（管理科学与工程专业论文）基于记忆原理的web安全预警研究.pdf

西安建筑科技大学硕七学位论文 基于记忆原理的w e b 安全预警研究 专业：管理科学与工程 作者：石昌文 指导教师：黄光球教授 摘要 w e b 安全问题是当今的热门话题，随着互联网的飞速发展和普及，w e b 所面 临的安全威胁问题越来越多，建立一种行之有效的w e b 安全预警系统将成为未来 需要解决的一个重大问题。本文讨论了建立w e b 安全预警系统的核心问题，对 w e b 安全预警过程进行了详细的分析和描述，并提出了一种新的基于记忆原理的 分析思想。论文首先讨论了w e b 所存在的问题，分析了w e b 安全预警分析所应 采取的途径。然后特别详细的分析了生物记忆原理，以生物记忆原理为基础建立 了一种分析模型。以记忆原理模型为基础，详细的分析了w e b 安全预警从最初的 数据分析到最终的预警决策的各个过程。论文在分析过程中始终以详尽的实验数 据对各个过程进行计算检验，然后对计算进行分析说明最终检验结果表明该 w e b 安全预警分析是有效的。 关键词：w e b 安全；网络攻击；预警；记忆原理 两安建筑科技大学硕十学位论文 r e s e a r c ho f w e be a r l y - w a r n i n g s y s t e mb a s e d o nm e m o r y p r i n c i p l e m a j o r ：m a n a g e m e n ts c i e n c ea n de n g i n e e r i n g a u t h o r s i l ic h a n g - w e n i n s t r u c t o r ：p r o f h u a n gg u a n g - q i u a b s t r a c t w e bs e c u r i t yi sah o tt o p i ct o d a y w i t ht h er a p i dd e v e l o p m e n ta n dp o p u l a r i z a t i o n o f t h ei n t e m e t , w e bi sf a c i n gt h ei n c r e a s i n gt h r e a t so f s e e n r i t y , e s t a b l i s h i n ga ne f f e c t i v e e a r l y - w a r n i n gs y s t e mo fw e bs e c u r i t yw i l lb e c o m eam a j o ri s s u et ob er e s o l v e di n f u t u r e t h i sa r t i c l ed i s c u s s e st h ec o i ci s s u e so fe s t a b l i s h i n gt h ew e bs e c u r i t ye a r l y - w a r n i n gs y s t e m , a n a l y s e sa n dd e s c r i b e st h ep r o c e s so fw e bs e c u r i t ye a r l yw a r n i n g s y s t e mi nd e t a i l ，a n dp r o p o s e san e wt h e o r yb a s e do nt h ea n a l y s i so nm e m o r yp r i n c i p l e f i r s t , t h i sp a p e rd i s c u s s e do nt h ee x i s t i n gp r o b l e m so f t h ew e b ，a n a l y s i st h em e t h o df o r w e bs e c u r i t ye a r l y - w a r n i n ga n a l y s e st ob ca d o p t e d t h e nt h i sp a p e re l a b o r a t e do n b i o l o g i c a lm e m o r yt h e o r y , e s t a b l i s h e da na n a l y t i c a lm o d e lb a s e do nb i o l o g i c a lm e m o r y p r i n c i p l e s b a s e do nm o d e l so f m e m o r yp r i n c i p l e ，i te l a b o r a t e do ne v e r yp r o c e s so f t h e w e be a r l y - w a r n i n gs y s t e mf r o mt h ei n i t i a ld a t aa n a l y s e st ot h ef i n a ld e c i s