CN110290100A - 一种基于SDN的拟态Web服务器及用户请求处理方法 - Google Patents

Abstract

本发明涉及一种基于SDN的拟态Web服务器及用户请求处理方法。该基于SDN框架的拟态Web服务器包括：异构执行体池，包含多个软硬件异构的执行体，每个执行体位于不同子网，每个子网包含多个异构软件栈的Web服务器虚拟机和一个共用的数据库；外围网络区，包含SDN控制器以及SDN交换机，SDN交换机用于用户请求数据流的复制、修改、分发以及服务器处理结果数据流的返回，SDN控制器用于监测、选择、控制异构执行体以及对多个执行结果的表决。本发明利用软件定义网络SDN的框架实现拟态Web服务器，对服务器的整个系统组成采取化静为动的策略，将防御的重点从降低可利用性转变为破坏可达性，能够达到更好的防御效果。

Description

一种基于SDN的拟态Web服务器及用户请求处理方法

技术领域

本发明主要涉及一种基于SDN框架的拟态Web服务器及用户请求处理方法，是利用动态异构冗余架构抵御未知漏洞、后门等不确定威胁的安全Web服务器。

背景技术

随着现今互联网技术的迅猛发展，人们的生活方式发生了巨大的变化，网络化的服务在人们社会生活当中所处的地位正在稳步提升。在这样的一个趋势之下，对于网络化的服务提供者们，也就是服务器的稳定性与安全性就有了更高的要求。

就目前网络空间的安全态势而言，由于认知与科技上的局限性，人类尚无法形成一种理论或方法，用以穷尽复杂信息系统漏洞和彻查后门，因此漏洞与后门的存在拥有着必然性。此外，由于全球化的发展和加工过程的专门化，各种产品的各项供应链条会变得越来越长，在此之中存在的不可信或是可信性难以精确掌控的供应链环节就给整个产品的安全管控带来巨大的挑战，同时也会给漏洞和后门的植入提供众多机会。

当前大部分的防御技术都是静态的被动防御，是基于威胁特征感知的精确防御。这就意味着需要以一定的先验知识作为防御的基础，换句话说，此类防御技术只能防御已知类型的风险。一旦软硬构件中存在未知的漏洞和后门，现有的静态防御体系就显得捉襟见肘。

发明内容

针对上述问题，本发明利用软件定义网络SDN(Software Defined Network)的框架，部署一个动态化、多样化、随机化的拟态Web服务器，对服务器的整个系统组成采取化静为动的策略，将防御的重点从降低可利用性转变为破坏可达性，达到更好的防御效果。

本发明的Web服务器包含了分发技术、表决技术、监控调度技术、异构执行体池技术、IP地址跳变技术、主被动协同防御技术等多种技术，对服务器响应用户请求的输入-处理-输出模型进行多方位的保护，既加强了入侵容忍的鲁棒性，又能在其基础上做到异常模块、可疑流量的快速识别与反应，从而不断调整改善异构执行体以及防御策略，达到强大的内生防御效果。

本发明所采用的技术方案的原理是：在服务器的物理操作系统层、虚拟化层、服务器软件层、应用脚本层和数据层上采取一定的定制方式，配置出多个异构冗余而又功能等价的执行体。通过SDN网络的可编程特性使同一个用户请求被分流到多个执行体当中进行处理，并在SDN控制器上对多个执行体的执行结果利用一定的算法进行表决，最后将表决结果输出给用户。同时在表决过程中可以过滤异常的执行结果，也可以检测出异常的执行体。SDN控制器上的表决单元将此结果以负反馈机制反馈给调度以及控制单元，来对执行体进行调度、清洗、恢复等操作。同时，利用SDN网络可以修改数据流中地址信息的特性，可以实现执行体的IP跳变，进一步增强系统的不确定性。最后，每个子网中的不同执行体共享一个数据库，进行查询操作时通过SQL指令异构化模块来定制异构的SQL指令以加强不确定性。而不同子网的数据库采用一定的离线表决同步机制保证数据库的一致性。

具体来说，本发明采用的技术方案如下：

一种基于SDN框架的拟态Web服务器，其包括：

异构执行体池，包含多个软硬件异构的执行体，其中每个执行体位于不同子网，每个子网包含多个异构软件栈的Web服务器虚拟机和一个共用的数据库；

外围网络区，包含SDN控制器以及SDN交换机，其中SDN交换机用于用户请求数据流的复制、修改、分发以及服务器处理结果数据流的返回，SDN控制器用于监测、选择、控制异构执行体以及对多个执行结果的表决。

