面向SOAP消息的Web服务注入攻击检测方法
基于SOAP的Web服务攻击及防范
基于SOAP的Web服务攻击及防范摘要:该文讨论了基于SOAP协议的Web服务攻击的方法,进行了攻击的实验,并针对实验结果提出了防止攻击的措施。
关键词:SOAP Web Service SQL欺骗攻击Web Services的广泛应用使当今互联网上应用程序之间的通信日益增加。
Web Service 已经成为各大公司进行电子商务革命的理想选择。
SOAP(简单对象访问协议)也已经成为W3C推荐的标准,SOAP的目的是使各种不同的组件实现远程通信时就像在本地一样。
1、SOAP通信SOAP是一种简单、轻便的以XML为基础的协议,在Web上进行结构化、类型化数据的交换。
SOAP的Envelope结构有两种:请求和响应。
请求Envelope包括了进行远程调用所需的信息。
每个调用消息包括消息头和消息体。
消息头存储消息路由,安全信息等内容,消息体存储的是处理调用所需的信息。
包括以下几个内容:调用的服务的名称服务的位置传给服务的参数名和数据响应Envelope返回结果数据。
成功返回的响应包括以下几个内容:调用的方法返回值的类型返回的数据2、SQL欺骗攻击SOAP Web 服务的实例SQL欺骗攻击是经常使用的攻击方式。
一般Web Service把客户端传递的参数作为String来接收,如果服务没有对字符串做严格的输入检查,也就是说对输入参数进行验证或简化不安全的字符。
那么,程序很容易就受到SQL欺骗攻击。
比如,攻击者在参数中加入了一个单引号字符,程序在接收参数时如果不做检查,程序根据输入的参数生成了SQL查询语句,而单引号的出现势必会引发不安全的返回值,这个服务就已经遭到了攻击。
当然,Web服务的方法一般都指定了每个参数的数据类型。
那么攻击者尝试在一个需要整型参数的Web方法上进行SQL参数欺骗就不会那么容易。
在参数字符串中加入单引号将会导致SOAP执行后返回一个客户端错误信息,进行欺骗的参数不会传给调用的方法。
2.1攻击步骤1——了解Web Service的弱点SQL欺骗攻击的第一步是确定是否Web服务对输入参数是否进行验证和检查。
判断注入点的方法
判断注入点的方法注入攻击是指攻击者利用应用程序没有正确过滤、验证或转义用户输入数据的漏洞,将恶意的SQL、OS或其他命令注入到应用程序中的攻击方式。
注入攻击是目前最常见的Web应用程序安全漏洞之一,可以导致严重的数据泄露、篡改、服务器控制等风险。
为了防止注入攻击,我们需要从以下几个方面来判断和检测注入点:1.输入验证和过滤:通过检查用户输入的数据是否符合预期的格式、类型、长度等来验证数据的合法性。
可以使用正则表达式、类型验证函数、长度检查等来过滤非法字符、脚本等恶意输入。
2.参数化查询:在数据库查询时,使用参数化查询可以将用户输入的数据与查询语句分开,避免将用户数据直接拼接到查询语句中。
使用预编译语句或存储过程可以有效防止SQL注入攻击。
3.最小权限原则:为应用程序设置最小必要权限,避免数据库用户具备过大的权限。
如果应用程序只需要进行查询操作,则数据库用户只需要具备查询权限,而不是拥有完整的数据库控制权限。
4.输入转义:对于用户输入的数据,特别是在输出到Web页面上时,应该进行适当的转义处理。
例如,将特殊字符进行转义,将HTML代码进行转义等,以免被当作恶意脚本执行。