i o n - m a k i n g t h i sp a p e rt e s t se a c hu n i tw i t hd e t a i l e de x p e r i m e n t a ld a t at h r o u g h o u tt h ew h o l e a n a l y s e sp r o c e s s , t h e ne x p l a i na n da n a l y s i st h ec a l c u l a t i n gp r o c e s s f i n a lt e s tr e s u l t s s h o wt h a tt h ew e b s e c u r i t ye a r l y - w a r n i n ga n a l y s i st ob ee f f e c t i v e k e y w o r t h ：w e bs e e n r i t y ；n e t w o r ka t t a c k i n g ；e a r l y - w a r n i n g ；m e m o r yp r i n c i p l e ，-ti， 声明 y 9 7 0 5 2 8 本人郑重声明我所呈交的论文是我个人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写过的研究成果，也不包含本人或其他 人在其它单位已申请学位或为其它用途使用过的成果。与我一同工作的同 志对本研究所做的所有贡献均己在论文中作了明确的说明并表示了致谢。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 论文作者签名：石墨炙 日期：勿歹，9 关于论文使用授权的说职 本人完全了解西安建筑科技大学有关保留、使用学位论文的规定，即： 学校有权保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布 论文的全部或部分内容，可以采用影印、缩印或者其它复制手段保存论文。 ( 保密的论文在论文解密后应遵守此规定) 蝴撇锚久新虢谨艺 注：请将此页附在论文首页。 6 3 i 7 两安建筑科技大学硕七学位论文 1 1 课题研究的意义 1 1 1 互联网安全现状 1 绪论 互联网因其英文单词i n t e m e t 的谐音，又称为英特网，这种网络的最大的特点 就是不定性，整个网络的计算机每时每刻随着人们网络的接入在不变的变化。互 联网的优点就是信息量大，传播广。因为这种网络的复杂性，所以互联网这种网 络实现的技术也是非常复杂的。随着人们对互联网依赖程度的日渐加深的同时， 互联网安全问题日益突出，现今已成为一种全球性的严重的社会问题。美国计算 机紧急事件反应小组协调中，l , ( c e r t c c ) 公布的数字显示，2 0 0 2 年该中心接到的 计算机安全事故报告中指出，2 0 0 2 年发生的资安事件为8 2 , 0 9 4 件是2 0 0 0 年发生 资安事件2 1 ，7 5 6 件的4 倍，是1 9 9 6 年2 5 7 2 件的3 0 倍，具体数据见下图【1 】： 5 口f ；驭 一r 1 2 嘲2 域鳓兀i 1 9 9 61 9 9 71 9 9 81 9 9 92 0 0 02 0 0 12 0 0 2 图1 11 9 9 6 2 0 0 2 ( c e r t c c ) 资安事故统计报告【l 】 我国的互联网安全形势同样不容乐观，据经济专刊华尔街日报2 0 0 2 年3 月1 5 日报道，中国成为继美国和韩国之后世界上黑客活动最多的国家。根据 f o r t i n e t 2 0 0 5 年8 月份全球安全事件分析报告f l 】，我国的安全问题回报数量在世界 上排名第五位。我国反黑客专家、中国科学院高能所的许榕生研究员，受公安部 之托，对我国一些网络进行了测试，结果发现9 5 的网络随时可能被攻破。同样， 0 0 0 0 0 o o 0 o o 伯们m 两安建筑科技大学硕十学位论文 据专门从事网络安全的中联绿盟的调查公司发现，国内的电子商务网站9 0 0 , 6 都存 在安全问题，其中4 0 的问题相当严重，黑客可以随意更改计算机的数据【2 】。 所有这些情况都反映了一个基本事实，就是基于w e b 服务的电子商务的网络 安全问题，已经到了很严重的程度。 1 1 2w e b 安全预警的相关研究 ( 1 ) 网络安全预警 网络安全预警也只是开始于近几年，而且处于初期研究阶段。1 9 9 9 年，英国的 i a a c ( i n f o r m a t i o na s s l r a n c , ea d v i s o r yc o u n c i l ) 组织开展了“t h r e a ta s s e s s m e n ta n d e a r l yw a r n i n gm e t h o d o l o g i e sf o ri n f o r m a t i o n 舢鼬r 锄c c ”项目，主要开发和评估用于 威胁评估和早期报警的分析方法，该研究目标是证明可量化的威胁评估和早期报 警是可行的，进一步为应用研究打下基础。