CN112422540A - 一种拟态waf中的执行体动态变换方法 - Google Patents

Abstract

本发明公开了一种拟态WAF中的执行体动态变换方法，该方法基于拟态思想，有利于防御针对拟态WAF的恶意攻击。本发明设计了随机变换模块、相似度对比模块、多模判决模块和输入输出模块。在每一次拟态裁决之后，该系统能够根据上一次的裁决结果对执行体进行动态变换和替换，首先对判断错误的执行体进行下线，并在执行体集中选择与其异构度最大的执行体进行替换，其余判断正确的执行体进行构建随机变换，该方法能够保证拟态WAF中的执行体动态变换，有利于抵抗恶意攻击。

Description

一种拟态WAF中的执行体动态变换方法

技术领域

本发明属于网络安全技术领域，尤其涉及一种拟态WAF中的执行体动态变换方法。

背景技术

由于云计算领域的快速发展，云安全问题的解决就显得尤为重要，而未知漏洞或后门很大的威胁了云安全。网络空间拟态防御(CMD，cyber mimic defense)是由邬江兴院士提出的改变游戏规则的一项新技术，将拟态防御技术应用到云服务，抵御攻击，加强安全效能。

动态性是指在不同时刻下轮换对外呈现的工作执行体，是一种主动防御手段。目前计算机系统的静态性质使其易于攻击，难以防御，攻击者具有不对称的优势，因为他们具备充足的时间研究系统，识别漏洞，且能够自由的选择攻击的时间和地点来获得最大的利益，而动态防御的思想是使系统动态化，通过不断变化的系统和不断变化的攻击面，使得攻击者将和防御者一样，不得不面对很大的不确定性，难以预测和探索。

采用动态防御技术可以阻断攻击链，攻击链模型包括探测扫描阶段，渗透攻击阶段，攻陷入侵阶段，安装工具阶段以及恶意行为阶段。动态感知着眼于全球范围的攻击行为，通过专业化、智能化的大数据挖掘、分析、发现和溯源，还原整个攻击过程，找到安全薄弱点，最终能够部署对抗措施，提升覆盖已知威胁和未知威胁的主动防御能力，将安全隐患消灭于萌芽阶段。

发明内容

本发明的目的在于针对现有技术的不足，提供一种拟态WAF中的执行体动态变换方法。本发明对WAF架构进行优化，使得WAF具有动态性与异构性，增强了WAF自身安全性，使得攻击者攻击成功的概率大大降低。

本发明的目的是通过以下技术方案来实现的：一种拟态WAF中的执行体动态变换方法，该方法包括以下步骤：

(1)搭建多个WAF异构体，具体为：

(1.1)部署N个云服务器A＝{e_i|i＝1,2,...N}，其中e_i为第i个云服务器，从虚拟化技术、操作系统和微容器软件等角度对A进行异构化处理；

(1.2)在每个云服务器上部署n个异构构件R＝{R_ij|i＝1,2,...N,j＝1,2,...,n}；

(2)部署冗余异构体集合E＝{E_l|l＝1,2,..,m}。

(3)计每个云服务器e_i对输入流量的裁决结果为h，h∈{0,1}，其中h＝0代表判断为正常流量，h＝1代表判断为恶意流量。

(4)根据最终拟态裁决结果，对执行体进行动态变换，具体为：

(4.1)若最终拟态裁决结果为0，则替换裁决结果为1的所有云服务器，反之，则替换所有裁决结果为0的云服务器，具体步骤为：

(4.1.1)计算冗余异构体集合E中每一个冗余异构体E_l与判断错误的云服务器e_i的相似度。

(4.1.2)选取值相似度最小的冗余异构体E_l与云服务器e_i进行替换；

(4.2)对于判断正确的云服务器e_i，对其异构构件R_ij进行随机交换，将同一个云服务器中的异构构件重新排序。

(5)根据步骤(4)的动态变换结果得到新的云服务器集A。

本发明的有益效果是：本发明可以使错误判断的执行体下线的同时，保证其他执行体的快速动态变换，首先将与拟态裁决结果不一致的异构体进行下线，然后对其他异构体的异构元素进行动态变换，利于保持拟态WAF架构的动态性，加强拟态WAF的恶意流量抵御能力。

