CN112383528A

CN112383528A - 一种拟态waf的执行体构建方法

Info

Publication number: CN112383528A
Application number: CN202011238294.3A
Authority: CN
Inventors: 陈双喜; 吴春明; 曲振青; 王文海
Original assignee: Zhejiang University ZJU
Current assignee: Zhejiang University ZJU
Priority date: 2020-11-09
Filing date: 2020-11-09
Publication date: 2021-02-19
Anticipated expiration: 2040-11-09
Also published as: CN112383528B

Abstract

本发明公开了一种拟态WAF的执行体构建方法，该方法通过构建分布于不同服务器上的异构操作系统、异构数据库、异构WAF平台、异构规则集的微容器中的执行体来完成WAF执行体的构建。本发明综合考虑了数据冗余性与工作效率等因素，通过不同层面的异构，确定拟态防御系统的内部基因属性：动态性、随机性、多样性，确保在执行体层面的WAF内部架构的不确定性，大大增加了攻击者的系统漏洞挖掘、攻击难度。与现在的单一WAF执行体构建形式相比，可以大大改善当前WAF防御的“易攻难守”的被动防御态势，降低Web应用被攻击导致业务瘫痪的风险，能广泛应用于拟态WAF体系中。

Description

一种拟态WAF的执行体构建方法

技术领域

本发明属于网络安全技术领域，尤其涉及一种拟态WAF的执行体构建方法。

背景技术

随着网络的不断发展普及，网络应用越来越深入人们的生活，但与此同时，网络的发展却也带来了网络安全隐患。随着漏洞检测扫描工具等的发展与开源，网络攻击的成本降低，整个互联网网络安全领域整体呈现“易攻难守”的态势，“查漏补缺”，“亡羊补牢”式的点式防御无法抵御基于未知漏洞或利用未知后门实施的未知攻击的属于“未知的未知”的安全威胁，网络安全空间陷入危险的境地。

传统防火墙用于保护服务器之间的信息流，主要工作在OSI模型三、四层：网络层、传输层，这类防火墙产品将无法理解http会话，而现实是针对Web网站的恶意攻击绝大部分都将封装为HTTP请求，Web Application Firewall/Web技术应运而生。WAF通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护。但现存WAF技术主要为被动防御机制，无法提前感知和认知不确定性的危险。“相对正确”公理：“多人同时独立完成同样的任务时，极少出现多数人在同一时间、同一地点、犯完全一样的错误的情况”，公理的核心要素是：异构、冗余以及多数性。邬江兴院士提出，依据上述公理以及生物界的拟态防御的思想，拟态防御WAF能够构建“自主可控、安全可信”的防护系统，逆转网络安全领域的“易攻难守”的局面，完成“服务提供与安全防护”的自然结合、“安全性与开放性”的完美融合、“高可靠与高可信”的自然结合、“内生安全机制与传统防御手段”的完美融合。

发明内容

本发明的目的在于针对现有技术的不足，提供一种拟态WAF的执行体构建方法。本发明充分均衡了数据冗余性以及执行效率，通过多执行体的构造以及多执行体之间的异构从内部结构层面增加了WAF的主动防御能力以及提高了WAF的裁决判定的正确率。

本发明的目的是通过以下技术方案来实现的：一种拟态WAF的执行体构建方法，包括以下步骤：

(1)部署M个服务器E＝{e_i|i＝1,2,…,M}，其中e_i为第i个服务器，在e_i服务器上部署数据库D_i，作为数据库的完全视图，其中D_i为第i个数据库。

(2)在服务器e_i上部署N个微容器C＝{c_ij|j＝1,2,...,N}，其中c_ij为服务器e_i的第j个微容器，通过异构操作系统、异构数据库、异构WAF模块和异构规则集来完成微容器c_ij的构建。

(2.1)微容器异构：服务器e_i上部署的每个c_ij为不同的微容器软件。

(2.2)异构操作系统：部署于微容器c_ij中的操作系统O＝{o_ij|j＝1,2,...,N}与服务器e_i所对应，服务器e_i与微容器操作系统o_ij的数目为1：N的对应关系。

(2.3)数据库异构，部署于微容器c_ij中的数据库DB＝{d_ij|j＝1,2,...,N}为服务器e_i上的完全视图数据库D_i的部分镜像，可以使用DM3系统完成实现数据库转换以及数据的透明访问。

(2.4)授权用户视图定义，对于非授权用户的访问请求直接拦截。

(3)异构数据库的数据一致性维护。

(4)WAF模块构建，WAF模板W＝{w_ij|i＝1,2,...,M；j＝1,2,...,N}依托于微容器C＝{c_ij|i＝1,2,...,M；j＝1,2,...,N}，其中w_ij依托于微容器c_ij。

(4.1)协议解析模块定义，用于解析数据流。

(4.2)规则检测定义，含：IP黑白名单配置、URL黑白名单配置、以及定义合适的规则集，对于每个微容器的执行体设置不同的规则集合。

(4.3)动作执行模块，对于检测不通过的数据流做出相应的动作。

(4.4)日志模块定义，按规则记录所有数据流量经过协议解析模块以及规则检测模块的处理结果以及WAF动作。

(5)为动态选择异构执行体算法提供接口。

进一步地，所述步骤(3)中，异构数据库的数据一致性维护的可选方案包括编写触发器进行同步和按系统进行同步。

进一步地，所述步骤(4.1)中，协议解析模块用于对数据流的应用层协议头部内容进行解析。

进一步地，所述步骤(4.1)中，动作执行模块的动作包括拦截、直接丢弃和记录日志。

与现有技术相比，本发明具有如下有益效果：本发明的技术方案采用拟态防御思想，基于WAF的性能以及安全要求，进行改进，提供了一种异构冗余的拟态WAF执行体的构建方法，具有如下特点：

(1)采用拟态冗余防御思想，通过候选WAF执行体，攻击者将难以定位特定WAF执行体，从而增加了攻击者攻击的难度；

(2)多个候选WAF执行体之间异构，满足了拟态防御思想中的多样性与冗余，大大降低了误杀率以及漏杀率；

(3)充分考虑了WAF的执行效率与冗余性要求，平衡了同构与异构结构。

附图说明

图1是本发明构建的拟态WAF的执行体架构图。

具体实施方式

本发明着眼于拟态WAF中的执行体构建，通过微容器异构、数据库异构以及WAF拦截规则异构等来实现拟态WAF的执行体构造，通过设定多个候选执行体集以及后期的动态选择模块满足拟态防御的动态性、多数性以及冗余性，使得WAF具有主动防御能力。过去的单一执行体结构裁决结果将直接影响WAF的动作执行行为，出现较大的漏报以及误杀概率。

如图1所示，本发明一种拟态WAF的执行体构建方法，包括操作系统异构、数据库异构、WAF平台异构以及规则集的异构，具体包括以下步骤：

(1)部署M个云服务器E＝{e_i|i＝1,2,…,M}，其中e_i为第i个云服务器，在云服务器e_i上部署全局数据库D_i，作为数据库的完全视图，其中D_i为第i个数据库，与e_i一一对应。其中云服务器的底层操作系统可以选择Windows Server、CentOS、Ubuntu等；全局数据库可以采用关系型数据库如MySQL、MariaDB、SQL Server等，以及非关系型数据库如memcached、Redis、MongoDB等。

(2)微容器异构：在每个云服务器e_i上部署N个微容器C＝{c_ij|j＝1,2,...,N}，其中c_ij为云服务器e_i的第j个微容器；同一个云服务器中的每个c_ij为不同的微容器软件，微容器软件可以选择Docker、Solaris Containers、Podman等。此时的微容器构建定义为运行环境的构建。

(3)通过异构操作系统、异构数据库、异构WAF模块和异构规则集来完成微容器c_ij的构建，具体为：

(3.1)异构操作系统：在微容器C中部署操作系统O＝{o_ij|j＝1,2,...,N}，每个微容器部署一个操作系统，其中o_ij为c_ij的操作系统；o_ij与云服务器e_i对应，服务器e_i与微容器操作系统o_ij的数目为1：N的对应关系，同一个云服务器中的微容器操作系统异构。

(3.3)数据库异构：在微容器C中部署数据库DB＝{d_ij|j＝1,2,...,N}，每个微容器部署一个数据库，其中d_ij为c_ij的数据库；d_ij为服务器e_i上的完全视图全局数据库D_i的不同部分的镜像，其中所有d_ij可以组成一个完整的D_i镜像，可以使用DM3系统实现数据库转换以及数据的透明访问。

(3.4)定义授权用户视图，对于非授权用户的访问请求直接拦截。

(4)维护异构微容器数据库的数据一致性，可选方案如：编写触发器进行同步、按系统进行同步等。

(5)构建WAF模块W＝{w_ij|i＝1,2,...,M；j＝1,2,...,N}，其中w_ij依托于微容器c_ij；WAF模块包括协议解析模块、异构规则集、动作执行模块和日志模块；具体为：

(5.1)协议解析模块用于解析数据流，主要对数据流的应用层协议头部内容进行解析。

(5.2)异构规则集：规则检测定义包含IP黑白名单配置、URL黑白名单配置以及定义合适的规则集；对于每个微容器的执行体设置不同的规则集，规则集可以选择如：异常检测、增强的输入验证、基于异常、会话保护等。

(5.3)动作执行模块用于对规则检测不通过的数据流做出相应的动作，例如：拦截、直接丢弃、记录日志等。

(5.4)日志模块用于按步骤(5.2)中的规则记录所有数据流量经过协议解析模块和规则检测的处理结果以及动作执行模块的WAF动作。

(6)为动态选择异构执行体算法提供接口。

Claims

1.一种拟态WAF的执行体构建方法，其特征在于，包括以下步骤：

(1)部署M个服务器E＝{e_i|i＝1，2，...，M}，其中e_i为第i个服务器，在e_i服务器上部署数据库D_i，作为数据库的完全视图，其中D_i为第i个数据库。

(2)在服务器e_i上部署N个微容器C＝{c_ij|j＝1，2，...，N}，其中c_ij为服务器e_i的第j个微容器，通过异构操作系统、异构数据库、异构WAF模块和异构规则集来完成微容器c_ij的构建。

(2.2)异构操作系统：部署于微容器c_ij中的操作系统O＝{o_ij|j＝1，2，...，N}与服务器e_i所对应，服务器e_i与微容器操作系统o_ij的数目为1：N的对应关系。

(2.3)数据库异构，部署于微容器c_ij中的数据库DB＝{d_ij|j＝1，2，...，N}为服务器e_i上的完全视图数据库D_i的部分镜像，可以使用DM3系统完成实现数据库转换以及数据的透明访问。

(3)异构数据库的数据一致性维护。

(4)WAF模块构建，WAF模板W＝{w_ij|i＝1，2，...，M；j＝1，2，...，N}依托于微容器C＝{c_ij|i＝1，2，...，M；j＝1，2，...，N}，其中w_ij依托于微容器c_ij。

(4.1)协议解析模块定义，用于解析数据流。

(5)为动态选择异构执行体算法提供接口。

2.如权利要求1所述拟态WAF的执行体构建方法，其特征在于，所述步骤(3)中，异构数据库的数据一致性维护的可选方案包括编写触发器进行同步和按系统进行同步。

3.如权利要求1所述拟态WAF的执行体构建方法，其特征在于，所述步骤(4.1)中，协议解析模块用于对数据流的应用层协议头部内容进行解析。

4.如权利要求1所述拟态WAF的执行体构建方法，其特征在于，所述步骤(4.1)中，动作执行模块的动作包括拦截、直接丢弃和记录日志。