Web入侵檢測方法的研究.pdf

1、伴隨著互聯(lián)網的快速發(fā)展，帶來的是更多的安全威脅。近年來，CSDN密碼泄密門、ApacheStruts2漏洞、棱鏡門等一系列網絡安全事件進入人們的視野，這其中絕大部分都與Web網站安全息息相關。根據CNCERT每年發(fā)布的年度安全報告，與Web網站相關的入侵行為呈逐年上升趨勢。在所有安全威脅中，尤其以網站后門和網頁篡改為甚。對于網頁篡改的形式而言，近年來植入黑鏈的數量逐漸上升，而網頁掛馬則呈顯著下降的趨勢，因此植入黑鏈正成為網頁篡改的主要形

2、式。此外，攻擊者在發(fā)動入侵行為之前，往往都會針對目標網站進行一系列的網站掃描，以期獲得更多對入侵有利的信息，為進一步的入侵行為做鋪墊。因此，檢測網站掃描、網站后門和網頁黑鏈對于維護Web服務器安全、感知安全態(tài)勢具有極其重要的作用。
　　CHAIRS(Cooperative Hybrid Aided Incidence Response System)是一個大型分布式應急響應管理系統(tǒng)，該系統(tǒng)部署在CERNET（China Educa

3、tionand Research Network中國教育和科研計算機網）各主節(jié)點，為CCERT(中國教育和科研計算機網緊急響應組)、NJCERT（華東北地區(qū)網網絡安全事件響應組）等各節(jié)點的安全管理人員提供應急響應管理功能，提高CERNET內安全事件響應的效率。
　　本文的主要任務是研究針對Web入侵的檢測方法，并為CHAIRS系統(tǒng)設計并實現一個Web入侵檢測系統(tǒng)，使之能夠針對網站掃描、網站后門以及網頁篡改進行檢測，同時生成警報和證

4、據信息匯報給CHAIRS系統(tǒng)。
　　針對網站掃描，本文根據掃描的目的和特點，分別針對敏感路徑掃描和Web漏洞掃描進行檢測。對于敏感路徑掃描，本文提出了根據HTTP交互的檢測方法，具體來說是根據HTTP響應狀態(tài)碼進行聚類，篩選出機器訪問行為;再針對HTTP請求URL計算信息熵，以此判斷暴力枚舉掃描行為。對于Web漏洞掃描，本文借鑒了開源IDS的思路，但是不依賴于UserAgent，而是參考HTTP頭部的全部字段，總結出掃描器的特點進

5、行檢測，減少了漏報。
　　針對網站后門，為了提高系統(tǒng)的檢測速率，本文提出了使用孤頁檢測進行預處理的方法，先篩選掉確定不是Webshell的頁面，減少后期需要處理的數據量。對于剩下的可疑頁面，本文提出了基于SVM的黑盒檢測的方法，即在不知道腳本源代碼的情況下，僅僅依賴HTML文檔進行檢測，取得了其他檢測工具白盒檢測的效果。
　　針對網頁黑鏈，根據植入黑鏈的目的是謀取經濟利益的特點，本文提出了自動分析黑鏈并提取廣告關鍵詞的算法，