首頁

資訊中心

企業(yè)動態(tài)

行業(yè)動態(tài)

安全動態(tài)

行業(yè)資訊

設(shè)備資訊

工具資訊

材料資訊

招商代理

您當(dāng)前位置:首頁 > 新聞頻道 > 技術(shù)動態(tài) > 正文

Web服務(wù)器攻擊日志分析研究（安全）

2016-10-14 16:00:35 安裝信息網(wǎng)

Web服務(wù)器攻擊日志分析研究（安全）

鄧詩琪¹，劉曉明²，武旭東³，雷敏¹

(1．北京郵電大學(xué)信息安全中心，北京100876；2．國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，北京1000129；3．四川科瑞軟件有限責(zé)任公司，四川綿陽621000)

摘要：互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展改變了人們的生活方式，其中電子商務(wù)是近年來應(yīng)用最為廣泛的互聯(lián)網(wǎng)應(yīng)用之一。越來越多的Web服務(wù)器部署在互聯(lián)網(wǎng)上向外提供服務(wù)，因此針對電子商務(wù)Web服務(wù)器的攻擊不斷增加。OWASP組織每年都公布Web應(yīng)用程序遭受到的最多的10種攻擊技術(shù)，其中攻擊危害性較大的有SQL注入、XSS攻擊和DDoS攻擊等。這些攻擊一方面使得電子商務(wù)服務(wù)器無法向外提供服務(wù)，另一方面還可能造成電子商務(wù)服務(wù)器中數(shù)據(jù)和用戶個人隱私的泄露，因此電子商務(wù)服務(wù)器的安全防護(hù)是Web服務(wù)器安全運(yùn)維最為重要的一個環(huán)節(jié)。通過對Web服務(wù)器日志的分析研究可以對網(wǎng)站的攻擊事件進(jìn)行檢測，進(jìn)而掌握Web服務(wù)器被攻擊的來源和原因等，提高Web服務(wù)器的安全防護(hù)能力。文章通過對Web服務(wù)器攻擊日志進(jìn)行分析，將Web服務(wù)器日志進(jìn)行分類，通過將日志記錄中各個字段值與具有攻擊特征的模式進(jìn)行匹配，并對模式匹配后的日志進(jìn)行分析，發(fā)現(xiàn)常見的攻擊類型和攻擊源等信息，并以圖形化的形式展示，以此提高網(wǎng)站服務(wù)器的安全運(yùn)維能力。

關(guān)鍵詞：Web服務(wù)器；攻擊日志；日志分析

中圖分類號：TP309 文章編號：1671-1122( 2016) 06-0056-06

0引言

隨著電子商務(wù)的飛速發(fā)展，越來越多的Web服務(wù)器在互聯(lián)網(wǎng)上提供電子商務(wù)服務(wù)，人們也越來越依賴電子商務(wù)給生活帶來的快捷與方便。然而，Web服務(wù)器開始遭受越來越多的不同形式的惡意攻擊。根據(jù)OWASP( OpenWeb Application Security Project) TOP 10顯示，Web服務(wù)器所受的最常見、最危險(xiǎn)的威脅主要有互聯(lián)網(wǎng)泄密事件／撞庫攻擊、第三方應(yīng)用不安全引用、SQL注入漏洞、XSS跨站腳本攻擊/CSRF、越權(quán)操作以及內(nèi)部重要資料／文檔外泄等。

每年電子商務(wù)平臺遭受各種攻擊給電子商務(wù)的運(yùn)營者和用戶都帶了巨大的損失，因此如何保證電子商務(wù)平臺持續(xù)穩(wěn)定地為用戶提供正常的服務(wù)是當(dāng)前電子商務(wù)運(yùn)營商面臨的重要挑戰(zhàn)之一。

當(dāng)用戶通過瀏覽器向服務(wù)器發(fā)送頁面請求信息時，Web服務(wù)器會將用戶所請求頁面所對應(yīng)的相關(guān)靜態(tài)或動態(tài)頁面文件返回給用戶，同時在Web服務(wù)器的日志文件中記錄用戶的此次請求。對于大多數(shù)向電子商務(wù)網(wǎng)站發(fā)起網(wǎng)絡(luò)攻擊的行為，都會在Web服務(wù)器的日志中留下訪問痕跡。因此，對電子商務(wù)網(wǎng)站的Web服務(wù)器日志文件進(jìn)行深入研究和分析，能夠幫助網(wǎng)站安全管理人員檢測到相關(guān)攻擊事件，進(jìn)而為網(wǎng)站的安全加固和安全運(yùn)營提供更好的防御方案。