该项目研究取得的成果有： 证明产生威胁轮廓的可行性，并将威胁轮廓从攻击者动机( m o t i v e s ) 、目标 ( i n t e n t i o n s ) 、能力( c a p a b i l i t i e s ) 和行为模式( b e h a v i o r a lp a t t e r n s ) 来加以描述。 论证了从亚国家( s u bs t a t e ) 级行动者行为对计算机攻击进行指示( i n d i c a t e ) 和 报警的可行性。该研究存在的局限在于：研究集中在对一个网络的外部威胁：考虑 的攻击者类型限于亚国家级攻击者，国家或国家代理级的攻击者没有考虑；该项目 涉及的诸多理论和技术并不成熟，尚需进一步研究和开发【3 】。 另外一个相关的项目是英国的k h l g sc o l l e g el o n d o n 的国际安全分析中心 ( i n t e r n a t i o n a lc e n t r ef o rs e c u r i t ya n a l y s i s , i c s a ) 从1 9 9 7 年至2 0 0 0 年开发的信息战 攻击评估系统( i n f o r m a t i o nw a r f a r ea t t a c ka s s e s s m e n ts y s t e m , l w a a s ) 【4 j ，它提出了 信息战攻击的威胁评估、指示和报警的概念，以及一个开放性信息源决策支持系统 的概念框架。其目的有：评估不同攻击者造成的信息战威胁；提供信息战攻击的指 示和报警；预测敌人的行为路径【3 】。 ( 2 ) 入侵检测 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m , 简称i d s ) 是一种从计算机网络或计 算机系统中的若干关键点收集入侵者攻击时所留下的痕迹，如异常网络数据包与 试图登录的失败记录等信息，来分析是否有来自于外部或内部的违反安全策略的 行为或被攻击的迹象。它以探测与控制作为技术本质，起着主动式、动态的防御 作用，是网络安全中极其重要的组成部分【5 - 8 1 。 当前入侵检测技术的发展主要沿着两个方向： 是基于异常入侵检i 1 0 ( a n o m a l yd e t e c t i o n ) ， 2 西安建筑科技大学硕士学衍论文 是基于滥用入侵检钡t l ( m i s u s ed e t e c t i o n ) 。 其他方式的入侵检测方法有【5 只l o 】： 基于统计分析 这种入侵检测方法是基于对历史数据、早期的证据或模型的基础上进行建模， 系统实时检测用户对系统的使用情况与保存的概率统计模型进行比较，当发现有 可疑的用户行为发生时，保持跟踪并检测与记录该用户的行为。 基于神经网络的分析方法 这种方法对用户的行为具有自学习和自适应的能力，能够根据实际检测到的 信息有效地加以处理井做出入侵可能性的判断。但该方法尚不成熟，也没有较完 善的入侵检测系统出现。 基于专家系统的分析方法 这种方法根据安全专家对可疑行为的分析经验建立一套推理规则，在此基础 上建立相应的专家系统，从而自动对所涉及的入侵行为进行分析与检测。该方法 可随着经验的积累和利用自学习功能进行规则的扩充和修正。这种方法目前在大 部分的入侵检测系统中得到应用。 基于模型推理的入侵检测方法 该方法根据入侵者在进行入侵时所执行的某些行为特征建立一种入侵行为模 型，根据这种行为模型所代表的入侵意图的行为特征来判断用户执行的操作是否 属于侵权行为1 5 1 。 基于异常的检测方法通常采用统计方法来进行检测，需要大量原始的审计记 录，一个纯粹的统计入侵检测系统会忽略那些不会或很少产生影响统计规律或审 计记录的入侵，即使它具有很明显的特征。统计方法可以被训练而适应入侵检测 模式，当入侵者知道他的活动被监视时，他可以研究统计入侵检测系统的统计方 法，并在该系统能够接受的范围内产生审计事件，逐步训练入侵检测系统，从而 使其相应的活动偏离正常范围，最终将入侵事件作为正常事件对待。另外，应用 系统越来越复杂，许多主体活动很难以简单的统计模型来刻画，而复杂的统计模 型在计算量上不能满足实时的检测要求 h - 1 3 】。而且，统计方法中的值难以有效地 确定，太小的值会产生大量的误报，太大的值会产生大量的漏报，例如系统中配 置为2 0 0 个半开t c p 连接为s y i vf l o o d i n g 攻击，则入侵者每秒建立的1 9 9 个连 接将不会被视为攻击。而基于特征检测的入侵检测系统，其检测规则总是落后于 攻击手段的更新1 s a 4 - 1 s l ( 3 ) 网页监控 网页监控也是一种w e b 安全分析的方式【1 6 j ，网页监控在应用上主要监控用户 西安建筑科技大学硕十学位论文 类型和用户权限、登录和退出时间和地点、资源和目录的存取，所用软件、程序 的类型等。系统层主要监控参数：每个用户的累计c p u 使用、内，外存的使用、 交换区的数量、空白存储区的大小、f o 和磁盘的使用等。进程层的主要监控参 数有：进程数量和类型、进程之间的关系、进程的运行时间、进程的现有状态( 运 行、阻塞、等待等) 、各种进程所占的时间比( 用户进程、系统进程等) 等。