5.输入类型检查:对于需要用户输入的字段,应该明确规定输入的类型,并进行类型检查。
例如,在接收用户输入的整型数据时,需要验证该输入是否为整数类型。
6.日志记录和监测:如果应用程序存在注入点,攻击者可能会尝试多次注入攻击。
通过对应用程序进行日志记录和监测,可以及时发现和追踪到注入攻击行为,进而对漏洞进行修复。
7.安全审计:进行安全审计可以发现应用程序中存在的漏洞和不安全的编码实践。
通过对代码进行审查和漏洞扫描,可以及时发现并修复可能存在的注入漏洞。
8. 使用Web应用程序防火墙(WAF):WAF可以对Web应用程序的流量进行检测和过滤,通过对请求和响应进行分析,可以准确判断潜在的注入攻击。
WAF可以根据规则和模式识别技术来检测恶意的代码注入行为。
基于SOAP的Web服务攻击及防范
基于SOAP的Web服务攻击及防范SOAP(Simple Object Access Protocol)是一种基于XML (Extensible Markup Language)语言的轻量级网络协议。
它被设计用于在分布式系统中传输数据,支持远程过程调用、消息传递等Web服务功能。
但是,像其他Web技术一样,SOAP Web服务也会面临安全威胁,包括诸如中间人攻击、授权欺诈等。
中间人攻击是指攻击者利用自己的计算机充当客户端和服务器之间的“中间人”,从而截取、篡改或伪造SOAP消息的一种攻击方式。
例如,攻击者可以截取客户端发送给服务器的SOAP请求,并将其修改或替换为自己的请求。
在这种情况下,服务器将回复攻击者所构造的响应,而不是客户端原始请求的响应。
为了防范中间人攻击,可以使用数字签名和加密技术。
数字签名是一种基于公开密钥加密技术的方式,可以验证SOAP消息是否被篡改或伪造。
另外,使用TLS/SSL(Transport Layer Security/Secure Sockets Layer)协议可以加密SOAP请求和响应,从而使得攻击者无法窃取Web服务通信中所涉及的数据。
授权欺诈是指攻击者以受害者身份访问Web服务或进行恶意操作。
授权欺诈的一个典型场景是攻击者通过截取受害者的认证凭证(如用户名和密码)来访问Web服务。
在这种情况下,攻击者可以绕过Web服务的身份验证机制,访问需要授权的服务接口。
为了防范授权欺诈攻击,可以使用OAuth(Open Authorization)和SAML(Security Assertion Markup Language)等标准协议。
OAuth是一种基于授权的安全模型,允许用户选择允许访问他们资源的第三方服务。
SAML是一个XML元数据和协议规范,用于在分布式环境中对身份认证、授权和身份信息进行交换。
除此之外,还可以使用防火墙技术、访问控制列表(ACLs)等安全机制来保护SOAP Web服务。
基于SOAP消息的过度加密攻击检测算法
基于SOAP消息的过度加密攻击检测算法
高文婕;赵逢禹
【期刊名称】《计算机工程》
【年(卷),期】2010(036)022
【摘要】分析Web 服务中的过度加密攻击场景、攻击特点以及SOAP 消息特征,提出一种基于简单对象访问协议消息(SOAP)消息的过度加密攻击检测算法.通过检测标签ReferenceList 的属性个数统计SOAP 消息的加密次数,并将统计出的加密次数与预先设定的阈值进行比较,从而判断是否存在过度加密攻击.在.net WSE 安全平台下验证了该检测算法的有效性.
