(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111652526.4 (22)申请日 2021.12.3 0 (71)申请人 浙江大学 地址 310058 浙江省杭州市西湖区余杭塘 路866号 (72)发明人 吴春明　赵若琰　 (74)专利代理 机构 杭州求是专利事务所有限公 司 33200 专利代理师 邱启旺 (51)Int.Cl. G06F 21/55(2013.01) G06F 21/56(2013.01) G06K 9/62(2022.01) (54)发明名称 一种拟态 WAF中基于无监督思想的正则规则 生成方法 (57)摘要 本发明公开了一种拟态 WAF中基于无监督思 想的正则规则生成方法， 该方法用于拟态WAF中 的正则规则生成， 根据新来的流量实时补充正则 规则库。 本发明设计了拟态裁决模块、 流量收集 模块、 参数提取模块、 参数特征提取模块、 聚类模 块、 规则生成模块、 人工复审模块， 将通过正则检 测模块的流量进行计数， 当流量达到1万条时， 开 启无监督生成规则引擎， 提取流量中的参数， 并 将参数值输入 特征提取模块得到特征向量， 进行 聚类， 将聚类出来的参数值输入待选规则库， 人 工选择参数级别规则添加至规则库， 对拟态WAF 中的正则规则库进行补充。 权利要求书1页 说明书3页 附图1页 CN 114462025 A 2022.05.10 CN 114462025 A 1.一种拟态WAF中基于无监 督思想的正则规则生成方法， 其特 征在于， 包括以下步骤： (1)从拟态WAF中得到正常流 量， 开启AI 生成规则引擎。 (2)对正常流量进行请求头字段提取： 提取出URL地址l、 URL参数r、 User ‑Agent字段u、 Host字段h、 Co ntent‑Length字段c。 (3)将提取到的5个字段送入特 征提取模块进行 特征提取。 (4)将5个字段的特征向量分别进行聚类， 得到聚类结果result， 其中result属于[0, 1]： (4.1)若result＝0， 则说明该参数为 正常参数， 将该参数丢弃。 (4.2)若result＝1， 则说明该参数 是异常参数， 将该参数送入恶意 参数规则库。 2.如权利要求1所述拟态WAF中基于无监督思想的正则规则生成方法， 其特征在于， 步 骤(1)具体为： (1.1)部署M个WAF恶意 流量检测模块E＝{ei|i＝1,2,...,M}， 其中ei为第i个检测模块。 (1.2)将流 量送入恶意检测模块， 得 出检测结果t1i(i＝1,2,...,M)。 (1.3)将每个恶意检测模块的检测结果t1i(i＝1,2,...,M)送入拟态裁决模块， 拟态裁 决模块对恶意 流量进行判决， 得到最终属性t'1∈[0,1]。 (1.4)拟态裁决模块 根据最终属性对流 量进行不同操作， 具体为： (1.4.1)若t'1＝1， 则说明为恶意 流量， 将该流 量进行拦截。 (1.4.2)若t'1＝0， 则说明为 正常流量。 3.如权利要求2所述拟态WAF中基于无监督思想的正则规则生成方法， 其特征在于， 步 骤(1.1)中， 根据不同的检测方式对恶意 流量检测模块E进行异构化处 理。 4.如权利要求3所述拟态WAF中基于无监督思想的正则规则生成方法， 其特征在于， 所 述检测方式包括专 注于SQL注入、 专 注于字符编码、 专 注于无效注释添加、 专 注于AI等。 5.如权利要求2所述拟态WAF中基于无监督思想的正则规则生成方法， 其特征在于， 步 骤(1.2)具体为： (1.2.1)若流 量为HTTP流量， 则直接送入恶意检测模块E 。 (1.2.2)若流 量为HTTPS流量， 则先将该流 量解密为HT TP流量， 再送入恶意检测模块E 。 6.