隨著電子商務,、網上銀行、電子政務的盛行,,Web服務器承載的業(yè)務價值越來越高,,Web服務器所面臨的安全威脅也隨之增大,因此,,針對Web應用層的防御成為必然趨勢,,WAF(WebApplicationFirewall,Web應用防火墻)產品開始流行起來,。WAF是指針對各網站Web服務器的應用級入侵的防御系統(tǒng),,它彌補了防火墻、IPS這類安全設備對Web應用攻擊的防護能力不足的問題,。
根據國際權威機構WASC(WebApplicationSecurityConsortium?)和OWASP(Open Web Application Security Project)的分析,,國內外的信息安全廠商當前能防范的針對Web服務器的攻擊類型主要有SQL注入攻擊、XSS攻擊,、HTTP Flood攻擊,、爬蟲、CGI掃描,、漏洞掃描、盜鏈防護,、CSRF(Cross-Site Request Forgery)攻擊防護等,。但事實上,能防范和能準確高效防范是兩個完全不同的概念,。只有提供準確高效防范,,才能保護最終用戶的投資,并提升對外交互體驗,??v觀國內外的WAF產品,針對這些攻擊的檢測手段也各有特色,。
有的國外廠商會采用建立一個動態(tài)建模程序的辦法加以解決,,可以理解為“自學習模型”的檢測手段。這類學習模型可以對真實流量的學習,、Web應用的學習(比如URLs,、cookies、參數/表元素,、sessions等等),、Web服務的學習(包括XMLURLs,、SOAP動作、XML元素等),,這類學習模型對Web業(yè)務應用的識別能力較強,,但由于學習初期需要有大量的經驗積累,如果經驗缺乏會造成學習準確度不高,,譬如在對SQL注入攻擊,、XSS攻擊的變種識別能力上。另外,,對經驗的置信區(qū)間和學習時間也有一定的要求,,同時,學習經驗過程中對系統(tǒng)的資源耗費較大,,因此檢測時延較長,,降低了用戶的Web體驗。
還有的產品會采用雙向檢測技術,,即把WAF產品作為Web客戶端和服務器端的中間人,,透明部署在Web服務器前,同時監(jiān)控HTTP/HTTPS雙向流量,,對網絡層,、WebServer/Application層雙向數據實施檢測和保護。其主要特點是建立雙向檢測安全模型,,這類模型會以規(guī)則庫方式出現,,如果攻擊在規(guī)則庫中匹配上,識別和報警的準確度很高,,但最大缺點是當攻擊特征出現變化的時候漏報較多,,對攻擊變種識別準確率較低,規(guī)則庫維護的成本高,。
隨著技術創(chuàng)新,,目前市場上出現一種基于算法的檢測新技術,很好地彌補了基于自學習模型檢測手段的資源耗用問題,,同時也彌補了基于創(chuàng)新的安全模型的變種檢測準確率不高的問題,,這類基于算法的技術是根據攻擊手法進行分析,而非攻擊代碼特征分析的方法形成一套計算方法,,它會實時分析網絡數據,,在WAF設備內部構建“輕型虛擬機”,模擬出攻擊行為以觀察其行為特征,。因此,,可以準確而全面的檢測和防御各類Web攻擊行為。這類算法徹底解決攻擊行為的變種問題,。由這項技術做支撐,,WAF產品對Web攻擊的檢測精度顯著提升,,由于具有檢測準確率高、誤報少的特點,,對系統(tǒng)資源耗用的減少也是顯而易見的,。