互联网时代新一代安全防护技术研讨

　　如今移动互联网技术在不断兴起，电子商务平台面临的安全问题也逐渐凸显出来，下面文章就详细介绍新一代安全防护技术的处理框架和引擎技术，其中包括防御黑客攻击，捕捉黑客攻击等行为，通过第一时间人的介入，从而降低电子商务平台的安全风险。最后电子商务平台的安全防护也是需要多方面的支撑，伴随网络安全技术的不断发展，新一代的安全防护技术就会被广泛应用。

　　关键词：信息安全,框架,引擎,防御

　　随着“互联网+”、移动互联网的不断发展，电子商务平台功能的不断丰富、完善以及拥有使用便利的特性，网上招投标正逐渐成为电子商务的主流模式。据统计，我国商务招投标量比重已超过总量的80%。虽然电子商务与互联网的连接方便了供应商，但不可避免地也带来了一些负面影响。较为突出的是计算机信息网络的安全保密问题，如果解决不好，国家安全和利益将受到损害，也势必危及信息化事业的健康[1]，由于部分居心叵测的使用者受到一些不可告人的利益的驱动，这部分人不可避免地带来了涉及网络安全应用和服务的种种安全问题。

　　2015年10月3日，美国某电子商务平台此前曾遭到黑客攻击，约460万客户的姓名和地址等个人数据可能已被黑客窃取。2016年2月10日，日本某电子商务网站遭到黑客攻击造成宕机，自称属于Anony-mous黑客组织一部分的推特账户称其对此负责。由于互联网的开放性，来自互联网上的病毒、木马、黑客攻击以及计算机威胁事件，都时刻威胁着行业的信息系统安全，成为制约行业平稳、安全发展的障碍。因此，电子商务平台安全防护技术的改进、提升是信息安全保障工作的重要组成部分。

　　1安全现状

　　互联网技术的飞速发展正在改变现代企业的经营和组织方式，极大地提高了整个社会的运转效率，同时也让企业原本封闭在内部的资产暴露在复杂的网络环境中，信息安全问题已经成为关系到现代企业生存发展的关键问题。信息安全的发展方式是典型的攻防对抗式技术发展模式，伴随着新型安全产品的推出，相应的黑客攻击技术也会随之出现。例如，突然爆发的Struts2安全漏洞很有可能令企业用户的前期安全防护投入化为乌有。仅仅使用安全防御型产品已经不能提供全面、及时、有效的信息安全保障，必须与业内顶级的安全专家时刻保持紧密沟通，才能对抗不断发展进化的攻击手段。

　　随着安全业态的发展以及对安全风险本质认识的深入，网络安全工作重点正在从过去的以单点“防御”为核心逐步转向构建全面的“风险预测”“防御控制”“威胁感知”的一体化安全防护能力。当前的一体化安全策略主要从两个方向提升安全防护水平。一个方向是防御工作的前倾和加强，强调在攻击事件发生之前[2]，能够提前排查内在隐患和外在威胁的存在，有效进行风险管理和威胁预警，预先检测出潜在安全漏洞，尽量降低网站被攻击的可能性。另一个方向是安全响应工作的完善和提升，强调在安全防御体系被攻破后，能够第一时间感知到威胁事件的发生，掌握安全事件的主动权，并能迅速进行应急响应，控制和降低安全损失的影响。

　　2基本需求

　　2.1发现安全隐患

　　随时全面掌控安全风险和隐患是做好安全防控工作的基本前提。安全隐患的排查和发现需要建立完善的安全管理规范和制度，也需要面向企业的安全服务，能够通过领域信息安全专家，对企事业单位信息资产以及基础网络环境进行全面评估，利用高级渗透测试和其他安全攻击工具从攻击者角度对潜在安全隐患点进行攻防测试，形成深入、全面的安全风险评估报告，帮助用户提前发现安全问题，提供有针对性的修复和整改方案，并对最新爆发的安全漏洞提供应急响应服务，防患于未然。

　　2.2阻断攻击

　　在安全情报快速传播、安全风险不断升级的信息时代，面对不断变化的Web攻击手段和未知安全威胁，传统Web应用攻击防护技术面临巨大的安全防护挑战，Web业务的复杂度远远大于之前，安全规则的维护成本大大增加，如何实现对所有的业务线的安全保护是目前面临的重要难题。Web应用防火墙(WAF)是目前较为有效的Web应用防护产品，但WAF产品千差万别，应从实际应用效果出发，选择威胁检测准确度高、误报和漏报率低、易于维护的WAF产品。