如权利要求2所述拟态WAF中基于无监督思想的正则规则生成方法， 其特征在于， 步 骤(1.3)中， 所述拟态裁决模块的判决方法包括加权表决、 举 手表决等。 7.如权利要求2所述拟态WAF中基于无监督思想的正则规则生成方法， 其特征在于， 步 骤(1.4.2)得到的正常流量送入流量收集模块， 当流量收集模块中的流量数达到设定数量 时， 再开启AI 生成规则引擎。 8.如权利要求1所述拟态WAF中基于无监督思想的正则规则生成方法， 其特征在于， 对 恶意参数规则库中的规则， 进 行人工复审； 审查不通过， 则将对应的参数丢弃； 审查通过， 则 将对应的参数送入最终恶意 参数规则库。 9.如权利要求8所述拟态WAF中基于无监督思想的正则规则生成方法， 其特征在于， 恶 意参数规则库中的规则达 到设定数量时， 再进行 人工复审。 10.如权利要求1所述拟态WAF中基于无监督思想的正则规则生成方法， 其特征在于， 步 骤(3)中， 特 征提取方法可采用RN N、 LSTM等。权　利　要　求　书 1/1 页 2 CN 114462025 A 2一种拟态WAF中基于无 监督思想的正则规则生成方 法 技术领域 [0001]本发明属于网络安全技术领域， 尤其涉及一种拟态WAF中基于无监督思想 的正则 规则生成方法。 背景技术 [0002]WAF是通过执行一系列针对HTTP/HTTPS的安全策略来对Web提供应用保护的一款 产品， 在WAF中集成了一定的检测规则， 根据规则对每条HTTP流量进行检测处理， 执行对应 的防御或放行操作， 来 维护web应用的安全性。 每款WAF产品的检测规则体系各不相同， 规则 体系是WAF架构中的核心。 [0003]大多数的安全漏洞都是由于利用了WA F的脆弱性而发生的。 在理想情况下， 提高系 统安全性的最佳方法是发现所有的漏洞并修复它们， 但是由于系统的复杂性以及难评估 性， 几乎不可能做到修复所有漏洞， 因此尽可能全面的补 充WAF规则是一项重要且艰巨的任 务。 发明内容 [0004]本发明的目的在于针对现有技术的不足， 提供一种拟态WAF中基于无监督思想 的 正则规则生成方法。 本发明利用无监督聚类方法通过拟态裁决的流量划分为参数， 并进行 二次检测， 并根据恶意 参数生成规则补充正则规则库， 从而起到主动防御的作用。 [0005]本发明的目的是通过以下技术方案来实现的： 一种拟态WAF中基于无监督思想 的 正则规则生成方法， 包括以下步骤： [0006](1)从拟态WAF中得到正常流 量， 开启AI 生成规则引擎。 [0007](2)对正常流量进行请求头字段提取： 提取出URL地址l、 URL参数r、 User ‑Agent字 段u、 Host字段h、 Co ntent‑Length字段c。 [0008](3)将提取到的5个字段送入特征提取模块进行特征提取， 特征提取方法可采用 RNN、 LSTM等。 [0009](4)将5个字段的特征向量分别进行聚类， 得到聚类结果result， 其中result属于 [0,1]： [0010](4.1)若result＝0， 则说明该参数为 正常参数， 将该参数丢弃。 [0011](4.2)若result＝1， 则说明该参数 是异常参数， 将该参数送入恶意 参数规则库。 [0012]进一步地， 步骤(1)具体为： [0013](1.1)部署M个WAF恶意流量检测模块E＝{ ei|i＝1,2,...,M}， 其中ei为第i个检测 模块。 [0014](1.2)将流 量送入恶意检测模块， 得 出检测结果t1i(i＝1,2,...,M)。 [0015](1.3)将每个恶意检测模块的检测结果t1i(i＝1,2,...,M)送入拟态裁决模块， 拟 态裁决模块对恶意 流量进行判决， 得到最终属性t ′1∈[0,1]。 [0016](1.4)拟态裁决模块 根据最终属性对流 量进行不同操作， 具体为：说　明　书 1/3 页 3 CN 114462025 A 3