李娟， 崔甲， 施蕾

(中國(guó)信息安全測(cè)評(píng)中心,北京 100085)

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)第43次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2018年12月，我國(guó)網(wǎng)民規(guī)模為8.29億，互聯(lián)網(wǎng)普及率達(dá)59.6%. 而Web服務(wù)平臺(tái)憑借其便捷性、可擴(kuò)展性和成本低廉等優(yōu)勢(shì)，在關(guān)鍵信息基礎(chǔ)設(shè)施的Web應(yīng)用上得到了快速發(fā)展. 因此，在政府、金融、電信、教育、醫(yī)療等[1]關(guān)鍵信息基礎(chǔ)設(shè)施的信息門(mén)戶(hù)和業(yè)務(wù)平臺(tái)上，Web應(yīng)用已經(jīng)得到了廣泛的普及，如電子政務(wù)、電子商務(wù)等. 調(diào)查發(fā)現(xiàn)，政府機(jī)關(guān)與企業(yè)單位都已經(jīng)將業(yè)務(wù)應(yīng)用架設(shè)在Web平臺(tái)上.

目前，隨著Web2.0、社交網(wǎng)絡(luò)、微博等一系列基于Web環(huán)境的新型互聯(lián)網(wǎng)產(chǎn)品的廣泛應(yīng)用，與此同時(shí)，Web業(yè)務(wù)的迅速發(fā)展也引起了惡意攻擊者的強(qiáng)烈關(guān)注. 根據(jù)Gartner的最新調(diào)查顯示，信息安全攻擊有75%都是發(fā)生在Web應(yīng)用而非網(wǎng)絡(luò)層面上. 同時(shí)，數(shù)據(jù)也顯示，2/3的Web站點(diǎn)都相當(dāng)脆弱易受攻擊[2]. 實(shí)際上，絕大多數(shù)企業(yè)將絕大部分的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上，沒(méi)有從真正意義上保障脆弱的Web應(yīng)用業(yè)務(wù)，尤其對(duì)于國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施，給攻擊者以可乘之機(jī)[3].

隨著關(guān)鍵信息基礎(chǔ)設(shè)施互聯(lián)互通的發(fā)展，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的新型應(yīng)用攻擊技術(shù)手段層出不窮. 面對(duì)如此嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，現(xiàn)有檢測(cè)技術(shù)與防護(hù)技術(shù)針對(duì)大量的Web應(yīng)用攻擊，往往顯得力不從心.

因此，結(jié)合傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)與Web應(yīng)用防護(hù)技術(shù)，本文提出了一種基于記憶的安全檢測(cè)技術(shù)，Web入侵檢測(cè)系統(tǒng)(Web intrusion detection systems，WebIDS). 在新的網(wǎng)絡(luò)安全形勢(shì)下，提供對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的一種更加有效的檢測(cè)技術(shù).

1 傳統(tǒng)安全防護(hù)技術(shù)分析

1.1 IDS和WebIDS的區(qū)別

傳統(tǒng)IDS主要面向于網(wǎng)絡(luò)層，針對(duì)發(fā)生在Web應(yīng)用的75%的信息安全攻擊，檢測(cè)效率與檢測(cè)質(zhì)量比較低下. WebIDS與傳統(tǒng)IDS運(yùn)用的區(qū)域不同， WebIDS專(zhuān)門(mén)用于應(yīng)用層. 其具體區(qū)別如下.

① 在檢測(cè)方式上：傳統(tǒng)的基于網(wǎng)絡(luò)型IDS，根據(jù)IDS規(guī)則庫(kù)實(shí)時(shí)檢測(cè)單個(gè)方向數(shù)據(jù)包，難以發(fā)現(xiàn)碎片化的、持續(xù)性的攻擊. 其缺點(diǎn)有以檢測(cè)單向數(shù)據(jù)包為主；對(duì)延遲性較高的應(yīng)用層會(huì)話(huà)檢測(cè)效果不佳，如HTTP會(huì)話(huà)等.

