Web应用安全确保技术研究与应用

摘要

随着互联网技术的不断发展，Web应用在社会生活的各个方面的到了广泛的应用，但是由于互联网环境所具有的开放性与复杂性，使得以Web应用为代表的基于互联网的应用的安全性受到了前所未有的威胁，也使得对其安全性研究变得尤为紧迫和必要。自互联网出现以来，包括防火墙在内的许多安全技术已经日臻成熟，但是Web应用作为一种典型的面向服务的应用架构，本身具有不同于传统应用的特点，这使得针对于传统应用的安全确保技术不足以为Web应用提供足够的安全防护。
　　传统的网络安全技术以及网络安全设备大多工作于网络层，但是针对于 Web应用的诸多攻击在网络层的表现和正常访问差别不大，而对于OWASP所发布的十大Web应用安全威胁多属于这一类攻击，可见传统的安全措施无法对Web应用提供足够的安全确保。另一方面对于安全的研究也由最初的“检”和“防”发展到了“容”，即要求应用对安全威胁具有一定的容忍能力，这一能力被定义为生存性。
　　针对于Web应用的安全威胁，以威胁最严重的SQL注入攻击和跨站点脚本攻击为切入点，并对Web应用的生存性进行了研究，提出了基于反向代理的Web应用攻击检测系统和可生存的Web应用恢复方案。最终结合传统安全技术提出了一个针对于Web应用的安全确保框架。
　　首先对传统Web应用安全研究以及对Web应用安全性进行研究的现实意义进行了分析；然后对SQL注入攻击、跨站点脚本攻击原理进行了研究，并根据生存性形式化定义模型提出了一个针对与Web应用特点的生存性形式化度量方法；基于上述研究成果，提出了失效的Web应用恢复算法以及SQL注入攻击检测、跨站点脚本攻击检测方法；最后设计了用于进行Web应用攻击检测与防护的基于反向代理的Web应用攻击检测工具和用于失效Web应用恢复的Web应用生存性恢复策略以及辅助软件，并依据这两个系统以及传统的安全技术提出了针对于Web应用的安全确保框架，指明了在网络环境中如何结合进行应用。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪 论

1.1 选题背景及意义

1.2 Web应用安全与生存性研究现状

1.3 主要研究内容及论文安排

1.4 本章小结

第二章 Web应用安全威胁及生存性形式化模型

2.1 Web应用的定义

2.2 Web应用的安全威胁分析

2.3 主要网络协议规范及分析

2.4生存性形式化模型

2.5 本章小结

第三章 Web应用攻击检测系统设计与实现

3.1 Web应用安全确保体系

3.2基于反向代理Web应用攻击检测系统设计

3.3基于反向代理Web应用攻击检测系统实现

3.4 本章小结

第四章 Web应用生存性及其恢复策略

4.1 Web应用的生存性

4.2 Web应用恢复策略

4.3 Web应用生存性恢复策略实现

4.4 本章小结

第五章 系统测试

5.1 基于反向代理的Web应用攻击检测系统测试

5.2 Web应用生存性恢复策略测试

5.3 本章小结

第六章 结 论

6.1 本文工作总结

6.2 下一步工作的展望

致谢

参考文献

攻硕期间取得的研究成果