网络应用防火墙（Web Application Firewall,WAF）是针对网络应用软件系统的应用层级的关键防御机制。日新月异的网络应用攻击方式,使得网络应用防火墙的防御手段也在不断地更新换代。测试网络应用防火墙能否抵御目前主流的网络攻击的工作也被提上了日程。然而目前并没有一个完整有效的机制能够对网络应用防火墙进行合理的安全测试。本文重点关注的是三种常见的网络应用攻击:SQL注入攻击,跨站脚本（XSS）攻击,以及命令执行攻击,但我们的方法并不仅仅局限于这三种攻击。本文提出了一种基于机器学习模型实现的WAF安全测试系统,以对网络应用防火墙进行安全测试。本文基于预定义的语法库随机生成相应攻击的初始随机攻击负载,并将其提交到受WAF保护的网络应用软件系统中进行测试并打标签。然后机器学习模型会通过初始随机攻击负载集合学习到与绕过WAF相关的绕过模式及分片信息,接着本文利用负载变异模块中的分片置换变异算法,将攻击负载变异为更有可能能够绕过WAF的攻击负载。通过多次重复负载生成、负载学习、负载变异的过程,便能生成大量有效绕过WAF的攻击负载。本文在一个工具上实现了本文的方法,并在三种主流的WAF（Modsecurity,绿盟网络应用防火墙,云锁网络应用防火墙）上进行了绕过测试评估。本文还在相应网络攻击上与同类网络攻击测试工具进行了对比。实验结果表明,本系统的能够针对不同的WAF成功地产生三种不同攻击的所对应的攻击负载,并且,与其他同类工具相比,本文实现的工具产生的负载绕过WAF的有效性更高。