本发明属于网络安全技术领域,尤其涉及一种拟态waf中执行体的裁决方法。
背景技术:
随着互联网技术的迅猛发展,许多用户的关键业务越来越多地基于web应用,在通过浏览器方式实现展现与交互的同时,用户的业务系统所受到的威胁也随之而来,并且随着业务系统的复杂化及互联网环境的变化,所受威胁也在飞速增长。篡改网页、植入后门、拒绝服务攻击等攻击手段层出不穷,攻击者利用这些手段瘫痪目标服务器的业务,窃取用户敏感信息,或控制相关设备和资源为其所用。
waf称为web应用防火墙,是通过执行一系列针对http,https的安全策略,来专门对web应用提供保护的一款产品。但还是存在像防护规则库被恶意绕过、利用waf平台的自身漏洞、操作系统的漏洞或者云平台的漏洞进行攻击等问题,因此面临严重的安全威胁。拟态waf是基于拟态防御思想的web应用防火墙,与传统的网络防御手段不同,拟态防御通过动态化、随机化、主动化的手段改变网络信息系统的运行或执行环境,突破传统网络信息安全被动防御的窘境,将“亡羊补牢”式的被动防御转变为难以被侦测的主动防御,改变目前易攻难守的现状。
技术实现要素:
本发明的目的在于针对现有技术的不足,提供一种拟态waf中执行体的裁决方法。本发明能够对不同异构体的结果进行裁决判定,从而发现异常的异构体,使得waf具有了能够主动防御和发现未知攻击的能力,增强了waf自身的安全性,使得攻击者攻击成功的概率大大降低。
本发明的目的是通过以下技术方案来实现的:一种拟态waf中执行体的裁决方法,该方法包括以下步骤:
(1)流量同步模块对k个执行体发送的流量进行同步,具体为:
(1.1)拟态waf中当前有n个上线执行体e={ei|i=1,2,…,n},这n个执行体在操作系统、waf平台、规则库等方面进行了异构化处理;
(1.2)设拟态waf中的入口节点r接收到的访问流量为f,在f请求头上添加标记值tag,将流量复制分发到k个异构体;
(1.3)在n个异构waf执行体中,只有k个异构执行体处理了流量,k个异构执行体将处理结果放到请求头,然后将流量发送至拟态waf裁决模块,裁决模块利用流量的标志值tag对k个waf执行体流量进行同步;
(1.4)设每个waf异构体被选中的次数为ai(1≤i≤n),ai的初始值为0,当接收到流量时,更新k个异构体对应的ai值,执行ai 1操作;
(2)多模裁决模块对k个处理结果进行裁决判断;
(3)从流量的请求头中获取waf异构体的处理结果,当某个waf异构体的处理结果与裁决结果不一致时,这时认为异构体发生了异常,设每个waf异构体异常的次数为bi(1≤i≤n),bi的初始值为0,根据裁决结果与每个waf异构体结果比较,存在差异的异构体对应的bi 1;
(4)设每个异构体的异常率为di(1≤i≤n),其计算公式为di=bi/ai,当拟态裁决结果产生后,更新每个异构体的异常率,当某个异构体异常率高于某个阈值时,对该异构体进行下线自清洗操作;
(5)当拟态裁决的结果为通过时,将流量转发到后端服务器;若结果为不通过则转发到沙箱或蜜罐进行处理;
(6)将裁决数据通过日志记录模块写入到日志中,其中裁决数据包括异构体编号、异构体处理结果、裁决结果和请求体部分重要数据等。
进一步地,所述步骤(2)中,裁决采用择多原则来实现。
进一步地,所述步骤(1.3)中,流量同步采用循环等待的方法。
与现有技术相比,本发明具有如下有益效果:本发明主要提出了拟态waf中的裁决方法,该裁决方法对增强waf安全和发现未知攻击非常重要。
(1)采用拟态防御思想,能够扰乱攻击者对目标对象内部特征的探索和了解,防止waf被攻破,增加内部渗透者以及外部攻击者对waf的认知以及攻击难度。
(2)在有效进行waf安全防御的基础上,采用拟态裁决的方法,确保了流量过滤的正确性,大大降低了误报率。
(3)在裁决模块中引入异常率di,优先替换异常率高的异构执行体,节省系统资源,提高系统可用性。
附图说明
图1是拟态waf中执行体的裁决方法示意图。
具体实施方式
拟态waf能够主动防御恶意攻击,发现未知的攻击,拟态waf中的裁决模块起到了很大的作用,本发明主要设计了流量同步模块、多模裁决模块、裁决结果与数据记录模块等来实现拟态waf中的裁决功能,通过裁决功能使得拟态waf能够识别未知攻击,并通过waf执行体下线自清洗等操作来阻断未知攻击,使得拟态waf具有主动防御能力。
