(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111386239.3 (22)申请日 2021.11.22 (65)同一申请的已公布的文献号 申请公布号 CN 114124519 A (43)申请公布日 2022.03.01 (73)专利权人 浙江大学 地址 310058 浙江省杭州市西湖区余杭塘 路866号 (72)发明人 吴春明　张江瑜　陈双喜　曲振青　 黄泸明　 (74)专利代理 机构 杭州求是专利事务所有限公 司 33200 专利代理师 邱启旺 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 CN 112491803 A,2021.0 3.12 CN 112073394 A,2020.12.1 1 CN 112422540 A,2021.02.26 CN 112367289 A,2021.02.12 WO 2021169080 A1,2021.09.02 沈从麟.基 于信誉度与相异度的自适应拟态 控制器研究. 《通信学报》 .2018, 陈静.基于拟态安全防御的LDOS攻击防御研 究. 《福建电脑》 .2017, CHEN Shuangxi, etal. .Researc h on Executive Co ntrol Strategy of Mimic Web Defense Gateway. 《ISNC C》 .2019, Congqi Shen, etal. .A Decentral ized Multi-rul ing Arbiter for Cyberspace mimicry Defense. 《ISNC C》 .2019, 审查员 陈丽锋 (54)发明名称 一种拟态WAF 执行体的多 模态异步裁决方法 (57)摘要 本发明公开了一种拟态 WAF执行体的多模态 异步裁决方法， 该方法能够对多个模态的信息进 行综合裁决， 大幅度提高裁决的准确性， 同时采 用异步的方式进行处理， 减少了WAF的性能消耗。 本发明主要设计了流量异步处理模块、 异常分数 计算模块、 裁决结果判定模块等来实现拟态WAF 中的裁决功能， 首先流量异步处理模块接收到流 量， 异步处理每个请求， 当处理到最后一个请求 时， 使用最近异常分数计算模块结果作为执行体 的异常分数， 与执行体WAF判断结果进行加权计 算， 最后通过裁决结果判定模块进行判断， 当裁 决结果为通过时， 将流量发送至后端服务器， 当 裁决结果为不通过时， 将流量发送至蜜罐或沙 箱。 权利要求书1页 说明书4页 附图2页 CN 114124519 B 2022.08.30 CN 114124519 B 1.一种拟态WAF 执行体的多模态 异步裁决方法， 其特 征在于， 包括如下步骤： (1)k个异构执行体在收到流量 之后， 会对 流量进行正则判断， 输出结果Ri＝1 or  ‑1， 当 判断结果 为正常时， 输出1， 否则输出 ‑1； (2)根据拟态WAF的执 行体的操作系统信息， 计算异常 分数， 包括： (2.1)收集执行体的操作系统的信息， 包括用户出现次数Ai、 文件passw d最后修改时间 戳Bi、 文件crontab最后修改时间戳Ci和进程CPU使用率Di， 对A、 B、 C、 D数值信息分别进行归 一化； (2.2)设置各操作系统信息对应的权重Wj(1≤j≤4)(0≤Wj≤1)； 首先计算各个信息的 平均值 计算每个执行体对于每 个信息的绝对偏差Vij； (2.3)每个执行体的异常 分数Yi计算通过Wj与Vij的点乘对j求和得到； (3)对异构体的输出 结果进行异步处 理， 包括： (3.1)每个WAF异构体的到达流量数量为num， num的初始值为0， 当接收到流量时， 执行 num+1； (3.2)WAF结果状态值为state， 将当前流量的WAF判断结果以10进制编码的形式进行状 态压缩写入state； 当执行体i的判断结果为通过时， 进行操作state＝stat e+10i； 结果为不 通过时， 不进行任何操作； 当num值小于k时， 继续执 行步骤(3.1)， 否则执 