信息系统网站常见攻击手段和防护措施

随着信息化的深入,信息系统网站的安全问题已威胁到信息系统的安全、稳定运行。为了防范恶意用户通过信息系统网站进入信息系统内部网络,并对信息系统进行恶意攻击侵害,信息系统网站的防护已成为安全评估中很重要的一项工作。以全国信息系统安全风险评估为基础,分析了安全评估过程中发现的信息系统网站安全漏洞,并对相关网站安全漏洞进行原因分析,结合安全评估过程中的工作实例加以讲解,并提出相关漏洞的安全解决办法。     

利用图像识别技术过滤海量可疑钓鱼网站

网络钓鱼攻击（phishing,又称钓鱼攻击、网络钓鱼）作为一种主要基于互联网传播和实施的新兴攻击、诈骗的方式,正呈逐年上升之势,使广大用户和金融机构遭受到财产和经济损失。如何及时、有效地识别网络钓鱼相关的互联网风险,控制钓鱼攻击可能带来的影响,已经成为各金融机构当前亟待解决的问题。因此,各大银行、证券公司以及安全公司纷纷推出自己的反钓鱼监控服务,目前的反钓鱼技术普遍采取利用爬虫主动进行大范围互联网仿冒站点的搜素,爬取大量可疑钓鱼网站,并逐一对可疑钓鱼网站进行检测,判断其是否为钓鱼网站。面对海量可疑网站,如何高效快速地检测出可疑钓鱼网站又成为一个难题。文中介绍了一种基于图像识别技术的网站徽标（LOGO）检测的新思路,用于过滤海量的可疑钓鱼网站,加快钓鱼网站的检测效率。     

多方位WEB网站安全防御系统研究

随着Web网站的快速发展,来自Web网站的安全风险越来越高。针对严峻的Web网站安全形势,以及单一的网站安全防护无法有效解决当前的Web网站安全问题的情况,文章对Web网站的安全问题展开多方面的研究。本文构建了一个集防注入/防XSS攻击功能,网站防篡改功能,Webshell检测功能于一体的多方位Web网站安全防御系统。     

Web网站SSL/TLS协议配置安全研究

SSL/TLS协议是目前通信安全和身份认证方面应用最为广泛的安全协议之一,对于保障信息系统的安全有着十分重要的作用.然而,由于SSL/TLS协议的复杂性,使得Web网站在实现和部署SSL/TLS协议时,很容易出现代码实现漏洞、部署配置缺陷和证书密钥管理问题等安全缺陷.这类安全问题在Web网站中经常发生,也造成了许多安全事件,影响了大批网站.因此,本文首先针对Web网站中安全检测与分析存在工具匮乏、检测内容单一、欠缺详细分析与建议等问题,设计并实现了Web网站SSL/TLS协议部署配置安全漏洞扫描分析系统,本系统主要从SSL/TLS协议基础配置、密码套件支持以及主流攻击测试三方面进行扫描分析;之后使用该检测系统对Alexa排名前100万网站进行扫描,并做了详细的统计与分析,发现了不安全密码套件3DES普遍被支持、关键扩展OCSP Stapling支持率不足25%、仍然有不少网站存在HeartBleed攻击等严重问题;最后,针对扫描结果中出现的主要问题给出了相应的解决方案或建议.     

基于元搜索引擎实现被篡改网站发现与攻击者调查剖析

网站篡改是目前一类主要的网络攻击形式,对网站安全运营和形象造成了严重的威胁。网站篡改攻击发现与监测是安全研究和应急响应的一个重要任务,本文引入元搜索引擎技术对网站篡改攻击进行发现,并对攻击者的互联网踪迹进行进一步搜索和调查分析。概念验证性实验结果表明元搜索引擎技术可用于构建简单有效的网站篡改监测方案,并在攻击者调查剖析方面具有其他方法不可替代的优势。     

PHP网站常见安全漏洞及防范措施

目前,基于PHP的网站开发已经成为目前网站开发的主流,本文笔者重点从PHP网站攻击与安全防范方面进行探究,旨在减少网站漏洞,希望对大家有所帮助!一、常见PHP网站安全漏洞对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。1、Session文件漏洞Session攻击是黑客最常用到的攻击手段之一。当一个用     

