本发明专利技术公开了一种拟态WAF的执行体自愈方法,本方法通过拟态WAF执行体的异常检测、异常执行体定位、异常执行体模块排查、异常执行体自愈修复:含恢复机制、修复模块重检测来完成拟态WAF执行体的自愈过程。本发明专利技术综合考虑了执行体的工作效率与正确性,运行自动检测排查以及自愈机制,确保执行体在出现了异常以后能够及时自动运行检测机制并进行自行恢复增强,如果多次运行自愈机制以后仍然存在异常,将进行下线清洗工作,本发明专利技术大大降低了拟态WAF的维护费用,能广泛应用于拟态WAF体系之中。能广泛应用于拟态WAF体系之中。能广泛应用于拟态WAF体系之中。
【技术实现步骤摘要】
一种拟态WAF的执行体自愈方法
[0001]本专利技术属于网络安全拟态防御
,尤其涉及一种拟态WAF的执行体自愈方法。
技术介绍
[0002]随着网络的普及深入,2019年全球的互联网普及率超过了55%,但与此同时也带来了严重的网络安全隐患。维护网络安全应用的成本随着网络应用的增加、网络的普及程度增加、网络性能要求提高而逐渐提升。维护网络应用安全的设备性能更高的同时,也需要更高的设备维护成本,因此降低网络安全应用设备维护的需求亟不可待。
[0003]拟态防御WAF系统能够构建“自主可控、安全可信”的防护系统,逆转网络安全领域的“易攻难守”的局面,完成“服务提供与安全防护”的自然结合、“安全性与开放性”的完美融合、“高可靠与高可信”的自然结合、“内生安全机制与传统防御手段”的完美融合,拟态WAF技术是下一代的WAF,具有多样性、动态性、冗余性等的特点,通过多个执行体的异构以及选择算法来完成拟态WAF的动态性特点,却也意味着拟态WAF需要更高的运营成本,拟态WAF执行体出现异常以后需要相对较高的代价进行修复,目前的WAF执行体的修复方式主要是通过人工下线进行处理修复后重新上线,维护修复成本大,且会影响整个WAF系统的运行,而WAF系统的暂时停止运行将带来安全威胁以及相应损失。
技术实现思路
[0004]本专利技术的目的在于针对现有技术的不足,提供一种拟态WAF的执行体自愈方法。
[0005]本专利技术的目的是通过以下技术方案来实现的:一种拟态WAF的执行体自愈方法,包括以下步骤:r/>[0006](1)拟态WAF执行体的异常检测,当WAF执行体的规则匹配模块结果与裁决结果不一致时,这时认为执行体发生了异常,设每个WAF执行体i异常的次数为B
i
,B
i
的初始值为0,根据裁决结果与每个WAF执行体结果比较,存在差异的异构体对应的B
i
+1。
[0007](2)设每个执行体的异常率为D
i
,A
i
表示执行体i被选中的次数,其计算公式为D
i
=B
i
/A
i
,当拟态裁决结果产生后,更新每个执行体的异常率,当某个执行体异常率高于某个阈值时,认为该执行体发生异常,完成异常执行体的定位工作。
[0008](3)异常执行体模块排查,通过分别排查,自动排查出具体异常的发生模块。排查模块包含:执行体微容器数据库、执行体微容器黑白名单集合及规则定义集合、协议解析模块、动作执行模块以及日志模块,具体为:
[0009](3.1)执行体微容器数据库异常排查,对异常执行体的微容器中的镜像数据库与执行体基于的服务器中的完全数据库执行相同的增删改查操作,比对两者操作结果。
[0010](3.2)执行体微容器黑白名单集合及规则定义集合排查,通过异常执行体的黑白名单与规则集合与其它非异常执行体的黑白名单进行比对,规则定义集合排查则通过发起同种攻击,比对目前异常执行体与非异常执行体的判定结果实现。
[0011](3.3)协议解析模块异常排查,通过使用相同流量经过目前异常执行体与其它非异常执行体解析得到的解析协议结果进行比对,假设共与k个非异常执行体进行了相同流量的解析结果比对,解析结果比对计数器设为α,不匹配时计数器α+1,设定阈值δ,当α超过阈值δ,认为协议解析模块发生异常。
[0012](3.4)动作执行模块以及日志模块异常排查通过与步骤(3.3)相似的步骤与非异常执行体的计算判定结果进行比对实现。
[0013](4)异常执行体自愈修复,具体为:
[0014](4.1)自愈修复微容器数据库,如果检测到数据库存在数据不一致性,直接进行完全数据库的部分镜像操作,丢弃之前的镜像数据库。
[0015](4.2)自愈修复执行体微容器黑白名单集合,通过拷贝其余非异常执行体的黑白名单集合实现。
