一种拟态WAF构造方法

技术领域

本发明属于网络安全技术领域，尤其涉及一种拟态WAF构造方法。

背景技术

近年来，美国筹划部署“改变游戏规则”的网络安全防御技术，提出移动目标防御，致力于构建动态、异构和不确定性来增加攻击者的攻击难度。移动目标防御可以在网络、平台运行环境、软件、数据等多个层面实施，包括IP地址可变、端口可变、执行代码的随机性、地址空间的随机性等。

邬江兴院士等提出以“拟态防御”、“自重构可信赖”、“使命确保”等创新性主动防御技术，在理论推演、技术攻关和原理验证等方面取得重要进展，实现代码运行态随机化，提升了嵌入式环境的主动防御能力。“拟态防御”思想具有很好的防御能力。与传统的网络防御手段不同，拟态防御通过动态化、随机化、主动化的手段改变网络信息系统的运行或执行环境，突破传统网络信息安全被动防御的窘境，将“亡羊补牢”式的被动防御转变为难以被侦测的主动防御，改变目前易攻难守的现状。

WAF(Web Application Firewall)称为web应用防火墙，是通过执行一系列针对HTTP,HTTPS的安全策略，来专门对web应用提供保护的一款产品。WAF初期是基于规则防护的防护设备；基于规则的防护，可以提供各种web应用的安全规则，WAF生产商去维护这个规则库，并实时为其更新，用户按照这些规则，可以对应用进行全方面的保护。但还是存在像防护规则库被恶意绕过、利用WAF平台的自身漏洞、操作系统的漏洞或者云平台的漏洞进行攻击等问题，因此面临严重的安全威胁。为了能够主动防御针对WAF的恶意攻击，本发明设计了动态选择模块，拟态裁决模块，异构体构建模块等来实现拟态WAF构造，通过对云服务器、虚拟化容器、容器内的操作系统、WAF平台、拦截规则等进行异构化处理，使得WAF具有主动防御能力。当流量经过动态选择模块时，该模块会从全部WAF异构体中选择k个进行流量处理，处理结果经过拟态裁决模块裁决后，用裁决结果修改每个异构体的异常率，当某个异构体异常率高于某个值时，对该异构体采取下线自清洗操作，最后，当裁决结果为通过后，对流量放行；当裁决结果为不通过时，对流量转发到后续处理模块。

发明内容

本发明的目的在于针对现有技术的不足，提供一种拟态WAF构造方法。本发明对WAF架构进行优化，将流量调度到异构服务器中的异构WAF容器，使得WAF具有异构性，多样性和动态性，在完成WAF应有功能的同时，增强了WAF自身安全性，使得攻击者攻击成功的概率大大降低。

本发明的目的是通过以下技术方案来实现的：一种拟态WAF构造方法，该方法包括以下步骤：

(1)搭建多个WAF异构体，具体为：

(1.1)部署M个云服务器E＝{e

(1.2)每个云服务器上部署N个微容器C＝{c

(2)当用户访问时，流量经过DNS或者负载均衡解析后，动态选择模块从M*N个不同的WAF异构体中随机选择k个异构体，其中k≤M*N，将流量分配到k个WAF异构体上进行规则匹配，此时设每个WAF异构体被选中的次数为A

(3)k个WAF异构体对流量处理后，将结果发给拟态裁决模块，对流量进行裁决判定；

(4)当WAF异构体的规则匹配结果与裁决结果不一致时，这时认为WAF异构体发生了异常，设每个WAF异构体异常的次数为B

(5)设每个WAF异构体的异常率为D

(6)当拟态裁决的结果为通过时，将流量转发到后端服务器S；若结果为不通过则转发到拒绝流量处理模块。

进一步地，所述步骤(2)中，从虚拟化技术、操作系统、微容器软件的角度对E进行异构化处理。

进一步地，所述操作系统包括Windows Server、CentOS和Ubuntu。

进一步地，所述虚拟化技术包括kvm和Xen。

进一步地，所述微容器软件包括Docker、Solaris Containers和Podman。

进一步地，所述步骤(6)中拒绝流量处理模块包括沙箱和蜜罐。

本发明具有如下有益效果：本发明的技术方案采用拟态防御思想，基于WAF的性能以及安全要求，进行改进，提供了一种动态异构冗余的WAF构造方法，具有以下特点：

(1)采用拟态防御思想，能够扰乱攻击者对目标对象内部特征的探索和了解，防止WAF被攻破，增加内部渗透者以及外部攻击者对WAF的认知以及攻击难度。

(2)在有效进行WAF安全防御的基础上，采用拟态裁决的方法，确保了流量过滤的正确性，大大降低了误报率。

(3)在异构执行体清洗模块中引入异常率D

附图说明

图1是拟态WAF架构图。

具体实施方式

如图1所示，本发明一种拟态WAF构造方法，对云服务器、虚拟化容器、容器内的操作系统、WAF平台、拦截规则等进行异构化处理，设计了动态选择模块，拟态裁决模块，异构体构建模块等来实现拟态WAF构造，能够主动防御针对WAF自身的恶意攻击。当流量经过动态选择模块时，该模块会从全部WAF异构体中选择k个进行流量处理，处理结果经过拟态裁决模块裁决后，用裁决结果修改每个异构体的异常率，当某个异构体异常率高于某个值时，对该异构体采取下线自清洗操作，最后，当裁决结果为通过时，对流量放行；当裁决结果为不通过时，对流量转发到后续处理模块；包括以下步骤：

1、搭建多个WAF异构体，具体为：

(1)部署M个云服务器E＝{e

(2)每个云服务器上部署N个微容器C＝{c

2、当用户访问时，流量经过DNS或者负载均衡解析后，动态选择模块从M*N个不同的WAF异构体中，等可能地随机选择k个异构体(k≤M*N)，将流量分配到k个WAF异构体上进行规则匹配，此时设每个WAF异构体被选中的次数为A

3、k个WAF异构体对流量处理后，将结果发给拟态裁决模块，该模块对流量进行裁决判定。

4、当WAF异构体的规则匹配结果与裁决结果不一致时，这时认为WAF异构体发生了异常，设每个WAF异构体异常的次数为B

5、设每个WAF异构体的异常率为D

6、当多模裁决的结果为通过时，将流量转发到后端服务器S；若结果为不通过则转发到拒绝流量处理模块，采用如沙箱、蜜罐等方式进行处理。

本发明对传统WAF架构进行优化，对云服务器、虚拟化容器、容器内的操作系统、WAF平台、拦截规则等进行异构化处理，通过结构性的变化，使WAF形成拟态防御能力。这样能够扰乱攻击者对目标对象内部特征的探索和了解，防止WAF被攻破，增加内部渗透者以及外部攻击者对WAF的认知以及攻击难度，从而增强了WAF自身安全性。