基于动态IP黑名单的轻量级WEB入侵主动防御关键技术与可视化度量模型研究与应用

随着技术的发展，WEB应用也面临着安全威胁[1]。WEB入侵防御检测技术对WEB进行实时监控[2]，阻止恶意攻击，通过对应用层协议的深度解析及WEB双向过滤，对非法的请求予以实时阻断，保护WEB应用通信流和所有相关应用资源受到WEB协议或应用程序漏洞发动的攻击[3]，实时保护网站及服务器安全。

1 国内外研究现状

相对于国外市场，国内对于web安全研究较晚。常畅[4]在论著中提出引入活跃熵检测算法。张宇飞[5]在论著中研究了基于程序行为分析防御技术。乐朝辉[6]在论著中提出利用隐马尔柯夫模型设计实现Web应用防火墙系统。

2 主要研究内容

2.1 主动防御（WAF）框架

主动防御（WAF）框架主要由防火墙IP阻断、IP地址锁定、HTTP/HTTPS请求接收、预过滤、主动防御检测、IP地址锁定、日志存储、日志分析和可视化显示模块组成。主要过程如下：首先客户机通过防火墙中IP阻断模块进行初始化阻断，将阻断地址添加至IP地址锁定模块并对阻断、锁定的存放于IP地址共享池中，后续客户端访问直接阻断。然后，Http/Https请求接收模块对Http/Https访问请求进行捕获，针对Https协议进行SSL解密和加速，对各种编码和字符集进行标准化处理，将请求缓存到接收队列中等待被检测。预过滤模块与动态IP黑名单中威胁系数与预过滤模块中预设的威胁系数进行对比，大于将阻止，小于将请求送到主动防御检测模块进行检测。主动防御检测模块从队列中等待检测的请求，该时段中出现的网络异常行为与WEB内容进行分析，如检测到疑似攻击入侵动作，将进行IP地址阻断同时将该动作特性以日志形式存放至日志存储模块中，攻击源IP威胁度计算模块将同一时间段内攻击日志进行分析，利用威胁系数算法计算IP的威胁系数并将威胁系数存放至动态IP黑名单中[7]，IP地址锁定模块对动态IP黑名单中地址进行锁定，并将锁定的IP地址存放在防火墙中IP阻断模块，最后清空这个周期内的攻击日缓存。转发模块将通过检测的行为转发至WEB服务器中。如图1所示。

图1 主动防御（WAF）框架图

2.2 威胁系数算法

威胁系数算法用于计算一段时间内T，各个攻击对WEB中网络的威胁程度。按攻击对集合H中攻击进行分类，得到i个攻击事件子集合，设为A1,A2,…Ai。分别对应不同攻击源地址IP1,IP2,IP3，…,IPi的攻击事件集合。最终通过计算得出威胁系数。通过研究，不同频次、不同时间段、不同地域、不同规则攻击对目标主机造成影响程度不同。对属于不同频次、不同时间段、不同地域、不同规则攻击攻击源的攻击子集根据不同攻击属性H且H∈P进行分类，将不同频次、不同时间段、不同地域、不同规则为IPi对应的攻击子集Ai中不同频次、不同时间段、不同地域、不同规则IPi的重要性进行权重相加，分别记为Frequency、Time、Region、Rule;NN表示E中不同目标主机的总数，IPi的攻击频次、时间、地域、规则对应的威胁系数Frequency、Time、Region、Rule的函数关系分别记为：(ipi)=Frequency/N；(ipi)=Time/N；(ipi)=Region/N；(ipi)=Rule/N。根据对攻击事件集并按攻击源IP地址的分类，分别计算出各攻击源IP的威胁系数。权值λ1,λ2,λ3,λ4分别反映了攻击频次、攻击时间段、攻击地域、攻击规则对整WEB中网络的影响程度，且λ1+λ2+λ3+λ4=1，将它们分别作为攻击频次、攻击时间段、攻击地域、攻击规则的威胁权值。攻击源地址为ipi的主机当前周期威胁程度计算公式为：

Threatlasti表示ipi上个周期的威胁度,结合Threatlasti计算出攻击源ipi的威胁度值Threati。

当ipi∈X时有：

当 ipiÏX 时有：

如果ipi不存在集合X中，其威胁系数Threati和IP地址同时添加至X中；如果ipi对应的威胁系数值小于等于零时，该IP地址会从集合X中移除。其中式(2)和(3)中的ThreatΔ表示经过一个固定时间段T后攻击IP威胁系数的衰减程度，该值可以根据网络实际情况设置，ThreatΔ值越大，攻击者的威胁系数衰减速度越快，当黑名单中某个IP的威胁系数值衰减到小于0时，该IP地址将自动从IP黑名单当中被移除。

2.3 WAF实现模块

WAF实现模块由配置模块、协议解析模块、规则模块、动作模块、错误处理模块组成，主要过程如图2所示，实现主动防御。

2.4 可视化视图

通过研究基于可视化度量模型，利用D3 WEB可视化技术实现监测度量WEB入侵情况。可视化视图由入口文件视图、WAF分时统计图、入侵IP地址统计图和受侵网站统计图组成。入口文件视图通过对入口的文件进行分时攻击次数统计，获得相关文件名。WAF分时统计图实时对WAF攻击次数进行可视化显示。如图3所示。入侵IP地址统计图实时对入侵IP地址、次数进行可视化显示。受侵网站统计图实时对受侵网站、次数进行可视化显示。

3 结 语

轻量级主动入侵防御技术对Web进行了动态实时主动防御。解决了HTTPS协议的攻击和Web应用层的各种变种攻击问题。系统提供强大的分析、处理能力以及可视化入侵监测度量，提高了防御效果和执行效率，降低主动防御漏报和误报率，满足了高性能的要求。

[1]Igino Corona, Roberto Tronci.A Multiple Classifier System for the Protection of Web Services.21st International Conference on Pattern Recognition (ICPR2012).November 11-15,2015.Tsukuba,Japan.

[2]Citrix.NetScalerapplicationfirewall[EB/OL].http://www.citrix.com/English/ps2/products/product.asp?contentID=2312027ntref=prod_biz,2015.

[3]]K.Munivara Prasad,M.Ganesh Karthik,E.S.Phalguna Krishna.An Efficient Flash Crowd Attack Detection to Internet Threat Monitors (ITM) Using Honeypots.Advances in Computing and Information Technology Advances in Intelligent Systems and Computing,2014,(177) 595-610

[4]常畅.基于云架构的Web应用防火墙研究[D].天津:天津理工大学,2015.

[5]张宇飞.基于程序行为分析的主动防御研究[D].吉林:长春理工大学 ,2009.4-50.

[6]乐朝辉.基于隐马尔柯夫模型的Web应用防火墙的设计与实现[D].成都:电子科技大学,2011.

[7]徐玉宗.基于反向代理服务器和黑白名单的WAF架构优化与实现[D].北京:北京邮电大学,2013.