现实中的Web服务,可能潜伏各种Bug漏洞,即便积极的定期进行Web扫描,也不保证万无一失,基于这种原因,应运而生了Web防火墙WAF,最常见的是在基于代理模式的Web网关系统,加入威胁检测功能。
代理模式,原理是将直接发给Web服务器的流量,先发给另一台Web服务器,由这台Web服务器先判断用户请求中的HTTP协议数据,是否存在可疑的危险输入数据,如果发现了恶意攻击行为,可以进行拒绝。如果是正常请求,确认后,将用户的Web请求转发给业务服务器。
代理的服务器先于业务服务器,取得用户的请求数据,可以进行基于简单的正则匹配,通过创建威胁字符正则规则,发现用户请求数据的问题。为了检索性能考虑,使用语义的威胁分析算法。基于大量的正常请求URI样本、异常请求URI样本,用神经网络算法建模,通过模型算法发现威胁。
总体来说,以上的防火墙威胁算法,还是基于“规则”描述检测HTTP协议数据,和建立在数据样本上的数据建模。基于正则,正则要全,基于语义分析,原语要够,基于大数据建模、数据样本要全,算法要优。但是这些方法,未覆盖所有威胁攻击用例,一旦遗漏,会出现误报、漏报,被绕过。
基于OpenResty代理模式,快速创建的WAF防火墙,最简单的安全规则构建方式是:采用正则表达式,而正则表达式做到大而全,要付出很大的性能代价,对于Web业务服务的响应时间,有延缓和拖慢的作用,并且一旦正则表达式不能覆盖所有的漏洞,防火墙的防护效果会受到影响。
基于语义分析的分析算法,本质还是基于规则, 但因为语义分析算法上有优势,要比正则的性能好多,还可以避免正则风暴这种情况。而语义分析算法也同样存在误报。
大数据建模需要一个适合时宜的算法,例如LSTM算法。需要足够多的正常请求URI样本和异常请求URI的样本数据。 算法和样本的质量,影响威胁算法分析有效性。
WAF防火墙的威胁分析手段,无论是那种,越是大而全,就同比需要消耗更多机器性能开销。随着新生Web漏洞出现,以上这些检测方法都需要适应新的漏洞的特征的变化,有时候甚至,WAF系统软件本身的软件漏洞,一样可用于绕过WAF。基于代理模式的Web网关,作为7层网络的安全威胁检测手段、在防护业务安全、API安全、网关认证、限速、限流等多方面发挥作用。
306
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
