物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)

淺談WAF市場(chǎng)中常見的檢測(cè)技術(shù)

作者:prnews
日期:2012-03-27 15:02:08
摘要:淺談WAF市場(chǎng)中常見的檢測(cè)技術(shù)

北京 2012-03-27(中國(guó)商業(yè)電訊)--隨著電子商務(wù)、網(wǎng)上銀行、電子政務(wù)的盛行,Web服務(wù)器承載的業(yè)務(wù)價(jià)值越來越高,Web服務(wù)器所面臨的安全威脅也隨之增大,因此,針對(duì)Web應(yīng)用層的防御成為必然趨勢(shì), WAF(Web Application Firewall,Web應(yīng)用防火墻)產(chǎn)品開始流行起來。WAF是指針對(duì)各網(wǎng)站W(wǎng)eb服務(wù)器的應(yīng)用級(jí)入侵的防御系統(tǒng),它彌補(bǔ)了防火墻、IPS這類安全設(shè)備對(duì)Web應(yīng)用攻擊的防護(hù)能力不足的問題。

根據(jù)國(guó)際權(quán)威機(jī)構(gòu)WASC(Web Application Security Consortium )和OWASP(Open Web Application Security Project)的分析,國(guó)內(nèi)外的信息安全廠商當(dāng)前能防范的針對(duì)Web服務(wù)器的攻擊類型主要有SQL注入攻擊、XSS攻擊、HTTP Flood攻擊、爬蟲、CGI掃描、漏洞掃描、盜鏈防護(hù)、CSRF(Cross-Site Request Forgery)攻擊防護(hù)等。但事實(shí)上,能防范和能準(zhǔn)確高效防范是兩個(gè)完全不同的概念。只有提供準(zhǔn)確高效防范,才能保護(hù)最終用戶的投資,并提升對(duì)外交互體驗(yàn)。縱觀國(guó)內(nèi)外的WAF產(chǎn)品,針對(duì)這些攻擊的檢測(cè)手段也各有特色。

有的國(guó)外廠商會(huì)采用建立一個(gè)動(dòng)態(tài)建模程序的辦法加以解決,可以理解為“自學(xué)習(xí)模型”的檢測(cè)手段。這類學(xué)習(xí)模型可以對(duì)真實(shí)流量的學(xué)習(xí)、Web應(yīng)用的學(xué)習(xí)(比如URLs、cookies、參數(shù)/表元素、sessions等等)、Web服務(wù)的學(xué)習(xí)(包括XML URLs、SOAP動(dòng)作、XML元素等),這類學(xué)習(xí)模型對(duì)Web業(yè)務(wù)應(yīng)用的識(shí)別能力較強(qiáng),但由于學(xué)習(xí)初期需要有大量的經(jīng)驗(yàn)積累,如果經(jīng)驗(yàn)缺乏會(huì)造成學(xué)習(xí)準(zhǔn)確度不高,譬如在對(duì)SQL注入攻擊、XSS攻擊的變種識(shí)別能力上。另外,對(duì)經(jīng)驗(yàn)的置信區(qū)間和學(xué)習(xí)時(shí)間也有一定的要求,同時(shí),學(xué)習(xí)經(jīng)驗(yàn)過程中對(duì)系統(tǒng)的資源耗費(fèi)較大,因此檢測(cè)時(shí)延較長(zhǎng),降低了用戶的Web體驗(yàn)。

還有的產(chǎn)品會(huì)采用雙向檢測(cè)技術(shù),即把WAF產(chǎn)品作為Web客戶端和服務(wù)器端的中間人,透明部署在Web服務(wù)器前,同時(shí)監(jiān)控HTTP/HTTPS雙向流量,對(duì)網(wǎng)絡(luò)層、Web Server/Application層雙向數(shù)據(jù)實(shí)施檢測(cè)和保護(hù)。其主要特點(diǎn)是建立雙向檢測(cè)安全模型,這類模型會(huì)以規(guī)則庫方式出現(xiàn),如果攻擊在規(guī)則庫中匹配上,識(shí)別和報(bào)警的準(zhǔn)確度很高,但最大缺點(diǎn)是當(dāng)攻擊特征出現(xiàn)變化的時(shí)候漏報(bào)較多,對(duì)攻擊變種識(shí)別準(zhǔn)確率較低,規(guī)則庫維護(hù)的成本高。

隨著技術(shù)創(chuàng)新,目前市場(chǎng)上出現(xiàn)一種基于算法的檢測(cè)新技術(shù),很好地彌補(bǔ)了基于自學(xué)習(xí)模型檢測(cè)手段的資源耗用問題,同時(shí)也彌補(bǔ)了基于創(chuàng)新的安全模型的變種檢測(cè)準(zhǔn)確率不高的問題,這類基于算法的技術(shù)是根據(jù)攻擊手法進(jìn)行分析,而非攻擊代碼特征分析的方法形成一套計(jì)算方法,它會(huì)實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù),在WAF設(shè)備內(nèi)部構(gòu)建“輕型虛擬機(jī)”,模擬出攻擊行為以觀察其行為特征。因此,可以準(zhǔn)確而全面的檢測(cè)和防御各類Web攻擊行為。這類算法徹底解決攻擊行為的變種問題。由這項(xiàng)技術(shù)做支撐,WAF產(chǎn)品對(duì)Web攻擊的檢測(cè)精度顯著提升,由于具有檢測(cè)準(zhǔn)確率高、誤報(bào)少的特點(diǎn),對(duì)系統(tǒng)資源耗用的減少也是顯而易見的。(啟明星辰 呂明)
 

人物訪談