91精品人妻互换日韩精品久久影视|又粗又大的网站激情文学制服91|亚州A∨无码片中文字慕鲁丝片区|jizz中国无码91麻豆精品福利|午夜成人AA婷婷五月天精品|素人AV在线国产高清不卡片|尤物精品视频影院91日韩|亚洲精品18国产精品闷骚

您當(dāng)前位置:首頁 > 新聞頻道 > 技術(shù)動態(tài) > 正文
Web服務(wù)器攻擊日志分析研究(安全)

Web服務(wù)器攻擊日志分析研究(安全)

                     鄧詩琪1,劉曉明2,武旭東3,雷敏1

(1.北京郵電大學(xué)信息安全中心,北京100876;2.國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心,北京1000129;3.四川科瑞軟件有限責(zé)任公司,四川綿陽621000)

摘要:互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展改變了人們的生活方式,其中電子商務(wù)是近年來應(yīng)用最為廣泛的互聯(lián)網(wǎng)應(yīng)用之一。越來越多的Web服務(wù)器部署在互聯(lián)網(wǎng)上向外提供服務(wù),因此針對電子商務(wù)Web服務(wù)器的攻擊不斷增加。OWASP組織每年都公布Web應(yīng)用程序遭受到的最多的10種攻擊技術(shù),其中攻擊危害性較大的有SQL注入、XSS攻擊和DDoS攻擊等。這些攻擊一方面使得電子商務(wù)服務(wù)器無法向外提供服務(wù),另一方面還可能造成電子商務(wù)服務(wù)器中數(shù)據(jù)和用戶個人隱私的泄露,因此電子商務(wù)服務(wù)器的安全防護(hù)是Web服務(wù)器安全運(yùn)維最為重要的一個環(huán)節(jié)。通過對Web服務(wù)器日志的分析研究可以對網(wǎng)站的攻擊事件進(jìn)行檢測,進(jìn)而掌握Web服務(wù)器被攻擊的來源和原因等,提高Web服務(wù)器的安全防護(hù)能力。文章通過對Web服務(wù)器攻擊日志進(jìn)行分析,將Web服務(wù)器日志進(jìn)行分類,通過將日志記錄中各個字段值與具有攻擊特征的模式進(jìn)行匹配,并對模式匹配后的日志進(jìn)行分析,發(fā)現(xiàn)常見的攻擊類型和攻擊源等信息,并以圖形化的形式展示,以此提高網(wǎng)站服務(wù)器的安全運(yùn)維能力。

 關(guān)鍵詞:Web服務(wù)器;攻擊日志;日志分析

中圖分類號:TP309  文章編號:1671-1122( 2016) 06-0056-06

0引言

    隨著電子商務(wù)的飛速發(fā)展,越來越多的Web服務(wù)器在互聯(lián)網(wǎng)上提供電子商務(wù)服務(wù),人們也越來越依賴電子商務(wù)給生活帶來的快捷與方便。然而,Web服務(wù)器開始遭受越來越多的不同形式的惡意攻擊。根據(jù)OWASP( OpenWeb Application Security Project) TOP 10顯示,Web服務(wù)器所受的最常見、最危險(xiǎn)的威脅主要有互聯(lián)網(wǎng)泄密事件/撞庫攻擊、第三方應(yīng)用不安全引用、SQL注入漏洞、XSS跨站腳本攻擊/CSRF、越權(quán)操作以及內(nèi)部重要資料/文檔外泄等。

    每年電子商務(wù)平臺遭受各種攻擊給電子商務(wù)的運(yùn)營者和用戶都帶了巨大的損失,因此如何保證電子商務(wù)平臺持續(xù)穩(wěn)定地為用戶提供正常的服務(wù)是當(dāng)前電子商務(wù)運(yùn)營商面臨的重要挑戰(zhàn)之一。

    當(dāng)用戶通過瀏覽器向服務(wù)器發(fā)送頁面請求信息時,Web服務(wù)器會將用戶所請求頁面所對應(yīng)的相關(guān)靜態(tài)或動態(tài)頁面文件返回給用戶,同時在Web服務(wù)器的日志文件中記錄用戶的此次請求。對于大多數(shù)向電子商務(wù)網(wǎng)站發(fā)起網(wǎng)絡(luò)攻擊的行為,都會在Web服務(wù)器的日志中留下訪問痕跡。因此,對電子商務(wù)網(wǎng)站的Web服務(wù)器日志文件進(jìn)行深入研究和分析,能夠幫助網(wǎng)站安全管理人員檢測到相關(guān)攻擊事件,進(jìn)而為網(wǎng)站的安全加固和安全運(yùn)營提供更好的防御方案。

    然而,通常情況下用戶所請求的頁面會包含多個文件,而HTTP協(xié)議中對Web服務(wù)器的文件請求是每個文件對應(yīng)一個單獨(dú)的URL聯(lián)接,所以在用戶發(fā)送某個頁面的請求信息之后,Web服務(wù)器的日志文件中就會產(chǎn)生多條記錄,使得Web服務(wù)器產(chǎn)生的日志文件數(shù)量異常龐大。例如,一個日訪問量一般的網(wǎng)站,每日產(chǎn)生的Web服務(wù)器日志文件就能達(dá)到數(shù)十兆,長時間積累以后網(wǎng)站生成的Web服務(wù)器日志文件總數(shù)量可以達(dá)到GB級甚至更大,如果對Web服務(wù)器日志文件采用手工分析的方法,不僅工作量巨大,而且效率極低。此外,隨著網(wǎng)站系統(tǒng)設(shè)計(jì)層次的復(fù)雜,攻擊者的攻擊行為也將變得難以捕捉。

    為更好地對Web服務(wù)器攻擊日志進(jìn)行深入分析和研究,本文設(shè)計(jì)實(shí)現(xiàn)了Web服務(wù)器攻擊日志分析系統(tǒng),該系統(tǒng)可以針對Web服務(wù)器所遭受的攻擊行為進(jìn)行分類,并將結(jié)果以圖形化的形式展示。實(shí)驗(yàn)證明,該方法能夠有效地檢測多種Web攻擊行為,從而較好地保障電子商務(wù)服務(wù)器網(wǎng)站的安全運(yùn)營。

1 Web服務(wù)器安全簡介

1.1 HTTP協(xié)議解析

    隨著Web 2.0時代的到來,互聯(lián)網(wǎng)從傳統(tǒng)的C/S架構(gòu)轉(zhuǎn)變?yōu)楦臃奖憧旖莸?/font>B/S架構(gòu)(瀏覽器/服務(wù)器結(jié)構(gòu))。當(dāng)客戶端與Web服務(wù)器進(jìn)行交互時,就存在Web請求,這種請求都基于統(tǒng)一的應(yīng)用層協(xié)議(HTTP協(xié)議)交互數(shù)據(jù)。

    HTTPHyperText Transfer Protocol,即超文本傳輸協(xié)議)允許將HTML(超文本標(biāo)記語言)文檔從Web服務(wù)器傳送到Web瀏覽器。當(dāng)用戶在瀏覽器地址欄輸入一個URL并按回車鍵后,就向服務(wù)器發(fā)起了一個HTTP請求,之后Web服務(wù)器會進(jìn)行響應(yīng)并向客戶端發(fā)送所請求的HTML數(shù)據(jù)。

1.2 Web服務(wù)器常見攻擊

    1)互聯(lián)網(wǎng)泄密事件/撞庫攻擊

    互聯(lián)網(wǎng)泄密事件/撞庫攻擊將大量的用戶數(shù)據(jù)作為攻擊基礎(chǔ),將已經(jīng)在互聯(lián)網(wǎng)中泄露的用戶信息收集起來制成相應(yīng)的字典,然后嘗試登錄其他網(wǎng)站,從而獲取更多的用戶信息。近年來,互聯(lián)網(wǎng)泄密事件/撞庫攻擊已經(jīng)嚴(yán)重威脅到Web網(wǎng)站的數(shù)據(jù)安全,傳統(tǒng)的登錄方式無法再確保Web網(wǎng)站的安全。

    2)第三方應(yīng)用不安全引用

    第三方應(yīng)用的不安全引用是指Web應(yīng)用程序開發(fā)人員在開發(fā)網(wǎng)站系統(tǒng)時對第三方組件、應(yīng)用、庫或者框架進(jìn)行了不安全的直接引用。

    隨著技術(shù)手段的不斷提升,越來越多的Web網(wǎng)站開始引用第三方應(yīng)用,然而,這也增加了Web網(wǎng)站被入侵的風(fēng)險(xiǎn)。由于Web網(wǎng)站在對第三方應(yīng)用進(jìn)行引用時一般將其平行地部署在系統(tǒng)之上,如果攻擊者成功利用了一個安全性不高的第三方應(yīng)用并向Web網(wǎng)站發(fā)起攻擊,這種攻擊將直接導(dǎo)致Web網(wǎng)站的崩潰和數(shù)據(jù)泄露。