然而，通常情況下用戶所請求的頁面會包含多個文件，而HTTP協(xié)議中對Web服務(wù)器的文件請求是每個文件對應(yīng)一個單獨(dú)的URL聯(lián)接，所以在用戶發(fā)送某個頁面的請求信息之后，Web服務(wù)器的日志文件中就會產(chǎn)生多條記錄，使得Web服務(wù)器產(chǎn)生的日志文件數(shù)量異常龐大。例如，一個日訪問量一般的網(wǎng)站，每日產(chǎn)生的Web服務(wù)器日志文件就能達(dá)到數(shù)十兆，長時間積累以后網(wǎng)站生成的Web服務(wù)器日志文件總數(shù)量可以達(dá)到GB級甚至更大，如果對Web服務(wù)器日志文件采用手工分析的方法，不僅工作量巨大，而且效率極低。此外，隨著網(wǎng)站系統(tǒng)設(shè)計(jì)層次的復(fù)雜，攻擊者的攻擊行為也將變得難以捕捉。

為更好地對Web服務(wù)器攻擊日志進(jìn)行深入分析和研究，本文設(shè)計(jì)實(shí)現(xiàn)了Web服務(wù)器攻擊日志分析系統(tǒng)，該系統(tǒng)可以針對Web服務(wù)器所遭受的攻擊行為進(jìn)行分類，并將結(jié)果以圖形化的形式展示。實(shí)驗(yàn)證明，該方法能夠有效地檢測多種Web攻擊行為，從而較好地保障電子商務(wù)服務(wù)器網(wǎng)站的安全運(yùn)營。

1 Web服務(wù)器安全簡介

1.1 HTTP協(xié)議解析

隨著Web 2.0時代的到來，互聯(lián)網(wǎng)從傳統(tǒng)的C/S架構(gòu)轉(zhuǎn)變?yōu)楦臃奖憧旖莸?/font>B/S架構(gòu)（瀏覽器／服務(wù)器結(jié)構(gòu)）。當(dāng)客戶端與Web服務(wù)器進(jìn)行交互時，就存在Web請求，這種請求都基于統(tǒng)一的應(yīng)用層協(xié)議（HTTP協(xié)議）交互數(shù)據(jù)。

HTTP（HyperText Transfer Protocol，即超文本傳輸協(xié)議）允許將HTML（超文本標(biāo)記語言）文檔從Web服務(wù)器傳送到Web瀏覽器。當(dāng)用戶在瀏覽器地址欄輸入一個URL并按回車鍵后，就向服務(wù)器發(fā)起了一個HTTP請求，之后Web服務(wù)器會進(jìn)行響應(yīng)并向客戶端發(fā)送所請求的HTML數(shù)據(jù)。

1.2 Web服務(wù)器常見攻擊

1)互聯(lián)網(wǎng)泄密事件／撞庫攻擊

互聯(lián)網(wǎng)泄密事件／撞庫攻擊將大量的用戶數(shù)據(jù)作為攻擊基礎(chǔ)，將已經(jīng)在互聯(lián)網(wǎng)中泄露的用戶信息收集起來制成相應(yīng)的字典，然后嘗試登錄其他網(wǎng)站，從而獲取更多的用戶信息。近年來，互聯(lián)網(wǎng)泄密事件／撞庫攻擊已經(jīng)嚴(yán)重威脅到Web網(wǎng)站的數(shù)據(jù)安全，傳統(tǒng)的登錄方式無法再確保Web網(wǎng)站的安全。

2)第三方應(yīng)用不安全引用

第三方應(yīng)用的不安全引用是指Web應(yīng)用程序開發(fā)人員在開發(fā)網(wǎng)站系統(tǒng)時對第三方組件、應(yīng)用、庫或者框架進(jìn)行了不安全的直接引用。

隨著技術(shù)手段的不斷提升，越來越多的Web網(wǎng)站開始引用第三方應(yīng)用，然而，這也增加了Web網(wǎng)站被入侵的風(fēng)險(xiǎn)。由于Web網(wǎng)站在對第三方應(yīng)用進(jìn)行引用時一般將其平行地部署在系統(tǒng)之上，如果攻擊者成功利用了一個安全性不高的第三方應(yīng)用并向Web網(wǎng)站發(fā)起攻擊，這種攻擊將直接導(dǎo)致Web網(wǎng)站的崩潰和數(shù)據(jù)泄露。

