【51CTO.com 綜合消息】

1.Web安全防御思想分析

如何保護(hù)企業(yè)網(wǎng)站免于遭受攻擊，是令很多CIO們頭疼不已的問(wèn)題。

一般來(lái)說(shuō)，Web安全的防范措施不外乎兩種：未被禁止的就是允許的，未被允許的就是禁止的。

先來(lái)看第一種，“未被禁止的就是允許的”。

這一思想可以解釋為：凡是與記錄在案的攻擊行為相符合的，就認(rèn)為是攻擊行為，凡是不符合已知攻擊行為特征的，就是正常行為，這稱(chēng)之為模式匹配技術(shù)。

早期的入侵檢測(cè)技術(shù)就是這一思想的典型代表。通過(guò)定義攻擊事件的數(shù)據(jù)特征，來(lái)區(qū)分網(wǎng)絡(luò)中的各種數(shù)據(jù)流。這種方法的準(zhǔn)確率較高，但如果攻擊者采用最新的，尚未添加到檢測(cè)中的攻擊方法，容易有漏報(bào)。

而且早期的模式匹配技術(shù)沒(méi)有通配概念，變形攻擊很容易躲過(guò)入侵檢測(cè)的檢查。隨著入侵檢測(cè)技術(shù)的發(fā)展，這已經(jīng)是非常困難的事了。

第二種，“未被允許的就是禁止的”。

類(lèi)似于防火墻等訪問(wèn)控制設(shè)備，設(shè)定一些允許規(guī)則，不包括在規(guī)則內(nèi)的，就將被禁止。這一類(lèi)的Web安全產(chǎn)品包括application firewall和靜態(tài)網(wǎng)頁(yè)防篡改系統(tǒng)。

Application firewall，之所以叫firewall，就是因?yàn)槠渲黧w設(shè)計(jì)思想是模仿防火墻，所不同的是，application firewall不僅關(guān)心4層以下的數(shù)據(jù)，還需要關(guān)注應(yīng)用層的數(shù)據(jù)。

而在“未被允許的就是禁止的”這一思想指導(dǎo)下，application firewall多采用構(gòu)建異常模型方式：通過(guò)學(xué)習(xí)“干凈”的網(wǎng)絡(luò)數(shù)據(jù)，視情況需幾天或幾星期，一一列舉出所有應(yīng)當(dāng)被允許的行為，當(dāng)模型構(gòu)建完成，所有被允許的行為也就定義下來(lái)了，在工作過(guò)程中，一旦發(fā)現(xiàn)某條數(shù)據(jù)行為并未包括在模型中，就予以響應(yīng)（阻斷、報(bào)警）。

這種方法對(duì)未知攻擊和新漏洞攻擊有很好的防御能力，但弱點(diǎn)也同樣明顯：學(xué)習(xí)數(shù)據(jù)必須是“干凈”的，否則攻擊行為將被認(rèn)為是正常行為而給予放行，產(chǎn)生漏報(bào)。而且業(yè)務(wù)結(jié)構(gòu)發(fā)生變化后，比如更換服務(wù)器，添加新的在線服務(wù)業(yè)務(wù)等，需要重新學(xué)習(xí)，否則容易誤報(bào)。

靜態(tài)網(wǎng)頁(yè)防篡改系統(tǒng)，將“未被允許的就是禁止的”貫徹得更死板一些：將所有被保護(hù)的網(wǎng)頁(yè)做備份，除了規(guī)定程序/地址外，其它任何企圖更改頁(yè)面的行為都是被禁止的，即使駭客攻擊后更改成功，也可通過(guò)備份機(jī)制進(jìn)行自動(dòng)還原。

但隨著動(dòng)態(tài)頁(yè)面技術(shù)的進(jìn)步，Web網(wǎng)站已經(jīng)很少有靜態(tài)頁(yè)面了，而且這種防篡改系統(tǒng)僅保障了網(wǎng)頁(yè)內(nèi)容不被修改，無(wú)法保障其它私隱信息（如用戶數(shù)據(jù)）的安全。

這兩種防御思路各有優(yōu)劣，單一思路指導(dǎo)下的Web防御產(chǎn)品都是不完善的，要實(shí)現(xiàn)全面的Web安全防御，需要融合兩種思路的優(yōu)勢(shì)。我們欣喜地看到，相關(guān)廠商已經(jīng)在這些方面進(jìn)行努力。

