应用安全集中管控与智能防御平台技术白皮书

1

平台简介

云上应用系统（网站群、业务应用系统)安全集中管控与智能防御平台,以下简称云上应用系统安全集中管控与智能防御平台，是爱加密自主研发的针对Web应用系统提升自身安全性的应用安全产品，其攻击自免疫技术来源于RASP技术理念。传统边界防护系统不贴近应用程序、不了解应用程序内部的运行逻辑，无法全面提升安全分析检测能力，导致漏报、误报层出不穷，因此需要一种让Web应用程序自身拥有安全意识和自我保护能力的攻击自免疫系统，来弥补边界防护的不足。

“自免疫”的技术理念是将保护程序像疫苗一样注入到应用程序中，结合应用程序的运行逻辑，通过对用户请求进行安全检测、依据模型直接阻断恶意行为，可以有效抵御各类应用层攻击（如 SQL注入、跨站点脚本（XSS）、命令注入等）；其特有的实时升级系统可将最新漏洞防御措施及时更新到应用程序中，帮助应用程序有效抵御零日漏洞带来的威胁。

在网络信息化的时代里，云上应用系统安全集中管控与智能防御平台作为应用系统的最后一道保护屏障，自适应智能防御，及时有效掌握安全隐患，实现事件预警、处置流程化、自动化，清晰展现黑客攻击路径，追踪源头，及时准确对各攻击目标下发应急响应任务；信息安全风险自动化监测；数据全面收集，统一分析，确保企业不会因为网络攻击事件而遭受损失。

2

总体架构

云上应用系统安全集中管控与智能防御平台由云端控制中心和客户端嵌入式脚本两部分组成。

2.1系统架构

云上应用系统安全集中管控与智能防御平台采用多层系统架构（嵌入层、接口层、功能层、数据层、展示层），具有较高的可扩展性、可维护性。各层、各模块之间采用加密通讯，确保传输安全，系统数据逐级上传，管理数据逐级下发。平台支持多用户端、多云端的分布式部署，支持海量数据的采集、分析、处理。系统总体设计架构如下：

2.2逻辑架构

云端的集群架构由Kafka、ZooKeeper、Storm、Redis、HDFS、Spark、Elasticsearch组成。我们从客户端的站点和应用中采集获取攻击日志和可疑文件等信息，交给由Zookeeper调度管理的Strom集群进行分析处理后将攻击日志写入Kafka,将可疑文件存储到HDFS中。然后Spark集群借助Redis特征库中的安全字典对Kafka和HDFS中的数据进行计算、归集等操作，并将处理结果记录到Elasticsearch集群中。Elasticsearch集群为后续的分析结果的可视化提供查询支撑。

客户端嵌入式安全脚本采用RASP（Runtime Application Self-Protection）技术，使安全管控与防护技术与用户自身应用程序有效融为一体，从而形成代码级自健壮的全新防护体系，相比较传统Web安全防护技术，具备低误报、低成本、高覆盖、高兼容、更深层次防护的显著优势。

3

攻击防护

云上应用系统安全集中管控与智能防御平台在采用RASP技术的基础上，扩展了安全虚拟补丁、策略云更新、安全白名单、攻击行为模型、大数据攻击者指纹、协同防御等攻击防护技术，高精度的检测并防御已知和未知威胁，有效的防御OWASP常见的攻击威胁，如SQL注入、XSS跨站、文件上传、命令注入、路径穿越、非法HTTP协议请求、风险文件非授权访问、扫描器攻击、Struts2漏洞等应用层攻击，通过部署云上应用系统安全集中管控与智能防御平台可轻松应对Web应用层攻击，保障Web应用程序安全稳定运行。

3.1 SQL注入攻击防护

随着互联网的发展，基于B/S架构的应用系统越来越多，而开发人员在开发过程中，难以在功能实现的基础上兼顾安全保障。当开发人员在编写代码时，没有判断用户输入数据的合法性，使应用程序存在安全隐患。攻击者通过提交一段数据库查询代码，欺骗应用程序执行，获得数据库内的数据，即SQL注入攻击。云上应用系统安全集中管控与智能防御平台采用RASP深度防护技术，结合攻击行为模型的智能判定，对SQL注入攻击参数净化过滤，有效的避免网站服务器遭受SQL注入攻击。

3.2 XSS攻击防护

跨站点脚本攻击(XSS),当应用程序在没有对收到的请求数据进行适当的验证和转义的情况下，就将它发送给网页浏览器，产生跨站点脚本攻击。XSS允许攻击者在受害者的浏览器上执行脚本，从而劫持用户会话、危害网站或者将用户重定向到恶意网站。云上应用系统安全集中管控与智能防御平台采用RASP深度防护技术，可以准确地过滤数据包中含有的跨站点攻击的关键字，从而保护用户的应用程序安全。

