面向SQL注入和XSS攻擊的Web入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)*

李 釗 張先榮 郭 帆

(1安徽醫(yī)科大學(xué)圖書(shū)館信息技術(shù)部 安徽合肥 340100；2廣州大學(xué)網(wǎng)絡(luò)空間先進(jìn)技術(shù)研究院 廣東廣州 510000；3江西師范大學(xué)計(jì)算機(jī)信息工程學(xué)院 江西南昌 330022)

隨著數(shù)字經(jīng)濟(jì)和互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，Web服務(wù)呈現(xiàn)爆發(fā)式的增長(zhǎng)，這也導(dǎo)致了Web網(wǎng)站的漏洞越來(lái)越多[1]。據(jù)Gartern的統(tǒng)計(jì)，在絕大多數(shù)的網(wǎng)絡(luò)攻擊中，發(fā)生在Web層面的攻擊高達(dá)75%左右[2]，因此面向Web程序的入侵檢測(cè)就顯得極為重要了。

根據(jù)OWASP Top10的Web程序的漏洞風(fēng)險(xiǎn)評(píng)估結(jié)果，從OWASP Top 2007[3]、OWASP Top 2010[4]、OWASP Top 2013[5]、OWASP Top 2017[6]來(lái)看XSS攻擊和SQL注入幾乎一直占據(jù)著Web漏洞攻擊的重要排名位置，其攻擊排名如表1所示。

表1 SQL注入和XSS攻擊OWASP Top10 2007-2017排名

從表1可以觀察到XSS攻擊除了在OWASP Top 10 2017外 ，其他OWASP Top10時(shí)間段內(nèi)幾乎都是排在前三名內(nèi)。SQL注入幾乎一直占據(jù)著第一排名，這意味著注入攻擊和XSS攻擊在危害Web應(yīng)用程序系統(tǒng)一直占據(jù)著重要的位置，因此對(duì)于SQL注入和XSS攻擊的入侵檢測(cè)就顯得十分必要了。

1 Web入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

1.1 Web入侵檢測(cè)系統(tǒng)的總體結(jié)構(gòu)設(shè)計(jì)

入侵檢測(cè)系統(tǒng)采用模塊化設(shè)計(jì)，設(shè)計(jì)方法如圖1所示，主要包括以下3個(gè)模塊。

(1)Web日志采集模塊：這個(gè)模塊的功能是將Web日志采集到數(shù)據(jù)庫(kù)中，并對(duì)日志的數(shù)據(jù)進(jìn)行預(yù)處理和清洗。

(2)數(shù)據(jù)管理模塊：數(shù)據(jù)管理模塊主要分為兩部分，第一部分功能主要是將采集至數(shù)據(jù)庫(kù)的Web日志進(jìn)行查詢(xún)、優(yōu)化和管理，另一部分主要負(fù)責(zé)SQL注入和XSS攻擊向量知識(shí)庫(kù)的構(gòu)建、修改和完善。

(3)入侵檢測(cè)模塊：Web入侵檢測(cè)系統(tǒng)的核心模塊，負(fù)責(zé)將采集的Web日志數(shù)據(jù)與攻擊向量知識(shí)庫(kù)模式匹配。一旦匹配成功則表示檢測(cè)到惡意用戶(hù)的入侵，并將檢測(cè)的結(jié)果傳輸至MVC架構(gòu)中的視圖層view界面中。

圖1 Web入侵檢測(cè)系統(tǒng)設(shè)計(jì)

