题目：基于WebDedcoy的攻击行为特征提取研究

论文研究以国家自然基金资助项目“网络伪装协同安全模型研究”（编号：60503008）为背景。
基于B/S模式的Web应用程序部署灵活，对客户端要求比较低，成为基于网络应用程序的主流，随之而来的安全问题也成为网络安全领域的研究热点之一。
基于遗传算法、数据挖掘等方法的Web攻击行为特征提取研究中，以网络数据报为数据源，没有考虑所承载的具体业务应用的特征，而在实际应用中，同一模式的Web应用程序可能对应着领域、功能等互不相同的网络应用。为此，本文基于WebDecoy，以具体的业务应用为背景开展针对Web攻击行为特征的提取、检测技术研究，并通过实验验证了相关模型和算法的有效性。
论文主要进行了以下几个方面的工作：
（1）基于WebDecoy的攻击行为特征提取系统框架设计。该框架由WebDecoy机制伪装的业务系统模块和特征提取及检测模块两部分组成，WebDecoy机制伪装的业务系统模块用来收集进入业务系统受保护对象的数据，并将收集到的数据交给特征提取及检测模块进行分析，实现对Web攻击行为的检测。
（2）WebDecoy机制伪装业务系统的设计与实现。文中选择PHPMyAdmin为具体业务系统，通过嵌入监控代码的方式实现对具体业务系统的伪装。主要讨论代码嵌入的位置、如何嵌入代码及嵌入代码功能三个关键问题，最后选择业务系统的数据库为受保护对象，利用面向切面的编程思想和Java.io系统完成代码的自动嵌入，利用PHP提供的函数变量获取进入受保护对象的用户信息。
（3）讨论两种攻击行为特征提取及检测技术。
一是通过WebDecoy机制收集进入业务系统的Http请求，基于结构联配思想实现对Web攻击行为的特征提取及检测。利用Http请求的典型结构特征，忽略请求中单个字符的差异，把一条请求划分成若干个属性，通过属性的动态比较，得到攻击请求的相似性结构，以此结构作为攻击行为特征实现对Web攻击行为的检测。
二是通过WebDecoy机制实现对业务系统中访问请求数据的提取，基于序列模式挖掘实现对Web攻击行为的特征提取及检测。把具体业务系统能够提供的操作进行编号，用户在业务系统内的行为可以由一系列的编号组成，运用序列模式挖掘分析，得出正常行为序列模式和攻击行为序列模式；该方法引入剪枝技术和自学习功能，以提高检测效率和及早发现未知攻击。
（4）基于WebDecoy的攻击行为特征提取原型系统设计与实现，并通过实验验证了模型及相关算法的有效性。