传统IPS难挡Web攻击
发布时间:2008-12-23   录入:启明星辰

黑客已经将注意力从以往对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。而基于特征的关键字匹配技术的IPS,由于其技术局限性和机械性,使得这类IPS产品会形成漏报和误报。

 

在北京国际车展开幕期间,其官方网站就遭遇SQL注入攻击而导致瘫痪。

 

根据Gartner的调查,信息安全攻击有75%都是发生在Web应用层而非网络层面上。同时,数据也显示,2/3的Web站点都相当脆弱,易受攻击。

 

Web业务安全现状堪忧

 

Web业务平台的不安全性主要是由Web平台的特点——开放性所致,企业需要利用Web业务平台为用户提供服务就必须接受这个特点。也就是说只要访问可以顺利通过企业的防火墙,Web业务就毫无保留地呈现在用户面前。

 

全球知名的Web安全与数据库安全研究组织OWASP提供的报告显示,目前对Web业务系统威胁最严重的两种攻击方式是SQL注入攻击和跨站脚本(XSS)攻击。

 

SQL注入攻击

 

SQL注入的攻击原理是利用程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,导致入侵者可以通过恶意SQL命令的执行,获得数据读取和修改的权限。攻击者成功进行SQL注入后,会拥有整个系统的最高权限,可以修改页面、数据或在网页中添加恶意代码,危害极大。

 

SQL注入攻击具有如下特点:

 

变种极多,有经验的攻击者会手动调整攻击参数,致使攻击数据的变种是不胜枚举的,这导致传统的特征匹配检测方法仅能识别相当少的攻击,难以防范。

 

攻击过程简单,目前互联网上流行众多的SQL注入攻击工具,攻击者借助这些工具可很快对目标Web系统实施攻击和破坏。

 

危害大,由于Web编程语言自身的缺陷以及具有安全编程能力的开发人员少之又少,大多数Web业务系统均具有被SQL注入攻击的可能。而攻击者一旦攻击成功,可以控制整个Web业务系统,对数据做任意的修改,破坏力达到极致。

 

跨站脚本攻击

 

跨站脚本攻击不同于SQL注入以Web服务器为目标的攻击方式,而是将目标指向了Web业务系统所提供服务的客户端。通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。

 

攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求和下载非法的内容等请求。

 

根据以往跨站脚本攻击的安全事件及产生的后果来看,跨站脚本攻击可导致的后果极其严重,影响面也十分之广,如进行盗取各类用户账号、控制企业数据、盗窃企业重要的具有商业价值的资料、强制发送电子邮件和网站挂马等破坏行为。

 

跨站脚本攻击不仅威胁程度更大、威胁波及面更广,同时攻击过程也更加复杂多变,传统基于攻击特征匹配的方法收效甚微。

 

鉴于 上述对Web业务系统常见攻击的分析,对Web业务系统的保护已经刻不容缓。安全学术界和产业界的研究机构和各大厂商也纷纷提出了识别和防御的措施和技术方案,力求为Web业务系统提供深层的安全防御。

 

Web业务安全有待成熟

 

针对SQL 注入攻击和跨站脚本攻击,在传统的安全产业界,主要的识别和防御方法有基于特征的关键字匹配技术和基于异常行为检测技术。基于特征的关键字匹配技术是目前的主流方法,一些主流的IPS产品都采用这种检测技术,但由于其技术局限性和机械性,使得这类IPS产品会形成漏报和误报。

 

应用于像Web防火墙这类产品中的基于异常检测技术,能够发现一些异常,但其缺陷也显而易见,比如需要一定的学习期才能投入使用,而且一旦业务模型发生变化,就需要重新学习,更为重要的是,异常未必就是攻击。

 

在学术界,针对SQL注入,同样有两个重要的研究方向基于正常行为模型的AMNESIA和基于数字签名技术的SQLRand方法,而这些方法的主要弱点是需要能够获得应用程序的源代码和修改源码,同时需要改变原有业务系统的部署,方案较为复杂。

 

启明星辰提出了使用入侵防御产品(IPS)的方法实现Web安全防御的新思路。

 

采用了融合基于原理和基于特征的柔性化检测机制来解决Web攻击的防御问题,创出基于攻击手法的VXID专利检测算法,为解决令人头痛的Web业务安全问题,提供了切实有效的技术和解决方案。

 

VXID算法是一种将规则分析(建立虚拟机检测规则的过程)和异常分析(符合Web攻击模型的,就是Web攻击)相结合的技术。其核心内容是首先收集、分析各种可能的Web攻击方法(包括SQL注入特征和XSS攻击特征),并提取出相应的有针对性的攻击机理。

 

之后,为这些攻击方法建立相应的检测模型(VXID算法误用检测模型),根据这些虚拟机检测来自URLCOOKIE POST-Form中的各参数域值是否符合SQL注入模型,检测提交的脚本代码是否符合XSS攻击模型,如果符合则表示发生了Web攻击。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号