　　2.3感知威胁入侵

　　多年来，网络安全的防护方式主要采用被动方式的安全防御措施，虽然能够有效检测出已知类型的攻击入侵，但很难抵御住未知类型的安全威胁，同时来自内部网络环境的安全威胁也层出不穷。因此，近年来针对网络安全问题，不仅仅需要边界防护技术和产品，还需要建设和加强内网的威胁感知能力，能够及时准确地发现入侵行为。

　　3解决方案

　　随着网络承载更多功能的同时，网络攻击的来源、途径、手段都在变得更加复杂且难以防护，安全防护成为极具挑战的系统性工作，单一的防护技术和手段已经很难抵御住来自四面八方的安全威胁。因此，需要具备整体防护能力的一体化安全解决方案，通过组合使用多种安全保护服务、技术和产品，形成能够对安全威胁行为全过程进行多阶段、多层次的整体性防护。

　　由于安全的攻防对抗不对称性，安全产品的布局应该考虑到不同环节的安全措施，应该至少包括威胁识别拦截和入侵发现响应两个主要环节，并结合现阶段的安全需求适度部署不同种类的安全产品，形成多种安全手段、多个环节系统协防联控的一体化安全防线。为了全面提升Web防护自适应能力，弥补传统WAF产品对未知威胁与新兴安全挑战快速响应能力差的防护短板，建议使用基于语义智能分析的Web应用防护系统。增加内部安全监测能力，发生安全事故时可以第一时间响应，保证可以及时止损。

　　内网渗透过程中的关键步骤是收集内网信息、延伸权限，这个阶段也是发现攻击以及进行应急响应的好时机。其中非常有效的一种防护措施就是伪装技术。这种技术的本质就是有针对性地对攻击者进行网络、应用、终端和数据的伪装，欺骗攻击者，尤其是攻击者的工具中的各种特征识别，使得那些工具失效，扰乱攻击者的视线，将其引入死胡同，延缓攻击者的时间。譬如可以设置一个伪目标或诱饵，诱骗攻击者对其实施攻击，从而触发攻击告警。Gartner预测到2018年10%的企业将采用这类技术，主动地与黑客进行对抗。

　　3.1防御

　　针对于安全管理的“防御控制”环节，重点是快速识别并阻断安全威胁行为。使用基于语义智能分析的无规则WAF，通过内置的无规则智能威胁识别引擎和并行数据分析框架有效提升系统的安全威胁识别能力和应对突发流量的大数据处理能力。在全面提升安全防护能力的同时，化繁为简，采用先进的无规则智能威胁识别引擎彻底解决了WAF管理员的安全规则维护和管理复杂的传统难题，降低了WAF技术操作人员的工作难度，有效杜绝了因为WAF规则配置和管理不当而导致的安全风险。

　　3.2捕获

　　安全攻防对抗的严重信息不对称性决定了“入侵发现”安全应急的必要性。以伪装技术为基础，在用户网络中部署与真实资产相似的“陷阱”(蜜罐节点)，并形成基于真实服务的高交互蜜罐网络。当攻击者通过外部安全防御系统的缺陷渗透进入到网络时，其能够及时发现和记录攻击行为，并通过蜜罐网络诱骗攻击者，延缓攻击时间，为安全响应团队争取更多的行动时间。

　　4技术优势

　　新一代防护技术采用了先进的并行处理框架和无规则智能威胁识别引擎技术，突破了传统基于安全规则的识别瓶颈，同时并行处理框架也使得新防护技术具备了前所未有的水平可扩展性和灵活的部署弹性。新一代防护技术由Web流量采集模块、并行数据分析框架、安全管理服务、日志分析服务组成。其中Web应用请求由Web流量采集模块分发至无状态的并行数据分析集群(对于小规模Web应用防护场景可使用单一节点)。

　　并行数据分析集群运行了多个无状态威胁检测服务，无状态特性降低了各个服务模块的耦合关联，极大地提高了系统的可靠性和处理性能，所有威胁检测服务都具有无规则引擎，能够独立进行基于语法智能分析的威胁识别。引擎支持SQLChop，XSSChop，PHPChop，JAVAChop等基于语法词法分析的无规则子引擎，同时具有定制黑白名单功能。安全管理服务能够检测和维护并行数据分析集群中各服务节点的运行状态，能够管理和控制各服务节点的安全检测策略，能够提供图形化的管理操作界面。日志分析服务能够收集和分析经过处理后的请求日志，并提供图形化的日志分析界面。