而新型的基于Web的IDS，一則實(shí)時(shí)分析應(yīng)用層中的雙向數(shù)據(jù)包，對(duì)于應(yīng)用層的數(shù)據(jù)進(jìn)行影響判定攻擊的威脅級(jí)別；而且采用關(guān)聯(lián)分析技術(shù)，對(duì)磁盤(pán)陣列中的全流量鏡像歷史數(shù)據(jù)做大數(shù)據(jù)分析，可以對(duì)單個(gè)數(shù)據(jù)源進(jìn)行縱向分析.

② 在規(guī)則復(fù)雜度上：傳統(tǒng)的基于網(wǎng)絡(luò)型IDS，應(yīng)用基于特征的上千種規(guī)則，規(guī)則較簡(jiǎn)單，匹配速度快；而新型的基于Web的IDS，采用大量復(fù)雜的正則表達(dá)式規(guī)則和多會(huì)話(huà)關(guān)聯(lián)分析分析算法，規(guī)則數(shù)量極少，便于匹配.

③ 在攻擊比例上：傳統(tǒng)的基于網(wǎng)絡(luò)型IDS，主要基于整個(gè)信息安全攻擊的25%以下 (針對(duì)網(wǎng)絡(luò)及操作系統(tǒng))；而新型的基于Web的IDS，是面向于整個(gè)信息安全攻擊的75%以上(針對(duì)Web).

1.2 WAF和WebIDS的區(qū)別

WAF是傳統(tǒng)IPS在Web細(xì)分領(lǐng)域的替代品，屬于防御型技術(shù)范疇，針對(duì)海量的Web應(yīng)用數(shù)據(jù)，難以達(dá)到精確的攻擊檢測(cè). 而WebIDS是傳統(tǒng)的IDS在Web細(xì)分領(lǐng)域的替代品，屬于檢測(cè)性技術(shù)范疇. 總體區(qū)別如下.

① 在部署模式上：WAF主要采用串聯(lián)方式，容易成為整個(gè)鏈路瓶頸，出現(xiàn)單點(diǎn)故障；而WebIDS采用旁路方式，不會(huì)改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu).

② 在檢測(cè)方式上：WAF與防火墻類(lèi)似，以屏蔽端口、屏蔽包含特定的攻擊特征字符串的連接為技術(shù)目標(biāo). 而WebIDS與IDS類(lèi)似，以識(shí)別復(fù)雜攻擊為技術(shù)目標(biāo)，對(duì)各種Web攻擊事件按影響范圍進(jìn)行分類(lèi)統(tǒng)計(jì).

③ 在規(guī)則復(fù)雜度上：WAF要求數(shù)據(jù)延遲不能超過(guò)0.1 s，因此檢測(cè)策略很少；而且一般只檢測(cè)單向數(shù)據(jù)包，難以緩存持續(xù)時(shí)間長(zhǎng)的復(fù)雜的應(yīng)用層會(huì)話(huà)；此外，WAF較少使用復(fù)雜的檢測(cè)邏輯及耗費(fèi)大量性能的正則表達(dá)式及語(yǔ)法規(guī)則集.

而WebIDS由于采用旁路部署方式，數(shù)據(jù)分析時(shí)間、報(bào)警延遲可以超過(guò)3 s，甚至10 s，可以設(shè)置檢測(cè)策略更多，并且可緩存幾十兆的應(yīng)用層會(huì)話(huà)；此外，WebIDS采用多核并發(fā)檢測(cè)技術(shù)，可檢測(cè)雙向數(shù)據(jù)包，不受檢測(cè)邏輯復(fù)雜的影響.

2 基于記憶的安全檢測(cè)技術(shù)

頻繁發(fā)生的網(wǎng)絡(luò)安全事件，不僅對(duì)廣大互聯(lián)網(wǎng)用戶(hù)造成財(cái)產(chǎn)損失和心理傷害，而且嚴(yán)重危害我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施健康發(fā)展. 在當(dāng)前的大數(shù)據(jù)時(shí)代，應(yīng)用攻擊特點(diǎn)如下：

① 在大數(shù)據(jù)時(shí)代，可以獲得和某現(xiàn)象相關(guān)的所有數(shù)據(jù)，而不只是少量樣本；

② 由于掌握非常多的數(shù)據(jù)，可以處理更多的混雜、不突出的攻擊;

③ 利用大數(shù)據(jù)，不僅可以分析攻擊是什么，而且可以預(yù)測(cè)攻擊為什么.

