浅析WAF市场中常见的检测技术

安全 应用安全
随着电子商务、网上银行、电子政务的盛行,Web服务器承载的业务价值越来越高,Web服务器所面临的安全威胁也随之增大,因此,针对Web应用层的防御成为必然趋势, WAF(Web Application Firewall,Web应用防火墙)产品开始流行起来。

随着电子商务、网上银行、电子政务的盛行,Web服务器承载的业务价值越来越高,Web服务器所面临的安全威胁也随之增大,因此,针对Web应用层的防御成为必然趋势, WAF(Web Application Firewall,Web应用防火墙)产品开始流行起来。WAF是指针对各网站Web服务器的应用级入侵的防御系统,它弥补了防火墙、IPS这类安全设备对Web应用攻击的防护能力不足的问题。

根据国际权威机构WASC(Web Application Security Consortium )和OWASP(Open Web Application Security Project)的分析,国内外的信息安全厂商当前能防范的针对Web服务器的攻击类型主要有SQL注入攻击、XSS攻击、HTTP Flood攻击、爬虫、CGI扫描、漏洞扫描、盗链防护、CSRF(Cross-Site Request Forgery)攻击防护等。但事实上,能防范和能准确高效防范是两个完全不同的概念。只有提供准确高效防范,才能保护最终用户的投资,并提升对外交互体验。纵观国内外的WAF产品,针对这些攻击的检测手段也各有特色。

有的国外厂商会采用建立一个动态建模程序的办法加以解决,可以理解为“自学习模型”的检测手段。这类学习模型可以对真实流量的学习、Web应用的学习(比如URLs、cookies、参数/表元素、sessions等等)、Web服务的学习(包括XML URLs、SOAP动作、XML元素等),这类学习模型对Web业务应用的识别能力较强,但由于学习初期需要有大量的经验积累,如果经验缺乏会造成学习准确度不高,譬如在对SQL注入攻击、XSS攻击的变种识别能力上。另外,对经验的置信区间和学习时间也有一定的要求,同时,学习经验过程中对系统的资源耗费较大,因此检测时延较长,降低了用户的Web体验。

还有的产品会采用双向检测技术,即把WAF产品作为Web客户端和服务器端的中间人,透明部署在Web服务器前,同时监控HTTP/HTTPS双向流量,对网络层、Web Server/Application层双向数据实施检测和保护。其主要特点是建立双向检测安全模型,这类模型会以规则库方式出现,如果攻击在规则库中匹配上,识别和报警的准确度很高,但最大缺点是当攻击特征出现变化的时候漏报较多,对攻击变种识别准确率较低,规则库维护的成本高。

随着技术创新,目前市场上出现一种基于算法的检测新技术,很好地弥补了基于自学习模型检测手段的资源耗用问题,同时也弥补了基于创新的安全模型的变种检测准确率不高的问题,这类基于算法的技术是根据攻击手法进行分析,而非攻击代码特征分析的方法形成一套计算方法,它会实时分析网络数据,在WAF设备内部构建“轻型虚拟机”,模拟出攻击行为以观察其行为特征。因此,可以准确而全面的检测和防御各类Web攻击行为。这类算法彻底解决攻击行为的变种问题。由这项技术做支撑,WAF产品对Web攻击的检测精度显著提升,由于具有检测准确率高、误报少的特点,对系统资源耗用的减少也是显而易见的。

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2010-04-14 15:44:10

Unix操作系统

2011-06-13 17:44:46

2023-12-25 08:25:42

AndroidHook应用程序

2009-10-20 09:59:44

Visual Stud

2019-05-17 09:20:01

2022-11-24 15:02:05

APP

2011-08-12 11:36:07

2016-11-23 17:23:39

物联网RFID射频识别技术传感器技术

2011-06-10 15:00:02

Qt VC

2013-01-11 16:23:29

2014-12-23 09:47:34

2009-06-30 16:03:00

异常Java

2020-08-13 06:43:41

React前端开发

2024-01-08 17:36:09

2009-03-10 09:46:00

ADSL协议

2019-06-21 10:13:26

JavaScript错误开发

2020-07-10 17:40:01

人工智能网络技术

2011-12-13 15:45:50

2017-07-19 11:11:40

CTS漏洞检测原理浅析
点赞
收藏

51CTO技术栈公众号