CN112422540A - 一种拟态waf中的执行体动态变换方法 - Google Patents
一种拟态waf中的执行体动态变换方法 Download PDFInfo
- Publication number
- CN112422540A CN112422540A CN202011238292.4A CN202011238292A CN112422540A CN 112422540 A CN112422540 A CN 112422540A CN 202011238292 A CN202011238292 A CN 202011238292A CN 112422540 A CN112422540 A CN 112422540A
- Authority
- CN
- China
- Prior art keywords
- cloud server
- mimicry
- waf
- traffic
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/22—Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0663—Performing the actions predefined by failover planning, e.g. switching to standby network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Stored Programmes (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种拟态WAF中的执行体动态变换方法,该方法基于拟态思想,有利于防御针对拟态WAF的恶意攻击。本发明设计了随机变换模块、相似度对比模块、多模判决模块和输入输出模块。在每一次拟态裁决之后,该系统能够根据上一次的裁决结果对执行体进行动态变换和替换,首先对判断错误的执行体进行下线,并在执行体集中选择与其异构度最大的执行体进行替换,其余判断正确的执行体进行构建随机变换,该方法能够保证拟态WAF中的执行体动态变换,有利于抵抗恶意攻击。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种拟态WAF中的执行体动态变换方法。
背景技术
由于云计算领域的快速发展,云安全问题的解决就显得尤为重要,而未知漏洞或后门很大的威胁了云安全。网络空间拟态防御(CMD,cyber mimic defense)是由邬江兴院士提出的改变游戏规则的一项新技术,将拟态防御技术应用到云服务,抵御攻击,加强安全效能。
动态性是指在不同时刻下轮换对外呈现的工作执行体,是一种主动防御手段。目前计算机系统的静态性质使其易于攻击,难以防御,攻击者具有不对称的优势,因为他们具备充足的时间研究系统,识别漏洞,且能够自由的选择攻击的时间和地点来获得最大的利益,而动态防御的思想是使系统动态化,通过不断变化的系统和不断变化的攻击面,使得攻击者将和防御者一样,不得不面对很大的不确定性,难以预测和探索。
采用动态防御技术可以阻断攻击链,攻击链模型包括探测扫描阶段,渗透攻击阶段,攻陷入侵阶段,安装工具阶段以及恶意行为阶段。动态感知着眼于全球范围的攻击行为,通过专业化、智能化的大数据挖掘、分析、发现和溯源,还原整个攻击过程,找到安全薄弱点,最终能够部署对抗措施,提升覆盖已知威胁和未知威胁的主动防御能力,将安全隐患消灭于萌芽阶段。
发明内容
本发明的目的在于针对现有技术的不足,提供一种拟态WAF中的执行体动态变换方法。本发明对WAF架构进行优化,使得WAF具有动态性与异构性,增强了WAF自身安全性,使得攻击者攻击成功的概率大大降低。
本发明的目的是通过以下技术方案来实现的:一种拟态WAF中的执行体动态变换方法,该方法包括以下步骤:
(1)搭建多个WAF异构体,具体为:
(1.1)部署N个云服务器A={ei|i=1,2,...N},其中ei为第i个云服务器,从虚拟化技术、操作系统和微容器软件等角度对A进行异构化处理;
(1.2)在每个云服务器上部署n个异构构件R={Rij|i=1,2,...N,j=1,2,...,n};
(2)部署冗余异构体集合E={El|l=1,2,..,m}。
(3)计每个云服务器ei对输入流量的裁决结果为h,h∈{0,1},其中h=0代表判断为正常流量,h=1代表判断为恶意流量。
(4)根据最终拟态裁决结果,对执行体进行动态变换,具体为:
(4.1)若最终拟态裁决结果为0,则替换裁决结果为1的所有云服务器,反之,则替换所有裁决结果为0的云服务器,具体步骤为:
(4.1.1)计算冗余异构体集合E中每一个冗余异构体El与判断错误的云服务器ei的相似度。
(4.1.2)选取值相似度最小的冗余异构体El与云服务器ei进行替换;
(4.2)对于判断正确的云服务器ei,对其异构构件Rij进行随机交换,将同一个云服务器中的异构构件重新排序。
(5)根据步骤(4)的动态变换结果得到新的云服务器集A。
本发明的有益效果是:本发明可以使错误判断的执行体下线的同时,保证其他执行体的快速动态变换,首先将与拟态裁决结果不一致的异构体进行下线,然后对其他异构体的异构元素进行动态变换,利于保持拟态WAF架构的动态性,加强拟态WAF的恶意流量抵御能力。
附图说明
图1是异构体动态变换方法总体架构图。
具体实施方式
动态性是指在不同时刻下轮换对外呈现的工作执行体,是一种主动防御手段。本发明通过设计一种拟态WAF中执行体动态变化方法,设计了随即变换模块、相似度对比模块、多模判决模块和输入输出模块。在每一次拟态裁决之后,该系统能够根据上一次的裁决结果对执行体进行动态变换和替换,首先对判断错误的执行体进行下线,并在执行体集中选择与其异构度最大的执行体进行替换,其余判断正确的执行体进行构建随机变换,该方法能够保证拟态WAF中的执行体动态变换,有利于抵抗恶意攻击。
如图1所示,本发明一种拟态WAF中的执行体动态变换方法,包括以下步骤:
1、搭建多个WAF异构体,具体为:
1.1、部署N个云服务器A={ei|i=1,2,...N},其中ei为第i个云服务器,从虚拟化技术、操作系统、微容器软件等角度对A进行异构化处理。
