监测系统和方法 |
CN113194091A (zh) * | 2021-04-28 | 2021-07-30 | 顶象科技有限公司 | 恶意流量入侵检测系统和硬件平台 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040059695A1 (en) * | 2002-09-20 | 2004-03-25 | Weimin Xiao | Neural network and method of training |
CN108322445A (zh) * | 2018-01-02 | 2018-07-24 | 华东电力试验研究院有限公司 | 一种基于迁移学习和集成学习的网络入侵检测方法 |
CN110213287B (zh) * | 2019-06-12 | 2020-07-10 | 北京理工大学 | 一种基于集成机器学习算法的双模式入侵检测装置 |
CN110753064B (zh) * | 2019-10-28 | 2021-05-07 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
US11483340B2 (en) * | 2020-01-13 | 2022-10-25 | Shanghai Jiaotong University | System for malicious HTTP traffic detection with multi-field relation |
US20210281492A1 (en) * | 2020-03-09 | 2021-09-09 | Cisco Technology, Inc. | Determining context and actions for machine learning-detected network issues |
CN112187833B (zh) * | 2020-11-09 | 2021-12-17 | 浙江大学 | 一种拟态waf中的ai+正则双匹配检测方法 |
-
2021
- 2021-12-30 CN CN202111652529.8A patent/CN114499991B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110166436A (zh) * | 2019-04-18 | 2019-08-23 | 杭州电子科技大学 | 采用随机选择进行动态调度的拟态Web网关系统及方法 |
CN110839042A (zh) * | 2019-11-22 | 2020-02-25 | 上海交通大学 | 一种基于流量的自反馈恶意软件监测系统和方法 |
CN113194091A (zh) * | 2021-04-28 | 2021-07-30 | 顶象科技有限公司 | 恶意流量入侵检测系统和硬件平台 |
Non-Patent Citations (2)
Title |
---|
Weijun Zhu ; Yichen Liu.If Air-Gap Attacks Encounter the Mimic Defense. 2019 9th International Conference on Information Science and Technology (ICIST).2019,全文. * |
Xiaonan Sang ; Qianmu Li.Mimic Defense Techniques of Edge-Computing Terminal.2019 IEEE Fifth International Conference on Big Data Computing Service and Applications (BigDataService).2019,全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN114499991A (zh) | 2022-05-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11516248B2 (en) | Security system for detection and mitigation of malicious communications | |
US11916934B2 (en) | Identifying malware-suspect end points through entropy changes in consolidated logs | |
CN107623697B (zh) | 一种基于攻防随机博弈模型的网络安全态势评估方法 | |
Krishnaveni et al. | Ensemble approach for network threat detection and classification on cloud computing | |
CN112187833B (zh) | 一种拟态waf中的ai+正则双匹配检测方法 | |
US20210133742A1 (en) | Detection of security threats in a network environment | |
CN110262949A (zh) | 智能设备日志处理系统及方法 | |
CN113904881B (zh) | 一种入侵检测规则误报处理方法和装置 | |
US20210264023A1 (en) | Command inspection method and apparatus, computer device, and storage medium | |
CN115883236A (zh) | 电网智能终端协同攻击监测系统 | |
Qazi et al. | HDLNIDS: hybrid deep-learning-based network intrusion detection system | |
Apruzzese et al. | AppCon: Mitigating evasion attacks to ML cyber detectors | |
Gong et al. | A neural network based intrusion detection data fusion model | |
CN104579782A (zh) | 一种热点安全事件的识别方法及系统 | |
CN114785563A (zh) | 一种软投票策略的加密恶意流量检测方法 | |
Li et al. | Dart: Detecting unseen malware variants using adaptation regularization transfer learning | |
Liu et al. | Detection of algorithmically generated domain names using the recurrent convolutional neural network with spatial pyramid pooling | |
CN110493176B (zh) | 一种基于非监督机器学习的用户可疑行为分析方法及系统 | |
CN114499991B (zh) | 一种拟态waf中恶意流量检测和行为分析方法 | |
CN109995722A (zh) | 面向apt防护的海量检测数据分析系统 | |
Brandao et al. | Log Files Analysis for Network Intrusion Detection | |
CN117176482B (zh) | 一种大数据网络安全防护方法及系统 | |
Shieh et al. | Detection of unknown ddos attack using reconstruct error and one-class svm featuring stochastic gradient descent | |
TW201705035A (zh) | 快速篩檢資安風險主機方法與系統 | |
CN117478403A (zh) | 一种全场景网络安全威胁关联分析方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |