CN112383528A - 一种拟态waf的执行体构建方法 - Google Patents
一种拟态waf的执行体构建方法 Download PDFInfo
- Publication number
- CN112383528A CN112383528A CN202011238294.3A CN202011238294A CN112383528A CN 112383528 A CN112383528 A CN 112383528A CN 202011238294 A CN202011238294 A CN 202011238294A CN 112383528 A CN112383528 A CN 112383528A
- Authority
- CN
- China
- Prior art keywords
- waf
- heterogeneous
- micro
- database
- container
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种拟态WAF的执行体构建方法,该方法通过构建分布于不同服务器上的异构操作系统、异构数据库、异构WAF平台、异构规则集的微容器中的执行体来完成WAF执行体的构建。本发明综合考虑了数据冗余性与工作效率等因素,通过不同层面的异构,确定拟态防御系统的内部基因属性:动态性、随机性、多样性,确保在执行体层面的WAF内部架构的不确定性,大大增加了攻击者的系统漏洞挖掘、攻击难度。与现在的单一WAF执行体构建形式相比,可以大大改善当前WAF防御的“易攻难守”的被动防御态势,降低Web应用被攻击导致业务瘫痪的风险,能广泛应用于拟态WAF体系中。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种拟态WAF的执行体构建方法。
背景技术
随着网络的不断发展普及,网络应用越来越深入人们的生活,但与此同时,网络的发展却也带来了网络安全隐患。随着漏洞检测扫描工具等的发展与开源,网络攻击的成本降低,整个互联网网络安全领域整体呈现“易攻难守”的态势,“查漏补缺”,“亡羊补牢”式的点式防御无法抵御基于未知漏洞或利用未知后门实施的未知攻击的属于“未知的未知”的安全威胁,网络安全空间陷入危险的境地。
传统防火墙用于保护服务器之间的信息流,主要工作在OSI模型三、四层:网络层、传输层,这类防火墙产品将无法理解http会话,而现实是针对Web网站的恶意攻击绝大部分都将封装为HTTP请求,Web Application Firewall/Web技术应运而生。WAF通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护。但现存WAF技术主要为被动防御机制,无法提前感知和认知不确定性的危险。“相对正确”公理:“多人同时独立完成同样的任务时,极少出现多数人在同一时间、同一地点、犯完全一样的错误的情况”,公理的核心要素是:异构、冗余以及多数性。邬江兴院士提出,依据上述公理以及生物界的拟态防御的思想,拟态防御WAF能够构建“自主可控、安全可信”的防护系统,逆转网络安全领域的“易攻难守”的局面,完成“服务提供与安全防护”的自然结合、“安全性与开放性”的完美融合、“高可靠与高可信”的自然结合、“内生安全机制与传统防御手段”的完美融合。
发明内容
本发明的目的在于针对现有技术的不足,提供一种拟态WAF的执行体构建方法。本发明充分均衡了数据冗余性以及执行效率,通过多执行体的构造以及多执行体之间的异构从内部结构层面增加了WAF的主动防御能力以及提高了WAF的裁决判定的正确率。
本发明的目的是通过以下技术方案来实现的:一种拟态WAF的执行体构建方法,包括以下步骤:
(1)部署M个服务器E={ei|i=1,2,…,M},其中ei为第i个服务器,在ei服务器上部署数据库Di,作为数据库的完全视图,其中Di为第i个数据库。
(2)在服务器ei上部署N个微容器C={cij|j=1,2,...,N},其中cij为服务器ei的第j个微容器,通过异构操作系统、异构数据库、异构WAF模块和异构规则集来完成微容器cij的构建。
(2.1)微容器异构:服务器ei上部署的每个cij为不同的微容器软件。
(2.2)异构操作系统:部署于微容器cij中的操作系统O={oij|j=1,2,...,N}与服务器ei所对应,服务器ei与微容器操作系统oij的数目为1:N的对应关系。
(2.3)数据库异构,部署于微容器cij中的数据库DB={dij|j=1,2,...,N}为服务器ei上的完全视图数据库Di的部分镜像,可以使用DM3系统完成实现数据库转换以及数据的透明访问。
(2.4)授权用户视图定义,对于非授权用户的访问请求直接拦截。
(3)异构数据库的数据一致性维护。
(4)WAF模块构建,WAF模板W={wij|i=1,2,...,M;j=1,2,...,N}依托于微容器C={cij|i=1,2,...,M;j=1,2,...,N},其中wij依托于微容器cij。
(4.1)协议解析模块定义,用于解析数据流。
(4.2)规则检测定义,含:IP黑白名单配置、URL黑白名单配置、以及定义合适的规则集,对于每个微容器的执行体设置不同的规则集合。
(4.3)动作执行模块,对于检测不通过的数据流做出相应的动作。
(4.4)日志模块定义,按规则记录所有数据流量经过协议解析模块以及规则检测模块的处理结果以及WAF动作。
(5)为动态选择异构执行体算法提供接口。
进一步地,所述步骤(3)中,异构数据库的数据一致性维护的可选方案包括编写触发器进行同步和按系统进行同步。
进一步地,所述步骤(4.1)中,协议解析模块用于对数据流的应用层协议头部内容进行解析。
进一步地,所述步骤(4.1)中,动作执行模块的动作包括拦截、直接丢弃和记录日志。
与现有技术相比,本发明具有如下有益效果:本发明的技术方案采用拟态防御思想,基于WAF的性能以及安全要求,进行改进,提供了一种异构冗余的拟态WAF执行体的构建方法,具有如下特点:
(1)采用拟态冗余防御思想,通过候选WAF执行体,攻击者将难以定位特定WAF执行体,从而增加了攻击者攻击的难度;
(2)多个候选WAF执行体之间异构,满足了拟态防御思想中的多样性与冗余,大大降低了误杀率以及漏杀率;
(3)充分考虑了WAF的执行效率与冗余性要求,平衡了同构与异构结构。
附图说明
图1是本发明构建的拟态WAF的执行体架构图。
具体实施方式
本发明着眼于拟态WAF中的执行体构建,通过微容器异构、数据库异构以及WAF拦截规则异构等来实现拟态WAF的执行体构造,通过设定多个候选执行体集以及后期的动态选择模块满足拟态防御的动态性、多数性以及冗余性,使得WAF具有主动防御能力。过去的单一执行体结构裁决结果将直接影响WAF的动作执行行为,出现较大的漏报以及误杀概率。
如图1所示,本发明一种拟态WAF的执行体构建方法,包括操作系统异构、数据库异构、WAF平台异构以及规则集的异构,具体包括以下步骤:
(1)部署M个云服务器E={ei|i=1,2,…,M},其中ei为第i个云服务器,在云服务器ei上部署全局数据库Di,作为数据库的完全视图,其中Di为第i个数据库,与ei一一对应。其中云服务器的底层操作系统可以选择Windows Server、CentOS、Ubuntu等;全局数据库可以采用关系型数据库如MySQL、MariaDB、SQL Server等,以及非关系型数据库如memcached、Redis、MongoDB等。
(2)微容器异构:在每个云服务器ei上部署N个微容器C={cij|j=1,2,...,N},其中cij为云服务器ei的第j个微容器;同一个云服务器中的每个cij为不同的微容器软件,微容器软件可以选择Docker、Solaris Containers、Podman等。此时的微容器构建定义为运行环境的构建。
(3)通过异构操作系统、异构数据库、异构WAF模块和异构规则集来完成微容器cij的构建,具体为:
(3.1)异构操作系统:在微容器C中部署操作系统O={oij|j=1,2,...,N},每个微容器部署一个操作系统,其中oij为cij的操作系统;oij与云服务器ei对应,服务器ei与微容器操作系统oij的数目为1:N的对应关系,同一个云服务器中的微容器操作系统异构。
(3.3)数据库异构:在微容器C中部署数据库DB={dij|j=1,2,...,N},每个微容器部署一个数据库,其中dij为cij的数据库;dij为服务器ei上的完全视图全局数据库Di的不同部分的镜像,其中所有dij可以组成一个完整的Di镜像,可以使用DM3系统实现数据库转换以及数据的透明访问。
(3.4)定义授权用户视图,对于非授权用户的访问请求直接拦截。
(4)维护异构微容器数据库的数据一致性,可选方案如:编写触发器进行同步、按系统进行同步等。
(5)构建WAF模块W={wij|i=1,2,...,M;j=1,2,...,N},其中wij依托于微容器cij;WAF模块包括协议解析模块、异构规则集、动作执行模块和日志模块;具体为:
(5.1)协议解析模块用于解析数据流,主要对数据流的应用层协议头部内容进行解析。
(5.2)异构规则集:规则检测定义包含IP黑白名单配置、URL黑白名单配置以及定义合适的规则集;对于每个微容器的执行体设置不同的规则集,规则集可以选择如:异常检测、增强的输入验证、基于异常、会话保护等。
(5.3)动作执行模块用于对规则检测不通过的数据流做出相应的动作,例如:拦截、直接丢弃、记录日志等。
(5.4)日志模块用于按步骤(5.2)中的规则记录所有数据流量经过协议解析模块和规则检测的处理结果以及动作执行模块的WAF动作。
(6)为动态选择异构执行体算法提供接口。
Claims (4)
1.一种拟态WAF的执行体构建方法,其特征在于,包括以下步骤:
(1)部署M个服务器E={ei|i=1,2,...,M},其中ei为第i个服务器,在ei服务器上部署数据库Di,作为数据库的完全视图,其中Di为第i个数据库。
(2)在服务器ei上部署N个微容器C={cij|j=1,2,...,N},其中cij为服务器ei的第j个微容器,通过异构操作系统、异构数据库、异构WAF模块和异构规则集来完成微容器cij的构建。
(2.1)微容器异构:服务器ei上部署的每个cij为不同的微容器软件。
(2.2)异构操作系统:部署于微容器cij中的操作系统O={oij|j=1,2,...,N}与服务器ei所对应,服务器ei与微容器操作系统oij的数目为1:N的对应关系。
(2.3)数据库异构,部署于微容器cij中的数据库DB={dij|j=1,2,...,N}为服务器ei上的完全视图数据库Di的部分镜像,可以使用DM3系统完成实现数据库转换以及数据的透明访问。
(2.4)授权用户视图定义,对于非授权用户的访问请求直接拦截。
(3)异构数据库的数据一致性维护。
(4)WAF模块构建,WAF模板W={wij|i=1,2,...,M;j=1,2,...,N}依托于微容器C={cij|i=1,2,...,M;j=1,2,...,N},其中wij依托于微容器cij。
(4.1)协议解析模块定义,用于解析数据流。
(4.2)规则检测定义,含:IP黑白名单配置、URL黑白名单配置、以及定义合适的规则集,对于每个微容器的执行体设置不同的规则集合。
(4.3)动作执行模块,对于检测不通过的数据流做出相应的动作。
(4.4)日志模块定义,按规则记录所有数据流量经过协议解析模块以及规则检测模块的处理结果以及WAF动作。
(5)为动态选择异构执行体算法提供接口。
2.如权利要求1所述拟态WAF的执行体构建方法,其特征在于,所述步骤(3)中,异构数据库的数据一致性维护的可选方案包括编写触发器进行同步和按系统进行同步。
3.如权利要求1所述拟态WAF的执行体构建方法,其特征在于,所述步骤(4.1)中,协议解析模块用于对数据流的应用层协议头部内容进行解析。
4.如权利要求1所述拟态WAF的执行体构建方法,其特征在于,所述步骤(4.1)中,动作执行模块的动作包括拦截、直接丢弃和记录日志。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011238294.3A CN112383528B (zh) | 2020-11-09 | 2020-11-09 | 一种拟态waf的执行体构建方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011238294.3A CN112383528B (zh) | 2020-11-09 | 2020-11-09 | 一种拟态waf的执行体构建方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112383528A true CN112383528A (zh) | 2021-02-19 |
CN112383528B CN112383528B (zh) | 2021-09-24 |
Family
ID=74578886
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011238294.3A Active CN112383528B (zh) | 2020-11-09 | 2020-11-09 | 一种拟态waf的执行体构建方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112383528B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114266053A (zh) * | 2021-12-28 | 2022-04-01 | 南京微滋德科技有限公司 | 一种异构执行体构建方法、资源池及计算机存储介质 |
CN114301650A (zh) * | 2021-12-21 | 2022-04-08 | 浙江大学 | 一种基于可信度的拟态waf裁决方法 |
CN114500114A (zh) * | 2022-04-14 | 2022-05-13 | 之江实验室 | 一种网络操作系统中应用的拟态数据库交互方法和装置 |
CN115001852A (zh) * | 2022-07-18 | 2022-09-02 | 之江实验室 | 一种网络操作系统中应用内生安全数据库存取方法和装置 |
WO2023082537A1 (zh) * | 2021-11-26 | 2023-05-19 | 之江实验室 | 一种基于拟态数据库的网络操作系统设计方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107426252A (zh) * | 2017-09-15 | 2017-12-01 | 北京百悟科技有限公司 | 提供web应用防火墙服务的方法和设备 |
CN109302421A (zh) * | 2018-11-23 | 2019-02-01 | 国网浙江省电力有限公司电力科学研究院 | 应用系统安全防护策略优化方法及装置 |
CN110290100A (zh) * | 2019-03-06 | 2019-09-27 | 广东电网有限责任公司信息中心 | 一种基于SDN的拟态Web服务器及用户请求处理方法 |
CN110855692A (zh) * | 2019-11-19 | 2020-02-28 | 北京网聘咨询有限公司 | 面向拟态构造Web服务器的执行体调度方法 |
CN111191229A (zh) * | 2019-12-24 | 2020-05-22 | 国网天津市电力公司 | 一种电力Web应用拟态防御系统 |
CN111221844A (zh) * | 2019-11-14 | 2020-06-02 | 广东电网有限责任公司信息中心 | 基于拟态指令集随机化的Web服务器防护方法及数据库代理节点 |
-
2020
- 2020-11-09 CN CN202011238294.3A patent/CN112383528B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107426252A (zh) * | 2017-09-15 | 2017-12-01 | 北京百悟科技有限公司 | 提供web应用防火墙服务的方法和设备 |
CN109302421A (zh) * | 2018-11-23 | 2019-02-01 | 国网浙江省电力有限公司电力科学研究院 | 应用系统安全防护策略优化方法及装置 |
CN110290100A (zh) * | 2019-03-06 | 2019-09-27 | 广东电网有限责任公司信息中心 | 一种基于SDN的拟态Web服务器及用户请求处理方法 |
CN111221844A (zh) * | 2019-11-14 | 2020-06-02 | 广东电网有限责任公司信息中心 | 基于拟态指令集随机化的Web服务器防护方法及数据库代理节点 |
CN110855692A (zh) * | 2019-11-19 | 2020-02-28 | 北京网聘咨询有限公司 | 面向拟态构造Web服务器的执行体调度方法 |
CN111191229A (zh) * | 2019-12-24 | 2020-05-22 | 国网天津市电力公司 | 一种电力Web应用拟态防御系统 |
Non-Patent Citations (4)
Title |
---|
S. CHEN, X. JIANG, G. PAN AND C. WU: ""Research on Executive Control Strategy of Mimic Web Defense Gateway"", 《2019 INTERNATIONAL SYMPOSIUM ON NETWORKS, COMPUTERS AND COMMUNICATIONS (ISNCC)》 * |
SUN, X., LI, Q., ZHOU, S., & SUN, C.: ""Research on Mimic Defense Technology and Security Test Method of Electric Power Web Service System "", 《IN IOP CONFERENCE SERIES: MATERIALS SCIENCE AND ENGINEERING》 * |
吴春明: "动态网络主动安全防御的若干思考", 《中兴通讯技术》 * |
陈双喜等: "基于攻击转移的拟态安全网关技术的研究", 《通信学报》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023082537A1 (zh) * | 2021-11-26 | 2023-05-19 | 之江实验室 | 一种基于拟态数据库的网络操作系统设计方法 |
US11934383B2 (en) | 2021-11-26 | 2024-03-19 | Zhejiang Lab | Mimetic database-based network operating system design method |
CN114301650A (zh) * | 2021-12-21 | 2022-04-08 | 浙江大学 | 一种基于可信度的拟态waf裁决方法 |
CN114301650B (zh) * | 2021-12-21 | 2022-08-30 | 浙江大学 | 一种基于可信度的拟态waf裁决方法 |
CN114266053A (zh) * | 2021-12-28 | 2022-04-01 | 南京微滋德科技有限公司 | 一种异构执行体构建方法、资源池及计算机存储介质 |
CN114500114A (zh) * | 2022-04-14 | 2022-05-13 | 之江实验室 | 一种网络操作系统中应用的拟态数据库交互方法和装置 |
CN115001852A (zh) * | 2022-07-18 | 2022-09-02 | 之江实验室 | 一种网络操作系统中应用内生安全数据库存取方法和装置 |
CN115001852B (zh) * | 2022-07-18 | 2022-11-08 | 之江实验室 | 一种网络操作系统中应用内生安全数据库存取方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN112383528B (zh) | 2021-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112383528B (zh) | 一种拟态waf的执行体构建方法 | |
Nguyen | Navigating jus ad bellum in the age of cyber warfare | |
US20230095415A1 (en) | Helper agent and system | |
Ng et al. | Honeypot frameworks and their applications: a new framework | |
Suthar et al. | A signature-based botnet (emotet) detection mechanism | |
Gnatyuk et al. | Studies on Cloud-based Cyber Incidents Detection and Identification in Critical Infrastructure. | |
Toapanta et al. | Analysis of cyberattacks in public organizations in Latin America | |
Neupane et al. | Impacts and risk of generative ai technology on cyber defense | |
Li et al. | A framework for mimic defense system in cyberspace | |
Alnabulsi et al. | Protecting code injection attacks in intelligent transportation system | |
AlZoubi et al. | The effect of using honeypot network on system security | |
Hassan | STUDY OF ARTIFICIAL INTELLIGENCE IN CYBER SECURITY AND THE EMERGING THREAT OF AI-DRIVEN CYBER ATTACKS AND CHALLENGE | |
Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
Chowdhury | Modelling cyber attacks | |
Priyadarshini et al. | A cross platform intrusion detection system using inter server communication technique | |
Eke et al. | Framework for Detecting APTs Based on Steps Analysis and Correlation | |
Huang | Human-centric training and assessment for cyber situation awareness | |
Mathews et al. | Detecting botnets using a collaborative situational-aware idps | |
Hillier et al. | Turning the Hunted into the Hunter via Threat Hunting: Life Cycle, Ecosystem, Challenges and the Great Promise of AI | |
Grant et al. | Identifying tools and technologies for professional offensive cyber operations | |
Weathersby | Discerning the Relative Threat of Different Network Based Cyber-Attacks, a Study of Motivation, Attribution, and Anonymity of Hackers | |
Haseeb | Deception-Based Security Framework for IoT: An Empirical Study | |
Sadrazamis | MITRE ATT&CK-based analysis of cyber-attacks in intelligent transportation | |
Larkin | A Stochastic Game Theoretical Model for Cyber Security | |
Möller | Cybersecurity in Cyber-Physical Systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |