技战法二、动态防御武器高效应对自动化网络攻击

动态防御武器高效应对自动化网络攻击

1. 防护挑战

随着公安部多年演习工作的开展，攻击方的攻击武器越来越专业，大量自动化攻击工具应运而生，利用各种新型攻击手段和工具提升权限绕过传统的安全防护。针对防护薄弱的应用系统，采用各种变型和高级的攻击手段，使防护增加难度。0day漏洞的大量使用，使防御方无法察觉此类攻击，无法发现明显攻击特征，传统安全难以防护。

1. 防护目标

针对以上问题，考虑加强网站自动化攻击防御能力，部署了具有主动防御能力的动态安全防御技术对网站进行接入保护。

在攻防演练中，利用“动态技术”，实现攻击的主动防御，快速及时应对演练中的各种攻击手段的变型，识别隐蔽的攻击行为：

1. 隐藏漏洞和攻击入口：不依赖特征规则，在攻方演练之初，识别各种商用和定制化的漏洞探测，最大范围和最大程度不给攻击者机会。
2. 遏制0day杀手锏：不依赖补丁和特征库的更新，高效准确遏制住演练期间的大规模零日漏洞的探测和攻击，挫败攻方的杀手锏。
3. 精准还击多源攻击：针对演练中攻方采用大量的IP资源，多源低频的攻击，绕过传统防护系统的识别，通过动态技术及设备指纹关联追踪，精准捕捉和识别。

1. 防护思路

1. 防护策略：

1. 在攻击之初，攻方工具先行阶段，高效识别规模化和多种变型的自动化攻击，隐藏攻击入口。
2. 演练的对抗过程中，精准识别传统防护手段薄弱的多源低频攻击、拟人化攻击、业务逻辑漏洞攻击、0day攻击
3. 动态应用安全防护系统，作为Web应用安全防护的最后一道防线，与现网安全防护体系相结合，构成更全面、更主动的安全防御体系，提升整体防护实力。

1. 动态技术思路：

动态防御技术，通过对网页底层代码的持续动态变化，增加服务器行为的“不可预测性”，迫使攻击者不断重新适应并对动态转移的薄弱点作出反应，从而有效防止攻击者使用自动僵尸程序，让廉价的攻击无法瞄准目标。

1. 防护技法

4.1动态防护核心技术

与传统安全理念不断匹配攻击特征的思路不同。将视角落在被保护网站本身，以动态变化自身，起到对攻击者隐藏自身，破坏攻击者非法访问行为的机制。无需依赖“已知”特征，在攻击“进行时”进行“事中”保护，这种变化的动态特性，使得攻击者难以逆向和应对，在攻防格局中占据了主动的地位。

P动态技术主动识别工具行为--动态令牌+动态验证

动态安全防护技术会为对当前访问页面内的合法请求分配一次性“通行证识别码”，也就是动态令牌（Token）。当客户端的浏览器请求到达动态防护系统，系统首先校验当前令牌的合法性，如果检测到令牌不合法，则对请求进行拦截，从而防止违规访问等恶意行为。

通过对客户端与服务器的动态双向验证，防止恶意终端访问，且每次均随机选取检测的项目与数量，以增加应用的不可预测性，大幅提高攻击成本。动态验证的过程中，会根据威胁态势生成不同的检测代码，以增加应用的不可预测性，提升攻击者或自动化工具假冒合法客户端的难度。

P动态技术隐藏攻击入口--动态封装+动态混淆

动态安全防护技术对网站返回内容的底层代码进行封装，将可能被攻击的敏感位置转化成攻击者难以读懂的内容，并且每次封装的算法互不相同，从而隐藏了攻击的入口，使攻击者无法预测服务器的行为。

通过对网页上敏感的传输数据进行动态混淆，使用动态算法对终端用户请求的内容进行保护，有效提升中间人攻击的难度，防止伪造请求、恶意代码注入、窃听或篡改交易内容等攻击行为。

4.2动态技术的特点

动态安全防护技术具有以下特点：

1、不依赖签名识别攻击，而是通过自身的动态变化识别和阻挡自动化攻击，减少防护空窗及特征绕过的问题。

2、逆向难度大：前端信息采集动态化，如果攻击者想到获知本次采集的内容，则需要对采集程序进行人工逆向，且逆向结果只对当前这次采集有效，下一次采集内容会再次发生变化，造成攻击成本巨大，且大幅拖慢攻击速度。

3、准确定位攻击来源：通过终端指纹定位攻击来源，即使攻击者不断通过跳板切换来源地址，仍能有效识别；单源高频或多频低源的自动化攻击，均能有效阻挡。

4、由人防转为技防：动态技术不采用黑名单，频率限制、阈值、攻击防护策略规则等手段，最大限度减轻安全防护复杂度与工作量，提升工作效率。

1. 防护成效与亮点

在本次演习中通过动态防护系统拦截到大量安全漏洞扫描工具、攻击脚本、爆破工具、批量漏洞利用等工具发起的攻击。尤其是在演习开始的第一周内，工具类的扫描、嗅探、暴力破解、高级工具的请求占比较大，通过动态防护系统大幅缓解了压力。

5.1防护概览

在2020.09.11~2020.09.24（14天）内，动态防护系统累计保护请求216965次，其中发现异常请求48548次，异常请求占比约22.5%。

5.2防护亮点

动态技术在演练中体现出以下的价值与特点：

1. 全面阻击大规模的漏洞探测、0day探测、多源低频等自动化攻击
2. 不依赖规则和特征库的升级，有效减轻人力成本
3. 改变传统对抗中的IP封堵的方式，精准有效对抗攻击

5.3.防护成效

5.3.1. 内网攻击防护

5.3.2. 0day/Nday防护

攻破网站的往往都是未知威胁，传统防护设备在面对未知威胁时，现有的特征库和规则无法进行很好的匹配。攻方利用工具对网站群进行批量零日漏洞扫描探测，并且有针对性的利用，从而攻破网站。

通过对动态防护系统的拦截日志进行复盘分析，可以看到动态防护系统拦截到了大量的 0day/Nday 攻击，监测发现，护网演练期间，网站遭受了65次的已知漏洞攻击探测，主要为扫描工具发起的攻击探测，发现的已知漏洞攻击类型主要有：

1. Apache Axis 远程命令执行漏洞

2. Jboss漏洞利用攻击

3. Oracle WebLogic 远程命令执行漏洞

4. FineReport目录遍历漏洞

5.3.2. 多源低频防护

本次演习期间，防守方非常谨慎，对于稍微有些蛛丝马迹的异常IP就直接进行边界封堵，因此传统的高频攻击很容易被发现。作为应对，攻击方便采用了多源低频的攻击方式进行绕过。攻方使用自动化程序，可通过代理IP池，随机更换IP地址，变换其UA身份，和通过拟人类特征行为进行网络操作，使得基于签名和规则的传统防护产品，很难区分这些高级自动化攻击和真人操作。