基于特征匹配的WEB应用防火墙的研究与实现

【摘要】互联网的快速发展给我们的生活带来很大的便利,Web的快速发展尤其是Web2.0时代的到来更是能够很好的说明这个问题。与此对应的是,Web的快速发展是依靠硬件、应用软件等互联网基础设施以及相关协议的不断发展。硬件(路由器、交换机、服务器和存储设备等)越来越庞大,应用软件(门户网站、Web应用系统以及其使用的脚本语言)越来越复杂,相关协议(HTTP、POP3、ARP等)越来越显得安全性的不足,在Web快速发展的同时,Web安全问题接踵而来。在早期互联网中,黑客的主要攻击目标是网络、操作系统以及系统软件和应用软件。当Web安全威胁越来越严重时,传统的网络防护设备、软件等比如入侵检测系统(IDS)、入侵防御系统(IPS)、传统防火墙等只能针对数据流的安全进行识别和防御,并不具备针对应用层Web攻击的防护能力。在互联网的基础设施比较完备的今天,互联网的核心已经转变。互联网公司追求的是使用用户数,用户产生业务,业务产生数据,那么互联网公司最核心的价值就是用户的数据。互联网安全的核心问题,已经转变为数据安全的问题。而针对Web的攻击能够更直接和容易的获取攻击者想要获取的数据。在众多的Web攻击方式中,SQL注入攻击和XSS跨站攻击能够更直接获取到用户数据,从这两种攻击方式出现一直到今天,都是一直高居OWASPTOP10,而未来攻击的发展趋势,XSS跨站脚本攻击会一直名列前茅,SQL注入攻击也不会随着防御意识的提高而消失。Web应用防火墙(也称：网站应用级入侵防御系统。英文：WebApplicationFirewall,简称：WAF)的出现很好的解决了这个问题,但是仍有很多Web应用防火墙无法高效率识别出黑客构造的变幻莫测的攻击数据。目前针对Web的攻击有很多种,但最主流的攻击方式包括SQL注入和XSS跨站脚本。Web攻击的防御方式是通过正则匹配表达式来匹配并拦截可疑数据。本文的研究工作主要包括以下几个方面：(1)根据黑客在进行SQL注入攻击时所提交的不同数据格式,找出对应的正则匹配算法,最大可能做到广谱匹配性,且尽可能减少误判的可能性；(2)根据黑客在进行XSS跨站脚本攻击时所提交的不同数据格式,找出对应的正则匹配算法,最大可能做到广谱匹配性,且尽可能减少误判的可能性；(3)获取客户端与Web服务器交互的数据,根据已有的正则匹配算法进行攻击数据的判断和拦截。(4)以远程任意命令执行漏洞为例,来分析近年来出现的众多Web应用框架漏洞,最大可能做到广谱匹配性,且尽可能减少误判的可能性；最后通过Python语言,结合搜集整理的正则匹配表达式,通过抓取Web服务端的HTTP报文,实现对多种数据提交方式比如GET、POST和COOKIE等进行过滤,达到阻断攻击的目的,实现高效的Web应用防火墙功能。
【作者】方爽；
【导师】李龙澍；
【作者基本信息】安徽大学，软件工程，2014，硕士
【关键词】Web攻击；Web应用防火墙；SQL注入；XSS跨站脚本；

【参考文献】
[1]殷勤.从工作记忆角度看汉英同声传译质量[D].北京外国语大学,外国语言学及应用语言学,2014,硕士.
[2]郝兴筠.汉字和汉语的关系问题研究述评[D].东北师范大学,汉语言文字学,2012,硕士.
[3]叶红.土地财政对城市化的影响分析[D].复旦大学,财政学,2012,硕士.
[4]张虎.民办高职院校招生管理系统分析与设计[D].云南大学,软件工程,2012,硕士.
[5]高文宇,张力.数据挖掘技术在人因分析中的应用[J].人类工效学,2001,04:45-48.
[6]沈岷.国航成都飞机维修基地绩效管理体系分析与设计[D].电子科技大学,工商管理（专业学位）,2013,硕士.
[7]吴云.创新型城市区域竞争力评价研究[D].合肥工业大学,企业管理,2013,硕士.
[8]于光,王菁.网络环境下的高校图书馆信息咨询服务[J].国家图书馆学刊,2003,04:31-34.
[9]孙林涛.摄像测量中的特征提取和匹配技术研究[D].国防科学技术大学,航空宇航科学与技术,2013,硕士.
[10]李欢.掘进机伸缩保护筒加工工艺的研究[D].大连理工大学,机械工程（专业学位）,2012,硕士.
[11]薛广芝.中国大学生英语交际中委婉表达方式语用失误的调查研究[D].南京师范大学,英语语言文学,2012,硕士.
[12]王高岩.政府善治视域下的电视问政[D].华中科技大学,新闻与传播,2013,硕士.
[13]程星亮,程丽彬,豆振领,张冠茂.基于六角形晶格的光子晶体零折射率特性及其光学应用研究[J].光子学报,2012,12:1474-1478.
