Web應用防火牆的檢測技術

　　隨著電子商務、網上銀行、電子政務的盛行，Web服務器承載的業務價值越來越高，Web服務器所面臨的安全威脅也隨之增大，因此，針對Web應用層的防御成為必然趨勢， WAF(Web Application Firewall，Web應用防火牆)產品開始流行起來。WAF是指針對各網站Web服務器的應用級入侵的防御系統，它彌補了防火牆、IPS這類安全設備對Web應用攻擊的防護能力不足的問題。

　　根據國際權威機構WASC(Web Application Security Consortium )和OWASP(Open Web Application Security Project)的分析，國內外的信息安全廠商當前能防范的針對Web服務器的攻擊類型主要有SQL注入攻擊、XSS攻擊、HTTP Flood攻擊、爬蟲、CGI掃描、漏洞掃描、盜鏈防護、CSRF(Cross-Site Request Forgery)攻擊防護等。但事實上，能防范和能准確高效防范是兩個完全不同的概念。只有提供准確高效防范，才能保護最終用戶的投資，並提升對外交互體 驗。縱觀國內外的WAF產品，針對這些攻擊的檢測手段也各有特色。

　　有的國外廠商會采用建立一個動態建模程序的辦法加以解決，可以理解為“自學習模型”的檢測手段。這類學習模型可以對真實流量的學習、Web應用 的學習(比如URLs、cookies、參數/表元素、sessions等等)、Web服務的學習(包括XML URLs、SOAP動作、XML元素等)，這類學習模型對Web業務應用的識別能力較強，但由於學習初期需要有大量的經驗積累，如果經驗缺乏會造成學習准 確度不高，譬如在對SQL注入攻擊、XSS攻擊的變種識別能力上。另外，對經驗的置信區間和學習時間也有一定的要求，同時，學習經驗過程中對系統的資源耗 費較大，因此檢測時延較長，降低了用戶的Web體驗。

　　還有的產品會采用雙向檢測技術，即把WAF產品作為Web客戶端和服務器端的中間人，透明部署在Web服務器前，同時監控HTTP/HTTPS 雙向流量，對網絡層、Web Server/Application層雙向數據實施檢測和保護。其主要特點是建立雙向檢測安全模型，這類模型會以規則庫方式出現，如果攻擊在規則庫中匹 配上，識別和報警的准確度很高，但最大缺點是當攻擊特征出現變化的時候漏報較多，對攻擊變種識別准確率較低，規則庫維護的成本高。

　　隨著技術創新，目前市場上出現一種基於算法的檢測新技術，很好地彌補了基於自學習模型檢測手段的資源耗用問題，同時也彌補了基於創新的安全模型 的變種檢測准確率不高的問題，這類基於算法的技術是根據攻擊手法進行分析，而非攻擊代碼特征分析的方法形成一套計算方法，它會實時分析網絡數據，在WAF 設備內部構建“輕型虛擬機”，模擬出攻擊行為以觀察其行為特征。因此，可以准確而全面的檢測和防御各類Web攻擊行為。這類算法徹底解決攻擊行為的變種問 題。由這項技術做支撐，WAF產品對Web攻擊的檢測精度顯著提升，由於具有檢測准確率高、誤報少的特點，對系統資源耗用的減少也是顯而易見的。