网络 层主要监控以下参数；网络连接数量和状态、平均发送包的数量、连接时间、连 接类型( 远程本地) 、使用的协议和端口等。 监测方式主要有： 本地监测：在本地服务器上运行监测，优点是效率高，但会加重服务器的负 担。 远程监测：通过将文件装载到另一台主机进行监测，一般采取定时方式，其 缺点是效率不高，当需要监控的文件很多时会增加网络负担。b 6 q $ 网页监控可以作为w e b 安全的一种辅助分析方法，而且这也只是一种被动行 为，在实际应用中也较难实现。 1 1 3 课题研究的意义 w e b 安全问题是现在面临的一个重大问题，然而长久以来w e b 安全还依赖于 防火墙、服务器的安全架构等。实际上，大部分的w e b 安全问题并不是来源于其 操作系统和应用程序，而是来自于许多简单的、或者是程序的疏忽造成的漏洞。 正因为这些，现在许多用于安全检测的如i d s 入侵检测系统由于没有针对性而并 不能起到许多实际的作用，相反会带来更大的管理工作量。而且，通常的检测都 只能在系统真正遭受攻击时才发现，此时由于做出相应反应还需要定时间，在 做出处理时，w 曲系统可能已经遭受破坏。 因此，如果能在w e b 遭受到攻击之前，分析访问者的访问行为，然后对其行 为做出相应的预警，这样就能提醒管理员提前做准备，就能将损失降到最低程度。 关于w e b 预警的分析，目前研究还很少，对其分析方法、预警方式都还没有十分 相关的研究成果。本课题的研究正是在此情况下，通过大量的分析，首次研究一 种基于记忆原理的w e b 安全预警分析方法。而且，更重要的是，本文首次将w e b 安全提到预警的研究层次上。从以上两点上来看，本课题的研究具有重大的理论 和实际意义。 4 两安建筑科技大学硕十学位论文 1 2 课题研究的目标和结构 1 2 1 研究的主要目标和工作 本论文的研究目标是通过对记忆原理的分析，建立一种基于记忆原理的分析 模型，并将这种模型应用于w e b 安全预警分析，以期能更准确的对w e b 系统可 能会面临的入侵行为作相应的警报处理。 总的来讲，本文的研究工作有以下几点： ( 1 册究w e b 安全问题的分析方法。 ( 2 ) 分析记忆原理的基本理论和已有的研究成果，在此基础上提出一种新的定 量分析模型。 ( 3 ) 使用记忆原理的定量模型，对w e b 异常访问问题进行分析，并详细给出其 分析过程以及计算公式。 ( 4 ) 对分析过程进行实验检验并进行相应的分析，以确定该分析过程的有效性。 ( 5 ) 在对w e b 异常访问分析的基础上，建立一个w e b 异常预警的分析过程， 详细给初期分析过程以及计算公式，并进行相应的实验检验分析。 1 2 2 论文的结构安排 绪论以后本论文结构安排是： ( 1 ) 第2 章从w e b 安全问题开始讨论，分析了w e b 攻击问题以及相关技术背 景，最后提出w e b 安全预警的分析方法。 ( 2 ) 第3 章介绍本论文核心分析理论的基础：记忆原理。论文从记忆原理的基 本理论分析起，介绍记忆的控制与遗忘，然后在讨论已有的定量模型的基础上， 分析和建立了用于本文中预警分析的几种记忆的基本定量模型。 ( 3 ) 第4 章开始将记忆原理的定量模型用于实际分析。分析的重点在w e b 访问 数据异常上，详细介绍了其分析过程和相关公式，然后以实际数据进行了检验， 最后以计算结果分析其应用效果。 ( 4 ) 第5 章分析的重点在w e b 数据访问频度，仍然使用记忆原理的定量模型， 分析过程与第4 章相似，最后也运用了实验分析了其应用效果。 ( 5 ) 第6 章进入w e b 安全预警决策分析，首先论述了用w e b 预警的几种警报 类型以及其分析方法，然后在第4 章、第5 章数据异常分析和频度异常分析的基 5 两安建筑科技大学硕士学付论文 础上使用判别分析的方法对w e b 预警决策的过程进行了详细阐述。然后，使用了 与第3 章、第4 章中相同的实验数据对预警的效果进行了分析检验。 第7 章是本文的分析总结，论述了本文的成果以及在以后的实际运用中所 需要注意解决的问题。 6 两安建筑科技大学硕十学位论文 2 1w e b 安全 2 1 1w e b 安全的概念 2w e b 安全分析 信息安全在i s ob s 7 7 9 9 1 标准中是这样说明的f 1 9 1 ： 信息安全具有以下特征： ( 1 ) 保密性：确保只有经过授权的人才能访问信息； ( 2 ) 完整性：保护信息和信息的处理方法准确而完整； ( 3 ) 可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。 保密性 ( c o n f i d e n t i a l i t y ) 可用性 i l a b l i t y ) 图2 1 信息系统三原则 具体对w e b 安全而言，其特征应该包括如下几点： ( 1 ) 未经授权的页面，访问者不能访问，更不能篡改。 ( 2 ) 信息提交过程中的安全和准确无误。 ( 3 ) 保证w e b 系统能被正常用户访问。 在所有的w e b 安全分析中，都需要以上面三点原则作为分析的基本原则。 