进一步地，所述异构执行体池包含异构的硬件和异构的软件，但组成的异构执行体功能等价；同一个子网的Web服务器虚拟机和数据库之间包含SQL指令异构化模块，用于检查、过滤非法指令；不同子网的数据库之间包含离线的数据库多余度表决器，用于同步数据库。

进一步地，所述异构的硬件包含现有的不同种类的物理设备；所述异构的软件包含现有的不同种类的操作系统层、虚拟化层、服务器软件层、应用脚本层的多层次的各类软件，也包含采用关键字标签化、文件标签化、目录随机化方法来提供人为构造异构性的软件。

进一步地，所述SDN控制器包括分发技术模块、IP跳变技术模块、表决技术模块和监控调度技术模块；

所述分发技术模块针对用户请求按照特定策略选取合适的执行体子网，控制SDN交换机进行数据流的复制与分发；

所述IP跳变技术模块针对不同子网的执行体进行真实IP的隐藏以及虚拟IP的跳变，控制SDN交换机进行数据流的修改；

所述表决技术模块针对多个执行体的处理结果进行语义层面的大数表决，屏蔽异常结果并上报异常执行体；

所述监控调度技术模块通过对Web服务器日志的审计以及被上报的异常，调整执行体的状态以及选取策略。

进一步地，所述调整执行体的状态以及选取策略，包括：

对于首次发生异常的执行体，按照策略降低选取概率；

对于多次发生异常并达到阈值的执行体，停用该执行体，并进行清洗恢复操作；

对于不同的网络环境和需求，自适应的增添、删除调整虚拟机镜像的数量。

一种采用上面所述的基于SDN框架的拟态Web服务器处理用户请求的方法，包括以下步骤：

1)SDN控制器针对用户请求选取合适的子网，控制SDN交换机进行数据流的复制与分发，将同一个用户请求分流到多个执行体当中进行处理；

2)SDN控制器对多个执行体的执行结果进行表决，将表决结果输出给用户；同时在表决过程中过滤异常的执行结果，检测出异常的执行体；

3)SDN控制器根据步骤2)的结果，对执行体进行调度、清洗、恢复操作。

进一步地，利用SDN网络能够修改数据流中地址信息的特性实现执行体的IP跳变。

进一步地，每个子网中的不同执行体共享一个数据库，进行查询操作时定制异构的SQL指令以加强不确定性，而不同子网的数据库采用离线表决同步机制保证数据库的一致性。

进一步地，步骤2)所述表决为语义层面的大数表决。

进一步地，步骤3)包括：

对于首次发生异常的执行体，按照策略降低选取概率；

对于多次发生异常并达到阈值的执行体，停用该执行体，并进行清洗恢复操作；

对于不同的网络环境和需求，自适应的增添、删除调整虚拟机镜像的数量。

与现有技术相比，本发明的积极效果是：

本发明所采用的异构冗余执行体具有不同的未知漏洞、后门等不确定性风险，而动态调度以及IP跳变的机制确保了这种风险是处于一种持续变化的状态，使得攻击者没有足够的时间进行分析利用，破坏了攻击链的完整性，提升了安全性。此外，由于表决机制的存在，对于单一执行体来说，无论是出现故障还是遭受攻击，均不会影响系统的正常运行，提升了鲁棒性。

说明书附图

图1.本发明服务器组成结构图。

图2.本发明原理图。

图3.本发明架构图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例和附图，对本发明做进一步详细说明。

本发明将动态异构冗余机制以及SDN框架引入到Web服务器之中，利用SDN网络的转发层来实现用户请求的快速复制与分发，利用SDN网络的控制层来实现对异构执行体的动态调度、控制以及对执行结果的表决等。图1为本发明的服务器组成结构图，图2为本发明对用户请求的分发、对异构执行体的动态调度、控制以及对执行结果的表决等的原理图。

1)异构执行体池的构建

根据不同的安全需求，在物理操作系统层、虚拟化层、服务器软件层、应用脚本层和数据层上选取或定制合适的异构软硬构件。基于这些软硬构件组成多个功能等价的异构执行体，形成异构执行体池，确保这些异构执行体在功能等价的同时能够做到漏洞交集尽可能的小。在异构构件的选择上，既可以在多个层面上直接利用现有软件的多样性来提供一定的异构性，也可以采用关键字标签化、文件标签化、目录随机化等方法来提供人为构造的异构性。异构的硬件包含现有的不同种类的物理设备，如ARM架构与X86架构等。

