[发明专利]一种拟态WAF中的对抗流量生成方法

权利要求书

1.一种拟态WAF中的对抗流量生成方法，其特征在于，该方法包括以下步骤：

(1)部署M个WAF恶意流量检测模块E＝{e_i|i＝1,2,...,M}，其中e_i为第i个检测模块；

(2)将流量送入恶意检测模块，得出检测结果t_1i；具体步骤为：

(2.1)若流量为HTTP流量，则直接送入恶意检测模块E；

(2.2)若流量为HTTPS流量，则先将该流量解密为HTTP流量，再送入恶意检测模块E；

(3)将每个恶意检测模块的检测结果t_1i送入拟态裁决模块，拟态裁决模块对恶意流量进行判决，得到最终属性t′₁∈[0,1]；

(4)拟态裁决模块根据最终属性对恶意流量进行不同操作，具体为：

(4.1)若t′₁＝1，则送入变异模块；

(4.2)若t′₁＝0，则送入后端服务器；

(5)生成对抗恶意流量，主要包括如下子步骤：

(5.1)对恶意流量进行请求头字段提取；提取出URL地址l、URL参数r、User-Agent字段u、Host字段h、Content-Length字段c；

(5.2)变异模块对提取出的字段进行变异，生成对抗恶意HTTP流量，具体步骤为：

(5.2.1)分别对r进行Case Conversion、Whitespace Substitution、IntegerEncoding、Operator Swapping、Insert Comment处理得到r′_j，j＝1,...,5；

(5.2.2)分别对u进行八进制转换、十六进制转换得到u′₁、u′₂，再对u进行编码，得到u′₃；

(5.2.3)分别对h进行八进制转换、十六进制转换得到h′₁、h′₂，再对h进行编码，得到h′₃；

(5.2.4)从r′_j、u′_k、h′_n每种字段集合中随机选取一个元素，组合r′_j、u′_k、h′_n、l、c，得到对抗恶意HTTP流量；k＝1～3，n＝1～3；

(6)将对抗恶意HTTP流量送入二次检测模块进行二次检测，得到检测结果t′₂，具体为：

(6.1)若t′₂＝1，即绕过规则失败，则丢弃该对抗HTTP流量；

(6.2)若t′₂＝0，即绕过规则成功，则保留该对抗HTTP流量；

(7)输出保留的对抗恶意流量。

2.如权利要求1所述拟态WAF中的对抗流量生成方法，其特征在于，所述步骤(1)中，检测模块的检测方式包括专注于SQL注入、专注于字符编码、专注于无效注释添加和专注于AI。

3.如权利要求1所述拟态WAF中的对抗流量生成方法，其特征在于，所述步骤(3)中，拟态裁决模块的拟态裁决方法包括加权表决和举手表决。