基于記憶的WebIDS檢測(cè)模型中的記憶主要體現(xiàn)在：基于攻擊鏈的全周期檢測(cè)技術(shù)，把特定攻擊針?lè)植襟E、分階段的關(guān)聯(lián)檢測(cè)；通過(guò)對(duì)雙向數(shù)據(jù)與歷史數(shù)據(jù)，做大數(shù)據(jù)的攻擊關(guān)聯(lián)檢測(cè).

2.1 基于攻擊鏈記憶的WebIDS檢測(cè)機(jī)制

Web應(yīng)用攻擊周期指的是攻擊者實(shí)現(xiàn)入侵過(guò)程的3個(gè)階段. 攻擊者對(duì)Web應(yīng)用系統(tǒng)進(jìn)行攻擊時(shí)：首先需要通過(guò)漏洞掃描等探測(cè)手段發(fā)現(xiàn)漏洞；再根據(jù)漏洞探測(cè)結(jié)果開(kāi)展網(wǎng)絡(luò)攻擊；最終獲得目標(biāo)系統(tǒng)控制權(quán)限.

基于記憶的WebIDS檢測(cè)模型由漏洞掃描識(shí)別引擎、漏洞觸發(fā)識(shí)別引擎、系統(tǒng)受控識(shí)別引擎3個(gè)模塊組成，用于對(duì)應(yīng)Web應(yīng)用攻擊周期的3個(gè)過(guò)程.

① 單向分析過(guò)程：漏洞掃描識(shí)別引擎通過(guò)特征匹配、行為匹配等方法，對(duì)漏洞掃描行為進(jìn)行識(shí)別，檢測(cè)到攻擊者的掃描行為后，系統(tǒng)將該掃描事件記錄到日志中，以供后期攻擊行為建模；

② 雙向分析過(guò)程：漏洞觸發(fā)識(shí)別引擎通過(guò)流量異常檢測(cè)、攻擊行為分析、漏洞庫(kù)特征匹配、攻擊特征匹配等方法，判斷漏洞是否存在并是否正在被攻擊者利用，并將記錄攻擊者漏洞利用事件；

③ 關(guān)聯(lián)分析過(guò)程：系統(tǒng)受控識(shí)別引擎通過(guò)多會(huì)話(huà)關(guān)聯(lián)分析、數(shù)據(jù)泄漏規(guī)則、攻擊行為建模等方法[5]，對(duì)系統(tǒng)受控事件進(jìn)行檢測(cè)，向安全管理人員發(fā)送緊急報(bào)警信息.

2.2 基于大數(shù)據(jù)分析記憶的WebIDS檢測(cè)原理

① 基于旁路監(jiān)聽(tīng)及全流量鏡像技術(shù).

基于記憶的WebIDS檢測(cè)模型利用旁路監(jiān)聽(tīng)及全流量鏡像技術(shù)，即可實(shí)時(shí)獲取并保存所有HTTP請(qǐng)求及響應(yīng)的數(shù)據(jù)包，供攻擊檢測(cè)模塊進(jìn)行應(yīng)用攻擊的分析處理.

② 采用全流量數(shù)據(jù)壓縮技術(shù).

基于記憶的WebIDS檢測(cè)模型采用了網(wǎng)站增量去重和差異壓縮備份算法，可保存長(zhǎng)時(shí)間的完整的Web雙向數(shù)據(jù). 當(dāng)發(fā)現(xiàn)攻擊行為時(shí)，不僅可以進(jìn)行攻擊回溯，還可以利用自定義檢測(cè)策略對(duì)歷史數(shù)據(jù)重新檢測(cè)及篩選.

③ 攻擊行為判定算法.

