如何做好網(wǎng)站防護(hù)？網(wǎng)站防護(hù)最好的方法是什么？

時間：2023-04-18 18:04:02 | 來源：網(wǎng)站運營

時間：2023-04-18 18:04:02 來源：網(wǎng)站運營

如何做好網(wǎng)站防護(hù)？網(wǎng)站防護(hù)最好的方法是什么？：如何最好網(wǎng)站防護(hù)？網(wǎng)站防護(hù)最好的方法是什么？做好網(wǎng)站防護(hù)，檢測技術(shù)是區(qū)分產(chǎn)品效果的一大核心。在各類檢測技術(shù)中，語義化檢測引擎近兩年已成熱門。它的優(yōu)勢在于，讓攻擊檢測更精確、更聰明、更人性化。目前，硬件Web應(yīng)用防火墻WAF中，國內(nèi)已經(jīng)有數(shù)家廠商部署了該技術(shù)；阿里云云盾也在近期發(fā)布了語義智能檢測引擎的選項。

十幾年里，基于規(guī)則的引擎一統(tǒng)江湖。直到現(xiàn)在，大多數(shù)的Web應(yīng)用防火墻WAF也還是基于規(guī)則的判斷。其原理是每一個會話都要經(jīng)過一系列的安全檢測，每一項檢測都由一個或多個檢測規(guī)則組成，匹配了檢測規(guī)則，請求就會被認(rèn)為非法而拒絕。

聽起來很簡單？其實對于運維者和企業(yè)客戶來說，規(guī)則檢測的軟肋就在于他的“道法復(fù)雜，不變通”。

基于規(guī)則的WAF能有效的防范已知安全問題。但安全運維者首先必須知道攻擊的全部特點，根據(jù)這些特點制定規(guī)則。所以基于規(guī)則的WAF需要一個強(qiáng)大的規(guī)則庫支撐，并且規(guī)則庫需要及時更新來應(yīng)對最新的攻擊。

對于安全運維人員來說，規(guī)則的條目就會變得繁多而復(fù)雜，導(dǎo)致規(guī)則庫維護(hù)起來相當(dāng)困難。并且，運維人員經(jīng)常發(fā)現(xiàn)，過了一段時間后，都不知道某些規(guī)則的含義以及當(dāng)初為什么這么寫的了。例如下邊這條規(guī)則：

是不是看得頭大？維護(hù)龐大的規(guī)則庫對運營人員來說，確實是個很大的挑戰(zhàn)。這是因為，基于規(guī)則的WAF，因為規(guī)則的描述能力有限，有些攻擊方法和攻擊場景無法通過規(guī)則來描述完備。我們舉一個大家能懂的例子，

如果“大道至簡！”是一串攻擊請求，當(dāng)Web應(yīng)用防火墻WAF成功防御過一次后，就會更新一個規(guī)則 ——但凡包含“至”、“簡”“！”這三個特征的，就可能是攻擊！—— 但如果下次接到了一個正常請求：“至繁歸于至簡！”，Web應(yīng)用防火墻WAF也會把它歸到攻擊那一類，這就產(chǎn)生了我們所謂的誤報。

同時，攻擊者會通過復(fù)雜的變形來完成攻擊。這時，規(guī)則又是無法窮盡所有的攻擊變形的。還是剛才那個例子，當(dāng)上次的攻擊者做了一個“變體”，將攻擊請求變成了“大道無為”，那么Web應(yīng)用防火墻WAF就檢測不到了，也就是所謂的漏報了。

在很多攻防對抗的場景下，會發(fā)現(xiàn)正則的缺陷和短板。以一個簡單的SQL注入攻擊請求為例：

www.vuln.com/?id=1’ union select version() from dual

這個SQL注入攻擊請求是讀取數(shù)據(jù)庫版本信息的攻擊請求，能夠描述這個攻擊的正則表達(dá)式，可以寫為：

union/s+select/s+version/(/)/s+from/s+dua

/s+的作用是匹配一個或多個不可見字符，如空格、換行等符號。顯然的，熟悉SQL語句的攻擊者，可以利用一些數(shù)據(jù)庫特性繞過這個正則的檢查，例如：用注釋符/*11*/替換空格、利用注釋符號--%0替換空格，根據(jù)這個特性，完善后的正則表達(dá)式可以寫為：

union(/s+|//*[/s/S]*/*/|--[/s/S]*?/x0a)select(/s+|//*[/s/S]*/*/|--[/s/S]*?/x0a)version/(/)(/s+|//*[/s/S]*/*/|--[/s/S]*?/x0a)from(/s+|//*[/s/S]*/*/|--[/s/S]*?/x0a)dual

可以明顯看到，更新之后的正則表達(dá)式的復(fù)雜度已經(jīng)明顯提高了，邏輯看起來也不是非常直觀明了，更重要的是，這樣的防護(hù)規(guī)則，仍然可以被繞過！

經(jīng)過簡單的fuzz挖掘，可以發(fā)現(xiàn)mysql新的“特性”，在Mysql函數(shù)調(diào)用中，正常結(jié)構(gòu)為function_name() 這樣的格式，同時還支持其他的語法特性，function_name/*111111*/()、function_name () 、function_name`()、function_name--%0a()、function_name/**/ () 、function_name/*111*/--11%0()這樣都是等價的寫法！

于是上述正則規(guī)則又有了升級版：

union(/s+|//*[/s/S]*/*/|--[/s/S]*?/x0a)select(/s+|//*[/s/S]*/*/|--[/s/S]*?/x0a)version(/s+|//*[/s/S]*/*/|--[/s/S]*?/x0a|`)/(/)(/s+|//*[/s/S]*/*/|--[/s/S]*?/x0a)from(/s+|//*[/s/S]*/*/|--[/s/S]*?/x0a)dual

從這個簡單的例子可以看出，使用正則表達(dá)式去描述SQL注入這樣的攻擊，存在明顯的短板：維護(hù)成本高、邏輯性低、條理性低。往往一個新”特性”的發(fā)現(xiàn)，意味著運營人員需要批量更新上百條的規(guī)則，這是一個相當(dāng)艱難的過程，因此使用正則作為檢測方式的引擎，或多或少存在被繞過的風(fēng)險。

總而言之，基于規(guī)則的檢測不能有效防御未知的威脅，比如攻擊變體，0day攻擊。除此之外，對于企業(yè)安全運維人員來說，正則引擎的維護(hù)壓力大，成本高，各派武林人士都在YY：“有沒有一種檢測引擎和算法，不需要人去維護(hù)規(guī)則，也可以應(yīng)對千變?nèi)f化的攻擊！？”

智能引擎檢測這個武林絕學(xué)，就在這樣的江湖背景下，千呼萬喚始出來。

語義檢測引擎的內(nèi)功在于，會把自然語言中的語義、順序和場景，納入考慮范圍；知道一個特征，在這個場景、順序下可能是攻擊，在另一個中則不是。延續(xù)剛才“大道至簡”的例子：

規(guī)則引擎：

只用“至”、“簡”“！”來判定一個請求是否是攻擊。漏報誤報率高

智能語義檢測引擎：

1、“大道至簡！”是攻擊

2、“至繁歸于至簡！”因為場景和順序不對，不是攻擊

3、通過機(jī)器學(xué)習(xí)，能分辨出“大道無為”是“大道至簡”的變體

這樣一來，大家就可以一目了然看出二者的根本區(qū)別了。智能化語義檢測引擎，對于防范未知威脅，0day攻擊尤其有效。

那么，智能語義化檢測的武功究竟如何使出來？我們再往下探究。

第一招，歸一

把同類攻擊行為的同類行為特征歸并起來。即，同一類的攻擊行為和攻擊特征聚合為一個攻擊特征，這就是歸一化的過程。攻擊的多個行為特征組成特定的排列組合，來表示同一類攻擊，這樣我們就可以用自然語言的語義來理解并且描述同一類攻擊。攻擊特征的排列組合就是攻擊的語義化。

這樣就能拋卻各種復(fù)雜的攻擊和它們的變形，把攻擊行為語義化了。

以下是一個sql注入攻擊實現(xiàn)語義化的例子，先對sql語句進(jìn)行歸一化的語義分析，然后在異常攻擊集中查找分析結(jié)果，若找到說明是sql注入攻擊。


