Qu'est-ce que l'application de la sécurité? La sécurité des applications est la sécurité des applications de réseau, ces applications comprennent: des numéros de carte de crédit, des informations confidentielles, des profils d'utilisateurs et d'autres informations. Donc ce qui est de protéger ces applications contre les attaques malveillantes, de la difficulté mensonge? À notre avis, le maillon faible de ces applications est le port réseau sur le pare-feu 80 (principalement utilisé pour HTTP) et le port 443 (protocole SSL) lorsque le sujet de l'attaque. Ensuite, le pare-feu pour découvrir comment ces attaques et de blocage? Résumé est inférieure à huit technologies de sécurité des applications, se lit comme suit:
traitement des paquets en profondeur
la transformation en profondeur des paquets est parfois dénommée inspection approfondie des paquets ou un test de sémantique, c'est le nombre de paquets de données dans un flux de données qui leur sont associés, à la recherche d'attaquer un comportement anormal, tout en maintenant l'état du flux de données entière. Deep exigences de traitement de paquets pour une analyse à grande vitesse, les essais et le remontage du trafic applicatif afin d'éviter tout retard sur la requête introduite. Les représentants suivants de chaque technique de transformation en profondeur des paquets à différents niveaux.
TCP / IP de résiliation
attaques de la couche application impliquant plusieurs paquets de données, et impliquent souvent des demandes multiples, les différents flux de données. système d'analyse de trafic pour être efficace, elle doit maintenir l'interaction entre l'utilisateur et l'application pendant toute la session, afin de détecter les paquets de données et des demandes de trouver les attaques. Au moins, qui doivent être en mesure de mettre fin à des protocoles de transport, et le flux de données, et pas seulement dans un seul paquet pour trouver des modèles malveillants.
Terminaison SSL
Aujourd'hui, presque toutes les applications de sécurité sont l'utilisation de HTTPS pour assurer la confidentialité des communications. Toutefois, les flux de données chiffrées en SSL à l'aide de bout en bout, de sorte que le détecteurs passifs tels que les systèmes de détection d'intrusion (IDS) produit est opaque. Afin d'éviter le trafic malveillant pare-feu applicatif, de mettre fin à SSL, pour décoder le flux de données pour vérifier le trafic en texte brut. Il s'agit de la protection minimale des exigences du trafic applicatif. Si votre politique de sécurité ne permet pas d'informations sensibles en clair sur le contexte de réseau, vous avez besoin d'envoyer du trafic vers le serveur Web avant que la solution re-cryptage.
Filtrage d'URL
Une fois que le trafic des applications a été de façon claire, il doit détecter la partie URL de requête HTTP, rechercher des signes d'attaques malveillantes, comme suspect de l'encodage Uniform Code (codage Unicode). URL fonctionnalités de filtrage basé sur le programme, seulement pour trouver de contrepartie fonctionnalité régulièrement mis à jour, le filtrage des attaques connues telles que Code Red et Nimda liées URL, ce n'est pas suffisant. Cela exige un programme peut non seulement vérifier la RUL, vérifiez également le reste de la demande. En fait, si la réponse de la demande en compte, peut grandement améliorer la précision de la détection d'attaques. Bien que le filtrage d'URL est une opération importante, peut empêcher le script de type habituel de mineurs d'attaque, mais incapable de résister à la plupart des vulnérabilités couche application.
Demande d'analyse
Demande d'une analyse complète de la technologie que l'utilisation plus juste et plus efficace de filtrage de l'URL, le serveur Web de niveau peut empêcher cross-site scripting (cross-site scripting) la vulnérabilité et d'autres vulnérabilités. Demande de faire une analyse complète de filtrage de l'URL va plus loin: faire en sorte que la demande satisfait aux exigences, la conformité avec les spécifications HTTP standard, tout en assurant une partie raisonnable de la demande de la personne dans la limite de taille. La technologie pour prévenir les attaques de type buffer overflow sont très efficaces. Toutefois, l'analyse la demande est encore une technologie non-étatiques. Il peut seulement détecter la demande actuelle. Comme nous le savons, n'oubliez pas de comportement précédent peut être une analyse très significative, tandis que pour une protection en profondeur plus.
suivi de session de l'utilisateur
Plus la technologie de pointe est le suivi de l'utilisateur prochaine session. C'est l'application des éléments de base état technologie de flux de détection: le suivi des sessions utilisateur, de corréler le comportement des utilisateurs individuels. Cette fonctionnalité est généralement par le biais de la réécriture d'URL (URL rewriting) à atteindre en utilisant le bloc d'informations de session. Tant que le suivi des demandes d'utilisateurs individuels, nous sommes en mesure de bloquer la mise en œuvre des contrôles très stricts. Cela aurait pour effet de prévenir le détournement de session (session-détournement d'avion), et l'empoisonnement bloc d'informations (cookie-empoisonnement) le type de vulnérabilité. Efficace non seulement pour suivre la session d'application de suivi des blocs d'information pour créer un pare-feu, mais aussi de recueillir des informations sur l'application des blocs de signature numérique, afin de protéger le bloc d'information n'est pas altéré. Cela doit être en mesure de suivre la réponse de chaque demande, et extraire des informations bloc d'informations.
type de réponse correspondant à
Réponse pour l'application du "pattern matching fournit une protection plus complète: il ne vérifie que la demande présentée sur le serveur Web, vérifiez également le serveur Web génère une réponse. Il peut être très efficace dans la prévention des dommages à des sites ou, plus précisément, pour éviter des dommages sur le site a été consultée. Sur la réponse du modèle qui est équivalent à la demande correspond à la fin du filtrage d'URL. réponse à trois niveaux de filtrage. prévention des dommages travaux effectués par le firewall applicatif, c'est un site de contenu statique, une signature numérique. Si vous trouvez le contenu du serveur Web après les changements, le pare-feu sera remplacé par le contenu original a été détruit à la page. Comme pour faire face à la divulgation d'informations sensibles, le firewall applicatif surveille la réponse, le serveur peut indiquer un problème de trouver le modèle, par exemple, briser une longue liste d'exceptions Java. Si nous trouvons ce mode, le pare-feu d'y répondre ont été retirés de, ou tout simplement bloquer la réponse.
Un «stop and go" mot («stop and go'word) le programme cherchera à comparaître ou non figurer dans la demande de la réponse générée à l'intérieur du modèle prédéfini génériques. Par exemple, les demandes peuvent être requis pour chaque page doit avoir un copyright.
la modélisation du comportement
la modélisation du comportement est parfois appelé modèle de sécurité positive ou la «liste blanche" (liste blanche) de sécurité, il est le seul moyen de défense les vulnérabilités les plus difficiles d'application - protection contre les vulnérabilités zero-day. vulnérabilité zero-day »n'est pas de documents écrits ou" ne sait pas "les attaques. Le seul mécanisme pour faire face à de telles attaques est de permettre que le comportement de bon comportement connu, et d'autres actes interdits. Les exigences techniques de l'application de la modélisation du comportement, ce qui nécessite une analyse globale des demandes présentées à chaque réponse à chaque demande, l'objectif est d'identifier le comportement des éléments de page, tels que les champs de formulaire, des boutons et des hyperliens. Ce niveau d'analyse peut être trouvée dans un champs de formulaire malveillants et les manipulations de champs de formulaire cachés de la nature de la vulnérabilité, tout en permettant aux utilisateurs d'accéder à l'URL sur la mise en œuvre de la surveillance très stricte. Behavioral Modeling est la seule réponse efficace à tous les 16 types de lacunes dans l'application de la technologie. la modélisation du comportement est un bon concept, mais son efficacité est souvent limitée par leur caractère rigoureux. Par exemple, dans certains cas, un grand nombre d'applications utilisant avascript ou intentionnellement s'écarter du modèle de comportement peut conduire à des erreurs de modélisation du comportement, donnant lieu à des faux positifs, un utilisateur l'accès raisonnable aux demandes refusées. la modélisation du comportement pour être utile, il faut un certain degré d'intervention humaine, pour améliorer la précision du modèle de sécurité. Automatiquement prévoir la production règle de conduite appelé ou l'application de l'apprentissage, à proprement parler, pas la technologie de détection de la circulation, mais un test de l'élément (méta-inspection) la technologie, qui peut analyser le trafic, l'établissement de modèles de comportement, et une variété de technologies connexes générées par le biais de modèle comportemental appliqué à un ensemble de règles pour améliorer la précision. la modélisation du comportement a l'avantage de temps après applications d'apprentissage peut configurer automatiquement. Le personnel de sécurité pour protéger le port 80 est confronté à la plus importante des défis les plus importants. Heureusement, des solutions innovantes maintenant il pour résoudre ce problème, et continue de s'améliorer. Si l'infrastructure de sécurité en couches, qui comprend 16 catégories d'applications peuvent être le blocage de l'application des vulnérabilités pare-feu, vous pouvez résoudre le problème de la sécurité des applications.