1.2 Web日志采集模塊的設(shè)計(jì)與實(shí)現(xiàn)

Web日志信息存儲(chǔ)著惡意用戶(hù)的攻擊數(shù)據(jù)，因此設(shè)計(jì)出有效的日志采集方法是設(shè)計(jì)出有效的Web入侵檢測(cè)系統(tǒng)重要的一步。將使用Apacheweb 服務(wù)器日志作為采集的Web日志，由于它是屬于文本型日志數(shù)據(jù)，因此可以通過(guò)SSIS(SQL server intergration services)數(shù)據(jù)集成和數(shù)據(jù)轉(zhuǎn)換解決方案平臺(tái)來(lái)采集Web日志數(shù)據(jù)[7]。處理的方法是提取和轉(zhuǎn)換來(lái)自多種源(如XML數(shù)據(jù)文件、平面文件和關(guān)系數(shù)據(jù)源)的數(shù)據(jù)，并把這些的數(shù)據(jù)加載到一個(gè)或多個(gè)目標(biāo)，將在平臺(tái)intergration services 包中完成具體的ETL(extract-transform-load)數(shù)據(jù)處理。

Web日志的主要采集過(guò)程如下所示。

(1)創(chuàng)建integration services項(xiàng)目。首先打開(kāi)intelligence development studio開(kāi)發(fā)平臺(tái)，建立項(xiàng)目，選擇intergration services項(xiàng)目。默認(rèn)情況下，將創(chuàng)建一個(gè)名為package.dtsx空包，并將該包添加到項(xiàng)目的SSIS包下。

(2)配置平面文件連接管理器和OLEDB連接管理器。在該任務(wù)中，將在剛創(chuàng)建的包中添加一個(gè)平面文件連接管理器和用于連接到數(shù)據(jù)目標(biāo)的DLEDB連接管理器，通過(guò)配置平面文件連接管理器，包可從平面文件提取數(shù)據(jù)，通過(guò)OLEDB連接管理器包可以在任何OLEDB兼容的數(shù)據(jù)源中提取數(shù)據(jù)或加載數(shù)據(jù)。①向SSIS包添加平面文件連接管理器：在“解決方案資源管理器”窗格中，建立“連接管理器”；在“添加SSIS連接管理器”對(duì)話框中，選擇“FLATFILE”和“添加”；最后在對(duì)話框“連接管理器”字段中，輸入“實(shí)例平面文件源數(shù)據(jù)”。②重命名平面文件連接管理器中的列：在“平面文件連接管理器編輯器”對(duì)話框的屬性窗格中，進(jìn)行如下更改：Column0名稱(chēng)屬性改為id，Column1改為line1，Colu-mn2改為line2，Column3改為date，Column4改為dataf-ormate，Column5改為method，Column6改為website，Column7改為protocol，Column8改為returnvalue，Colum-n9改為byte。③配置OLEDB連接管理器：在“解決方案資源管理器”窗格中，建立連接管理器；在“添加SSIS連接管理器”對(duì)話框中，選擇“OLEDB”并添加；登錄到服務(wù)器組中，使用Windows身份驗(yàn)證；測(cè)試連接，驗(yàn)證指定連接設(shè)置是否有效。

(3)添加和創(chuàng)建Apache Web 日志平面數(shù)據(jù)源。在此任務(wù)中，向包中添加一個(gè)平面文件源并對(duì)其進(jìn)行配置。打開(kāi)“數(shù)據(jù)流”設(shè)計(jì)器，選擇“數(shù)據(jù)流”選項(xiàng)卡；在“SSIS工具箱”中，將“平面文件源”配置至數(shù)據(jù)流選項(xiàng)卡的設(shè)計(jì)圖面上；打開(kāi)“平面文件源編輯器”對(duì)話框，選擇“列”并驗(yàn)證是否正確。

(4)創(chuàng)建DLEDB數(shù)據(jù)目標(biāo)源。①創(chuàng)建數(shù)據(jù)同步的數(shù)據(jù)流任務(wù)，數(shù)據(jù)流任務(wù)進(jìn)入數(shù)據(jù)流設(shè)計(jì)面板，選取OLEDB目標(biāo)至設(shè)計(jì)流面板中，在OLEDB目標(biāo)彈出目標(biāo)編輯器，然后編輯目標(biāo)數(shù)據(jù)表。②編輯列的映射：將平面數(shù)據(jù)源的日志文件與目標(biāo)文件的數(shù)據(jù)進(jìn)行映射連接，文章規(guī)定日志數(shù)據(jù)與目標(biāo)數(shù)據(jù)的列一一映射對(duì)應(yīng)。

