基于RASP技术的web入侵检测安全探针文献综述

 2023-08-28 16:15:46
  • 选题背景和意义:

.一个Web应用开发到上线的过程大致须要经过如下步骤:需求分析、架构设计、系统设计、功能设计、编码实现、测试评估、上线部署、业务运营等关键步骤,其中功能设计、编码测试、发布部署、系统运营这几个环节中都会存在安全风险,但是针对各环节出现的安全风险目前还没有一个比较全面的防御产品。目前主流的Web应用安全防护产品方案较多的是 WAF(Web Application Firewall)和RASP(Runtime Application Self-Protection)。

而WAF相比较RASP有如下特点。

WAF是门卫模型,通常部署在Web应用系统的外部边界,所有正常或恶意流量都需要通过特征规则和模式识别,通过特定的规则和模式识别出恶意请求,并且把它们拒之门外,拒绝向高风险的Web请求提供服务。WAF虽然可以有效个过滤出绝大多数恶意请求,但是不知道应用运行时的上下文,必然会造成一定程度的误报。并且WAF严重依赖于特征库,各种花式绕过,导致特征编写很难以不变应万变。

RASP的不同就在于运行在应用之中,RASP代码与应用代码融为一体,可以获取到应用运行时的上下文行为,根据运行时上下文或者敏感行为操作,对攻击进行精准的识别或拦截。RASP运行在应用之中,只要检测点选取合理,获取到的payload已经是解码过的真实payload,可以减少由于WAF规则的不完善导致的漏报。

RASP的全称是Runtime application self-protection,中文的含义是运行时应用自我保护,是Gartner 在2012年首次提出并将其定义: Runtime application self-protection (RASP) is a security technology that is built or linked into an application or application runtime environment, and is capable of controlling application execution and detecting and preventing real-time attacks.

受RASP保护的应用程序较少依赖防火墙等外部设备来提供运行时安全保护,当检测到威胁时,RASP可以防止威胁被利用并采取其他操作进行阻止,比如终止用户会话,关闭应用程序,警告安全人员并向用户发送警告等。RASP旨在缩小应用安全测试和网络边界控制所留下的空白地带,深入应用运行环境内部,实时了解数据和事件流,以监测或阻止开发过程中无法预见的新威胁。

RASP不但能够对应用进行基础安全防护,由于一些攻击造成的应用程序调用栈调用栈具有相似性,还能够对0day进行一定的防护。

除此之外,利用 RASP 也能够对应用打虚拟补丁,修复官方未修复的漏洞。或者对应用的运行状态进行监控,进行日志采集。

RASP在以下场景有很大的意义:

  1. 无法进行迭代开发的或正在线上运行的老应用程序
  2. 应用程序中引入了大量的第三方组件库,而无法修改第三方组件源代码
  3. 修复应用程序需要花费大量的成本
  4. 防御某些未知类型的攻击

因此公司开发相关的RASP产品保护自己的应用,以及有关扩大RASP应用场景的研究都是很有必要的行为。

剩余内容已隐藏,您需要先支付 10元 才能查看该篇文章全部内容!立即支付

以上是文献综述,课题毕业论文、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。