CN114499991B

CN114499991B - 一种拟态waf中恶意流量检测和行为分析方法

Info

Publication number: CN114499991B
Application number: CN202111652529.8A
Authority: CN
Inventors: 吴春明; 赵若琰
Original assignee: Zhejiang University ZJU
Current assignee: Zhejiang University ZJU
Priority date: 2021-12-30
Filing date: 2021-12-30
Publication date: 2023-04-18
Anticipated expiration: 2041-12-30
Also published as: CN114499991A

Abstract

本发明公开了一种拟态WAF中恶意流量检测和行为分析方法，首先将HTTP(S)流量同时输入异构检测模块和行为检测模型1进行检测，对于异构检测模块中的流量，若检测结果为0，则放行，记录其检测结果为正常流量，若检测结果为1，则送入行为检测模型2进行行为分析，最后输出最终的检测结果和行为分析结果；对于送入行为检测模型1中的流量，若检测结果为正常行为，则输出检测结果为正常流量，若检测结果为恶意，则输出检测结果及其对应的恶意行为类别。本发明基于拟态防御思想，对恶意HTTP(S)流量进行双重检测和行为分析，可以降低漏报率。

Description

一种拟态WAF中恶意流量检测和行为分析方法

技术领域

本发明属于网络安全技术领域，尤其涉及一种拟态WAF中恶意流量检测和行为分析方法。

背景技术

随着云计算领域的快速发展，云安全问题变得越来越重要。邬江兴院士提出了网络空间拟态防御方法(CMD，cyber mimic defense)，将拟态防御技术应用到云服务，抵御攻击，加强安全效能。传统WAF大多只采用正则检测的方法，但是这种方法存在着很大缺陷，具有一定的局限性。

发明内容

本发明的目的在于针对现有技术的不足，提供一种拟态WAF中恶意流量检测和行为分析方法。本发明能够实现对流量进行多重检测和行为分析，可以降低漏报率，提升了WAF检测和拦截未知恶意流量的能力。

本发明的目的通过以下技术方案来实现的：一种拟态WAF中恶意流量检测和行为分析方法，包含以下步骤：

(1)将HTTP(S)流量同时送入异构检测模块M_j(j＝1，2，...，n，n+1)和行为检测模型1进行检测。

(1.1)对于异构检测模块：

(1.1.1)将HTTP(S)流量同时送入一个正则检测模块和n个AI检测模型，得到n+1个检测结果r_j(j＝1，2，...，n，n+1)，其中r_j∈[0,1]；

(1.1.2)将n+1个检测结果r_j送入裁决模块：

计算加权和

若R＜0.5，则记最终检测结果r₁＝0，表示初步检测结果为正常流量；

若R≥0.5，则记r₁＝1，表示初步检测结果为恶意流量。

(1.2)对于行为检测模型1，得到恶意行为检测结果h′∈[h₀，h₁，...，h_m]；其中，h₀代表正常行为，h₁，h₂，...，h_m代表m种异常行为；

(2)将异构检测模块检测到的恶意流量，送入行为检测模型2，进行恶意行为检测，得到检测结果h∈[h₁，h₂，...，h_m]。

进一步地，拦截恶意流量，每个恶意流量对应两个行为检测模型输出的检测结果。

进一步地，行为检测模型1和行为检测模型2均为分类模型。

进一步地，分类模型包括CNN、RNN、LSTM等。

本发明的有益效果是：本发明对传统WAF的恶意检测方式进行优化，对流量进行异构检测和行为分析检测的双重检测，同时可以得到恶意流量对应的恶意行为，降低了恶意流量检测的错误率、漏报率，同时便于相关人员对恶意流量对应的恶意行为进行分析，采取更妥善的防御措施。

附图说明

图1为拟态WAF中异构检测结合语义分析的流量检测和行为分析方法示意图。

具体实施方式

如图1所示，本发明一种拟态WAF中恶意流量检测和行为分析方法，基于拟态防御思想，设计了异构检测模块、裁决模块、行为检测模型1和行为检测模型2。首先将HTTP(S)流量同时输入异构检测模块和行为检测模型1进行检测；对于异构检测模块中的流量，若检测结果为0，则放行，记录其检测结果为正常流量；若检测结果为1，则送入行为检测模型2进行行为分析；最后输出最终的检测结果和行为分析结果；对于送入行为检测模型1中的流量，若检测结果为正常行为，则输出检测结果为正常流量；若检测结果为恶意，则输出检测结果及其对应的恶意行为类别。具体包括以下步骤：

(1)将HTTP/HTTPS流量同时送入异构检测模块M_j(j＝1，2，..，n，n+1)和行为检测模型1进行检测。

(1.1)异构检测模块用于判断是否为恶意流量：

(1.1.1)将HTTP/HTTPS流量同时送入一个正则检测模块和n个不同的AI检测模型i(i＝1～n)，得到n+1个检测结果r_j(j＝1，2，..，n，n+1)，r_j∈[0,1]；其中，0表示正常流量，1表示恶意流量。

(1.1.2)将n+1个检测结果r_j送入裁决模块：计算加权和

W_j为r_j的权重。再根据R判断是否为恶意流量：

(a)若R＜0.5，则记最终检测结果r₁＝0，表示初步检测结果为正常流量。

(b)若R≥0.5，则记r₁＝1，表示初步检测结果为恶意流量。

(1.2)行为检测模型1用于进行恶意行为检测，得到检测结果h′，h′∈[h₀，h₁，...，h_m]，其中，h₀代表正常行为，h₁，h₂，...，h_m代表m种异常行为，由人为设定。行为检测模型1是一个分类模型，可以使用CNN、RNN、LSTM等。

(2)将步骤(1.1)异构检测结果r₁＝1的恶意流量，送入行为检测模型2，进行恶意行为检测，得到检测结果h∈[h₁，h₂，...，h_m]。其中，行为检测模型2也是一个分类模型，可使用CNN、RNN、LSTM等；行为检测模型2训练出的权重参数与行为检测模型1不同。

(3)合并行为检测模型1输出的hr≠h₀和行为检测模型2输出为h，对应的流量，将它们拦截，并输出对应的异常行为。

Claims

1.一种拟态WAF中恶意流量检测和行为分析方法，其特征在于，包含以下步骤：

（1）将HTTP(S)流量同时送入异构检测模块和行为检测模型1进行检测；

（1.1）对于异构检测模块：

（1.1.1）将HTTP(S)流量同时送入一个正则检测模块和n个AI检测模型，得到n+1个检测结果，其中；

（1.1.2）将n+1个检测结果送入裁决模块：

计算加权和；其中，为的权重；

若，则记最终检测结果r₁=0，表示初步检测结果为正常流量；

若，则记r₁=1，表示初步检测结果为恶意流量；

（1.2）对于行为检测模型1，得到恶意行为检测结果；其中，代表正常行为，代表m种异常行为；行为检测模型1是一个分类模型；

（2）将异构检测模块检测到的恶意流量，送入行为检测模型2，进行恶意行为检测，得到检测结果；其中，行为检测模型2也是一个分类模型；行为检测模型2训练出的权重参数与行为检测模型1不同；

（3）合并行为检测模型1输出的和行为检测模型2输出为h，对应的流量，将它们拦截，并输出对应的异常行为。

2.如权利要求1所述拟态WAF中恶意流量检测和行为分析方法，其特征在于，拦截恶意流量，每个恶意流量对应两个行为检测模型输出的检测结果。

3.如权利要求1所述拟态WAF中恶意流量检测和行为分析方法，其特征在于，分类模型包括CNN、RNN、LSTM。