  3)系統(tǒng)錯誤/邏輯缺陷帶來的暴力破解

  暴力破解也被稱為枚舉測試、窮舉法測試,是一種針對密碼破譯的方法,即將密碼逐個比較,直到找出真正的密碼為止。  雖然暴力破解有難度,但成功的機(jī)會是比較高的,而且危害也非常大。例如,公司內(nèi)部系統(tǒng)某用戶密碼被成功破解,那么攻擊者很有可能偽裝成這個用戶開展社會工程學(xué)入侵。如果攻擊者僥幸破解了管理員或者高層的管理賬號,后果將不堪設(shè)想。另外,攻擊者如果破解了MySQL的管理員密碼,數(shù)據(jù)就會被泄露,服務(wù)器也可能因此淪陷。

    4)敏感信息/配置信息泄露

    對于一個W eb網(wǎng)站系統(tǒng),配置信息、數(shù)據(jù)信息、備份系統(tǒng)信息、敏感信息以及用戶信息等都需要采取重點(diǎn)防護(hù)。如果沒有對這些關(guān)鍵信息加以防護(hù),進(jìn)而這些信息發(fā)生了泄露,并被攻擊者加以利用,將對Web網(wǎng)站造成巨大的危害。

    5)應(yīng)用錯誤配置/默認(rèn)配置

    Web網(wǎng)站開發(fā)人員在部署Web網(wǎng)站系統(tǒng)時,如果對于一些Web應(yīng)用程序、第三方應(yīng)用、中間件以及服務(wù)器端程序沒有進(jìn)行嚴(yán)格的安全配置,將會給攻擊者對網(wǎng)站發(fā)起攻擊提供便利,對網(wǎng)站的安全造成嚴(yán)重威脅。

    6) SQL注入漏洞

    SQL注入是指Web網(wǎng)站開發(fā)人員在編寫網(wǎng)站代碼時,忽略了對用戶輸入數(shù)據(jù)的合法性的判斷,導(dǎo)致一部分不可信的數(shù)據(jù)沒有被過濾掉并作為部分查詢命令被發(fā)送到了解釋器,解釋器被攻擊者所制造的惡意數(shù)據(jù)欺騙,執(zhí)行了攻擊者的惡意命令或者允許攻擊者訪問未經(jīng)授權(quán)的數(shù)據(jù)。

    7) XSS跨站腳本攻擊/CSRF

    XSS跨站腳本攻擊是指攻擊者在網(wǎng)頁中嵌入客戶端腳本(通常是用JavaScript編寫的惡意代碼),當(dāng)用戶用瀏覽器瀏覽被嵌入惡意代碼的網(wǎng)頁時,惡意代碼將會在用戶的瀏覽器上執(zhí)行。

    當(dāng)用戶對某個Web網(wǎng)站進(jìn)行正常訪問時,瀏覽器與網(wǎng)站所在的Web服務(wù)器將會產(chǎn)生一個會活,在該會話處于合法有效期間,用戶可以對網(wǎng)站進(jìn)行一些合法的授權(quán)操作。CSRF攻擊建立在這樣的會話基礎(chǔ)之上,在訪問網(wǎng)站的合法用戶不知情的情況下,以用戶的名義偽造合法請求發(fā)送給目標(biāo)Web網(wǎng)站,未經(jīng)用戶授權(quán)執(zhí)行相應(yīng)操作,給Web網(wǎng)站安全帶來巨大風(fēng)險(xiǎn)。

    8)未授權(quán)訪問/權(quán)限繞過

    未授權(quán)訪問是指攻擊者使用某種手段偽造用戶請求,由于服務(wù)器沒有對收到的請求進(jìn)行嚴(yán)格的完整性檢查,使得攻擊者可以成功訪問到?jīng)]有授權(quán)的網(wǎng)站資源或信息。

  9)越權(quán)操作

  Web網(wǎng)站系統(tǒng)中,如果服務(wù)器端未對來自客戶端的請求進(jìn)行嚴(yán)格的身份驗(yàn)證,攻擊者就能利用Web應(yīng)用程序中與認(rèn)證和會話管理相關(guān)的安全漏洞,通過社會工程學(xué)方法搜集相關(guān)有用信息或者通過泄露的其他重要信息訪問未經(jīng)合法授權(quán)的網(wǎng)站數(shù)據(jù)。

    10)內(nèi)部重要資料/文檔外泄等

    隨著數(shù)字化時代的到來,人們開始越來越頻繁使用電子設(shè)備來存儲、處理和傳輸重要數(shù)據(jù),部分安全意識不夠強(qiáng)的程序員或者企業(yè)員工將涉密數(shù)據(jù)直接存儲在非涉密的移動介質(zhì)上,導(dǎo)致重要數(shù)據(jù)泄露。

2系統(tǒng)設(shè)計(jì)

    本文提出的Web服務(wù)器攻擊日志分析系統(tǒng)架構(gòu)如圖1所示。用戶訪問電子商務(wù)網(wǎng)站,點(diǎn)擊頁面后,網(wǎng)站向Web服務(wù)器發(fā)送頁面請求信息,Web服務(wù)器與數(shù)據(jù)庫服務(wù)器進(jìn)行交互,獲取相應(yīng)頁面信息后,在Web服務(wù)器產(chǎn)生日志記錄文件,日志分析系統(tǒng)對Web服務(wù)器日志記錄文件進(jìn)行相關(guān)處理,進(jìn)行攻擊日志記錄的抓取和分析,最后自動化生成相關(guān)分析報(bào)告。

Web服務(wù)器攻擊日志分析研究(安全)3721.png 

3日志分析

    根據(jù)Web服務(wù)器產(chǎn)生并訪問日志記錄文件的特點(diǎn)和Web服務(wù)器所遭受的網(wǎng)絡(luò)攻擊的特征,Web服務(wù)器攻擊日志分析系統(tǒng)分為日志數(shù)據(jù)預(yù)處理、攻擊記錄抓取、日志深度分析和自動化報(bào)告生成4個階段,流程如圖2所示。  

Web服務(wù)器攻擊日志分析研究(安全)3835.png  

從圖2可以看出,日志數(shù)據(jù)預(yù)處理階段主要由日志格式修改、日志文件導(dǎo)人數(shù)據(jù)、建立規(guī)則庫等部分組成。同時,在對日志進(jìn)行深度分析時,需要對攻擊類型、被攻擊資源和攻擊者地理位置進(jìn)行詳細(xì)統(tǒng)計(jì)。

3.1日志數(shù)據(jù)預(yù)處理

    W。b服務(wù)器攻擊日志分析系統(tǒng)中,日志數(shù)據(jù)預(yù)處理是至關(guān)重要的一步。為了在對Web服務(wù)器攻擊日志進(jìn)行分析的過程中挖掘出更有價(jià)值的信息,數(shù)據(jù)源必須具有一定的規(guī)則性、準(zhǔn)確性以及簡潔性。然而,Web日志文件收集到的原始數(shù)據(jù)往往不盡人意,既不規(guī)則也不完整,甚至不準(zhǔn)確,這對Web服務(wù)器攻擊日志的分析和研究造成了困難。日志數(shù)據(jù)預(yù)處理可以改進(jìn)日志數(shù)據(jù)的質(zhì)量,提高日志數(shù)據(jù)的精度和性能。Web服務(wù)器日志數(shù)據(jù)預(yù)處理操作通常包括數(shù)據(jù)凈化、數(shù)據(jù)抽取、數(shù)據(jù)轉(zhuǎn)換和數(shù)據(jù)集成等過程。

    1)數(shù)據(jù)凈化

    當(dāng)用戶通過瀏覽器向服務(wù)器發(fā)送頁面請求信息時,Web服務(wù)器會將用戶請求頁面所對應(yīng)的相關(guān)靜態(tài)或動態(tài)頁面文件返回給用戶,同時在Web服務(wù)器的日志文件中記錄用戶此次請求。因此,即使用戶只向Web服務(wù)器發(fā)起一次頁面請求(即一次點(diǎn)擊),Web服務(wù)器的日志文件中也可能產(chǎn)生許多記錄。例如,跟蹤一個固定IP地址的正常用戶的訪問記錄可以發(fā)現(xiàn),僅僅是簡單的20次點(diǎn)擊,就產(chǎn)生了上百條日志記錄。如果要在龐大繁瑣的Web服務(wù)器日志文件中抓取與惡意攻擊相關(guān)的有用信息,對Web服務(wù)器日志文件進(jìn)行數(shù)據(jù)凈化十分必要。

    數(shù)據(jù)凈化的目標(biāo)是初步刪除Web服務(wù)器日志文件中與分析目標(biāo)不相關(guān)的垃圾數(shù)據(jù),即在對Web服務(wù)器攻擊日志進(jìn)行研究時,需要處理掉與惡意攻擊無關(guān)的數(shù)據(jù)。

    2)數(shù)據(jù)抽取

    在對Web服務(wù)器日志文件進(jìn)行數(shù)據(jù)凈化處理后,日志文件的數(shù)量不僅大幅度減少,日志原始數(shù)據(jù)也變得相對精確。根據(jù)目標(biāo)信息的不同,還需要對數(shù)據(jù)凈化處理后的Web服務(wù)器日志數(shù)據(jù)進(jìn)行進(jìn)一步的數(shù)據(jù)抽取工作。

  數(shù)據(jù)抽取是指在對目標(biāo)信息進(jìn)行充分的分析和理解后,確定需要用到的數(shù)據(jù)源和數(shù)據(jù)定義,制定相應(yīng)的數(shù)據(jù)抽取規(guī)則,用以除去與目標(biāo)信息不相關(guān)的數(shù)據(jù),得到源數(shù)據(jù)。因此,數(shù)據(jù)抽取與目標(biāo)信息緊密聯(lián)系,目標(biāo)信息不同,所需要的數(shù)據(jù)源不同,因而數(shù)據(jù)抽取規(guī)則也不相同。在對Wb服務(wù)器日志數(shù)據(jù)完成數(shù)據(jù)抽取工作之后,就能夠形成比較精確的Web服務(wù)器日志源數(shù)據(jù)。

    Web服務(wù)器日志的字段是以字符串的形式存在的,如果含有攻擊特征的信息存在于某個字段中,采用正則表達(dá)式表示此攻擊特征,就會獲取與之相對的匹配規(guī)則。為形成一個規(guī)則庫,需要對Web服務(wù)器日志中存在的所有可能的網(wǎng)絡(luò)攻擊行為特征進(jìn)行深入分析。規(guī)則庫成功建立后,將所有規(guī)則與從Web服務(wù)器日志中提取的所有記錄進(jìn)行匹配,如果出現(xiàn)與規(guī)則庫中規(guī)則相匹配的情況,則相對應(yīng)的日志記錄為網(wǎng)絡(luò)攻擊行為;相反,如果沒有出現(xiàn)與規(guī)則庫中規(guī)則相匹配的情況,則提取的日志記錄為用戶正常訪問記錄。

    通常情況下,網(wǎng)絡(luò)攻擊行為會在Web服務(wù)器日志文件中留下較為明顯的痕跡,并且具備一定程度的統(tǒng)計(jì)性。因此,我們可以采用統(tǒng)計(jì)分析的方法來研究Web服務(wù)器日志文件,建立匹配規(guī)則庫以捕捉安全事件。

    規(guī)則庫中的規(guī)則需要包含的信息有規(guī)則編號( id)、攻擊行為名稱( name)、規(guī)則內(nèi)容(rule)、攻擊行為描述( description)以及危害程度(impact),如表1所示。規(guī)則編號( id)具有唯一性,用來標(biāo)識每一條與攻擊行為相對應(yīng)的規(guī)則。危害程度( impact)用于對由攻擊行為造成的危害情況加以說明,取值范圍為110,數(shù)值越大表示危害程度越嚴(yán)重。攻擊行為描述( description)是對標(biāo)識的攻擊行為的簡要描述,用于對匹配結(jié)果進(jìn)行解釋,幫助規(guī)則庫的維護(hù)者對規(guī)則庫進(jìn)行維護(hù)。

Web服務(wù)器攻擊日志分析研究(安全)5374.png 

  規(guī)則庫的建立對Web服務(wù)器攻擊日志分析系統(tǒng)具有關(guān)鍵性的作用,Web服務(wù)器所遭受攻擊行為的分析結(jié)果與規(guī)則庫的完善程度直接相關(guān)。如果規(guī)則庫不具備完善性,可能會導(dǎo)致系統(tǒng)產(chǎn)生漏報(bào)的情況;如果規(guī)則庫不具備精確性,可能會導(dǎo)致系統(tǒng)產(chǎn)生誤報(bào)的情況;如果規(guī)則庫中的規(guī)則太多、太復(fù)雜,又會導(dǎo)致匹配效率下降的情況。因此,Web服務(wù)器攻擊日志分析系統(tǒng)中的規(guī)則庫需具備完善性和可信性。

    3)數(shù)據(jù)轉(zhuǎn)換

    Web服務(wù)器日志文件進(jìn)行數(shù)據(jù)凈化和數(shù)據(jù)抽取后,Web服務(wù)器日志源數(shù)據(jù)已變得比較精確。但此時的Web服務(wù)器日志文件依然是文本文件,是一種半結(jié)構(gòu)化的數(shù)據(jù)。數(shù)據(jù)轉(zhuǎn)換是將非結(jié)構(gòu)化或半結(jié)構(gòu)化數(shù)據(jù)轉(zhuǎn)換成結(jié)構(gòu)化數(shù)據(jù)。為讓Web服務(wù)器日志文件能導(dǎo)入到數(shù)據(jù)庫中進(jìn)行后續(xù)處理,需要對日志默認(rèn)內(nèi)容進(jìn)行修改,對日志格式進(jìn)行修改。首先對日志格式進(jìn)行判斷(是標(biāo)準(zhǔn)格式還是擴(kuò)展格式);然后根據(jù)實(shí)際意義將日志文件分開,并在對應(yīng)的數(shù)據(jù)表中構(gòu)造相應(yīng)的字段;最后進(jìn)行實(shí)際的數(shù)據(jù)轉(zhuǎn)換工作。

    4)數(shù)據(jù)集成

    Web服務(wù)器日志文件在經(jīng)過數(shù)據(jù)轉(zhuǎn)換后,成了數(shù)據(jù)表。電子商務(wù)網(wǎng)站每間隔一定時間都會不斷將Web服務(wù)器日志文件經(jīng)過相應(yīng)處理形成的新的數(shù)據(jù)表追加到一個固定的數(shù)據(jù)表文件中,再對這些數(shù)據(jù)進(jìn)行數(shù)據(jù)集成操作。數(shù)據(jù)集成是將多個相關(guān)數(shù)據(jù)源(如注冊用戶數(shù)據(jù)表,網(wǎng)站結(jié)構(gòu)數(shù)據(jù)表等)中的數(shù)據(jù)結(jié)合起來存放到一個數(shù)據(jù)表中存儲,從而形成電子商務(wù)網(wǎng)站的數(shù)據(jù)倉庫。

3.2抓取攻擊記錄

    在抓取個別類型的攻擊行為記錄時,由于無法直接從單條日志記錄中捕捉到攻擊行為,需要對該種類型的攻擊行為采用統(tǒng)計(jì)分析的方法進(jìn)行分析。例如,對從同一源lP到同一目的1P的記錄進(jìn)行統(tǒng)計(jì),如果短時間內(nèi)對應(yīng)用的連續(xù)失敗認(rèn)證數(shù)量超過一定的閾值,則該行為可以被判定為Brute Force攻擊。

    將經(jīng)過預(yù)處理的Web服務(wù)器日志記錄與規(guī)則庫中的規(guī)則逐一進(jìn)行匹配,如果匹配成功,則該日志記錄包含了對應(yīng)攻擊行為的特征信息,反之則說明該日志記錄是正常的訪問記錄。

3.3日志深度分析

    日志深度分析主要是采用統(tǒng)計(jì)分析和數(shù)據(jù)挖掘的方法對上一階段的結(jié)果進(jìn)行分析。采用統(tǒng)計(jì)分析的方法可以獲取網(wǎng)站受到的攻擊種類的分布情況、攻擊發(fā)起者所處地理位置的分布情況、遭受攻擊的網(wǎng)站的資源分布情況等信息。采用數(shù)據(jù)挖掘的方法還可以對攻擊的來源,地理位置的分布,攻擊的網(wǎng)站資源分布情況等信息進(jìn)行分析。

3.3.1攻擊類型統(tǒng)計(jì)

    對于某一條Web服務(wù)器日志記錄,在匹配成功的情況下,可以根據(jù)與之對應(yīng)的匹配規(guī)則分析出相應(yīng)的攻擊類型。統(tǒng)計(jì)所有成功匹配的Web服務(wù)器日志記錄,可以獲取網(wǎng)站所遭受的所有類型的網(wǎng)絡(luò)攻擊的攻擊次數(shù)。同時,根據(jù)STATUS字段可以對某個攻擊的具體情況進(jìn)行判斷(成功或者失。瑥亩@取網(wǎng)站所遭受的所有類型的網(wǎng)絡(luò)攻擊的攻擊成功次數(shù)。將統(tǒng)計(jì)分析結(jié)果制成相應(yīng)的表格或者圖形,方便網(wǎng)站相關(guān)安全管理人員直觀查看網(wǎng)站遭受攻擊的總體情況。圖3所示為網(wǎng)站遭受AWVS掃描時反饋的信息。

Web服務(wù)器攻擊日志分析研究(安全)6624.png 

3.3.2遭受攻擊的網(wǎng)站的資源分析情況統(tǒng)計(jì)

    根據(jù)正則匹配結(jié)果中的訪問路徑及參數(shù),進(jìn)行聚類分析,識別訪問同一網(wǎng)站資源的路徑,并統(tǒng)計(jì)相應(yīng)次數(shù),生成圖形以及表格分析結(jié)果,如圖4所示。

Web服務(wù)器攻擊日志分析研究(安全)6719.png 

  訪問路徑及參數(shù)的形式為:“路徑”?“參數(shù)”。“路徑”部分的內(nèi)容包含等級結(jié)構(gòu)的路徑定義,一般以斜線()來分隔不同部分。“參數(shù)”部分是用于動態(tài)訪問位于服務(wù)器上的數(shù)據(jù)庫時所需的參數(shù)。

Web服務(wù)器攻擊日志分析研究(安全)6813.png為參數(shù)。與規(guī)則庫中的規(guī)則進(jìn)行匹配操作的主要是參數(shù)部分,因此通過這種統(tǒng)計(jì)方法得到的網(wǎng)站資源很有可能是攻擊者進(jìn)行猜測性攻擊所致的,而不是真實(shí)存在的。為了獲取真實(shí)有效且遭受到網(wǎng)絡(luò)攻擊的網(wǎng)站資源,需要先去除被攻擊者所猜測而不是真實(shí)存在的網(wǎng)站資源:從Web服務(wù)器日志中提取用戶進(jìn)行過正常訪問且服務(wù)器返回正常的所有訪問路徑,將這些訪問路徑與匹配成功的網(wǎng)頁路徑相對比從而確定攻擊的網(wǎng)站資源。

3.3.3攻擊者地理位置統(tǒng)計(jì)

    通過對日志中IP地址來源進(jìn)行分析,可以得到IP地址地理位置信息,包括所屬國家、城市、區(qū)域、郵政編碼,甚至經(jīng)緯度等信息,如圖5所示。

Web服務(wù)器攻擊日志分析研究(安全)7088.png 

3.4生成報(bào)告

  在生成報(bào)告階段,系統(tǒng)將對Web服務(wù)器日志進(jìn)行分析所得的結(jié)果在網(wǎng)頁上以報(bào)表、圖形的方式展示,為電子商務(wù)網(wǎng)站管理人員提供網(wǎng)站的整體安全狀況展示,分析可能存在的安全漏洞,從而為電子商務(wù)網(wǎng)站安全管理人員設(shè)計(jì)網(wǎng)站的安全加固和防御方案提供思路。

4結(jié)束語

    目前,電子商務(wù)網(wǎng)站正在逐漸滲透到人們的;钪,但其所受到的各種安全威脅也在飛速增長,因此對電子商務(wù)網(wǎng)站的安全防護(hù)至關(guān)重要。對于大多數(shù)向電子商務(wù)網(wǎng)站發(fā)起網(wǎng)絡(luò)攻擊的行為,都會在Web服務(wù)器的日志文件中留下訪問痕跡。本文設(shè)計(jì)了_一套Web服務(wù)器攻擊日志分析系統(tǒng),能夠幫助電子商務(wù)網(wǎng)站安全管理員了解并分析Web電子商務(wù)網(wǎng)站遭受攻擊的部分情況,提出有效的Web服務(wù)器安全加固和防御方案,從而提高電子商務(wù)網(wǎng)站安全運(yùn)營的能力。

關(guān)鍵字:
Copyright©2014安裝信息網(wǎng) www.78375555.com. All rights reserved.
服務(wù)熱線:0371-61311617 郵箱:zgazxxw@126.com 豫ICP備18030500號-4
未經(jīng)過本站允許,請勿將本站內(nèi)容傳播或復(fù)制
安全聯(lián)盟認(rèn)證