(5)將數(shù)據(jù)流任務(wù)添加到包。源數(shù)據(jù)和目標(biāo)數(shù)據(jù)創(chuàng)建了連接管理器之后，就可以將數(shù)據(jù)流任務(wù)添加到包中，數(shù)據(jù)流任務(wù)能夠?qū)⒍x在源和目標(biāo)之間移動(dòng)數(shù)據(jù)的數(shù)據(jù)流引擎，并提供在移動(dòng)數(shù)據(jù)時(shí)轉(zhuǎn)換、清除和修改數(shù)據(jù)的功能。前面已經(jīng)建立了平面日志數(shù)據(jù)源和目標(biāo)數(shù)據(jù)，現(xiàn)在只需要執(zhí)行Package 包，就能將Web日志文件數(shù)據(jù)傳輸至數(shù)據(jù)庫(kù)中。

由以上五個(gè)步驟：創(chuàng)建Integration Services項(xiàng)目、配置平面文件連接管理器和OLEDB連接管理器、添加和創(chuàng)建Apache Web 日志平面數(shù)據(jù)源、創(chuàng)建DLEDB數(shù)據(jù)目標(biāo)源、將數(shù)據(jù)流任務(wù)添加到包即可完成Web日志的預(yù)處理、采集和清洗，結(jié)果如圖2所示。

圖2 Web日志采集至數(shù)據(jù)庫(kù)中

1.3攻擊向量知識(shí)庫(kù)的構(gòu)建

該模塊首先將采集和統(tǒng)計(jì)各種SQL注入和XSS攻擊方法，搭建后臺(tái)apache web服務(wù)器平臺(tái)，并將漏洞平臺(tái)DVWA[8]部署在服務(wù)器平臺(tái)上；然后將利用采集和統(tǒng)計(jì)的各種SQL注入和XSS攻擊方法模擬惡意用戶(hù)來(lái)攻擊web服務(wù)器；最后在apache web日志上人工提取出攻擊向量，以此來(lái)構(gòu)建攻擊向量知識(shí)庫(kù)。構(gòu)建方法如圖3所示。

圖3 攻擊向量知識(shí)庫(kù)構(gòu)建

將分析常見(jiàn)的SQL注入攻擊，在Web日志中提取攻擊向量，并將攻擊向量分為三類(lèi)：攻擊向量Ⅰ(attack vectors I)——普通型字符串類(lèi)型，攻擊向量Ⅱ(attack vectors Ⅱ)——數(shù)值型字符串類(lèi)型，攻擊向量Ⅲ(attack vectors Ⅲ)——特殊字符和特殊性字符串類(lèi)型，其中將SQL注入攻擊向量命名為SQLIAV(SQL injection attack vectors)，XSS攻擊向量命名為XSSAV(XSS attack vectors)，最后構(gòu)建如表2和表3所示的SQL注入攻擊向量知識(shí)庫(kù)及XSS攻擊向量知識(shí)庫(kù)。

表2 SQL注入攻擊向量知識(shí)庫(kù)

表3 XSS攻擊向量知識(shí)庫(kù)

2字符串模式匹配模塊的設(shè)計(jì)與實(shí)現(xiàn)

