基于動態(tài)IP黑名單的輕量級WEB入侵主動防御關鍵技術與可視化度量模型研究與應用

隨著技術的發(fā)展，WEB應用也面臨著安全威脅[1]。WEB入侵防御檢測技術對WEB進行實時監(jiān)控[2]，阻止惡意攻擊，通過對應用層協(xié)議的深度解析及WEB雙向過濾，對非法的請求予以實時阻斷，保護WEB應用通信流和所有相關應用資源受到WEB協(xié)議或應用程序漏洞發(fā)動的攻擊[3]，實時保護網(wǎng)站及服務器安全。

1 國內(nèi)外研究現(xiàn)狀

相對于國外市場，國內(nèi)對于web安全研究較晚。常暢[4]在論著中提出引入活躍熵檢測算法。張宇飛[5]在論著中研究了基于程序行為分析防御技術。樂朝輝[6]在論著中提出利用隱馬爾柯夫模型設計實現(xiàn)Web應用防火墻系統(tǒng)。

2 主要研究內(nèi)容

2.1 主動防御（WAF）框架

主動防御（WAF）框架主要由防火墻IP阻斷、IP地址鎖定、HTTP/HTTPS請求接收、預過濾、主動防御檢測、IP地址鎖定、日志存儲、日志分析和可視化顯示模塊組成。主要過程如下：首先客戶機通過防火墻中IP阻斷模塊進行初始化阻斷，將阻斷地址添加至IP地址鎖定模塊并對阻斷、鎖定的存放于IP地址共享池中，后續(xù)客戶端訪問直接阻斷。然后，Http/Https請求接收模塊對Http/Https訪問請求進行捕獲，針對Https協(xié)議進行SSL解密和加速，對各種編碼和字符集進行標準化處理，將請求緩存到接收隊列中等待被檢測。預過濾模塊與動態(tài)IP黑名單中威脅系數(shù)與預過濾模塊中預設的威脅系數(shù)進行對比，大于將阻止，小于將請求送到主動防御檢測模塊進行檢測。主動防御檢測模塊從隊列中等待檢測的請求，該時段中出現(xiàn)的網(wǎng)絡異常行為與WEB內(nèi)容進行分析，如檢測到疑似攻擊入侵動作，將進行IP地址阻斷同時將該動作特性以日志形式存放至日志存儲模塊中，攻擊源IP威脅度計算模塊將同一時間段內(nèi)攻擊日志進行分析，利用威脅系數(shù)算法計算IP的威脅系數(shù)并將威脅系數(shù)存放至動態(tài)IP黑名單中[7]，IP地址鎖定模塊對動態(tài)IP黑名單中地址進行鎖定，并將鎖定的IP地址存放在防火墻中IP阻斷模塊，最后清空這個周期內(nèi)的攻擊日緩存。轉(zhuǎn)發(fā)模塊將通過檢測的行為轉(zhuǎn)發(fā)至WEB服務器中。如圖1所示。

圖1 主動防御（WAF）框架圖

2.2 威脅系數(shù)算法

威脅系數(shù)算法用于計算一段時間內(nèi)T，各個攻擊對WEB中網(wǎng)絡的威脅程度。按攻擊對集合H中攻擊進行分類，得到i個攻擊事件子集合，設為A1,A2,…Ai。分別對應不同攻擊源地址IP1,IP2,IP3，…,IPi的攻擊事件集合。最終通過計算得出威脅系數(shù)。通過研究，不同頻次、不同時間段、不同地域、不同規(guī)則攻擊對目標主機造成影響程度不同。對屬于不同頻次、不同時間段、不同地域、不同規(guī)則攻擊攻擊源的攻擊子集根據(jù)不同攻擊屬性H且H∈P進行分類，將不同頻次、不同時間段、不同地域、不同規(guī)則為IPi對應的攻擊子集Ai中不同頻次、不同時間段、不同地域、不同規(guī)則IPi的重要性進行權重相加，分別記為Frequency、Time、Region、Rule;NN表示E中不同目標主機的總數(shù)，IPi的攻擊頻次、時間、地域、規(guī)則對應的威脅系數(shù)Frequency、Time、Region、Rule的函數(shù)關系分別記為：(ipi)=Frequency/N；(ipi)=Time/N；(ipi)=Region/N；(ipi)=Rule/N。根據(jù)對攻擊事件集并按攻擊源IP地址的分類，分別計算出各攻擊源IP的威脅系數(shù)。權值λ1,λ2,λ3,λ4分別反映了攻擊頻次、攻擊時間段、攻擊地域、攻擊規(guī)則對整WEB中網(wǎng)絡的影響程度，且λ1+λ2+λ3+λ4=1，將它們分別作為攻擊頻次、攻擊時間段、攻擊地域、攻擊規(guī)則的威脅權值。攻擊源地址為ipi的主機當前周期威脅程度計算公式為：

Threatlasti表示ipi上個周期的威脅度,結(jié)合Threatlasti計算出攻擊源ipi的威脅度值Threati。

當ipi∈X時有：

當 ipi?X 時有：

如果ipi不存在集合X中，其威脅系數(shù)Threati和IP地址同時添加至X中；如果ipi對應的威脅系數(shù)值小于等于零時，該IP地址會從集合X中移除。其中式(2)和(3)中的ThreatΔ表示經(jīng)過一個固定時間段T后攻擊IP威脅系數(shù)的衰減程度，該值可以根據(jù)網(wǎng)絡實際情況設置，ThreatΔ值越大，攻擊者的威脅系數(shù)衰減速度越快，當黑名單中某個IP的威脅系數(shù)值衰減到小于0時，該IP地址將自動從IP黑名單當中被移除。

2.3 WAF實現(xiàn)模塊

WAF實現(xiàn)模塊由配置模塊、協(xié)議解析模塊、規(guī)則模塊、動作模塊、錯誤處理模塊組成，主要過程如圖2所示，實現(xiàn)主動防御。

2.4 可視化視圖

通過研究基于可視化度量模型，利用D3 WEB可視化技術實現(xiàn)監(jiān)測度量WEB入侵情況?？梢暬晥D由入口文件視圖、WAF分時統(tǒng)計圖、入侵IP地址統(tǒng)計圖和受侵網(wǎng)站統(tǒng)計圖組成。入口文件視圖通過對入口的文件進行分時攻擊次數(shù)統(tǒng)計，獲得相關文件名。WAF分時統(tǒng)計圖實時對WAF攻擊次數(shù)進行可視化顯示。如圖3所示。入侵IP地址統(tǒng)計圖實時對入侵IP地址、次數(shù)進行可視化顯示。受侵網(wǎng)站統(tǒng)計圖實時對受侵網(wǎng)站、次數(shù)進行可視化顯示。

3 結(jié) 語

輕量級主動入侵防御技術對Web進行了動態(tài)實時主動防御。解決了HTTPS協(xié)議的攻擊和Web應用層的各種變種攻擊問題。系統(tǒng)提供強大的分析、處理能力以及可視化入侵監(jiān)測度量，提高了防御效果和執(zhí)行效率，降低主動防御漏報和誤報率，滿足了高性能的要求。

[1]Igino Corona, Roberto Tronci.A Multiple Classifier System for the Protection of Web Services.21st International Conference on Pattern Recognition (ICPR2012).November 11-15,2015.Tsukuba,Japan.

[2]Citrix.NetScalerapplicationfirewall[EB/OL].http://www.citrix.com/English/ps2/products/product.asp?contentID=2312027ntref=prod_biz,2015.

[3]]K.Munivara Prasad,M.Ganesh Karthik,E.S.Phalguna Krishna.An Efficient Flash Crowd Attack Detection to Internet Threat Monitors (ITM) Using Honeypots.Advances in Computing and Information Technology Advances in Intelligent Systems and Computing,2014,(177) 595-610

[4]常暢.基于云架構(gòu)的Web應用防火墻研究[D].天津:天津理工大學,2015.

[5]張宇飛.基于程序行為分析的主動防御研究[D].吉林:長春理工大學 ,2009.4-50.

[6]樂朝輝.基于隱馬爾柯夫模型的Web應用防火墻的設計與實現(xiàn)[D].成都:電子科技大學,2011.

[7]徐玉宗.基于反向代理服務器和黑白名單的WAF架構(gòu)優(yōu)化與實現(xiàn)[D].北京:北京郵電大學,2013.