“攻击只需一点即可得手，而防守必须全面设防”，可见多数时候，防守方很被动。当攻防双方在同一维度活动时，攻击者会有很多途径实现攻击，而防守策略必须不断的叠加来封堵，往往疲于奔命。在互联网公司安全团队有限的人力资源条件下，像杀毒软件或各色ips\ids那样不断累加特征码的方式，需长年累月投入人力且收效未必很好，因此是非常不可取的。

　　其实，防守方也是有他的优势的。举例来说，目前常见的攻击手法都是针对目标的web或主机系统层面。而整个战场所在的操作系统以及网络设备均是防守方的，那么理论上防守方可以在任意维度构建安全产品和制定安全策略，相对来说攻击行为则处在一个较低维度领域内活动。

　　如何理解这个维度呢，参考图1:

　　图1. 战场纵深视图

　　高维防守

　　常常看到yuange提到安全策略(体系)的完备性，通常安全策略被绕过是由于不够完备。如何让策略足够完备呢，笔者认为基于系统的机制、CGI和协议规范较为有效，比不断用新规则新策略去为之前的策略打“补丁”靠谱的多。因为一切攻击与防守所需的基本功能/基本逻辑均来源于此。

　　从图1可以看到无论什么入侵行为，其实都对应着更高一维度的系统功能和能力支持。在防守方的主场，不要放着这些有利的条件不用，与攻击者针尖对麦芒的在低维度对抗，犹如遭受了《三体》中的“降维攻击”是不明智的。

　　维度分析

　　以“webshell上传“这个入侵场景为例，在制定防守策略前，先分析一下它在各个维度都有哪些事件发生，见图2。

　　图2. Webshell上传在各维度事件

　　策略实践

　　梳理清楚了“webshell上传”这个场景在各维度的技术细节，如何制定不易绕过的策略就相对容易了。

　　l  网络层：检测符合RFC1867标准的上传CGI行为

　　无论什么漏洞和那种猥琐的攻击，他总是要符合HTTP协议的。那从高维度的HTTP协议入手，便不用去考虑诸如”XXeditor上传漏洞”、“XXCMS上传漏洞“的防护规则了，见图3。

　　图3. 一个符合RFC 1867协议的HTTP上传行为数据包

　　l  CGI层面：检测fopen等API事件是否在创建CGI文件

　　无论什么CGI漏洞导致的上传，漏洞代码几乎都用有fopen等写文件的操作，见图4。

　　图4. CGI层面对写文件事件的监控