Web程序与数据安全研究-信息安全专业论文.docx

I I 摘 要 随着互联网了技术的迅猛发展，Web 服务与应用已经成为引领网络发展的内在 推动力。以 Web 为基础的应用程序逐渐代替传统的以桌面为中心的计算模式成为当 今新型计算平台的事实标准。从 Web 邮件，购物，媒体，金融服务到社交网络，Web 应用渗入到每个人的日常生活，扮演着网络信息服务中最重要角色，同时它也成为 国计民生息息相关的重要的信息和数据集结地和存储库。如此重要的信息基础设施 一旦遭到安全威胁和攻击破坏，可能会带来的难以估计的财产损失甚至是生命代价。 由于 Web 技术的飞速演进，Web 相关应用的复杂度急剧增加，各种类型的安全漏洞 不断涌现；另一方面 Web 服务所承载的重要的数据和关键的程序吸引了越来越多的 以经济利益驱动的黑客针对安全漏洞发起更猛烈的攻击，其攻击手段也日趋隐蔽和 精巧。当前 Web 应用面临蓬勃发展的时代，同时也是安全威胁与日俱增的时代，深 入认识安全威胁的机理，开发有效的技术检测已知和未知新型攻击形式，建立准确 有效的威胁评估模型将对防范攻击，保护程序和数据安全，打击网络犯罪切断攻击 源头都具有非常重要的意义。 对 Web 时代出现的经由 Web 传播和针对 Web 应用实施攻击的各种新型安全威 胁进行讨论。既通过数据采集，实证分析的手段对新型威胁的根源和机制进行探索， 同时也对原型系统和检测框架进行研究和开发，提出了多种对 Web 程序攻击和数据 窃取行为行之有效的检测技术，最后通过仿真手段对经由 Web 传播的一种新型威胁 进行量化研究，并提出了相应的威胁量化评估模型。 针对当前广泛流行危害巨大的针对 Web 浏览器进行的网站挂马攻击，提出了一 种静态-动态混合模式的检测框架。对现有的静态系统漏报率高，准确率低，而基于 动态执行的检测技术导致性能损耗严重而无法在实际中部署问题，提出了一种采用 静态预处理分类与基于轻量级虚拟机的动态执行验证相结合的混合式检测框架，该 原型系统继承了传统的动态执行方式检测准确率高的优点，又兼具了纯静态检测技 术的较低性能损耗，吞吐量大的特点。该混合系统在现实的网络环境进行实际应用 II II 测试，对检测效率的测量发现检测精度接近 1，召回率达到 0.85，检测每个页面系统 平均服务时间为 1.28s。 针对 Web 服务器端的敏感数据遭遇黑客攻击而导致数据泄漏的频发的问题，提 出了 LeakProber 的敏感数据泄漏分析检测框架，该系统提供对企业级数据中心的敏 感数据传播路径动态跟踪记录，并能自动生成可视化的全系统敏感数据传播流图。 为安全人员直观的理解敏感数据的传播路径和泄漏途径并针对性的制定防范措施提 供了有力的分析工具。与其它现有的原型系统不同，LeakProber 即实现全系统视图 的实时动态数据流跟踪，又满足了企业级服务器不间断，零性能损耗容忍的苛刻需 求。当系统运行在数据记录跟踪状态时，仅仅产生 6%的性能损耗；当跟踪模块动态 卸载后，对原有系统产生的额外开销下降至 1.5%, 该技术的提出为服务器面向数据 流的检测机制提供了新的研究方向。 针对 Web 的攻击技术和形式不断的演化和发展，对新型威胁的攻击效力的准确 评估是制定防范策略并有效分配安全资源的重要依据。借助复杂网络和程序仿真技 术对僵尸网络拓扑结构对威胁效度的影响关系进行量化对比研究，并建立威胁评估 模型。通过大量的基于僵尸程序行为模型威胁效力的仿真实验与复杂网络模型推导 进行对比分析，找出了能准确描述影响僵尸网络威胁效能的指标。 关键词： 数据流分析，动态污点分析，动态插桩，弱点攻击，网页挂马攻击， 数据泄漏，僵尸网络，复杂网络 PAGE PAGE IV Abstract The world wide web has evolved to become the predominant sevice of the contemporary Internet. It is rapidly improving as a platform for deploying sophisticated interactive applications, propelling a shift from traditional desktop-centric computing to Web-based computing. Web applications have become one of the most important communication channels between various kinds of service providers and clients on the Internet. The use of web-based services (s