2 1 2w e b 安全问题产生的原因 w e b 安全问题产生的原因主要有以下： ( 1 ) 操作系统以及应用程序本身的原因 7 两安建筑科技大学硕十学位论文 由于系统或应用程序设计过程中的原因，导致系统产生漏洞。如微软的 w i n d o w s 系统漏洞从其系统发布以来就没有间断过地发现新的系统漏洞。各种病 毒也随着漏洞的发现而不断涌现，攻击方法也越来越多。这就使系统从底层产生 威胁，这就使位于上层的w e b 系统暴露无遗，无任何安全性可言了。 ( 2 ) w e b 程序员开发的疏漏 由于w e b 开发语言众多，而程序员的水平也参差不齐，不可避免的会产生许 多开发中的漏洞。如s q l 注入攻击就是由于设计表单程序中产生的。 ( 3 ) 系统管理员的疏漏 另外w e b 系统漏洞产生的就是管理员造成的。由于疏忽大意或者技术水平的 限制，导致系统配置不当，以至泄漏一些重要的系统信息，这就为黑客的入侵打 开方便之门。 总的来说，通常w e b 问题产生的根源就是由于系统固有或人为因素引起的漏 洞造成。而漏洞越多，就会给w e b 系统带来更多的安全隐患。事实上，由于计算 机网络的飞速发展，系统漏洞也越来越多，以下是1 9 9 5 年至2 0 0 2 年c e r t 的漏 洞统计报告数据： 图2 21 9 9 5 - 2 0 0 2 ( c e r t c c ) 漏洞统计报告【l 】 由图2 2 可以看出，系统漏洞几乎是逐年增长的趋势，而且在近几年的增长 速度尤为迅猛。 对于由于操作系统的漏洞，位于应用层的w e b 系统是没有办法解决的。事实 上，对于众多的w e b 入侵，从操作系统漏洞上产生的只占很小一部分，由于操作 的方便性，大量的入侵都直接来自于w e b 应用层。我们着重讨论直接在应用层上 的攻击行为。 8 0 钙如辐嬲加坫m 0 两安建筑科技大学硕十学臂论文 2 2w e b 访问数据格式分析 为了进行异常数据分析，首先必须先了解n t t p 请求数据格式。以下是通过 c u t e s n i 脑软件实际截取的部分w e b 访问数据。 行标1 6 进制原始数据对应字符串 0 0 0 00 0 0 d e d 6 cb 2b f 4 c 0 0 1 0 c 4 6 6 7 3 0 8 0 0 4 5o ol ? l 。? s 。e 0 0 0 l0 2 9 32 5 2 5 4 0 0 0 8 0 0 6 d 9 e e 3 b 4 a 1 58 a c a 6 4 似 ；j d o 0 0 2d e l 80 6 9 a 0 05 0 l b d e 6 6 e d 2 9 9 6 a 28 55 0 1 8。? p 17 p o 0 0 3自d 2 0 d 7 b0 0 0 05 0 4 f 5 35 4 2 0 2 f 7 57 36 57 2 ? 。p o s t u s e r 0 0 0 42 f 6 c 6 f 6 7 6 9 6 e 7 37 56 26 d 6 9 7 4 2 e 6 17 37 0 l o g i n s u b m i t a s p 0 0 0 52 0 4 85 45 45 0 2 f 3 12 e 3 l0 d o a 4 16 36 36 57 0 h t t p 1 1 a c c e p 0 0 0 67 43 a 2 0 6 9 6 d 6 16 7 6 52 f 6 7 6 9 6 6 2 c 2 0 6 9 6 d t ：i m a g e g i f , i m 0 0 0 76 16 76 5 2 f 7 8 2 d 7 86 26 9 7 4 6 d 6 17 0 2 e 2 0 6 9 a g e x - x b i t m a p , i 0 0 0 8 6 d 6 16 7 6 5 2 f 6 a 7 0 6 56 7 2 e 2 0 6 9 6 d 6 16 7 6 5 m a g e j p e g , i m a g e 0 0 0 92 f 7 0 6 a 7 06 5 6 7 2 e 2 0 6 17 0 7 0 6 c 6 9 6 36 17 4 p j p e g ，a p p l i c a t 0 0 0 a6 96 f 6 e 2 f 7 82 d 7 36 8 6 f 6 36 b 7 7 6 l7 6 6 5 2 di o n x - s h o e k w a v e - 0 0 0 b 6 66 c 6 17 36 8 2 c 2 0 6 17 0 7 0 6 c 6 9 6 36 17 4 6 9 f l a s h , a p p l i c a t i o o o c6 f 6 e 2 f 7 6 6 e 6 4 2 e 6 d7 32 d 6 57 86 36 56 c 2 c o n v n d m s - e x c e l ， 0 0 0 d2 0 6 17 0 7 0 6 c 6 9 6 36 17 4 6 9 6 f 6 e 2 f 7 6 6 e 6 4 a p p l i c a t i o n v n d o o o e2 e 6 d 7 3 2 d7 0 6 f 7 7 6 57 2 7 0 6 f 6 9 6 e 7 4 2 c 2 0 m s - p o w e r p o i n t , 0 0 0 f6 17 0 7 0 6 c 6 9 6 36 17 4 6 9 6 f 6 e 2 f 6 d 7 37 7 6 f a p p l i c a t i o n m s w o 0 0 1 07 2 6 4 2 c 2 0 2 a 2 f 2 a o d o a 5 2 6 56 6 6 57 2 6 57 2r d + 严。