發(fā)布時間：2017-10-22 13:00

  本文關(guān)鍵詞：基于WAF入侵檢測和變異WebShell檢測算法的Web安全研究

  更多相關(guān)文章： Web攻擊 ModSecurity 入侵檢測 WebShell檢測 信息熵

【摘要】：隨著互聯(lián)網(wǎng)Web2.0的蓬勃發(fā)展,Web不僅提供豐富、動態(tài)的交互式應(yīng)用,而且已經(jīng)成為公司和國家的門戶和入口,也正是因為如此,這些Web應(yīng)用成為了黑客攻擊者的主要目標,黑客通過各種安全漏洞登錄Web應(yīng)用系統(tǒng),上傳WebShell,獲取服務(wù)器權(quán)限,竊取用戶信息,所以Web應(yīng)用系統(tǒng)迫切需要一個檢測能力強、反應(yīng)速度快、易于維護的防火墻。Web應(yīng)用防火墻主要是通過與黑名單規(guī)則庫完成特征匹配來起到安全防護的作用,但是目前的防火墻所采用的黑名單規(guī)則庫是基于已知攻擊方式的特征建立的,這種方式不僅對新的安全漏洞不具備預(yù)防和檢測能力,并且隨著時間的累積,黑名單規(guī)則庫會越來越龐大,隨之所帶來的管理也越來越復(fù)雜。此外,變異WebShell經(jīng)常采用特殊的變型方式與業(yè)務(wù)相結(jié)合,檢測難度系數(shù)較高,一般的WebShell檢測方法已不能滿足當(dāng)前的網(wǎng)絡(luò)安全需求。本文針對以上問題,從基于ModSecurity防火墻的消極安全模型和變異WebShell檢測兩個方面進行了深入的探究。首先,通過研究ModSecurity的工作機制,分析SecRule的規(guī)則,調(diào)研當(dāng)前Web應(yīng)用防火墻的檢測策略,本文提出了與自學(xué)習(xí)TL模型相結(jié)合的一種新的入侵檢測算法,采用先收集、整理和歸納網(wǎng)頁參數(shù)特征進行自學(xué)習(xí),生成標準正則表達式,再與用戶提交數(shù)據(jù)進行規(guī)則匹配并給出權(quán)值判斷的方法。模擬實驗結(jié)果證明,改進后的入侵檢測算法具備了更好的安全機制并提高了對規(guī)則庫的管理效率,具有一定的實用價值。其次,通過對PHP變異WebShell的代碼以及PHP語言的靈活性進行分析,針對函數(shù)名在程序的執(zhí)行環(huán)境中動態(tài)生成和運行所導(dǎo)致的某些字符串函數(shù)動態(tài)生成特殊的執(zhí)行函數(shù)的問題,本文提出了兩種針對PHP變異WebShell的檢測方法,基于PHP特殊字符信息熵和基于引號信息熵的算法,并以正常的項目文件和收集的WebShell作為樣本進行實驗,結(jié)果表明了上述兩種算法能夠檢測出絕大多數(shù)的變異WebShell,增強了WebDir檢測系統(tǒng)的檢測能力,具有一定的實用和研究價值。最后,通過研究WebShell檢測系統(tǒng),提出基于C/S架構(gòu)的WebDir監(jiān)控系統(tǒng),首先,在客戶端進行初步檢測,進而在WebDir服務(wù)端完成檢測算法的檢測,最后進行權(quán)值判斷,通過三個步驟得出相應(yīng)的判斷結(jié)果,若結(jié)果達到閥值將發(fā)郵件給安全運維人員,以達到及時有效的進行監(jiān)控的目的。經(jīng)過實驗證明,WebDir監(jiān)控系統(tǒng)可以更為方便和有效地進行客戶端文件檢測。
【關(guān)鍵詞】：Web攻擊 ModSecurity 入侵檢測 WebShell檢測 信息熵
【學(xué)位授予單位】：天津理工大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2016
【分類號】：TP393.08
【目錄】：

• 摘要5-6
• Abstract6-10
• 第一章 緒論10-17
• 1.1 研究背景與意義10-13
• 1.1.1 研究背景10-12
• 1.1.2 研究意義12-13
• 1.2 國內(nèi)外研究現(xiàn)狀13-14
• 1.3 研究內(nèi)容和創(chuàng)新點14-15
• 1.3.1 創(chuàng)新點14-15
• 1.3.2 本論文研究主要內(nèi)容15
• 1.4 本文結(jié)構(gòu)15-17
• 第二章 相關(guān)技術(shù)與理論17-25
• 2.1 WAF的基本介紹17-19
• 2.1.1 WAF的基本概念17
• 2.1.2 WAF的主要功能17-18
• 2.1.3 ModSecurit的基本介紹18-19
• 2.2 WebShell的基本認識19-24
• 2.2.1 WebShell的危害19-20
• 2.2.2 WebShell一般檢測方式20-22
• 2.2.3 變異的WebShell介紹22-23
• 2.2.4 變異的WebShell的檢測方法23-24
• 2.3 本章小結(jié)24-25
• 第三章 WAF入侵檢測模型研究25-31
• 3.1 WAF入侵檢測模型概述25
• 3.2 入侵檢測算法改進以及實驗流程25-26
• 3.3 入侵檢測模擬實驗過程、結(jié)果與分析26-30
• 3.3.1 學(xué)習(xí)過程27
• 3.3.2 正常檢測過程27-28
• 3.3.3 入侵檢測實驗結(jié)果與分析28-29
• 3.3.4 入侵檢測方法對比29-30
• 3.4 實驗小結(jié)30-31
• 第四章 PHP變異WebShell檢測算法的實現(xiàn)31-39
• 4.1 WebShell檢測的系統(tǒng)結(jié)構(gòu)31
• 4.2 WebShell檢測算法分析、改進與設(shè)計31-34
• 4.2.1 WebShell檢測算法分析與改進31-32
• 4.2.2 WebShell檢測算法設(shè)計32-34
• 4.3 WebShell實驗過程、實驗結(jié)果與分析34-36
• 4.3.1 實驗條件34
• 4.3.2 實驗過程34-36
• 4.4 實驗結(jié)果與分析36-38
• 4.5 WebShell檢測算法對比38
• 4.6 本章小結(jié)38-39
• 第五章 總結(jié)與展望39-41
• 5.1 論文工作總結(jié)39
• 5.2 未來工作展望39-41
• 參考文獻41-44
• 發(fā)表論文和科研情況說明44-45
• 致謝45-46

【相似文獻】

中國期刊全文數(shù)據(jù)庫 前2條

1 丁輝;;網(wǎng)站被黑中毒W(wǎng)ebShell木馬的解決方案[J];計算機與網(wǎng)絡(luò);2014年Z1期

2 ;[J];;年期

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前1條

1 馬艷發(fā);基于WAF入侵檢測和變異WebShell檢測算法的Web安全研究[D];天津理工大學(xué);2016年

，

本文編號：1078426