Web安全之攻击防范

eb威胁的防御方式主要是从代码分析入手，导致随着各种攻击方式的不断翻新，防御方式也要被动地跟着更新，无法从根本上解决问题。
　　据悉，针对SQL 注入攻击和跨站脚本攻击，在传统的安全产业界，主要的识别和防御方法有基于特征的关键字匹配技术和基于异常检测技术。基于特征的关键字匹配技术是目前的主流方法，一些主流的IPS产品都采用这种检测技术。但由于其技术的局限性和机械性，使得这类IPS产品会形成漏报和误报。
　　而应用于像Web防火墙这类产品中的基于异常检测技术，能够发现一些异常情况。但其缺陷也显而易见，比如需要一定的学习期才能投入使用，而且一但业务模型发生变化，就需要重新学习，更为重要的是，异常未必就是攻击。
　　在学术界，针对SQL注入，同样有两个重要的研究方向，即基于正常行为模型的AMNESIA和基于数字签名技术的SQL Rand 方法。这两种方法的主要弱点是需要能够获得应用程序的源代码和修改源码。同时需要改变原有业务系统的部署，方案相当复杂。
　　传统的产业界和学术界解决方案的不足，还主要存在于对SQL 注入攻击和跨站脚本攻击的误报、漏报，以及部署复杂的问题。可见，解决Web业务安全的关键在于检测和部署。
　　对此，万卿的看法是，目前更加有效的防御手段可以采用融合基于原理和基于特征的柔性化检测机制来解决Web攻击的防御问题。比如基于攻击手法VXID的检测算法，可以在很大程度上解决上述难题。
　　据悉，VXID算法是一种将规则分析(建立虚拟机检测规则的过程)和异常分析(符合Web攻击模型的，就是Web攻击)相结合的技术。其核心内容是首先收集、分析各种可能的Web攻击方法(包括SQL注入特征和XSS攻击特征)，并提取出相应的有针对性的攻击机理。之后为这些攻击方法建立相应的检测模型(VXID算法误用检测模型)。根据这些虚拟机检测来自URL、Cookie、POST-Form中的各参数域值是否符合SQL注入模型，检测提交的脚本代码是否符合XSS攻击模型，如果符合则表示发生了Web攻击。
　　采用此类算法的好处是，避免了单纯特征匹配方法的大量漏报和误报。换句话说，这种技术不会因为将关键字定义得过于严格而出现误报，也不会因为仅能定义有限多个特征而使得变种攻击可以轻易绕过。另外，此种技术不需要在业务系统的代码上做任何修改，实现难度较低。
　　另外，徐学龙介绍说，在面对不断自我更新、快速动态变化的Web威胁时，一些企业往往显得很被动。传统解决方案往往是当病毒入侵企业并造成明显程度