基于ASP.NET的网站设计安全问题研究

在基于ASP.NET开发网站过程中,网站安全是一个较为复杂的问题。针对隐藏域保护、恶意脚本注入攻击、SQL注入攻击以及数据库安全保护等问题进行了深入的分析和研究,给出了相应的安全配置策略,并提出了具体的程序设计技巧,降低了黑客入侵网站的机率,提高了网站的安全性。     

从攻击者角度谈网站安全

从网站攻击者的角度入手,分析网站攻击,了解攻击技术的原理,从而研究应对方式,做到知己知彼,更加深入地做好网站安全.     

基于ASP的网站后台手机短信实时监控系统的设计与实现

随着计算机技术的日益普及,越来越多的企事业单位建立了门户网站.网站在给单位提供便利的同时,却也要承担被黑客攻击的风险.网站的安全维护涉及的范围十分广泛,其中网站后台密码被窃取是网站被攻击的一个重要原因.本文研究当用户登录网站后台时,网站自动通过手机短信通知管理员以及时判断网站是否被攻击.     

McAfee IntruShield为美国某法律部门保驾护航

美国的某法律部门主要负责制定一系列的法律和法规。一些恶意代码或攻击会试图破坏该部门的网站，制造一些麻烦。另外，国外的黑客可能为了报复美国政府，而采取一些攻击行为，破坏该部门的网站．为了确保信息系统和数据的安全，盯部门使用了多层防护体系，包括入侵检测(JDS)．防火墙以及防病毒软件，并且使用了严格的安全政策、认证和培训。虽然使     

基于ASP．NET的网站设计安全问题研究

在基于ASP．NET开发网站过程中,网站安全是一个较为复杂的问题。针对隐藏域保护、恶意脚本注入攻击、SQL注入攻击以及数据库安全保护等问题进行了深入的分析和研究,给出了相应的安全配置策略,并提出了具体的程序设计技巧,降低了黑客入侵网站的机率,提高了网站的安全性。     

Web usage and content mining to extract knowledge for modelling the users of the Bidasoa Turismo website and to adapt it

The tourism industry has experienced a shift from offline to online travellers and this has made the use of intelligent systems in the tourism sector crucial. These information systems should provide tourism consumers and service providers with the most relevant information, more decision support, greater mobility and the most enjoyable travel experiences. As a consequence, Destination Marketing Organizations (DMOs) not only have to respond by adopting new technologies, but also by interpreting and using the knowledge created by the use of these techniques. This work presents the design of a general and non-invasive web mining system, built using the minimum information stored in a web server (the content of the website and the information from the log files stored in Common Log Format (CLF)) and its application to the Bidasoa Turismo (BTw) website. The proposed system combines web usage and content mining techniques with the three following main objectives: generating user navigation profiles to be used for link prediction; enriching the profiles with semantic information to diversify them, which provides the DMO with a tool to introduce links that will match the users taste; and moreover, obtaining global and language-dependent user interest profiles, which provides the DMO staff with important information for future web designs, and allows them to design future marketing campaigns for specific targets. The system performed successfully, obtaining profiles which fit in more than 60% of cases with the real user navigation sequences and in more than 90% of cases with the user interests. Moreover the automatically extracted semantic structure of the website and the interest profiles were validated by the BTw DMO staff, who found the knowledge provided to be very useful for the future.     

基于多维度特征的不良网站检测

目前主要是通过基于URL（Uniform Resource Locator）、关键词、图片等网页内容为特征的机器学习方法进行不良网站检测.但是,不良网站制作者也会通过更换URL,避免常见不良关键词的使用,对搜索爬虫隐藏图片等做法来规避检测,这使得基于内容的检测方法会有漏检的情况.为了更准确的检测出此类网站,本文提出了注册、解析方面的相关特征,并通过最主流的机器学习方法构建了检测模型.用模型预测新数据集,结果证明,基于解析和注册特征的检测方法可以有效的在网站集合中检测出前文提到的不良网站,并且对于一般不良也依然能够准确识别.本次研究为不良网站的检测研究提供了又一思路.     