2.1模式匹配模塊的設(shè)計(jì)原理

攻擊向量值與Web日志數(shù)據(jù)的字符串模式匹配模塊是入侵檢測(cè)系統(tǒng)的核心部分，它決定著入侵檢測(cè)系統(tǒng)的性能。該匹配模塊的實(shí)驗(yàn)是基于PHP的thinkPHP5框架[9]下實(shí)現(xiàn)的。首先從攻擊向量知識(shí)庫(kù)(數(shù)據(jù)庫(kù))中獲取攻擊向量值，然后從Web日志數(shù)據(jù)庫(kù)中獲取每條數(shù)據(jù)，最后將攻擊向量值與Web日志數(shù)據(jù)進(jìn)行字符串的模式匹配。實(shí)現(xiàn)流程包括以下部分：①?gòu)墓粝蛄恐R(shí)庫(kù)中，讀取一條攻擊向量值數(shù)據(jù)。②從Web日志中讀取日志的站點(diǎn)內(nèi)容，并與①中的攻擊向量值匹配，如果匹配失敗，則回到①繼續(xù)讀取攻擊向量值并與Web日志站點(diǎn)進(jìn)行字符串模式匹配。③若匹配成功，則將匹配結(jié)果傳輸至thinkPHP5框架的視圖層view界面中。④判斷攻擊向量值是否匹配完成，若匹配完成則讀取下一條web日志并判斷日志是否讀取完畢。模式匹配流程如圖4所示。

圖4 入侵檢測(cè)模式匹配流程

2.2字符串模式匹配算法的選取與優(yōu)化

入侵檢測(cè)系統(tǒng)的性能由多因素組成的，其中字符串模式匹配算法的效率是決定入侵檢測(cè)系統(tǒng)效率的重要因素之一，因此對(duì)于模式匹配算法的選取十分必要。Sunday算法相對(duì)于其他單模式匹配算法執(zhí)行效率相對(duì)較高，因此選取Sunday算法并對(duì)其改進(jìn)和優(yōu)化[10]。其優(yōu)化的核心思想是盡量減少算法的匹配次數(shù)，觀察到Sunday算法每次都要先匹配才能按照shift跳轉(zhuǎn)函數(shù)跳轉(zhuǎn)。為了減少匹配次數(shù)可以先讓字符跳轉(zhuǎn)然后再匹配，算法在匹配前先檢測(cè)模式串P的第一個(gè)字符所對(duì)應(yīng)的文本串T的位置上的字符，和模式串P的最后一個(gè)字符所對(duì)應(yīng)的文本串T的位置上的字符是否在模式串P中出現(xiàn)過(guò)，若沒(méi)有同時(shí)出現(xiàn)過(guò)則直接跳過(guò)模式串P長(zhǎng)度為m的位移長(zhǎng)度，從而減少了匹配次數(shù)，提高了算法的運(yùn)行效率。如果模式串P末位和首位所對(duì)應(yīng)的文本串T字符均出現(xiàn)在模式串P中，則將模式串P與文本串T從頭開(kāi)始匹配。若匹配失敗則按shift函數(shù)跳轉(zhuǎn)，匹配成功則匹配結(jié)束。

改進(jìn)的Sunday算法的最大特點(diǎn)就是在匹配之前多了一個(gè)if條件判斷，這是用來(lái)判斷模式串P末位位置和首位位置在文本串T中所對(duì)應(yīng)位置上的字符是否在模式串中存在。如果這兩個(gè)字符存在，則將模式串P中的字符和文本串T的字符依次匹配，匹配成功，跳出循環(huán)；匹配失敗，則按shift函數(shù)跳轉(zhuǎn)，進(jìn)入下一輪循環(huán)。如果字符不在模式串P中，則按模式串P的長(zhǎng)度m進(jìn)行跳轉(zhuǎn)，再進(jìn)入下一輪循環(huán)。

改進(jìn)Sunday算法的偽代碼如下所示：

文章將通過(guò)舉例來(lái)說(shuō)明改算法改進(jìn)的有效性，其中文本串T：GZVEWHABC ，模式匹配串P：ABC，如圖5所示。

圖5 模式匹配串P與文本串T

首先，查看文本串T中模式串P中首字符和末尾字符所對(duì)應(yīng)的文本串的字符是是否出現(xiàn)在模式串P中，即T[0]和T[2]是否出現(xiàn)在模式串P中，沒(méi)有則直接跳轉(zhuǎn)3位，如圖6所示。

