硕士学位论文-Web服务器安全监测系统的研究与开发.pdf

分类号UDC1735331密级编号一幸l初大訾CENTRALSoUTHUNERSITY硕士学位论文论文题目瑚出服舞器安全监迩9系统的研究与开发学科、专业计算机科学与鼓本研究生姓名一芒承导师姓名及专业技术职务王僚平教援2010年05月E2=：王ResearchandDevelopmentofSecurityMonitoringSystemonWebServerSpecialty-ComputerScience&TechnologyMasterDegreeCandidate-h曼坠gSupervisor：ProfpingWangProfWeioingCollegeofInationScienceEngineeringCentralSouthUniversityChangShaHunanPRC原创性声明本人声明，所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。作者签名：琴三季!一日期：啦年月卓日学位论文版权使用授权书本人了解中南大学有关保留、使用学位论文的规定，即：学校有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文，允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科学技术信息研究所将本学位论文收录到中国学位论文全文数据库，并通过网络向社会公众提供信息服务。作者签名：叠歪兰导师签名翌垒至日期：趔!年丛日摘要在互联网普及的今天，随着Web技术的进步，学校、政府机构、企业为了提高效率都应用了大量的在线服务，使得针对Web应用的攻击和破坏行为有了大量的增长。传统的Web安全工作主要集中在网络层本身，对Web应用程序漏洞关注不够。目前，主流的硬件防火墙主要都是从网络层的角度来对W，eb服务器提供保护，不能对Web应用攻击和服务器本身的运行状态做有效的监测处理。所以，如何防护Web服务器并为其提供有效的监测成为当前Web安全研究的重要课题。本文对Web服务器所面临的安全问题和防护需求进行了详细的分析，提出了一种W曲服务器安全监测系统的设计方案，该方案将安全监测分为实时状态信息(系统性能信息和进程信息)、安全防护(W，eb应用攻击、拒绝服务攻击检测、进程监控)、安全漏洞检测(服务器漏洞检测、网页挂马扫描)三个方面。为Web服务器提供全方位的保护。本文深入的研究了Linux和Windows进程监控技术，采用事件触发的机制，通过内核驱动程序实现了对系统进程实时可靠的监控。通过分析系统漏洞检测的目标，研究其检测机制，实现了对不同Web服务器的漏洞检测功能。从系统架构和应用背景出发，采用I0多路复用技术实现系统通信模型。通过对当前拒绝服务攻击检测技术的研究和分析，采用目的端检测技术，设计并实现了基于系统性能异常的DDoS攻击的智能识别功能。关键词Web应用攻击，拒绝服务攻击，进程监控，漏洞检测ABSTRACTCurrently，withtheadvanceofWebtechnologyinordertoimprovetheworkefficiencymostschools，governmentagenciesandenterpriseshaveappliedanumberofonlineserviceswhichlcadtoalargenumberofattacksanddestructionsforW-ebapplicationsThetraditionalWebsecurityfocusesonthenetworklayerSOthewebapplicationdoesnotattractenoughattention111emainstreamhardwarefirewallsCannoteffectivelydealwithattacktotheWebapplicationsandprovideprotectiontotheWebserverneproblemofhowtomonitorandprotecttheWrebserverhasbecomeanimportantresearchsubjectT11ispaperanalyzesthewebserversecurityproblems，andproposesadesignofwebserversecuritymonitoringsystemItdividesthemonitoringsystemintothreeaspectsThefirstoneisaboutgettingtherealtimestatusinationwhichincludestheWebserverSperanceandprocessination111esecondoneissafetyprotectionwhichpreventstheattacktowebapplication，detecttheDistributedDenialofServiceandmonitorthesystemSprocessesThelastoneiSsystemvulnerabilitytesting111issystemCanprovidecomprehensiveprotectiontothewebserverThispapermakesanin-depthstudyoftheLinuxandWindowsprocesscontroltechnologyandimplementsthesystemprocessmonitoringfunctionbytheeventtriggermechanismandthekerneldriverByanalyzingthetechnologyofvulnerabilitydetection，itrealizesthefunctionofvulnerabilitydetectionondifferentWebserversAccordingtothesystemSarchitectureandtheapplicationbackgrounditusesI0multiplexingsystemcommunicationmodelItdesignsandimplementstheintelligentrecognitionofDDoSattacksbasedontheserverSperanceKEYWORDSwebapplicationattacks，DDoS，processmonitoring，vulnerabilitydetectionIl目录摘j12：IABSTRACTlI第一章绪论111课题背景介绍112课题研究的现状213研究目标与内容414论文章节安排4第二章W曲网站安全监测需求分析621W曲网站安全监测的总体目标622W曲服务器实时状态信息检测一7221服务器实时性能信息7222服务器实时进程信息723W曲服务器安全防护7231典型的W曲应用攻击一7232DDoS检测8233进程监控924W曲服务器安全漏洞检测。9241服务器漏洞检测9242网页挂马扫描。1023本章小结11第三章Web服务器安全监测系统设计1231系统设计目标1232系统总体架构1333系统主要功能模块14331安全监测系统客户端14332安全监测系统服务端16333安全监测系统监控端。1734本章小结l8第四章系统实现与关键技术2041进程监控实现与技术2042服务器安全漏洞检测2643基于主机的DDoS检测2844重要网页定时检测。3045系统通信实现与技术32451系统通信模型32452系统通信协议35Ill46系统数据库实现36461数据库系统选择36462数据库表设计与实现。3647本章小结38第五章系统测试结果3951系统开发和运行环境39511系统开发环境39512系统运行环境3952系统运行和测试结果3953本章小结43第六章结束语4461工作总结4462下一步工作展望45参考文献46致谢50攻读学位期间主要的研究成果51IV硕士学位论文第一章绪论11课题背景介绍第一章绪论随着互联网的不断普及与发展，Intemet已经在全世界范围得以普及，很多的学校、政府机构、企业为了大幅度的提升工作效率，都构建了自己的网站。然而伴随着在线信息和服务的可用性的提升，以及基于Web的攻击和破坏的增长，网站安全所面临的挑战日益严峻，安全风险达到了前所未有的高度。从传统的安全角度出发，Web服务器的安全工作主要集中在网络层和机器本身上面，几乎没有对Web应用程序的安全给与足够的重视。而目前情况是Web应用程序运行在多种不同的机器上：客户端、Web服务器、数据库服务器和应用服务器，导致出现针对Web服务器的不同的攻击方式，安全情势日益严峻。众所周知，Web服务器提供了几种不同的方式(比如GET、POST、COOKIES等)将H丁rP【lJ请求转发给应用服务器，并将获取修改过的或新的网页内容返回给最终用户，这就给攻击者和黑客的非法闯入Web服务器提供了可能。而且，由于许多Web开发人员水平参差不齐，开发出来的应用程序不一定都能考虑到各个方面的缺陷，特别是对一些经验不足的人来说，不知道如何开发安全的应用程序。他们开发的应用程序往往没有考虑到安全缺陷，而这些没有考虑到安全缺陷的应用程序往往被黑客所利用，造成网站不能访问或者被恶意篡改这些灾难性后果。目前典型的Wreb服务器安全问题有Web应用攻击(包括注入攻击、网页防篡改121、网站挂马等)，DDoS攻击131，恶意进程等，其中DDoS攻击、恶意进程往往造成w|eb服务器本身不能处理客户发送的请求而不能被其正常访问；网页篡改、网站挂马攻击者主要通过篡改网页文件等手段来达到自己的目的，会直接影响企事业单位的形象，产生不利的影响，主要方式有插入自己的广告、恶意内容等。注入攻击、网页篡改攻击事件往往具有以下特点：篡改网站页面往往针对通用的Web文件，传播速度快、阅读人群多；事前检查和实时防范比较困难；在目前复杂的网络环境下难以追踪其来源，且攻击工具简单虽然目前已有防火墙、入侵检测等安全防范手段来对Web服务器提供保护，可是Web应用攻击有别于其他攻击方式，相对来说很难被发现，这种针对应用层面的攻击可以轻松的突破防火墙和入侵检测系统的保护。例如：常见的SQL注入攻击(SQLinjection)MJ对于防火墙或者入侵检测系统来说完全是正常的数据交互查询。总之，Web应用攻击之所以与其他攻击方式不同，是因为它们对硬硕士学位论文第一章绪论件防火墙来说是正常的数据交互而很难被发现。迄今为止，该方面的安全尚未受到足够的重视，某些单位和企业主要使用防火墙和入侵检测解决方案来保护其网络和Web服务器的安全，可是硬件防火墙和入侵检测解决方案发现不了Web攻击行为。从国内来看，W|eb服务器安全监测的需求十分明显。首先金融危机导致企业的各方面的竞争更加激烈，使得传统的Web攻击更加疯狂，趋利性更加明显，企业的数据资产迫切需要保护；另一方面近些年来，发生了大量企业、政府的网站时常遭遇Web应用攻击，使众多企事业单位认识到传统的防火墙都无法完全阻止来自网络的Web应用攻击，增加了国内的行业用户对Web应用的防护意识与意愿。所以，针对当前W曲服务器所受到的应用攻击的情况，我们应该研究并设计一个Web安全监测系统的来对Web服务器进行防护。12课题研究的现状通过对现在Web服务器所受到的攻击情况进行统计和研究表明，现在对W|eb的攻击主要分为两类：一类是针对Web服务器机器本身的恶意进程、DDoS攻击，另一类是针对Web应用层和Web漏洞的攻击，主要有SQL注入、非法内容提交、网页篡改等。DDoS攻击、恶意进程主要以系统性能为出发点，使服务器系统资源耗尽，最后不能响应正常的请求。而Web应用层和Web漏洞的攻击主要是通过利用应用程序漏洞来破坏、篡改Web网页和数据库使网页不能正常访问或者造成不良的影响。针对当前DDoS攻击已有相关的公司开发了相应的硬件防火墙，例如天网防火墙、风云防火墙、冰盾DDoS防火墙等【6】，都能够在一定的带宽条件下对当前主流的DDoS攻击进行防护。可是由于SQL注入、非法内容提交、网页篡改对一般的应用防火墙来说是正常的数据流量，无论从数据包的大小，地址和内容都没有可疑的地方，从而不会触发防火墙的警报。而以最典型的例SQL注入攻击为例。在这种攻击中，一种是黑客利用网页中的表单提交的数据中包含相应的SQL语句，然后再执行，未经授权就查询数据库或操作数据库；另一种威胁就是命令执行，只要Web应用把命令发送到外壳程序，黑客就可以在服务器上随意执行命令71。目前，在国内现阶段各级大型企业网站系统和事业单位的安全措施还停留在仅限于购置硬件防火墙和入侵检测等对服务器的防护，可是Web应用攻击行为是利用操作系统和应用程序的漏洞和管理的缺陷进行攻击，而他们原有的安全防护(硬件防火墙、入侵检测)主要是针对网络层上的攻击，Web应用攻击应对他2硕士学位论文第一章绪论们来说是正常的数据交互，导致无法对Web应用攻击事件做出有效的处理。据Gartner统计：目前75攻击转移到应用层，当企业的网站不断遭到攻击，原有的防火墙已经不能满足企业对网络攻击的防御71。当前由于Web应用变得更加广泛，非法者或者网络黑客为了自己的目的使得Web应用攻击变得愈演愈烈，从而导致原有的安全观念上的防火墙和检测系统不能对当前的Web服务器提供完整的防护目前针对Web服务器的安全也有部分网络安全的厂商，做了大量的研究工作，推出了自己的安全产品。上海天存信息技术有限公司推出了iGuard网页防篡改系统【8】，该系统利用核心内嵌来实现技术，使用网页文件加密技术，为每个网页对象计算出唯一性的数字水印。用户通过浏览访问网页时，都首先将网页内容与数字水印进行对比；一旦发现网页被非法修改，即进行自动恢复，保证非法篡改的网页内容不被用户浏览。该公司还推出了iWaU应用防火墙【9】，在请求数据尚未被Web服务器软件处理之前(更在应用系统处理之前)即进行检查，区分正常用户访问Web和攻击者的恶意行为，确保所有攻击行为被过滤。固盾公司推出了固盾防火墙【lo】，采用Filter技术为IIS提供全方位安全防护，适用于任何类型的网站(asp、aspx、php、jsp等)，无需修改网站的源代码为其提供网站安全功能。北京智恒联盟科技有限公司生产的Web应用防火墙【11l(WebGuard-WAF)可以帮助用户解决目前所面临的各类网站安全问题，如：注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、信息泄露等，WebGuardWAF采用了系统底层核心技术，程序运行于系统核心层，运行级别极高，防御攻击的效果极佳。其WebGurad网页防篡改保护系统【12】采用目前最先进的系统驱动级文件保护技术，基于事件触发式监测机制，高效的实现了网页监测与防护功能，彻底杜绝了网站被非法篡改的可能。