基于WAF入侵检测和变异WebShell检测算法的Web安全研究

一.基本信息

标题：基于WAF入侵检测和变异WebShell检测算法的Web安全研究
作者：马艳发
时间：2016.3
来源：天津工业大学

二.研究背景

​ 伴随着 Web 技术的提高和所承载信息的爆炸性增长，Web 从最初的简单静态内容 的展示演变到提供丰富动态内容的交互式应用，从单一服务器拓展到大规模集群。由于 Web 系统的漏洞所导致的内网信息和机密文件的泄露时有发生，大量自动化攻击工具的 出现使得针对 Web 系统的攻击门槛日益降低[1]。

三.研究内容

(1) 对 ModSecurity 的三种入侵检测模型（消极安全模型、积极安全模型、已知漏 洞攻击模型）进行了分析与比较。

(2) 研究 ModSecurity 的工作机制，分析 SecRule 的规则。

(3) 研究 Web 应用防火墙自学习算法，将 ModSecurity 的消极安全模式和 TL 模式 相结合，提出应用于 ModSecurity 的自学习算法。 (4) 调研 PHP 的 WebShell 特征，先收集关于 PHP 的各种 WebShell，分析变异 WebShell 特征。

(5) 研究信息熵算法，依据 PHP 变异 WebShell 的特征，将信息熵算法应用到 PHP 变异 WebShell 检测中去。

(6) 研究 WebShell 检测系统，提出基于 C/S 架构的 WebDir 监控系统，在客户端运 行一个服务，进行初步检测，WebDir 服务端负责接收传过来的文件，进行仔细检测并 给出权值判断。

四.研究心得

该文献中提到的重合指数(Indexof Coincidence对于WAF模块中的Webshell检测有重要意义。本文通过机器学习的方法用特定算法来判断WebShell以及经过变形混淆过的Webshell。神仙就是神仙，研究得果然深，我需要多多学习。

五.参考文献

基于WAF入侵检测和变异 WebShell检测算法的Web安全研究 马艳发