WAF规则自动探测与发现技术研究.docVIP

WAF规则自动探测与发现技术研究 　　摘要： 关键词： 中图分类号： 文献标志码： A文章编号： 2095-2163（2017）06-0103-06 　　Abstract： This paper designs a tool， that is able to autodetect WAF （Web Application Firewall） rules. The tool could get the WAF rules after the user offers the website and the target parameter. The tool is divided into three modules： WAF Discovery Module， Payloads Sending Module， Rules Retrieval Module. The tool adds regular expression matching function. And it uses shortest element detected first strategy and dichotomy to improve the performance. This paper uses multithreading and alleviates the network delay problem. Meanwhile， the paper also designes the good payload databases. It could make the detection more effective and accurate. The payload databases could always be inserted with new items. 　　0引言 　　随着IT技术的不断发展和进步，互联网已经走进了千家万户，成为人们生活中必不可少的一部分。截至2015年12月底，国内网站数量已达426.7万个[1]。在网站数量不断增长的同时，网络安全态势也逐渐变得十分严峻。根据360互联网安全中心与2017年2月12日发布的《2016年中国互联网安全报告》，国内扫描出的存在漏洞的网站已达91.7万个，占网站数量的21.4%，其中存在高危漏洞的网站有14.0万个，占网站数量的3.3%。保护网站应用的安全，是每一家互联网企业和其他网站建设机构不可推卸的首要任务与基础职责。 　　一般的网络防火墙能够对服务器进行一定的防护，但是却并不擅长应用层面的安全防护。由此，网站应用防火墙（WAF，Web Application Firewall），则应运而生。WAF的主要功能是保护Web应用不受到恶意攻击，并通过对网站的请求和响应开展高效的分析和统计，能够对网站攻击事件提供及时的报警、甚至停止响应，以保护网站服务器的安全。 　　大部分的WAF通过对请求或者响应内容进行特征匹配[2]，如果在请求中匹配到恶意字符串或者在响应中匹配到敏感信息，则视此次请求为非法请求，可以停止响应，实现服务器的保护功能。优秀的WAF产品能够设计出良好的特征库，检测出大部分的恶意攻击；同时也能够拥有较低的误报率，保证网站的正常功能需求。 　　因此，本文研究设计了一款WAF规则自动发现的脚本应用，能够探测出网站配置的WAF规则以及没有配置的规则，从而可以有针对性地优化网站WAF的配置，提升自我安全防护。 　　1WAF规则的自动探测设计 　　1.1WAF的表现形式 　　既然要探测WAF规则配置，就需要知道WAF的一般响应形式。研究中人工收集了54个网站的WAF响应，大致可分为4类，对其内容阐释如下： 　　1）HTTP响应码不是200（19/54）。正常的HTTP请求响应码是200[3]，通常引发了WAF禁止的请求响应码就会变成403 Forbidden、302跳转、501服务器错误、404 Not Found等等异常响应码，实例之一即如图1所示。这在本次样本中共占19个。 　　2）明显的WAF提示（16/54）。 除了一些异常响应码，还会有很多网站会展现与正常响应截然不同的响应内容，是比较明显的WAF提示，示意则如图2所示。这在本次样本中共占16个。 　　3）停止响应（14/54）。很多网站在认为遭遇了攻击时就会直接停止攻击者的响应，以保护自身网站的安全，具体可如图3所示。这样的网站在本次样本中共占14个。 　　4）自定义响应（5/54）。还有少数网站也会给出一定的提示，或者给出一定的响应特征表示此请求已被WAF禁止，但是响应特征不明显，因而很难提取。这样的网站在本次样本中共占5个。 　　综合以上研究论述后，可得分析结论如下： 　　1）网站和网站之