r e f e r e r 0 0 1 13 a 2 0 6 8 7 4 7 4 7 03 a 2 f 2 f 7 77 7 7 73 12 e 7 4 6 9 ：h t t p ：w w w l t i 0 0 1 26 16 c 7 9 6 12 e 6 36 e 2 f 6 4 6 56 6 6 l7 56 c 7 4 2 e a n y a e n d e f a u l t 0 0 1 36 17 37 0 0 d o a 4 16 36 36 57 0 7 4 2 d 4 c 6 16 e 6 7 a s p a c e e p t - l a n g 0 0 1 4 7 5 6 l6 76 53 a 2 0 7 a 6 8 2 d6 36 e o d o a 4 36 f 6 e u a g e ：z h - c n c o n o o l 57 4 6 56 e 7 4 2 d 5 4 7 9 7 0 6 53 a 2 0 6 17 0 7 0 6 c 6 9 t e n t - t y p e ：a p p l i 0 0 1 66 36 17 4 6 9 6 f 6 e 2 f 7 8 2 d 7 7 7 7 7 7 2 d 6 6 6 f 7 2e a r l o n x - w w w - f o r 0 0 1 7 6 d 2 d 7 57 26 c 6 56 e 6 36 f 6 4 6 56 4 0 d o a 4 16 3n 卜u d e n c o d e d a e 0 0 1 86 36 57 0 7 4 2 d 4 56 e 6 36 f 6 4 6 9 6 e 6 73 a 2 0 6 7 c e p t - e n c o d i n g ：g o o l 97 a 6 9 7 0 2 c 2 0 6 4 6 5 6 6 6 c 6 17 4 6 5 0 d o a 5 57 3 z i p , d e f l a t e u s o o l a6 57 2 2 d 4 16 7 6 56 e 7 43 a 2 0 4 d 6 f 7 a 6 9 6 c 6 c e r - a g e n t ：m o z i l l 9 翌塞堡苎型垫盔兰翌主兰竺笙奎 o o l b6 12 f 3 4 2 e 3 0 2 0 2 8 6 36 f 6 d 7 0 6 17 4 6 9 6 2 6 e a 4 0 ( c o m p a t i b l 0 0 l e 6 53 b 2 0 4 d5 3 4 9 4 5 2 03 6 2 e 3 0 3 b 2 05 7 6 9 6 e e ；m s 皿6 o ；w 恤 0 0 1 d6 4 6 f 7 7 7 3 2 0 4 e 5 4 2 03 5 2 e 3 13 b 2 05 35 6 3 1d o w s n t 5 1 ：s v l 0 0 1 c3 b 2 0 4 16 c 6 5 7 8 6 l2 05 4 6 f 6 t 6 e 6 26 17 2 2 9 ；a l e x at o o l b a r ) 0 0 1 f0 d o a 4 86 f 7 37 4 3 a 2 0 7 7 7 7 7 7 3 12 e 7 4 6 9 6 lh o s t ：w w w l t i a 0 0 2 0 6 e 7 9 6 12 e 6 36 e o d o a 4 36 f 6 e 7 4 6 56 e 7 4 2 d n y m c r l c o n t e n t - 0 0 2 14 c 6 56 e 6 7 7 4 6 83 a 2 0 3 23 7 0 d o a 4 36 f 6 e 6 e l e n g t h ：2 7 c o m a 0 0 2 26 5 6 37 46 9 6 f 6 e 3 a 2 0 4 b 6 56 57 0 2 d 4 l6 e 6 9 e c t i o n ：k e e p - a l i 0 0 2 3 7 6 6 50 d o a 4 36 16 36 86 5 2 d 4 36 f 6 e 7 4 7 2 6 f v e 。