杭州安恒信息技术有限公司开发的明御TMWEB应用防火墙【13】(简称：W舡)在提供Web应用实时深度防御的同时实现Web应用加速及敏感信息泄露防护，为Web全问题，广泛适用于政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务等所有涉及Web应用的各个行业。部署安恒的WAF产品，可以帮助用户解决目前所面临的各类网站安全问题，如：注入攻击、跨站脚本攻击(钓鱼攻击、恶意编码(网页木马)、缓冲区溢出、信息泄露等。尽管现在市场上已经提供了上述产品，但是iGuard网页防篡改系统利用的3硕士学位论文第一章绪论核心内嵌技术，在实时性方面比事件触发技术要差一些；固盾防火墙只能对IISWeb服务器提供安全防护；iWall应用防火墙、WebGuardWAF应用防火墙、WebGurad网页防篡改保护系统、明御TMWEB应用防火墙尽管提供了其产品，但是其技术资料并没有公开，不能免费使用，不便于我们的研究。13研究目标与内容在分析了当前Web服务器所面临的安全情势和所遭受的攻击情况以后，我们认为：随着互连网的发展，针对Web服务器的网络攻击会越来越频繁，所以对Web服务器进行安全监测显得非常重要。我们在研究了当前各类攻击的原理和防护、检测技术的基础上，提出一个Web服务器安全监测系统的框架，该系统能够根据不同的网站服务器的需求，设定不同的防护规则，具有良好的灵活性和扩展性，文中对本系统的各个部分的设计和实现进行了详细分析和描述。本文的主要内容如下：(1)研究了当前Web服务器所遭受的主要攻击，主要包括针对Web应用的注入攻击和网页篡改f悼”】、DDoS攻击、恶意进程开启、网页挂马等，对其攻击的原理做了详细的分析。(2)针对当前Web服务器的上述各类攻击研究了其防御和检测技术，提出当前Web服务器安全监测系统应达到的具体目标，并根据该目标，提出一个Web服务器安全监测系统总体框架的设计方案，对该监测系统进行了功能划分，介绍了系统各模块主要功能，并给出了各个功能模块的详细设计方案。(3)根据设计方案，实现了Web服务器安全监测系统。(4)对该系统在现有的网站服务器上进行测试并给出测试结果。14论文章节安排本文的结构安排论文共分为六章，组织结构如下：第一章是论文的绪论部分，第二章到第五章是论文的主体部分，第六章是论文的结束语部分。第一章介绍了服务器安全监测的研究背景和意义。第二章主要讨论了Web网站安全监测需求，并对其研究的内容进行了划分和描述。第三章分析了当前Web服务器安全的状况和所面临的挑战，介绍了本监测系统所需达到的具体目标，并根据此目标提出了Web服务器安全监测系统的设4硕士学位论文第一章绪论计，介绍了系统的各个功能模块。第四章针对w，eb服务器安全监测系统的实现和关键技术进行了详细的描述。第五章展示了本系统的预IJ试结果。第六章总结了本文的研究工作，指出了本系统需完善的一些问题，并对未来研究计划进行了展望。5硕士学位论文第二章Web网站安全监测需求第二章Web网站安全监测需求分析本章主要介绍了Web网站安全监测系统的需求和总体目标，并对其研究的内容从三个方面来进行分类并做了详细的描述，首先是Web服务器实时状态信息检测，主要包括实时系统CPU、内存、网络流量和进程信息(包括进程ID、CPU、内存利用率、路径)；然后是Web服务器安全防护，主要包括针对Web服务器的SQL注入攻击、网页篡改、恶意进程以及DDoS攻击等；最后是Web服务器安全漏洞检测，主要包括服务器操作系统和服务器软件的漏洞检测，以及网页挂马。2。1Web网站安全监测的总体目标介于目前Web服务器所面临的主要攻击方式和安全形势，通过分析各项攻击的原理，研究其防护和检测技术，设计并实现一个Web服务器安全监测系统，对W曲服务器进行安全监测。对wreb网站安全监测系统的研究内容，从Wreb服务器的角度出发，根据其攻击特点划分成三个部分，Web服务器实时状态信息、W-eb服务器安全防护、Web服务器安全漏洞，实时状态信息主要包括CPU、内存、网络流量、进程信息，Web服务器安全防护主要包括Web应用攻击(SQL注入攻击、网页篡改)、DDoS检测、系统进程监控，Web服务器安全漏洞检测包括操作系统和服务器漏洞、网页挂马。安全监测的总体目标为：l、对web服务器进行防SQL注入攻击、IP地址访问限制、网页防篡改【11l处理。2、实时查看Web服务器的系统性能情况，主要包括CPU、内存利用率、网络吞吐率以及系统的实时进程状态信息。3、对系统进程进行监控，保护系统运行正常时必须启动的进程，对启动的恶意进程进行拦截。4、实时获取CPU、内存利用率、网络吞吐率的状况，根据设定的阀值做DDoS智能识别。5、监测Web服务器遭受到的Web应用攻击、DDoS攻击、恶意进程阻止信息做日志记录，包括攻击时间，攻击方式，攻击字段，攻击IP地址等，并将所有的日志记录保存到数据库，以备后续分析。