纵观近年来的网络安全事件,网络攻击愈加频繁,大量数据泄露事件都与Web攻击有关。Web应用防火墙(WAF,Web Application Firewall)能够有效解决这些问题。WAF防火墙具有实时检测和响应功能,及时响应和拦截非法请求的能力,能够确保网络请求内容的安全性和合法性,达到有效保护企业和个人的信息数据安全的目的,是网络安全纵深防御体系里重要的一环。传统的WAF防火墙采取以模式匹配为核心的检测技术,通过将网络攻击的特征固化为防护规则来检测异常请求。该方式的防御力度取决于规则库的完善程度,是一种滞后防护方式,难以有效的抵御未知威胁。因此,研究新型WAF防火墙对于保障Web应用安全,有效防御新型威胁至关重要。针对以上问题,本文研究并实现了基于深度学习的WAF防火墙,本文的主要贡献如下。(1)研究设计基于深度学习的异常流量检测方法近年来,新一代的WAF防火墙运用了机器学习和行为分析技术来提升对未知攻击检测的粒度。虽然取得一定进展,但效果仍不能让人满意。这是因为,传统机器学习方法属于浅层学习,强调特征工程和选择,无法有效解决实际网络应用环境中出现的各种各样的新型网络攻击。例如,高级持续威胁攻击。相对地,深度学习技术具备更强大的预测能力,可从更深层次发现被隐藏伪装的恶意流量,从而有效减少异常流量的漏报。因此,本文提出了一种基于双向LSTM神经网络的WAF威胁检测方法,称为WBLA(Word2Vec-Based Bidirectional LSTM With Attention Layer)。该方法采用双向长短时记忆网络Bi-LSTM提取HTTP请求内容中表征威胁的深层特征,并结合注意力机制来记录对异常流检测有重要影响的属性特征,以此来提高威胁检测能力。仿真结果表明,该方法可以有效地检测WAF混合流量中的异常流量。与基于传统机器学习和深度学习技术的威胁检测算法相比,本文所提方法具有更高的检测精度以及更低的误报率。(2)设计和实现高效的WAF防火墙随着网络的快速发展,服务器通常会面临着百万级别以上并发请求,WAF防火墙的检测粒度和性能将直接影响到用户的体验。因此本文针对开发高效的WAF所需的关键技术进行了研究与分析,结合系统应用的业务场景,采用了基于事件驱动模型的框架,实现了WAF防火墙高效的HTTP/HTTPS的解析功能和流量转发功能。而且系统还实现了基于深度学习的异常流量检测功能和基于关键字匹配算法的内容过滤功能。经过测试,系统在处理高并发请求时基本满足威胁检测的需求。