本发明专利技术公开了一种拟态WAF中基于无监督思想的正则规则生成方法,该方法用于拟态WAF中的正则规则生成,根据新来的流量实时补充正则规则库。本发明专利技术设计了拟态裁决模块、流量收集模块、参数提取模块、参数特征提取模块、聚类模块、规则生成模块、人工复审模块,将通过正则检测模块的流量进行计数,当流量达到1万条时,开启无监督生成规则引擎,提取流量中的参数,并将参数值输入特征提取模块得到特征向量,进行聚类,将聚类出来的参数值输入待选规则库,人工选择参数级别规则添加至规则库,对拟态WAF中的正则规则库进行补充。中的正则规则库进行补充。中的正则规则库进行补充。
【技术实现步骤摘要】
一种拟态WAF中基于无监督思想的正则规则生成方法
[0001]本专利技术属于网络安全
,尤其涉及一种拟态WAF中基于无监督思想的正则规则生成方法。
技术介绍
[0002]WAF是通过执行一系列针对HTTP/HTTPS的安全策略来对Web提供应用保护的一款产品,在WAF中集成了一定的检测规则,根据规则对每条HTTP流量进行检测处理,执行对应的防御或放行操作,来维护web应用的安全性。每款WAF产品的检测规则体系各不相同,规则体系是WAF架构中的核心。
[0003]大多数的安全漏洞都是由于利用了WAF的脆弱性而发生的。在理想情况下,提高系统安全性的最佳方法是发现所有的漏洞并修复它们,但是由于系统的复杂性以及难评估性,几乎不可能做到修复所有漏洞,因此尽可能全面的补充WAF规则是一项重要且艰巨的任务。
技术实现思路
[0004]本专利技术的目的在于针对现有技术的不足,提供一种拟态WAF中基于无监督思想的正则规则生成方法。本专利技术利用无监督聚类方法通过拟态裁决的流量划分为参数,并进行二次检测,并根据恶意参数生成规则补充正则规则库,从而起到主动防御的作用。
[0005]本专利技术的目的是通过以下技术方案来实现的:一种拟态WAF中基于无监督思想的正则规则生成方法,包括以下步骤:
[0006](1)从拟态WAF中得到正常流量,开启AI生成规则引擎。
[0007](2)对正常流量进行请求头字段提取:提取出URL地址l、URL参数r、User
‑
Agent字段u、Host字段h、Content
‑
Length字段c。
[0008](3)将提取到的5个字段送入特征提取模块进行特征提取,特征提取方法可采用RNN、LSTM等。
[0009](4)将5个字段的特征向量分别进行聚类,得到聚类结果result,其中result属于[0,1]:
[0010](4.1)若result=0,则说明该参数为正常参数,将该参数丢弃。
[0011](4.2)若result=1,则说明该参数是异常参数,将该参数送入恶意参数规则库。
[0012]进一步地,步骤(1)具体为:
[0013](1.1)部署M个WAF恶意流量检测模块E={e
i
|i=1,2,...,M},其中e
i
为第i个检测模块。
[0014](1.2)将流量送入恶意检测模块,得出检测结果t
1i
(i=1,2,...,M)。
[0015](1.3)将每个恶意检测模块的检测结果t
1i
(i=1,2,...,M)送入拟态裁决模块,拟态裁决模块对恶意流量进行判决,得到最终属性t
′1∈[0,1]。
[0016](1.4)拟态裁决模块根据最终属性对流量进行不同操作,具体为:
[0017](1.4.1)若t
′1=1,则说明为恶意流量,将该流量进行拦截。
[0018](1.4.2)若t
′1=0,则说明为正常流量。
[0019]进一步地,步骤(1.1)中,根据不同的检测方式对恶意流量检测模块E进行异构化处理。
[0020]进一步地,所述检测方式包括专注于SQL注入、专注于字符编码、专注于无效注释添加、专注于AI等。
[0021]进一步地,步骤(1.2)具体为:
[0022](1.2.1)若流量为HTTP流量,则直接送入恶意检测模块E。
[0023](1.2.2)若流量为HTTPS流量,则先将该流量解密为HTTP流量,再送入恶意检测模块E。
[0024]进一步地,步骤(1.3)中,所述拟态裁决模块的判决方法包括加权表决、举手表决等。
[0025]进一步地,步骤(1.4.2)得到的正常流量送入流量收集模块,当流量收集模块中的流量数达到设定数量时,再开启AI生成规则引擎。
[0026]进一步地,对恶意参数规则库中的规则,进行人工复审;审查不通过,则将对应的参数丢弃;审查通过,则将对应的参数送入最终恶意参数规则库。
