基于云平台的Web应用安全防护

文/李冠蕊 刘瑞景 李雪茹

云计算现已成为IT技术和产业发展的重要趋势，它体现了信息技术集约化发展的方向，对信息技术未来发展具有深远的影响。作为信息技术的分支之一，信息安全产业同样面临着向“云”转型的重大战略机遇和挑战。传统的Web安全防护技术，受限于其所依托的硬件或软件资源，在防御能力、响应速度、系统规模等方面已无法满足日益复杂的安全需求。而基于云平台的Web应用安全防护服务则成为有效解决上述问题的重要途径。本文重点围绕云计算环境下的应用安全防护技术，解决云环境下大规模Web应用监管、防护面临的实际安全问题，分别从云平台下的Web应用安全防护、DDoS攻击防护、安全监测防护、事件审计分析、防护统计和用户自服务相关技术的展开探讨。

1 Web应用安全防护

Web应用程序运行环境复杂，从网络层、到系统层、再到应用层，每个层面都可能有安全漏洞，任何一个环节出了问题，都会产生安全事故，也都有可能遭遇外来的攻击。随着防火墙和入侵检测系统等网络安全设备的大量使用、网络层和系统层的安全性得到了加强，但这些安全设备一般都工作在ISO的网络层，对于应用层的攻击却无能为力。因为针对这一问题，我们对Web应用层安全防护做了进一步研究。

（1）Web应用攻击防护，即通过预定义以及用户定义规则库对常见Web应用攻击进行拦截，同时产生审计日志。

（2）Web应用特征库建立，Web应用特征库支持预定义特征和用户自定义特征，特征建立需要从两方面着手：基于URL特征库的建立，该库能够有效防御简单注入攻击、目录遍历攻击、远程文件包含攻击，该攻击的特点是将攻击内容通过URL进行传播。该特征相对简单，并且分类明确。基于HTTP/HTTPS协议特征库的建立，该库的建立分为两部分，其一，针对HTTP/HTTPS协议头规范，制定出严格符合规范的特征库，该特征主要针对于目前较为普遍的机器人攻击、cookie攻击、盗链攻击、缓冲区溢出攻击等能够明确缺陷产生头域的攻击，同时能够防范攻击变体；其二，建立协议体特征库，该部分主要针对于内容恶意篡改、重放、挂马等缺陷，这种缺陷对于系统危害较大，并且难于定位。

（3）Web应用攻击防护引擎建立，该引擎充分利用云中心提供的计算能力，使用大规模并行处理技术对HTTP/HTTPS数据进行分析，结合特征库对恶意流量进行清洗，对合法流量放行。

2 DDoS攻击防护

除应用层外，Web服务器主机平台同样面临着安全威胁，例如分布式拒绝服务（DDoS），因此在构建Web应用程序安全防护系统时，不仅要从应用层面进行构建，还应从服务器平台层面进行构建，以达到对Web应用平台的全面保护。

拒绝服务（DDoS）攻击防护，依托核心专利抗DDOS模块，对TCP、ICMP、UDP拒绝服务攻击进行防护，同时可对流量启动自学习产生当前网络流量模型，有效防御未知攻击。

云应用安全防护服务平台采用了基于数据挖掘的DDoS攻击异常检测技术，能够同时检测数据包洪泛攻击和应用层拒绝服务攻击；系统所采用的拥有专利技术的DDoS数据包特征发现和防欺骗技术，能够准确的区分攻击数据包和正常数据包；采用了专门设计的专用网络处理技术，具有多层次深度防御功能。

3 安全检测防护

采用先进的分布式处理技术的安全检测核心对客户网站或服务器进行实时检测与分析，及时发现安全漏洞、篡改内容、敏感信息、运行状态等异常状况并通过短信、邮件等多种手段通知用户。

3.1 篡改检测防护

网页篡改检测防护即对保护服务器进行检测，及时发现恶意篡改事件并将正常网页恢复，保证访问的正确性。篡改防护包含两种方式：篡改保护和篡改恢复。

篡改保护，能够在发现恶意篡改事件之后主动接管应用服务的负载，确保篡改后内容不流出；篡改恢复，能够在发现恶意篡改事件之后自动恢复应用服务中的内容，保证应用服务能够提供连续正常的服务。