3)系統(tǒng)錯誤／邏輯缺陷帶來的暴力破解

暴力破解也被稱為枚舉測試、窮舉法測試，是一種針對密碼破譯的方法，即將密碼逐個比較，直到找出真正的密碼為止。雖然暴力破解有難度，但成功的機(jī)會是比較高的，而且危害也非常大。例如，公司內(nèi)部系統(tǒng)某用戶密碼被成功破解，那么攻擊者很有可能偽裝成這個用戶開展社會工程學(xué)入侵。如果攻擊者僥幸破解了管理員或者高層的管理賬號，后果將不堪設(shè)想。另外，攻擊者如果破解了MySQL的管理員密碼，數(shù)據(jù)就會被泄露，服務(wù)器也可能因此淪陷。

4)敏感信息／配置信息泄露

對于一個W eb網(wǎng)站系統(tǒng)，配置信息、數(shù)據(jù)信息、備份系統(tǒng)信息、敏感信息以及用戶信息等都需要采取重點(diǎn)防護(hù)。如果沒有對這些關(guān)鍵信息加以防護(hù)，進(jìn)而這些信息發(fā)生了泄露，并被攻擊者加以利用，將對Web網(wǎng)站造成巨大的危害。

5)應(yīng)用錯誤配置／默認(rèn)配置

Web網(wǎng)站開發(fā)人員在部署Web網(wǎng)站系統(tǒng)時，如果對于一些Web應(yīng)用程序、第三方應(yīng)用、中間件以及服務(wù)器端程序沒有進(jìn)行嚴(yán)格的安全配置，將會給攻擊者對網(wǎng)站發(fā)起攻擊提供便利，對網(wǎng)站的安全造成嚴(yán)重威脅。

6) SQL注入漏洞

SQL注入是指Web網(wǎng)站開發(fā)人員在編寫網(wǎng)站代碼時，忽略了對用戶輸入數(shù)據(jù)的合法性的判斷，導(dǎo)致一部分不可信的數(shù)據(jù)沒有被過濾掉并作為部分查詢命令被發(fā)送到了解釋器，解釋器被攻擊者所制造的惡意數(shù)據(jù)欺騙，執(zhí)行了攻擊者的惡意命令或者允許攻擊者訪問未經(jīng)授權(quán)的數(shù)據(jù)。

7) XSS跨站腳本攻擊/CSRF

XSS跨站腳本攻擊是指攻擊者在網(wǎng)頁中嵌入客戶端腳本（通常是用JavaScript編寫的惡意代碼），當(dāng)用戶用瀏覽器瀏覽被嵌入惡意代碼的網(wǎng)頁時，惡意代碼將會在用戶的瀏覽器上執(zhí)行。

當(dāng)用戶對某個Web網(wǎng)站進(jìn)行正常訪問時，瀏覽器與網(wǎng)站所在的Web服務(wù)器將會產(chǎn)生一個會活，在該會話處于合法有效期間，用戶可以對網(wǎng)站進(jìn)行一些合法的授權(quán)操作。CSRF攻擊建立在這樣的會話基礎(chǔ)之上，在訪問網(wǎng)站的合法用戶不知情的情況下，以用戶的名義偽造合法請求發(fā)送給目標(biāo)Web網(wǎng)站，未經(jīng)用戶授權(quán)執(zhí)行相應(yīng)操作，給Web網(wǎng)站安全帶來巨大風(fēng)險(xiǎn)。

8)未授權(quán)訪問／權(quán)限繞過

未授權(quán)訪問是指攻擊者使用某種手段偽造用戶請求，由于服務(wù)器沒有對收到的請求進(jìn)行嚴(yán)格的完整性檢查，使得攻擊者可以成功訪問到?jīng)]有授權(quán)的網(wǎng)站資源或信息。

9)越權(quán)操作

Web網(wǎng)站系統(tǒng)中，如果服務(wù)器端未對來自客戶端的請求進(jìn)行嚴(yán)格的身份驗(yàn)證，攻擊者就能利用Web應(yīng)用程序中與認(rèn)證和會話管理相關(guān)的安全漏洞，通過社會工程學(xué)方法搜集相關(guān)有用信息或者通過泄露的其他重要信息訪問未經(jīng)合法授權(quán)的網(wǎng)站數(shù)據(jù)。

