2019-2020-1学期 20192417 《网络空间安全专业导论》第十一周学习总结

《网络空间安全导论》第5、8章

第5章 应用安全

5.1 应用安全概述

• 早期的应用系统采用的客户/服务器模式是一种双层的结构。
  缺点：一旦客户的业务逻辑改变，将引起应用程序的修改以及后台数据库组件的修改，耗费大量资源。
• 三层客户/服务器结构构建了一种分隔式的应用程序，由三个层次共同组成应用系统。
• 攻击者会利用Web应用系统、中间件或者数据库的漏洞进行攻击，得到Web应用服务器或者数据库服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，甚至在网页中植人恶意代码，控制应用系统并给访问者带来侵害。

5.2 常见的web应用安全漏洞

5.2.1 SQL注入漏洞

• SQL Injection漏洞是Web层面最高位的漏洞之一。 形成原因：用户输入的数据被SQL解释器执行。

• 针对SQL注入漏洞，可以采用如下几种防护手段：

  1. 参数类型检测：限制用户的输入为数字型。

  2. 参数长度检测

  3. 危险参数过滤：常见的包括关键字、内置函数、敏感字符的过滤，其过滤方法主要有以下三种：

     1）黑名单过滤

     2）白名单过滤

     3）GPC过滤

  4. 参数化查询：指数据库服务器在数据库完成SQL指令的编译后，才套用参数运行。一般作为最后一道安全防线。

5.2.2 文件上传漏洞

1.文件上传漏洞的原理

一些文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，导致允许攻击者向某个可通过Web访问的目录上传任意PHP文件并传递给PHP解释器，从而在远程服务器上执行任意PHP脚本。
造成恶意文件上传的原因主要有三种：

1. 文件上传时检查不严
2. 文件上传后修改文件名时处理不当
3. 使用第三方插件时引入

2.文件上传攻击实例分析

3.文件上传漏洞常见防护手段

系统开发阶段的防御、系统运行阶段的防御、安全设备的防御

5.2.3 XSS

1.XSS的定义

• 跨站脚本攻击(Cros Site Siping, XSS）是指攻击者利用网站程序对用户输人过能的不足，输人可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
• XSS 属于客户端攻击，受害者是用户。不要以为受害者是用户，就认为跟自己的网站、服务器安全没有关系，千万不要忘记网站管理人员也属于用户之一，这就意味着XSS可以攻击“服务器端”。

2.XSS漏洞攻击实例

3.XSS的分类

反射型XSS、存储型XSS、基于DOM的XSS

4.XSS漏洞常见的防护手段

过滤特殊字符、使用实体化编码

5.2.4 CSRF

跨站请求伪造，通常缩写为CSRF或是XSRF。

1.CSRF的原理

要完成一次CSRF攻击，受害者必须一次完成两个步骤：
1）登录受信任网站A，并在本地生成Cookie。
2）在不登出A的情况下，访问危险网站B。

2.CSRF的三种不同危害方式

论坛等可交互的地方、web攻击者、网络攻击者

3.CSRF漏洞的常见防护手段

添加验证码、验证referer、利用token

5.2.5 远程代码执行漏洞

1.远程代码执行漏洞的原理

2.远程代码执行漏洞的防范

禁用高危系统函数、严格过滤关键字符、严格限制允许的参数类型

5.3 恶意代码

5.3.1 恶意代码的定义

• 黑客通过上文介绍的几种常见安全漏洞渗透到Web应用之后，就可以通过上传恶意代码来实现对服务器的进一步控制。恶意代码( Malicious Code)又称为恶意软件，是能够在计算机系统中进行非授权操作的代码。
• 恶意代码是一种程序 ，它通过把代码在不被察觉的情况下镶嵌到另一段程序中， 从而达到破坏被感染电脑数据，运行具有入侵性或破坏性的程序，破坏被感染电脑数据的安全性、完整性和可用性，盗取应用系统和用户重要数据的目的。

5.3.2 恶意代码的特点

恶意破坏、其本身为程序、通过执行发生作用

5.3.3恶意代码的分类

逻辑炸弹、Rootkit、木马、病毒、蠕虫、Zombie、WebShell

5.3.4 恶意代码的危害

破坏数据、占据磁盘存储空间、抢占系统资源、影响计算机运行速度

5.3.5 恶意代码案例

5.3.6 典型恶意代码原理与防范分析

1. WebShell介绍
   Webhell文件通常是可执行的脚本文件，与操作系统中的木马类似，可以理解为是一种 Web脚本形式编写的木马后门，一般用于 远程控制Web服务器。WebShell 往往以ASP、PHP、ASPX、JSP等网页文件的形式存在。