3.2 应用漏洞扫描

应用漏洞扫描即对后端指定应用服务进行预订规则扫描，发现应用服务存在的漏洞，并对该漏洞进行分析生成漏洞分析报告。

3.3 敏感关键字检测过滤

敏感关键字检测过滤即使用预定义敏感关键字对后端应用服务进行检测，记录发现的敏感关键字的位置以及摘要，同时提供对敏感关键字的实时过滤。

3.4 运行状态监控

运行状态监控即对应用服务状态监控包括服务连通性、服务响应延迟时间等状态信息。

3.5 监控事件告警

监控事件告警支持对不同运行状态、安全状态以及业务状态配置告警动作、告警方式、告警周期。

4 事件审计分析

事件审计分析服务对安全事件以及访问事件记录进行审计和分析，以期得到有指导意义的结果，依赖云中心强大的并行计算能力以及云中心分布式存储架构，虚拟环境仅完成对事件的分类收集，收集的数据将存储在分布式数据中心，云中心将对分布式数据中心的审计数据进行分析并产生有意义的结果。其为客户提供网站访问的立体视图，对网站访问的整体情况做到心中有数、有据可查、趋势可控，为进一步决策分析提供有力的支撑。

事件审计分析服务可以向管理员提供基于访问者、访问内容的统计分析，从而指导网站优化和升级的基础数据，同时还可以协助确定网络攻击是否发生，并监控网站的运行情况。基于访问者的统计分析可以向管理员提供在所有访问者中，访问者所使用的客户端工具、操作系统、地域位置等据，可以作为管理员分析用户群分布特点的基础数据，从而指导优化和升级网站，监控网站的访问情况。基于内容的统计分析可以向管理员提供用户最经常访问哪些页面、栏目、文件类型、使用的域名、入站出站的网页等数据，可以作为管理员分析用户行为特点的基础数据，为改进优化网站提供指导，并监控用户访问网站的行为趋势。

5 防护统计

提供丰富的界面呈现和数据报表，为用户提供全方位多角度统一视图，帮助用户全面掌握所辖网站的安全态势、运行情况和业务数据，实现全局展现、预警监控、应急响应的目的。用户可以实时查看各个网站的运行状态、安全状态和业务状态。网站的运行状态展示了网站的健康程度，网站的安全状态展示了网站的危险程度，网站的业务状态则展示了网站的业务分析结果。所有的数据内容可通过报表、日志等形式导出，供用户备份或其他用途使用。

6 用户自服务

为了加强Web与用户的交互，用户可以实现从服务注册、服务使用、服务修改、服务注销的全自助式服务。

用户在完成平台用户注册后，即可按照服务已定义好的服务模板选择所需要的服务内容，或者可根据自身情况自定义服务内容，然后依据平台提示过程完整所购买服务的注册流程，即可开始享受全方位立体式安全保障。

在服务运行过程中，用户可随时登陆自己在云平台上的门户，通过综合展现平台查看自己网站的安全、运行情况，如果发现预置的安全策略或监控内容不符合客户需求，可自行通过门户进行修改。同时，也可以将自己的需求通过门户提交给云平台，平台强大的安全咨询团队将为客户提供深入的分析解决方案，满足用户需求。

如果用户不再使用服务内容，可通过自己的门户轻松注销服务。若服务时间到期，平台会通过邮件、短信等多种渠道通知用户，以免造成用户网站访问异常。

7 结语

基于云平台的Web应用安全防护服务，能够充分发挥云平台集中、高效、全面的特点，通过使用各种防护分析技术，涵盖应用安全的方方面面。云应用安全防护服务平台重点面向Web攻击防护服务能力、DDoS攻击防护服务能力、安全检测服务能力的建设，辅以事件审计分析服务、综合展现服务，通过完整的服务流程设计，提供全生命周期的服务自助管理。

随着信息技术和网络技术的不断发展，个人、政府、企业对应用程序的依赖程度越来越高，对大数据云平台应用也越来越广。当前Web应用蓬勃发展的同时安全威胁也与日俱增，所以在云平台广泛应用的时代，在云平台的基础上全方位加强防护Web应用安全具有非常重要的意义。