發(fā)布時(shí)間：2020-08-25 06:50

【摘要】：Web系統(tǒng)的廣泛使用使得其安全性越來越被重視。攻擊者對(duì)Web系統(tǒng)攻擊成功后,通常會(huì)上傳Webshell達(dá)到長久控制服務(wù)器的目的。因此,如何高效的檢測(cè)Webshell成為Web安全領(lǐng)域熱門的課題。本文從實(shí)驗(yàn)入手,選取十個(gè)使用率高的開源項(xiàng)目,并爬取了 1233個(gè)Webshell隨機(jī)放置在這些項(xiàng)目中,然后分別利用動(dòng)態(tài)和靜態(tài)檢測(cè)算法對(duì)Webshell進(jìn)行檢測(cè)。最終,得出當(dāng)前檢測(cè)算法的兩個(gè)不足:泛化防御問題,無法對(duì)不同的Web系統(tǒng)進(jìn)行針對(duì)性的防御,導(dǎo)致算法不同項(xiàng)目之間成功率差別很大;單層次防御問題,只在單一層面做防御,很容易被Webshell逃逸,導(dǎo)致檢測(cè)率降低。針對(duì)這兩個(gè)問題,本文提出基于Web知識(shí)庫的多層次檢測(cè)理論。從建立Web知識(shí)庫入手,首先選取功能測(cè)試階段產(chǎn)生的測(cè)試數(shù)據(jù)作為原始數(shù)據(jù),然后,建立針對(duì)請(qǐng)求與響應(yīng)的請(qǐng)求響應(yīng)樹,最后,在文件樹的基礎(chǔ)上擴(kuò)展請(qǐng)求響應(yīng)樹形成描述該Web系統(tǒng)的知識(shí)庫。圍繞Web知識(shí)庫,文章又從前期加固,中期防御和后期審計(jì)三個(gè)層次,建立對(duì)應(yīng)的不同防御方法。實(shí)現(xiàn)了多層次防御系統(tǒng)。最后,利用對(duì)開源漏洞平臺(tái)DVWA的防御,進(jìn)行了本系統(tǒng)與其它檢測(cè)算法的準(zhǔn)確性對(duì)比,在準(zhǔn)確性上能夠提高15%左右,在誤報(bào)率上能夠降低5%左右。
【學(xué)位授予單位】：浙江大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP393.08
【圖文】：

安全配置錯(cuò)誤，敏感信息泄露，攻擊檢測(cè)與防護(hù)不足，跨站點(diǎn)請(qǐng)求偽造，使用含逡逑有己知漏洞的組件和未受有效保護(hù)的ＡＰＩ列為Ｗｅｂ系統(tǒng)１０大最常見漏洞，各個(gè)逡逑常見漏洞所占比例如圖１．１所示。攻擊者利用這些漏洞控制服務(wù)器后，通常會(huì)向逡逑ｗｅｂ服務(wù)器上傳Ｗｅｂｓｈｅｌｌ，以便對(duì)內(nèi)網(wǎng)進(jìn)行進(jìn)一步滲透。Ｗｅｂｓｈｅｌｌ是一種利用逡逑Ｗｅｂ服務(wù)器支持的腳本語言執(zhí)行服務(wù)器系統(tǒng)命令的方法。逡逑１逡逑

戶的合法請(qǐng)求。逡逑通過統(tǒng)計(jì)，發(fā)現(xiàn)管理員請(qǐng)求的次數(shù)為７５０５６遠(yuǎn)低于疑似攻擊的次數(shù)４１３４０１，逡逑它們分部的折線圖如圖２．７所示。逡逑９１邐７逡逑／邐－0－邐ｙ＝ａｔｔａｃｋ逡逑８邋－邐0邋６邋ｏ邐ｐ邐ｙ＝ａｄｍｉｎ逡逑丨逡逑Ｓｅｒｉａｌ逡逑圖２．７管理員用戶與攻擊請(qǐng)求量對(duì)比逡逑可以看出，在實(shí)際運(yùn)行環(huán)境中學(xué)習(xí)并建立知識(shí)庫是比較困難的，主要存在兩逡逑類問題：逡逑＞用戶訪問頻率無法確定。部分系統(tǒng)用戶對(duì)系統(tǒng)的操作較少，這類型的逡逑請(qǐng)求甚至遠(yuǎn)遠(yuǎn)不如訪問異常的請(qǐng)求多，學(xué)習(xí)起來很容易忽略，影響用逡逑戶的正常使用；逡逑＞自動(dòng)化攻擊頻率和方式比較固定。在２．１．２節(jié)中已經(jīng)提到，針對(duì)Ｗｅｂ逡逑系統(tǒng)的攻擊方式第一步是發(fā)現(xiàn)目標(biāo)，而這一步中往往使用自動(dòng)化的掃逡逑描工具，比如Ｂｕｒｐｓｕｉｔ［？］，Ｚａｐｒｏｘｙ［２４］等，這就導(dǎo)致攻擊數(shù)據(jù)通常是有逡逑２２逡逑

繼續(xù)考察實(shí)驗(yàn)結(jié)果，通過對(duì)比可以發(fā)現(xiàn)，靜態(tài)檢測(cè)方法和動(dòng)態(tài)檢測(cè)方法對(duì)于逡逑實(shí)際項(xiàng)目的檢測(cè)成功率都不高。分別是７１．２３％和６３．３４％。但是，逃逸二者檢測(cè)逡逑的Ｗｅｂｓｈｅｌｌ各有不同。相同的概率僅為４４．２２％和３４．７３％。如圖３．４所示。逡逑１９８邐２９５逡逑？態(tài)檢》方法．邐動(dòng)態(tài)栓ａ方法逡逑５５．７７％邐６５．２７％逡逑圖３．４動(dòng)態(tài)靜態(tài)檢測(cè)對(duì)比逡逑再去計(jì)算對(duì)每個(gè)項(xiàng)目的平均檢測(cè)成功率：ＮｅｏＰＩ概率為５４．４２％，Ｍｏｄｓｅｃｕｒｉｔｙ逡逑概率為４７．２２％，計(jì)算每個(gè)Ｗｅｂｓｈｅｌｌ平均逃逸率：ＮｅｏＰＩ為５２．４４％，邋Ｍｏｄｓｅｃｕｒｉｔｙ逡逑為邋４７．１％。逡逑綜合三個(gè)指標(biāo)可以得出結(jié)論二：逡逑結(jié)論二：兩種檢測(cè)算法存在著互補(bǔ)關(guān)系，單一的檢測(cè)算法準(zhǔn)確性較低。逡逑事實(shí)上，靜態(tài)檢測(cè)算法可以看成是對(duì)系統(tǒng)運(yùn)行后的安全審計(jì)，而動(dòng)態(tài)檢測(cè)可逡逑以看成是系統(tǒng)運(yùn)行階段的防御�？梢哉J(rèn)為單一層次的防御對(duì)Ｗｅｂｓｈｅｌｌ的檢測(cè)是有逡逑３５逡逑

【參考文獻(xiàn)】

相關(guān)期刊論文 前1條

1 胡建康;徐震;馬多賀;楊婧;;基于決策樹的Webshell檢測(cè)方法研究[J];網(wǎng)絡(luò)新媒體技術(shù);2012年06期

本文編號(hào)：2803398