基于HTTP反向代理的Web安全網(wǎng)關(guān)技術(shù)研究.pdf

1、隨著移動互聯(lián)網(wǎng)的發(fā)展，越來越多的基于HTTP協(xié)議的互聯(lián)網(wǎng)應(yīng)用正改變著人們的生活。但由于HTTP協(xié)議的開放特性和自身設(shè)計上存在的安全缺陷，采用HTTP協(xié)議的Web應(yīng)用容易出現(xiàn)資源越權(quán)訪問、網(wǎng)絡(luò)攻擊和流量分析等安全問題。傳統(tǒng)意義上對于這些安全問題的防范均停留在Web服務(wù)器和Web應(yīng)用層面上，隨著網(wǎng)絡(luò)攻擊形式的多樣化，形如OpenSSL互聯(lián)網(wǎng)基礎(chǔ)設(shè)施軟件漏洞頻發(fā)，對于安全問題應(yīng)對出現(xiàn)滯后性，而且應(yīng)用開發(fā)人員在安全問題上花費大量精力和時間而不能

2、專注于Web應(yīng)用軟件本身。
　　傳統(tǒng)安全防護軟件在架構(gòu)上多數(shù)采用安全模塊的形式嵌入到Web服務(wù)器上，但隨之帶來了與Web服務(wù)器耦合、部署困難和帶來不穩(wěn)定因素等問題。而且，在大部分安全防護軟件中，防護來自HTTP攻擊流量時，采取了特征靜態(tài)匹配的方式，使得防護處于被動。隨著人工智能研究的興起，越來越多的安全防護算法已經(jīng)開始采用主動的機器學(xué)習(xí)來識別新型網(wǎng)絡(luò)攻擊。但是，由于絕大部分算法沒有深入HTTP報文協(xié)議本身，僅僅是對HTTP報文整體

3、數(shù)據(jù)進行分析研判，割裂了數(shù)據(jù)之間的關(guān)聯(lián)性，所以容易出現(xiàn)漏報和誤報等問題。
　　因此，傳統(tǒng)的安全防護技術(shù)不足以應(yīng)對復(fù)雜多樣的網(wǎng)絡(luò)攻擊、高并發(fā)用戶請求和苛刻的服務(wù)器穩(wěn)定要求。本文試圖從解決傳統(tǒng)安全防護技術(shù)存在的防護措施單一、架構(gòu)耦合、模塊難擴展以及性能瓶頸等問題入手，主要工作有:
　　1、提出了一種基于HTTP反向代理服務(wù)器的Web安全網(wǎng)關(guān)系統(tǒng)解決方案，并給出了系統(tǒng)設(shè)計和關(guān)鍵技術(shù)的實現(xiàn)方法，實現(xiàn)了一個原型系統(tǒng);
　　2、提

4、出的“安全檢測校驗鏈”及其樹形層次分析結(jié)構(gòu)能在Web安全網(wǎng)關(guān)中以可擴展的方式進行攻擊檢測和防御，有效解決了傳統(tǒng)Web安全防護手段擴展困難的問題;
　　3、基于“安全檢測校驗鏈”改進了傳統(tǒng)的HTTP攻擊檢測模型，從解析HTTP請求報文協(xié)議入手，在整體上應(yīng)用DFA（有窮狀態(tài)自動機）報文檢測，抵御畸形HTTP請求報文的攻擊，在局部上解構(gòu)并分析HTTP請求報文，針對可能出現(xiàn)攻擊的請求URL、請求頭元數(shù)據(jù)以及請求主體三大部分均采用N-gra

5、m特征提取與信息增益特征向量篩選算法，結(jié)合BP神經(jīng)網(wǎng)絡(luò)分類算法，采用不同的學(xué)習(xí)數(shù)據(jù)庫進行有針對性的攻擊報文檢測和攔截;
　　4、所設(shè)計的Web安全網(wǎng)關(guān)還能實現(xiàn)對請求用戶的黑白名單篩查、通過訪問控制列表限制對受保護資源的訪問，以及多種形式網(wǎng)絡(luò)攻擊的規(guī)則匹配防護等功能。
　　據(jù)本文所實現(xiàn)的基于HTTP反向代理的Web安全網(wǎng)關(guān)系統(tǒng)原型及其核心功能，經(jīng)過實驗表明，系統(tǒng)可擴展性較強，對HTTP攻擊報文判斷準(zhǔn)確，可以為Web服務(wù)器和We