6、具有远程监控功能，能够实时查看每台Web服务器的状态和所受的攻击6硕士学位论文第二章Web网站安全监测需求情况，并配置下发相应的防护规则。22Web服务器实时状态信息检测通过对Web服务器实时状态信息检测可以让Web服务器管理人员实时了解服务器当前的工作状态，为异常状况的定位和故障解除提供帮助，检测信息主要包括实时系统性能信息(CPU、内存、网络流量)和进程信息(包括进程ID、CPU、内存利用率、路径)。221服务器实时性能信息Web服务器CPU、内存利用率、网络吞吐率信息是对系统正常运行状态的真实反映，Web服务器通常由于CPU、内存利用率、网络吞吐率过高而造成客户请求响应延迟或不能处理，所以对Web服务器管理人员来说能够在远程实时查看到CPU、内存利用率、网络吞吐率信息是非常重要的，能够在任意时候对监控的Web服务器通过查看状态信息后进行异常情况定位。对不同的Web服务器操作系统来说都提供了相应的接口和命令来对原始的数据进行获取和分析。222服务器实时进程信息对Web服务器来说，往往黑客通过对其植入木马程序和病毒【161，对服务器进行破坏(篡改网页，破坏数据库，盗取管理员账户和密码等)，所以，实时获取W曲服务器的进程信息对服务器管理员来说就显得很重要了。根据系统运行时的特征分析表明任何运行在系统中的病毒和木马程序都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从系统进程信息中找到踪迹，因此，查看系统中活动的进程成为Web服务器检测病毒木马最直接的方法。23Web服务器安全防护Web服务器安全防护主要包括对Web应用的攻击(包括SQL注入、网页篡改)的过滤、DDoS攻击事件的检测、系统进程的监控三个方面。231典型的Web应用攻击(1)SQL注入攻击在程序开发的过程中，一般通过SQL这一关系数据库的结构化操作语言来7硕士学位论文第二章Web网站安全监测需求修改数据库结构和操作数据库内容。但正是其这样一个特点，往往被网络攻击者所利用，在Web应用程序表单中，攻击者通过输入非法的SQL语句作为输入参数在服务器端运行来操作应用程序的数据库，进而破坏系统的数据库而影响正常访问，这种方法就是SQL注入【17郴】。SQL注入攻击作为当前网络Web服务器攻击的主要手段之一，当前的硬件防火墙不能对其进行有效地防范，所以需要对其进行分析和过滤为Web服务器提供防护。(2)网页篡改网页篡改主要是黑客通过对要攻击的Web服务器的网页文件的篡改(比如说植入广告、插入低俗图片等)来达到自己的目的，这类攻击往往对企事业单位的形象产生很不好的社会影响，诸如政府的网站被篡改的情况时有发生，商业的竞争对手也往往通过此方法打压对手。网页防篡改主要的功能包括可定义配置对多个网页文件和具体的网页文件夹进行保护，并对其篡改行为做记录。232DDoS检测DDoS(DistributedDenialofService)，即“分布式拒绝服务俗称洪水攻击。DDoS攻击是在拒绝服务DoS(DenialofService)攻击基础上产生的一种攻击方式，最基本的DoS攻击原理是利用大量正常的请求来占用过多的服务器的系统资源，使得服务器降低处理其他正常的请求的概率或者无法处理【19-20。当前主要有三种流行的DDoS攻击：(1)SYNACKFlood攻击：这是经典最有效的DDoS方法，主要通过向受害主机或者服务器发送大量伪造源IP和端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，可以对各种系统的网络服务进行攻击，由于其伪造的特点，使得普通的防火墙防御此类攻击比较困难【211。(2)TCP全连接攻击：这是利用网络服务程序(如：IIS、Apache等Web服务器)能接受的TCP连接数的限制特点，对其建立大量的TCP连接，导致网站访问困难甚至无法访问。这种攻击需要通过许多网络僵尸主机不断地与受害服务器建立大量的TCP连接，一直到服务器的内存、CPU、网络带宽等资源被耗尽而被拖跨，从而无法对正常的访问进行响应12lJ。(3)刷Script脚本攻击：这是利用Script脚本的调用原理而是设计的DDoS攻击技术。主要针对具有数据库的网站系统。攻击者通过代理向服务器不断的提交查询、列表等大量耗费系统资源的GET或POST指令，从而消耗掉系统资源而造成无法访问【引J。8硕士学位论文第二章Web网站安全监测需求233进程监控目前主流的操作系统(Windows2000、WindowsServer2003等)自带的任务管理器和Linux的进程监控工具，提供了当前系统中正运行的进程信息，并可禁止非法进程的运行以确保系统的安全。但是，借助这些进程监控工具无法对当前运行的进程进行合法性验证，也没有提供良好的用户接口，需要使用者人为的对系统进程进行分析，对服务器管理员来说不能实时处理系统的异常进程，只能通过事后处理，是沉重的负担，这显然难以适应服务器正常运行的要求。