《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 淺談WAF市場中常見的檢測技術(shù)
淺談WAF市場中常見的檢測技術(shù)
CCTIME
CCTIME
摘要: 啟明星辰,WAF,Web應(yīng)用防火墻,算法,Web服務(wù)器,隨著電子商務(wù)、網(wǎng)上銀行、電子政務(wù)的盛行,Web服務(wù)器承載的業(yè)務(wù)價值越來越高,Web服務(wù)器所面臨的安全威脅也隨之增大,因此,針對Web應(yīng)用層的防
Abstract:
Key words :

    隨著電子商務(wù)、網(wǎng)上銀行、電子政務(wù)的盛行,Web服務(wù)器承載的業(yè)務(wù)價值越來越高,Web服務(wù)器所面臨的安全威脅也隨之增大,因此,針對Web應(yīng)用層的防御成為必然趨勢,WAF(WebApplicationFirewall,Web應(yīng)用防火墻)產(chǎn)品開始流行起來。WAF是指針對各網(wǎng)站W(wǎng)eb服務(wù)器的應(yīng)用級入侵的防御系統(tǒng),它彌補了防火墻、IPS這類安全設(shè)備對Web應(yīng)用攻擊的防護能力不足的問題。

    根據(jù)國際權(quán)威機構(gòu)WASC(WebApplicationSecurityConsortium?)和OWASP(Open Web Application Security Project)的分析,國內(nèi)外的信息安全廠商當(dāng)前能防范的針對Web服務(wù)器的攻擊類型主要有SQL注入攻擊、XSS攻擊、HTTP Flood攻擊、爬蟲、CGI掃描、漏洞掃描、盜鏈防護、CSRF(Cross-Site Request Forgery)攻擊防護等。但事實上,能防范和能準(zhǔn)確高效防范是兩個完全不同的概念。只有提供準(zhǔn)確高效防范,才能保護最終用戶的投資,并提升對外交互體驗??v觀國內(nèi)外的WAF產(chǎn)品,針對這些攻擊的檢測手段也各有特色。

    有的國外廠商會采用建立一個動態(tài)建模程序的辦法加以解決,可以理解為“自學(xué)習(xí)模型”的檢測手段。這類學(xué)習(xí)模型可以對真實流量的學(xué)習(xí)、Web應(yīng)用的學(xué)習(xí)(比如URLs、cookies、參數(shù)/表元素、sessions等等)、Web服務(wù)的學(xué)習(xí)(包括XMLURLs、SOAP動作、XML元素等),這類學(xué)習(xí)模型對Web業(yè)務(wù)應(yīng)用的識別能力較強,但由于學(xué)習(xí)初期需要有大量的經(jīng)驗積累,如果經(jīng)驗缺乏會造成學(xué)習(xí)準(zhǔn)確度不高,譬如在對SQL注入攻擊、XSS攻擊的變種識別能力上。另外,對經(jīng)驗的置信區(qū)間和學(xué)習(xí)時間也有一定的要求,同時,學(xué)習(xí)經(jīng)驗過程中對系統(tǒng)的資源耗費較大,因此檢測時延較長,降低了用戶的Web體驗。

    還有的產(chǎn)品會采用雙向檢測技術(shù),即把WAF產(chǎn)品作為Web客戶端和服務(wù)器端的中間人,透明部署在Web服務(wù)器前,同時監(jiān)控HTTP/HTTPS雙向流量,對網(wǎng)絡(luò)層、WebServer/Application層雙向數(shù)據(jù)實施檢測和保護。其主要特點是建立雙向檢測安全模型,這類模型會以規(guī)則庫方式出現(xiàn),如果攻擊在規(guī)則庫中匹配上,識別和報警的準(zhǔn)確度很高,但最大缺點是當(dāng)攻擊特征出現(xiàn)變化的時候漏報較多,對攻擊變種識別準(zhǔn)確率較低,規(guī)則庫維護的成本高。

    隨著技術(shù)創(chuàng)新,目前市場上出現(xiàn)一種基于算法的檢測新技術(shù),很好地彌補了基于自學(xué)習(xí)模型檢測手段的資源耗用問題,同時也彌補了基于創(chuàng)新的安全模型的變種檢測準(zhǔn)確率不高的問題,這類基于算法的技術(shù)是根據(jù)攻擊手法進行分析,而非攻擊代碼特征分析的方法形成一套計算方法,它會實時分析網(wǎng)絡(luò)數(shù)據(jù),在WAF設(shè)備內(nèi)部構(gòu)建“輕型虛擬機”,模擬出攻擊行為以觀察其行為特征。因此,可以準(zhǔn)確而全面的檢測和防御各類Web攻擊行為。這類算法徹底解決攻擊行為的變種問題。由這項技術(shù)做支撐,WAF產(chǎn)品對Web攻擊的檢測精度顯著提升,由于具有檢測準(zhǔn)確率高、誤報少的特點,對系統(tǒng)資源耗用的減少也是顯而易見的。

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。