突破Web安全防禦僵局 IPS異軍突起漸成主流

【賽迪網-IT技術報道】所謂Web業務，是指由企業發佈的完成其特別商務需求的在線應用服務，其它公司或應用軟體能夠通過Internet來訪問並使用這項應用服務。WEB業務採用基本的Internet協議「松」連接網絡上的服務節點，並將業務「過程」定義在WEB應用程序中，利用標準的存取協議（XML）為客戶端節點提供服務。

Web業務主要解決基於分佈在網絡上不同伺服器或終端之間的業務集成，是面對海量的外部信息資源和應用資源，提供一種中間的服務，使得所有用戶可以得到方便的信息共享和應用共享。

Web業務平台已經在電子商務、企業信息化中得到廣泛的應用，很多企業都將應用架設在Web平台上，並不斷完善和提高其功能和性能，為客戶提供更為方便、快捷的服務支持。

Web業務的迅速發展引起了黑客們的強烈關注，他們將注意力從以往對傳統網絡伺服器的攻擊逐步轉移到了對 Web 業務的攻擊上。但是，很多企業對比並沒有做好足夠的準備，也沒有給予足夠的重視。

根據 Gartner 的調查，信息安全攻擊有 75% 都是發生在 Web 應用層而非網絡層面上。同時，資料也顯示，2/3的 Web 站點都相當脆弱，易受攻擊。可以說，絕大多數企業將大量的投資花費在網絡和伺服器的安全上，沒有從真正意義上保證 Web 業務本身的安全，才給了黑客可乘之機。

企業Web業務現狀堪憂

企業為了保障其信息系統，通常會使用不同的技術來確保安全性。這些技術包括：訪問控制技術、防病毒技術、加密技術等等，但是即便有防病毒保護、防火牆和VPN，企業仍然不得不允許一部分的通訊經過防火牆，畢竟 Web 業務的目的是為用戶提供服務，保護措施可以關閉不必要暴露的端口，但是 Web 應用必須的 80 和 443 端口，是一定要開放的。

可以順利通過的這部分通訊，可能是善意的，也可能是惡意的，很難辨別。這裡需要注意的是，Web 應用是由軟體構成的，那麼，它一定會包含缺陷(bugs)，這些 bug 就可以被惡意的用戶利用，他們通過執行各種惡意的操作，或者偷竊、或者操控、或者破壞 Web 應用資料、甚至利用Web系統作為攻擊跳板，破壞企業的整個信息系統。

Web業務平台的不安全性主要是由Web平台的特點－即開放性所致，企業需要利用Web業務平台為用戶提供服務就必須接受這個特點。也就是說只要訪問可以順利通過企業的防火牆，Web 業務就毫無保留的呈現在用戶面前，因此，只有加強 Web 業務伺服器自身的安全，才是真正的 Web 業務安全解決之道。

常見的Web攻擊與威脅

根據世界上最知名的Web安全與資料庫安全研究組織OWASP提供的報告，目前對Web業務系統威脅最嚴重的兩種攻擊方式是SQL注入攻擊和跨站腳本攻擊。

SQL注入攻擊

SQL注入的攻擊原理是利用程序員在編寫代碼的時候，沒有對用戶輸入資料的合法性進行判斷，導致入侵者可以通過惡意SQL命令的執行，獲得資料讀取和修改的權限。攻擊者成功進行SQL注入後，會擁有整個系統的最高權限，可以修改頁面、資料，在網頁中添加惡意代碼，危害極大。

SQL注入攻擊具有如下特點：

變種極多，有經驗的攻擊者會手動調整攻擊參數，致使攻擊資料的變種是不可枚舉的，這導致傳統的特徵匹配檢測方法僅能識別相當少的攻擊，難以防範。

攻擊過程簡單，目前互聯網上流行眾多的SQL注入攻擊工具，攻擊者借助這些工具可很快對目標WEB系統實施攻擊和破壞。

危害大，由於WEB編程語言自身的缺陷以及具有安全編程能力的開發人員少之又少，大多數WEB業務系統均具有被SQL注入攻擊的可能。而攻擊者一旦攻擊成功，可以對控制整個WEB業務系統，對資料做任意的修改，破壞力達到及至。

跨站腳本（XSS）攻擊

不同於SQL注入以Web伺服器為目標的攻擊方式，跨站腳本攻擊則是將目標指向了Web業務系統所提供服務的客戶端。

跨站腳本攻擊是通過在網頁中加入惡意代碼，當訪問者瀏覽網頁時惡意代碼會被執行或者通過給管理員發信息的方式誘使管理員瀏覽，從而獲得管理員權限，控制整個網站。攻擊者利用跨站請求偽造能夠輕鬆地強迫用戶的瀏覽器發出非故意的HTTP請求，如詐騙性的電匯請求、修改口令和下載非法的內容等請求。