10)內(nèi)部重要資料／文檔外泄等

隨著數(shù)字化時代的到來，人們開始越來越頻繁使用電子設(shè)備來存儲、處理和傳輸重要數(shù)據(jù)，部分安全意識不夠強(qiáng)的程序員或者企業(yè)員工將涉密數(shù)據(jù)直接存儲在非涉密的移動介質(zhì)上，導(dǎo)致重要數(shù)據(jù)泄露。

2系統(tǒng)設(shè)計(jì)

本文提出的Web服務(wù)器攻擊日志分析系統(tǒng)架構(gòu)如圖1所示。用戶訪問電子商務(wù)網(wǎng)站，點(diǎn)擊頁面后，網(wǎng)站向Web服務(wù)器發(fā)送頁面請求信息，Web服務(wù)器與數(shù)據(jù)庫服務(wù)器進(jìn)行交互，獲取相應(yīng)頁面信息后，在Web服務(wù)器產(chǎn)生日志記錄文件，日志分析系統(tǒng)對Web服務(wù)器日志記錄文件進(jìn)行相關(guān)處理，進(jìn)行攻擊日志記錄的抓取和分析，最后自動化生成相關(guān)分析報(bào)告。

Web服務(wù)器攻擊日志分析研究（安全）3721.png

3日志分析

根據(jù)Web服務(wù)器產(chǎn)生并訪問日志記錄文件的特點(diǎn)和Web服務(wù)器所遭受的網(wǎng)絡(luò)攻擊的特征，Web服務(wù)器攻擊日志分析系統(tǒng)分為日志數(shù)據(jù)預(yù)處理、攻擊記錄抓取、日志深度分析和自動化報(bào)告生成4個階段，流程如圖2所示。

Web服務(wù)器攻擊日志分析研究（安全）3835.png

從圖2可以看出，日志數(shù)據(jù)預(yù)處理階段主要由日志格式修改、日志文件導(dǎo)人數(shù)據(jù)、建立規(guī)則庫等部分組成。同時，在對日志進(jìn)行深度分析時，需要對攻擊類型、被攻擊資源和攻擊者地理位置進(jìn)行詳細(xì)統(tǒng)計(jì)。

3.1日志數(shù)據(jù)預(yù)處理

在W。b服務(wù)器攻擊日志分析系統(tǒng)中，日志數(shù)據(jù)預(yù)處理是至關(guān)重要的一步。為了在對Web服務(wù)器攻擊日志進(jìn)行分析的過程中挖掘出更有價(jià)值的信息，數(shù)據(jù)源必須具有一定的規(guī)則性、準(zhǔn)確性以及簡潔性。然而，Web日志文件收集到的原始數(shù)據(jù)往往不盡人意，既不規(guī)則也不完整，甚至不準(zhǔn)確，這對Web服務(wù)器攻擊日志的分析和研究造成了困難。日志數(shù)據(jù)預(yù)處理可以改進(jìn)日志數(shù)據(jù)的質(zhì)量，提高日志數(shù)據(jù)的精度和性能。Web服務(wù)器日志數(shù)據(jù)預(yù)處理操作通常包括數(shù)據(jù)凈化、數(shù)據(jù)抽取、數(shù)據(jù)轉(zhuǎn)換和數(shù)據(jù)集成等過程。

1)數(shù)據(jù)凈化

當(dāng)用戶通過瀏覽器向服務(wù)器發(fā)送頁面請求信息時，Web服務(wù)器會將用戶請求頁面所對應(yīng)的相關(guān)靜態(tài)或動態(tài)頁面文件返回給用戶，同時在Web服務(wù)器的日志文件中記錄用戶此次請求。因此，即使用戶只向Web服務(wù)器發(fā)起一次頁面請求（即一次點(diǎn)擊），Web服務(wù)器的日志文件中也可能產(chǎn)生許多記錄。例如，跟蹤一個固定IP地址的正常用戶的訪問記錄可以發(fā)現(xiàn)，僅僅是簡單的20次點(diǎn)擊，就產(chǎn)生了上百條日志記錄。如果要在龐大繁瑣的Web服務(wù)器日志文件中抓取與惡意攻擊相關(guān)的有用信息，對Web服務(wù)器日志文件進(jìn)行數(shù)據(jù)凈化十分必要。