对Web服务器安全防护来说，进程监控主要针对的进程为隐藏进程以及网络黑客通过一些恶意代码启动的进程和木马程序，防止其对系统的破坏和数据的窃取。24Web服务器安全漏洞检测241服务器漏洞检测Web服务器系统漏洞通常是指应用软件或操作系统软件在逻辑设计上的缺陷或在编程实现时留下的错误，这些缺陷或错误如果不及时进行更新，有可能被攻击者或者黑客所利用，通过植入木马、病毒等方式来攻击或控制整个服务器，进一步窃取服务器中的重要资料和文档，甚至破坏整个服务器系统，给单位和企业产生不可估量的损失12孙。漏洞的分布范围很广，包括操作系统本身及其支撑软件，网络客户端和服务器软件，网络交换机、路由器和甚至安全防火墙等。也就是说，在网络中的相关的软件和硬件设备中都有可能存在不同程度的安全漏洞问题。并且，有同样功能的不同的设备所构成的网络系统，设置在同样条件下，产生的系统漏洞不完全一样，更有甚者，就算是同样的软硬件，由于版本不一样，系统漏洞也有很大的差别，比如Windows操作系统，就不断的更新系统补丁包。Windows作为当前使用最为广泛的操作系统，我们都知道Windows系统漏洞问题是与时间紧密相关的。往往一个Windows系统从发布的当天起，系统中存在的漏洞会随着用户的深入使用而被不断暴露出来，这些被发现的漏洞也会不断的被操作系统供应商不断的发布系统补丁而得以修正或者在新的版本的系统中得以纠正网。不过令人费解的是，往往新版系统在纠正了旧版本中具有漏洞的同时，也会产生一些新的漏洞和错误，从而使得系统漏洞的检测就成了一个不断重复的过程。Linux操作系统作为在UNIX操作系统上产生的变种，目前在市场上出现9硕士学位论文第二章Web网站安全监测需求的版本也非常多，由于其源代码开放，并且用户可以根据自己的功能需要对操作系统的内核进行修改，使得其中某些版本的内核存在安全问题。从目前的情况来看，主要存在任意内核执行拒绝服务漏洞、脚本执行任意命令漏洞、保存选项无法恢复规则漏洞、拒绝服务漏洞等方面的漏洞。同理，IIS和Apache本省作为Web服务器软件，也存在相关的漏洞，所以对本文的Web服务器安全监测系统来说，主要通过查看操作系统和Web服务器软件的相关配置和补丁情况给服务器管理员以相应的提示。242网页挂马扫描我们通常把网站被挂马定义为一些黑客或者攻击者为了达到自己的目的，将自己编写的网页木马程序嵌入的被挂马的网页文件中，利用被挂马网站的流通性将自己的网页木马程序传播开去。这些网页木马程序通常是为了添加自己的非法广告、或者盗取相关用户的账号和密码、或者利用大型网站流量大的特点寻找对某些Web服务器的DDoS攻击(刷Script脚本攻击)。总的来说，网站被挂马往往让自己的网站在客户面前失去信誉，甚至会给企业造成大量客户流失，也会让我们这些用户无意中陷入黑客设下的陷阱，沦为DDoS攻击的肉机。目前主要网页挂马124J的类型如表21所示：表2-1网页挂马类型描述表类型描述框架嵌入挂马脚本调用型挂马图片伪装挂马网络钓鱼挂马利用iframe语句嵌入木马代码通过脚本调用挂马程序服务端在图片文件中隐藏木马欺骗用户执行挂马程序浏览器地址栏域名伪装挂马利用浏览器地址栏的缺陷对用户进行欺骗例如，框架嵌入式网络挂马的方式通常如下：网页木马被攻击者利用iframe语句，加载到任意网页中都可执行的挂马形式，这是最早也是最有效的一种网络挂马技术。通常的挂马代码如下：解释：用户通过浏览器在打开插入该句代码的网页后，也就打开了嵌入到其中的http：wwwxxxcommumahtml页面，但是由于它的长和宽都为“0，所以很难察觉，非常具有隐蔽性。10硕士学位论文第二章Web网站安全监测需求23本章小结本章主要分析了Web服务器安全监测系统要研究的相关内容，并从Web服务器实时状态信息检测、Web服务器安全防护和Web服务器安全漏洞检测三个方面对研究的内容作了具体的描述。硕士学位论文第三章Web服务器安全监测系统设计第三章Web服务器安全监测系统设计基于Web服务器安全监测系统是一个对企业、政府机构以及事业单位的Web服务器提供安全监测的系统，Web服务器管理员能够通过查看Web服务器攻击的日志和实时状态信息，再设置相应的防护规则来实现对Web服务器的监测。本章首先介绍系统需要达到的具体目标，然后根据目标提出了一个Web服务器安全监测系统的总体框架设计方案，并给出了系统中各模块的功能设计。31系统设计目标针对目前Web服务器所面临的安全情势和现有的主要攻击方式，结合现有Web服务器安全分析技术，设计一个Web服务器安全监测系统，实现对单个企业、政府机构以及事业单位的Web服务器所遭受的Web应用攻击、服务器安全系统的攻击进行安全监测。W曲应用攻击使用IIS提供的ISAPI扩展服务器125J功能和Apache提供的第三方扩展功能【26-271实现，通过相应的接口把服务器接收到的H1vrP请求截获下来，并获取相关的数据与设定的规则进行比较，再根据比较结果对H盯P请求进行响应处理。