(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210049272.5 (22)申请日 2022.01.17 (65)同一申请的已公布的文献号 申请公布号 CN 114500018 A (43)申请公布日 2022.05.13 (73)专利权人 武汉大学 地址 430072 湖北省武汉市武昌区珞珈山 武汉大学 (72)发明人 陈晶　何琨　朱思猛　杜瑞颖　 粟栗　郑明辉　刘虎　徐丽华　 张书东　 (74)专利代理 机构 武汉科皓知识产权代理事务 所(特殊普通 合伙) 42222 专利代理师 肖明洲 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 9/08(2006.01) G06N 3/08(2006.01) (56)对比文件 CN 107995145 A,2018.0 5.04CN 10764 4166 A,2018.01.3 0 CN 109309680 A,2019.02.0 5 CN 112416293 A,2021.02.26 CN 113849813 A,2021.12.28 CN 112671768 A,2021.04.16 US 2006107321 A1,20 06.05.18 US 2012173702 A1,2012.07.0 5 US 2005229254 A1,20 05.10.13 EP 3512178 A1,2019.07.17 CN 101631108 A,2010.01.20 CN 110933105 A,2020.0 3.27 CN 108566364 A,2018.09.21 尹淑玲等.Web应用防火墙及其检测技 术. 《网络安全技 术与应用》 .2016,(第07期), 王宇等.Web应用防火墙的设计与实现. 《信 息安全与通信保密》 .201 1,(第05期), 马月等.Web应用防火墙 （WAF） 技 术的综述. 《计算机时代》 .2020,(第0 3期), 李雪等.一种新的Web 应用防火墙的自学习 模型. 《小型微型计算机系统》 .2014,第3 5卷(第3 期), (续) 审查员 王丹 (54)发明名称 基于神经网络的Web应用防火墙安全检测与 加固系统及方法 (57)摘要 本发明公开了一种基于神经网络的Web应用 防火墙安全检测与加固系统及方法， 系统包含防 火墙模块、 数据处理模块、 神经网络模块、 评分函 数模块、 签名生成模块。 防火墙模块提供被测试 的Web应用防火墙。 数据处理模块对输入的数据 进行处理， 用向量化等方式将数据转换成适合神 经网络处理的结构。 神经网络模块提供训练的神 经网络模型， 训练数据， 生成新的测试样本， 对 Web应用防火墙进行安全测试。 评分函数模块评 估数据中哪些部分对Web应用防火墙判别影 响最 大。 签名生成模块选择若干个频繁出现且对判别影响较大的数据部分， 使用简化的正则表达式生 成签名。 本发明找到能够绕过Web应用防火墙的 恶意攻击， 利用绕过WAF的恶意攻击样本生成加 固签名， 拦截新的攻击 。 [转续页] 权利要求书2页 说明书4页 附图1页 CN 114500018 B 2022.10.14 CN 114500018 B (56)对比文件 Lin Li， Linfeng Wei.Automatic XS S Detection and Automatic Anti-Anti-Virus Payload Generati on. 《2019 I nternati onal Conference o n Cyber- Enabled Distributed Computing and Kn owledge Discovery (CyberC)》 .2020,2/2 页 2[接上页] CN 114500018 B1.一种基于神经网络的Web应用防火墙安全检测与加固系统， 其特征在于： 包括防火墙 模块、 数据处 理模块、 循环神经网络模块、 评分函数模块、 签名生成模块； 所述防火墙模块， 用于提供被测试的Web应用防火墙； 所述数据处理模块， 用于对输入的数据进行处理， 将数据转换成适合循环神经网络模 块处理的结构； 所述循环神经网络模块， 用于训练数据， 生成新的测试样本， 对Web应用防火墙进行安 全测试； 所述评分函数模块， 用于 评估数据中哪些部分对Web应用防火墙判别影响最大； 所述签名生成模块， 用于选择若干个频繁出现且对判别影响大于预设值的数据部分， 使用简化的正则表达式生成签名。 2.根据权利要求1所述的基于神经网络的Web应用防火墙安全检测与加固系统， 其特征 在于： 所述循环神经网络模块包括输入 模块、 循环模块、 输出模块； 所述输入模块将字符串映射到数字， 设X＝{x1,x2,...,xN}作为输入序列， 其中， xt表示 输入序列中位置t处字符的自然数； 然后将xt转换为N维的one ‑hot向量 设 则one‑hot向量定义 为： 所述循环模块使用两层GRU单 元， 该单元仅使用两个门， 更新门和重 置门； 所述输出模块包含了一个前馈网络， 接受循环模块的输出作为输入， 应用softmax函 数， 结果为预测输入序列的下一个值 提供了概 率分布。 3.一种基于神经网络的Web应用防火墙安全检测与加固方法， 其特征在于， 包括以下步 骤： 步骤1： 搭建被测试的Web应用防火墙； 步骤2： 收集数据， 对输入的数据进行处理， 将数据转换成适合循环神经网络模块处理 的结构； 步骤3： 训练数据， 生成新的测试样本， 对Web应用防火墙进行安全测试； 步骤4： 使用删除函数、 替换函数、 头部函数、 尾部函数综合评估数据中哪些部分对Web 应用防火墙判别影响最大； 述删除函数， 是指比较删除某字符串前后的数据， 具体来说， 是将原数据和删除后的数 据分别发送到Web应用防火墙， 以此来评估该数据对Web应用防火墙的影响， 如果结果不同 则说明有影响； 所述替换函数， 是指比较将数据中某字符串替换为另一字符串， 具体来说， 是将原数据 和替换字 符串后的数据分别发送到Web应用防火墙， 以此来评估该数据对Web应用防火墙的 影响， 如果结果 不同则说明有影响； 所述头部函数， 是指比较该字符串及其之前的数据与该字符串之前的数据， 具体来说， 是将数据分别发送到Web应用防火墙， 以此来评估该数据对Web应用防火墙的影响， 如果结权　利　要　求　书 1/2 页 2 CN 114500018 B 3