圖6 不匹配直接跳轉(zhuǎn)

此時(shí)，發(fā)現(xiàn)文本串T[0]與模式串P[0]的字符不匹配，那么跳轉(zhuǎn)，如圖7所示，最后匹配成功。

圖7 匹配成功

筆者發(fā)現(xiàn)改進(jìn)的Sunday算法只需匹配4次就匹配成功，而使用Sunday算法要5次才能匹配成功，這在一點(diǎn)程度上提高了算法的效率。然而改進(jìn)的Sunday算法在兩種情況下一般不會(huì)導(dǎo)致效率增加：第一種是模式串P與文本串T在第一次匹配的時(shí)候就成功匹配；第二種是文本串找那個(gè)有很多重復(fù)字符，而且模式串中有字符剛好與文本串重復(fù)的字符相匹配，這導(dǎo)致改進(jìn)算法的效率直接變成了BF(brute force)算法，BF算法的效率在單模式算法中較低，這會(huì)導(dǎo)致入侵檢測(cè)系統(tǒng)的效率大大降低。

3實(shí)驗(yàn)結(jié)果與分析

3.1實(shí)驗(yàn)環(huán)境配置

文中的實(shí)驗(yàn)是由三部分組成的。第一部分為模擬攻擊機(jī)器，這部分負(fù)責(zé)惡意用戶(hù)攻擊Web服務(wù)器；第二部分為Web服務(wù)器，這部分服務(wù)器是由PHPstudy v8.1[11]集成環(huán)境搭建而成的；第三部分為入侵檢測(cè)系統(tǒng)，這部分的功能對(duì)外部的惡意用戶(hù)的入侵進(jìn)行檢測(cè)，一旦發(fā)現(xiàn)有入侵行為，可告警。實(shí)驗(yàn)環(huán)境配置如圖8所示。

圖8 實(shí)驗(yàn)環(huán)境配置

3.2實(shí)驗(yàn)設(shè)計(jì)

文章將DVAW漏洞網(wǎng)站部署至Web服務(wù)器，并對(duì)后臺(tái)服務(wù)器網(wǎng)絡(luò)進(jìn)行爬蟲(chóng)和滲透測(cè)試得到實(shí)驗(yàn)?zāi)M用戶(hù)數(shù)據(jù)集，其中使用Web服務(wù)器漏洞掃描工具Nikto[12]，滲透測(cè)試工具XSpear[13]和XSSer[14]來(lái)模擬惡意用戶(hù)的XSS攻擊。使用自動(dòng)化注入工具sqlmap[15]、Havij注入工具[16]、BSQL Hacker[17]來(lái)模擬惡意用戶(hù)的SQL注入攻擊，這樣就能得到惡意用戶(hù)的SQL注入和XSS攻擊的惡意訪問(wèn)數(shù)據(jù)。使用爬蟲(chóng)工具來(lái)模擬正常用戶(hù)的訪問(wèn)來(lái)獲得正常用戶(hù)的訪問(wèn)數(shù)據(jù)。模擬數(shù)據(jù)集如表4所示。

表4 模擬惡意用戶(hù)的數(shù)據(jù)集(單位：條數(shù))

為了保證得到的實(shí)驗(yàn)數(shù)據(jù)盡量完整和符合真實(shí)的網(wǎng)絡(luò)環(huán)境，筆者使用了多個(gè)工具來(lái)模擬惡意用戶(hù)，最后得到的實(shí)驗(yàn)數(shù)據(jù)集如表5所示。

表5 實(shí)驗(yàn)數(shù)據(jù)集表(單位：條數(shù))

