Imperva 是对数据中心里高价值商业数据提供数据安全解决方案的，近期发布了第二季度的Imperva 网络应用攻击报告(简称WAAR)，报告中显示该网络应用程序主要服务于商业逻辑性攻击。下面我们来看一下针对恶意的网络攻击应该如何解决？

　　Imperva针对40多种不同的应用程序通过因特网检测和分类各种攻击。WAAR报告概括了不同的攻击起源的频率，种类和属性，来帮助数据安全专业人员更好地优先补救一些漏洞。

　　“自从黑客们遵从使用者的应用程序中合理的相互作用流程，商业逻辑攻击便成为是最吸引他们的”Imperva的首席技术官Amichai Shulman说. “这种相互作用被一种对于特定的操作程序是如何影响应用程序功能性的认知所引导着。因此，滥用者利用应用程序使得被截获的私人信息和扭曲的信息外泄给其他更多的用户—经常导致错误的传达安全指令”

　　报告指出

　　·自动化应用程序攻击正在继续。从2011年6月到11月的六个月期间，观察到的网络应用程序每个月遭受到了130000到385000次的攻击。达到顶峰时，整套应用程序在一小时内受到了至少38000次或者每秒钟10次的攻击。

　　·由于黑客有能力逃避监测，他们依赖于商业逻辑攻击： Imperva同时研究了两种商业逻辑攻击的模式： 垃圾邮件评论和邮件自动提取工具。垃圾邮件评论在评论栏里嵌入了恶意链接来改变 搜索工具的结果和潜在的诈骗用户。邮件自动提取工具为建立垃圾邮件列表而简单地分类邮件地址。这些商业逻辑攻击对14%的分析恶意通信解释。

　　·商业逻辑攻击来源的属性是：

　　o邮件自动提取工具被非洲国家的主机所控制。

　　o垃圾邮件评论的一个与众不同的部分是被东欧国家所监测。

　　·黑客们开发了5种通用漏洞应用程序：这五种通用漏洞应用程序是：远程档案引用 (简称RFI), SQL 输入 (简称SQLi), 本地档案引用 (简称LFI), 跨网站攻击程式 (简称XSS) 和目录穿越漏洞 (简称DT). 跨网站攻击程式和目录穿越漏洞是最普遍的传统攻击形式。为什么这些漏洞被当作目标?黑客更喜欢最容易的方法和漏洞应用程序作为最丰富的目标。

　　在这份报告中描述的很多攻击都不是很难被缓解的。然而，我们发现网络应用程序面临攻击变得更加多样化，技术上更加复杂化并且更加难去监测和限制，显然地，相对的安全措施必须继续保护商业和用户不被这些伤害和损失所威胁。正确的减缓步骤有哪些呢?我们试着去创造出一个完整的目录来帮助数据安全团队提高他们的效率。

　　在我们上一份报告中提到的几点建议现在还是有效的：

　　1.监测自动化攻击来展开数据安全解决方案。这种监测必须在攻击的过程中尽早的实行。

　　2.针对已知的漏洞监测和限制攻击。应用程式中可利用的弱点的知识库必须经常更新。

　　3.在恶意来源中获得情报并即时应用。攻击主机的黑名单始终是一个很有效的防范措施。然而，这个名单必须每天更新以保持他的实效性。

　　4.参与安全共同体并分享攻击数据。攻击的自动化和范围的增加和扩大在网络上留下了一个很大印迹—但是这只有从大量的受害者那搜集到的数据才能得出结论。

　　5.在BLA来源中获得情报并即时应用。例如，垃圾邮件评论在被公然揭露后还可以活跃很长时间。情报必须专注于每一种攻击形式，从我们所看到的，攻击者使用的垃圾邮件评论和邮件自动提取工具存在的不同属性。

　　6.通信的信息属性可以帮助即时做出数据安全对策。例如，分析BLA攻击所拥有的独特性质。

　　对自动化攻击的依赖性的不断增长和大量的恶意自动化工具通信的出现，意味着被这些工具所快速的，准确的，自动化的产生阻碍攻击是非常重要的。作为一个通用指南，一套小型的通信特性和网络客户必须始终保持慎重和监测意识。通信的常规剖面的偏差应该受到专业软件和人员的严密监测。

　　监测和防御自动化攻击的检查项目包括：

　　·以名誉为基础的监测：获得并使用被主机雇佣的攻击者的黑名单。

　　·高点击率：通信形式是自动化活动的最基本的表现。在一个应用程序相关的临界值之上(例如，每分钟点击3次)，该应用程序应该延迟或阻止于网络客户的内部交换。

　　·入局通信量的技术属性：不同于一般浏览器所产生的通信量，被软件工具制造出的通信量经常有自己的技术特性(比如特殊的HTTP标题)。如果这不是一个可以接受的使用方案，就会限制这种通信量。

　　·商业行动的重复：例如，很多注册失败者会显示密码蛮力破解。当然，你的安全装置必须能够识别出差异或者异常的表现。

　　·对网络客户应用程序的挑战：测试你的应用程序是否真的与浏览器相互作用。例如，“虚假”浏览器没有如Java描述语言执行的能力。这个应用程序流程应该包含发送Java描述语言代码给客户并核查其是否真的被执行。

　　·确认是否有监测人员在消息圈内：检查终端用户是像CAPTCHA一样有能力被合并的执行者。