本发明专利技术属于网络安全技术领域,公开了一种基于应用网关的Web应用防火墙方法及系统,利用具有统一网络入口的防火墙网关,配合负载均衡进行调度,拦截Web入侵行为、数据泄露;使用异常检测方法,对day0进行防御;并进行联动检测,对证书进行管理以及进行私钥保护,不将证书文件、私钥文件直接明文的存放在服务器某个目录下,进行浏览器配置。本发明专利技术实验结果表明,该Web应用防火墙有效防御各种变形的SQL注入攻击、暴力破解和扫号攻击Webshell检测、XSS跨站脚本攻击、信息泄露等主流Web应用层的攻击;本系统能够在关键的路径上,切断典型的入侵尝试,挡住探测payload,大幅提高入侵难度。
A method and system of Web Application Firewall Based on application gateway
【技术实现步骤摘要】
一种基于应用网关的Web应用防火墙方法及系统
本专利技术属于网络安全
,尤其涉及一种基于应用网关的Web应用防火墙方法及系统。
技术介绍
目前,最接近的现有技术:Web2.0技术的广泛使用为用户和相关系统带来了越来越大的潜在威胁。现在的Web应用程序和在线服务都基于Web2.0技术,如JavaScript和AJAX,因此也出现了一系列的针对应层的安全攻击。在web安全变得愈发重要之下,Web应用防火墙(WAF)应运而生。Web应用程序在机构的威望中占据了绝对的主导地位。针对web应用程序的攻击愈发增加,Internet上提供的服务项目也逐渐增多。由于开发中缺乏对Web应用程序安全性的关注和认识,并且没有使用安全的软件开发技术,Web应用程序已经成为当前攻击的首要目标。大约百分之七十的基于Web的攻击是成功的。即使传统的防火墙能够成功阻止网络层的攻击,但他们在基于Web的对Web应用程序的攻击并不是有效的。因此,在防止信息泄露和互联网上无法提供安全环境的弱点方面,Web应用程序有安全需求。在互联网行业,Google将安全做到基础设施里面,素来是安全学习的榜样。在Web方面,通过GFE(GoogleFront-End)同意对外发布,业务只需要在GFE登记,GFE就回调取正确的证书,保障用户到GFE的TLS连接安全。此外,Microsoft在Web方面,有一款叫做AzureApplicationGateway的产品,提供了同意的Web路由、负载均衡,以及WAF(Web应用防火墙)功能。但这几款产品均不能用于私有化部署,GoogleFront-End和AzureApplicationGateway只服务于他们自身业务以及他们自己的云客户。想要使用他们的产品,得使用他们的云服务,不然就只能望然兴叹了。此外,Web应用程序使用超文本传输协议(TyperTextTransferProtocal,HTTP),因此攻击也来自HTTP。关于检测HTTP流量和显示异常请求的研究有很多。存在像WebApplicationSecurityConsortium这样的组织为万维网(WWW)开发安全标准。也有另外的类似的一个小组ThinkingStone,他们开发了ModSecurity,这是一个ApacheWeb服务器的开源模块。ModSecurity实现了基于签名的检测,所以它对已知类型的攻击有效,但对day0攻击无效。再者,经济利益成为安全攻击的驱动力,这改变了整个互联网的安全图景,攻击变得“工业化”,具有庞大的组织、资金,更聚焦,并具有自动化能力。在此图景下,Web安全事件不断暴露出来,WAF解决方案应运而生,而为了更系统地进行Web安全防护,各类法规、政策陆续出现,这更有力地推动了WAF的需求和技术发展。但业内对WAF的需求特点并不完全一样,所以业内厂商的WAF技术发展也不完全一样,产品走出了不一样的发展轨迹。为统一Web应用安全隐患,加强对Web应用安全的意识,业内Web应用安全项目提出“Web应用的十大安全隐患”,总结了目前Web应用最常受到的10种攻击手段,并且按照攻击发生的概率进行了排序。针对Web应用的10大安全隐患,业界提出了Web应用防火墙,它可以防范大多数的Web应用攻击,是当前主要的Web应用安全解决方案。另外,由于最初攻击主要是针对银行信用卡在线支付,现有技术中,已经对信息安全策略进行了统一,发布了:支付卡行业数据安全标准(PaymentCardIndustryDataSecurityStandard,缩写PCIDSS)。这就是对WAF产品发展产生持续、强大驱动力的PCIDSS,最早是Version1.0,2006年9月升级为Version1.1,2008年10月升级为Version1.2,目前最新的PCIDSS是2017年8月发布的Version3.1。现有企业遭遇网页篡改事件已经时有出现,成了WAF的主要驱动力。最早先出现的是网页防篡改系统,包括:Agent程序(安装在Web服务器上)和集中管理程序。但经过实践证明,它只对保护静态页面有很好的效果,而对于动态页面没办法保护。WAF弥补了网页防篡改系统的不足,其深入分析HTTP协议流量,全面防御各种Web安全威胁的同时,对Web服务器没有任何干扰,实际上是治本的网页防篡改解决方案。