基于Web知识库的多层次Webshell防御研究

摘要

Web系统的广泛使用使得其安全性越来越被重视。攻击者对Web系统攻击成功后，通常会上传Webshell达到长久控制服务器的目的。因此，如何高效的检测Webshell成为Web安全领域热门的课题。
　　本文从实验入手，选取十个使用率高的开源项目，并爬取了1233个Webshell随机放置在这些项目中，然后分别利用动态和静态检测算法对Webshell进行检测。最终，得出当前检测算法的两个不足:泛化防御问题，无法对不同的Web系统进行针对性的防御，导致算法不同项目之间成功率差别很大;单层次防御问题，只在单一层面做防御，很容易被Webshell逃逸，导致检测率降低。
　　针对这两个问题，本文提出基于Web知识库的多层次检测理论。从建立Web知识库入手，首先选取功能测试阶段产生的测试数据作为原始数据，然后，建立针对请求与响应的请求响应树，最后，在文件树的基础上扩展请求响应树形成描述该Web系统的知识库。
　　围绕Web知识库，文章又从前期加固，中期防御和后期审计三个层次，建立对应的不同防御方法。实现了多层次防御系统。最后，利用对开源漏洞平台DVWA的防御，进行了本系统与其它检测算法的准确性对比，在准确性上能够提高15％左右，在误报率上能够降低5％左右。

目录

声明

摘要

图目录

表目录

1．1 研究背景

1．2 国内外研究现状

1．3 本文的主要工作和贡献

1．4 本文的组织结构

第2章 相关技术综述

2．1．1 Webshell原理

2．1．2 Webshell特征

2．1．3 Webshell逃逸技术

2．2 Webshell静态检测技术

2．2．1 属性特征提取

2．2．2 分类算法的选择

2．2．3 统计学检测技术

2．2．4 静态检测技术评价

2．3 Webshell动态检测技术

2．3．1 基于HTTP请求的动态检测

2．3．2 基于系统调用的动态检测

2．3．3 动态检测技术评价

2．4 机器学习算法在Webshell检测的应用

2．4．1 朴素贝叶斯算法

2．4．2 机器学习检测算法评价

2．5 Webshell自学习式检测技术

2．5．1 触发式自学习

2．5．2 连续式自学习

2．5．3 自学习式检测技术评价

2．6 本章小结

第3章 Web知识库与多层次防御理论

3．1 Webshell研究分析

3．1．1 样本介绍

3．1．2 实验方法

3．1．3 相关概念定义

3．1．4 实验结果

3．1．5 逃逸Webshell特征分析

3．2 泛化防御问题与Web知识库设计

3．2．1 泛化防御问题

3．2．2 Web知识库

3．3 单一层次问题与多层次防御

3．3．1 单一层次问题

3．3．2 多层次防御理论

3．3．3 基于Web知识库的多层次防御理论

3．4 本章小结

第4章 Web知识库构建

4．1 建立知识库的原则

4．2 数据选取，存储结构和操作

4．2．1 数据选取

4．2．2 知识存储结构

4．2．3 支持的模式和操作

4．3 建立请求响应树

4．3．1 数据预处理

4．3．2 建立请求响应树

4．4 建立Web知识库

4．4．1 建立文件树

4．4．2 树的异同和数据结构扩展

4．4．3 生成知识库

4．5 本章小结

第5章 基于知识库的多层次防御系统实现

5．1 系统架构和功能模块

5．1．1 系统架构

5．1．2 防御原理和功能模块

5．2 加固模块

5．2．1 数据与代码分离

5．2．2 混淆系统信息

5．3 防御模块

5．3．1 请求处理流程

5．3．2 威胁等级设定和冲突解决方法

5．4 文件完整性安全审计

5．4．1 审计部分设计

5．4．2 安全审计

5．4．3 系统修复

5．5 本章小结

第6章 防御系统评估

6．1 实验方式

6．2 构建防御系统

6．3 防御效果

6．4 防御效果分析

6．4．1 结果分析

6．4．2 逃逸Webshell分析

6．5 本章小结

第7章 总结与展望

参考文献

致谢