WEB入侵防御检测技术对WEB进行实时监控[2]，阻止恶意攻击，通过对应用层协议的深度解析及WEB双向过滤，对非法的请求予以实时阻断，保护WEB应用通信流和所有相关应用资源受到WEB协议或应用程序漏洞发动的攻击，实时保护网站及服务器安全。

　　1国内外研究现状

　　相对于国外市场，国内对于web安全研究较晚。常畅[4]在论著中提出引入活跃熵检测算法。张宇飞[5]在论著中研究了基于程序行为分析防御技术。乐朝辉[6]在论著中提出利用隐马尔柯夫模型设计实现Web应用防火墙系统。

　　2主要研究内容

　　2」主动防御(WAF)框架

　　主动防御（WAF）框架主要山防火墙旧阻断0 P地址锁定、H P/H仃PS请求接收、预过滤、主动防御检测、旧地址锁定、日志存储、日志分析和可视化显示模块组成。主要过程如下：首先客户机通过防火培中《P阻断模块进行初始化阻断，将阻断地址添加至《P地址锁定模块并对阻断、锁定的存放于《P地址共享池中，后续客户端访问直接阻断。然后，Http/Https请求接收模块对Http/Https访问请求进行捕获，针对Https协议进行SSE解密和加速，对各种编码和字符集进行标准化处理，将请求缓存到接收队列中等待被检测。预过滤模块与动态》P黑名单中威胁糸数与预过浦模块中预设的威胁系数进行对比，大于将阻止，小于将请求送到主动防御检测模块进行检测。主动防御检测模块从队列中等待检测的请求，该时段中出现的网络异常行为与WEB内容进行分析，如检测到疑似攻击入侵动作，将进行《P地址阻断同时将该动作特性以日志形式存放至日志存储模块中，攻击源《P威胁度计算模块将同一时间段内攻击日志进行分析，利用威胁系数算法计算甲的威胁系数并将威胁系数存放至动态iP黑名单中囝，甲地址锁定模块对动态》P黑名单中地址进行锁定，并将锁定的《P地址存放在防火墙中《P阻断模块，最后清空这个周期内的攻击日缓存。转发模块将通过检测的行为转发至WEB服务器中。如图1所示。

　　2．2威胁系数算法

　　威胁系数算法用于计算一段时间内T，各个攻击对WEB中网络的威胁程度。按攻击对集合H中攻击进行分类，得到i个攻击事件子集合，设为Al,A2,•••Ai0分别对应不同攻击源地址丨PI，《P2，《P3，．，旧的攻击事件集合。最终通过计算得出威胁系数。通过研究，不同频次、不同时间段、不同地域、不同规则攻击对目标主机造成影响

　　程度不同。对属于不同频次、不同时间段、不同地域、不同规则攻击攻击源的攻击子集根据不同攻击属性H且H e p进行分类，将不同频次、不同时间段、不同地域、不同规则为IPI对应的攻击子集Ai中不同频次、不同时间段、不同地域、不同规则IPi的重要性进行权重相加，分别记为Frequency、Time、Region、Rule;NN表示E中不同目标主机的总数，IPi的攻击频次、时间、地域、规则对应的威胁系数Frequency、Time、Region、Rule的函数关系分别记为．(ipi)=Frequency/N，(ipi)=Time/N

　　(ipi)=Region/N,(ipi)=Rule/N0根据对攻击事件集并按攻击源丨p地址的分类，分别计算出各攻击源IP的威胁系数。权值入1，入2，入3，入4分别反映了攻击频次、攻击时间段、攻击地域、攻击规则对整WEB中网络的影响程度，且入1+入2+入3+入4：1，将它们分别作为攻击频次、攻击时间段、攻击地域、攻击规则的威胁权值。攻击源地址为ipi的主机当前周期威胁程度计算公式为

　　Threat(ipi)

　　：入If(ipl)+入2t{ipl)+入3S(iPl)十入4(iPl)

　　Threatlasti表示ipi上个周期的威胁度幺士．合Threatlasti计算出攻击源ipi的威胁度值Threatio当ipi e X时有

　　Threati=ThreatIasti+Threat(ipi)—ThreatA〈2）

　　at(ipi)〈3）如果ipi不存在集合X中，其威胁系数Threati和IP地址同时添加至×中；如果ipi对应的威胁系数值小于等于零时，该|P地址会从集合×中移除。其中式（2）和（3）中的Threat^表示经过一个固定时间段T后攻击|P威胁系数的衰减程度，该值可以根据网络实际情况设置，ThreatA值越大，攻击者的威胁系数衰减速度越快，当黑名单中某个旧的威胁系数值衰减到小于0时，该|P地址

　　2．4可视化视图

　　通过研究基于可视化度量模型，利用D3 WEB可视化技术实现监测度量WEB入侵情况。可视化视图由入囗文件视图、WAF分时统计图、入侵IP地址统计图和受侵网站统计图组成。入囗文件视图通过对入囗的文件进行分时攻击次数统计，获得相关文件名。WAF分时统计图实时对WAF攻击次数进行可视化显示。如图3所示。入侵丨p地址统计图实时对入侵丨P地址、次数进行可视化显示。受侵网站统计图实时对受侵网站、次数进行可视化显示。

　　3结语

　　轻量级主动入侵防御技术对eb进行了动态实时主动防御。解决了HTTPS协议的攻击和Web应用层的各种变种攻击问题。系统提供强大的分析、处理能力以及可视化入侵监测度量，提高了防御效果和执行效率，降低主动防御漏报和误报率，满足了高性能的要求。