[发明专利]一种内生安全WAF蜜罐部署方法

说明书

本发明公开了一种内生安全WAF蜜罐部署方法，在拟态WAF的服务器架构中，当异构体表决算法判断出异常流量时，不拒绝访问此流量，而使其访问相应蜜罐，误导攻击者并在蜜罐中收集攻击者信息与攻击行为信息，这是从被动防御到主动防御的关键一步，对内生安全WAF架构极其重要。本发明对内生安全WAF出口设置蜜罐，收取攻击者信息并做出攻击分析，可以延缓攻击者的正常攻击，并且可以审计、回溯攻击信息，从而提前预警，加固WAF自身。

技术领域

本发明属于网络安全技术领域，尤其涉及一种内生安全WAF蜜罐部署方法。

背景技术

在WAF加固的服务器架构中，监测到异常流量后，如果直接拒绝访问流量，那么攻击者就会不断探寻规律寻找可能能够通过WAF的规则。此时部署蜜罐系统，将攻击者流量导入蜜罐，去误导攻击者并获取攻击者相应信息。蜜罐系统将加固内生安全WAF系统，也是主动防御的重要一环。

发明内容

本发明的目的在于针对现有技术的不足，提供一种内生安全WAF蜜罐部署方法。本发明对内生安全WAF异常流量出口部署蜜罐系统，误导攻击者并收集信息，以提前分析并预警，提高系统安全性。

本发明的目的是通过以下技术方案来实现的：一种内生安全WAF蜜罐部署方法，该方法包括以下步骤：

(1)搭建蜜罐终端，在终端上部署数据库、蜜罐程序以及攻击指纹识别程序等，并实现以下步骤：

(1.1)检测蜜罐状态，包含蜜罐是否正常运行，所处环境，以及其它功能是否正常运行。

(1.2)检测端口扫描：对内网中常用的端口连接请求进行检测。

(1.3)检测暴力破解：对暴力破解各个服务登录认证的行为进行检测。

(1.4)匹配攻击指纹：识别攻击者所使用的工具。

(1.5)检测攻击手段。

(1.6)整合步骤(1.1)～(1.5)检测得到的各个攻击数据并进行集中存储，并将各个数据转发至预警服务器处。

(2)搭建预警服务器，部署数据库、Web服务、运行环境等，并实现以下步骤：

(2.1)接受蜜罐终端传输的数据并存储数据。

(2.2)对数据进行相应分析处理并判断攻击行为，得到不同的攻击者以及攻击方式。

其中，对于收集到的攻击数据，每条数据赋予相应标签，标签包含攻击者身份、攻击目标和攻击手段等特征。对于每条攻击数据，假设A表示攻击者，S表示一条攻击数据抽象后的0/1数值序列，T表示攻击序列的某一位，若当前位表示的攻击行为与攻击数据里的攻击行为匹配的话，对应位标为1，没有匹配的话标为0，M代表攻击格式，n代表标签的特征总数，也是攻击者的攻击序列总数。攻击序列S_A＝T₁T₂T₃...T_n。对于相同攻击者发出的多条攻击，若攻击者A有n条攻击序列，则攻击者A的攻击格式M_A可以表示如M_A＝S_A1|S_A2|S_A3...|S_An，其中|为按位或运算。攻击格式相似算法为以此来判断攻击方是否为同一个或同一类人。如果s大于相似阈值时，表示攻击方A1、A2为同一个或同一类。

(2.3)发送告警信息给用户，提示用户有攻击者攻击，并传递相应攻击数据。

进一步地，所述蜜罐终端上部署MongoDB数据库，Dionaea蜜罐程序以及P0f攻击指纹识别程序。

进一步地，所述预警服务器上部署MongoDB数据库、Apache Web服务、PHP运行环境和MySQL数据库。