CN112367317B - 一种内生安全waf指纹变换方法 - Google Patents

Abstract

本发明公开了一种内生安全WAF指纹变换方法，该方法对内生安全WAF负载均衡入口及异构执行体进行指纹变换处理，将内生安全WAF负载均衡及异构执行体的操作系统信息、编程语言信息、Web信息等进行拟态变换，隐藏真实的服务器、平台信息，增强WAF的内生安全防御能力，缩小黑客攻击面；当访问发生时，根据预置的指纹变换方式返回指纹信息，包括IP Hash模式、URL Hash模式、完全随机模式等。本发明避免了在多层服务器架构中，对负载均衡平台的自身漏洞、操作系统的漏洞或者云平台的漏洞进行攻击等，提供服务的同时，加固WAF自身服务。

Description

一种内生安全WAF指纹变换方法

技术领域

本发明属于网络安全技术领域，尤其涉及一种内生安全WAF指纹变换方法。

背景技术

在WAF加固的服务器架构中，WAF及源站指纹信息极易泄露，黑客容易掌握操作系统、软件、平台等的具体信息，使WAF本身被攻击或者轻易被绕过，面临极大的安全威胁。本发明对内生安全WAF负载均衡入口及异构执行体进行指纹变换，隐藏真实的服务器、平台信息，缩小黑客的攻击面，避免探测到有效信息。

发明内容

本发明目的在于针对现有技术的不足，提供一种内生安全WAF指纹变换方法。本发明对内生安全WAF的指纹信息进行修饰，进行指纹拟态伪装。

本发明的目的是通过以下技术方案来实现的：一种内生安全WAF指纹变换方法，该方法包括以下步骤：

(1)初始化基础指纹库，具体为：

(1.1)配置Web框架信息，

其中

为第i₁个Web框架信息。

(1.2)配置Web服务器信息，

其中

为第i₂个Web服务器信息。

(1.3)配置编程语言信息，

其中

为第i₃个编程语言信息。

(1.4)配置操作系统信息，

其中

为第i₄个操作系统框架信息。

(1.5)配置Web服务器扩展信息，

其中

为第i₅个Web服务器扩展信息。

(2)生成综合指纹库，具体为：

(2.1)在满足兼容性的基础上，对步骤(1)中的基础指纹库内F、S、L、O、M进行随机组合，形成各个综合指纹

(2.2)将步骤(2.1)中的单个综合指纹补充至综合指纹库FP＝{fp_i|i＝1,2,…,N}，其中fp_i为第i个综合指纹。

(3)规定指纹变换模式，具体为：

(3.1)IP Hash模式，将请求中的访客IP地址进行Hash散列，并为该IP地址随机指定综合指纹fp，此后该访客IP接收到的指纹信息均为fp。

(3.2)URL Hash模式，将服务中的各URL进行Hash散列，并为各URL指定综合指纹fp，此后所有用户访问该URL均得到fp信息。

(3.3)完全随机模式，不对IP或URL进行绑定，访客每次请求时，随机返回不同的指纹信息。

(4)规定指纹变换模块运行模式：

(4.1)当内生安全WAF入口节点处的性能负载压力<60％时，按照步骤(3)开启入口节点指纹变换。

(4.2)当内生安全WAF异构执行体的性能负载压力<60％时，按照步骤(3)开启执行体节点指纹变换。

(4.3)入口节点或异构执行体，须至少有一处开启指纹变换。

本发明的有益效果是：本发明对内生安全WAF的负载均衡入口、异构执行体进行指纹变换处理，将内生安全WAF负载均衡及异构执行体的操作系统信息、编程语言信息、Web信息等进行拟态变换，缩小黑客攻击面，增强WAF的内生安全防御能力；这样避免了在多层服务器架构中，对负载均衡平台的自身漏洞、操作系统的漏洞或者云平台的漏洞进行攻击等，提供服务的同时，加固WAF自身服务。

具体实施方式

本发明一种内生安全WAF指纹变换方法，该方法包括以下步骤：

1、初始化基础指纹库，具体为：

(1.1)配置Web框架信息，

其中

为第i₁个Web框架信息，如ASP.NET、Flask 1.1.0等。

(1.2)配置Web服务器信息，

其中

为第i₂个Web服务器信息，如Nginx 1.16.1、Apache 2.4.46、Tengine、Apache Tomcat、lighttpd2.0.0、OpenResty1.17.8.1、Kestrel、IIS7.5、Oracle HTTP Server等。