服务器安全系统的攻击主要从操作系统的角度出发，根据操作系统所提供的内核接口对系统进程进行监控，通过获取系统的相关性能参数做DDoS检测和根据系统配置检测服务器漏洞。系统需要达到的具体目标为：l、系统能够监测到Web服务器所接收到的所有HTTP请求，并对所有的HTTP请求包解析后根据设定的规则做防SQL注入攻击128-331、地址访问限制、网页防篡改处理。2、系统能够实时查看服务器的系统性能情况，主要包括CPU、内存利用率、网络吞吐率以及系统的实时进程状态信息。3、系统能够对服务器的进程根据具体设置，对系统进程进行监控，并且能够根据CPU、内存利用率、网络吞吐率与过去遭受DDoS攻击时的状况、设定的阀值作比较检测。4、系统能够对Web服务器遭受到的Web应用攻击、DDoS攻击、恶意进程阻止信息做日志记录，包括攻击时间、攻击方式、攻击字段、攻击IP地址等，并能够对所有的日志记录保存到数据库。5、系统具有远程监控功能，控制端能够实时查看每台Web服务器的状态和所受的攻击情况，并配置下发相应的防护规则。12硕士学位论文第三章Web服务器安全监测系统设计6、Web服务器遭受到攻击时，临时日志信息应该能够根据设定的上报时间定时上报给服务器端，然后保存到数据库，服务端能够定时检测客户端的在线状态，并且对重要的网页做访问，检测该网页的正常访问情况，做相应的日志记录。7、系统应具有良好的可扩展性，能够针对不同的客户需求对防护功能和防护规则进行设定，具备良好的实用性。32系统总体架构本监测系统的总体框架结构如图31所示，Web服务器客户端与客户端管理服务器端采用多对一的方式相连，多个客户端与服务端保持连接，服务端与数据库服务器相连，并同时通过多个Web浏览器通过监控端同时连接服务端，实现对要监测的Web服务器的分组监控。图31系统总体架构图本监测系统的客户端部署在Web服务器上，提供对Web服务器的多重安全防护和性能实时监测，对攻击行为记录日志并将警告信息返回给发送H1rP请求的客户(如IE测览器)，同时会定时将攻击和防护信息提交给服务端并保存到数据库，以供Web服务器管理员通过监控端做查询和统计分析，攻击日志的发送时间Web服务器管理员来设定。监i贝|I系统的客户端管理服务器部署在Windows平台上，结合SQLServer数据库，对客户端发送过来的攻击日志信息进行存储。并作为客户端和监控端数据交互的中心，对监控端给客户端下发的命令进行转发，同时等待客户端的响应信息并返回给监控端界面。Web监控服务器的监控端部署在IIS和Apache服务器上，可与客户管理服务器安装在同一台服务器上运行，它采用BS模式，对服务器管理人员提供客户13硕士学位论文第一章Web服务器安全监测系统设计端攻击和防护信息查询和统计功能、以及对客户端Web服务器的远程监控管理的功能。能够让Web服务器管理人员随时随地通过Web浏览器查看客户端情况和下发操作命令。本系统将首先提供支持Windows和Linux操作系统，以及IIS和Apache服务器的版本，其中Windows操作系统为2000以上，Linux操作系统为24内核以上，IIS为50以上，Apache为20以上。33系统主要功能模块本系统分为Web安全监测系统客户端，Web安全监测系统服务端，Web安全监测系统监控端=个部分，下面将从这=个部分来分别描述系统的功能模块。331安拿豁测系统客户端从图32可以看出，系统客户端分为Web应用攻击检测模块、Web服务器漏洞检测模块、Web服务器实时状态信息检测模块、系统进程监测模块、配置数据保存模块、日志处理模块、通信模块。w西安全监测ll系统客户端W曲应用攻击W曲服务器漏web服务器实系统进程监测配置数据保存时状态信息检日_毒处理模块通信模块检测模块洞检测模块模块模块测模块IWindows进程Linux进程监控监控图3-2监测系统客户端功能模块图l、Web应用攻击检测模块SQL防注入攻击通过在WebJ艮务器中加入安全防护模块，可防御GET、POST和COOKIE方式的SQL注入攻击【28。331。网页文件防篡改功能，用来防御攻击者非法上传文件、非法修改网页文件及网站挂马等攻击，同时也可以监视磐雷妥贞回被修改的情况。本系统能够保证实时防范网页被篡改的行为，并在网页被篡改后能够及时恢复。对于文件防篡改功能加入规则设定，允许对于特定的文件夹或者文件，只执行必要的保护功能，如只监测写的操作事件，不监测新建文件的操作事件。14硕士学位论文第三章Web服务器安全监测系统设计2、Web服务器漏洞检测模块网站挂马扫描功能类似与杀毒软件的功能，它根据特征码规则库扫描网站中页面并识别网页中存在的恶意代码。对于不同类型的动态页面使用专有的规则库，扫描时根据后缀名调用相应的规则库文件。对服务器的操作系统以及服务器软件进行安全性检测，并形成检测报告。根据Windows和Linux操作系统对系统漏洞，不安全的设置、非必要的服务或程序等进行检测。