[发明专利]一种拟态WAF中的AI+正则双匹配检测方法

说明书

本发明公开了一种拟态WAF中的AI+正则双匹配检测方法。该方法基于拟态防御思想，能够对恶意HTTP(S)流量进行准确检测。本发明设计了正则检测模块、模板检测模块、异构模块以及裁决模块，首先将HTTP(S)流量输入正则检测模块进行第一次检测，若检测结果为1，则直接过滤，若检测结果为0，则送入模板检测进行二次检测，同样对于检测结果为0的恶意流量送入异构模块中用多个AI检测模块对其进行检测，最后将所有模块的检测结果送入裁决模块进行裁决，最后输出最终检测结果。本发明达到了用不同方式进行多重检测的目的，降低了错误检测率。

技术领域

本发明属于网络安全技术领域，尤其涉及一种拟态WAF中的AI+正则双匹配检测方法。

背景技术

由于云计算领域的快速发展，云安全问题的解决就显得尤为重要，而未知漏洞或后门很大的威胁了云安全。网络空间拟态防御(CMD，cyber mimic defense)是由邬江兴院士提出的改变游戏规则的一项新技术，将拟态防御技术应用到云服务，抵御攻击，加强安全效能。传统WAF大多只采用正则检测的方法，但是这种方法对于恶意注入流量的多样性很难做到完全防御。

发明内容

本发明的目的在于针对现有技术的不足，提供一种拟态WAF中的AI+正则双匹配检测方法。

本发明的目的是通过以下技术方案来实现的：一种拟态WAF中的AI+正则双匹配检测方法，该方法包括以下步骤：

(1)首先将HTTP(S)流量h送入正则检测模块，具体为：分别用正则检测模块中的检测库T_i(i＝1,2,...,m)进行检测，若有其中任意一个匹配上，则输出检测结果为r₁＝1；否则检测结果为r₁＝0；

(2)将检测结果r₁＝0的HTTP(S)流量送入模板检测模块进行模板匹配，具体为：

(2.1)若匹配不成功，则输出检测结果r₂＝1；

(2.2)若匹配成功，则暂且计检测结果r₂＝0；

(3)给异构模块中的每个AI检测模型设置权重W_j(j＝1,2,...,n)；

(4)将检测结果r₂为0的HTTP(S)流量送入异构模块进行下一步检测，具体为：将步骤(2)中得到的检测结果r₂为0的HTTP(S)流量送入异构模块AI检测模型M_j(j＝1,2,...,n)进行检测；得到n个检测结果r_3j(j＝1,2,...,n)，其中r_3j∈[0,1]；

(5)将n个检测结果r_3j送入裁决模块，具体步骤为：

(5.1)计算加权和

(5.2)若R＜0.5，则记最终检测结果r＝0，表示为正常流量；

(5.3)若R≥0.5，则记r＝1，表示为恶意流量；

(6)输出最终检测结果。

进一步地，所述检测库包括SQL注入检测库、恶意漏洞扫描库、XSS攻击库和PHP相关规则库等。

进一步地，所述步骤(3)中，设置权重的方法包括根据检测模型灵敏度、根据检测模型可信度和根据检测模型检测速度等。

本发明的有益效果是：本发明基于拟态防御思想优化对WAF的恶意流量检测方式，设计了AI+正则双检测模型，首先对流量先进行正则检测，然后将检测为正常的流量送入多种异构AI检测模型，最后通过拟态裁决模块对检测结果进行裁决，达到使用不同方式进行多重检测的目的，降低了错误检测率。

附图说明