-
SSL/TLS 流量解密与检查(在合规情况下)
- 获取证书和密钥(适用于自有服务器环境):
- 如果网站使用自签名证书或内部 CA(证书颁发机构)颁发的证书,确保 WAF 能够获取相应的证书和私钥。这是解密 SSL/TLS 加密流量的前提条件。对于从公共 CA 获取的证书,也需要将相关证书信息配置到 WAF 中,以便识别和处理加密流量。
- 例如,在企业内部网络中,为了保护敏感的活动数据传输,企业使用自己的内部 CA 为服务器颁发证书。WAF 系统管理员需要将内部 CA 证书和服务器私钥妥善配置到 WAF 设备或软件中,确保其能够对内部加密流量进行解密操作。
- 配置解密规则(遵循法律法规和隐私政策):
- 明确规定在合法合规的前提下,哪些加密流量可以被解密和检查。一般来说,对于涉及网站安全威胁检测的部分加密流量可以进行解密。例如,当怀疑有恶意行为通过加密通道进行攻击时,如加密的 SQL 注入攻击或加密的恶意文件上传尝试,在获得用户明确同意(如在用户协议中说明安全检查措施)或符合内部安全策略的情况下,设置 WAF 对相关加密流量进行解密。
- 遵循最小化原则,即只解密必要的流量部分。例如,仅对特定路径(如 “/secure – transactions/” 用于安全交易的加密流量路径)下的流量或者来自可疑 IP 范围的加密流量进行解密,避免过度解密用户隐私相关的流量,如用户登录后的加密个人信息浏览流量。
- 深度包检测(DPI)技术在解密后的应用:
- 一旦加密流量被解密,WAF 可以利用深度包检测技术来分析数据包内容。DPI 能够检查数据包中的协议头、负载等信息,以识别各种攻击模式。例如,在解密后的 HTTP 流量中,检查请求头是否存在异常的字段修改(如恶意修改的 User – Agent 字段用于伪装浏览器),或者在负载内容中查找是否有 SQL 注入的典型特征(如 “UNION SELECT” 等 SQL 关键字组合)。
- 对于应用层协议的加密流量,如 HTTPS 中的 HTTP 内容,WAF 可以重建 HTTP 请求和响应,并按照传统的 Web 应用安全规则进行检查。这包括检查 URL 参数是否被恶意篡改、POST 数据是否包含恶意脚本等。
- 获取证书和密钥(适用于自有服务器环境):
-
基于流量行为特征的攻击检测
- 流量模式分析:
- 收集正常加密流量的行为模式数据。包括流量的大小、频率、时间分布等特征。例如,对于一个正常的电商网站,在白天工作时间加密流量较大,主要是用户浏览商品和进行交易的流量,流量大小通常在几 KB 到几 MB 之间,请求频率相对稳定。
- 建立流量行为基线模型。可以使用机器学习算法(如聚类分析、异常检测算法)或简单的统计方法(如均值和标准差计算)来确定正常流量的范围。当加密流量的行为偏离这个基线时,例如流量突然增大数倍、请求频率异常增高或者在非营业时间出现大量加密流量,WAF 可以将其视为可疑情况并进行进一步调查。
- 协议行为分析:
- 分析加密协议(如 SSL/TLS)本身的行为。检查加密握手过程是否符合标准协议规范。例如,在 TLS 握手阶段,验证客户端和服务器之间的证书交换是否正确、加密算法协商是否在允许的范围内。如果发现握手过程中有不符合标准的情况,如使用了弱加密算法或者证书验证失败,WAF 可以拦截该加密流量并发出警报。
- 对于加密协议中的应用层协议(如加密后的 HTTP),观察协议的行为是否正常。例如,在加密的 HTTP 请求中,检查请求方法(如 GET、POST)的分布是否符合正常模式。如果发现大量异常的请求方法(如出现大量 PUT 或 DELETE 请求,而正常情况下这些请求很少),这可能是一种攻击迹象,WAF 可以采取相应的防范措施。
- 流量模式分析:
-
威胁情报集成与信誉系统
- 威胁情报源接入:
- 连接可靠的外部威胁情报源,如知名安全厂商提供的恶意 IP 列表、恶意域名列表、最新的加密攻击签名等。这些情报源可以帮助 WAF 快速识别来自加密流量中的已知威胁。例如,当收到一个来自被标记为恶意 IP 的加密流量请求时,WAF 可以直接采取更严格的检查措施或者直接拒绝访问。
- 定期更新威胁情报信息,确保 WAF 能够及时获取最新的加密攻击相关的情报。例如,一些高级持续性威胁(APT)组织经常更新他们的攻击工具和手法,通过及时更新威胁情报,WAF 可以更好地防范这些复杂的加密攻击。
- 内部信誉系统建立:
- 在企业内部或网站内部建立加密流量的信誉系统。根据用户或 IP 过去的行为记录来确定其信誉等级。例如,对于一直遵守网站安全规则、正常访问的用户,可以给予较高的信誉等级;而对于多次触发安全警报或者被怀疑有恶意行为的用户,降低其信誉等级。
- 根据信誉等级调整对加密流量的检查策略。对于信誉等级高的用户,可以适当放宽检查;而对于信誉等级低的用户,加强加密流量的检查力度,如增加解密检查的概率或者进行更详细的行为分析。
- 威胁情报源接入:
-
异常加密流量处理与响应机制
- 实时告警与通知:
- 当 WAF 检测到加密流量中的可疑攻击行为时,及时发出告警。告警方式可以包括邮件通知、短信通知、在安全管理控制台中生成警报事件等。例如,当发现加密流量中存在疑似加密的跨站脚本攻击(XSS)时,立即向网站安全管理员发送邮件,告知可疑攻击的时间、来源 IP、加密流量的目标路径等详细信息。
- 提供详细的告警内容,包括攻击类型的初步判断、攻击可能造成的危害等信息,以便安全管理员能够快速做出决策。例如,在告警中说明检测到的加密流量可能是一种新型的加密 SQL 注入攻击,可能会导致数据库信息泄露,提醒管理员采取紧急措施。
- 动态防护策略调整:
- 根据攻击的严重程度和频率,WAF 可以动态调整防护策略。例如,对于频繁出现的加密 DDoS 攻击迹象,WAF 可以自动增加对加密流量的速率限制,降低单个 IP 或 IP 段的加密流量允许访问量,或者启动流量清洗功能(如果具备)来过滤恶意加密流量。
- 对于疑似高级持续性威胁(APT)的加密攻击,WAF 可以与其他安全设备(如入侵检测系统 IDS)协同工作,暂时隔离可疑的加密流量源,同时对已经渗透的部分进行深度检查和清理,防止攻击进一步扩散。
- 实时告警与通知:
v