本發明公開了一種內生安全WAF蜜罐部署方法，在擬態WAF的服務器架構中，當異構體表決算法判斷出異常流量時，不拒絕訪問此流量，而使其訪問相應蜜罐，誤導攻擊者并在蜜罐中收集攻擊者信息與攻擊行為信息，這是從被動防御到主動防御的關鍵一步，對內生安全WAF架構極其重要。本發明對內生安全WAF出口設置蜜罐，收取攻擊者信息并做出攻擊分析，可以延緩攻擊者的正常攻擊，并且可以審計、回溯攻擊信息，從而提前預警，加固WAF自身。

技術領域

本發明屬于網絡安全技術領域，尤其涉及一種內生安全WAF蜜罐部署方法。

背景技術

在WAF加固的服務器架構中，監測到異常流量后，如果直接拒絕訪問流量，那么攻擊者就會不斷探尋規律尋找可能能夠通過WAF的規則。此時部署蜜罐系統，將攻擊者流量導入蜜罐，去誤導攻擊者并獲取攻擊者相應信息。蜜罐系統將加固內生安全WAF系統，也是主動防御的重要一環。

發明內容

本發明的目的在于針對現有技術的不足，提供一種內生安全WAF蜜罐部署方法。本發明對內生安全WAF異常流量出口部署蜜罐系統，誤導攻擊者并收集信息，以提前分析并預警，提高系統安全性。

本發明的目的是通過以下技術方案來實現的：一種內生安全WAF蜜罐部署方法，該方法包括以下步驟：

(1)搭建蜜罐終端，在終端上部署數據庫、蜜罐程序以及攻擊指紋識別程序等，并實現以下步驟：

(1.1)檢測蜜罐狀態，包含蜜罐是否正常運行，所處環境，以及其它功能是否正常運行。

(1.2)檢測端口掃描：對內網中常用的端口連接請求進行檢測。

(1.3)檢測暴力破解：對暴力破解各個服務登錄認證的行為進行檢測。

(1.4)匹配攻擊指紋：識別攻擊者所使用的工具。

(1.5)檢測攻擊手段。

(1.6)整合步驟(1.1)～(1.5)檢測得到的各個攻擊數據并進行集中存儲，并將各個數據轉發至預警服務器處。

(2)搭建預警服務器，部署數據庫、Web服務、運行環境等，并實現以下步驟：

(2.1)接受蜜罐終端傳輸的數據并存儲數據。

(2.2)對數據進行相應分析處理并判斷攻擊行為，得到不同的攻擊者以及攻擊方式。

其中，對于收集到的攻擊數據，每條數據賦予相應標簽，標簽包含攻擊者身份、攻擊目標和攻擊手段等特征。對于每條攻擊數據，假設A表示攻擊者，S表示一條攻擊數據抽象后的0/1數值序列，T表示攻擊序列的某一位，若當前位表示的攻擊行為與攻擊數據里的攻擊行為匹配的話，對應位標為1，沒有匹配的話標為0，M代表攻擊格式，n代表標簽的特征總數，也是攻擊者的攻擊序列總數。攻擊序列S_A＝T₁T₂T₃...T_n。對于相同攻擊者發出的多條攻擊，若攻擊者A有n條攻擊序列，則攻擊者A的攻擊格式M_A可以表示如M_A＝S_A1|S_A2|S_A3...|S_An，其中|為按位或運算。攻擊格式相似算法為以此來判斷攻擊方是否為同一個或同一類人。如果s大于相似閾值時，表示攻擊方A1、A2為同一個或同一類。

(2.3)發送告警信息給用戶，提示用戶有攻擊者攻擊，并傳遞相應攻擊數據。

進一步地，所述蜜罐終端上部署MongoDB數據庫，Dionaea蜜罐程序以及P0f攻擊指紋識別程序。

進一步地，所述預警服務器上部署MongoDB數據庫、Apache Web服務、PHP運行環境和MySQL數據庫。