Web应用安全：分析、修改和检测攻击

Web应用安全：Abdelhamid Makiou引用此版本：AbdelhamidMakiou Web应用程序安全：分析、修改和自动检测攻击。Cryptographie et sécurité[cs.CR].Télécom ParisTech，2016.法语NNT：2016ENST 0084。电话：01668540HAL Id：tel-01668540https://pastel.archives-ouvertes.fr/tel-016685402017年12月20日提交HAL是一个多学科的开放获取档案馆，用于存放和传播科学研究文件，无论它们是否已这些文件可能来自法国或国外的教学和研究机构，或来自公共或私人研究中心。L’archive ouverte pluridisciplinaire2016-ENST-0084EDITE - ED 130巴黎理工大学pour obtenir le grade de docteur délivré par巴黎科技电信《信息与网络》专业目前和今后的出版Abdelhamid MAKIOU2016年12月16日Web应用安全：分析、修改和自动检测攻击Directeur de thèse：Ahmed SERHROUCHNI陪审团M. Ken CHEN，巴黎第13大学评审团主席Francine KRIEF女士，波尔多大学讲师，特别报告员Yacine CHALLAL先生，人类发展报告硕士，贡比涅特别报告员Houda LABIOD女士，巴黎技 术 大 学 ;Elena MUGELLINI女士，西瑞士大学讲师;BrigitteKERVELLA女士，巴黎第六大学校长M. Ahmed SERHROUCHNI，首席执行官，电信巴黎技术总监M. Youcef BEGRICHE，博士，巴黎电信技术邀请巴黎科技电信巴黎理工学院矿业电信学院46 rue Barrault 75013 Paris-（+33）1 45 81 77 77-www.telecom-paristech.frTHSE2巴黎科技电信Département Informatique etRéseaux 46 Rue Barrault，小行星75013UPMC信息、电信和电子博士学校4地点Jussieu75252 Paris Cedex 05博伊特信使290这是你的A la memoire de mon père（Rahimaho Allah），pour mamère，me frères et姐妹们一个女人和两个女孩伊内斯和埃莱雷默西芒我很高兴能代替艾哈迈德·塞尔鲁奇尼总理为我提供五年半的住宿。我也很感激你的信任，我的信任和信任让我能够在我也感谢Youcef BEGHRICH博士在数学现代化方面的大量干预。Francine KRIEF教授和Yacine CHALLAL博士不接受特别报告员的邀请，我希望他们能尽快与我联系，并保持良好的关系。无条件接受陪审团对这一问题的审议和对其他相关问题的评论。Mes remerciements aussi au personnel de Télécom ParisTech que ont contributé de prèsou de loin à la réalisation de ces travaux de thèse.最后，我会对我的家人表示同情，尤其是对我的母亲和母亲，因为他们Web应用安全：分析、修改和自动检测攻击Abdelhamid MAKIOU摘要：Web应用程序是现代信息系统的后台。 为了避免这些威胁，它存在功能强大和丰富的解决方案。这些解决方案是以良好的攻击检测模式为基础的，具有挑战模式、优势和局限性。Nostravaux consistent à intégrer des fonctionnalités de plusieurs modèles dans une unique solution afin为了达到这一目标，我们在一个首要的贡献中进行了定义，一个适应Web应用环境的威胁分类这一分类也适用于某些排序问题-加强对攻击检测阶段的操作分析。在第二篇文章中，我们提出了一种基于两种分析模型的攻击过滤体系结构。第一个模块是一个组件分析模块，第二个模块是通过签名进行检查该架构的主要功能是适应Web应用程序上下文的组件分析模式Nous apportons des réponses à ce défipar而且他可能是为了让他的行为正常而被开除的为了使用这些模型，我们使用了分类器基础上的自动监控Ces classifieurs utilisent des jeux de données还有第二个词可以用来形容一个人的身体状况实际上，在一个最后的贡献中，我们将确定并考虑一个自动生成捐赠者的平台该平台上的一般donnéessont normalisées et catégorisées pour chaque classeLe modèle de génération des donnéesMOTS-CLEFS：应用网络，攻击，检测，签名d 'attaque， 自 动 识 别 ，d o n n é e s d ' a t t i s s a g e .Web应用程序安全：使用机器学习进行分析、建模和Abdelhamid MAKIOU摘要：Web应用程序是现代信息系统的支柱。这些应用程序在互联网上的暴露不断产生新形式的威胁，可能危及整个信息系统的安全。为了应对这些威胁，有强大且功能丰富的解决方案。这些解决方案基于经过充分验证的攻击检测模型，每个模型都有优势和局限性。我们的工作包括将多个模型的功能集成到一个解决方案中，以提高检测能力。为了实现这一目标，我们定义在第一个贡献，分类的威胁适应的Web应用程序的上下文。这种分类还用于解决在攻击的检测阶段期间调度分析操作的一些问题。在第二个贡献，我们提出了一个架构基于两种分析模型的Web应用防火墙的性能分析。第一个是行为分析模块，第二个使用签名检查方法。这个体系结构要解决的主要挑战是使行为分析模型适应Web应用程序的上下文。我们正在应对这一挑战通过使用恶意行为的建模方法。因此，可以为每个攻击类别构建其自己的异常行为模型。为了构建这些模型，我们使用基于监督机器学习的分类器。