【总页数】3页(P129-131)
【作者】高文婕;赵逢禹
【作者单位】上海理工大学光电信息与计算机工程学院,上海,200093;上海理工大学光电信息与计算机工程学院,上海,200093
【正文语种】中文
【中图分类】TP31
【相关文献】
1.基于WS-Security技术加密SOAP消息的应用 [J], 毛瑞芳
2.基于WSE的SOAP消息部分信息加密机制 [J], 李宗育;王劲松;宋庆军
3.基于策略断言的SOAP消息的部分签名和加密 [J], 李婧;赵逢禹
4.基于策略断言的SOAP消息签名包装攻击检测 [J], 李根来;赵逢禹
5.SOAP消息部分信息加密研究 [J],
因版权原因,仅展示原文概要,查看原文内容请购买。
判断注入点的方法
判断注入点的方法
在进行注入攻击时,我们需要找到可注入的点才能成功攻击系统。
因此,判断注入点的方法非常重要。
下面是几种判断注入点的方法: 1. 输入字符测试法:在输入框中输入特定的字符(如单引号、
双引号、分号等),如果系统返回错误信息,则说明该输入框可能存
在注入漏洞。
2. SQL语句结构测试法:通过输入不同的SQL语句,观察系统
返回的结果是否与预期不符,如果存在差异,则说明该输入框可能存在注入漏洞。
3. 注入检测工具法:使用专业的注入检测工具,如sqlmap等,扫描系统中可能存在的注入漏洞,快速发现注入点。
4. 观察URL参数:观察URL中是否包含特殊字符,如问号、等
号等,如果存在,则可能是注入点。
5. 观察HTTP头信息:HTTP头信息中可能包含参数信息,可以
通过修改参数来检测是否存在注入漏洞。
以上是几种常用的判断注入点的方法,通过综合运用可以更加快速准确地找到注入点,提高攻击的成功率。
同时,为了避免注入攻击,我们也需要在系统开发时加强防御措施,规范输入参数,使用参数化查询等方式防止注入攻击的发生。
- 1 -。
判断注入点的方法
判断注入点的方法注入攻击是一种常见的安全漏洞,黑客通过利用应用程序对用户输入的信任不足,将恶意代码注入到应用程序中,从而获取系统权限或者窃取敏感数据。
为了保护应用程序免受注入攻击,需要识别和修复潜在的注入点。
本文将介绍一些判断注入点的方法。
1.输入验证输入验证是防止注入攻击的第一道防线。
应用程序应该对用户输入的数据进行验证和过滤,确保它们符合预期的格式和范围。
例如,如果应用程序要求用户输入一个数字,那么就需要验证用户输入的数据是否为合法的数字类型,并且范围是否在允许的范围内。
2.参数化查询使用参数化查询是一种避免注入攻击的有效方法。
参数化查询是通过使用预定义的查询语句和参数来执行数据库操作,而不是直接将用户的输入作为查询语句的一部分。
这样可以防止恶意用户在用户输入中注入恶意代码。
大多数现代编程语言和数据库都提供了参数化查询的支持。
3.白名单过滤白名单过滤是一种强大的输入验证方法,它只允许特定的字符和字符串通过验证。
通过定义一个白名单,只允许特定的字符和字符串通过验证,同时拒绝所有不在白名单范围内的输入。
这种方法可以有效地阻止大多数注入攻击。
4.数据库权限控制合理的数据库权限设置可以减少注入攻击的机会。
应该只给应用程序需要的最低权限,避免给予过多的权限。
例如,应用程序只需要读取数据的权限,那么就应该只给予读取数据的权限,避免给予修改和删除数据的权限。
5.日志记录和监控应用程序应该记录所有用户的输入数据和执行的操作,以便及时发现和应对注入攻击。
应该使用日志系统来记录用户的输入数据、查询语句、错误信息等,同时监控异常的请求和数据。
6.输入过滤和转义7.防火墙和安全漏洞扫描使用网络防火墙和安全漏洞扫描工具可以帮助发现和阻止注入攻击。
网络防火墙可以根据规则过滤掉恶意请求和数据包,而安全漏洞扫描工具可以扫描应用程序中的安全漏洞,包括注入漏洞,并给出修复建议。
8.安全编码规范和培训在开发过程中,应该遵循安全编码规范,使用安全的编程技术和最佳实践。
针对Web应用的攻击检测和防御技术研究
针对Web应用的攻击检测和防御技术研究随着互联网的普及,Web应用已经成为人们生活、工作中必不可少的一部分。
然而,随之而来的是Web应用攻击事件不断上升的趋势。
安全专家研究发现,Web应用攻击是全球范围内最为普遍的一种网络攻击形式。
因此,如何针对Web应用的攻击进行有效的检测和防御,成为了目前网络安全领域研究的热门话题。