3.3入侵檢測(cè)系統(tǒng)有效性的實(shí)驗(yàn)結(jié)果與分析

文章將在不同的漏洞網(wǎng)站平臺(tái)上分析論文中的入侵檢測(cè)系統(tǒng)模型的檢測(cè)率DR、誤報(bào)率FPR[18]和效率性能。并和Snort入侵檢測(cè)系統(tǒng)進(jìn)行實(shí)驗(yàn)的分析與比較，表明出文章入侵檢測(cè)系統(tǒng)具有更好的檢測(cè)效果和性能。

該實(shí)驗(yàn)將在不同漏洞網(wǎng)站下分別將SQL注入和XSS攻擊類(lèi)型的實(shí)驗(yàn)樣本與6 000條正常數(shù)據(jù)混合起來(lái)作為檢測(cè)模塊的實(shí)驗(yàn)數(shù)據(jù)集。在檢測(cè)結(jié)果分析之前，采用了上一節(jié)中的攻擊向量專(zhuān)家知識(shí)庫(kù)。在DVWA、Webgoat[19]、Bodgeit[19]、WackoPicko[20]不同的漏洞網(wǎng)站的入侵檢測(cè)的實(shí)驗(yàn)結(jié)果如表6和表7所示。

表6 不同網(wǎng)站漏洞平臺(tái)的入侵檢測(cè)的DR(%)

表7 不同網(wǎng)站漏洞平臺(tái)的入侵檢測(cè)的FPR(%)

同樣的，將Snort入侵檢測(cè)系統(tǒng)[22]分別部署到不同的DVWA、Webgoat、Bodgeit、WackoPicko漏洞網(wǎng)站平臺(tái)的Web服務(wù)器上，得到SQL注入攻擊的DR/FPR分別為81.79%/3.52%、82.42%/4.36%、85.26%/3.85%、78.43%/2.42%，XSS攻擊的DR/FPR分別為83.68%/2.12%、86.37%/3.91%、87.72%/2.63%、83.52%/4.82%。

由以上的實(shí)驗(yàn)結(jié)果，筆者可以得到在不同漏洞網(wǎng)站平臺(tái)DVWA、Webgoat、Bodgeit、WackoPicko的平均入侵檢測(cè)率ADR和平均誤報(bào)率AFPR，以及Snort的ADR和AFPR，比較結(jié)果如表8所示。

表8 該實(shí)驗(yàn)入侵檢測(cè)系統(tǒng)與Snort的ADR和AFP對(duì)比

通過(guò)表8可知，對(duì)于每一種攻擊類(lèi)型，文章設(shè)計(jì)的入侵檢測(cè)系統(tǒng)的ADR要高于Snort入侵檢測(cè)系統(tǒng)，同時(shí)還降低了AFPR。這一結(jié)果說(shuō)明構(gòu)建的攻擊向量知識(shí)庫(kù)是比較完整和準(zhǔn)確的。

3.4入侵檢測(cè)系統(tǒng)效率的實(shí)驗(yàn)結(jié)果與分析

入侵檢測(cè)系統(tǒng)的可靠性的指標(biāo)主要為入侵檢測(cè)的效率，而入侵檢測(cè)的效率主要是由模式匹配的算法時(shí)間性能決定的。

為了統(tǒng)計(jì)的方便性，首先將該進(jìn)的Sunday算法、Sunday算法、BM算法、KMP算法分別命名為Algorithm1、Algorithm2、Algorithm3、Algorithm4。

實(shí)驗(yàn)采用了五組不同數(shù)量的異常攻擊數(shù)據(jù)，然后分別采用以上4種不同算法的入侵檢測(cè)系統(tǒng)來(lái)進(jìn)行模擬測(cè)試，最后比較檢測(cè)系統(tǒng)的時(shí)間性能情況。五組不同數(shù)量的測(cè)試數(shù)據(jù)分別是8600、6500、4300、2600、1200條，采用以上4種算法的入侵檢測(cè)系統(tǒng)運(yùn)行的時(shí)間如表9所示。

表9 4種不同模式匹配算法在入侵檢測(cè)系統(tǒng)時(shí)間性能 (單位：秒)