3.3 WebShell木马攻击防护

在网站的运营过程中，不可避免地要对网站内容进行更新，这时便需要使用网站的文件上传的功能。如果不对上传的文件进行限制或者限制被绕过，攻击者便会上传WebShell木马到服务器，进而导致服务器沦陷。云上应用系统安全集中管控与智能防御平台可精准识别上传WebShell的过程并进行拦截。

在未安装云上应用系统安全集中管控与智能防御平台前，服务器已被植入WebShell木马，安装后，会精准拦截攻击者对服务器中已存在的WebShell木马的调用，此外云上应用系统安全集中管控与智能防御平台还会定期对服务器的可疑文件进行扫描，保障应用程序运行环境的安全。

3.4扫描器攻击防护

通常攻击者在攻击网站前，会使用Web漏洞扫描器扫描网站是否存在漏洞，云上应用系统安全集中管控与智能防御平台能自动识别扫描器的扫描行为，并智能阻断如Nikto、Paros proxy、WebScarab、WebInspect、Whisker、libwhisker、Burpsuite、Wikto、Pangolin、Watchfire AppScan 、N-Stealth、AWVS等多种扫描器的攻击行为。

3.5 ApacheStruts2漏洞防御

ApacheStruts2作为世界上最流行的JavaWeb服务器框架之一，经常会暴露安全漏洞，如2017年3月6日，Struts2被曝存在远程命令执行漏洞，漏洞编号:S2-045，CVE编号:CVE-2017-5638，其原因是由于Apache Struts2的JakartaMultipartparser插件存在远程代码执行漏洞，攻击者可以在使用该插件上传文件时，修改HTTP请求头中的Content-Type值来触发该漏洞，并远程执行攻击代码，危害Web服务器安全。云上应用系统安全集中管控与智能防御平台采用RASP技术深度保护应用程序，将攻击请求的参数净化过滤，并修复Web程序的漏洞，从而有效的保护应用程序的安全。

3.6防护风险文件泄露

攻击者往往会利用网站泄露的敏感信息，从而攻击Web服务器，如编辑器备份文件，源代码文件，备份文件，数据库文件，临时文件，脚本日志文件等，云上应用系统安全集中管控与智能防御平台基于RASP技术，具备双向(request和response)检测的能力，能智能识别并拦截攻击者的恶意扫描爬虫攻击，保护网站风险文件不被恶意利用。

4

功能模块

云上应用系统安全集中管控与智能防御平台功能模块如下图所示：

4.1大屏展示

4.1.1态势分析

本模块显示监控到的攻击总数，并提供查询功能，还提供了安全态势简报、攻击来源比例、攻击方式占比、时段内高危攻击与攻击量走势以及遭受攻击站点Top20。

4.1.2态势分布

本模块显示监控到的攻击总数，并提供查询功能，还提供了安全态势简报、以及全省态势分布。

4.1.3攻击来源分析

本模块显示监控到的攻击总数，并提供查询功能，还提供了安全态势简报、攻击手段分析、攻击来源IP Top5、攻击来源地区Top10以及攻击来源链路Top10。

4.1.4攻击关联性分析

本模块显示监控到的攻击总数，并提供查询功能，还提供了安全态势简报以及攻击源关联性分析图。

4.1.5全球攻击网络

本模块显示监控到的攻击总数，并提供查询功能，还提供了安全态势简报以及全球攻击网络，并可切换全国模式和全球模式。

4.1.6攻击强度时段分布

本模块显示监控到的攻击总数，并提供查询功能，还提供了安全态势简报以及攻击强度时段分布。

4.1.7安全事件分析

本模块显示监控到的攻击总数，并提供查询功能，还提供了安全态势简报、攻击事件分析、攻击手段分析图、可疑文件列表、攻击事件详情、攻击风险分析图、高危路径列表、攻击日志详情以及攻击来源Top5。

4.1.8应用分析

本模块显示监控到的攻击总数，并提供查询功能，还提供了安全态势简报以及应用分析，并分析出高危、中危、低危、正常等状态。

4.1.9攻击来源回溯

本模块显示监控到的攻击总数，并提供查询功能，还提供了安全态势简报以及攻击来源回溯功能。

4.1.10攻击实时分析

本模块显示监控到的攻击总数，并提供查询功能，还提供了安全态势简报、攻击实时分析、24h攻击威胁等级占比、24h受攻击时段走势以及攻击明细。

4.2后台功能

4.2.1控制中心

4.2.1.1简介

控制中心是云上应用系统安全集中管控与智能防御平台的汇总看板，该模块为用户提供了一段时间内的安全概况、防护监控、攻击类型与风险占比、防御日志等重要信息，用户可通过本模块快速的把控应用的整体安全情况。

注：该模块默认加载60天内全部危险等级的攻击数据，时间范围及危险等级可自由选择。

4.2.1.2功能介绍

顶部功能：顶部为用户呈现选定时间内该应用的安全数据概况，显示易受攻击的文件、目录及上次安全扫描的相关信息，还可快速进入扫描计划定制；

可疑文件：所选时间内外部攻击中所带有的可疑文件数量总计。如“可疑文件上传”攻击中所带有的企图上传至用户站点的可疑文件。

黑客人数：所选时间内的一个不重复的攻击ip记为一个黑客人数。

攻击终端：所选时间内的一个不重复的攻击终端cookie记为一个攻击终端。

站点丢失：每分钟测试一次站点连接，无法连接上记为一次站点丢失。

定制扫描计划：点可快速定制新的文件扫描计划，也可至系统配置/文件扫描计划模块添加。

扫描：对当前应用进行快速扫描、完整扫描或对选择应用进行自定义扫描。也可点击后门扫描模块进行该操作。

防护监控：所选时间内的应用防护监控情况，两种模式可在应用管理中通过编辑对应的应用修改。

防御模式：对所有的攻击进行拦截并记录。

监控模式：仅对攻击事件进行记录，不提供攻击防护。

攻击类型&威胁等级占比：攻击类型与威胁等级的占比饼状图，外圈为攻击类型占比，内圈为危险等级占比；

攻击类型排序：对系统受到的攻击类型进行排列；

发起攻击的终端系统排名：对攻击者的操作系统进行排列；

攻击来源排名：对攻击者的来源地区进行排序；

4.2.2攻击分析4.2.2.1简介

在攻击分析模块，云上应用系统安全集中管控与智能防御平台通过多种图形化呈现，可以直观及时的了解到攻击者坐标，地理位置，攻击渠道等多维信息，便于安全管理人员全面分析并采取正确措施。

注：该模块默认加载60天内全部危险等级的攻击数据，时间范围及危险等级可自由选择。

4.2.2.2功能介绍

全球攻击源监听：通过全球视角定位攻击来源，可切换视角到省市级具体位置。点击地图可切换至相应的国家或省市的视角，右侧展示该视角地区内的具体数据；点击左上角按钮可切换至世界地图。

攻击类型占比：通过占比可及时了解到系统存在何种薄弱环节易被黑客利用，可识别如下攻击：可疑文件上传；SQL注入；反射性跨站、文件操作漏洞、存储跨站、Struts攻击、畸形文件攻击。

攻击渠道排序：可显示您的系统更易受到来自哪种渠道的攻击。

攻击时段分布：显示系统极易在某些时段受到攻击，继而分析出黑客攻击作息，制定防御措施。

如下，按攻击类型显示，

点击第一行（SQL注入）的查看详情，可显示攻击类型为SQL注入的攻击汇总聚合列表。

注：同一秒内的相同攻击聚合为一条记录，攻击次数为该条记录聚合了几条攻击。

点击详情可查看该条聚合记录的详细信息。

4.2.3可疑文件4.2.3.1简介

在可疑文件模块中可集中处理，云上应用系统安全集中管控与智能防御平台通过后门扫描或执行文件扫描计划时检测出来的可疑文件，用户可以通过对相关信息的判断后对可疑文件进行相应处理（信任此文件或在站点服务器删除此文件）。

4.2.3.2功能介绍

点击信任此文件后，下次进行后门扫描或执行文件扫描计划时云上应用系统安全集中管控与智能防御平台不会再将该文件显示为可疑文件。已信任的可疑文件可在信任文件中查看，也可对已信任的可疑文件做排除此文件处理，排除后，云上应用系统安全集中管控与智能防御平台在以后的后门扫描和执行文件扫描计划时会再次将该文件列为可疑文件。

4.2.4后门扫描4.2.4.1简介

后门扫描模块可使用快速、完整及自定义三种方式对目前应用或多个应用进行可疑文件扫描。扫描结果清晰呈现，可疑文件支持加入白名单操作。可追溯查看历史扫描详情。

4.2.4.2功能介绍

快速扫描：开启扫描后，系统会对当前应用进行关键区域扫描

完整扫描：开启扫描后，系统会对当前应用的所有文件进行完整扫描

自定义扫描：可以针对单个或多个站点进行完整或快速扫描

点击已完成可查看已完成的历史扫描记录，选中某条记录可在下面查看对应的扫描结果（可疑文件），该处也可对可疑文件做信任可疑文件处理。若想查看已信任的可疑文件或排除信任的可疑文件，请至可疑文件模块操作。