根據以往跨站腳本攻擊的安全事件及產生的後果來看，跨站腳本攻擊可導致的後果極其嚴重，影響面也十分之廣，列舉出一部分如下：

盜取各類用戶帳號，如機器登錄帳號、用戶網銀帳號、各類管理員帳號控制企業資料，包括讀取、篡改、添加、刪除企業敏感資料的能力盜竊企業重要的具有商業價值的資料非法轉賬強制發送電子郵件網站掛馬控制受害者機器向其它網站發起攻擊……

跨站腳本攻擊不僅威脅程度更大、威脅波及面更廣，同時攻擊過程也更加複雜多變，與SQL注入攻擊檢測類似，傳統基於攻擊特徵匹配的方法收效甚微。

鑒於上述對Web業務系統常見攻擊的分析，對Web業務系統的保護已經刻不容緩。安全學術界和產業界的研究機構和各大廠商也紛紛提出了識別和防禦的措施和技術方案，力求為Web業務系統提供深層的安全防禦。

目前解決Web安全的主流思路存在不足

針對Web威脅的迅猛發展，幻想硬體、操作系統、服務、應用程序提供商提供沒有漏洞的系統，顯然是不現實的，因此需要在網絡邊界和伺服器前增加安全控制設備，或者在伺服器系統上部署軟體來防禦各種攻擊。

針對SQL 注入攻擊和跨站腳本攻擊，在傳統的安全產業界，主要的識別和防禦方法有基於特徵的關鍵字匹配技術和基於異常檢測技術。基於特徵的關鍵字匹配技術是目前的主流方法，一些主流的IPS產品都採用這種檢測技術，但由於其技術局限性和機械性，使得這類IPS產品會形成漏報和誤報。

而應用於像Web－firewall這類產品中的基於異常檢測技術，能夠發現一些異常，但其缺陷也顯而易見，比如需要一定的學習期才能投入使用，而且一段業務模型發生變化，就需要重新學習，更為重要的是，異常未必就是攻擊。

在學術界，針對SQL注入，同樣有兩個重要的研究方向基於正常行為模型的AMNESIA和基於數字簽名技術的SQLRand 方法，而這些方法的主要弱點是需要能夠獲得應用程序的源代碼和修改源碼，同時需要改變原有業務系統的部署，方案複雜。

為了更好地應對愈演愈烈的Web安全威脅，彌補傳統的產業界和學術界解決方案的不足，安全廠商也紛紛加入到研究隊伍中來，啟明星辰作為國內最專業的網絡安全廠商，提出了使用入侵防禦產品（IPS）解決Web安全問題的新思路，採用了啟明星辰專利算法的天清入侵防禦系統在測試和實際應用中對SQL 注入和跨站腳本攻擊的報警率達到100%，並能實施精確阻斷，成為當前解決Web安全的理想解決方案。

啟明星辰天清入侵防禦系統Web防禦方案

傳統的產業界和學術界解決方案的不足，主要在於對SQL 注入攻擊和跨站腳本攻擊的誤報、漏報以及部署複雜的問題，可見解決Web業務安全的關鍵在於檢測和部署。

作為國內最專業的入侵研究安全廠商，啟明星辰在網絡入侵研究方面有深厚的技術積累，其天清入侵防禦產品，採用了融合基於原理和基於特徵的柔性化檢測機制來解決Web攻擊的防禦問題，獨創出基於攻擊手法的VXID專利檢測算法，為解決令人頭痛的Web業務安全問題，提供了切實有效的技術和解決方案。

VXID算法是一種將規則分析（建立虛擬機檢測規則的過程）和異常分析（符合Web攻擊模型的，就是WEB攻擊）相結合的技術。其核心內容是首先收集、分析各種可能的Web攻擊方法（包括SQL注入特徵和XSS攻擊特徵），並提取出相應的有針對性的攻擊機理。

之後為這些攻擊方法建立相應的檢測模型（VXID算法誤用檢測模型），根據這些虛擬機檢測來自URLCOOKIE POST-Form中的各參數域值是否符合SQL注入模型，檢測提交的腳本代碼是否符合XSS攻擊模型，如果符合則表示發生了Web攻擊。

天清入侵防禦產品的Web業務安全解決方案有如下特點：

和學術界的解決方案相比，天清入侵防禦系統將檢測和防禦功能都固化在硬體產品中，用戶僅需要簡單部署產品就可以全面防禦SQL注入、XSS攻擊等Web攻擊行為，不需要在業務系統的代碼上做任何修改。

和傳統的產業界解決方案相比，天清入侵防禦系統報警準確率高，避免了僅採用單純的特徵匹配方法的大量漏報和誤報。不會因為將關鍵字定義得過於嚴格而出現誤報，也不會因為僅能定義有限多個特徵而使得變種攻擊可以輕易繞過。

有了這兩個特點，我們可以看到，使用天清入侵防禦產品解決Web安全問題，是一種既便捷又有效的方法。

(