[0027]进一步地,恶意参数规则库中的规则达到设定数量时,再进行人工复审。
[0028]本专利技术的有益效果是:本专利技术利用一种无监督聚类方法对通过拟态裁决的流量划分为参数进行二次检测,并根据恶意参数生成规则补充正则规则库,从而起到主动防御的作用,进一步加强了拟态WAF的安全性。规则在WAF构造中起着至关重要的作用,而可以通过拟态裁决模块的流量依然存在恶意的可能性,存在很大的威胁性,本专利技术通过参数级聚类出的恶意参数可以对规则起到很好的补充作用。
附图说明
[0029]图1是根据拟态裁决得到正常流量送入规则生成模块的流程架构图;
[0030]图2是规则生成模块的具体架构图。
具体实施方式
[0031]本专利技术一种拟态WAF中基于无监督思想的正则规则生成方法,用于拟态WAF中的正则规则生成,根据新来的流量实时补充正则规则库。本专利技术设计了拟态裁决模块、流量收集模块、参数提取模块、参数特征提取模块、聚类模块、规则生成模块、人工复审模块,将通过正则检测模块的流量进行计数,当流量达到1万条时,开启无监督生成规则引擎,提取流量中的参数,并将参数值输入特征提取模块得到特征向量,进行聚类,将聚类出来的参数值输入待选规则库,人工选择参数级别规则添加至规则库,对拟态WAF中的正则规则库进行补充。
[0032]本专利技术一种实施例,主要包括以下步骤:
[0033](1)如图1所示,从拟态WAF中得到正常流量,包括如下步骤:
[0034](1.1)部署M个恶意流量检测模块E={e
i
|i=1,2,...,M}(图中未视出),其中e
i
为第i个恶意流量检测模块。根据不同的检测方式对恶意流量检测模块E进行异构化处理;检
测方式可以选用专注于SQL注入、专注于字符编码、专注于无效注释添加、专注于AI等方式。
[0035](1.2)将流量H送入恶意流量检测模块,得出检测结果t
1i
(i=1,2,...,M);具体为:
[0036](1.2.1)若流量H为HTTP访问流量,则直接送入恶意流量检测模块E。
[0037](1.2.2)若流量H为HTTPS访问流量,则先将该流量解密为HTTP流量,再送入恶意检测流量模块E。
[0038](1.3)将每个恶意流量检测模块的检测结果t
1i
(i=1,2,...,M),送入拟态裁决模块,拟态裁决模块对流量进行判决,得到最终属性t
′1∈[0,1];其中拟态裁决方法可以采用加权表决、举手表决等方式。
[0039](1.4)拟态裁决模块根据最终属性,对流量H进行不同操作,具体为:
[0040](1.4.1)若t
′1=1,则说明为恶意流量,将该流量进行拦截。
[0041](1.4.2)若t
′1=本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种拟态WAF中基于无监督思想的正则规则生成方法,其特征在于,包括以下步骤:(1)从拟态WAF中得到正常流量,开启AI生成规则引擎。(2)对正常流量进行请求头字段提取:提取出URL地址l、URL参数r、User
‑
Agent字段u、Host字段h、Content
‑
Length字段c。(3)将提取到的5个字段送入特征提取模块进行特征提取。(4)将5个字段的特征向量分别进行聚类,得到聚类结果result,其中result属于[0,1]:(4.1)若result=0,则说明该参数为正常参数,将该参数丢弃。(4.2)若result=1,则说明该参数是异常参数,将该参数送入恶意参数规则库。2.如权利要求1所述拟态WAF中基于无监督思想的正则规则生成方法,其特征在于,步骤(1)具体为:(1.1)部署M个WAF恶意流量检测模块E={e
i
|i=1,2,...,M},其中e
i
为第i个检测模块。(1.2)将流量送入恶意检测模块,得出检测结果t
1i
(i=1,2,...,M)。(1.3)将每个恶意检测模块的检测结果t
1i
(i=1,2,...,M)送入拟态裁决模块,拟态裁决模块对恶意流量进行判决,得到最终属性t'1∈[0,1]。(1.4)拟态裁决模块根据最终属性对流量进行不同操作,具体为:(1.4.1)若t'1=1,则说明为恶意流量,将该流量进行拦截。(1.4.2)若t'1=0,则说明为正常流量。3.如权利...
【专利技术属性】
技术研发人员:吴春明,赵若琰,
申请(专利权)人:浙江大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。