华清TDR应用系列2——基于SOC攻击的态势分析

    Web应用安全依然是互联网安全的较大威胁来源之一，传统的SQL注入、XSS、CC攻击等传统攻击手段和各种新爆出的web漏洞，无时无刻不在考验着web应用安全方案的可靠性、灵活性和安全团队的快速反应能力。

    Web应用防火墙作为TDR-SDA（security defense array 安全防护阵列）重要防御模块，扮演着较其重要的角色，本文根据TDR（threat detection and response 威胁监测与响应服务）安全团队对接入流量的分析，为您带来较新的攻击趋势、漏洞应急情况以及*安全*的核心观点和防护建议。

    据统计，90%以上攻击流量来源于扫描器，扫描器往往是攻击者的开路利器，在大规模批量扫描中被嗅探到大量漏洞的web站点更*成为攻击者下手的对象。通过特征、行为等维度识别并拦截扫描器请求，可以有效降低网站被攻击者盯上的概率，同时有效缓解批量扫描行为带来的负载压力。（如图-1所示）拦截的攻击中，扫描器产生的请求数量在90%以上。

图-1

    传统Web攻击手段中，WebShell上传/通信、SQL注入和命令执行依然是较常见的攻击行为，在传统攻击的分布上与其他安全情报无太大差异（如图-2所示）。

 图-2

    针对基础Web攻防来说，利用诸如MySQL、JavaScript语言特性进行各种编码、变形，从而绕过WAF防护的攻击payload也越来越多，攻防是一个持续对抗升级的过程。TDR-SDA（securitydefense array 安全防护阵列 ）支持多种常见HTTP协议数据提交格式全解析：HTTP任意头、Form表单、Multipart、JSON、XML；优化引擎解析HTTP协议能力，支持复杂格式数据环境下的检测能力；抽象复杂格式数据中用户可控部分，降低上层检测逻辑的复杂度，避免过多检测数据导致的误报，降低多倍的误报率；支持多种形式数据编码的自适应解码，避免利用各种编码形式的绕过（如图-3所示）。

图-3

    以上是华清信安通过TDR-DA(security defense array安全防护阵列）Web应用防火墙模块的安全情况的分析，希望对运维人员和安全人员带来参考。