许世强是行业杰出的WEB防火墙安全专家,长期从事网络与信息安全技术研究工作,掌握了WEB安全和DOS防护领域领先的技术,对企业安全体系建设,以及安全大数据分析具有深刻的理解。作为具有丰富实战经验的WEB安全专家,许世强主导Layer7负载均衡技术研究,实现基于HTTP协议的内核态负载分发模块,从事防火墙负载均衡技术研究。

图片人物:许世强

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。其功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。

随着WEB技术的提高和所承载信息的增长,WEB从最初的简单静态内容的展示演变到提供丰富动态内容的交互式应用,从单一服务器拓到大规模集群.由于WEB系统的漏洞所导致的内网信息和机密文件的泄露时有发生。大部分网络攻击都发生在应用层,一种新兴的WEB安全防护技术﹣WEB应用防火墙(Web Application Firewall),即WAF应运而生,WAF可以有效拦截应用层的HTTP请求并进行分析、过滤,提高WEB应用的安全性.ModSecurity不仅是WEB应用程序防火墙,而且可以作为Apache WEB服务器的模块或是单独的应用程序来增强WEB应用程序的安全性和保护Web应用程序以避免遭受来自已知与未知的攻击。

许世强带领团队从ModSecurity的三种检测入侵模型(消极安全模型、积极安全模型和已知漏洞攻击模型),针对消极安全模型,提出加人一种新的Web应用防火墙的自学习TL模型方法,采用先收集、整理和归纳网页参数特征,再与用户提交数据进行规则匹配的方法,实现对Web应用的安全防护,减少了Web管理员的繁琐的规则过滤设置,增强了ModSecurity防御的能力,提高了Web服务的安全性。

在消极安全模型研究与改进的过程中,许世强检测的主要对象:参数、参数长度、源IP地址及相同IP地址的访问时间间隔。而改进的消极安全模型在原来的基础上加上了自学习的TL模式。在TL的自学过程中,不仅学习正常的访问模式,还会生成应对的规则,也对参数的长度进行限制并生成阈值,在正常的访问过程中,将URL请求,参数长度和相对应的规则和阈值进行比较,来决定是否允许访问。

许世强的实验设计是采用一台Window Server 2008作为服务器,WEB应用采用ModSecurity作为Web防火墙,使用PHP作为应用程序后台脚本语言,部署10台左右访问机,其中一台作为攻击机,攻击工具采用SQLMAP、BurpSuit。当系统管理员启用学习模式时,可以用访问机输人正常的数据,以便于生成正常的规则。也可以用BurpSuit工具集进行模拟访问。当系统管理员启用正常访问模式时,用SQLMAP进行攻击,以获得实验数据。

经过启用学习模式学习过程、正常访问过程检测后,又对自动化SQL注入攻击、XSS脚本攻击两种攻击做了实验。实验中,自学习时,用户给服务器发生请求,普通访问过程中,ModSecurity给出的反馈。

在生成的正则表达式一定的情况下(即在自学习过程中,正常访问数量一定的情况下),当SQL注人攻击的时候,随着自学习的时间越来越长,防御SQL注人的能力越来越高,在较长的一段时间之后,改进消极安全模型虽然会比原来的消极安全模型防御能力略高,但是从系统管理员来看,避免了管理员设置复杂的黑名单和白名单,简化了防火墙维护的过程。

当XSS脚本攻击的时候,由于原来的消极安全模型设置的黑名单机制是一定的,所以原来的消极安全模型防御该攻击的能力会一直持平,改进的消极安全模型能力会越来越强,但是在1个小时的时候,会低于原来的消极安全模型,因为XSS脚本攻击一般都比较长,当测试的时候,用了一些字符长的用户名改进的消极安全模型也会将这类请求拒绝。不过随着学习时间的越来越长,改进的比原来的防御能力更强。因为原来的只是设置了黑名单,过滤一些简单字符改进的模型会将那些新颖的攻击拦截下来,从而实现ModSecurity的自学习。

最后,进行结果。检测方法与传统方法比较(如下图)。改进后的检测方法在系统训练和维护成本方面有着较好的表现.学习过程中,自学习数据存在问题,将会导致学习失败,Web攻击将被视为正常访问,所以自学习数据一定要尽可能的正确,可以用黑白名单规则库来弥补消极安全模型的缺陷.提出的TL模式和ModSecurity的消极安全模式有助于增强WEB防火墙的安全性。

通过对ModSecurity防火墙和自学习TL模型的研究,许世强提出了TL与消极安全相结合的改进模型,通过对WEB数据流中的数据长度检测,数据与生成的正则表达式匹配,实现对特定类型的WEB攻击检测,包括自动化SQL注人攻击等.实验证明该方法能有效的检测出WEB攻击行为,且对系统的延时影响较小。

随着科技发展的日新月异,网络使用已经很普及。在使用网络的同时,信息和机密文件等的泄露时有发生。在这种情况下,防火墙的性能评估与优化技术就显得十分重要。这种情况促使科学家们不断进行研究,防火墙的性能评估与优化技术是网络安全的前沿课题,也是重要课题之一。许世强带领团队从ModSecurity的三种检测入侵模型出发,为防火墙的研究与优化提供了更广阔的空间,也为其提供了重要支持,现在网络技术不断更新发展,应用防火墙也具有更优越的性能,使信息更加安全,机密文件不会轻易泄露,对中国网络安全有重要意义。(文|唐康平)