服务器软件(IIS和Apache)安全检测内容包括：不安全的配置、未安装的补丁包、非法的启动用户等。3、Web服务器实时状态信息检测模块实时监测系统CPU利用率、内存利用率以及网卡吞吐量。智能识别系统性能负载过重的情况，并实时上报监控端服务器，由管理员区分是正常的负载过重情况还是受到了DDoS等类型的攻击，并将处理结果保存入数据库当中，一段时期之后可根据历史数据和实时情况自动识别是否为DDoS攻击。4、系统进程监测模块客户端启动时生成系统进程快照，由于Web服务器启动后一般所执行的进程是稳定的，因此当出现新的进程或者某进程被杀死时，实时上报监控端服务器，并由管理员处理。主要针对Linux和windows两种不同的W曲服务器采用不同的技术来实现进程监控功能。5、配置数据保存模块用户可自定义配置文件和攻击日志的保存路径。配置文件中的数据以域名为单位，不同的域名使用专有的配置数据。通过类似的语法结构区别不同的域名配置段。对SQL注入攻击和网站挂马扫描，系统将自带有默认规则库，该默认规则库与用户自定义配置文件分开保存，不允许用户删除和编辑，但允许用户在配置文件中做一定程度的扩展，系统将对用户扩展的规则做语法正确性检查。其它可配置数据包括文件保护模块需要保护的文件和目录、永久IP黑名单以及系统正常运行需要的一些基本配置数据。6、日志处理模块日志处理模块将分为攻击日志和系统事件日志。攻击日志将用来记录攻击信息，主要包括注入攻击日志、文件篡改日志、DDoS检测日志。系统事件日志将用来记录客户端运行过程中发生的事件和错误15硕士学位论文第三章Web服务器安全监测系统设计信息，为服务器管理人员定位监测系统提供帮助。客户端日志将定时每天发送一次，发送内容为前一天的攻击日志、Web服务器访问日志以及操作系统安全日志。客户端受到的最新攻击将实时发送至服务端保存，并由监控端通过定时轮询的方式在服务器管理人员的浏览器界面上定时刷新显示。7、通信模块客户端上线对服务端发送上线消息。完成客户端每天攻击日志向服务端的定时发送。当客户端完成对配置规则的修改后，将其发送给服务端。接收到服务端数据请求的命令时，对命令字根据设定的通信规则进行解析，返回服务端请求的数据。对服务端定时检测客户端在线状态时，发送在线消息给服务端，告知客户端在线状态。332安全监测系统服务端从图33可以看出，系统服务端分为数据通信模块、数据解析模块、数据保存模块、重要页面定时访问模块、实时检测客户端在线状态模块。图3-3监测系统服务端功能模块图1、数据通信模块作为监测系统的服务端，随时都要侦听发送来自客户端和监控端的消息，不断接收客户端和监控端发送的请求，并对做出响应的数据发送给请求方。要接收处理的命令有来自监控端请求的命令包括获取客户端基本信息命令，获取客户端性能信息(包括CPU、内存利用率、网络吞吐率)命令，获取客户端实时攻击日志信息命令，修改客户端配置规则信息命令，客户端重启命令等。来自服务端的请求命令有客户端上线信息命令，客户端下线信息命令，定时传送临时日志信息命令，定时传送每天一次的详细日志信息命令。2、数据解析模块数据解析主要对服务端接收到的数据进行解析，包括监控端和客户端发送的命令字和数据信息。对命令字的解析根据接收到的数据的标志位判断命令来自客户端还是监控16硕士学位论文第三章Web服务器安全监测系统设计端，然后再解析其中的具体的命令功能标志位。对数据的解析主要包括对客户端详细日志信息，客户端临时日志信息，客户端配置规则信息，客户端系统性能信息，客户端系统进程信息，监控端配置规则信息。该模块对数据的解析主要完成对这些数据的分类。3、数据保存模块日志保存主要包括对接收到的数据在做完分类处理后保存到数据库的功能，先要对日志信息根据相应的日志规则做字段处理后，再通过操作相应的数据库表进行保存。这里要保存的日志信息主要有客户端详细日志信息，客户端临时日志信息，服务端检测到的重要页面访问信息。配置规则保存通过接收到配置规则数据后，再根据配置规则数据库表的格式解析成相应的字段参数然后再保存到数据库。客服端在线状态是对客户端Web服务器表中对应的服务器做在线状态的修改操作。4、重要页面定时访问检测模块主要完成对网站的重要的页面的访问速度以及是否访问正常的测试工作。根据返回的结果做相应的日志记录。包括该网页访问是否正常，当访问正常时检测其访问的速度，并对其页面的重要信息进行检测，看该页面是否被更改，对该页面不能正常访问或者重要页面信息被更改时做相应的日志记录。5、实时检测客户端在线状态模块主要通过对系统客户端的定时访问来实现在线状态的检测，服务端对所连的客户端定时发送消息，通过消息响应的方式来判断当前客户端是否在线。通过设置对客户端在线状态的检测可以得到客户端实时的状态信息，客户端只有在在线时才能响应服务端和监控端发送的操作命令。333安全监测系统监控端从图34可以看出，系统监控端分为日志查看和分析，客户端系统性能分析，远程