web志信信息提取方法

web志信信息提取方法

0web系统恶意软件攻击的预防b-s体系结构的应用程序系统不需要客户端特殊维护，因此已成为基于信息技术的应用模式。与组成应用系统的网络设备、操作系统等相比较，由于应用系统的需求更为多变和复杂，因此很难有通用的、且经过长期验证的较为安全可靠的成型产品可供直接使用，而必须依照功能需求进行定制开发，因此应用系统存在安全隐患的几率更大，也越来越成为攻击者首选的目标。在实际工作中，很多单位的网站被成功入侵后很长时间都未能发现，有的单位虽然通过不同渠道发现了网站遭受到攻击并造成内容异常，但其应对措施仅仅是清除异常内容，而没有深入分析事件发生的原因并对根除隐患，这种情况也造成了很多网站在短时间内重复被入侵。对于一次成功的应急处置而言，则必须根据事件表象逐层分析确定内在原因和攻击实施路径，并从原因上根除、从路径上阻断。目前Web系统软件发展得较为成熟，日志审计已经作为Web系统软件的基本功能组件。例如使用最为广泛的apache、IIS等Web系统软件均支持相应功能，能够实时记录用户访问Web资源的详细情况，Web日志数据也因此成为能够直接反映用户行为的关键信息。因此研究日志分析方法也成为分析处置Web安全事件的重要课题。1web纪事1.1下载其他配套文件纯文字内容的网站是Web应用发展的原始阶段，在这一阶段网页的组成相对比较简单。但随着Web技术的不断发展，目前的Web网站以及基于Web技术的业务系统已经是内容非常丰富的多媒体形式。每一个网页除了纯文字的主体文件外，还附有其他多种配套资源，典型的如用于定义网页字体格式的样式表、在客户端执行的脚本程序、在主体文件内的其他网页文件，以及图像、音频、视频等多媒体资源。当用户使用通用的网页浏览软件访问网页的主体文件时，浏览器会根据浏览器软件设置的策略确定是否同时下载主体文件的其他附属文件。对于普通用户而言，使用的是浏览器的默认设置，即下载所有附属文件。因此，当用户访问某一个网页，虽然表面上仅访问了一个网页，但实际上浏览器软件会同时下载与该网页相关的所有文件，Web系统软件则会根据浏览器访问Web应用系统的实际情况记录多条记录。1.2文献中的日本文献记录标准的Web日志格式是纯文本格式，每一行为一条记录，对应于浏览器对Web服务器上资源的一次访问。典型的日志格式包括客户端地址、访问日期、访问时间、访问方法、访问目标、使用协议、结果状态、浏览器类型等基本信息，但不同的Web系统软件的日志组成也有所不同。以Apache为例，表一列出了其默认的日志组成字段及字段的意义。当从IP地址为的客户端使用Mozilla浏览器访问地址/index.html?title=wiki时，典型的Apache日志如图1所示。图1中的日志记录表明了这是一次由于东八区时间2010年4月6日13时59分25称发起的成功访问，访问的目标为/index.php?title=wiki，访问的方法为GET方式，使用的协议为HTTP协议1.1版本，访问目标的大小的47b，客户端使用的浏览器为Mozilla5.0。另外，还指出了客户端是通过/index.php页面转到本页面。2系统入侵及控制阶段Web安全事件可分为两个阶段，第一阶段为入侵实施阶段，即攻击者对目标Web系统实施入侵的过程，第二个阶段为攻击者已成功入侵并控制Web系统之后的阶段。两个阶段中攻击者的行为特征有较大差异，在开展日志分析时所关注的内容也有所不同，因此对于Web日志的分析需要从研究攻击过程特征和结果特征两个方面进行。2.1攻击行为特征在入侵实施阶段，攻击者需要对目标Web系统进行大量的经定制的访问，这些访问与用户的正常访问有较大的差别，这些差别主要体现在访问目标的离散性和规律性、访问参数是否具有一定特征、是否有上一级引用站点、访问结果是否成功等几个方面。正常访问时访问目标的分布会在一定的时间范围内遵循较为固定的统计规律，除首次访问外的其他访问均存在引用站点，访问的结果状态多数也都是成功的。各类攻击行为在这几个方面则具有不同的行为特征。以Web系统后台管理路径扫描为例，Web系统后台管理路径扫描是针对Web系统攻击的重要方式，攻击者通过猜测获取应用系统的后台管理路径，当确定了系统的后台管理路径后，则可进行认证绕过或口令猜解等进一步攻击，以获取后台管理权限。当攻击者实施后台管理路径扫描时，其行为特征与正常访问之间的差异主要体现在3个方面，即访问目标离散、无引用站点和访问结果绝大多数为失败等。根据这些特点可以将这类攻击尝试从日志中提取出来，确定攻击的时间、来源及最终是否成功等信息。其他的攻击尝试行为，如口令猜解、漏洞扫描也同样存在与正常访问不同的行为特征，具体的比较如表2所示。2.2结果表现特征。当攻击成功并获得系统权限后，攻击者通常会创建Web方式的后门，以便继续保留相应的权限。以外，攻击者为了炫耀成绩，也会进行一些破坏性的操作，如新建篡改页面、在已有页面中增加图片链接或修改已有页面的文字内容等。对于Web后门，攻击者通常会定期访问以确定后门是否仍存在，因此其访问的时间和来源有一定的规律性，但数量上通常会较少；Web后门是专用性资源，因此通常为独立的脚本文件，无内嵌的其他文件，也往往没有引用站点。其他几类篡改页面的访问特征如表3所示。3特征获取及分析通过上面的分析可以了解到Web类事件在日志中的特征体现，通过对相应特征的提取即可初步获取可疑的用户访问记录并支撑进一步的分析工作。对于后台管理路径扫描、口令猜解、漏洞扫描等类别的攻击尝试，可采用以下方法从日志中提取相应的访问日志信息。1ip地址访问对于本类攻击尝试，提取信息要点如下：(1）同一个客户端IP地址；（2）连续时间段；（3）不同访问目标；（4）结果状态为失败（404）的访问。除后台管理路径扫描外，其他类似的文件扫描均可参考本方法进行信息提取和分析判定。2结果状态对于本类攻击尝试，提取信息的要点如下：(1）同一个客户端IP地址；（2）连续时间段；（3）相同的访问目标；（4）结果状态为成功（200）的访