2. WebShell危害

   攻击者在人侵一个Web应用服务器后，常常将这些脚本木马后门文件放置在服务器的Web目录中，然后攻击者就可以用Web页面的方式，通过脚本木马后门控制web服务器，包括上传下载文件、查看数据库、执行任意程序命令等。

3. 服务器安全设置

4. 应用安全防护

5. 控制文件上传

5.4 中间件安全

5.4.1 中间件概述

• 中间件是一种独立的系统软件或服务程序，分布式应用程序借助这种软件在不同的技术之间共享资源。中间件位于客户机/服务器的操作系统之上，管理计算资源和网络通信。
• 从中间件的定义可以看出，中间件不仅仅实现互连，还能实现应用之间的互操作。中间件是基于分布式处理的软件，定义中特别强调了其网络通信功能。

5.4.2 中间件的分类

从功能性外延来看，中间件包括交易中间件、消息中间件、集成中间件。
根据软件支撑和架构的定位来看，基本可以分为三大类：应用服务类中间件、应用集成类中间件、业务架构类中间件。

5.4.3 典型中间件安全案例

5.5 数据库安全

5.5.1 数据库概述

5.5.2 数据库标准语言SQL

5.5.3 典型数据库安全案例

---

第8章 舆情分析

8.1 舆情的概念

8.1.1 舆情与网络舆情

• 舆情包括网络舆情与社会舆情两部分。
• 网络舆情是指在网络空间内，民众围绕舆情因变事项的发生，发展和变化，通过互联网表达出来的对公共政策及其制定者的意见。

8.1.2 舆情分析的目的和意义

1）有些网络舆情可能影响政府形象，进行舆情监测和分析，能够及时了解事件及舆论动态，对错误、失误的舆论进行正确的引导。

2）政府通过舆情监测与分析，能够掌握社会民意，通过了解社会各阶层成员的情绪、态度、看法、意见以及行为倾向，有助于对是事件做出正确的判定。

3）对企业来说，有效地监测和分析舆情，及时地处理企业在网络上的相关影像，特别是负面影响显得尤为重要。

8.1.3 网络舆情的特点

1）表达的直接性

2. 舆情信息在数量上具有海量性

3）舆情信息在内容上具有随意性和交互性

4）传播的迅速性

5）产生的突发性

6）舆情信息在时间上具有实时性和继承性

7）情绪的非理性

8）舆情信息在发展上具有偏差性

9）人在面对一个受关注事件的时候，会经过几个阶段：关注前期、发展期、爆炸期、冷静期、冷却期

8.2 网络舆情的分析方法

8.2.1 检索方法

• 机器检索、人工检索

• 舆情分析中的检索方法有以下特点：

1）实际操作中自主研发的检索工具使用频率不高，普通商业搜索引擎的使用率较高。

2. 机器检索需要事先设定一个目录。

3. 机器检索负责数据的粗检索，人工检索负责数据的精细检索。

4）检索的起点是关键字或者排行榜，检索的内容是信息的属性，包括转发量、点击量、评论量、传播关键点。

8.2.2 研判方法

• 定量研判分析

  舆情按区域时间、年龄、性别、行业、性质、密度统计分析

• 定性研判分析

  舆情可信度统计研判分析、舆情价值统计研判分析、舆情等级统计研判分析、舆情历史关联统计研判分析、舆情趋势预测统计研判分析、舆情转预警预测统计研判分析

8.2.3 典型的舆情分析方法

1.双层分析法

1. 传播层分析
   传播内容的变异，包括增和减两个部分。
   信息互动存在两种模式，一是从微博讨论到网络新闻门户传播，再到传统媒体跟进；二是从传统媒体报道到网络新闻门户转载，再到微博讨论。
2. 动因层分析
   治本还需了解病因，才能真正改善社会公共治理和企业的形象，所以有必要进行动因层分析。

2.语义统计分析方法

• 语义文法的优点是能够直接从解析结果中获取句子的语义信息。
• 基于语义文法的网络舆情精准分析方法可操作性强，系统执行效率高，满足对不同结构，不同处理粒度的网络舆情文本的处理需求，具有通用性。

3.情感倾向分析方法

• 与传统的文本分类不同，文本的情感倾向性分析关注的不是文本本身的内容，而是能否自动分析出文本内容所表达的情感和态度。
• 根据文本的内容判断出作者的情感倾向，挖掘文本内容蕴含的各种观点，喜好等非内容信息。