數(shù)據(jù)凈化的目標(biāo)是初步刪除Web服務(wù)器日志文件中與分析目標(biāo)不相關(guān)的垃圾數(shù)據(jù)，即在對Web服務(wù)器攻擊日志進(jìn)行研究時，需要處理掉與惡意攻擊無關(guān)的數(shù)據(jù)。

2)數(shù)據(jù)抽取

在對Web服務(wù)器日志文件進(jìn)行數(shù)據(jù)凈化處理后，日志文件的數(shù)量不僅大幅度減少，日志原始數(shù)據(jù)也變得相對精確。根據(jù)目標(biāo)信息的不同，還需要對數(shù)據(jù)凈化處理后的Web服務(wù)器日志數(shù)據(jù)進(jìn)行進(jìn)一步的數(shù)據(jù)抽取工作。

數(shù)據(jù)抽取是指在對目標(biāo)信息進(jìn)行充分的分析和理解后，確定需要用到的數(shù)據(jù)源和數(shù)據(jù)定義，制定相應(yīng)的數(shù)據(jù)抽取規(guī)則，用以除去與目標(biāo)信息不相關(guān)的數(shù)據(jù)，得到源數(shù)據(jù)。因此，數(shù)據(jù)抽取與目標(biāo)信息緊密聯(lián)系，目標(biāo)信息不同，所需要的數(shù)據(jù)源不同，因而數(shù)據(jù)抽取規(guī)則也不相同。在對W。b服務(wù)器日志數(shù)據(jù)完成數(shù)據(jù)抽取工作之后，就能夠形成比較精確的Web服務(wù)器日志源數(shù)據(jù)。

Web服務(wù)器日志的字段是以字符串的形式存在的，如果含有攻擊特征的信息存在于某個字段中，采用正則表達(dá)式表示此攻擊特征，就會獲取與之相對的匹配規(guī)則。為形成一個規(guī)則庫，需要對Web服務(wù)器日志中存在的所有可能的網(wǎng)絡(luò)攻擊行為特征進(jìn)行深入分析。規(guī)則庫成功建立后，將所有規(guī)則與從Web服務(wù)器日志中提取的所有記錄進(jìn)行匹配，如果出現(xiàn)與規(guī)則庫中規(guī)則相匹配的情況，則相對應(yīng)的日志記錄為網(wǎng)絡(luò)攻擊行為；相反，如果沒有出現(xiàn)與規(guī)則庫中規(guī)則相匹配的情況，則提取的日志記錄為用戶正常訪問記錄。

通常情況下，網(wǎng)絡(luò)攻擊行為會在Web服務(wù)器日志文件中留下較為明顯的痕跡，并且具備一定程度的統(tǒng)計(jì)性。因此，我們可以采用統(tǒng)計(jì)分析的方法來研究Web服務(wù)器日志文件，建立匹配規(guī)則庫以捕捉安全事件。

規(guī)則庫中的規(guī)則需要包含的信息有規(guī)則編號( id)、攻擊行為名稱( name)、規(guī)則內(nèi)容(rule)、攻擊行為描述( description)以及危害程度(impact)，如表1所示。規(guī)則編號( id)具有唯一性，用來標(biāo)識每一條與攻擊行為相對應(yīng)的規(guī)則。危害程度( impact)用于對由攻擊行為造成的危害情況加以說明，取值范圍為1～10，數(shù)值越大表示危害程度越嚴(yán)重。攻擊行為描述( description)是對標(biāo)識的攻擊行為的簡要描述，用于對匹配結(jié)果進(jìn)行解釋，幫助規(guī)則庫的維護(hù)者對規(guī)則庫進(jìn)行維護(hù)。

Web服務(wù)器攻擊日志分析研究（安全）5374.png

規(guī)則庫的建立對Web服務(wù)器攻擊日志分析系統(tǒng)具有關(guān)鍵性的作用，Web服務(wù)器所遭受攻擊行為的分析結(jié)果與規(guī)則庫的完善程度直接相關(guān)。如果規(guī)則庫不具備完善性，可能會導(dǎo)致系統(tǒng)產(chǎn)生漏報(bào)的情況；如果規(guī)則庫不具備精確性，可能會導(dǎo)致系統(tǒng)產(chǎn)生誤報(bào)的情況；如果規(guī)則庫中的規(guī)則太多、太復(fù)雜，又會導(dǎo)致匹配效率下降的情況。因此，Web服務(wù)器攻擊日志分析系統(tǒng)中的規(guī)則庫需具備完善性和可信性。