一、 Web应用攻击类型Web应用攻击类型繁多,其中比较常见的攻击类型包括SQL 注入攻击、跨站点脚本攻击、命令注入攻击、文件包含攻击、文件上传攻击等。
1. SQL注入攻击SQL注入攻击是指攻击者通过构造特定的可执行SQL语句,从而实现对数据库中的数据进行非法访问。
攻击者通过SQL注入可以窃取敏感信息、修改数据甚至获取服务器的控制权。
2. 跨站点脚本攻击跨站点脚本攻击(XSS攻击)是一种常见的攻击方式,攻击者通过在Web页面中注入恶意脚本代码,从而实现对目标用户的攻击。
攻击者常常通过XSS攻击窃取敏感信息、篡改页面显示等。
3. 命令注入攻击命令注入攻击是指攻击者通过在Web应用程序中输入特定的命令,从而实现执行操控远程系统的目的。
攻击者通过命令注入可以获取系统管理员权限,实现远程控制等恶意行为。
4. 文件包含攻击文件包含攻击是指攻击者通过Web应用程序的漏洞,可以在页面上展示一些恶意脚本。
攻击者常常通过文件包含攻击窃取敏感信息、获取服务器的控制权等。
5. 文件上传攻击文件上传攻击是指攻击者通过Web应用程序上传一个包含恶意代码的文件,从而实现对目标系统进行攻击。
攻击者常常通过文件上传攻击窃取用户信息、控制服务器等。
二、 Web应用攻击检测技术Web应用攻击检测技术可以帮助开发人员在开发Web应用程序时发现潜在的漏洞,从而避免被攻击者利用漏洞进行攻击。
1. 静态检测技术静态检测技术是指通过对Web应用程序的源代码进行分析,寻找其中潜在的安全漏洞。
静态检测技术可分为手动检测和自动化检测两种方式,手动检测需要专业安全测试人员进行扫描和分析,而自动化检测则依赖于一些专门的扫描工具进行检测和分析。
Web安全漏洞的检测与修复
Web安全漏洞的检测与修复随着Web应用程序成为日常业务的重要组成部分,网络安全也越来越受到关注。
但即便是最稳妥的程序也可能会产生漏洞,导致网络攻击,造成巨大的损失。
因此,对于Web应用程序进行安全检测和修复至关重要。
本文将讨论Web安全漏洞的检测与修复。
一、注入攻击检测与修复注入攻击是常见的Web安全漏洞之一,常见的注入攻击包括SQL注入和XSS注入。
SQL注入是通过注入恶意代码进入SQL语句,以访问数据库的未授权信息。
XSS注入则是利用脚本漏洞,注入恶意代码在用户浏览器中执行恶意脚本,获取用户敏感信息。
注入攻击检测可以使用漏洞扫描器,如Acunetix和Netsparker等。
如果检测到注入漏洞,需要定位漏洞并及时修复,可以加强对提交参数的过滤,使用参数化查询等措施避免注入攻击。
二、跨站请求攻击检测与修复跨站请求攻击(CSRF)是攻击者利用用户已经登录受信任的网站的凭据,发起恶意的操作,如转账和发送电子邮件等。
攻击者利用受害者的会话来伪装用户提交,从而可以对应用程序进行非法操作。
检测和修复CSRF攻击需要使用框架和插件,如Spring Security和OWASP CSRFGuard等。
为了防止CSRF攻击,维护会话状态是必要的,使用密钥或csrf_token增强会话的识别能力是必须的。
三、文件上传漏洞检测与修复Web应用程序常常需要文件上传功能,但是攻击者可以通过上传恶意文件进入服务器来进行各种恶意行为。
首要的漏洞攻击是通过上传包含脚本的文件来实现远程代码执行。
检测和修复文件上传漏洞需要使用代码审查工具和文件上传安全框架。
建议对上传文件进行个数、类型、大小等控制,同时在上传后,对已上传的文件进行安全性扫描或白名单验证,以保证文件上传功能的安全。
四、会话管理漏洞检测与修复处理用户会话时,应用程序必须保证会话状态的安全性。
会话管理漏洞包括会话劫持、会话固定、会话变量注入等。
会话劫持是攻击者利用会话凭证窃取用户会话,执行各种恶意行为,如更改密码和修改账户信息等。
Web服务的XML注入攻击检测
Web服务的XML注入攻击检测
刘颖;赵逢禹
【期刊名称】《微计算机信息》
【年(卷),期】2010(026)030
【摘要】随着Web Service技术与应用的发展,Web Services安全问题日益突出,XML注入攻击成为一种重要的攻击形式.首先介绍了XML注入攻击形式,并对XML注入攻击进行分析,利用WSDL文档生成SOAP消息验证树,对服务请求端发送过来的SOAP消息进行检测.