2)异构执行体的选择分发

利用SDN交换机来分隔子网以及异构执行体池(见附图3，其中Switch 0～Switchm为SDN交换机)，每个执行体属于一个子网，带有多个虚拟机以及一个共用的数据库。SDN控制器上运行一个分发技术模块，利用OpenFlow协议向SDN控制器下发流表，通过一定的策略动态地选取用于处理用户请求的执行体子网。在面对新用户的时候可以采用随机选取，若当前用户请求导致部分执行体输出异常结果，则在后续的调度中会适当降低异常执行体被选中的概率；当异常输出次数达到某一阈值，则会停用该执行体池，进行维护，同时启用其他执行体池。例如，某时刻分发技术模块选取了执行体1～5进行用户请求的处理，则向Switch 0下发的OFPT_FLOW_MOD消息中需要设置好相应的2个关键字段match(匹配字段)和action(行为字段)。当Switch 0安装了相应的流表项后，Switch 0就会将匹配的数据分组复制成为5份，分别发送往Switch 1～5，最终交由执行体1～5处理。上述例子仅选择数据分组的in_port，也就是输入端口作为匹配字段，在实际的工程实现中会根据不同需求添加需要的匹配字段例如IP地址等。

3)异构执行体处理用户请求

被选择的多个异构执行体会收到同一个用户请求，并利用自身异构但功能等价的软硬构件进行处理。Web服务器处理用户请求的过程与数据库息息相关，在对数据库操作前会对SQL指令进行一定的检查、过滤与处理，在对数据库操作后会对不同子网的数据库进行同步操作。

在非法指令过滤上，采用异构冗余特性的SQL指令集随机化，对每个执行体Web程序的SQL关键字进行一定的定制化处理形成异构的SQL指令指纹。在这样的情况下攻击者由于不知道经过处理后的SQL关键字，也就无法形成有效的攻击。

在数据库同步上，采用离线的数据库多余度表决器，防止恶意篡改数据库，保证数据库存储数据的正确性。数据库多余度表决器是定期对所有子池的数据库进行存储信息的表决，恢复表决过程中不一致的数据库，表决为离线形式，即仅在服务器端进行。

4)异构执行体执行结果的表决

在多个异构执行体处理完一个用户请求之后，会输出相应的多个处理结果。此时SDN控制器会接收这些处理结果，通过一定的表决算法进行判断，最终输出一个结果返回给用户。表决算法通常可以选用大数表决，即半数以上的一致结果就判定为正确结果。这种机制实际上是基于一种假设：攻击者难以同时对多数的异构执行体成功实施攻击，并造成相同的错误输出。

表决技术模块研判的层面是语义层面。不同软件栈的Web服务器虚拟机对于用户请求进行处理而产生的输出矢量在非语义层面上往往存在着很多细节的区别。例如，不同类型的服务器在响应的数据层面上会有些许细节上的差异，如包头的context-type域等。在语义层面上进行大数表决可以有效的屏蔽这些细节上的差异。

5)输出表决结果并进行负反馈控制

在大数表决过后，SDN控制器利用OpenFlow协议将表决的结果通过OFPT_PACKET_OUT消息下发给Switch 0，再由Switch 0返回给用户。如果在表决环节中出现异常的处理结果，首先由于故障或是攻击难以同时对多数的异构执行体造成相同的错误输出，利用大数表决这一机制可以有效的屏蔽掉异常结果。其次在感知到异常结果之后，表决技术模块会将异常的执行体上报给SDN控制器中的监控调度技术模块和分发技术模块，以负反馈的方式进行动态调度与控制。

分发技术模块选取的是执行体子网，若在某一个子网中出现了异常的输出结果，那么在处理后续的其他请求时，就会适当降低选取该执行体子网的概率。由于这一机制的存在，表决技术可以使用单纯的大数表决，而不需要考虑每个处理结果的权值，权值的考虑在执行体子网被选择的概率中已经体现。被降低的概率在异常执行体被清洗恢复，输出正常的处理结果后才会被恢复到先前的水平。

监控调度技术模块选取的是每个子网中不同的虚拟机，并按照策略对异常的虚拟机进行一定的清洗与恢复操作。首先会监测异构执行体池中的虚拟机运行状态，采取对Web服务器虚拟机的日志进行定期审计等主动监测手段以及等待表决环节发现异常并进行上报等被动监测手段相结合的方法。其次在调度上会按照特定策略选取并激活一些虚拟机用以处理用户请求。这种调度不只是简单的用于激活某个Web服务器虚拟机来处理用户请求，对于未被激活的其他虚拟机也可能需要进行一定的操作。未被激活的虚拟机可能是未被选中，也可能是被选中使用后在判决环节发现异常被停止使用。未被选中的虚拟机不需要过多的操作，但被停用的异常虚拟机就需要被及时处理。因此，监控调度技术模块就会按照预定的策略完成异构执行体池中虚拟机启动、清洗等调度任务。虚拟机采用异构执行体池独立调度的方法，同时由表决环节反馈和云WAF等防御手段协助调度，降低虚拟机管理的复杂性。