3)數(shù)據(jù)轉(zhuǎn)換

對Web服務(wù)器日志文件進(jìn)行數(shù)據(jù)凈化和數(shù)據(jù)抽取后，Web服務(wù)器日志源數(shù)據(jù)已變得比較精確。但此時的Web服務(wù)器日志文件依然是文本文件，是一種半結(jié)構(gòu)化的數(shù)據(jù)。數(shù)據(jù)轉(zhuǎn)換是將非結(jié)構(gòu)化或半結(jié)構(gòu)化數(shù)據(jù)轉(zhuǎn)換成結(jié)構(gòu)化數(shù)據(jù)。為讓Web服務(wù)器日志文件能導(dǎo)入到數(shù)據(jù)庫中進(jìn)行后續(xù)處理，需要對日志默認(rèn)內(nèi)容進(jìn)行修改，對日志格式進(jìn)行修改。首先對日志格式進(jìn)行判斷（是標(biāo)準(zhǔn)格式還是擴(kuò)展格式）；然后根據(jù)實(shí)際意義將日志文件分開，并在對應(yīng)的數(shù)據(jù)表中構(gòu)造相應(yīng)的字段；最后進(jìn)行實(shí)際的數(shù)據(jù)轉(zhuǎn)換工作。

4)數(shù)據(jù)集成

Web服務(wù)器日志文件在經(jīng)過數(shù)據(jù)轉(zhuǎn)換后，成了數(shù)據(jù)表。電子商務(wù)網(wǎng)站每間隔一定時間都會不斷將Web服務(wù)器日志文件經(jīng)過相應(yīng)處理形成的新的數(shù)據(jù)表追加到一個固定的數(shù)據(jù)表文件中，再對這些數(shù)據(jù)進(jìn)行數(shù)據(jù)集成操作。數(shù)據(jù)集成是將多個相關(guān)數(shù)據(jù)源（如注冊用戶數(shù)據(jù)表，網(wǎng)站結(jié)構(gòu)數(shù)據(jù)表等）中的數(shù)據(jù)結(jié)合起來存放到一個數(shù)據(jù)表中存儲，從而形成電子商務(wù)網(wǎng)站的數(shù)據(jù)倉庫。

3.2抓取攻擊記錄

在抓取個別類型的攻擊行為記錄時，由于無法直接從單條日志記錄中捕捉到攻擊行為，需要對該種類型的攻擊行為采用統(tǒng)計(jì)分析的方法進(jìn)行分析。例如，對從同一源lP到同一目的1P的記錄進(jìn)行統(tǒng)計(jì)，如果短時間內(nèi)對應(yīng)用的連續(xù)失敗認(rèn)證數(shù)量超過一定的閾值，則該行為可以被判定為Brute Force攻擊。

將經(jīng)過預(yù)處理的Web服務(wù)器日志記錄與規(guī)則庫中的規(guī)則逐一進(jìn)行匹配，如果匹配成功，則該日志記錄包含了對應(yīng)攻擊行為的特征信息，反之則說明該日志記錄是正常的訪問記錄。

3.3日志深度分析

日志深度分析主要是采用統(tǒng)計(jì)分析和數(shù)據(jù)挖掘的方法對上一階段的結(jié)果進(jìn)行分析。采用統(tǒng)計(jì)分析的方法可以獲取網(wǎng)站受到的攻擊種類的分布情況、攻擊發(fā)起者所處地理位置的分布情況、遭受攻擊的網(wǎng)站的資源分布情況等信息。采用數(shù)據(jù)挖掘的方法還可以對攻擊的來源，地理位置的分布，攻擊的網(wǎng)站資源分布情況等信息進(jìn)行分析。

3.3.1攻擊類型統(tǒng)計(jì)

對于某一條Web服務(wù)器日志記錄，在匹配成功的情況下，可以根據(jù)與之對應(yīng)的匹配規(guī)則分析出相應(yīng)的攻擊類型。統(tǒng)計(jì)所有成功匹配的Web服務(wù)器日志記錄，可以獲取網(wǎng)站所遭受的所有類型的網(wǎng)絡(luò)攻擊的攻擊次數(shù)。同時，根據(jù)STATUS字段可以對某個攻擊的具體情況進(jìn)行判斷（成功或者失�。瑥亩@取網(wǎng)站所遭受的所有類型的網(wǎng)絡(luò)攻擊的攻擊成功次數(shù)。將統(tǒng)計(jì)分析結(jié)果制成相應(yīng)的表格或者圖形，方便網(wǎng)站相關(guān)安全管理人員直觀查看網(wǎng)站遭受攻擊的總體情況。圖3所示為網(wǎng)站遭受AWVS掃描時反饋的信息。

