[发明专利]一种拟态WAF中恶意流量检测和行为分析方法

说明书

本发明公开了一种拟态WAF中恶意流量检测和行为分析方法，首先将HTTP(S)流量同时输入异构检测模块和行为检测模型1进行检测，对于异构检测模块中的流量，若检测结果为0，则放行，记录其检测结果为正常流量，若检测结果为1，则送入行为检测模型2进行行为分析，最后输出最终的检测结果和行为分析结果；对于送入行为检测模型1中的流量，若检测结果为正常行为，则输出检测结果为正常流量，若检测结果为恶意，则输出检测结果及其对应的恶意行为类别。本发明基于拟态防御思想，对恶意HTTP(S)流量进行双重检测和行为分析，可以降低漏报率。

技术领域

本发明属于网络安全技术领域，尤其涉及一种拟态WAF中恶意流量检测和行为分析方法。

背景技术

随着云计算领域的快速发展，云安全问题变得越来越重要。邬江兴院士提出了网络空间拟态防御方法(CMD，cyber mimic defense)，将拟态防御技术应用到云服务，抵御攻击，加强安全效能。传统WAF大多只采用正则检测的方法，但是这种方法存在着很大缺陷，具有一定的局限性。

发明内容

本发明的目的在于针对现有技术的不足，提供一种拟态WAF中恶意流量检测和行为分析方法。本发明能够实现对流量进行多重检测和行为分析，可以降低漏报率，提升了WAF检测和拦截未知恶意流量的能力。

本发明的目的通过以下技术方案来实现的：一种拟态WAF中恶意流量检测和行为分析方法，包含以下步骤：

(1)将HTTP(S)流量同时送入异构检测模块M_j(j＝1，2，...，n，n+1)和行为检测模型1进行检测。

(1.1)对于异构检测模块：

(1.1.1)将HTTP(S)流量同时送入一个正则检测模块和n个AI检测模型，得到n+1个检测结果r_j(j＝1，2，...，n，n+1)，其中r_j∈[0,1]；

(1.1.2)将n+1个检测结果r_j送入裁决模块：

计算加权和

若R＜0.5，则记最终检测结果r₁＝0，表示初步检测结果为正常流量；

若R≥0.5，则记r₁＝1，表示初步检测结果为恶意流量。

(1.2)对于行为检测模型1，得到恶意行为检测结果h′∈[h₀，h₁，...，h_m]；其中，h₀代表正常行为，h₁，h₂，...，h_m代表m种异常行为；

(2)将异构检测模块检测到的恶意流量，送入行为检测模型2，进行恶意行为检测，得到检测结果h∈[h₁，h₂，...，h_m]。

进一步地，拦截恶意流量，每个恶意流量对应两个行为检测模型输出的检测结果。

进一步地，行为检测模型1和行为检测模型2均为分类模型。

进一步地，分类模型包括CNN、RNN、LSTM等。

本发明的有益效果是：本发明对传统WAF的恶意检测方式进行优化，对流量进行异构检测和行为分析检测的双重检测，同时可以得到恶意流量对应的恶意行为，降低了恶意流量检测的错误率、漏报率，同时便于相关人员对恶意流量对应的恶意行为进行分析，采取更妥善的防御措施。

附图说明

图1为拟态WAF中异构检测结合语义分析的流量检测和行为分析方法示意图。

具体实施方式