【总页数】3页(P70-71,131)
【作者】刘颖;赵逢禹
【作者单位】200093,上海,上海理工大学光电信息与计算机工程学院;200093,上海,上海理工大学光电信息与计算机工程学院
【正文语种】中文
【中图分类】TP31
【相关文献】
1.面向SOAP消息的Web服务注入攻击检测方法 [J], 吴长勤;王传安
2.基于云环境下Web服务应用层DDoS攻击检测系统 [J], 邓娉
3.基于本体的Web服务攻击检测技术研究 [J], 陈军;吴礼发;胥光辉;贺正求;黄康宇
4.Web服务恶意内容攻击检测技术 [J], 黄康宇;吴礼发;吴海佳
5.云环境下Web服务应用层DDoS攻击检测系统 [J], 徐洋;孙建忠;张焕国;谢晓尧
因版权原因,仅展示原文概要,查看原文内容请购买。
Web服务恶意内容攻击检测技术
Web服务恶意内容攻击检测技术
黄康宇;吴礼发;吴海佳
【期刊名称】《计算机应用》
【年(卷),期】2010(030)008
【摘要】基于SOAP消息的恶意内容攻击对Web服务的应用与推广具有很大的影响,但目前尚缺乏能有效检测SOAP消息中恶意内容的方法,为此提出了一种新的SOAP消息特征检测方法.通过定义SOAP项和SOAP规则来描述恶意内容的特征,提出了SOAP消息解析算法和SOAP规则匹配算法,用来实施恶意内容的特征检测.根据提出的方法,设计并实现了一个Web服务攻击检测的原型系统.攻击检测实验和性能分析实验的结果表明,该方法有较好的检测效果和性能.
【总页数】5页(P2134-2138)
【作者】黄康宇;吴礼发;吴海佳
【作者单位】解放军理工大学,指挥自动化学院,南京,210007;解放军理工大学,指挥自动化学院,南京,210007;解放军理工大学,指挥自动化学院,南京,210007
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.基于SOA架构的恶意爬虫DDoS攻击检测技术研究 [J], 刘书林;赵运弢
2.针对JavaScript攻击的恶意PDF文档检测技术研究 [J], 胡江;周安民
3.逃避攻击下恶意PDF文件检测技术 [J], 李坤明; 顾益军; 王安
4.恶意弹窗广告攻击检测技术的研究 [J], 孙冲冲; 徐亚峰; 卜东泰; 韩港成; 胥勋鹏; 高明
5.恶意弹窗广告攻击检测技术的研究 [J], 孙冲冲; 徐亚峰; 卜东泰; 韩港成; 胥勋鹏; 高明
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
的检测方 法 , 为此 我 们 提 出 了一 种 基 于 行 为 模 式 的 注 人 攻 击 检 测 方 法 . 该 方 法 在 We b服 务 访 问 日志 行 为 建 模 阶 段 采 用 长 度 不 同 的 特 征 子 串来 表 示 行 为 模 式 ,并 通 过 序 列 模 式 的 支 持 度 来 建 立 正 常 消 息 行 为 模 式 轮 廓 :针 对 注 入 攻 击 复 杂 多 变 的特 点 ,进 一 步 提 出 基 于 矩 阵 相 似 匹配 结 合 相 似 判 决 阈值 的 注 入 攻 击 检 测 模 型. 实验结果表 明 , 与多种其 他经典检 测方法相 比, 该检测 方法在检测 率和误 报率等 方面检测效 果好 , 可 有 效地检测 出注入攻击 . 关键字 : 注人攻击 ; S O A P消 息 ; We b服 务 ; 行 为 模 式 中 图分 类 号 : T B 3 5 文献标 识码 : A d o i : 1 0 . 3 9 6 9 / j . i s s n . 1 6 7 4 . 2 8 6 9 . 2 0 1 5 . 0 7 . 0 1 3
面向 S O A P消息的 We b 服务注人攻击检测方法
吴长勤. 王传安
安 徽 科 技 学 院数 学 与信 息 学 院 , 安徽 凤 阳 2 3 3 1 0 0
摘 要: 面向 S O A P 消 息 的 注 入 攻 击 对 We b服务 的发展前 景 和应用产 生重要 的影 响 , 而 目前 尚缺 乏 有 效
