[发明专利]一种拟态WAF中的对抗流量生成方法

说明书

本发明公开了一种拟态WAF中的对抗流量生成方法，该方法用于在拟态WAF中针对恶意访问流量产生对抗样本，从而绕过规则。本发明设计了流量收集模块、变异模块、对抗流量生成模块以及对抗流量二次检测模块来实现拟态WAF中的对抗流量生成。当HTTP(S)请求流量经过拟态WAF防御系统时，若被检测为恶意流量，则将该恶意流量输入变异模块，生成对抗恶意流量，对恶意对抗流量进行二次检测，若能绕过检测，则保留用于补充规则，若不能绕过，则丢弃。规则在WAF构造中具有至关重要的作用，而可以绕过规则的恶意流量是补充WAF规则的重要参照，本发明对补充WAF现有规则、优化WAF架构具有重要作用。

技术领域

本发明属于网络安全技术领域，尤其涉及一种拟态WAF中的对抗流量生成方法。

背景技术

大多数的安全漏洞都是由于利用了WAF的脆弱性而发生的。在理想情况下，提高系统安全性的最佳方法是发现所有的漏洞并修复它们，但是由于系统的复杂性以及难评估性，几乎不可能做到修复所有漏洞，因此尽可能全面的补充WAF规则是一项重要且艰巨的任务。普通WAF虽可以阻挡住一种常规的恶意流量，但是对于该流量的多种变形不一定可以阻挡住。

发明内容

本发明的目的在于针对现有技术的不足，提供一种拟态WAF中的对抗流量生成方法。本发明基于拟态思想对常规恶意流量进行多种变形，生成恶意对抗HTTP(S)流量，可以用来补充正则规则或用作训练集进一步训练AI检测模型。

本发明的目的是通过以下技术方案实现的：一种拟态WAF中的对抗流量生成方法，该方法包括以下步骤：

(1)部署M个WAF恶意流量检测模块E＝{e_i|i＝1,2,...,M}，其中e_i为第i个检测模块；

(2)将流量送入恶意检测模块，得出检测结果t_1i。具体步骤为：

(2.1)若流量为HTTP流量，则直接送入恶意检测模块E；

(2.2)若流量为HTTPS流量，则先将该流量解密为HTTP流量，再送入恶意检测模块E；

(3)将每个恶意检测模块的检测结果t_1i送入拟态裁决模块，拟态裁决模块对恶意流量进行判决，得到最终属性t’₁∈[0,1]；

(4)拟态裁决模块根据最终属性对恶意流量h进行不同操作，具体为：

(4.1)若t’₁＝1，则送入变异模块；

(4.2)若t’₁＝0，则送入后端服务器；

(5)生成对抗恶意流量，主要包括如下子步骤：

(5.1)对恶意流量进行请求头字段提取；提取出URL地址l、URL参数r、User-Agent字段u、Host字段h、Content-Length字段c；

(5.2)变异模块对提取出的字段进行变异，生成对抗恶意HTTP流量，具体步骤为：

(5.2.1)分别对r进行CC、WS、IE、OS、IC处理得到r’_j(j＝1,...,5)；

(5.2.2)分别对u进行八进制转换、十六进制转换得到u'_k(k＝1,2)，再对u进行编码，得到u'_k(k＝3)；

(5.2.3)分别对h进行八进制转换、十六进制转换得到h’_n(n＝1,2)，再对h进行编码，得到h’_n(n＝3)；