数据加工
数据加工是整个建模的第一步,这是因为现实网络流量中充斥着大量的无用干扰信息,且数据参差不齐。攻击者会发现系统中存在的漏洞,并通过各种复杂的编码、转义技术来混淆和躲避 web 安全检查。整体数据加工流程如图 1 所示。正则匹配关键词
图 1 数据加工流程
通过数据加工模块对原始数据进行数据解析与加工,将混淆视听的数据转换成真正有价值的数据。数据渗透模块中包含 base64 处理、HTML 转义字符处理、URL 解码处理、干扰字符处理、HTML 注释处理、特殊操作符处理等操作。
Base64内容是数据的一种编码表示,有一定的加密作用,是网络上最常见的用于传输 8 Bit字节代码的编码方式之一。Base64 编码可用于在HTTP 环境下传递较长的标识信息,在 web 攻防中,攻击者使用 Base64 来将 URL 中一个较长的标识符编码为一个字符串,用作 HTTP 表单中的参数,采用 Base64 编码具有不可读性,即所编码的 XSS 攻击数据不会直接被安全人员用肉眼所识别。字符转义也称字符实体,在 HTML 中像“<”和“>”这类符号已经用来表示 HTML 标签,因此不能直接当作文本中的符号来使用。为了在 HTML 文本中使用这些符号,就需要定义它的转义字符串,且有些字符在 ASCII 字符集中没有定义,也需要使用转义字符串来表示。攻击者利用了转义字符的原理,当需要隐蔽自己的攻击意图时会在 URL 中隐藏 HTML标签,用“"”等字符进行 HTML 的“<”关键符号替代,来迷惑 web 安全人员。在互联网上传送 URL 只能采用 ASCII 字符集,即只能使用英文字母、阿拉伯数字和某些标点符号,如果包含中文等其余字符时,就需要再使用编码。攻击者利用了URL 编解码原理,将恶意代码通过 URL 编码 后进行隐蔽混淆,以逃过 web 安全
检索。除了编码转义等混淆手段,攻击者也会在 URL 中加入干扰字符和注释信息等,起到蒙蔽视听的作用。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。