础的, 由于 S O A P协 议在设 计 时并没 有过 多 的考虑
其 安 全 性 问题 。 从而导致 S O A P 消息 在 传 输 过 程
中极 易受 到诸 如 S Q L注入 攻击 和 X ML注 入 攻 击
等其 他形式 的命令注 入攻击 , 因此保 证 S O A P消息
传 输 的 安全 性 是 当前 研 究 的一 个 重 要 问题 . 文 献[ 3 ] 描述 了 We b服 务 面 临 的安 全 威 胁 与 状 态 , 利用 O WL — S与 本 体 建 立 了 服务 安 全 攻 击 本 体 . N i l s G r u s c h k a 等人I 4 指 出消息 的机 密性 、 完 整性 和 用 户 验 证对 于服 务 平 台安 全 性 的作 用很 小 , 从 而 提 出采 用 X ML S c h e m a 中 的 消 息 对 接 受 到 的 S O A P消息 进行 确认 , 以此 发 现具 有注 入攻 击 的服
图 1 注入 攻 击 检 测 模 型
F i g . 1 T h e d e t e c t i o n mo d e l o f i n j e c t i o n a t t a c k
后 ,采 用 长 度 不 同 的多 种 特 征 子 串来 表 示 正 常 S O A P消 息行 为 , 并 通过 支持 度来 建立 正 常消 息行
检测 模 型来识 别 当前 S O A P消息 中的异常 行为.
S O A P等 新 技 术 实 现 各 种 服 务 之 间 的 互 操 作 ….
We b服务具有 高度 互操作 、 松散耦 合和可 重用 等特
点, 已成为 网格和云计 算等计 算技术 的重要 实现 方
式之 一.
目前 We b服务 通信 是 以传输 S O A P消 息 为基
( 1 ) 获取 测试 数据 : 选取 监 测时 间 内 We b访 问
日志作 为测 试数 据 , 并 进行 预处 理 . 设 预 处 理 后得 到 的 日志 数 据 字 符 串序 列 为 E’ ={ , ,… ,
} , 其 中 为按 时 间顺序 排列 的第 i 个字 符 串. ( 2 ) 按照 行 为建 模 阶段 提 出的方 法 , 提 取测 试 数 据 E’ 中 的 K个行 为 模 式序 列 , 并 以此 构 建 当前
日志行 为模 式 轮廓 L’ ={ L ’ ( 1 ) , L ’ ( 2 ) , …, £’ ( | s ) } . ( 3 ) 将 两 阶段 构 建 的行 为 轮 廓 和 ’ 分 别 转
化成 k - n的模 板矩 阵 M 和检 测矩 阵 Q . 模板 矩 阵 ( , …眠 ) ,其 中 表示 序 列 ( ) 转 化 的 由 n个 0和 1 组 成 的行 向量 , 即 =
第 7期
吴长勤 , 等: 面向 S O A P消息 的 We b服 务 注 人 攻击 检 测 方 法
6 1
为, 通 过 观察 We b访 问 日志 , 可发 现消 息 中会大 量 重 复 出现一些 字符 串 。 将 这些重 复 出现 的字 符 串称
息 事 件 中的异 常行 为 . 攻 击 检 测 阶段 的 主要 工作
考虑 到不 同的特 征 子 串表 示 的行 为模 式 意 义 可能 不尽 相 同 , 其 出现 的频 率也 会 有较 大 的 区别 ,
不 能采 用单一 支持 度 , 在 文 中设 置 了 k个相应 于不
同特 征子 串的最 小支 持度 m i n s u p ( t 1 ) , mi n s u p ( t 2 ) ,
收稿 日期 : 2 0 1 5 — 0 6 — 1 0
1 . 1 行 为建模
We b访 问详 细 的记 录 了客户 的 S O A P信 息行
基金 项 目 : 安 徽 科 技 学 院青 年科 研 研 究 项 目( Z R C 2 0 1 4 4 2 6 ) ; 安 徽 省 自然 科 学研 究 项 目 ( K J 2 0 1 3 Z 0 4 8 ) 作者 简 介 : 吴 长勤 ( 1 9 6 2 一 ) , 男, 安徽肥东人 , 副教授 , 研究方 向: 计 算 机 应 用 技 术.