这些分类器使用学习数据集来学习每类攻击的异常行为。因此，在本发明中，在学习数据的可用性方面的第二个锁已经被解除。事实上，在最后一份贡献中，我们定义并设计了一个自动生成训练数据集的平台。该平台生成的数据针对每类攻击进行了标准化和分类。我们开发的学习数据生成模型能够不断“从自身错误中”学习，以生成更高质量的机器学习数据集。关键词：Web应用，攻击检测，安全规则，机器学习，训练数据集材料桌表13一览表15一、导言. 171Le Web：architecture et problèmesde sécurité211.1一.导言. 211.2Architectureet protocole221.2.1Web22的缺陷1.2.2LeWeb actuel231.2.3Les perspectivesdu Web241.3Web24应用程序的安全问题1.3.1不安全的代码源：le talon d'talle1.3.2Web26应用程序入口的威胁1.3.2.1Injection de code executable ducôté serveur261.3.2.2客户端可执行代码注入281.3.3Solutionsde filtrage Web et problèmes de contournement des signa-tures第31条1.3.4Techniques secretives1.3.4.1Variation de lacasse（MAJUSCULE-minuscule）331.3.4.2空间331.3.4.3Concaténation des chainesde caractères341.3.4.4封装341.3.4.5Commentaires341.3.4.6Encodage1.3.4.7Double encodagede1.4结论352攻击分类：分析和贡献372.1A.攻击分类分析372.1.1Caractéristiques2.1.2Etat de2.1.2.1Taxonomie de Bisbet etet Hollingworth2.1.2.203 The Dog（1998）2.1.2.302 The Dog oftheDog（2001）2.1.2.403 The Dog（2003）2.1.2.503 The Dog oftheDog（2005）2.1.2.6Taxonomiede Gad El Rab et Al.（2007年）............................. 4210TABLEDESMATIÈRES2.1.2.7Chang etChua分类法（2011）422.1.2.8Simmons等人的分类法（2011年）............................................. 432.1.3攻击分类机构的艺术2.1.3.103 The Dog（2000）2.1.3.2Taxonomiedu US-CERT452.1.3.303 TheDog（2010）2.1.3.4Taxonomie du MITRECAPEC462.1.3.5OWASP46分类2.2 面向Web应用程序入口的一种分类482.3 Les attaques ducoté client482.4 Les attaques du cotéserveur492.5 结论523网络攻击检测解决方案：研究与分析533.1导言. 533.1.0.6 Positionnementdes travaux553.2Modèles dedectection comportementaux553.2.1Techniques de detectionpar anomalie563.2.1.1Approchesstatistiques3.2.1.2Approches baséessur la knaissance583.2.1.3Approches parautomatique583.2.2Systemesde decttion comportementaux et hybrides existants3.2.2.1Déteconnonacadémiques学术报告623.2.2.2Systemesde detection issus de la recherche643.2.3Problématiqueet dé fis问题和缺陷643.2.3.1Evaluationdes systèmes de detection comportementaux653.2.4Positionnementdes travaux663.3结论664定义和概念4.1一、导言. 674.2Modèle hybrid de filltrage applicatif：Architecture684.2.1Positionnementdes travaux684.2.2Modèle architecturale Hybrid：Legrand schéma694.2.3Hybrid70检测系统4.2.4HTTP71协议的讨论4.2.4.1应用分类学的剖析--网站724.2.4.2Dissection suivant la politiquede filtrage724.2.5Le moteur4.2.6Leclassi fieur automatique par apartissage supervisé734.3分类parautomatique744.3.1Les données4.3.1.1Le vecteurdes caractéristiques754.3.2Choix du modèlede classi fication764.3.3ModèleBayesien naïf764.3.3.1Distributionde Bernoulli分布4.3.3.2Représentation des entrées4.3.3.3分类77材料表114.3.3.4Rapport entre lesdeux errreurs774.3.4Bayésien Multinomiale78型号的后续分类4.3.5分配Multinomiale784.3.5.1Représentation4.3.5.2分类794.3.6Méthodologie