Web入侵檢測方法的研究.pdf

1、伴隨著互聯(lián)網(wǎng)的快速發(fā)展，帶來的是更多的安全威脅。近年來，CSDN密碼泄密門、ApacheStruts2漏洞、棱鏡門等一系列網(wǎng)絡(luò)安全事件進(jìn)入人們的視野，這其中絕大部分都與Web網(wǎng)站安全息息相關(guān)。根據(jù)CNCERT每年發(fā)布的年度安全報(bào)告，與Web網(wǎng)站相關(guān)的入侵行為呈逐年上升趨勢。在所有安全威脅中，尤其以網(wǎng)站后門和網(wǎng)頁篡改為甚。對于網(wǎng)頁篡改的形式而言，近年來植入黑鏈的數(shù)量逐漸上升，而網(wǎng)頁掛馬則呈顯著下降的趨勢，因此植入黑鏈正成為網(wǎng)頁篡改的主要形

2、式。此外，攻擊者在發(fā)動(dòng)入侵行為之前，往往都會(huì)針對目標(biāo)網(wǎng)站進(jìn)行一系列的網(wǎng)站掃描，以期獲得更多對入侵有利的信息，為進(jìn)一步的入侵行為做鋪墊。因此，檢測網(wǎng)站掃描、網(wǎng)站后門和網(wǎng)頁黑鏈對于維護(hù)Web服務(wù)器安全、感知安全態(tài)勢具有極其重要的作用。
　　CHAIRS(Cooperative Hybrid Aided Incidence Response System)是一個(gè)大型分布式應(yīng)急響應(yīng)管理系統(tǒng)，該系統(tǒng)部署在CERNET（China Educa

3、tionand Research Network中國教育和科研計(jì)算機(jī)網(wǎng)）各主節(jié)點(diǎn)，為CCERT(中國教育和科研計(jì)算機(jī)網(wǎng)緊急響應(yīng)組)、NJCERT（華東北地區(qū)網(wǎng)網(wǎng)絡(luò)安全事件響應(yīng)組）等各節(jié)點(diǎn)的安全管理人員提供應(yīng)急響應(yīng)管理功能，提高CERNET內(nèi)安全事件響應(yīng)的效率。
　　本文的主要任務(wù)是研究針對Web入侵的檢測方法，并為CHAIRS系統(tǒng)設(shè)計(jì)并實(shí)現(xiàn)一個(gè)Web入侵檢測系統(tǒng)，使之能夠針對網(wǎng)站掃描、網(wǎng)站后門以及網(wǎng)頁篡改進(jìn)行檢測，同時(shí)生成警報(bào)和證

4、據(jù)信息匯報(bào)給CHAIRS系統(tǒng)。
　　針對網(wǎng)站掃描，本文根據(jù)掃描的目的和特點(diǎn)，分別針對敏感路徑掃描和Web漏洞掃描進(jìn)行檢測。對于敏感路徑掃描，本文提出了根據(jù)HTTP交互的檢測方法，具體來說是根據(jù)HTTP響應(yīng)狀態(tài)碼進(jìn)行聚類，篩選出機(jī)器訪問行為;再針對HTTP請求URL計(jì)算信息熵，以此判斷暴力枚舉掃描行為。對于Web漏洞掃描，本文借鑒了開源IDS的思路，但是不依賴于UserAgent，而是參考HTTP頭部的全部字段，總結(jié)出掃描器的特點(diǎn)進(jìn)

5、行檢測，減少了漏報(bào)。
　　針對網(wǎng)站后門，為了提高系統(tǒng)的檢測速率，本文提出了使用孤頁檢測進(jìn)行預(yù)處理的方法，先篩選掉確定不是Webshell的頁面，減少后期需要處理的數(shù)據(jù)量。對于剩下的可疑頁面，本文提出了基于SVM的黑盒檢測的方法，即在不知道腳本源代碼的情況下，僅僅依賴HTML文檔進(jìn)行檢測，取得了其他檢測工具白盒檢測的效果。
　　針對網(wǎng)頁黑鏈，根據(jù)植入黑鏈的目的是謀取經(jīng)濟(jì)利益的特點(diǎn)，本文提出了自動(dòng)分析黑鏈并提取廣告關(guān)鍵詞的算法，