前 缀 分析 法提 取训 练数 据 E中所有 长 度大 于 1的
( a , a 2 , …, ) , 其 物 理 意义 表 示 : 若 子 串集 中 的
某 个 特 征子 串在 ( ) 中 出现 , 将 相应 的矩 阵 位 置
重 复 出现 的特 征 子 串 , 组 成 特征 子 串集 合 { t , t , …, t } , j 表示 第 f 个 特征 子 串 , 为 长度 .
I l l = 、 /
仅 当 A 和 两矩 阵完全 相似 时 , I < A・ B> l = l
( 2 )
吲1 .
若 A、 曰为实数 矩阵 , 则I < A・ > I ≤1 1 4 1 1 ・ l i bl l , 当且
可知. A 和 两 矩 阵 的相 似度 为 s i n ( A. ) : c 0 s 0 : I I I . I I I I ( 3 )
执 行过 程称 为 S O A P消息 事件 , 记为 e = < f d , t > , 其 中
l a = < s 。 , s ,… , s 表 示该 S O A P消 息事 件 中的 m 个 字符 , t 表 示记 录 S O A P消息事 件 的时 间.
( 2 ) 借 鉴最 长前 缀提 取 算法 E l o ] 思想 , 采 用 最 长
( 4 )计 算 集合 中每 个 特征 子 串在训 练 数 据
序 列 E中的支持 度 . 定义 2 :一 个 特 征 子 串在 序列 E 中 的支持 度 等于 该子 串出现 的次 数 除 以所 有特 征 子 串总 计 出 现次数 , 即: s u p p o r t ( t ) = n u mb e r ( t ) / N u m b e r ( T ) , 其 中N u m b e r ( ) 为集 合 中所 有 特征 子 串 出现 的 次 数和. ( 5 ) 从 个 特 征 子 串流 中 , 分别 按 照相 应 的 支 持 度 提取 正常 We b访 问行为 模式 序列 ( ) .
如 下.
为特 征 子 串 , 其 特 征相 对 稳 定 , 可 代表 S O A P消 息 的行 为模 式 _ 7 ] . 行 为建模 阶段 的 主要工 作 如下.
( 1 )获取 训 练数 据 :将 无 注入 攻 击 时产 生 的 We b访 问作 为 训 练 数 据 E ={ e , e : , …, e } , 其中e 表 示 按 时 间顺 序排 列 的第 i 个 S O A P消 息 事件 , n 为S O A P消 息事 件序 列长度 . 定义 1 : We b访 问 日志记 录 的一 次会 话或 一 次
引 入 矩 阵 间相 似 度 的概 念 , 设 m× 凡矩 阵 全 体 为
C , 假如 A・ B∈C 一. 矩 阵 内积可 定义 为
< A・ B> = t r ( B T A) ( 1 )
式( 1 ) 中t r ( . ) 表 示 矩 阵 主 对 角 线 元 素 的和 , 而 矩 阵 内积 表 示 两 矩 阵 相 对 应 位 置 元 素 的 乘 积 累 加 和. 由矩 阵 内积可 导 出范数
( 3 )将 训 练 数据 E 中的 S O AP消息 事 件序 列
转 换 为按 时 间排 序 的 n个 长度 分别 为 f ( 1 ) ,f ( 2 ) ,
…
l ( n ) 的特 征 子 串序列 流 C = { C , , …, } , 其 中
…, t } .
G 表示 e i S O A P消息 事件 中包 含 的所 有特 征 子 串 , 记为 C
第 3 7卷 第 7期 2 0 1 5年
大
学
学
报
Vo l - 3 7 No . 7
J . Wu h a n I n s t . T e c h .
J u 1 .2 0 1 5
文章 编 号 : 1 6 7 4— 2 8 6 9 ( 2 0 1 5 ) 0 7 —0 0 6 0 —0 5
.
元素置为 l , 否则置为 0 . 如L ( ) 由集 合 7 1 中 的第