c a c h e c o n t r o 0 0 2 46 e 3 a 2 0 6 e 6 f 2 d 6 36 16 36 86 50 d o a 4 36 f 6 fl ：n o - c a c h e c 0 0 0 0 2 56 b 6 9 6 53 a 2 0 4 l5 35 05 34 55 35 3 4 9 4 f 4 e 4 9l ( i e ：a s p s e s s l 0 n i 0 0 2 6 4 45 35 14 25 3 4 14 34 4 4 23 d 4 b 4 9 4 9 4 7 4 6 4 8 d s q b s a c d b = k i i g f h 0 0 2 74 l4 2 4 34 5 4 4 4 e 4 9 4 d 4 d 4 a 4 5 4 7 4 14 6 4 4 4 4a b c e d n m m 厄g a f d d 0 0 2 84 4 4 8 0 d o a o d o a 7 6 7 77 26 9 7 4 6 57 23 d 7 4 6 5d h v w r i t e r = t e 0 0 2 97 37 4 2 67 6 7 0 6 17 37 37 7 6 f 7 2 6 43 d 7 4 6 57 3 s t & v p a s s w o r d - = t e s 0 0 2 a 7 4t 该信息反映了h t t p 协议在网上传输的实际过程，该数据的具体意义如下： 0 0 0 0 - 0 0 0 2i p 数据报首部。 0 0 0 3 0 0 0 4 数据请求的地址，以p o s t 方式发送到该服务器的页面地址。 0 0 0 5 - 0 0 1 0h t t p 首部，指示了协议的版本和m i m e 头标。 0 0 1 0 - 0 0 1 3r e f e r e r ，说明请求来源的地址。 0 0 1 3 - 0 0 1 4a e e e p t - 1 a n g u a g e ，指示可接受的语占。 0 0 1 4 - 0 0 1 9c o n t e n t - t y p e ，指示数据的m i m e 类型。 0 0 1 9 - 0 0 1 eu s e r - a g e n t ：，指示客户端浏览器的类型、操作系统以及装载的插件。 0 0 1 f - 0 0 2 0h o s t , 指示服务器地址。 0 0 2 0 - 0 0 2 1c o n t e n t - l e n g t h ，指示请求数据的长度。 0 0 2 1 0 0 2 8 其他连接信息。 0 0 2 8 0 0 2 1 请求数据，很重要的访问信息。 另外，部分请求数据还带有c o o k i e 发送，虽然在以上信息中没有出现，但是 c o o k i e 也是重要的检测信息。 该信息可以通过网络监视软件获取，也可以通过r e q u e s t s c r v c r v a r i a b l c s o 集合 检索预定的环境变量。该数据中服务器地址加上请求页面地址就是一个完整的 u r l 地址，其中最重要的信息就是请求的数据，通常异常数据都在其中体现。另 l o 西安建筑科技大学硕士学伊论文 外，来源地址r e f e r e r 也很重要，通常有浏览器直接提交的数据其来源地址为空， 这也可以为我们提供异常信息。 2 3w e b 攻击前期特征分析 2 3 1 攻击过程分析 对于黑客而言，攻击没有一定的程序，只要能实现其入侵的目的，就有可能 采用各种方法去尝试，对于能用简单方法入侵的绝对不会采用复杂的技术手段。 比如能使用w m d o w s 默认共享漏洞进入系统就绝对不会采用缓冲区溢出的方法。 因此，在他们手中掌握有一系列的系统漏洞，为了入侵节省时间，他们会采用事 先编制好的程序去尝试这些漏洞，这就是漏洞扫描，这也是我们预警其入侵行为 的关键一环。 分析众多的w e b 攻击形式，不难发现，向w e b 服务器端发送异常数据是通常 的攻击形式中的共同特点。大多数异常数据都可以直接在应用层上检测到，虽然 也有一些攻击是利用系统漏洞从系统底层发起的，但是这些毕竟是少数的攻击方 式。而且，对于从系统底层发起的攻击，由于系统类型的不同、版本的不同，检 测也是极其困难的。对于攻击者而言，为了获取更多的信息，他们会尝试使用各 种不同的攻击方法，因此，向w e b 服务器发送异常数据都是他们必须走的一条路。 一般来说，黑客要实施一次蓄谋已久的攻击，他都会做好充分的准备并且沿用一 套既定的模式，这是典型的黑客思维方式。我们要保护信息安全务必要研究黑客 行为而要研究黑客行为就必然要掌握黑客实施攻击时完整的一个过程模式。入侵 者攻击通常过程是： 两安建筑科技大学硕十学位论文 图2 3 一般攻击过程图 由图2 3 可以看到，能检测到攻击预兆的只能在攻击前期的第二步扫描和第 三步破解中，而这两步的特点是都会产生异常访问数据。通常攻击前期都会是一 个大量尝试的过程，下图是一般w e b 攻击前期的过程图： 图2 4 一般w e b 攻击前期过程图 攻击者对一个系统进行攻击，往往不能一击即中，而需要不断的尝试，这就 给我们提供了大量的分析信息。我们对该信息进行监视、分析，就能预警其可能 的入侵行为，提醒管理员注意，同时还能帮助管理员通过监视异常信息来发现系 统中可能存在的漏洞。 1 2 两安建筑科技大学硕十学位论文 2 3 2 常见的前期w e b 攻击方法 对w e b 系统的攻击方式有许多种，这涉及到w e b 服务所运行的服务器的操作 系统的类型、w e b 服务的类型以及w e b 应用程序等很多问题。一般来讲，常见的 对w e b 系统的攻击方式包括以下几种： ( 1 ) u n i e o d e 字符编码漏洞 u n i c o d e ( 统一的字符编码标准，采用双字节对字符进行编码) 可以说是过去 一段时期以来最为流行的攻击入侵手段，仅国内包括江民公司这样的著名的安全 软件公司等几个大的网站就被这种入侵手段攻击。u n i e o d e 字符编码漏洞产生的 原因是某些双字节的w i n d o w s 2 0 0 0 在处理某些特殊字符时与英文版本不同，然而 利用这种s 的漏洞，攻击者就可以通过这些特殊字符绕过s 的目录审计远程执 行任意命令。例如： h t t p ：s e r v e r s e r i p t s e 1 l c j w i n n t s y s t e m 3 2 e m d e x e ? e + c o p y + e ：w i u n t x s y s t e m 3 2 、c m d e x e + d ：k i 乎c t l m l 抛商p 融1 2 3 e x e 攻击者只要上面一句很简单的指令绕过i i s 的审计就能够对网站执行任意代 码。 ( 2 ) s q l 注入攻击 s q l 注入攻击源于英文s q l i n j e c t i o n a t t a c k 。该攻击由于不需要借助其它任 何辅助工具而只需浏览器中输入就可以实现攻击，使得该攻击方式非常的普遍。 s q l 注入的要点在于将s q l 的查询，行为命令通过嵌入的方式放入合法的 h t t p 提交请求中从而达到攻击者的某种意图。现在很多的动态网页都会从该网 页使用者的请求中得到某些参数，然后动态的构成s q l 请求发给数据库的。例如， 当有某个用户需要通过网页上的用户登陆( 用户身份验证) 时，动态网页会将该用 户提交上来的用户名与密码加进s o t 询问请求发给数据库，用于确认该用户提交 的身份验证信息是否有效。在s q l 注入攻击的角度看来，这样可以使我们在发送 s q l 请求时通过修改用户名与或密码值的领域区来达到攻击的目的。利用 s q l 特殊字符过滤的不严密，而对数据库进行跨表查询的攻击。比如： h t t p ：1 2 7 0 0 1 f o r u m s h o w u s e r a s p ? i d - - 9 9 9a n d 1 = 1 h t t p ：1 2 7 0 0 1 f o r u m s h o w u s e r a s p ? i d - - 9 9 9 a n d0 ( l e e tc o u n t ( 、t i o m a d m i n ) h t t p ：1 2 7 0 o 1 f o r u m s h o w u s e r a s p ? i d = 9 9 9 ；d e c l a r e as y s n a m es e t a j x p - + e m d s h e l l e x e c a d i rc ： - - & a i d - - - 9 两安建筑科技大学硕十学何论文 以上的访问行为都可能对编程不严密的系统造成严重的威胁。得到了管理员 的密码也就意味着已经控制整站，虽然不一定能得到主机的权限，但也为这一步 做了很大的铺垫。类似的s q l1 n j e e t i o n 攻击的方式方法很多，对不同的文件过滤 不严密所采取的查询方式也不同。所以说想做好一个完整的字符过滤程序不下一 番功夫是不可能的。 ( 3 ) c g i 脚本漏洞 c g i 是一种共用网关接口，它可以称之为一种机制。因此您可以使用不同的 程序编写适合的c g i 程序，这些程序语言包括v i s u a lb a s i e 、d e l p h i 或c c + + 等。 c g i 问题主要有以下几类： 暴露敏感或不敏感信息； 缺省提供的某些正常服务未关闭； 利用某些服务漏洞执行命令； 应用程序存在远程溢出； 非通用c g i 程序的编程漏洞。 c g i 漏洞有很多，其产生的原因通常都是由于配置错误或访问验证错误造成 的。对c g i 漏洞的攻击尝试通常会造成许多4 0 4 ( 无法找到页面) 访问错误。 ( 4 ) 缓冲区溢出 缓冲区溢出漏洞产生的原因是w e b 服务器没有对用户提交的超长请求没有进 行合适的处理，这种请求可能包括超长u r l ，超长h t t ph e a d e r 域，或者是其它超 长的数据。这种漏洞可能导致执行任意命令或者是拒绝服务，这一般取决于构造 的数据。这种攻击行为通常会产生访问数据的异常。 ( 5 ) 拒绝服务 产生w e b 拒绝服务的主要原因就是攻击者通过其控制的大量主机不断发送无 用的数据，如果发现服务器突然超负载运作，性能突然降低，这就有可能是受攻 击的征兆。此时，访问最明显的特征就是访问频度突然升高。 ( 6 ) 远程提交 远程提交的问题经常被许多程序员给遗漏或者疏忽。远程提交的问题根源就 是攻击者可以制造一个功能更强大的提交表单，而并非限制于设计者设计的表单。 对于一般的用户来说，你大可不必防范；对早有预谋的攻击者来说，这样的过滤 似乎根本没作用。我们常说的p o s t 攻击就是其中一例。通过远程提交非法的信 息以达到攻击目的。在设计者看来，在他所设计的表单形式下，用户不可能提交 许多他所不希望接受的数据，但是设计者网络许多有一定编程能力的人完全可以 设计另外的表单提交数据。由这种攻击尝试通常会带来许多数据的异常，比如异 1 4 两安建筑科技大学硕十学付论文 常的数据格式或者是访