1.2、在每个云服务器上部署n个异构构件R={Rij|i=1,2,...N,j=1,2,...,n},Rij表示第i个云服务器上的第j个异构构件。
2、部署冗余异构体集合E={El|l=1,2,..,m}。
3、计每个云服务器ei对输入流量的裁决结果为h,h∈{0,1},h=0代表判断输入流量为正常流量,h=1代表判断输入流量为恶意流量;将N个云服务器的裁决结果h输入多模裁决模块得到最终拟态裁决结果。
4、对执行体进行动态变换,具体为:
4.1、对于判断错误的云服务器ei,用冗余异构体替换,具体为:若步骤(3)多模裁决模块得到的最终拟态裁决结果为0,则替换裁决结果为1的所有云服务器ei,反之若最终拟态裁决结果为1,则替换所有裁决结果为0的云服务器ei,具体为:
4.1.1、计算冗余异构体集合E中每一个冗余异构体El与判断错误的云服务器ei的相似度。
4.1.2、选取与判断错误的云服务器ei相似度的值最小的冗余异构体El进行替换。
4.2、对于判断正确的云服务器ei,对其异构构件Rij进行随机交换,具体为:
4.2.1、将异构构件集R中第一个下角标i相同的元素Rij组成同质元素集Ri,对第二个下角标的序列j进行快速排序,得到顺序T;
4.2.2、按照顺序T对Ri中的异构构件元素进行重新排序;
5、根据步骤4中得到的每一个Rij重新组合成为新的云服务器集A。
本发明的目的在于对拟态WAF的架构进行优化,提供一种拟态WAF中的执行体动态变化方法,设计了一种构件的动态变换和替换方法,利于保持拟态WAF架构的动态性,加强拟态WAF的恶意流量抵御能力。
Claims (1)
1.一种拟态WAF中的执行体动态变换方法,其特征在于,该方法包括以下步骤:
(1)搭建多个WAF异构体,具体为:
(1.1)部署N个云服务器A={ei|i=1,2,...N},其中ei为第i个云服务器,从虚拟化技术、操作系统和微容器软件等角度对A进行异构化处理;
(1.2)在每个云服务器上部署n个异构构件R={Rij|i=1,2,...N,j=1,2,...,n};
(2)部署冗余异构体集合E={El|l=1,2,..,m}。
(3)计每个云服务器ei对输入流量的裁决结果为h,h∈{0,1},其中h=0代表判断为正常流量,h=1代表判断为恶意流量。
(4)根据最终拟态裁决结果,对执行体进行动态变换,具体为:
(4.1)若最终拟态裁决结果为0,则替换裁决结果为1的所有云服务器,反之,则替换所有裁决结果为0的云服务器,具体步骤为:
(4.1.1)计算冗余异构体集合E中每一个冗余异构体El与判断错误的云服务器ei的相似度。
(4.1.2)选取值相似度最小的冗余异构体El与云服务器ei进行替换;
(4.2)对于判断正确的云服务器ei,对其异构构件Rij进行随机交换,将同一个云服务器中的异构构件重新排序。
(5)根据步骤(4)的动态变换结果得到新的云服务器集A。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011238292.4A CN112422540B (zh) | 2020-11-09 | 2020-11-09 | 一种拟态waf中的执行体动态变换方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011238292.4A CN112422540B (zh) | 2020-11-09 | 2020-11-09 | 一种拟态waf中的执行体动态变换方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112422540A true CN112422540A (zh) | 2021-02-26 |
CN112422540B CN112422540B (zh) | 2021-09-03 |
Family
ID=74780761
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011238292.4A Active CN112422540B (zh) | 2020-11-09 | 2020-11-09 | 一种拟态waf中的执行体动态变换方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112422540B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114124519A (zh) * | 2021-11-22 | 2022-03-01 | 浙江大学 | 一种拟态waf执行体的多模态异步裁决方法 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1507200A2 (en) * | 2003-08-11 | 2005-02-16 | Telairity Semiconductor, Inc. | System for repair of ROM errors or programming defects |
EP2541867A1 (en) * | 2008-10-14 | 2013-01-02 | Huawei Technologies Co., Ltd. | Method and device for terminal management based on right control |
CN104917629A (zh) * | 2015-04-14 | 2015-09-16 | 中国人民解放军信息工程大学 | 多交换节点协同的元能力编排方法 |
CN104994104A (zh) * | 2015-07-06 | 2015-10-21 | 浙江大学 | 基于web安全网关的服务器指纹拟态和敏感信息拟态方法 |
US20170142153A1 (en) * | 2014-12-30 | 2017-05-18 | A10 Networks, Inc. | Perfect Forward Secrecy Distributed Denial of Service Attack Defense |
CN106874755A (zh) * | 2017-01-22 | 2017-06-20 | 中国人民解放军信息工程大学 | 基于拟态安全防御零日攻击的多数一致逃逸错误处理装置及其方法 |
CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
US20180167412A1 (en) * | 2016-12-08 | 2018-06-14 | Stealth Security, Inc. | Prevention of malicious automation attacks on a web service |
CN110750802A (zh) * | 2019-10-14 | 2020-02-04 | 创元网络技术股份有限公司 | 基于拟态防御针对关键数据进行保护的架构 |
CN111343176A (zh) * | 2020-01-16 | 2020-06-26 | 郑州昂视信息科技有限公司 | 一种网络攻击的反制装置、方法、存储介质及计算机设备 |
CN111541601A (zh) * | 2020-03-16 | 2020-08-14 | 中国人民解放军战略支援部队信息工程大学 | 动态异构冗余架构的交换设备中stp协议同步的方法及装置 |
CN111556030A (zh) * | 2020-04-13 | 2020-08-18 | 南京理工大学 | 一种基于多级队列的拟态防御动态调度方法 |
CN111641661A (zh) * | 2020-06-12 | 2020-09-08 | 深圳供电局有限公司 | 一种异构执行体的构造方法及系统 |
CN111858091A (zh) * | 2020-07-06 | 2020-10-30 | 河南信大网御科技有限公司 | 基于进程级的拟态架构和拟态防御方法 |
-
2020
- 2020-11-09 CN CN202011238292.4A patent/CN112422540B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1507200A2 (en) * | 2003-08-11 | 2005-02-16 | Telairity Semiconductor, Inc. | System for repair of ROM errors or programming defects |
EP2541867A1 (en) * | 2008-10-14 | 2013-01-02 | Huawei Technologies Co., Ltd. | Method and device for terminal management based on right control |
US20170142153A1 (en) * | 2014-12-30 | 2017-05-18 | A10 Networks, Inc. | Perfect Forward Secrecy Distributed Denial of Service Attack Defense |
CN104917629A (zh) * | 2015-04-14 | 2015-09-16 | 中国人民解放军信息工程大学 | 多交换节点协同的元能力编排方法 |
CN104994104A (zh) * | 2015-07-06 | 2015-10-21 | 浙江大学 | 基于web安全网关的服务器指纹拟态和敏感信息拟态方法 |
US20180167412A1 (en) * | 2016-12-08 | 2018-06-14 | Stealth Security, Inc. | Prevention of malicious automation attacks on a web service |
CN106874755A (zh) * | 2017-01-22 | 2017-06-20 | 中国人民解放军信息工程大学 | 基于拟态安全防御零日攻击的多数一致逃逸错误处理装置及其方法 |
CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
CN110750802A (zh) * | 2019-10-14 | 2020-02-04 | 创元网络技术股份有限公司 | 基于拟态防御针对关键数据进行保护的架构 |
CN111343176A (zh) * | 2020-01-16 | 2020-06-26 | 郑州昂视信息科技有限公司 | 一种网络攻击的反制装置、方法、存储介质及计算机设备 |
CN111541601A (zh) * | 2020-03-16 | 2020-08-14 | 中国人民解放军战略支援部队信息工程大学 | 动态异构冗余架构的交换设备中stp协议同步的方法及装置 |
CN111556030A (zh) * | 2020-04-13 | 2020-08-18 | 南京理工大学 | 一种基于多级队列的拟态防御动态调度方法 |
CN111641661A (zh) * | 2020-06-12 | 2020-09-08 | 深圳供电局有限公司 | 一种异构执行体的构造方法及系统 |
CN111858091A (zh) * | 2020-07-06 | 2020-10-30 | 河南信大网御科技有限公司 | 基于进程级的拟态架构和拟态防御方法 |
Non-Patent Citations (4)
Title |
---|
HAIFENG ZHOU, CHUNMING WU, MING JIANG, BOYANG ZHOU, WEN GAO, TIN: "Evolving Defense Mechanism for Future Network Security", 《IEEE COMMUNICATIONS MAGAZINE》 * |
WENYAN LIU, FUCAI CHEN, HONGCHAO HU,GUOZHEN CHENG,SHUMIN HUO: "A Novel Framework for Zero-Day Attacks Detection and Response with Cyberspace Mimic Defense Architecture", 《2017 INTERNATIONAL CONFERENCE ON CYBER-ENABLED DISTRIBUTED COMPUTING AND KNOWLEDGE DISCOVERY》 * |