2.融合兩種思路的Web安全

入侵檢測(cè)技術(shù)基礎(chǔ)上的發(fā)展的Web安全

先來(lái)看入侵檢測(cè)技術(shù)方向。

自本世紀(jì)初起，入侵檢測(cè)技術(shù)就已不限于單純的模式匹配（誤用檢測(cè)），而是包含了包括統(tǒng)計(jì)異常檢測(cè)、基于模式預(yù)測(cè)異常檢測(cè)、基于數(shù)據(jù)挖掘異常檢測(cè)、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)以及基于特征選擇異常檢測(cè)等在內(nèi)的異常檢測(cè)機(jī)制。

其特點(diǎn)是并不以單純的數(shù)據(jù)特征作為匹配對(duì)象來(lái)源，而是分析數(shù)據(jù)的行為特征。在入侵檢測(cè)技術(shù)基礎(chǔ)上發(fā)展起來(lái)的入侵防御產(chǎn)品，已然可以看到融合兩種防御思路的跡象。

正如前面所說(shuō)的，傳統(tǒng)的“未被禁止的就是允許的”思路，容易形成漏報(bào)，攻擊者進(jìn)行攻擊變形或攻擊編碼，就有可能繞過(guò)檢測(cè)機(jī)制。

針對(duì)這一情況，入侵檢測(cè)技術(shù)的應(yīng)對(duì)是會(huì)話重組和擬態(tài)還原技術(shù)，并不是針對(duì)某一個(gè)數(shù)據(jù)包進(jìn)行分析，而是將整個(gè)攻擊會(huì)話還原，這樣，如插入無(wú)意義字符、UNICODE編碼、ASIC編碼等躲避技術(shù)就無(wú)所遁形了。

而針對(duì)新攻擊無(wú)法發(fā)現(xiàn)的弱點(diǎn)，一般來(lái)說(shuō)有兩種解決思路，對(duì)于那些有攻擊機(jī)理體系的新攻擊，如SQL注入，XSS攻擊，利用分析攻擊機(jī)理，提煉攻擊行為特征，而不是數(shù)據(jù)特征方式，籍此入侵防御產(chǎn)品可以實(shí)現(xiàn)對(duì)新發(fā)現(xiàn)漏洞的實(shí)時(shí)防御。

另外一種情況就是相對(duì)獨(dú)立的新漏洞，這就是考驗(yàn)安全廠商漏洞發(fā)掘能力、應(yīng)急能力的關(guān)鍵點(diǎn)：如果漏洞是安全廠商自行發(fā)現(xiàn)的，那么防御不成為問(wèn)題；

如果漏洞是其它途徑發(fā)布的，就需要安全廠商有足夠多的信息來(lái)源，可以第一時(shí)間獲得漏洞信息，并且有一支強(qiáng)大的事件分析隊(duì)伍，可以在獲得漏洞信息后，盡快地發(fā)布相應(yīng)防御補(bǔ)丁。

Application firewall基礎(chǔ)上發(fā)展的Web安全

再來(lái)看Application firewall方向目前的發(fā)展（網(wǎng)頁(yè)防篡改方向應(yīng)用較少，本文就不涉及了）。

Application firewall的“未被允許的就是禁止的”思路，使得Application firewall不需要太關(guān)心具體的攻擊行為和漏洞信息，這也和Application firewall多為審計(jì)廠商和負(fù)載均衡廠商出品有關(guān)系：在入侵識(shí)別技術(shù)上并不占優(yōu)勢(shì)，所以并沒(méi)有從入侵分析上下手，而是走了另外一條路。

但正如上面所說(shuō)的，Application firewall的防御完備度取決于數(shù)據(jù)學(xué)習(xí)階段，如果某漏洞的攻擊方法就是正常的訪問(wèn)，但攜帶某種特定規(guī)則的數(shù)據(jù)部分，Application firewall將無(wú)法發(fā)現(xiàn)這種攻擊行為。

所以有的Application firewall廠商也需要針對(duì)某些新型漏洞提供攻擊數(shù)據(jù)特征來(lái)進(jìn)行防御。在這一點(diǎn)上，考驗(yàn)的主要就是廠商漏洞發(fā)掘、應(yīng)急響應(yīng)的能力了。

無(wú)論如何，在入侵檢測(cè)基礎(chǔ)上發(fā)展也好，在Application firewall基礎(chǔ)上發(fā)展也好，最后大家都將走到同一條路上來(lái)，那就是結(jié)合特征匹配與異常模型的防御，突破單一防御思路的新型Web威脅防御。只有將這兩種技術(shù)思路融合起來(lái)，才能為用戶提供真正解決Web威脅的全面解決方案。