此外，监控调度技术还能够对虚拟机的本身进行一定的控制，例如从系统安全和效能状态的角度进行考察，决定新增或删除虚拟执行体。

6)IP跳变机制

SDN控制器中的IP跳变技术模块利用SDN网络可以修改数据流中地址信息的特性，可以实现执行体的IP跳变，进一步增强系统的不确定性。IP跳变技术模块针对不同子网的执行体进行真实IP的隐藏以及虚拟IP的跳变，控制SDN交换机进行数据流的修改。

本发明的基于SDN框架的拟态Web服务器，既可以在一台服务器上实现，也可以采用多台服务器实现，取决于具体的工程需求以及资源条件。单服务器的异构执行体主要是软件层面上的异构，多服务器的异构执行体可以带有硬件上的异构。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的原理和范围，本发明的保护范围应以权利要求书所述为准。

Claims (10)

1.一种基于SDN框架的拟态Web服务器，其特征在于，包括：

异构执行体池，包含多个软硬件异构的执行体，其中每个执行体位于不同子网，每个子网包含多个异构软件栈的Web服务器虚拟机和一个共用的数据库；

外围网络区，包含SDN控制器以及SDN交换机，其中SDN交换机用于用户请求数据流的复制、修改、分发以及服务器处理结果数据流的返回，SDN控制器用于监测、选择、控制异构执行体以及对多个执行结果的表决。

2.根据权利要求1所述的基于SDN框架的拟态Web服务器，其特征在于，

所述异构执行体池包含异构的硬件和异构的软件，但组成的异构执行体功能等价；

同一个子网的Web服务器虚拟机和数据库之间包含SQL指令异构化模块，用于检查、过滤非法指令；

不同子网的数据库之间包含离线的数据库多余度表决器，用于同步数据库。

3.根据权利要求2所述的基于SDN框架的拟态Web服务器，其特征在于，

所述异构的硬件包含现有的不同种类的物理设备；

所述异构的软件包含现有的不同种类的操作系统层、虚拟化层、服务器软件层、应用脚本层的多层次的各类软件，也包含采用关键字标签化、文件标签化、目录随机化方法来提供人为构造异构性的软件。

4.根据权利要求1所述的基于SDN框架的拟态Web服务器，其特征在于，所述SDN控制器包括分发技术模块、IP跳变技术模块、表决技术模块和监控调度技术模块；

所述分发技术模块针对用户请求按照特定策略选取合适的执行体子网，控制SDN交换机进行数据流的复制与分发；

所述IP跳变技术模块针对不同子网的执行体进行真实IP的隐藏以及虚拟IP的跳变，控制SDN交换机进行数据流的修改；

所述表决技术模块针对多个执行体的处理结果进行语义层面的大数表决，屏蔽异常结果并上报异常执行体；

所述监控调度技术模块通过对Web服务器日志的审计以及被上报的异常，调整执行体的状态以及选取策略。

5.根据权利要求4所述的基于SDN框架的拟态Web服务器，其特征在于，所述调整执行体的状态以及选取策略，包括：

对于首次发生异常的执行体，按照策略降低选取概率；

对于多次发生异常并达到阈值的执行体，停用该执行体，并进行清洗恢复操作；

对于不同的网络环境和需求，自适应的增添、删除调整虚拟机镜像的数量。

6.一种采用权利要求1所述的基于SDN框架的拟态Web服务器处理用户请求的方法，其特征在于，包括以下步骤：

1)SDN控制器针对用户请求选取合适的子网，控制SDN交换机进行数据流的复制与分发，将同一个用户请求分流到多个执行体当中进行处理；

2)SDN控制器对多个执行体的执行结果进行表决，将表决结果输出给用户；同时在表决过程中过滤异常的执行结果，检测出异常的执行体；

3)SDN控制器根据步骤2)的结果，对执行体进行调度、清洗、恢复操作。

7.根据权利要求6所述的方法，其特征在于，利用SDN网络能够修改数据流中地址信息的特性实现执行体的IP跳变。

8.根据权利要求6所述的方法，其特征在于，每个子网中的不同执行体共享一个数据库，进行查询操作时定制异构的SQL指令以加强不确定性，而不同子网的数据库采用离线表决同步机制保证数据库的一致性。

9.根据权利要求6所述的方法，其特征在于，步骤2)所述表决为语义层面的大数表决。

10.根据权利要求6所述的方法，其特征在于，步骤3)包括：

对于首次发生异常的执行体，按照策略降低选取概率；

对于多次发生异常并达到阈值的执行体，停用该执行体，并进行清洗恢复操作；

对于不同的网络环境和需求，自适应的增添、删除调整虚拟机镜像的数量。