《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 淺談WAF市場(chǎng)中常見(jiàn)的檢測(cè)技術(shù)
淺談WAF市場(chǎng)中常見(jiàn)的檢測(cè)技術(shù)
CCTIME
CCTIME
摘要: 啟明星辰,WAF,Web應(yīng)用防火墻,算法,Web服務(wù)器,隨著電子商務(wù),、網(wǎng)上銀行、電子政務(wù)的盛行,,Web服務(wù)器承載的業(yè)務(wù)價(jià)值越來(lái)越高,,Web服務(wù)器所面臨的安全威脅也隨之增大,,因此,,針對(duì)Web應(yīng)用層的防
Abstract:
Key words :

    隨著電子商務(wù),、網(wǎng)上銀行,、電子政務(wù)的盛行,Web服務(wù)器承載的業(yè)務(wù)價(jià)值越來(lái)越高,,Web服務(wù)器所面臨的安全威脅也隨之增大,,因此,針對(duì)Web應(yīng)用層的防御成為必然趨勢(shì),,WAF(WebApplicationFirewall,,Web應(yīng)用防火墻)產(chǎn)品開(kāi)始流行起來(lái)。WAF是指針對(duì)各網(wǎng)站W(wǎng)eb服務(wù)器的應(yīng)用級(jí)入侵的防御系統(tǒng),,它彌補(bǔ)了防火墻,、IPS這類安全設(shè)備對(duì)Web應(yīng)用攻擊的防護(hù)能力不足的問(wèn)題。

    根據(jù)國(guó)際權(quán)威機(jī)構(gòu)WASC(WebApplicationSecurityConsortium?)和OWASP(Open Web Application Security Project)的分析,,國(guó)內(nèi)外的信息安全廠商當(dāng)前能防范的針對(duì)Web服務(wù)器的攻擊類型主要有SQL注入攻擊,、XSS攻擊、HTTP Flood攻擊,、爬蟲(chóng),、CGI掃描、漏洞掃描,、盜鏈防護(hù),、CSRF(Cross-Site Request Forgery)攻擊防護(hù)等。但事實(shí)上,,能防范和能準(zhǔn)確高效防范是兩個(gè)完全不同的概念,。只有提供準(zhǔn)確高效防范,才能保護(hù)最終用戶的投資,,并提升對(duì)外交互體驗(yàn),。縱觀國(guó)內(nèi)外的WAF產(chǎn)品,,針對(duì)這些攻擊的檢測(cè)手段也各有特色,。

    有的國(guó)外廠商會(huì)采用建立一個(gè)動(dòng)態(tài)建模程序的辦法加以解決,可以理解為“自學(xué)習(xí)模型”的檢測(cè)手段,。這類學(xué)習(xí)模型可以對(duì)真實(shí)流量的學(xué)習(xí)、Web應(yīng)用的學(xué)習(xí)(比如URLs,、cookies,、參數(shù)/表元素、sessions等等),、Web服務(wù)的學(xué)習(xí)(包括XMLURLs,、SOAP動(dòng)作,、XML元素等),這類學(xué)習(xí)模型對(duì)Web業(yè)務(wù)應(yīng)用的識(shí)別能力較強(qiáng),,但由于學(xué)習(xí)初期需要有大量的經(jīng)驗(yàn)積累,,如果經(jīng)驗(yàn)缺乏會(huì)造成學(xué)習(xí)準(zhǔn)確度不高,譬如在對(duì)SQL注入攻擊,、XSS攻擊的變種識(shí)別能力上,。另外,對(duì)經(jīng)驗(yàn)的置信區(qū)間和學(xué)習(xí)時(shí)間也有一定的要求,,同時(shí),,學(xué)習(xí)經(jīng)驗(yàn)過(guò)程中對(duì)系統(tǒng)的資源耗費(fèi)較大,因此檢測(cè)時(shí)延較長(zhǎng),,降低了用戶的Web體驗(yàn),。

    還有的產(chǎn)品會(huì)采用雙向檢測(cè)技術(shù),即把WAF產(chǎn)品作為Web客戶端和服務(wù)器端的中間人,,透明部署在Web服務(wù)器前,,同時(shí)監(jiān)控HTTP/HTTPS雙向流量,對(duì)網(wǎng)絡(luò)層,、WebServer/Application層雙向數(shù)據(jù)實(shí)施檢測(cè)和保護(hù),。其主要特點(diǎn)是建立雙向檢測(cè)安全模型,這類模型會(huì)以規(guī)則庫(kù)方式出現(xiàn),,如果攻擊在規(guī)則庫(kù)中匹配上,,識(shí)別和報(bào)警的準(zhǔn)確度很高,但最大缺點(diǎn)是當(dāng)攻擊特征出現(xiàn)變化的時(shí)候漏報(bào)較多,,對(duì)攻擊變種識(shí)別準(zhǔn)確率較低,,規(guī)則庫(kù)維護(hù)的成本高。

    隨著技術(shù)創(chuàng)新,,目前市場(chǎng)上出現(xiàn)一種基于算法的檢測(cè)新技術(shù),,很好地彌補(bǔ)了基于自學(xué)習(xí)模型檢測(cè)手段的資源耗用問(wèn)題,同時(shí)也彌補(bǔ)了基于創(chuàng)新的安全模型的變種檢測(cè)準(zhǔn)確率不高的問(wèn)題,,這類基于算法的技術(shù)是根據(jù)攻擊手法進(jìn)行分析,,而非攻擊代碼特征分析的方法形成一套計(jì)算方法,它會(huì)實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù),,在WAF設(shè)備內(nèi)部構(gòu)建“輕型虛擬機(jī)”,,模擬出攻擊行為以觀察其行為特征。因此,,可以準(zhǔn)確而全面的檢測(cè)和防御各類Web攻擊行為,。這類算法徹底解決攻擊行為的變種問(wèn)題。由這項(xiàng)技術(shù)做支撐,,WAF產(chǎn)品對(duì)Web攻擊的檢測(cè)精度顯著提升,,由于具有檢測(cè)準(zhǔn)確率高,、誤報(bào)少的特點(diǎn),對(duì)系統(tǒng)資源耗用的減少也是顯而易見(jiàn)的,。

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載。