基于WAF入侵检测和变异WebShell检测算法的Web安全研究

摘要

随着互联网Web2.0的蓬勃发展，Web不仅提供丰富、动态的交互式应用，而且已经成为公司和国家的门户和入口，也正是因为如此，这些Web应用成为了黑客攻击者的主要目标，黑客通过各种安全漏洞登录Web应用系统，上传WebShell，获取服务器权限，窃取用户信息，所以Web应用系统迫切需要一个检测能力强、反应速度快、易于维护的防火墙。
　　Web应用防火墙主要是通过与黑名单规则库完成特征匹配来起到安全防护的作用，但是目前的防火墙所采用的黑名单规则库是基于已知攻击方式的特征建立的，这种方式不仅对新的安全漏洞不具备预防和检测能力，并且随着时间的累积，黑名单规则库会越来越庞大，随之所带来的管理也越来越复杂。此外，变异WebShell经常采用特殊的变型方式与业务相结合，检测难度系数较高，一般的WebShell检测方法已不能满足当前的网络安全需求。
　　本文针对以上问题，从基于ModSecurity防火墙的消极安全模型和变异WebShell检测两个方面进行了深入的探究。
　　首先，通过研究ModSecurity的工作机制，分析SecRule的规则，调研当前Web应用防火墙的检测策略，本文提出了与自学习TL模型相结合的一种新的入侵检测算法，采用先收集、整理和归纳网页参数特征进行自学习，生成标准正则表达式，再与用户提交数据进行规则匹配并给出权值判断的方法。模拟实验结果证明，改进后的入侵检测算法具备了更好的安全机制并提高了对规则库的管理效率，具有一定的实用价值。
　　其次，通过对PHP变异WebShell的代码以及PHP语言的灵活性进行分析，针对函数名在程序的执行环境中动态生成和运行所导致的某些字符串函数动态生成特殊的执行函数的问题，本文提出了两种针对PHP变异WebShell的检测方法，基于PHP特殊字符信息熵和基于引号信息熵的算法，并以正常的项目文件和收集的WebShell作为样本进行实验，结果表明了上述两种算法能够检测出绝大多数的变异WebShell，增强了WebDir检测系统的检测能力，具有一定的实用和研究价值。
　　最后，通过研究WebShell检测系统，提出基于C/S架构的WebDir监控系统，首先，在客户端进行初步检测，进而在WebDir服务端完成检测算法的检测，最后进行权值判断，通过三个步骤得出相应的判断结果，若结果达到阀值将发邮件给安全运维人员，以达到及时有效的进行监控的目的。经过实验证明，WebDir监控系统可以更为方便和有效地进行客户端文件检测。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1 研究背景与意义

1.2 国内外研究现状

1.3 研究内容和创新点

1.4 本文结构

第二章 相关技术与理论

2.1 WAF的基本介绍

2.2 WebShell的基本认识

2.3 本章小结

第三章 WAF入侵检测模型研究

3.1 WAF入侵检测模型概述

3.2 入侵检测算法改进以及实验流程

3.3 入侵检测模拟实验过程、结果与分析

3.4 实验小结

第四章 PHP变异WebShell检测算法的实现

4.1 WebShell检测的系统结构

4.2 WebShell检测算法分析、改进与设计

4.3 WebShell实验过程、实验结果与分析

4.4 实验结果与分析

4.5 WebShell检测算法对比

4.6 本章小结

第五章 总结与展望

5.1 论文工作总结

5.2 未来工作展望

参考文献

发表论文和科研情况说明

致谢