根據(jù)Symantec發(fā)布的2017年《互聯(lián)網(wǎng)安全威脅報告》可知,網(wǎng)絡(luò)安全逐漸引起國家安全部門的重視,其中Web安全仍然是網(wǎng)絡(luò)安全中的一個重要課題。隨著網(wǎng)絡(luò)設(shè)備和基礎(chǔ)技術(shù)應(yīng)用的快速發(fā)展,Web應(yīng)用也已經(jīng)成為網(wǎng)絡(luò)應(yīng)用的主流方式,廣泛應(yīng)用于生活的各種業(yè)務(wù)系統(tǒng)中。但是,Web程序本身的安全性往往被疏忽,這些存在漏洞隱患的Web應(yīng)用程序容易成為攻擊者的目標(biāo),最終造成重要數(shù)據(jù)的篡改、泄漏或破壞。因此,一個有效的Web攻擊檢測方法對保護(hù)Web應(yīng)用是至關(guān)重要的。本文重點研究基于隱馬爾可夫模型與卷積神經(jīng)網(wǎng)絡(luò)的Web安全檢測技術(shù),主要工作如下:傳統(tǒng)的檢測Web攻擊方法是將攻擊特征手動編碼成相應(yīng)的規(guī)則進(jìn)行檢測,但隨著Web攻擊方法的多樣化,傳統(tǒng)方法缺點日益凸顯。針對傳統(tǒng)檢測技術(shù)的缺點,提出一個基于詞袋模型和隱馬爾可夫的Web安全檢測技術(shù)方法。本文首先分析了Web安全理論基礎(chǔ)和攻擊類型。重點對Web攻擊原理和相應(yīng)的防御措施進(jìn)行了深入分析。在對有效載荷特征提取時,本文總結(jié)了利用模型N-gram提取有效載荷payload特征的方法,隨著特征提取滑動窗口 N的增大,對應(yīng)產(chǎn)生的子序列g(shù)ram的種類個數(shù)會呈指數(shù)級的增長... 

【文章來源】：湖南大學(xué)湖南省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：71 頁

【學(xué)位級別】：碩士

【部分圖文】：

圖２．１?ＨＴＴＰ請求－響應(yīng)模型??

?面，日志文件就會相應(yīng)的增加一條日志記錄，最終形成一個結(jié)構(gòu)化較好的日志文??件。Ｗｅｂ日志的形成如圖２．３所示：??電腦?日志文件??圖２．３?Ｗｅｂ日志形成過程??Ｗｅｂ服務(wù)器日志不僅記錄著用戶訪問網(wǎng)站的整個過程，還同時記錄著服務(wù)器??接收的請求信息和運(yùn)行狀態(tài)的各種數(shù)據(jù)，其中包括正常用戶的訪問行為和惡意用??戶訪問服務(wù)器的行為。通過進(jìn)行Ｗｅｂ日志記錄的挖掘發(fā)現(xiàn)異常的訪問行為［２８］。??Ｗｅｂ日志中的ＵＲＬ檢測能發(fā)現(xiàn)服務(wù)器是否受到攻擊者的攻擊，為Ｗｅｂ安全提供??了入侵檢測的手段。??（１）?Ｗｅｂ日志的格式??Ｗｅｂ日志文件記錄了用戶訪問服務(wù)器的詳細(xì)情況，如訪問的ＩＰ、時間、請求??的參數(shù)、服務(wù)器處理請求時的狀態(tài)碼等數(shù)據(jù)信息。目前日志使用較廣泛的有??Ａｐａｃｈｅ的ＮＣＳＡ日志［２９］格式和微軟ＩＩＳ的Ｗ３Ｃ日志＿格式。??Ａｐａｃｈｅ日志最常用的是基于ＮＣＳＡ擴(kuò)展日志格式：??４１．１３５．１４９．２０?－?［１３／Ｍａｒ／２０１８：１５：４２：４７?＋０８００］?＂ＧＥＴ／ｈｉｓｔｏｒｙ／ｓｔ．Ｊｓｐ?ＨＴＴＰ／１．１＂??２００?２４２２５?＂ｈｔｔｐ：／／ｗｗｗ．ｅｘａｍｐｌｅ．ｃｏｍ／ｉｎｄｅｘ．ｈｔｍｌ＂?＂Ｍｏｚｉｌｌａ／５．０?（ｃｏｍｐａｔｉｂｌｅ；?ＭＳＩＥ?６．０；??Ｗｉｎｄｏｗｓ?ＮＴ?５．１；?ＳＶ１；?３６０ＳＥ），，??４１．１３５．１４９．２０：是一個ＩＰ信息，代表一個客戶端向Ｗｅｂ應(yīng)用服務(wù)器請求的??ＩＰ地址。一般第一項信息為遠(yuǎn)程主機(jī)ＩＰ的地址。??第一個是用于標(biāo)注訪問者的標(biāo)示，信息是代表ｉｄｅｎｔｄ的客戶端存在，??當(dāng)編碼設(shè)置ＩｄｅｎｔｉｔｙＣｈｅｃｋ的狀態(tài)為開啟時

ＲＯＣ曲線是指受試者工作特征曲線，是展示特征分類能力的有效方法。ＲＯＣ??曲線上的每個不同點對應(yīng)不同閾值，通過設(shè)定多個不同的閾值，從而計算出一系??列ＴＰＲ和ＦＰＲ的值得到相應(yīng)的坐標(biāo)（ＴＰＲ，?ＦＰＲ）形成曲線，如圖２．４所示。??１??????？??％?０．６５?／！?，??■§?．／??窆：?ｒａｎｄｏｍ?ｃｈａｎｃｅ??Ｃｈ??ｉ?．?＇??０?０．２?１??ｆａｌｓｅ?ｐｏｓｉｔｉｖｅ?ｒａｔｅ??圖２．４?ＲＯＣ曲線??１５??


本文編號：2979852