一种拟态WAF的执行体自愈方法转让专利
申请号 : CN202011238258.7
文献号 : CN112383527B
文献日 : 2021-12-17
发明人 : 陈双喜 , 吴春明 , 曲振青 , 王文海
申请人 : 浙江大学
摘要 :
权利要求 :
1.一种拟态WAF的执行体自愈方法,其特征在于,包括以下步骤:(1)执行体的异常检测,当执行体的规则匹配模块的结果与裁决结果不一致时,认为执行体发生了异常,设每个执行体i异常的次数为 Bi,Bi的初始值为0,根据裁决结果与每个执行体的规则匹配模块的结果比较,存在差异的执行体对应的Bi +1;
(2)设每个执行体的异常率为Di,Ai表示执行体i被选中的次数,其计算公式为Di=Bi/Ai,当裁决结果产生后,更新每个执行体的异常率,当某个执行体异常率高于某个阈值时,认为该执行体发生异常,完成异常执行体的定位工作;
(3)异常执行体模块排查,通过分别排查,自动排查出具体异常发生的模块;待排查的模块包含:执行体微容器数据库、执行体微容器黑白名单集合及规则定义集合、协议解析模块、动作执行模块以及日志模块,具体为:(3.1)执行体微容器数据库异常排查,对异常执行体的微容器中的镜像数据库与执行体基于的服务器中的完全数据库执行相同的增删改查操作,比对两者操作结果;
(3.2)执行体微容器黑白名单集合及规则定义集合排查,通过将异常执行体的黑白名单集合与其它非异常执行体的黑白名单集合进行比对,规则定义集合排查则通过发起同种攻击,比对目前异常执行体与非异常执行体的判定结果实现;
(3.3)协议解析模块异常排查,通过使用相同流量经过异常执行体与其它非异常执行体,解析得到的解析协议结果进行比对,假设共与k个非异常执行体进行了相同流量的解析结果比对,解析结果比对计数器的值设为α,每次有一个非异常执行体与异常执行体结果不匹配时计数器的值更新为α+1,设定阈值δ,当α超过阈值δ,认为协议解析模块发生异常;
(3.4)动作执行模块排查:使用相同流量分别经过异常执行体与非异常执行体,比对动作执行模块作出的动作;假设共对k’个非异常执行体与异常执行体进行比对,计数器的值设为α’,每次有一个非异常执行体与异常执行体动作不一致时计数器的值更新为α’+1,设定阈值δ’,当α’大于阈值δ’,认为动作执行模块发生异常;
(3.5)日志模块异常排查:使用相同流量分别经过异常执行体与非异常执行体,比对日志模块记录的日志;假设共对k’’个非异常执行体与异常执行体进行比对,计数器的值设为α’’,每次有一个非异常执行体与异常执行体记录的日志不一致时计数器的值更新为α’’+
1,设定阈值δ’’,当α’’大于阈值δ’’,认为日志模块发生异常;
(4)异常执行体自愈修复,具体为:(4.1)自愈修复微容器数据库,如果检测到数据库存在数据不一致性,直接进行完全数据库的镜像操作,丢弃之前的镜像数据库;
(4.2)自愈修复执行体微容器黑白名单集合,通过拷贝其余非异常执行体的黑白名单集合实现;
(4.3)规则定义集合、协议解析模块、动作执行模块以及日志模块异常修复则需要下线操作,修复后再重新上线;
(5)修复模块重检测:对步骤(4)修复后的异常执行体发起相同的攻击,比对其规则匹配模块的结果与裁决结果,若比对结果一致则自愈完成,否则重复以上步骤(3)(4)的过~
程,如重复2‑3次后仍自愈失败,则下线排查。
2.如权利要求1所述拟态WAF的执行体自愈方法,其特征在于,所述步骤(3.1)中,如最终排查数据库异常失效,直接执行从服务器中的完全数据库进行WAF数据库的重新镜像。
说明书 :
一种拟态WAF的执行体自愈方法
技术领域
背景技术
度增加、网络性能要求提高而逐渐提升。维护网络应用安全的设备性能更高的同时,也需要
更高的设备维护成本,因此降低网络安全应用设备维护的需求亟不可待。
融合、“高可靠与高可信”的自然结合、“内生安全机制与传统防御手段”的完美融合,拟态
WAF技术是下一代的WAF,具有多样性、动态性、冗余性等的特点,通过多个执行体的异构以
及选择算法来完成拟态WAF的动态性特点,却也意味着拟态WAF需要更高的运营成本,拟态
WAF执行体出现异常以后需要相对较高的代价进行修复,目前的WAF执行体的修复方式主要
是通过人工下线进行处理修复后重新上线,维护修复成本大,且会影响整个WAF系统的运
行,而WAF系统的暂时停止运行将带来安全威胁以及相应损失。
发明内容
根据裁决结果与每个WAF执行体结果比较,存在差异的异构体对应的Bi+1。
值时,认为该执行体发生异常,完成异常执行体的定位工作。
块、动作执行模块以及日志模块,具体为:
同种攻击,比对目前异常执行体与非异常执行体的判定结果实现。
量的解析结果比对,解析结果比对计数器设为α,不匹配时计数器α+1,设定阈值δ,当α超过
阈值δ,认为协议解析模块发生异常。
过程,如重复2‑3次后仍自愈失败,则下线排查。
过程,这一自愈过程基本无需人工参与,大大减少了修复成本。
附图说明
具体实施方式
来完成拟态WAF执行体的自愈过程,包括以下步骤:
始值为0,根据裁决结果与每个WAF执行体结果比较,存在差异的异构执行体对应的Bi+1。
行体异常率高于设定的阈值时,认为该执行体发生异常,完成异常执行体的定位工作。
库、执行体微容器黑白名单集合、执行体微容器规则定义集合、协议解析模块、动作执行模
块以及日志模块,具体为:
操作结果不一致,认为执行体微容器数据库异常;需要说明:本步骤的排查能够排查出大部
分数据库不一致性异常,如最终排查数据库异常失效,可以直接执行从服务器e中的完全数
据库D进行WAF数据库的重新镜像。
为不一致,认为执行体微容器黑白名单集合异常。
结果为不一致,认为执行体微容器黑白名单集合及规则定义集合异常。
同流量的解析结果比对,解析结果比对计数器设为α,不匹配时计数器α+1,设定阈值δ,当α
大于阈值δ,认为协议解析模块发生异常。
动作执行模块作出的动作;假设共对k个非异常执行体与异常执行体W进行比对,计数器设
为α,动作不一致时计数器α+1,设定阈值δ,当α大于阈值δ,认为动作执行模块发生异常。
日志模块记录的日志;假设共对k个非异常执行体与异常执行体W进行比对,计数器设为α,
记录的日志不一致时计数器α+1,设定阈值δ,当α大于阈值δ,认为日志模块发生异常。
重复以上步骤(3)‑(4)的过程,如重复2‑3次后,仍自愈失败,则下线执行体进行排查。