etmetriques4.4Implementation，résultats et évaluation des performances814.4.1HTTP81文件4.4.1.1Réduction de lacomplexité algorithmique814.4.2La classi fieur parautomatique844.4.2.184年第一次酿酒4.4.2.2Mesurede la performance du modèle de classification854.4.2.3TCR 87后两次假阴性的发生率4.4.2.4Le TCR par la methodeBayésienne multi-nomiale894.4.3结论.905Génération des données5.1Problématique问题5.2教育机构女教师培训平台5.3Extractionet normalisation des données5.3.1Normalisationdes données5.3.2Sélectiondes caractéristiques945.3.2.1Fonctionnement des methodes de selection des caractéris-tiques5.4Résultats et analysisdes performances975.4.1Extractiondes caractéristiques提取特征975.4.2分类算法比较研究985.4.3Analysedes résultats1005.5幼儿教育能力5.5.1Impacte desfaux positifs1015.5.2Impacte desfaux négatifs1015.5.3Complexité des algorithmesde classification1015.6结论1026一般结论和展望1036.1结论1036.2观点105Bibliographie书目107图表1.1Première transaction（req/rep）en HTTP 0.9 sur le serveur duCERN 1990. 221.2请求与HTTP 1.1的连接持久化进行管道化。...........................................................231.3Architecture et fonctionnement duWeb actuel241.4第一阶段1.5第二阶段1.6第三阶段1.7Phases2.1Howardet Longsta网络攻击的392.2网络攻击的分类Alvarezet Petrovic412.3Hansmannet Hunt攻击的412.4Gad El Rab et Al袭击的分类422.5Changet Chua攻击的分类。...................................................................................... 432.6Simmons等人的分类442.7威胁对客户的Web482.8Web 50应用程序入口攻击向量分类3.1通用入侵检测框架543.2Architecture3.3Architecture4.1Filtre applicatif hybrid：Architecture694.2Capture4.3requêtedisséquée selon la politique de filltrage724.4第84届世界杯足球赛冠军创建平台4.5La qualité des classi fieur sous lacourbe ROC864.6Courbe ROC Classi Fieur Bayésien Naïfbinomial864.7Courbe ROC Classi Fieur BayésienNaïf多名874.8Bayésien Binomial88模型的总成本比率4.9Bayésien多指标模式的总成本比率895.1Plateformede génération de données5.21994年《提取特征的方法》5.3Modèle par arbrede decision100一览表4.1表754.2Tableaudes caractéristiques764.3Table des notations.814.4Jeu de données4.5Bayésien mul- tinomiale 85级教师的正常学习机会4.6Bayesien Binomial88模型参数表4.7Tabledes costs du modèle Bayésien multi-nomial895.1Tableaudes caractéristiques特性表975.2ROCNaïf Bayesien985.3使用Bayesien98网络的分类5.4分类利用一个SVM995.5根据C4.5决定书的分类995.6C4.5类决定书102介绍动机和目标Notre dependance aux services qu'o Web est de plus en plus importante. Nousutilisons des applications Web pour acheter en ligne ， pour se déplacer ， pourcommuni- quer ， pour se divertir ， etc. Cet engouement pour le Web a créé unevéritable économie numérique qui prend de因此，攻击者的动机各不相同，也各不相同，因此，攻击者的动机也各不相同，也各不相同。这些人主要从事经济活动。因此，它们预示着全球信息系统运作的重要性。然而，许多人和企业都同意通过一个更重要的网络应用程序安全的社区。