據(jù)調(diào)查，傳統(tǒng)的IDS存在大量的誤報(bào)日志，導(dǎo)致管理員對(duì)攻擊預(yù)警麻木懈怠，當(dāng)遇到真正的攻擊威脅時(shí)，常常不能第一時(shí)間著手解決問(wèn)題.

基于記憶的WebIDS檢測(cè)模型采用了攻擊影響判定技術(shù)，對(duì)各種Web攻擊事件按影響范圍進(jìn)行了分類(lèi)統(tǒng)計(jì)[6]. 通過(guò)對(duì)HTTP請(qǐng)求的分析，將其中可疑的攻擊行為記入可疑攻擊事件(提示級(jí)別). 通過(guò)對(duì)HTTP會(huì)話(huà)雙向數(shù)據(jù)流的追蹤和分析，將確認(rèn)Web攻擊成功的攻擊行為記入確認(rèn)攻擊事件(高危級(jí)別). 系統(tǒng)可以靈活配置報(bào)警級(jí)別及頻次. 對(duì)于確認(rèn)攻擊日志，可做到實(shí)時(shí)報(bào)警，使得報(bào)警準(zhǔn)確率超過(guò)90%.

2.3 基于記憶的WebIDS檢測(cè)技術(shù)實(shí)驗(yàn)?zāi)Ｐ?/h3>

① 模型編程應(yīng)用框架.

基于記憶的WebIDS檢測(cè)模型在檢測(cè)過(guò)程中，實(shí)時(shí)的檢測(cè)數(shù)據(jù)，及時(shí)發(fā)現(xiàn)攻擊，是一個(gè)流(streaming)計(jì)算過(guò)程. 使用kafka作為消息總線(xiàn)，Storm進(jìn)行實(shí)時(shí)計(jì)算，Hadoop存儲(chǔ)數(shù)據(jù)和批量計(jì)算. 考慮到學(xué)習(xí)成本，使用Spark作為統(tǒng)一的數(shù)據(jù)處理引擎，既可以實(shí)現(xiàn)批處理，也可以使用spark streaming實(shí)現(xiàn)近實(shí)時(shí)的計(jì)算.

② 模型檢測(cè)實(shí)踐.

基于記憶的WebIDS檢測(cè)模型，在攻擊路徑上不同層面的數(shù)據(jù)來(lái)建立聯(lián)系[7-8]. 可以采用很簡(jiǎn)單的二步驗(yàn)證，如一個(gè)Http層出現(xiàn)的SQLi payload，相同的payload同時(shí)出現(xiàn)在SQL層的異常，即形成一個(gè)確認(rèn)的SQLi攻擊；同理，一個(gè)Http層的異常相同的payload出現(xiàn)在了命令日志層面的異常中，即形成一個(gè)確認(rèn)的RCE(遠(yuǎn)程命令執(zhí)行).

3 結(jié)束語(yǔ)

基于記憶的關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)技術(shù)，結(jié)合基于旁路監(jiān)聽(tīng)及全流量鏡像技術(shù)、采用全流量數(shù)據(jù)壓縮技術(shù)、攻擊行為判定算法與多種編碼還原與抗混淆技術(shù)，通過(guò)漏洞掃描識(shí)別引擎、漏洞觸發(fā)識(shí)別引擎、系統(tǒng)受控識(shí)別引擎3個(gè)模塊組成，用于對(duì)應(yīng)Web應(yīng)用攻擊周期的3個(gè)過(guò)程. 可以對(duì)Web數(shù)據(jù)進(jìn)行雙向分析即時(shí)數(shù)據(jù)及歷史數(shù)據(jù)，檢測(cè)各種碎片化、持續(xù)性的攻擊手段，提高系統(tǒng)的檢出率和準(zhǔn)確度，從而快速發(fā)現(xiàn)和定位潛伏的安全威脅；能在黑客利用攻擊時(shí)，同步感知各種漏洞；提供威脅可視化展示，實(shí)時(shí)了解和掌握網(wǎng)絡(luò)風(fēng)險(xiǎn)狀況.