　　4.1防御技术

　　4.1.1协议分析智能威胁识别引擎支持对完整的HTTP请求头和单独的具体参数类型进行分析，能够实现对HTTPURL，Cookie，Body等数据体的深度检测。具体支持情况如下:HTTP请求头解析，支持对标准中规定的HTTP请求头进行解析，分析各项具体内容。支持从请求头中分析解出的内容包括但不限于:URL路径，Cookie，Referer，User-Agent，一般Headerline。

　　4.1.2深度解码在对每项内容进行具体分析之后，引擎会进一步进行深层解码尝试，尝试从内容中提取有效的攻击Payload。

　　4.1.3SQL注入检测SQL注入检测模块对从内容中提取出来的潜在攻击Payload进行进一步的检测，通过分析Payload是否符合SQL语句的词法、语法和估算语句的执行风险程度等方式，综合评价一个请求内容存在SQL注入攻击的威胁等级。

　　4.1.4XSS注入检测XSS注入检测模块对从内容中提取出来的潜在攻击Payload进行进一步检测，通过分析HTML片段的DOM结构，输出可能存在的Javascript片段，对Javascript片段进行词法、语法分析，根据结果来估算Payload的威胁等级。

　　4.1.5其他攻击类型检测其他攻击类型检测模块分为规则和自检测(无规则)两部分。规则部分针对一些比较常见的攻击提取出相应的特征，对目标请求做匹配，确定请求是否为攻击;自检测部分针对一些直接特征比较弱的攻击类型做深层分析，根据分析结果估算请求的威胁等级。

　　4.2捕获技术

　　4.2.1伪装首先需要根据用户实际网络和业务系统情况，对伪装服务的数量、类型、网络拓扑进行定制，提高伪装的效果，以达到以下3方面要求:

　　(1)网络部署密度适中蜜罐节点密度和分布策略会直接影响最终的威胁感知效果。依据网络拓扑信息、服务器列表、网络安全域划分以及IP分布情况，根据经验公式和安全保护要求计算出各个网段需要部署的蜜罐数量，并随着时间的推移，动态调整蜜罐数量和网络拓扑以达到最佳的防护效果。

　　(2)模拟真实应用服务对企业内网中存在的真实服务进行扫描，依据统计分析结果，部署相似的服务。同时，针对企业服务设置弱口令，让入侵者找到企业服务器弱点，诱导至蜜罐节点。

　　(3)模拟内部敏感数据模拟业务系统，根据企业敏感信息，混淆后，加入到蜜罐模拟的服务中，当入侵者找到敏感信息后会植入网络僵尸后门、传回敏感数据等执行进一步入侵行为，从而更深入地了解入侵者意图。

　　4.2.2捕获在构建欺骗环境吸引到攻击方的探测与攻击行为之后，蜜罐节点需要实现的下一个核心机制是捕获威胁行为数据，监控和记录攻击方在蜜罐欺骗环境中进行的所有攻击行为，为追溯与分析安全威胁提供基础数据支持。通过蜜罐日志记录模块记录其执行的操作命令，模拟服务给出相应的反馈，然后由办理模块将攻击日志反馈到后端管理分析服务，进行后续的数据处理和分析。

　　4.2.3响应根据部署的分布式蜜罐节点反馈的大量日志信息，通过大数据分析挖掘技术，形成精准的告警信息，第一时间感知到APT攻击等高级入侵行为，并且做出应急响应，达到延缓攻击的效果。

　　5总结

　　为了防范网络攻击，保护网络的安全，维护电子商务平台的正常运行，需要新一代安全防护技术。采用新一代安全防护技术的安全防护设备，可以部署在网络内部，也可以部署在网络边界处。通过先进的并行处理框架和无规则智能威胁识别引擎技术，既能防御黑客对电子商务平台的攻击，也能捕获黑客的攻击行为，在第一时间启动应急预案，人为干预，将电子商务平台的安全隐患降到最低。

　　推荐阅读：网络安全技术与应用 投稿论文容易发表吗?

　　期刊之家是可以向《网络安全技术与应用》杂志投稿的，投稿论文会更加省时、省心、省力，而投稿人员的论文文章是否容易通过审核并发表，还是要看文章内容质量度是不是达到杂志社对论文的要求。