Web服務(wù)器攻擊日志分析研究（安全）6624.png

3.3.2遭受攻擊的網(wǎng)站的資源分析情況統(tǒng)計(jì)

根據(jù)正則匹配結(jié)果中的訪問路徑及參數(shù)，進(jìn)行聚類分析，識別訪問同一網(wǎng)站資源的路徑，并統(tǒng)計(jì)相應(yīng)次數(shù)，生成圖形以及表格分析結(jié)果，如圖4所示。

Web服務(wù)器攻擊日志分析研究（安全）6719.png

訪問路徑及參數(shù)的形式為：“路徑”？“參數(shù)”。“路徑”部分的內(nèi)容包含等級結(jié)構(gòu)的路徑定義，一般以斜線(／)來分隔不同部分。“參數(shù)”部分是用于動態(tài)訪問位于服務(wù)器上的數(shù)據(jù)庫時所需的參數(shù)。

Web服務(wù)器攻擊日志分析研究（安全）6813.png 為參數(shù)。與規(guī)則庫中的規(guī)則進(jìn)行匹配操作的主要是參數(shù)部分，因此通過這種統(tǒng)計(jì)方法得到的網(wǎng)站資源很有可能是攻擊者進(jìn)行猜測性攻擊所致的，而不是真實(shí)存在的。為了獲取真實(shí)有效且遭受到網(wǎng)絡(luò)攻擊的網(wǎng)站資源，需要先去除被攻擊者所猜測而不是真實(shí)存在的網(wǎng)站資源：從Web服務(wù)器日志中提取用戶進(jìn)行過正常訪問且服務(wù)器返回正常的所有訪問路徑，將這些訪問路徑與匹配成功的網(wǎng)頁路徑相對比從而確定攻擊的網(wǎng)站資源。

3.3.3攻擊者地理位置統(tǒng)計(jì)

通過對日志中IP地址來源進(jìn)行分析，可以得到IP地址地理位置信息，包括所屬國家、城市、區(qū)域、郵政編碼，甚至經(jīng)緯度等信息，如圖5所示。

Web服務(wù)器攻擊日志分析研究（安全）7088.png

3.4生成報(bào)告

在生成報(bào)告階段，系統(tǒng)將對Web服務(wù)器日志進(jìn)行分析所得的結(jié)果在網(wǎng)頁上以報(bào)表、圖形的方式展示，為電子商務(wù)網(wǎng)站管理人員提供網(wǎng)站的整體安全狀況展示，分析可能存在的安全漏洞，從而為電子商務(wù)網(wǎng)站安全管理人員設(shè)計(jì)網(wǎng)站的安全加固和防御方案提供思路。

4結(jié)束語

目前，電子商務(wù)網(wǎng)站正在逐漸滲透到人們的�；钪�，但其所受到的各種安全威脅也在飛速增長，因此對電子商務(wù)網(wǎng)站的安全防護(hù)至關(guān)重要。對于大多數(shù)向電子商務(wù)網(wǎng)站發(fā)起網(wǎng)絡(luò)攻擊的行為，都會在Web服務(wù)器的日志文件中留下訪問痕跡。本文設(shè)計(jì)了_一套Web服務(wù)器攻擊日志分析系統(tǒng)，能夠幫助電子商務(wù)網(wǎng)站安全管理員了解并分析Web電子商務(wù)網(wǎng)站遭受攻擊的部分情況，提出有效的Web服務(wù)器安全加固和防御方案，從而提高電子商務(wù)網(wǎng)站安全運(yùn)營的能力。

關(guān)鍵字：

上一篇:北斗動動相對定位精度測試方法研究（通訊）

下一篇:HON7686改性SMA拌和工藝優(yōu)化研究（交通）

信息篩選

Web服務(wù)器攻擊日志分析研究（安全）

信息篩選

行業(yè)資訊月點(diǎn)擊排行

展會信息月點(diǎn)擊排行

招商信息月點(diǎn)擊排行