Cettecommunauté a pris conscience des risques liés à因此，该计划为信息制作活动做出了贡献（分类和重新审查攻击、脆弱性出版物、实用指南.），mais aussi par des solutionsopérationnelles（Systèmes de Détection以减轻攻击对Web应用程序的影响。这些解决方案不是基于入侵检测系统中的良好检测方法然而，这些问题持续存在，因为它有助于检测对此外，攻击的多样性，使我们能够充分认识到适用性的丰富性，并考虑到解决这些问题的障碍的名称在这些工作中，我们提出了一种新的方法来检测Web应用程序上的攻击。我们定义并考虑一个基于多功能攻击检测系统的适用性过滤架构。 第一次接近，这是一个非常经典的，是基于对签名攻击的检测。Une signature第二种方法是以检测异常为基础的Nousdessignons une anomalie comme un écart constaté deL’intérêt这种混合检测模式，我们对探矿者感兴趣，有很多问题需要解决。这些问题是两种方法的本质所固有的（第二部分第18章介绍Signature，et par anomalie）.在此期间，签字的检测需要继续进行，并将继续进行大规模的签字，以实现最大程度的联系再加上这些签名表达的内在复杂性，这种方法与改变格式的方法的脆弱性有关因此，她不能在签名的基础上检测未明确显示的攻击。此外，这些签名的重要数量的减少影响了Web应用程序在创建延迟时的性能在异常检测方法中，检测准确性的问题总是存在的，特别是假阳性的问题。通过对时间问题的探讨，以及对时间问题的分析，我们发现，在网络时间问题中，延迟是非常重要的Un autre problème acquisition au niveau de la démarche de construction du modèlede référence.实际上，异常检测系统会使行为正常。或者，在Web应用程序的背景下，sémantique applicative est libre，les architectures sont résilient，les protocoles et leslogiciels Web ne sont pas tous normalisés ， il est donc très di juvenire un modèlesimplifié de comportement normal qui prend toutes ces constraintes en consideration.在我们提出的工作中，我们提出了解决这些问题的建议，特别是通过异常检测模式，通过新建筑和新功能的解决方案提出的问题。Nous démontrons qu为了达到这一目标，我们开始研究Web应用程序的安全问题。我们分析了用于控制测量的各种测量操作模式和测量方法。通过对这些结果的分析，我们可以提出一种基于Web应用程序入口分类的新的攻击分类方法。在这样的分类中，我们可以识别出所有影响Web应用程序安全的攻击的共同向量。Une fois le vecteurLe but premier de ce dissévér est de fournir auxmodulesCela réduit le champEnsuite ， nous avons défini et conçu une architecture de filltrage applicatif hybridautour des deux modèles de detection des attaques.这种建筑的外观设计是对与异常接近有关的问题的一种回应。A la fois，comment- ment réduire le tauxNous avons tenté de répondre à ces dé fis par une approche di acquisition érente demodélisation du comportement.在此期间，我们将通过各种不同的方法对动作进行调整，以了解正常的动作。我们建议采用自动装配的方式进行装配，使用可拆卸的部件，并提供类似于攻击参考部件的部件。为了让所有的模特都能参加比赛，我们决定了比赛，并考虑了一个产生运动员的平台这是一个非常重要的问题，需要解决异常检测模块的精确分类问题为了将军一.导言. 19des données最后，我们要为我们的行动做一个最好的准备。Ce périmètre consiste à se focaliser surun paultype这种类型的攻击代表了一个重要的危险Le choix du périmètre ne nous limitepas à ce musical type法国劳工在第1章中，我们介绍了Web应用程序的体系结构和功能我们研究并分析了这些应用中字体表面的安全问题。通过这种分析，我们确定了多个攻击的共同矢量的操作模式在该章的最后，我们提出了一个适用于攻击签名的解决方案 另外，我们要把不方便的人排除在攻击签名之外。注意，Navisphere命令和签名组织问题，以及利用填充物轮廓的附件的易受攻击技术在第2章中，我们研究并分析了Web应用程序上下文中的攻击分类。这一分析是为了客观地认识到查奎分类的优点和缺点。这一分析的第一部分是关于学术研究工作的分类问题。第二部分涉及Web应用程序安全中机构和专门组织工作的分类问题与此同时，我们提出了一个基于Web应用程序入口的攻击分类。在此之后，我们将详尽地阐述Web应用程序的入口是各种攻击向量的汇聚点在第3章中，我们提出了一种检测攻击的解决方案。在第一次研究中，我们提出了一种标准的架构，并评论了我们的计算机在Web应用程序上检测攻击的解决方案的概念中的定位在第二次分析中，我们集中注意力于异常的部分检测和混合解的某些贡献在本章中，我们介绍、分析和比较了各种改进方法，以推动我们对自动分类方法的整合我们还在该章中讨论了攻击检测系统的评估问题和药物的使用问题第4章阐述了对Web应用程序攻击检测模式的贡献。第三章中的研究和分析模式主要包括模式的优点和局限性。我们在本章中提出了一种基于合作的混合方法，其中包括自动应用的分类模式和扫描检测的攻击模式（攻击特征）。为了达到这个目标，我们设计了一个新的建筑，