行步骤(3.3)； (3.3)从状态值state解码恢复出 各个执行体的WAF 结果； (4)基于步骤(3)异步处理后的WAF结果， 和步骤(2)得到的异常分数， 进行多模态裁决， 包括： (4.1)使用异常分数计算模块计算出的异常分数Yi与恢复出的WAF判断结果Ri进行点 乘， 计算得到 裁决分数Ji＝Ri*(1‑Yi)， 最后的裁决判断值 为 (4.2)如果J的值大于0的话， 则裁决结果为通过， 将流量发送至后端服务器； 否则裁决 结果为不通过时， 将流量发送至蜜罐或沙箱， 最终将判断结果与裁决结果不同的执行体异 常数加一， 并记录日志。 2.如权利 要求1所述拟态WAF执行体的多模态异步裁决方法， 其特征在于， 步骤(1)具体 为： 拟态WAF中有n个异构执行体， 拟态WAF的入口节点接收到的访问流量为F， 在F请求头上 添加标记值ta g， 将流量复制分发到k个异构体， 通过ta g标记来确认是同一 流量。权　利　要　求　书 1/1 页 2 CN 114124519 B 2一种拟态WAF执行 体的多模 态异步裁决方 法 技术领域 [0001]本发明属于网络安全技术领域， 尤其涉及一种拟态WAF执行体 的多模态异步裁决 方法。 背景技术 [0002]随着互联 网技术的迅猛发展， 许多用户的关键业务越来越多地基于WEB 应用， 在通 过浏览器方式实现展现与交互的同时， 用户的业务系统所 受到的威胁也随之而来。 目前， 针 对Web应用的防护主要手段是WAF(Web应用防火墙)， 但是传统WAF作为一种典型的被动防御 措施， 主要通过更新过滤规则库不断获得防御能力， 存在过滤规则单一、 易被绕过， 且WAF平 台无法防御针对自身的0day攻击等问题。 当前防御手段通过 “后天获得性免疫 ”， 只能“不停 地找漏洞， 不断的打补丁 ”，“不断地亡羊， 不停 地补牢”， 对于安全设备中预先安插后门的检 出和防范没有有效的办法， 对安全设备自身 未知漏洞、 未知后门的未知攻击无法进 行防御。 在网络攻击趋向自动化、 智能化、 组合化、 软硬件协同的态势下， 传统防御体系更难以有效 抵御利用安全设备未知漏洞的攻击， 难以防御潜在的利用安全设备自身 各类未知后门的攻 击。 [0003]针对传统防御技术的缺点， 拟态防御克服了已有防御技术的问题和不足。 在此基 础上， 依据攻击对平台具有依赖性这一本质特征， 提出了基于 “动态异构冗余 ”结构的拟态 防御模型。 该模型通过实现多层面的异构性和 动态性， 降低单步攻击成功的概率， 扰乱 攻击 的反馈信息， 增大系统的不确定性， 从而达到增加攻击难度和提升系统安全性的目的。 拟态 云WAF将拟态安全技术应用于WAF， 构建部署具有自免疫功能的应用层web业务系统安全防 护， 有效打破 “攻易守难 ”的网络安全现状， 在提升WAF自身安全性的基础上， 实现WAF过滤规 则的拟态化、 智能化演进， 从应用层上加强互联网业 务系统主动防御能力。 发明内容 [0004]本发明的目的在于针对现有技术的不足， 提供了一种拟态WAF执行体 的多模态异 步裁决方法。 本发明能够 对多个模态的信息进行综合裁决， 大幅度提高裁决 的准确性， 同时 采用异步的方式进行处理， 减少了WAF的性能消耗， 同时经过裁决判定发现异常的执行体， 使得WAF具有了能够主动防御和发现未知攻击的能力。 [0005]本发明的目的是通过如下技术方案实现的： 一种拟态WAF执行体的多模态异步裁 决方法， 包括： [0006](1)拟态WAF中有n个异构执行体， 这些执行体在操作系统、 WAF平台、 规则库等方面 进行了异构化处 理， 执行体对流 量判断过程具体如下： [0007](1.1)设拟态WAF的入口节点接收到的访问流量为F， 在F请 求头上添加标记值tag， 将流量复制分发到k个异构体， 通过ta g标记来确认是同一 流量。 [0008](1.2)在n个异构WA F执行体中， 只有k个异构执行体处理了流量， k个异构执行体将 处理结果放到请求头， 然后对流量进 行多模态异步裁决， 利用流量的标志 值tag对k个WAF执说　明　书 1/4 页 3 CN 114124519 B 3