基于Web日志的站点威胁分析技术研究

摘要

传统的Web站点威胁分析技术大多重视漏洞扫描,忽略Web日志在网络安全中的作用;常用的Web日志分析系统,普遍着重于日志管理,与安全有关的分析局限于抓取攻击事件,无法为网站提供威胁情报.论文基于Web日志的站点威胁分析技术进行研究,设计了相关实验验证基于Web日志的站点威胁计算方法.该方法适用于多种日志格式,通过对源文件的预处理消除不同服务器Web日志的噪声和不一致性,抓取有意义的字段进行分析;采用基于规则库匹配的URL检测策略,根据攻击特征的规则库与每条访问日志的相关字段进行匹配;通过对所有攻击行为的提取与挖掘,为站点提供威胁情报.实验结果表明,该方法支持跨站脚本攻击、WebShell、SQL注入、Structs2远程命令执行、文件目录遍历、敏感文件访问、系统命令注入以及网络参数修改八种类型的威胁检测,同时可以根据不同攻击事件的比重与危害程度综合计算站点威胁值.