解密 YUNDUN漏洞入侵防御体系
  • 2020.11.09
  • 346
  • 上海云盾信息技术有限公司

漏洞入侵作为网站应用所面临的重大网络威胁,一直困扰着每一位追求塑造安全可靠服务体验的网站运营者;同时伴随着网站建设的组件化、自动化,网站应用与第三方组件共同承担漏洞入侵威胁,0day漏洞、新型漏洞的爆出也为传统漏洞防御产品带来巨大的挑战。

 

• Weblogic远程代码执行漏洞(CVE-2020-2546)可以使攻击者在未授权的情况下远程执行任意代码;

• Tomcat文件读取漏洞(CVE-2020-1938)可以使攻击者读取Tomcat上所有webapp目录下的任意文件;

• SharePoint远程代码执行漏洞(CVE-2020-1147)可使攻击者远程执行代码;

在近期刚结束的HW行动中,参与厂商自身漏洞频频爆出,且面对0day漏洞和复杂攻击防御能力有限

 

 

YUNDUN创新“1+3”核心防护体系,面向针对网站系统脆弱性造成的漏洞入侵行为进行检测和处置;依托自动机算法驱动引擎,基于语义分析引擎、规则引擎和机器学习引擎三大部分,极大程度地提升了漏洞检测的准确率和召回率,具有很强的抗干扰性,使整个威胁防御过程更灵活,更贴合用户需求。同时,结合完全基于机器学习的检测引擎,实现Webshell的精确识别

 

  • 规则引擎

 

应用于紧急漏洞、新型漏洞、0day漏洞等快速响应、有效实施防护,达到快速响应、快速防护、及时阻断新型漏洞对应用及业务造成攻击的风险。之所以仍保留规则检测引擎,正是由于其具备天生的可靠性、可控性、灵活性。

 

试想下,在新型漏洞出现的时候,并且恰好现有的语义检测引擎和AI模型检测引擎均不能识别时,此时若针对该新型漏洞,进行新的机器学习模型训练迭代,一方面新的机器学习模型进行训练迭代,需要足够的新型样本数据,这就需要一个前提条件,要准备足够的样本数据,另外还要考虑训练时长及精度的参数调优等问题,在及时性以及效果上很难保证快速响应、快速防护;同样的对于语义检测引擎,我们能要考虑新型攻击的指纹特征、语法树构建等因素,甚至需要完善内部的代码处理逻辑,并进行新的编译与发布。 

 

总而言之,规则检测引擎在快速响应、快速防护、灵活调整、可控性强上仍具备其天然优势。

 

 

  • 语义检测引擎

 

应用于检测各种绕过手法,主要支持SQL注入语义检测和XSS注入语义检测。SQL注入和XSS注入是最容易出现且容易被利用的攻击,同时也是攻击者最为青睐的攻击方式,一旦发现业务系统中存在SQL注入点或XSS注入点,则会重点作为攻破的入口之一。

 

即便业务系统业务接口逻辑中做了一些安全策略或者开启了漏洞防护功能,黑客也总是绞尽脑汁进行各种尝试,试图寻找绕过点。攻击者通常会利用一种技术思想---Fuzzing技术(模糊测试),作为绕过防护尝试的方针。总体思路就是利用脚本或工具,在主体的注入语句中掺杂一些干扰因素、特殊字符符号或构建、拼接成较为独特的语句,这对于漏洞防护体系来说,特别是仅依靠正则表达式规则的防护来说,对抗成本和要求是较为严格的。

 

语义检测在对抗SQL注入、XSS注入等各类绕过手法上具有天然的抗干扰能力,透过“表面现象看本质”,在引擎的内部层层剥离语句,排除干扰因素,构建识别其本质涵义,不仅效果好、抗干扰能力强,而且误报率极小。

 

 

  • 机器学习模型检测引擎

 

作为实时漏洞防护体系中最后一道主要防线,应用于极小概率未知的攻击威胁,主要针对SQL注入防护、XSS注入防护、命令执行防护。通过海量攻击威胁数据训练出的机器学习模型,依靠其自身的泛化学习能力,承担着对经过语义分析引擎和规则分析引擎检测后,仍具备可疑攻击风险的请求报文进行进一步的深入检测。


 

鉴于其作用于边缘节点上的实时检测,而机器学习模型在检测时会进行大量的向量转化与计算,属于CPU计算密集型。为了减低计算带来的性能损失,避免模型计算给访客带来访问不佳体验,在设计上,YUNDUN将机器学习模型检测放在了检测系统中靠后的位置,并前置“0-1可疑性”分控机制,要求进行机器学习模型检测的报文需具备一定的感兴趣特质(即达到一定的可疑性分值)。


 

  • 自动机算法核心驱动

 

在利用规则引擎规则检测攻击上,传统漏洞防护产品的实现上均基于遍历思想,即当请求达到时,会对规则库中的每条规则都进行匹配检测处理,以确定请求是否具备危险行为。很明显,这种做法是出力不讨好的,而且多数规则是基于正则表达式模式匹配,无论从性能方面考虑,还是处理速度上,都是不可取的策略。

 

因此YUNDUN领悟并应用IO的多路复用思想,具象化为自动机算法驱动引擎,研判具体的请求内容,做到只对该请求内容感兴趣的规则才做相应的检测。言下之意,对该请求不感兴趣、无任何关系的规则即会直接忽略,从而规避掉无意义的检测,从而大大提高检测效率。

 

 

融合“1+3”核心防护体系的漏洞入侵防御实践,目前已广泛应用于游戏、电商、医疗、教育等各类网站应用场景上,赋能企业建设更具智能化、更契合自身业务的网络威胁防护体系,提升网站用户的访问体验。同时在HW行动中作为真枪实战背后的蓝方利器,屡屡促使红方对手攻破无门。