附图说明

图1是异构体动态变换方法总体架构图。

具体实施方式

动态性是指在不同时刻下轮换对外呈现的工作执行体，是一种主动防御手段。本发明通过设计一种拟态WAF中执行体动态变化方法，设计了随即变换模块、相似度对比模块、多模判决模块和输入输出模块。在每一次拟态裁决之后，该系统能够根据上一次的裁决结果对执行体进行动态变换和替换，首先对判断错误的执行体进行下线，并在执行体集中选择与其异构度最大的执行体进行替换，其余判断正确的执行体进行构建随机变换，该方法能够保证拟态WAF中的执行体动态变换，有利于抵抗恶意攻击。

如图1所示，本发明一种拟态WAF中的执行体动态变换方法，包括以下步骤：

1、搭建多个WAF异构体，具体为：

1.1、部署N个云服务器A＝{e_i|i＝1,2,...N}，其中e_i为第i个云服务器，从虚拟化技术、操作系统、微容器软件等角度对A进行异构化处理。

1.2、在每个云服务器上部署n个异构构件R＝{R_ij|i＝1,2,...N,j＝1,2,...,n}，R_ij表示第i个云服务器上的第j个异构构件。

2、部署冗余异构体集合E＝{E_l|l＝1,2,..,m}。

3、计每个云服务器e_i对输入流量的裁决结果为h，h∈{0,1}，h＝0代表判断输入流量为正常流量，h＝1代表判断输入流量为恶意流量；将N个云服务器的裁决结果h输入多模裁决模块得到最终拟态裁决结果。

4、对执行体进行动态变换，具体为：

4.1、对于判断错误的云服务器e_i，用冗余异构体替换，具体为：若步骤(3)多模裁决模块得到的最终拟态裁决结果为0，则替换裁决结果为1的所有云服务器e_i，反之若最终拟态裁决结果为1，则替换所有裁决结果为0的云服务器e_i，具体为：

4.1.1、计算冗余异构体集合E中每一个冗余异构体E_l与判断错误的云服务器e_i的相似度。

4.1.2、选取与判断错误的云服务器e_i相似度的值最小的冗余异构体E_l进行替换。

4.2、对于判断正确的云服务器e_i，对其异构构件R_ij进行随机交换，具体为：

4.2.1、将异构构件集R中第一个下角标i相同的元素R_ij组成同质元素集R_i，对第二个下角标的序列j进行快速排序，得到顺序T；

4.2.2、按照顺序T对R_i中的异构构件元素进行重新排序；

5、根据步骤4中得到的每一个R_ij重新组合成为新的云服务器集A。

本发明的目的在于对拟态WAF的架构进行优化，提供一种拟态WAF中的执行体动态变化方法，设计了一种构件的动态变换和替换方法，利于保持拟态WAF架构的动态性，加强拟态WAF的恶意流量抵御能力。

Claims (1)

1.一种拟态WAF中的执行体动态变换方法，其特征在于，该方法包括以下步骤：

(1)搭建多个WAF异构体，具体为：

(1.1)部署N个云服务器A＝{e_i|i＝1,2,...N}，其中e_i为第i个云服务器，从虚拟化技术、操作系统和微容器软件等角度对A进行异构化处理；

(1.2)在每个云服务器上部署n个异构构件R＝{R_ij|i＝1,2,...N,j＝1,2,...,n}；

(2)部署冗余异构体集合E＝{E_l|l＝1,2,..,m}。

(3)计每个云服务器e_i对输入流量的裁决结果为h，h∈{0,1}，其中h＝0代表判断为正常流量，h＝1代表判断为恶意流量。

(4)根据最终拟态裁决结果，对执行体进行动态变换，具体为：

(4.1)若最终拟态裁决结果为0，则替换裁决结果为1的所有云服务器，反之，则替换所有裁决结果为0的云服务器，具体步骤为：

(4.1.1)计算冗余异构体集合E中每一个冗余异构体E_l与判断错误的云服务器e_i的相似度。

(4.1.2)选取值相似度最小的冗余异构体E_l与云服务器e_i进行替换；

(4.2)对于判断正确的云服务器e_i，对其异构构件R_ij进行随机交换，将同一个云服务器中的异构构件重新排序。

(5)根据步骤(4)的动态变换结果得到新的云服务器集A。

Images