虽然从2008年开始,WAF市场陆续有不少安全公司开始开发Web应用防火墙,但预防效果仍不理想。Web应用防火墙在网络中位于Web应用服务器前,用于保护防火墙之后的应用服务器。WAF工作在应用层,基于对HTTP/HTTPS流量的双向分析,客户端向服务器发送请求,Web应用防火墙解析HTTP/HTTPS协议、分析用户请求数据,将解析出的内容与HTTP攻击特征库进行检索比对,如发现攻击则阻断,否则转发给服务器,服务器对请求做出响应,Web应用防火墙同样解析协议,分析响应数据,实现攻击检测和阻断,为Web应用提供实时的防护。客户端通过HTTP请求与服务器端进行交互,因此,WAF的核心技术之一在于对HTTP的本质理解。超文本传输协议是一个基于请求与响应模式的、无状态的、应用层的协议,基于TCP的连接方式,给出一种持续连接的机制,大多数的Web开发都是构建在HTTP协议之上的Web应用。客户端向服务器发送一个请求,请求头包含请求的方法、URL、协议版本以及包含请求修饰符、客户信息和内容的类似于MIME的消息结构。服务器以一个状态行作为响应,响应的内容包括消息协议的版本、成功或者错误编码加上包含服务器信息、实体元信息以及可能的实体内容。HTTP的头域包括通用头、请求头、响应头和实体头四个部分。通用头域包含请求和响应消息都支持的头域,通用头域包含Cache-Control、Connection、Date、Pragma、Transfer-Encoding、Upgrade、Via。请求消息的第一行的格式为:MethodRequest-URIHTTP-VersionCRLF。Method表示对于Request-URI完成的方法,包括OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE;Request-URI是一个统一资源标识符;HTTP-Version表示请求的HTTP协议版本;CRLF表示回车和换行。请求头域可能包含下列字段Accept、Accept-Encoding、Accept-Language、Authorization、From、Host、Proxy-Authorization、Range、Referer、User-Agent。响应消息的第一行为下面的格式:HTTP-VersionStatus-CodeReason-PhraseCRLF。HTTP-Version表示支持的HTTP版本,如HTTP/1.1。Status-Code是一个三个数字的结果代码。Reason-Phrase给Status-Code提供一个简单的文本描述。Status-Code主要用于机器自动识别,Reason-Phrase主要用于帮助用户理解。响本文档来自技高网...
【技术保护点】
1.一种基于应用网关的Web应用防火墙方法,其特征在于,所述基于应用网关的Web应用防火墙方法利用具有统一网络入口的防火墙网关,配合负载均衡进行调度,拦截Web入侵行为、数据泄露;/n使用异常检测方法,对day0进行防御;并进行联动检测,对证书进行管理以及进行私钥保护,不将证书文件、私钥文件直接明文的存放在服务器某个目录下,进行浏览器配置。/n
【技术特征摘要】
1.一种基于应用网关的Web应用防火墙方法,其特征在于,所述基于应用网关的Web应用防火墙方法利用具有统一网络入口的防火墙网关,配合负载均衡进行调度,拦截Web入侵行为、数据泄露;
使用异常检测方法,对day0进行防御;并进行联动检测,对证书进行管理以及进行私钥保护,不将证书文件、私钥文件直接明文的存放在服务器某个目录下,进行浏览器配置。
2.如权利要求1所述基于应用网关的Web应用防火墙方法,其特征在于,所述防火墙网关配置有多个节点,配合负载均衡进行调度。
3.如权利要求1所述基于应用网关的Web应用防火墙方法,其特征在于,所述异常检测方法包括请求计数分析、请求长度分析和请求频率分析,对重要的异常评分信息,选择合理的异常评分计算参数,进行异常数据的检测。
4.如权利要求3所述基于应用网关的Web应用防火墙方法,其特征在于,所述请求计数分析的方法包括:对于不同的地方发送相同的请求次数,根据应用程序判读请求是否受到攻击。
5.如权利要求3所述基于应用网关的Web应用防火墙方法,其特征在于,所述请求长度分析方法包括:根据web应用程序的体系结构,进入web站点的请求内存溢出和跨站点脚本攻击的请求值大于正常请求;由Kruegel和Vigna使用平均值和方差值进行评估;
P:概率;σ:方差,为请求长度的方差值;l:检测到的请求长度值;u:请求的平均值;
根据web应用程序获得请求长度异常检测所示的值;根据上述公式,HTTP请求长度的0值表示异常极限值;每个请求的异常概率值小于长度值为0的请求的异常值,则将请求定义为异常。
6.如权利要求3所述基于应用网关的W...
【专利技术属性】
技术研发人员:苏锐丹,谭尤,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。