基于動態IP黑名單的輕量級WEB入侵主動防御關鍵技術與可視化度量模型研究與應用

隨著技術的發展，WEB應用也面臨著安全威脅[1]。WEB入侵防御檢測技術對WEB進行實時監控[2]，阻止惡意攻擊，通過對應用層協議的深度解析及WEB雙向過濾，對非法的請求予以實時阻斷，保護WEB應用通信流和所有相關應用資源受到WEB協議或應用程序漏洞發動的攻擊[3]，實時保護網站及服務器安全。

1 國內外研究現狀

相對于國外市場，國內對于web安全研究較晚。常暢[4]在論著中提出引入活躍熵檢測算法。張宇飛[5]在論著中研究了基于程序行為分析防御技術。樂朝輝[6]在論著中提出利用隱馬爾柯夫模型設計實現Web應用防火墻系統。

2 主要研究內容

2.1 主動防御（WAF）框架

主動防御（WAF）框架主要由防火墻IP阻斷、IP地址鎖定、HTTP/HTTPS請求接收、預過濾、主動防御檢測、IP地址鎖定、日志存儲、日志分析和可視化顯示模塊組成。主要過程如下：首先客戶機通過防火墻中IP阻斷模塊進行初始化阻斷，將阻斷地址添加至IP地址鎖定模塊并對阻斷、鎖定的存放于IP地址共享池中，后續客戶端訪問直接阻斷。然后，Http/Https請求接收模塊對Http/Https訪問請求進行捕獲，針對Https協議進行SSL解密和加速，對各種編碼和字符集進行標準化處理，將請求緩存到接收隊列中等待被檢測。預過濾模塊與動態IP黑名單中威脅系數與預過濾模塊中預設的威脅系數進行對比，大于將阻止，小于將請求送到主動防御檢測模塊進行檢測。主動防御檢測模塊從隊列中等待檢測的請求，該時段中出現的網絡異常行為與WEB內容進行分析，如檢測到疑似攻擊入侵動作，將進行IP地址阻斷同時將該動作特性以日志形式存放至日志存儲模塊中，攻擊源IP威脅度計算模塊將同一時間段內攻擊日志進行分析，利用威脅系數算法計算IP的威脅系數并將威脅系數存放至動態IP黑名單中[7]，IP地址鎖定模塊對動態IP黑名單中地址進行鎖定，并將鎖定的IP地址存放在防火墻中IP阻斷模塊，最后清空這個周期內的攻擊日緩存。轉發模塊將通過檢測的行為轉發至WEB服務器中。如圖1所示。

圖1 主動防御（WAF）框架圖

2.2 威脅系數算法

威脅系數算法用于計算一段時間內T，各個攻擊對WEB中網絡的威脅程度。按攻擊對集合H中攻擊進行分類，得到i個攻擊事件子集合，設為A1,A2,…Ai。分別對應不同攻擊源地址IP1,IP2,IP3，…,IPi的攻擊事件集合。最終通過計算得出威脅系數。通過研究，不同頻次、不同時間段、不同地域、不同規則攻擊對目標主機造成影響程度不同。對屬于不同頻次、不同時間段、不同地域、不同規則攻擊攻擊源的攻擊子集根據不同攻擊屬性H且H∈P進行分類，將不同頻次、不同時間段、不同地域、不同規則為IPi對應的攻擊子集Ai中不同頻次、不同時間段、不同地域、不同規則IPi的重要性進行權重相加，分別記為Frequency、Time、Region、Rule;NN表示E中不同目標主機的總數，IPi的攻擊頻次、時間、地域、規則對應的威脅系數Frequency、Time、Region、Rule的函數關系分別記為：(ipi)=Frequency/N；(ipi)=Time/N；(ipi)=Region/N；(ipi)=Rule/N。根據對攻擊事件集并按攻擊源IP地址的分類，分別計算出各攻擊源IP的威脅系數。權值λ1,λ2,λ3,λ4分別反映了攻擊頻次、攻擊時間段、攻擊地域、攻擊規則對整WEB中網絡的影響程度，且λ1+λ2+λ3+λ4=1，將它們分別作為攻擊頻次、攻擊時間段、攻擊地域、攻擊規則的威脅權值。攻擊源地址為ipi的主機當前周期威脅程度計算公式為：

Threatlasti表示ipi上個周期的威脅度,結合Threatlasti計算出攻擊源ipi的威脅度值Threati。

當ipi∈X時有：

當 ipi?X 時有：

如果ipi不存在集合X中，其威脅系數Threati和IP地址同時添加至X中；如果ipi對應的威脅系數值小于等于零時，該IP地址會從集合X中移除。其中式(2)和(3)中的ThreatΔ表示經過一個固定時間段T后攻擊IP威脅系數的衰減程度，該值可以根據網絡實際情況設置，ThreatΔ值越大，攻擊者的威脅系數衰減速度越快，當黑名單中某個IP的威脅系數值衰減到小于0時，該IP地址將自動從IP黑名單當中被移除。

2.3 WAF實現模塊

WAF實現模塊由配置模塊、協議解析模塊、規則模塊、動作模塊、錯誤處理模塊組成，主要過程如圖2所示，實現主動防御。

2.4 可視化視圖

通過研究基于可視化度量模型，利用D3 WEB可視化技術實現監測度量WEB入侵情況。可視化視圖由入口文件視圖、WAF分時統計圖、入侵IP地址統計圖和受侵網站統計圖組成。入口文件視圖通過對入口的文件進行分時攻擊次數統計，獲得相關文件名。WAF分時統計圖實時對WAF攻擊次數進行可視化顯示。如圖3所示。入侵IP地址統計圖實時對入侵IP地址、次數進行可視化顯示。受侵網站統計圖實時對受侵網站、次數進行可視化顯示。

3 結 語

輕量級主動入侵防御技術對Web進行了動態實時主動防御。解決了HTTPS協議的攻擊和Web應用層的各種變種攻擊問題。系統提供強大的分析、處理能力以及可視化入侵監測度量，提高了防御效果和執行效率，降低主動防御漏報和誤報率，滿足了高性能的要求。

[1]Igino Corona, Roberto Tronci.A Multiple Classifier System for the Protection of Web Services.21st International Conference on Pattern Recognition (ICPR2012).November 11-15,2015.Tsukuba,Japan.

[2]Citrix.NetScalerapplicationfirewall[EB/OL].http://www.citrix.com/English/ps2/products/product.asp?contentID=2312027ntref=prod_biz,2015.

[3]]K.Munivara Prasad,M.Ganesh Karthik,E.S.Phalguna Krishna.An Efficient Flash Crowd Attack Detection to Internet Threat Monitors (ITM) Using Honeypots.Advances in Computing and Information Technology Advances in Intelligent Systems and Computing,2014,(177) 595-610

[4]常暢.基于云架構的Web應用防火墻研究[D].天津:天津理工大學,2015.

[5]張宇飛.基于程序行為分析的主動防御研究[D].吉林:長春理工大學 ,2009.4-50.

[6]樂朝輝.基于隱馬爾柯夫模型的Web應用防火墻的設計與實現[D].成都:電子科技大學,2011.

[7]徐玉宗.基于反向代理服務器和黑白名單的WAF架構優化與實現[D].北京:北京郵電大學,2013.