技術領域

本發明屬于Web應用防護技術領域，尤其涉及一種基于Mshield機器學習多模式Web應用防護方法。

背景技術

在互聯網高速發展的今天，信息化已經成為企業競爭、發展、創新的重要手段，越來越多企業的核心業務采用Web應用實現，圍繞數據中心式的Web應用已經逐漸成為企業主流業務的重要載體，企業財富與網絡安全緊密相關，與廣大群眾生活的聯系也越來越緊密。但由于Web應用本身的開放性、不可控性，從互聯網興起至今，利用網絡漏洞攻擊Web應用的安全事件層出不窮，并且呈日趨嚴重的態勢，攻擊手段也愈加“高級”與多樣。由網絡攻擊引起的網站癱瘓、信息泄露及網頁篡改、掛馬等威脅，對網站業務造成重大影響，降低用戶體驗，導致核心用戶流失，財產損失。從Web應用安全事件就可以看出，Web應用安全的漏洞近來逐漸成為主流攻擊方式，利用SQL注入，XSS，CSRF等OWASP TOP 10安全漏洞，不法分子多姿勢獲取敏感信息，甚至GetShell(拿到Web服務器管理權限)，從而制造更大威脅，危害網絡安全。由于Web應用的多樣性，廣布性，其安全漏洞也屢見不鮮。僅Wooyun平臺近期收錄的大陸地區漏洞情況，就已讓人心驚。2009年Gartner發布了一篇白皮書，增加了一名新成員——下一代防火墻(NGFW)，它將用戶、應用和內容作為管控基礎。NGFW除具備第一代防火墻基本功能之外，還具有應用流量識別、應用層訪問控制、應用層安全防護、用戶控制、深度內容檢測、高性能等特征的控制的系統。但下一代防火墻中針對Web應用的防護主要在于用戶管控、Web攻擊防護與信息泄露防護，對Web應用安全防護能力仍較低。目前云的概念已經深入人心，越來越多的政府、企業等客戶都在往云上遷移。最近3年，云計算市場規模增長率年平均為17％左右，云安全服務市場的規模增長率略高，平均約為23％；在云上做安全更是成為了一種新的發展，但事實是云安全服務在云計算服務市場總額占比較低，約1.7％左右，面對巨大的中國市場，國際著名的信息安全公司甚至已經提前做好搶占市場份額準備，紛紛加大研發力度，不斷優化產品。雖然當今云安全服務解決方案呈多樣化發展，但總體分為工具產品部署和人工檢測分析兩類。目前來講，較成熟的解決方案仍為傳統防護產品如：WAF，漏洞掃描，防火墻等。現如今人工智能和機器學習技術一片火熱，從20世紀80年代中后期到現在，機器學習研究進入一個新階段，已經趨向成熟。神經網絡的復蘇，帶動著各種非符號學習方法與符號學習并駕齊驅，并且已超越研究范圍，進入到自動化及模式識別等領域。在國內，已經出現以瀚思為代表的將機器學習技術用于安全防護的應用。針對Web應用防護，WAF無疑是極好的防御產品，而當前市面上主流WAF等安全防護產品都是正則防護系統，對于“規則”的過度依賴，在面對用法靈活、手段多樣的Web攻擊時，往往導致誤報或漏報的情況(WAF Bypass)。即使實時更新規則，還是不能做到非常有效的防護。且早在BlackHat 2005，Hanson和Patterns從理論上證明了，任何基于正則的輸入驗證系統，都存在以下兩個情況至少有一個為真:可以構造一個安全的正常請求，但是被驗證系統標記為危險/不正常可以構造一個不正常的攻擊請求，但是驗證系統標記為正常請求；也就是說，針對一個基于正則表達式的防護系統，永遠都將處于誤報與錯報的同時發生中，傳統規則型WAF的局限性可見一斑。機器學習是一門基于有監督或無監督算法的學科，可以解決分類、回歸、聚類等問題，而現在面臨的恰好是一個典型的分類問題，需要對一個輸入的http請求，輸出其是否有害的信息。綜上所述，如果使WAF與機器學習相結合，可以更好保障應用業務安全。BlackHat2012，Nick Galbreath提出了libinjection——a C library for SQLi detection and generation through lexical analysis of real world attacks。他首先考慮到了詞法分析，但當時的結果存在較大的改進空間。2014年中國互聯網安全大會(ISC 2014)第二天上午舉辦的“WEB與應用安全論壇”上，知道創宇資深安全顧問秦波發表了《大數據形式下的Web安全防護思路》，提出了使用大數據來更好的做Web安全防護，從數據中尋找規律，從數據中挖掘威脅。北京時間2015年8月2日，全球頂尖安全會議BlackHat如期在美國拉斯維加斯舉行。長亭科技作為Arsenal分會場唯一來自中國的團隊，以講解和現場測試的方式，推出了新型的SQL注入攻擊檢測與防御引擎——SQLChop。SQLChop在測試中表現出的良好防御能力，獲得了世界各地網絡安全業者的認可。作為一種新型有效的SQL檢測與防御方案，長亭的SQLChop在詞法分析的基礎上再做了語法分析。它不僅為業界Web安全防護開辟了新的道路，還點出了詞法語法分析在安全防護上的重大作用。攻與防一直是網絡安全的核心，在網絡與信息時代，各個方面都與網絡安全緊密相關，而50％以上的網絡攻擊發生在Web應用層。在這種安全大環境下，針對Web應用，傳統的安全防御方案遠不及WAF更能有效地保護目標網站。而目前常見的WAF都是基于規則匹配的，其誤報、漏報率高，易被針對其過濾規則或其他方式進行繞過。