4.2.5补丁管理4.2.5.1简介

因应用开发阶段或需求不同，某些系统可能存在一些已知且特有的漏洞，针对这些漏洞，云上应用系统安全集中管控与智能防御平台提供补丁自定义修复服务，成功安装后，云上应用系统安全集中管控与智能防御平台会将该补丁加入到针对该应用的防御措施中。

4.2.5.2功能介绍

添加/编辑补丁：在待安装补丁中，可以新建补丁、编辑待安装补丁和安装补丁。

1.点击安装/编辑补丁后：首先填写关于该补丁基本信息。

2.然后填写该补丁的触发条件，如下图，代表当请求该URL的参数中的name参数中有数字时，则该补丁被触发。

注：

equal：完全匹配参数值。如name equal 2，则name值为2时，触发该补丁；

Like:模糊查询参数值。如name like 2, 则name值中有2时，触发该补丁。

Preg：正则表达式匹配参数值。如name preg \d，则name值中有数字时（正则表达式\d代表0-9的数字），触发该补丁。

3.添加补丁内容信息，如下，将get方式中的参数name的参数值中的数字替换为tt。

注：

参数所在：即该参数的传递方式:get\post\cookie\server (cookie\server两种传递方式仅支持php语言的站点)。

使用函数：Php语言站点使用说明：

preg_replace:例如，

Str_replace:例如，w str_replace 2_tt_，即将w参数值中的2替换为tt。

addslashes:例如，w addslashes （后面不需写任何参数值），即将w值中的‘/”(单引号或双引号)前面加上\(反斜杠)。

其他语言站点用法：preg_replace:如下图，将name参数中的\d（0-9的数字）替换为tt。（查找范围默认为原输入内容）。Str_replace:例如，name str_replace tt(后面仅需写一个替换值), 即将name参数中的值直接替换为tt。

addslashes:例如，name addslashes （后面不需写任何参数值），即将name值中的‘/”(单引号或双引号)前面加上\(反斜杠)。

4.保存后，可在待安装补丁中看到该补丁。

5.点击安装补丁后，可在已安装补丁中看到该补丁。若想修改该补丁，需先在已装补丁中卸载该补丁，然后在待安装补丁中修改该补丁。

4.2.6应用管理4.2.6.1简介

在应用管理中用户可以根据颜色不同了解所有应用的威胁状态并可对应用进行增加、修改、分析、扫描、补丁等操作。

4.2.6.2功能介绍

新建应用时或点击已建应用的编辑按钮，可对应用进行模式及模块设置。

通讯状态：点击检测可对云上应用系统安全集中管控与智能防御平台与该站点应用间的通讯状态进行检测。若为通讯异常，请及时检测应用站点的网络状况或联系云上应用系统安全集中管控与智能防御平台工作人员进行处理。

防御模式：对所有的攻击进行拦截并记录。

监控模式：仅对攻击事件进行记录，不对攻击进行防御。

模块开关：自定义该模块防御/监控何种类型的攻击。注：该处默认不开启反射性跨站及存储跨站模块。如有需要，开启这两个模块后请先测试确定网站功能不受影响。

应用列表顶部颜色说明：

探针丢失（灰色）：云上应用系统安全集中管控与智能防御平台与该站点间通讯异常。

正常（蓝色）：云上应用系统安全集中管控与智能防御平台与该站点间通讯正常且该站点还未检测到任何攻击。

高危（红色）/中危（黄色）/低危（绿色）：对应该站点上一次受到攻击的攻击等级。

应用切换：云上应用系统安全集中管控与智能防御平台中每个用户可添加多个应用，应用可在云上应用系统安全集中管控与智能防御平台页面的右上角点击切换，切换后各模块显示的为被切换到的应用的数据。

4.2.7账户管理/告警设置4.2.7.1简介

通过设置该模块，即使用户在没有打开云上应用系统安全集中管控与智能防御平台的情况下，仍可以第一时间通过邮件或短信接收到应用攻击提醒与安全提示。

4.2.7.2功能介绍4.2.7.2.1邮件告警设置

可自定义接收告警的邮箱、告警邮件的格式、每日发送的邮件配额及是否接收告警通知。

如下，存储跨站攻击告警

4.2.7.2.2短信告警设置

可设置接收告警的手机号、每日短信接收上限、是否接收告警通知及免打扰时间。