[0016](4.3)规则定义集合、协议解析模块、动作执行模块以及日志模块异常修复则需要下线操作,修复后再重新上线。
[0017](5)修复模块重检测:对步骤(4)修复后的异常执行体发起相同的攻击,比对其规则匹配模块结果与裁决结果,若比对结果一致则自愈完成,否则重复以上步骤(3)~(4)的过程,如重复2-3次后仍自愈失败,则下线排查。
[0018]进一步地,所述步骤(3.1)中,如最终排查数据库异常失效,直接执行从服务器中的完全数据库进行WAF数据库的重新镜像。
[0019]本专利技术的有益效果是:本专利技术通过拟态WAF执行体的异常检测、异常执行体定位、异常执行体模块排查、异常执行体自愈修复、修复模块重检测来完成拟态WAF执行体的自愈过程,这一自愈过程基本无需人工参与,大大减少了修复成本。
附图说明
[0020]图1是拟态WAF的执行体自愈流程图。
具体实施方式
[0021]如图1所示,本专利技术一种拟态WAF的执行体自愈方法,主要是通过拟态WAF执行体的异常检测、异常执行体定位、异常执行体模块排查、异常执行体自愈修复、修复模块重检测来完成拟态WAF执行体的自愈过程,包括以下步骤:
[0022](1)拟态WAF执行体的异常检测:当WAF执行体的规则匹配模块结果与裁决结果不一致时,这时认为执行体发生了异常,设每个WAF执行体i异常的次数为B
i
(1≤i≤M),B
i
的初始值为0,根据裁决结果与每个WAF执行体结果比较,存在差异的异构执行体对应的B
i
+1。
[0023](2)设每个执行体的异常率为D
i
(1≤i≤M),A
i
(1≤i≤M)表示执行体i被选中的次数,其计算公式为D
i
=B
i
/A
i
;当拟态裁决结果产生后,更新每个执行体的异常率,当某个执行体异常率高于设定的阈值时,认为该执行体发生异常,完成异常执行体的定位工作。
[0024](3)异常执行体模块排查:假设异常执行体为第W个执行体,1≤W≤M,通过分别排查异常执行体各模块,自动排查出具体异常的发生模块;排查模块包含:执行体微容器数据库、执行体微容器黑白名单集合、执行体微容器规则定义集合、协议解析模块、动作执行模块以及日志模块,具体为:
[0025](3.1)执行体微容器数据库异常排查:对执行体W的微容器中的镜像数据库d
W
与执行体W基于所在服务器e中的完全数据库D执行相同的增删改查操作,比对两者操作结果;如操作结果不一致,认为执行体微容器数据库异常;需要说明:本步骤的排查能够排查出大部分数据库不一致性异常,如最终排查数据库异常失效,可以直接执行从服务器e中的完全数据库D进行WAF数据库的重新镜像。
[0026](3.2)执行体微容器黑白名单集合排查:通过异常执行体W的黑白名单与规则集合与其它非异常执行体的黑白名单进行比对实现执行体微容器黑白名单集合排查;排本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种拟态WAF的执行体自愈方法,其特征在于,包括以下步骤:(1)拟态WAF执行体的异常检测,当WAF执行体的规则匹配模块结果与裁决结果不一致时,这时认为执行体发生了异常,设每个WAF执行体i异常的次数为B
i
,B
i
的初始值为0,根据裁决结果与每个WAF执行体结果比较,存在差异的异构体对应的B
i
+1。(2)设每个执行体的异常率为D
i
,A
i
表示执行体i被选中的次数,其计算公式为D
i
=B
i
/A
i
,当拟态裁决结果产生后,更新每个执行体的异常率,当某个执行体异常率高于某个阈值时,认为该执行体发生异常,完成异常执行体的定位工作。(3)异常执行体模块排查,通过分别排查,自动排查出具体异常的发生模块。排查模块包含:执行体微容器数据库、执行体微容器黑白名单集合及规则定义集合、协议解析模块、动作执行模块以及日志模块,具体为:(3.1)执行体微容器数据库异常排查,对异常执行体的微容器中的镜像数据库与执行体基于的服务器中的完全数据库执行相同的增删改查操作,比对两者操作结果。(3.2)执行体微容器黑白名单集合及规则定义集合排查,通过异常执行体的黑白名单与规则集合与其它非异常执行体的黑白名单进行...
【专利技术属性】
技术研发人员:陈双喜,吴春明,曲振青,王文海,
申请(专利权)人:浙江大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。