隨著電子商務(wù)、網(wǎng)上銀行、電子政務(wù)的盛行，Web服務(wù)器承載的業(yè)務(wù)價值越來越高，Web服務(wù)器所面臨的安全威脅也隨之增大，因此，針對Web應(yīng)用層的防御成為必然趨勢，WAF（WebApplicationFirewall，Web應(yīng)用防火墻）產(chǎn)品開始流行起來。WAF是指針對各網(wǎng)站W(wǎng)eb服務(wù)器的應(yīng)用級入侵的防御系統(tǒng)，它彌補(bǔ)了防火墻、IPS這類安全設(shè)備對Web應(yīng)用攻擊的防護(hù)能力不足的問題。

    根據(jù)國際權(quán)威機(jī)構(gòu)WASC（WebApplicationSecurityConsortium?）和OWASP（Open Web Application Security Project）的分析，國內(nèi)外的信息安全廠商當(dāng)前能防范的針對Web服務(wù)器的攻擊類型主要有SQL注入攻擊、XSS攻擊、HTTP Flood攻擊、爬蟲、CGI掃描、漏洞掃描、盜鏈防護(hù)、CSRF（Cross-Site Request Forgery）攻擊防護(hù)等。但事實上，能防范和能準(zhǔn)確高效防范是兩個完全不同的概念。只有提供準(zhǔn)確高效防范，才能保護(hù)最終用戶的投資，并提升對外交互體驗?？v觀國內(nèi)外的WAF產(chǎn)品，針對這些攻擊的檢測手段也各有特色。

    有的國外廠商會采用建立一個動態(tài)建模程序的辦法加以解決，可以理解為“自學(xué)習(xí)模型”的檢測手段。這類學(xué)習(xí)模型可以對真實流量的學(xué)習(xí)、Web應(yīng)用的學(xué)習(xí)(比如URLs、cookies、參數(shù)/表元素、sessions等等)、Web服務(wù)的學(xué)習(xí)(包括XMLURLs、SOAP動作、XML元素等)，這類學(xué)習(xí)模型對Web業(yè)務(wù)應(yīng)用的識別能力較強(qiáng)，但由于學(xué)習(xí)初期需要有大量的經(jīng)驗積累，如果經(jīng)驗缺乏會造成學(xué)習(xí)準(zhǔn)確度不高，譬如在對SQL注入攻擊、XSS攻擊的變種識別能力上。另外，對經(jīng)驗的置信區(qū)間和學(xué)習(xí)時間也有一定的要求，同時，學(xué)習(xí)經(jīng)驗過程中對系統(tǒng)的資源耗費較大，因此檢測時延較長，降低了用戶的Web體驗。

    還有的產(chǎn)品會采用雙向檢測技術(shù)，即把WAF產(chǎn)品作為Web客戶端和服務(wù)器端的中間人，透明部署在Web服務(wù)器前，同時監(jiān)控HTTP/HTTPS雙向流量，對網(wǎng)絡(luò)層、WebServer/Application層雙向數(shù)據(jù)實施檢測和保護(hù)。其主要特點是建立雙向檢測安全模型，這類模型會以規(guī)則庫方式出現(xiàn)，如果攻擊在規(guī)則庫中匹配上，識別和報警的準(zhǔn)確度很高，但最大缺點是當(dāng)攻擊特征出現(xiàn)變化的時候漏報較多，對攻擊變種識別準(zhǔn)確率較低，規(guī)則庫維護(hù)的成本高。

    隨著技術(shù)創(chuàng)新，目前市場上出現(xiàn)一種基于算法的檢測新技術(shù)，很好地彌補(bǔ)了基于自學(xué)習(xí)模型檢測手段的資源耗用問題，同時也彌補(bǔ)了基于創(chuàng)新的安全模型的變種檢測準(zhǔn)確率不高的問題，這類基于算法的技術(shù)是根據(jù)攻擊手法進(jìn)行分析，而非攻擊代碼特征分析的方法形成一套計算方法，它會實時分析網(wǎng)絡(luò)數(shù)據(jù)，在WAF設(shè)備內(nèi)部構(gòu)建“輕型虛擬機(jī)”，模擬出攻擊行為以觀察其行為特征。因此，可以準(zhǔn)確而全面的檢測和防御各類Web攻擊行為。這類算法徹底解決攻擊行為的變種問題。由這項技術(shù)做支撐，WAF產(chǎn)品對Web攻擊的檢測精度顯著提升，由于具有檢測準(zhǔn)確率高、誤報少的特點，對系統(tǒng)資源耗用的減少也是顯而易見的。