一.基本信息
标题:基于WAF入侵检测和变异WebShell检测算法的Web安全研究
作者:马艳发
时间:2016.3
来源:天津工业大学
二.研究背景
伴随着 Web 技术的提高和所承载信息的爆炸性增长,Web 从最初的简单静态内容 的展示演变到提供丰富动态内容的交互式应用,从单一服务器拓展到大规模集群。由于 Web 系统的漏洞所导致的内网信息和机密文件的泄露时有发生,大量自动化攻击工具的 出现使得针对 Web 系统的攻击门槛日益降低[1]。
三.研究内容
(1) 对 ModSecurity 的三种入侵检测模型(消极安全模型、积极安全模型、已知漏 洞攻击模型)进行了分析与比较。
(2) 研究 ModSecurity 的工作机制,分析 SecRule 的规则。
(3) 研究 Web 应用防火墙自学习算法,将 ModSecurity 的消极安全模式和 TL 模式 相结合,提出应用于 ModSecurity 的自学习算法。 (4) 调研 PHP 的 WebShell 特征,先收集关于 PHP 的各种 WebShell,分析变异 WebShell 特征。
(5) 研究信息熵算法,依据 PHP 变异 WebShell 的特征,将信息熵算法应用到 PHP 变异 WebShell 检测中去。
(6) 研究 WebShell 检测系统,提出基于 C/S 架构的 WebDir 监控系统,在客户端运 行一个服务,进行初步检测,WebDir 服务端负责接收传过来的文件,进行仔细检测并 给出权值判断。
四.研究心得
该文献中提到的重合指数(Indexof Coincidence对于WAF模块中的Webshell检测有重要意义。本文通过机器学习的方法用特定算法来判断WebShell以及经过变形混淆过的Webshell。神仙就是神仙,研究得果然深,我需要多多学习。
五.参考文献
基于WAF入侵检测和变异 WebShell检测算法的Web安全研究 马艳发