4.基于Web的文本挖掘技术的分析方法

• 基于Web的文本挖掘的技术主要包括关联规则挖掘，序列模式挖掘，聚类分析和自动分类技术。
• 关联规则挖掘可挖掘出隐藏在数据之间的相互关系，即给定一组属性和一个记录集合，通过分析记录集合，推导出属性间的相关性。
• 序列模式挖掘侧重点在于分析数据间的前后序列关系，对网络舆情在其产生，发展，消亡的过程中表现出的特征进行序列模式分析，发现特征集之间的隐含的顺序关系，从而预测热点事件将来的发展趋势。
• 聚类分析在文本挖掘中已经应用得相当广泛，它以某种相似性度量为标准，将未标注类别的文本分成不同的类别。
• 自动分类技术是文本挖掘的关键技术，是将一个对象划分到事先定义好的类中，分类的准则是预先设定好的。通过关联分析和序列分析追踪舆情源头，有效地辅助发现并预警不良信息，及时制止舆情的进一步突变，起到辅助决策支持的作用。

8.3 舆情分析应用：网络舆情分析系统

8.3.1 基本架构

• 网络分析系统通常具有以下功能：热点话题、敏感话题识别、倾向性分析、主题跟踪、趋势分析、突发事件分析、报警系统、统计报告。
• 大数据情况下舆情系统一般由网络舆情数据采集、数据预处理、数据聚类和舆情分析和结果呈现等模块组成。

8.3.2 信息采集

随着互联网的不断普及，只采用传统方式获取信息，已经不能满足需求，网络爬虫技术( Web Crawler, Spider) 的出现在很大程度上满足了人们在较短时间内查阅大量互联网信息的需求。网络爬虫是相对成熟的一一种自动采集网页信息的方式，适用于网络舆情监控与分析系统。

8.3.3 网络资源分析

• 话题是舆情的关注点，根据话题检测与跟踪（TDT）评测会议对“话题”的定义，话题（Tpic）是一个核心事件或活动以及与之直接相关的事件或活动。
• 一般话题发现的研究方法可分为两类：第一类方法主要是寻找适合话题发现的聚类算法或者对已有的聚类算法进新房改造，另一类方法则是挖掘新的话题特征来提高检测的效果。
• 话题发现可以分为回顾式话题发现和在线新话题发现。
• 舆情分析的另一个任务是感知人们的观点、态度倾向等主观信息。

8.3.4 网页预处理

信息过滤技术（Information Filitering，IF）是根据用户的设定在抓取的网页内容中过滤掉不需要的部分，留下有用的信息并将其保存到指定位置。

8.3.5 信息挖掘

• web信息挖掘是由数据库挖掘技术演变而来的，本质是对所需的样品目标进行综合分析，提取出有效的特征值，根据特征值从web信息中分析出用户需要的有效信息。
• web信息多种多样，相对于字段固定的数据库而言组成极其复杂，因此，web信息不适合使用数据库挖掘技术进行挖掘。
• web信息挖掘主要有四个步骤：定位web信息源、数据的选择与预处理、有效模式的挖掘、模式的验证分析

8.3.6 归档管理

根据舆情数据的特点，在系统数据库中一般划分为5个数据表：站点信息表、文档信息表、话题信息表、话题发现结果表、情感分析结果表

8.3.7 舆情统计

• 对网络舆情信息的态势进行统计建模，通常属于网络计量学的范畴。
• 热点评估是指根据热点事件中公众的情感和行为反应对舆情进行等级评估并设立相应的预警阅值，词频统计和情感分类是网络舆情评估的两个主要手段。
• 当前舆情监控系统中决策支持层的主要功能有:利用现有模型对舆情信息进行分析、掌控舆情的热度和发展态势;自动生成各类统计数据和舆情报告辅助决策、实时监控;发现重要信息和敏感信息并及时预警。

8.4 舆情分析应用：网络舆情监测系统

网络舆情监测要做到：

1. 依托公开管理的职能，切实掌握网络情况，积极建立健全系统的信息数据库。
2. 对于网络上的热点新闻、事件以及人物，在实现网络监控的同时，视情况可进行网下的深入调研。
3. 充分利用计算机技术与网络技术，对网络舆情监控系统的信息进行深层挖掘，切实掌握维稳工作所涉及的各类网络舆情信息，注重舆情的有效引导。

8.4.1 网络舆情监测系统的产生

8.4.2 网络舆情监测系统的构成

• 网络舆情监测系统涉及的技术包括网络爬虫、数据挖掘、文本聚类与分类、语义抽取。
• 大致可分为几个模块： 信息采集模块、正文提取模块、文本聚类模块、文本分类模块、情感分析模块

8.4.3 网络舆情监测系统的作用

1. 及时，全面地收集舆情
2. 分析舆情
3. 监测结果将成为重要决策依据