[14]陶冶.同德社区“空巢老人互助小组”建设项目总结[D].长春工业大学,社会工作,2013,硕士.
[15]闫鑫阳.现代化GNSS信号复用技术研究[D].哈尔滨工业大学,电子与通信工程,2014,硕士.
[16]曾凡景.藤蔓类月季杂交育种初步研究[D].北京林业大学,园林植物与观赏园艺,2013,硕士.
[17]李河谕.隶书演进的设计学研究[D].湖南师范大学,设计艺术学,2014,硕士.
[18]张誉.大型丙烯绘画创作研究[D].沈阳师范大学,美术,2014,硕士.
[19]吴金水.氢氧化铝的晶种分级与种分工艺的改革[J].轻金属.1992(10)
[20]江兴泉.中国银行沈阳北站支行对公客户服务营销研究[D].北方工业大学,工商管理,2014,硕士.
[21]李英.配送中心物流实时追踪的研究与应用[D].北京交通大学,交通运输工程（专业学位）,2013,硕士.
[22]刘辉琴.高校科研团队内部知识转移绩效影响因素的实证研究[D].浙江工业大学,2009.
[23]安雅丽.框架与记忆中的红卫兵运动：南京市案例[D].南京大学,国际关系,2013,硕士.
[24]张稳洁.基于智能手机平台的铁路旅客移动服务信息系统的研究[D].首都师范大学,计算机应用技术,2013,硕士.
[25]刘霞.不锈钢药芯焊丝成形工艺与仿真研究[D].北方工业大学,机械工程,2014,硕士.
[26]王俊.腹腔镜与开放肾部分切除术的对比研究[D].山东大学,临床医学（专业学位）,2013,硕士.
[27]呼秀智.氧氟沙星缓释注射液的研制及其在猪体内的药物动力学研究[D].中国农业大学,基础兽医学,2004,硕士.
[28]邰本玮.武侠小说对武术文化传播的影响研究[D].南京体育学院,体育教育训练学,2012,硕士.
[29]付云贺.厚朴酚抗炎作用及机制研究[D].吉林大学,临床兽医学,2013,硕士.
[30]成卫青.多元线性回归的一种神经计算实现及其优点[J].南京邮电学院学报,2002,04:33-38.
[31]吴延年.基于循环平稳的协作频谱感知算法研究[D].太原科技大学,电路与系统,2013,硕士.
[32]曹可力,李平双,何希杰.关于《潜水电泵试验方法》标准中性能判定的讨论[J].农业机械学报.2006(05)
[33]谢华.一体化关联规则挖掘体系[D].南京航空航天大学,2005.
[34]文启.基层公务员职业倦怠影响因素及干预研究[D].重庆大学,行政管理,2014,硕士.
[35]杨蕊.鲍肌肉萎缩症病毒（AbSV）与类疱疹病毒（AbHV）的分子流行病学调查及其相关研究[D].上海海洋大学,临床兽医,2013,硕士.
[36]闫德祺.当归贝母苦参丸联合顺铂的抗肿瘤疗效及促瘤细胞凋亡的分子机制研究[D].甘肃中医学院,中西医结合基础,2014,硕士.
[37]李琳.提高城市配电网供电可靠性技术的研究[D].北京交通大学,2014.
[38]唐明.基于FPGA与PC机串行通信UART模块设计[D].华中师范大学,电子与通信工程,2013,硕士.
[39]陶群.从听说训练到口语交际[D].华东师范大学,教育,2003,硕士.
[40]周丹.准互穿聚合物网络/纳米粒子复合介质的制备及其用于DNA测序性能的研究[D].中国科学技术大学,2009.
[41]吴韬.铜镍合金纳米催化剂在甲烷二氧化碳重整方面的应用[D].上海交通大学,材料科学与工程,2014,硕士.
[42]孙雪菁.中国房地产信贷风险财务预警研究[D].山西财经大学,技术经济及管理,2013,硕士.
[43]时镜镜,马文石,林晓丹.KH-570功能化石墨烯的制备与表征[J].无机化学学报,2012,01:131-136.
[44]郑新星.我国未成年人刑事审判社会调查制度研究[D].华侨大学,法律,2014,硕士.
[45]贾佳.姜黄素对结肠癌细胞系及肿瘤干细胞增值的影响[D].遵义医学院,消化内科,2013,硕士.
[46]曹乾.血清胰岛素样生长因子浓度与稳定性心绞痛及急性心肌梗死关系研究[D].中国医科大学,内科学,2004,硕士.
[47]李伯祥,金小潇,沈圆圆,叶舒欣.大学生自主创业支持系统的协作式构建研究[J].北方经济,2013,03:58-59.
[48]李颖.汉语中的性别关注[D].曲阜师范大学,汉语言文字学,2004,硕士.
[49]吕士广.保证期间法律问题研究[D].广东财经大学,法律（专业学位）,2014,硕士.
[50]隋艳.《醒世姻缘传》四字成语研究[D].青岛大学,汉语言文字学,2013,硕士.