(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111652529.8 (22)申请日 2021.12.3 0 (71)申请人 浙江大学 地址 310058 浙江省杭州市西湖区余杭塘 路866号 (72)发明人 吴春明　赵若琰　 (74)专利代理 机构 杭州求是专利事务所有限公 司 33200 专利代理师 邱启旺 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) G06K 9/62(2022.01) G06N 3/04(2006.01) (54)发明名称 一种拟态 WAF中恶意流量检测和行为分析方 法 (57)摘要 本发明公开了一种拟态 WAF中恶意流量检测 和行为分析方法， 首先将HTTP(S)流量同时输入 异构检测模块和行为检测模型1进行检测， 对于 异构检测模块中的流量， 若检测结果为0， 则放 行， 记录其检测结果为正常流量， 若检测结果为 1， 则送入行为检测模型2进行行为分析， 最后输 出最终的检测结果和行为分析结果； 对于送入行 为检测模型1中的流量， 若检测结果为正 常行为， 则输出检测结果为正常流量， 若检测结果为恶 意， 则输出检测结果及其对应的恶意行为类别。 本发明基于拟态防御思想， 对恶意HTTP(S)流量 进行双重 检测和行为分析， 可以降低漏报率。 权利要求书1页 说明书2页 附图1页 CN 114499991 A 2022.05.13 CN 114499991 A 1.一种拟态WAF中恶意 流量检测和行为分析 方法， 其特 征在于， 包 含以下步骤： (1)将HTTP(S)流量同时送入异构检测模块Mj(j＝1， 2， ...， n， n+1)和行为检测模型1进 行检测。 (1.1)对于异构检测模块： (1.1.1)将HTTP(S)流量同时送入一个正则检测模块和n个AI检测模型， 得到n+1个检测 结果rj(j＝1.2， . ..， n， n+1)， 其中rj∈[0， 1]； (1.1.2)将n+1个 检测结果rj送入裁决模块： 计算加权和 若R＜0.5， 则记最终检测结果r1＝0， 表示初步检测结果 为正常流量； 若R≥0.5， 则记 r1＝1， 表示初步检测结果 为恶意流量。 (1.2)对于行为检测模型1， 得到恶意行为检测结果h ′∈[h0， h1， ...， hm]； 其中， h0代表正 常行为， h1， h2， ...， hm代表m种异常行为； (2)将异构检测模块检测到的恶意流量， 送入行为检测模型2， 进行恶意行为检测， 得到 检测结果h∈[h1， h2， ...， hm]。 2.如权利要求1所述拟态WAF中恶意流量检测和行为分析方法， 其特征在于， 拦截恶意 流量， 每个恶意流量对应两个行为检测模型输出的检测结果。 3.如权利要求1所述拟态WAF中恶意流量检测和行为分析方法， 其特征在于， 行为检测 模型1和行为检测模型2均为分类模型。 4.如权利要求3所述拟态WAF中恶意流量检测和行为分析方法， 其特征在于， 分类模型 包括CNN、 RNN、 LSTM等。权　利　要　求　书 1/1 页 2 CN 114499991 A 2一种拟态WAF中恶 意流量检测和行为分析方 法 技术领域 [0001]本发明属于网络安全技术领域， 尤其涉及一种拟态WAF中恶意流量检测和行为分 析方法。 背景技术 [0002]随着云计算领域的快速发展， 云安全问题变得越来越重要。 邬江兴院士提出了网 络空间拟态防御方法(CMD， cyber  mimic defense)， 将拟态防御技术应用到云服务， 抵御攻 击， 加强安全效能。 传统WAF大多只采用正则检测的方法， 但是这种方法存在着很大缺陷， 具 有一定的局限性。 发明内容 [0003]本发明的目的在于针对现有技术的不足， 提供一种拟态WAF中恶意流量检测和行 为分析方法。 本发明能够实现对流量进行多重检测和行为分析， 可以降低漏报率， 提升了 WAF检测和拦截未知恶意 流量的能力。 [0004]本发明的目的通过以下技术方案来实现的： 一种拟态WAF中恶意流量检测和行为 分析方法， 包含以下步骤： [0005](1)将HTTP(S)流量同时送入异构检测模块Mj(j＝1， 2， ...， n， n+1)和行为检测模 型1进行检测。 [0006](1.1)对于异构检测模块： [0007](1.1.1)将HTTP(S)流量同时送入一个正则检测模块和n个AI检测模型， 得到n+1个 检测结果rj(j＝1， 2， . ..， n， n+1)， 其中rj∈[0,1]； [0008](1.1.2)将n+1个 检测结果rj送入裁决模块： [0009]计算加权和 [0010]若R＜0.5， 则记最终检测结果r1＝0， 表示初步检测结果 为正常流量； [0011]若R≥0.5， 则记 r1＝1， 表示初步检测结果 为恶意流量。 [0012](1.2)对于行为检测模型1， 得到恶意行为检测结果h ′∈[h0， h1， ...， hm]； 其中， h0 代表正常行为， h1， h2， ...， hm代表m种异常行为； [0013](2)将异构检测模块检测到的恶意流量， 送入行为检测模型2， 进行恶意行为检测， 得到检测结果h∈[h1， h2， ...， hm]。 [0014]进一步地， 拦截恶意 流量， 每个恶意流量对应两个行为检测模型输出的检测结果。 [0015]进一步地， 行为检测模型1和行为检测模型2均为分类模型。 [0016]进一步地， 分类模型包括CN N、 RNN、 LSTM等。 [0017]本发明的有益效果是： 本 发明对传统WA F的恶意检测方式进行优化， 对流量进行异 构检测和行为分析检测的双重检测， 同时可以得到恶意流量对应的恶意行为， 降低了恶意 流量检测的错误率、 漏报率， 同时便于相关人员对恶意流量对应的恶意行为进 行分析， 采取说　明　书 1/2 页 3 CN 114499991 A 3