比如以下這條規(guī)則：

(select|from|/band|/bor|/bxor|=|,|;)[/s/+/(`)*?(sleep[/s/+`]*?/(|version[/s/+`]*?/(|pg_sleep[/s/+`]*?/(|extractvalue[/s/+`]*?/(|updatexml[/s/+`]*?/(|dbms_pipe.receive_message/(|st_latfromgeohash/(|st_longfromgeohash[/s/+`]*?/(|analyse[/s/+`]*?/(|gtid_subset[/s/+`]*?/(|gtid_subtract/(|st_pointfromgeohash/(|convert[/s/+`]*?/(|md5[/s/+`]*?/(|count[/s/+`]*?/(|char[/s/+`]*?/(|benchmark[/s/+`]*?/(|hex[/s/+`]*?/(|@@version|db_name[/s/+`]*?/(|user[/s/+`]*?/(|cast[/s/+`]*?/(|concat[/s/+`]*?/(|unhex[/s/+`]*?/(|floor[/s/+`]*?/(|length[/s/+`]*?/(|ascii[/s/+`]*?/(|substring[/s/+`]*?/(|substr[/s/+`]*?/(|substring_index[/s/+`]*?/(|instr[/s/+`]*?/(|left[/s/+`]*?/(|right[/s/+`]/()

通過歸一化后可以描述為：select from 敏感關(guān)鍵字 函數(shù)運算()，可以用“abcde”五個字符表示，即這類攻擊用語義可描述為：具有敏感關(guān)鍵字和函數(shù)運算的sql類型表達(dá)式。復(fù)雜的規(guī)則維護(hù)，瞬間變得簡單了。

第二招，攻異

僅僅防范已知的WEB安全問題，是被動且滯后的，基于異常的防護(hù)會更加有效。

異常防護(hù)這一招的基本觀念是：根據(jù)合法應(yīng)用數(shù)據(jù)檢測建立統(tǒng)計模型，以此模型為依據(jù)判別實際通信數(shù)據(jù)是否是攻擊。

理論上，此招一出，系統(tǒng)就能夠探測出任何的異常情況。這樣，就不再需要規(guī)則庫，0day攻擊的檢測也不再是問題了。

例如，阿里云云盾的Web應(yīng)用防火墻WAF智能語義異常攻擊集，是基于云盾自己的運營數(shù)據(jù)，對正常的Web應(yīng)用建模，從正常的模型里邊區(qū)分出異常的情況，再從繁多的Web攻擊中提煉出來的異常攻擊模型，形成異常攻擊集。

制勝之招：無影

未來，智能語義化檢測引擎這門絕學(xué)，將進(jìn)化成實時大數(shù)據(jù)分析引擎。招式進(jìn)化的關(guān)鍵，就在于算法的優(yōu)化，計算的能力和成本，還有數(shù)據(jù)聚類和清洗的技術(shù)，等等。

基于上述的理念和檢測原理，阿里云研發(fā)了全新的云盾Web應(yīng)用防火墻WAF智能檢測引擎。該智能引擎通過攻擊行為語義化和基于異常的防護(hù)，來檢測各種web攻擊。各類攻擊語義化后，云盾WAF智能檢測引擎能應(yīng)對各種攻擊及其復(fù)雜的變形。基于異常統(tǒng)計檢測所建立的安全模型，不僅僅可以防范已知的web安全威脅，也可以防范未知的安全威脅。

江湖風(fēng)云變幻，大數(shù)據(jù)的時代已經(jīng)成為主流。Web應(yīng)用防火墻WAF防御的技術(shù)如果想要繼統(tǒng)治武林，向智能化、語義化的方向發(fā)展則是必然。未來，可以預(yù)見大部分的Web應(yīng)用防火墻WAF檢測和防御都會通過機(jī)器學(xué)習(xí)自動來完成，再加上很少的人工確認(rèn)工作，就可以確定異常攻擊集 —— 從容應(yīng)對現(xiàn)實中的安全威脅以及未來的安全威脅，從根本上解決Web服務(wù)系統(tǒng)所面臨的各種安全挑戰(zhàn)。

大道至簡，大有可為。



了解阿里云云盾產(chǎn)品和服務(wù)

安全產(chǎn)品聚合頁-云盾-阿里云