3.1防御
针对于安全管理的“防御控制”环节,重点是快速识别并阻断安全威胁行为。使用基于语义智能分析的无规则WAF,通过内置的无规则智能威胁识别引擎和并行数据分析框架有效提升系统的安全威胁识别能力和应对突发流量的大数据处理能力。
在全面提升安全防护能力的同时,化繁为简,采用先进的无规则智能威胁识别引擎彻底解决了WAF管理员的安全规则维护和管理复杂的传统难题,降低了WAF技术操作人员的工作难度,有效杜绝了因为WAF规则配置和管理不当而导致的安全风险。
3.2捕获
安全攻防对抗的严重信息不对称性决定了“入侵发现”安全应急的必要性。以伪装技术为基础,在用户网络中部署与真实资产相似的“陷阱”(蜜罐节点),并形成基于真实服务的高交互蜜罐网络。当攻击者通过外部安全防御系统的缺陷渗透进入到网络时,其能够及时发现和记录攻击行为,并通过蜜罐网络诱骗攻击者,延缓攻击时间,为安全响应团队争取更多的行动时间。
4、技术优势
新一代防护技术采用了先进的并行处理框架和无规则智能威胁识别引擎技术,突破了传统基于安全规则的识别瓶颈,同时并行处理框架也使得新防护技术具备了前所未有的水平可扩展性和灵活的部署弹性。
新一代防护技术由Web流量采集模块、并行数据分析框架、安全管理服务、日志分析服务组成。其中Web应用请求由Web流量采集模块分发至无状态的并行数据分析集群(对于小规模Web应用防护场景可使用单一节点)。并行数据分析集群运行了多个无状态威胁检测服务,无状态特性降低了各个服务模块的耦合关联,极大地提高了系统的可靠性和处理性能,所有威胁检测服务都具有无规则引擎,能够独立进行基于语法智能分析的威胁识别。
引擎支持SQLChop,XSSChop,PHPChop,JAVAChop等基于语法词法分析的无规则子引擎,同时具有定制黑白名单功能。安全管理服务能够检测和维护并行数据分析集群中各服务节点的运行状态,能够管理和控制各服务节点的安全检测策略,能够提供图形化的管理操作界面。日志分析服务能够收集和分析经过处理后的请求日志,并提供图形化的日志分析界面。
4.1防御技术
4.1.1
协议分析智能威胁识别引擎支持对完整的HTTP请求头和单独的具体参数类型进行分析,能够实现对HTTPURL,Cookie,Body等数据体的深度检测。具体支持情况如下:HTTP请求头解析,支持对标准中规定的HTTP请求头进行解析,分析各项具体内容。支持从请求头中分析解出的内容包括但不限于:URL路径,Cookie,Referer,User-Agent,一般Headerline。
4.1.2
深度解码在对每项内容进行具体分析之后,引擎会进一步进行深层解码尝试,尝试从内容中提取有效的攻击Payload。
4.1.3
SQL注入检测SQL注入检测模块对从内容中提取出来的潜在攻击Payload进行进一步的检测,通过分析Payload是否符合SQL语句的词法、语法和估算语句的执行风险程度等方式,综合评价一个请求内容存在SQL注入攻击的威胁等级。
4.1.4
XSS注入检测XSS注入检测模块对从内容中提取出来的潜在攻击Payload进行进一步检测,通过分析HTML片段的DOM结构,输出可能存在的Javascript片段,对Javascript片段进行词法、语法分析,根据结果来估算Payload的威胁等级。
4.1.5
其他攻击类型检测其他攻击类型检测模块分为规则和自检测(无规则)两部分。规则部分针对一些比较常见的攻击提取出相应的特征,对目标请求做匹配,确定请求是否为攻击;自检测部分针对一些直接特征比较弱的攻击类型做深层分析,根据分析结果估算请求的威胁等级。
4.2捕获技术
4.2.1
伪装首先需要根据用户实际网络和业务系统情况,对伪装服务的数量、类型、网络拓扑进行定制,提高伪装的效果,以达到以下3方面要求:
(1)网络部署密度适中蜜罐节点密度和分布策略会直接影响最终的威胁感知效果。依据网络拓扑信息、服务器列表、网络安全域划分以及IP分布情况,根据经验公式和安全保护要求计算出各个网段需要部署的蜜罐数量,并随着时间的推移,动态调整蜜罐数量和网络拓扑以达到最佳的防护效果。
(2)模拟真实应用服务对企业内网中存在的真实服务进行扫描,依据统计分析结果,部署相似的服务。同时,针对企业服务设置弱口令,让入侵者找到企业服务器弱点,诱导至蜜罐节点。
(3)模拟内部敏感数据模拟业务系统,根据企业敏感信息,混淆后,加入到蜜罐模拟的服务中,当入侵者找到敏感信息后会植入网络僵尸后门、传回敏感数据等执行进一步入侵行为,从而更深入地了解入侵者意图。
4.2.2
捕获在构建欺骗环境吸引到攻击方的探测与攻击行为之后,蜜罐节点需要实现的下一个核心机制是捕获威胁行为数据,监控和记录攻击方在蜜罐欺骗环境中进行的所有攻击行为,为追溯与分析安全威胁提供基础数据支持[4]。通过蜜罐日志记录模块记录其执行的操作命令,模拟服务给出相应的反馈,然后由代理模块将攻击日志反馈到后端管理分析服务,进行后续的数据处理和分析。
4.2.3
响应根据部署的分布式蜜罐节点反馈的大量日志信息,通过大数据分析挖掘技术,形成精准的告警信息,第一时间感知到APT攻击等高级入侵行为,并且做出应急响应,达到延缓攻击的效果。
5、总结
为了防范网络攻击,保护网络的安全,维护电子商务平台的正常运行,需要新一代安全防护技术。采用新一代安全防护技术的安全防护设备,可以部署在网络内部,也可以部署在网络边界处。通过先进的并行处理框架和无规则智能威胁识别引擎技术,既能防御黑客对电子商务平台的攻击,也能捕获黑客的攻击行为,在第一时间启动应急预案,人为干预,将电子商务平台的安全隐患降到最低。
【电子商务平台的论文】相关文章:
1.电子商务平台论文
8.科技论文