基于日志监视主动防御 HTTP 泛洪攻击

模仿正常访问行为的HTTP泛洪攻击较为隐蔽,在消耗网站服务器资源的同时还带来信息安全隐患,提出了一种主动防御方法。用URL重写的方法使Web日志记录HTTP请求的CookieId和SessionId;定时分析Web日志,利用CookieId和SessionID识别用户,根据请求时间特征来识别傀儡主机;对HTTP请求进行预处理,拦截傀儡主机的请求。该方法成本低、便于实施,实践证明了其有效性。     

Hybrid unsupervised web-attack detection and classification – A deep learning approach

Web requests made by users of web applications are manipulated by hackers to gain control of web servers. Moreover, detecting web attacks has been increasingly important in the distribution of information over the last few decades. Also, several existing techniques had been performed on detecting vulnerable web attacks using machine learning and deep learning techniques. However, there is a lack in achieving attack detection ratio owing to the utilization of supervised and semi-supervised learning approaches. Thus to overcome the aforementioned issues, this research proposes a hybrid unsupervised detection model a deep learning-based anomaly-based web attack detection. Whereas, the encoded outputs of De-Noising Autoencoder (DAE), as well as Stacked Autoencoder (SAE), are integrated and given to the Generative adversarial network (GAN) as input to improve the feature representation ability to detect the web attacks. Consequently, for classifying the type of attacks, a novel DBM-Bi LSTM-based classification model has been introduced. Which incorporates DBM for binary classification and Bi-LSTM for multi-class classification to classify the various attacks. Finally, the performance of the classifier in terms of recall, precision, F1-Score, and accuracy are evaluated and compared. The proposed method achieved high accuracy of 98%.     

浅谈网页设计的艺术表现形式

随着网络技术的发展,越来越多的企事业单位意识到利用网络和媒体进行传播信息的重要性。网页设计作为一项设计网站的专业技术,已经逐渐的被人们所熟知。网页设计的艺术性表现在设计的整个流程之中,包括版面布局设计、色彩搭配、字体选择以及图形修饰等方面。     

基于结构与内容的Web主要信息提取方法研究

Web页面的主要信息被广告、超链等无用信息包围,是Web信息自动处理所要解决的难题.传统的信息提取方法是从内容着手,或者从结构出发,很少将两者相结合,因此提出了一种Web主要信息提取方法.该方法可以从Web页面的结构和内容两方面出发,准确地将Web内容进行分块,并对分块内容进行分析处理,从而提取出Web页面的主要信息.     

基于云计算的网站群架构及安全性设计与实践

该文以政府机构网站群建设为对象,搭建了网站群云计算构建的实验与应用平台,阐述了应用云计算支撑政府机构网站群架构及其安全性设计和应用方法i,该文主要从两方面满足网站群应用需求,一方面,以IaaS（Infrastructure as a Service）的模式搭建支撑网站群应用的云计算基础平台,以SaaS（Software as a Service）的模式搭建网站群内容管理云计算平台,另一方面,通过构建公共云和私有云环境,保障网站群系统安全和信息安全。以云计算为平台,向用户提供一站式的网站群建设、运行、监控服务,将成为政府网站群建设的新的方向．     

面向个性化站点的用户检索意图建模方法

针对个性化站点较少考虑用户检索意图的问题,提出结合交叉信息熵和词语特征信息的关键词提取方法以及结合余弦相似度和加权海明距离的文本排序方法,旨在不需要用户任何反馈的条件下,为用户推荐更满意的检索结果。通过过滤用户请求个性化站点时的访问地址,获取用户浏览的网页文本内容,从中提取能够表示用户检索意图的关键词集进行重新检索后对检索结果排序,最后将排序后的结果作为推荐模块返回给用户。实验表明,利用该方法获得的查询推荐结果能够更加符合用户检索意图,提供更好的用户体验。