本發(fā)明公開了一種擬態(tài)WAF中的對抗流量生成方法，該方法用于在擬態(tài)WAF中針對惡意訪問流量產(chǎn)生對抗樣本，從而繞過規(guī)則。本發(fā)明設(shè)計(jì)了流量收集模塊、變異模塊、對抗流量生成模塊以及對抗流量二次檢測模塊來實(shí)現(xiàn)擬態(tài)WAF中的對抗流量生成。當(dāng)HTTP(S)請求流量經(jīng)過擬態(tài)WAF防御系統(tǒng)時(shí)，若被檢測為惡意流量，則將該惡意流量輸入變異模塊，生成對抗惡意流量，對惡意對抗流量進(jìn)行二次檢測，若能繞過檢測，則保留用于補(bǔ)充規(guī)則，若不能繞過，則丟棄。規(guī)則在WAF構(gòu)造中具有至關(guān)重要的作用，而可以繞過規(guī)則的惡意流量是補(bǔ)充WAF規(guī)則的重要參照，本發(fā)明對補(bǔ)充WAF現(xiàn)有規(guī)則、優(yōu)化WAF架構(gòu)具有重要作用。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種擬態(tài)WAF中的對抗流量生成方法。

背景技術(shù)

大多數(shù)的安全漏洞都是由于利用了WAF的脆弱性而發(fā)生的。在理想情況下，提高系統(tǒng)安全性的最佳方法是發(fā)現(xiàn)所有的漏洞并修復(fù)它們，但是由于系統(tǒng)的復(fù)雜性以及難評估性，幾乎不可能做到修復(fù)所有漏洞，因此盡可能全面的補(bǔ)充WAF規(guī)則是一項(xiàng)重要且艱巨的任務(wù)。普通WAF雖可以阻擋住一種常規(guī)的惡意流量，但是對于該流量的多種變形不一定可以阻擋住。

發(fā)明內(nèi)容

本發(fā)明的目的在于針對現(xiàn)有技術(shù)的不足，提供一種擬態(tài)WAF中的對抗流量生成方法。本發(fā)明基于擬態(tài)思想對常規(guī)惡意流量進(jìn)行多種變形，生成惡意對抗HTTP(S)流量，可以用來補(bǔ)充正則規(guī)則或用作訓(xùn)練集進(jìn)一步訓(xùn)練AI檢測模型。

本發(fā)明的目的是通過以下技術(shù)方案實(shí)現(xiàn)的：一種擬態(tài)WAF中的對抗流量生成方法，該方法包括以下步驟：

(1)部署M個(gè)WAF惡意流量檢測模塊E＝{e_i|i＝1,2,...,M}，其中e_i為第i個(gè)檢測模塊；

(2)將流量送入惡意檢測模塊，得出檢測結(jié)果t_1i。具體步驟為：

(2.1)若流量為HTTP流量，則直接送入惡意檢測模塊E；

(2.2)若流量為HTTPS流量，則先將該流量解密為HTTP流量，再送入惡意檢測模塊E；

(3)將每個(gè)惡意檢測模塊的檢測結(jié)果t_1i送入擬態(tài)裁決模塊，擬態(tài)裁決模塊對惡意流量進(jìn)行判決，得到最終屬性t’₁∈[0,1]；

(4)擬態(tài)裁決模塊根據(jù)最終屬性對惡意流量h進(jìn)行不同操作，具體為：

(4.1)若t’₁＝1，則送入變異模塊；

(4.2)若t’₁＝0，則送入后端服務(wù)器；

(5)生成對抗惡意流量，主要包括如下子步驟：

(5.1)對惡意流量進(jìn)行請求頭字段提取；提取出URL地址l、URL參數(shù)r、User-Agent字段u、Host字段h、Content-Length字段c；

(5.2)變異模塊對提取出的字段進(jìn)行變異，生成對抗惡意HTTP流量，具體步驟為：

(5.2.1)分別對r進(jìn)行CC、WS、IE、OS、IC處理得到r’_j(j＝1,...,5)；

(5.2.2)分別對u進(jìn)行八進(jìn)制轉(zhuǎn)換、十六進(jìn)制轉(zhuǎn)換得到u'_k(k＝1,2)，再對u進(jìn)行編碼，得到u'_k(k＝3)；

(5.2.3)分別對h進(jìn)行八進(jìn)制轉(zhuǎn)換、十六進(jìn)制轉(zhuǎn)換得到h’_n(n＝1,2)，再對h進(jìn)行編碼，得到h’_n(n＝3)；