一种拟态WAF中恶意流量检测和行为分析方法

一种拟态waf中恶意流量检测和行为分析方法
技术领域
1.本发明属于网络安全技术领域，尤其涉及一种拟态waf中恶意流量检测和行为分析方法。


背景技术：

2.随着云计算领域的快速发展，云安全问题变得越来越重要。邬江兴院士提出了网络空间拟态防御方法(cmd，cyber mimic defense)，将拟态防御技术应用到云服务，抵御攻击，加强安全效能。传统waf大多只采用正则检测的方法，但是这种方法存在着很大缺陷，具有一定的局限性。


技术实现要素：

3.本发明的目的在于针对现有技术的不足，提供一种拟态waf中恶意流量检测和行为分析方法。本发明能够实现对流量进行多重检测和行为分析，可以降低漏报率，提升了waf检测和拦截未知恶意流量的能力。
4.本发明的目的通过以下技术方案来实现的：一种拟态waf中恶意流量检测和行为分析方法，包含以下步骤：
5.(1)将http(s)流量同时送入异构检测模块mj(j＝1，2，...，n，n 1)和行为检测模型1进行检测。
6.(1.1)对于异构检测模块：
7.(1.1.1)将http(s)流量同时送入一个正则检测模块和n个ai检测模型，得到n 1个检测结果rj(j＝1，2，...，n，n 1)，其中rj∈[0,1]；
[0008]
(1.1.2)将n 1个检测结果rj送入裁决模块：
[0009]
计算加权和
[0010]
若r＜0.5，则记最终检测结果r1＝0，表示初步检测结果为正常流量；
[0011]
若r≥0.5，则记r1＝1，表示初步检测结果为恶意流量。
[0012]
(1.2)对于行为检测模型1，得到恶意行为检测结果h
′
∈[h0，h1，...，hm]；其中，h0代表正常行为，h1，h2，...，hm代表m种异常行为；
[0013]
(2)将异构检测模块检测到的恶意流量，送入行为检测模型2，进行恶意行为检测，得到检测结果h∈[h1，h2，...，hm]。
[0014]
进一步地，拦截恶意流量，每个恶意流量对应两个行为检测模型输出的检测结果。
[0015]
进一步地，行为检测模型1和行为检测模型2均为分类模型。
[0016]
进一步地，分类模型包括cnn、rnn、lstm等。
[0017]
本发明的有益效果是：本发明对传统waf的恶意检测方式进行优化，对流量进行异构检测和行为分析检测的双重检测，同时可以得到恶意流量对应的恶意行为，降低了恶意流量检测的错误率、漏报率，同时便于相关人员对恶意流量对应的恶意行为进行分析，采取
更妥善的防御措施。
附图说明
[0018]
图1为拟态waf中异构检测结合语义分析的流量检测和行为分析方法示意图。
具体实施方式
[0019]
如图1所示，本发明一种拟态waf中恶意流量检测和行为分析方法，基于拟态防御思想，设计了异构检测模块、裁决模块、行为检测模型1和行为检测模型2。首先将http(s)流量同时输入异构检测模块和行为检测模型1进行检测；对于异构检测模块中的流量，若检测结果为0，则放行，记录其检测结果为正常流量；若检测结果为1，则送入行为检测模型2进行行为分析；最后输出最终的检测结果和行为分析结果；对于送入行为检测模型1中的流量，若检测结果为正常行为，则输出检测结果为正常流量；若检测结果为恶意，则输出检测结果及其对应的恶意行为类别。具体包括以下步骤：
[0020]
(1)将http/https流量同时送入异构检测模块mj(j＝1，2，..，n，n 1)和行为检测模型1进行检测。
[0021]
(1.1)异构检测模块用于判断是否为恶意流量：
[0022]
(1.1.1)将http/https流量同时送入一个正则检测模块和n个不同的ai检测模型i(i＝1～n)，得到n 1个检测结果rj(j＝1，2，..，n，n 1)，rj∈[0,1]；其中，0表示正常流量，1表示恶意流量。
[0023]
(1.1.2)将n 1个检测结果rj送入裁决模块：计算加权和wj为rj的权重。再根据r判断是否为恶意流量：
[0024]
(a)若r＜0.5，则记最终检测结果r1＝0，表示初步检测结果为正常流量。
[0025]
(b)若r≥0.5，则记r1＝1，表示初步检测结果为恶意流量。
[0026]
(1.2)行为检测模型1用于进行恶意行为检测，得到检测结果h
′
，h
′
∈[h0，h1，...，hm]，其中，h0代表正常行为，h1，h2，...，hm代表m种异常行为，由人为设定。行为检测模型1是一个分类模型，可以使用cnn、rnn、lstm等。
[0027]
(2)将步骤(1.1)异构检测结果r1＝1的恶意流量，送入行为检测模型2，进行恶意行为检测，得到检测结果h∈[h1，h2，...，hm]。其中，行为检测模型2也是一个分类模型，可使用cnn、rnn、lstm等；行为检测模型2训练出的权重参数与行为检测模型1不同。
[0028]
(3)合并行为检测模型1输出的hr≠h0和行为检测模型2输出为h，对应的流量，将它们拦截，并输出对应的异常行为。


技术特征：
1.一种拟态waf中恶意流量检测和行为分析方法，其特征在于，包含以下步骤：(1)将http(s)流量同时送入异构检测模块m
j
(j＝1，2，...，n，n 1)和行为检测模型1进行检测。(1.1)对于异构检测模块：(1.1.1)将http(s)流量同时送入一个正则检测模块和n个ai检测模型，得到n 1个检测结果r
j
(j＝1.2，...，n，n 1)，其中r
j
∈[0，1]；(1.1.2)将n 1个检测结果r
j
送入裁决模块：计算加权和若r＜0.5，则记最终检测结果r1＝0，表示初步检测结果为正常流量；若r≥0.5，则记r1＝1，表示初步检测结果为恶意流量。(1.2)对于行为检测模型1，得到恶意行为检测结果h
′
∈[h0，h1，...，h
m
]；其中，h0代表正常行为，h1，h2，...，h
m
代表m种异常行为；(2)将异构检测模块检测到的恶意流量，送入行为检测模型2，进行恶意行为检测，得到检测结果h∈[h1，h2，...，h
m
]。2.如权利要求1所述拟态waf中恶意流量检测和行为分析方法，其特征在于，拦截恶意流量，每个恶意流量对应两个行为检测模型输出的检测结果。3.如权利要求1所述拟态waf中恶意流量检测和行为分析方法，其特征在于，行为检测模型1和行为检测模型2均为分类模型。4.如权利要求3所述拟态waf中恶意流量检测和行为分析方法，其特征在于，分类模型包括cnn、rnn、lstm等。

技术总结
本发明公开了一种拟态WAF中恶意流量检测和行为分析方法，首先将HTTP(S)流量同时输入异构检测模块和行为检测模型1进行检测，对于异构检测模块中的流量，若检测结果为0，则放行，记录其检测结果为正常流量，若检测结果为1，则送入行为检测模型2进行行为分析，最后输出最终的检测结果和行为分析结果；对于送入行为检测模型1中的流量，若检测结果为正常行为，则输出检测结果为正常流量，若检测结果为恶意，则输出检测结果及其对应的恶意行为类别。本发明基于拟态防御思想，对恶意HTTP(S)流量进行双重检测和行为分析，可以降低漏报率。可以降低漏报率。可以降低漏报率。


技术研发人员：吴春明 赵若琰
受保护的技术使用者：浙江大学
技术研发日：2021.12.30
技术公布日：2022/5/17