李卫超,张铮,王立群,邬江兴: "基于拟态防御架构的多余度裁决建模与风险分析", 《信息安全学报》 * |
陈双喜,姜鑫悦,蔡晶晶,刘江宜,吴春明: "基于攻击转移的拟态安全网关技术的研究", 《通信学报》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114124519A (zh) * | 2021-11-22 | 2022-03-01 | 浙江大学 | 一种拟态waf执行体的多模态异步裁决方法 |
CN114124519B (zh) * | 2021-11-22 | 2022-08-30 | 浙江大学 | 一种拟态waf执行体的多模态异步裁决方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112422540B (zh) | 2021-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11483354B2 (en) | System and method for reasoning about the optimality of a configuration parameter of a distributed system | |
AU2014213584B2 (en) | Method and product for providing a predictive security product and evaluating existing security products | |
US10958691B2 (en) | Network security system with cognitive engine for dynamic automation | |
Nguyen et al. | Design and implementation of intrusion detection system using convolutional neural network for DoS detection | |
KR101681855B1 (ko) | 공격에 대한 네트워크 복원성을 시뮬레이트하기 위한 방법 및 장치 | |
US20190075123A1 (en) | Systems and methods for cyber intrusion detection and prevention | |
CN112804208B (zh) | 一种基于攻击者特性指标的网络攻击路径预测方法 | |
KR20160147890A (ko) | 위협 및 방어 회피 모델링 시스템 및 방법 | |
US20200118027A1 (en) | Learning method, learning apparatus, and recording medium having stored therein learning program | |
Wei et al. | Cross-layer strategic ensemble defense against adversarial examples | |
CN112422540B (zh) | 一种拟态waf中的执行体动态变换方法 | |
Dsouza et al. | Resilient dynamic data driven application systems (rDDDAS) | |
CN112926055A (zh) | 基于时间概率攻击图的病毒攻击防御方法 | |
CN111339535A (zh) | 面向智能合约代码的漏洞预测方法、系统、计算机设备和存储介质 | |
Enoch et al. | A practical framework for cyber defense generation, enforcement and evaluation | |
Amarasinghe et al. | AI based cyber threats and vulnerability detection, prevention and prediction system | |
Sikulova et al. | Towards compositional coevolution in evolutionary circuit design | |
Tong et al. | A diversity metric based study on the correlation between diversity and security | |
KR20220072939A (ko) | 시계열 학습형 앙상블 인공지능 기법을 이용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법 | |
CN114640484A (zh) | 网络安全对抗方法、装置和电子设备 | |
Saber et al. | Amelioration of attack classifications for evaluating and testing intrusion detection system | |
Indaco et al. | Coevolving Defender Strategies Within Adversarial Ground Station Transit Time Games via Competitive Coevolution | |
Emami-Taba | Decision-making in self-protecting software systems: a game-theoretic approach | |
Jeon et al. | An Effective Threat Detection Framework for Advanced Persistent Cyberattacks | |
CN117499158B (zh) | 一种基于多攻击者联合或非联合攻击的主动防御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |