Ajax架构下Web蠕虫检测技术研究.docVIP

Ajax架构下Web蠕虫检测技术研究 　　摘 要：伴随着Ajax越来越广泛的应用，其安全问题正逐渐成为开发者关注的焦点。Ajax架构下的安全威胁比传统Web的安全威胁危害更大，也更加难以防范。针对Ajax架构下的Web蠕虫，分析了其特性及检测原理，并依据相应的算法思想阐明了蠕虫检测系统的工作流程问题。 　　关键词：Ajax架构；蠕虫；检测 　　中图分类号：TP309.5 文献标识码：A 文章编号2013）003014703 　　0 引言 　　随着网络技术的飞速发展，传统的Web应用由于在实时性与互动性方面存在缺陷，已经无法满足现实需要，Ajax技术应运而生。Ajax采用异步传输与请求机制，能够构建更为动态、响应更为灵敏的Web应用。作为一种独特的架构，Ajax将业务处理均衡地分布在客户端与服务器端之间，不需要安装任何本地应用，便能提供如桌面应用程序般的用户体验。Ajax架构的优点显而易见，它在减轻服务器负担的同时也降低了网络的通信负荷。 　　然而，伴随着Ajax越来越广泛的应用，其安全问题也逐渐成为开发者关注的焦点。Ajax技术本身并没有增加Web应用的漏洞，只因其技术组成与工作原理的特殊性，以及部分开发人员在设计与实现方案时一味追求功能实现，缺乏对安全方面因素的考虑，使得Web攻击有空可钻，其架构下的安全威胁也因此比传统的Web应用危害更大，更难以防范。Ajax架构下的Web攻击方式各不相同，攻击特点更是千差万别。本文将针对Ajax架构下Web蠕虫（文中简称Ajax蠕虫）的具体特性，研究相应的检测原理，分析Ajax蠕虫所发出异常请求数据包的主要特点，提出具体的检测方案。 　　1 Ajax蠕虫的特性及其检测原理 　　Ajax蠕虫主要指Ajax架构下嵌在JavaScript代码中的蠕虫程序。传统的蠕虫程序往往利用操作系统或应用软件的漏洞，通过感染目标计算机进行传播。而Ajax蠕虫则主要利用Web漏洞对某项Web应用展开攻击，感染Web页面并进行传播。Ajax蠕虫的攻击及传播大都利用网站中所存在的XSS或CSRF漏洞进行攻击。攻击成功后，还可能盗取用户的cookie值，进而对目标Web页面实施SQL注入攻击，或利用分布式用户实施面向应用的DDoS攻击等。具体而言，Ajax蠕虫具有下列特性： 　　（1）隐蔽性。由于JavaScript代码的解释执行只需浏览器而无需安装任何插件，运行时也不会像其它插件那样发出各种信息提示。而且，HTML文档中的JavaScript代码可以以多种方式触发，还可以根据需要灵活、动态地生成代码，或直接修改相关函数。JavaScript的这些特性无疑使蠕虫恶意代码更加隐蔽，难以检测。 　　（2）跨平台性。JavaScript是解释型语言，由浏览器解释执行。因此，Ajax蠕虫可以运行在多种操作系统及各种芯片架构上，通过浏览器的JavaScript解释器，蠕虫程序便与其它JavaScript代码一同被解释成本地命令。只要计算机系统中拥有相应的JavaScript解释器，Ajax蠕虫就能运行。 　　（3）可行性。目前大多数浏览器均支持JavaScript，一旦浏览器的JavaScript功能开启，便会不加判断地解释执行服务器发送的每一条JavaScript指令，当然也包括其中包含的恶意代码。传统的Web交互每处理一次请求后都将以刷新整个页面的方式向用户返回服务器的响应结果，此时的蠕虫也将随之发起一轮攻击。而Ajax架构下的蠕虫通常利用XMLHttpRequest对象与服务器进行后台异步交互，并根据服务器的返回结果做出相应的判断，为下一轮攻击做好准备。一旦对浏览器端的JavaScript进行控制，Ajax蠕虫便可以实施任何能力范围内的攻击。 　　Ajax蠕虫的功能及特性决定了其发送的数据包必定与普通的数据包有所不同。第一，由于Ajax蠕虫需要借助JavaScript代码进行流程控制，并利用XMLHttpRequest与服务器进行异步通信，这就决定了Ajax蠕虫必须将自身“嵌入”在HTTP请求中进行发送及传播。于是，在其请求的数据包中必定包含大量的JavaScript代码。即使攻击者采用混淆、加密等方式对JavaScript代码进行一定的“变形”，数据包中也必定存在用JavaScript编写的解密代码，这便为检测可疑的数据包指明了思路；第二，Web蠕虫主要利用查看页面的用户，或通过向受害者好友、联系人等发送请求的方式进行传播。于是，当目标网站收到大量发送请求时，便是Ajax蠕虫频繁传播的阶段。而对于同一蠕虫，这些请求数据包所包含的JavaScript代码也大致相同。因此，对满足该特性的数据包进行检测时，只要总数值达到某个阈值，就说明很有可能存在正在传播的Ajax蠕虫。 　　根据上述分析可知，对Aj