基于云平臺的Web應用安全防護

文/李冠蕊 劉瑞景 李雪茹

云計算現已成為IT技術和產業發展的重要趨勢，它體現了信息技術集約化發展的方向，對信息技術未來發展具有深遠的影響。作為信息技術的分支之一，信息安全產業同樣面臨著向“云”轉型的重大戰略機遇和挑戰。傳統的Web安全防護技術，受限于其所依托的硬件或軟件資源，在防御能力、響應速度、系統規模等方面已無法滿足日益復雜的安全需求。而基于云平臺的Web應用安全防護服務則成為有效解決上述問題的重要途徑。本文重點圍繞云計算環境下的應用安全防護技術，解決云環境下大規模Web應用監管、防護面臨的實際安全問題，分別從云平臺下的Web應用安全防護、DDoS攻擊防護、安全監測防護、事件審計分析、防護統計和用戶自服務相關技術的展開探討。

1 Web應用安全防護

Web應用程序運行環境復雜，從網絡層、到系統層、再到應用層，每個層面都可能有安全漏洞，任何一個環節出了問題，都會產生安全事故，也都有可能遭遇外來的攻擊。隨著防火墻和入侵檢測系統等網絡安全設備的大量使用、網絡層和系統層的安全性得到了加強，但這些安全設備一般都工作在ISO的網絡層，對于應用層的攻擊卻無能為力。因為針對這一問題，我們對Web應用層安全防護做了進一步研究。

（1）Web應用攻擊防護，即通過預定義以及用戶定義規則庫對常見Web應用攻擊進行攔截，同時產生審計日志。

（2）Web應用特征庫建立，Web應用特征庫支持預定義特征和用戶自定義特征，特征建立需要從兩方面著手：基于URL特征庫的建立，該庫能夠有效防御簡單注入攻擊、目錄遍歷攻擊、遠程文件包含攻擊，該攻擊的特點是將攻擊內容通過URL進行傳播。該特征相對簡單，并且分類明確?；贖TTP/HTTPS協議特征庫的建立，該庫的建立分為兩部分，其一，針對HTTP/HTTPS協議頭規范，制定出嚴格符合規范的特征庫，該特征主要針對于目前較為普遍的機器人攻擊、cookie攻擊、盜鏈攻擊、緩沖區溢出攻擊等能夠明確缺陷產生頭域的攻擊，同時能夠防范攻擊變體；其二，建立協議體特征庫，該部分主要針對于內容惡意篡改、重放、掛馬等缺陷，這種缺陷對于系統危害較大，并且難于定位。

（3）Web應用攻擊防護引擎建立，該引擎充分利用云中心提供的計算能力，使用大規模并行處理技術對HTTP/HTTPS數據進行分析，結合特征庫對惡意流量進行清洗，對合法流量放行。

2 DDoS攻擊防護

除應用層外，Web服務器主機平臺同樣面臨著安全威脅，例如分布式拒絕服務（DDoS），因此在構建Web應用程序安全防護系統時，不僅要從應用層面進行構建，還應從服務器平臺層面進行構建，以達到對Web應用平臺的全面保護。

拒絕服務（DDoS）攻擊防護，依托核心專利抗DDOS模塊，對TCP、ICMP、UDP拒絕服務攻擊進行防護，同時可對流量啟動自學習產生當前網絡流量模型，有效防御未知攻擊。

云應用安全防護服務平臺采用了基于數據挖掘的DDoS攻擊異常檢測技術，能夠同時檢測數據包洪泛攻擊和應用層拒絕服務攻擊；系統所采用的擁有專利技術的DDoS數據包特征發現和防欺騙技術，能夠準確的區分攻擊數據包和正常數據包；采用了專門設計的專用網絡處理技術，具有多層次深度防御功能。

3 安全檢測防護

采用先進的分布式處理技術的安全檢測核心對客戶網站或服務器進行實時檢測與分析，及時發現安全漏洞、篡改內容、敏感信息、運行狀態等異常狀況并通過短信、郵件等多種手段通知用戶。

3.1 篡改檢測防護

網頁篡改檢測防護即對保護服務器進行檢測，及時發現惡意篡改事件并將正常網頁恢復，保證訪問的正確性。篡改防護包含兩種方式：篡改保護和篡改恢復。

篡改保護，能夠在發現惡意篡改事件之后主動接管應用服務的負載，確保篡改后內容不流出；篡改恢復，能夠在發現惡意篡改事件之后自動恢復應用服務中的內容，保證應用服務能夠提供連續正常的服務。

3.2 應用漏洞掃描

應用漏洞掃描即對后端指定應用服務進行預訂規則掃描，發現應用服務存在的漏洞，并對該漏洞進行分析生成漏洞分析報告。

3.3 敏感關鍵字檢測過濾

敏感關鍵字檢測過濾即使用預定義敏感關鍵字對后端應用服務進行檢測，記錄發現的敏感關鍵字的位置以及摘要，同時提供對敏感關鍵字的實時過濾。

3.4 運行狀態監控

運行狀態監控即對應用服務狀態監控包括服務連通性、服務響應延遲時間等狀態信息。

3.5 監控事件告警

監控事件告警支持對不同運行狀態、安全狀態以及業務狀態配置告警動作、告警方式、告警周期。

4 事件審計分析

事件審計分析服務對安全事件以及訪問事件記錄進行審計和分析，以期得到有指導意義的結果，依賴云中心強大的并行計算能力以及云中心分布式存儲架構，虛擬環境僅完成對事件的分類收集，收集的數據將存儲在分布式數據中心，云中心將對分布式數據中心的審計數據進行分析并產生有意義的結果。其為客戶提供網站訪問的立體視圖，對網站訪問的整體情況做到心中有數、有據可查、趨勢可控，為進一步決策分析提供有力的支撐。

事件審計分析服務可以向管理員提供基于訪問者、訪問內容的統計分析，從而指導網站優化和升級的基礎數據，同時還可以協助確定網絡攻擊是否發生，并監控網站的運行情況?；谠L問者的統計分析可以向管理員提供在所有訪問者中，訪問者所使用的客戶端工具、操作系統、地域位置等據，可以作為管理員分析用戶群分布特點的基礎數據，從而指導優化和升級網站，監控網站的訪問情況。基于內容的統計分析可以向管理員提供用戶最經常訪問哪些頁面、欄目、文件類型、使用的域名、入站出站的網頁等數據，可以作為管理員分析用戶行為特點的基礎數據，為改進優化網站提供指導，并監控用戶訪問網站的行為趨勢。

5 防護統計

提供豐富的界面呈現和數據報表，為用戶提供全方位多角度統一視圖，幫助用戶全面掌握所轄網站的安全態勢、運行情況和業務數據，實現全局展現、預警監控、應急響應的目的。用戶可以實時查看各個網站的運行狀態、安全狀態和業務狀態。網站的運行狀態展示了網站的健康程度，網站的安全狀態展示了網站的危險程度，網站的業務狀態則展示了網站的業務分析結果。所有的數據內容可通過報表、日志等形式導出，供用戶備份或其他用途使用。

6 用戶自服務

為了加強Web與用戶的交互，用戶可以實現從服務注冊、服務使用、服務修改、服務注銷的全自助式服務。

用戶在完成平臺用戶注冊后，即可按照服務已定義好的服務模板選擇所需要的服務內容，或者可根據自身情況自定義服務內容，然后依據平臺提示過程完整所購買服務的注冊流程，即可開始享受全方位立體式安全保障。

在服務運行過程中，用戶可隨時登陸自己在云平臺上的門戶，通過綜合展現平臺查看自己網站的安全、運行情況，如果發現預置的安全策略或監控內容不符合客戶需求，可自行通過門戶進行修改。同時，也可以將自己的需求通過門戶提交給云平臺，平臺強大的安全咨詢團隊將為客戶提供深入的分析解決方案，滿足用戶需求。

如果用戶不再使用服務內容，可通過自己的門戶輕松注銷服務。若服務時間到期，平臺會通過郵件、短信等多種渠道通知用戶，以免造成用戶網站訪問異常。

7 結語

基于云平臺的Web應用安全防護服務，能夠充分發揮云平臺集中、高效、全面的特點，通過使用各種防護分析技術，涵蓋應用安全的方方面面。云應用安全防護服務平臺重點面向Web攻擊防護服務能力、DDoS攻擊防護服務能力、安全檢測服務能力的建設，輔以事件審計分析服務、綜合展現服務，通過完整的服務流程設計，提供全生命周期的服務自助管理。

隨著信息技術和網絡技術的不斷發展，個人、政府、企業對應用程序的依賴程度越來越高，對大數據云平臺應用也越來越廣。當前Web應用蓬勃發展的同時安全威脅也與日俱增，所以在云平臺廣泛應用的時代，在云平臺的基礎上全方位加強防護Web應用安全具有非常重要的意義。