本發明公開了一種擬態WAF中執行體的裁決方法，該方法能夠對多個相同流量的處理結果進行裁決判斷，從而發現并阻斷未知的攻擊。本發明主要設計了流量同步模塊、多模裁決模塊、裁決結果與數據記錄模塊等來實現擬態WAF中的裁決功能，通過裁決功能使得擬態WAF能夠識別未知攻擊，并通過WAF執行體下線自清洗等操作來阻斷未知攻擊，使得擬態WAF具有主動防御能力。首先流量同步模塊對k個異構WAF處理結果進行同步，接著多模裁決模塊對處理結果進行裁決判斷，將裁決結果與數據記錄日志，并且更新數據庫對應的值，最后，當裁決結果為通過時，將流量發送至后端服務器，當裁決結果為不通過時，將流量發送至蜜罐或沙箱。

技術領域

本發明屬于網絡安全技術領域，尤其涉及一種擬態WAF中執行體的裁決方法。

背景技術

隨著互聯網技術的迅猛發展，許多用戶的關鍵業務越來越多地基于WEB應用，在通過瀏覽器方式實現展現與交互的同時，用戶的業務系統所受到的威脅也隨之而來，并且隨著業務系統的復雜化及互聯網環境的變化，所受威脅也在飛速增長。篡改網頁、植入后門、拒絕服務攻擊等攻擊手段層出不窮,攻擊者利用這些手段癱瘓目標服務器的業務,竊取用戶敏感信息,或控制相關設備和資源為其所用。

WAF稱為web應用防火墻，是通過執行一系列針對HTTP,HTTPS的安全策略，來專門對web應用提供保護的一款產品。但還是存在像防護規則庫被惡意繞過、利用WAF平臺的自身漏洞、操作系統的漏洞或者云平臺的漏洞進行攻擊等問題，因此面臨嚴重的安全威脅。擬態WAF是基于擬態防御思想的web應用防火墻，與傳統的網絡防御手段不同，擬態防御通過動態化、隨機化、主動化的手段改變網絡信息系統的運行或執行環境，突破傳統網絡信息安全被動防御的窘境，將“亡羊補牢”式的被動防御轉變為難以被偵測的主動防御，改變目前易攻難守的現狀。

發明內容

本發明的目的在于針對現有技術的不足，提供一種擬態WAF中執行體的裁決方法。本發明能夠對不同異構體的結果進行裁決判定，從而發現異常的異構體，使得WAF具有了能夠主動防御和發現未知攻擊的能力，增強了WAF自身的安全性，使得攻擊者攻擊成功的概率大大降低。

本發明的目的是通過以下技術方案來實現的：一種擬態WAF中執行體的裁決方法，該方法包括以下步驟：

(1)流量同步模塊對k個執行體發送的流量進行同步，具體為：

(1.1)擬態WAF中當前有n個上線執行體E＝{e_i|i＝1,2,…,n}，這n個執行體在操作系統、WAF平臺、規則庫等方面進行了異構化處理；

(1.2)設擬態WAF中的入口節點R接收到的訪問流量為F，在F請求頭上添加標記值tag，將流量復制分發到k個異構體；

(1.3)在n個異構WAF執行體中，只有k個異構執行體處理了流量，k個異構執行體將處理結果放到請求頭，然后將流量發送至擬態WAF裁決模塊，裁決模塊利用流量的標志值tag對k個WAF執行體流量進行同步；

(1.4)設每個WAF異構體被選中的次數為A_i(1≤i≤n)，A_i的初始值為0，當接收到流量時，更新k個異構體對應的A_i值，執行A_i+1操作；

(2)多模裁決模塊對k個處理結果進行裁決判斷；

(3)從流量的請求頭中獲取WAF異構體的處理結果，當某個WAF異構體的處理結果與裁決結果不一致時，這時認為異構體發生了異常，設每個WAF異構體異常的次數為B_i(1≤i≤n)，B_i的初始值為0，根據裁決結果與每個WAF異構體結果比較，存在差異的異構體對應的B_i+1；