网络防御新里程的动态令牌防御

随着企业数字化转型的快速变化，各类Web应用近年来呈现爆发式增长。Web应用平台被广泛应用于电子政务和电子商务中，以实现协同办公和社交网站服务的目的。但是，收益和风险总是并存的。随着企业的数字化转型，WEB攻击就像一场噩梦，WEB应用的安全已经成为影响企业和社会发展的重要问题。1，WEB动态令牌防御的起源

2011年12月，美国国家科学技术委员会发布了《可信网络空间：联邦网络空间安全研发战略规划》，提出了基于动态化、随机化和多样化思想的移动目标防御(MTD)理论和方法，以改造现有信息系统的防御缺陷。其核心思想是构建一个动态、异构、不确定的网络空间目标环境来增加攻击者的攻击难度，以系统的随机性和不可预测性来打击网络攻击。

02.基于业务的WEB动态令牌防御

动态技术本质上是针对实体的某个组成部分或呈现形式，在空间和时间上实施变化。软件、平台、数据、认证等动态技术。业务动态应用防御系统助力企业数字化转型，WEB应用系统安全问题，改变网络攻防易攻难守的不对称局面。

商数动态防御系统本身的令牌机制是将唯一标识客户端的信息与请求时间相结合，然后通过特定的算法进行加密得到的。生成的令牌作为响应返回给系统，当客户端请求时，它将使用自己的令牌访问服务器资源。每个客户端对每个访问请求都有一个新的令牌，并且它们互不相同，所以不容易被伪造。动态令牌的使用有严格的规则和限制。首先，合法的请求是真实的客户端浏览器发起的，肯定会带令牌；自动攻击得不到引擎下发的动态令牌；令牌可以验证访问是来自真实的人还是自动化工具。

03.WEB动态令牌应用场景

Web令牌可以作为一种独立于其他防御技术的技术应用于WEB应用防御，如跨站请求伪造、暴力破解、重放攻击等。根据访问者的合法请求获取令牌，获取令牌后在请求时检查令牌的合法性，从而判断是否为正常请求，有效防御重放攻击、薅羊毛、计费等业务欺诈，提高WEB应用的动态防御能力。

04.传统WEB应用程序保护与动态令牌防御

传统的WEB应用保护主要基于特征规则，对SQL注入、XSS跨站点有很好的保护效果，但对薅羊毛、计费等业务欺诈以及暴力破解、数据库碰撞、重放攻击无能为力，因为单个请求和正常请求没有区别。只有通过策略规则才能识别和拦截OWASP 10大Web安全威胁，误报多，运维工作量大。对于上述攻击，动态令牌可以充分发挥自身的优势：通过检查一次性动态令牌的合法性，可以保证正确的业务逻辑，使我们的WEB应用更加安全。

对于企业用户来说，利用电子商务Web的动态令牌防御，既可以应对已知威胁，也可以应对未知威胁。以极低的资源消耗，防范人机攻击，保障各类应用安全，大幅降低企业安全运维成本。

目前，电子商务Web动态令牌防御已广泛应用于运营商、金融、政府、教育、医院、企业客户，帮助政企机构真正实现网站/app/applet/API的安全防护，有效打击非法产品，降低其安全风险和经济损失。