本发明拟态waf中执行体的裁决方法,首先流量同步模块对k个异构waf处理结果进行同步,接着多模裁决模块对处理结果进行裁决判断,将裁决结果与数据记录日志,并且更新数据库对应的值,最后,当裁决结果为通过时,将流量发送至后端服务器,当裁决结果为不通过时,将流量发送至蜜罐或沙箱;如图1所示,包括以下步骤:
(1)流量同步模块对k个执行体发送的流量进行同步,具体为:
(1.1)拟态waf中当前有n个上线执行体e={ei|i=1,2,…,n},这n个执行体在操作系统、waf平台、规则库等方面进行了异构化处理;其中云上服务器的操作系统可以选择windowsserver、centos、ubuntu等,云的虚拟化技术选择kvm、xen等,微容器软件选择docker、solariscontainers、podman等;
(1.2)设拟态waf中的入口节点r接收到的访问流量为f,在f请求头上添加标记值tag,将流量复制分发到k个异构体。
(1.3)在n个异构waf执行体中,只有k个异构执行体处理了流量,k个异构执行体将处理结果放到请求头,然后将流量发送至拟态waf裁决模块,裁决模块利用流量的标志值tag对k个waf执行体流量进行同步;流量同步采用循环等待等方法。
(1.4)设每个waf异构体被选中的次数为ai(1≤i≤n),ai的初始值为0,当接收到流量时,更新k个异构体对应的ai值,执行ai 1操作。
(2)多模裁决模块对k个处理结果进行裁决判断,裁决可采用择多原则等方法来实现。
(3)从流量的请求头中获取waf异构体的处理结果,当某个waf异构体的处理结果与裁决结果不一致时,这时认为异构体发生了异常,设每个waf异构体异常的次数为bi(1≤i≤n),bi的初始值为0,根据裁决结果与每个waf异构体结果比较,存在差异的异构体对应的bi 1。
(4)设每个异构体的异常率为di(1≤i≤n),其计算公式为di=bi/ai,当拟态裁决结果产生后,更新每个异构体的异常率,当某个异构体异常率高于某个阈值时,对该异构体进行下线自清洗操作;
(5)当拟态裁决的结果为通过时,将流量转发到后端服务器;若结果为不通过则转发到沙箱或蜜罐进行处理。
(6)将裁决数据等相关数据通过日志记录模块写入到日志中,其中裁决数据包括异构体编号、异构体处理结果、裁决结果和请求体部分重要数据等。
本发明提出了拟态waf中执行体的裁决方法,能够对多个相同流量的处理结果进行裁决判断,从而发现并阻断未知的攻击,从而增强了waf的安全能力,大大降低了攻击成功给的概率。
1.一种拟态waf中执行体的裁决方法,其特征在于,该方法包括以下步骤:
(1)流量同步模块对k个执行体发送的流量进行同步,具体为:
(1.1)拟态waf中当前有n个上线执行体e={ei|i=1,2,...,n},这n个执行体在操作系统、waf平台、规则库等方面进行了异构化处理;
(1.2)设拟态waf中的入口节点r接收到的访问流量为f,在f请求头上添加标记值tag,将流量复制分发到k个异构体;
(1.3)在n个异构waf执行体中,只有k个异构执行体处理了流量,k个异构执行体将处理结果放到请求头,然后将流量发送至拟态waf裁决模块,裁决模块利用流量的标志值tag对k个waf执行体流量进行同步;
(1.4)设每个waf异构体被选中的次数为ai(1≤i≤n),ai的初始值为0,当接收到流量时,更新k个异构体对应的ai值,执行ai 1操作;
(2)多模裁决模块对k个处理结果进行裁决判断;
(3)从流量的请求头中获取waf异构体的处理结果,当某个waf异构体的处理结果与裁决结果不一致时,这时认为异构体发生了异常,设每个waf异构体异常的次数为bi(1≤i≤n),bi的初始值为0,根据裁决结果与每个waf异构体结果比较,存在差异的异构体对应的bi 1;
(4)设每个异构体的异常率为di(1≤i≤n),其计算公式为di=bi/ai,当拟态裁决结果产生后,更新每个异构体的异常率,当某个异构体异常率高于某个阈值时,对该异构体进行下线自清洗操作;
(5)当拟态裁决的结果为通过时,将流量转发到后端服务器;若结果为不通过则转发到沙箱或蜜罐进行处理;
(6)将裁决数据通过日志记录模块写入到日志中,其中裁决数据包括异构体编号、异构体处理结果、裁决结果和请求体部分重要数据等。
2.如权利要求1所述拟态waf中执行体的裁决方法,其特征在于,所述步骤(2)中,裁决采用择多原则来实现。
3.如权利要求1所述拟态waf中执行体的裁决方法,其特征在于,所述步骤(1.3)中,流量同步采用循环等待的方法。
技术总结