隨著電子商務、網上銀行、電子政務的盛行,Web服務器承載的業務價值越來越高,Web服務器所面臨的安全威脅也隨之增大,因此,針對Web應用層的防御成為必然趨勢, WAF(Web Application Firewall,Web應用防火牆)產品開始流行起來。WAF是指針對各網站Web服務器的應用級入侵的防御系統,它彌補了防火牆、IPS這類安全設備對Web應用攻擊的防護能力不足的問題。
根據國際權威機構WASC(Web Application Security Consortium )和OWASP(Open Web Application Security Project)的分析,國內外的信息安全廠商當前能防范的針對Web服務器的攻擊類型主要有SQL注入攻擊、XSS攻擊、HTTP Flood攻擊、爬蟲、CGI掃描、漏洞掃描、盜鏈防護、CSRF(Cross-Site Request Forgery)攻擊防護等。但事實上,能防范和能准確高效防范是兩個完全不同的概念。只有提供准確高效防范,才能保護最終用戶的投資,並提升對外交互體 驗。縱觀國內外的WAF產品,針對這些攻擊的檢測手段也各有特色。
有的國外廠商會采用建立一個動態建模程序的辦法加以解決,可以理解為“自學習模型”的檢測手段。這類學習模型可以對真實流量的學習、Web應用 的學習(比如URLs、cookies、參數/表元素、sessions等等)、Web服務的學習(包括XML URLs、SOAP動作、XML元素等),這類學習模型對Web業務應用的識別能力較強,但由於學習初期需要有大量的經驗積累,如果經驗缺乏會造成學習准 確度不高,譬如在對SQL注入攻擊、XSS攻擊的變種識別能力上。另外,對經驗的置信區間和學習時間也有一定的要求,同時,學習經驗過程中對系統的資源耗 費較大,因此檢測時延較長,降低了用戶的Web體驗。
還有的產品會采用雙向檢測技術,即把WAF產品作為Web客戶端和服務器端的中間人,透明部署在Web服務器前,同時監控HTTP/HTTPS 雙向流量,對網絡層、Web Server/Application層雙向數據實施檢測和保護。其主要特點是建立雙向檢測安全模型,這類模型會以規則庫方式出現,如果攻擊在規則庫中匹 配上,識別和報警的准確度很高,但最大缺點是當攻擊特征出現變化的時候漏報較多,對攻擊變種識別准確率較低,規則庫維護的成本高。
隨著技術創新,目前市場上出現一種基於算法的檢測新技術,很好地彌補了基於自學習模型檢測手段的資源耗用問題,同時也彌補了基於創新的安全模型 的變種檢測准確率不高的問題,這類基於算法的技術是根據攻擊手法進行分析,而非攻擊代碼特征分析的方法形成一套計算方法,它會實時分析網絡數據,在WAF 設備內部構建“輕型虛擬機”,模擬出攻擊行為以觀察其行為特征。因此,可以准確而全面的檢測和防御各類Web攻擊行為。這類算法徹底解決攻擊行為的變種問 題。由這項技術做支撐,WAF產品對Web攻擊的檢測精度顯著提升,由於具有檢測准確率高、誤報少的特點,對系統資源耗用的減少也是顯而易見的。