系統(tǒng)采用4種不同算法在異常攻擊數(shù)據(jù)下所用時(shí)間可視化對(duì)比如圖所示。從圖9可以得到，一是當(dāng)異常攻擊數(shù)據(jù)增加時(shí)，每種算法的檢測(cè)所需的時(shí)間都有一定程度的增加；二是消耗時(shí)間性能最多的是Algorithm4，時(shí)間最小的是Algorithm1，即文章采用的改進(jìn)的Sunday算法。

圖9 五組異常數(shù)據(jù)在不同算法的下入侵檢測(cè)系統(tǒng)的時(shí)間性能

3.5原型入侵檢測(cè)系統(tǒng)系統(tǒng)Lq-Avm-Ids的實(shí)現(xiàn)

由以上兩節(jié)的實(shí)驗(yàn)結(jié)果可以得到：文章設(shè)計(jì)的入侵檢測(cè)系統(tǒng)的檢測(cè)率DR較高，誤報(bào)率也較低，改進(jìn)的模式匹配算法Sunday也有較高的效率。因此在這個(gè)基礎(chǔ)上實(shí)現(xiàn)了原型入侵檢測(cè)系統(tǒng)的工具軟件。該原型入侵檢測(cè)系統(tǒng)工具主要包括一下功能：

Web日志的查詢(xún)功能模塊Log-query：該模塊可以基于用戶(hù)的訪問(wèn)日期來(lái)查詢(xún)Web的日志信息，通過(guò)日志的查詢(xún)功能模塊可以查看每天用戶(hù)訪問(wèn)的流量信息。

攻擊向量知識(shí)庫(kù)管理功能模塊Attackvector-manage：該模塊的攻擊向量知識(shí)庫(kù)關(guān)系到入侵檢測(cè)系統(tǒng)的準(zhǔn)確性，它越完整準(zhǔn)確檢測(cè)的DR就越高，通過(guò)這一模塊可以對(duì)向量知識(shí)庫(kù)修改和完善。

入侵檢測(cè)分析功能模塊Intrusion-detection：該模塊是系統(tǒng)的最核心模塊，該模塊的最主要功能就是檢測(cè)外部惡意用戶(hù)的入侵攻擊。它是通過(guò)Ajax異步通信實(shí)現(xiàn)的。具體實(shí)現(xiàn)如下：Ajax在后臺(tái)將攻擊向量知識(shí)庫(kù)與Web日志通過(guò)優(yōu)化的Sunday模式匹配算法進(jìn)行循環(huán)匹配，即通過(guò)thinphp5框架的控制層Controller,將模型層Model的攻擊向量知識(shí)庫(kù)與日志的每一行URL模式匹配，若匹配成功則將結(jié)果傳輸至thinkPHP5框架的視圖層view。這樣就可以在視圖界面檢測(cè)出攻擊的次數(shù)、攻擊的日期、攻擊的IP地址等。

4結(jié)論

文章以Web日志數(shù)據(jù)作為攻擊的特征，分析各種攻擊方法，并以此構(gòu)建攻擊向量知識(shí)庫(kù)，然后選取分析和優(yōu)化字符串匹配算法，最后在這基礎(chǔ)上建立一個(gè)高效的入侵檢測(cè)系統(tǒng)，但依然有不足之處可以改進(jìn)：①文章的采集模塊使用數(shù)據(jù)庫(kù)，當(dāng)Web日志是海量數(shù)據(jù)時(shí)，數(shù)據(jù)庫(kù)性能難以保證；②文章設(shè)計(jì)的入侵檢測(cè)系統(tǒng)是屬于誤用檢測(cè)系統(tǒng)，它比異常檢測(cè)的檢測(cè)率相對(duì)而言偏低，后期可以考慮使用SVM支持向量機(jī)訓(xùn)練攻擊向量來(lái)設(shè)計(jì)出一個(gè)異常檢測(cè)系統(tǒng)。