(1.3)配置编程语言信息，

其中

为第i₃个编程语言信息，如Lua、Golang、PHP、Python等。

(1.4)配置操作系统信息，

其中

为第i₄个操作系统框架信息，如Ubuntu16.04、Windows Server 2012、UNIX、Debian、Red Hat等。

(1.5)配置Web服务器扩展信息，

其中

为第i₅个Web服务器扩展信息，如mod_jk、mod_dav等。

2、生成综合指纹库，具体为：

(2.1)在满足兼容性的基础上，对步骤1中的基础指纹库，从F、S、L、O、M每种配置信息的集合中随机选取一个元素

进行随机组合，形成各个综合指纹

(2.2)将步骤(2.1)中的单个综合指纹补充至综合指纹库FP＝{fp_i|i＝1,2,…,N}，其中fp_i为第i个综合指纹。

3、规定指纹变换模式，包括以下模式：

(3.1)IP Hash模式：将请求中的访客IP地址进行Hash散列，并为该访客IP地址随机指定综合指纹fp，此后该访客IP地址接收到的指纹信息均为fp。

(3.2)URL Hash模式：将服务中的各URL进行Hash散列，并为各URL指定综合指纹fp，此后所有用户访问该URL均得到fp信息。

(3.3)完全随机模式：不对IP或URL进行绑定，访客每次请求时，随机返回不同的指纹信息fp。

4、规定指纹变换模块运行模式：

(4.1)当内生安全WAF入口节点处的性能负载压力<60％时，按照步骤3的规定开启入口节点指纹变换。

(4.2)当内生安全WAF异构执行体的性能负载压力<60％时，按照步骤3的规定开启执行体节点指纹变换。

(4.3)入口节点或异构执行体中至少有一处开启指纹变换。

本发明通过多种模式，对内生安全WAF的负载均衡入口、异构执行体进行指纹变换处理，例如当实际服务只有nginx，采用本发明后，探测到的指纹信息将包含多种迷惑信息。本发明增强了WAF的内生安全防御能力，避免了在多层服务器架构中，对负载均衡平台的自身漏洞、操作系统的漏洞或者云平台的漏洞进行攻击等，提供服务的同时，隐藏真实信息，缩小攻击面，加固WAF自身服务。

Claims (1)

1.一种内生安全WAF指纹变换方法，其特征在于，该方法包括以下步骤：

(1)初始化基础指纹库，具体为：

(1.1)配置Web框架信息，

其中

为第i₁个Web框架信息；

(1.2)配置Web服务器信息，

其中

为第i₂个Web服务器信息；

(1.3)配置编程语言信息，

其中

为第i₃个编程语言信息；

(1.4)配置操作系统信息，

其中

为第i₄个操作系统框架信息；

(1.5)配置Web服务器扩展信息，

其中

为第i₅个Web服务器扩展信息；

(2)生成综合指纹库，具体为：

(2.1)在满足兼容性的基础上，对步骤(1)中的基础指纹库内F、S、L、O、M进行随机组合，形成各个综合指纹

(2.2)将步骤(2.1)中的单个综合指纹补充至综合指纹库FP＝{fP_i|i＝1,2,...,N},其中fp_i为第i个综合指纹；

(3)规定指纹变换模式，具体为：

(3.1)IP Hash模式，将请求中的访客IP地址进行Hash散列，并为该IP地址随机指定综合指纹fp，此后该访客IP接收到的指纹信息均为fp；

(3.2)URL Hash模式，将服务中的各URL进行Hash散列，并为各URL指定综合指纹fp，此后所有用户访问该URL均得到fp信息；

(3.3)完全随机模式，不对IP或URL进行绑定，访客每次请求时，随机返回不同的指纹信息；

(4)规定指纹变换模块运行模式：

(4.1)当内生安全WAF入口节点处的性能负载压力<60％时，按照步骤(3)开启入口节点指纹变换；

(4.2)当内生安全WAF异构执行体的性能负载压力<60％时，按照步骤(3)开启执行体节点指纹变换；

(4.3)入口节点或异构执行体，须至少有一处开启指纹变换。