（计算机科学与技术专业论文）web服务器安全监测系统的研究与开发.pdf

e2 = ：王 r e s e a r c ha n dd e v e l o p m e n to fs e c u r i t y m o n i t o r i n gs y s t e mo n w e bs e r v e r s p e c i al t y - c o m p u t e rs c i e n c e & t e c h n o l o g y m a s t e rd e g r e ec a n d i d a t e - h 曼坠g s u p e r v i s o r ：p r o f p i n gwangprofweioing c o l l e g eo fi n f o r m a t i o ns c i e n c e e n g i n e e r i n g c e n t r als o u t hun i v e r s i t y c h a n g s h ah u n a np r c 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：琴三季! 一日期：啦年月卓日 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文， 允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内 容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科 学技术信息研究所将本学位论文收录到中国学位论文全文数据库， 并通过网络向社会公众提供信息服务。 作者签名：叠歪兰导师签名翌垒至日期：趔! 年丛日 摘要 在互联网普及的今天，随着w e b 技术的进步，学校、政府机构、 企业为了提高效率都应用了大量的在线服务，使得针对w e b 应用的攻 击和破坏行为有了大量的增长。传统的w e b 安全工作主要集中在网络 层本身，对w e b 应用程序漏洞关注不够。目前，主流的硬件防火墙主 要都是从网络层的角度来对w ，e b 服务器提供保护，不能对w e b 应用攻 击和服务器本身的运行状态做有效的监测处理。所以，如何防护w e b 服务器并为其提供有效的监测成为当前w e b 安全研究的重要课题。 本文对w e b 服务器所面临的安全问题和防护需求进行了详细的 分析，提出了一种w 曲服务器安全监测系统的设计方案，该方案将安 全监测分为实时状态信息( 系统性能信息和进程信息) 、安全防护 ( w ，e b 应用攻击、拒绝服务攻击检测、进程监控) 、安全漏洞检测( 服 务器漏洞检测、网页挂马扫描) 三个方面。为w e b 服务器提供全方位 的保护。 本文深入的研究了l i n u x 和w i n d o w s 进程监控技术，采用事件触发 的机制，通过内核驱动程序实现了对系统进程实时可靠的监控。通过 分析系统漏洞检测的目标，研究其检测机制，实现了对不同w e b 服务 器的漏洞检测功能。从系统架构和应用背景出发，采用i 0 多路复用 技术实现系统通信模型。通过对当前拒绝服务攻击检测技术的研究和 分析，采用目的端检测技术，设计并实现了基于系统性能异常的d d o s 攻击的智能识别功能。 关键词w e b 应用攻击，拒绝服务攻击，进程监控，漏洞检测 a bs t r a c t c u r r e n t l y ，w i t ht h ea d v a n c eo fw e bt e c h n o l o g y , i no r d e rt oi m p r o v e t h ew o r ke f f i c i e n c y , m o s ts c h o o l s ，g o v e r n m e n ta g e n c i e sa n de n t e r p r i s e s h a v ea p p l i e dan u m b e ro fo n l i n es e r v i c e sw h i c hl c a dt oal a r g en u m b e ro f a t t a c k sa n dd e s t r u c t i o n sf o rw - e b a p p l i c a t i o n s t h et r a d i t i o n a lw e b s e c u r i t yf o c u s e so nt h en e t w o r kl a y e r , s ot h ew e ba p p l i c a t i o nd o e sn o t a t t r a c te n o u g ha t t e n t i o n 1 1 1 em a i n s t r e a mh a r d w a r ef i r e w a l l sc a nn o t e f f e c t i v e l yd e a l w i t ha t t a c kt ot h ew e b a p p l i c a t i o n s a n dp r o v i d e p r o t e c t i o nt ot h ew e bs e r v e r n ep r o b l e mo fh o w t om o n i t o ra n d p r o t e c t t h ew r e bs e r v e rh a sb e c o m ea ni m p o r t a n tr e s e a r c hs u b je c t t 1 1 i sp a p e ra n a l y z e st h ew e bs e r v e rs e c u r i t yp r o b l e m s ，a n dp r o p o s e s a d e s i g no fw e bs e r v e rs e c u r i t ym o n i t o r i n gs y s t e m i td i v i d e st h e m o n i t o r i n gs y s t e mi n t ot h r e ea s p e c t s t h ef i r s to n ei sa b o u tg e t t i n gt h e r e a l t i m es t a t u si n f o r m a t i o nw h i c hi n c l u d e st h ew e bs e r v e r sp e r f o r m a n c e a n dp r o c e s si n f o r m a t i o n 1 1 1 es e c o n do n ei s s a f e t yp r o t e c t i o nw h i c h p r e v e n t st h ea t t a c kt ow e ba p p l i c a t i o n ，d e t e c tt h ed i s t r i b u t e dd e n i a lo f s e r v i c ea n dm o n i t o rt h es y s t e m sp r o c e s s e s t h el a s to n ei s s y s t e m v u l n e r a b i l i t yt e s t i n g 1 1 1 i ss y s t e mc a np r o v i d ec o m p r e h e n s i v ep r o t e c t i o n t ot h ew e bs e r v e r t h i sp a p e rm a k e sa ni n - d e p t hs t u d yo ft h el i n u xa n dw i n d o w s p r o c e s s c o n t r o l t e c h n o l o g y a n d i m p l e m e n t s t h e s y s t e mp r o c e s s m o n i t o r i n gf u n c t i o nb yt h ee v e n tt r i g g e rm e c h a n i s ma n dt h ek e r n e ld r i v e r m e t h o d b ya n a l y z i n gt h et e c h n o l o g yo fv u l n e r a b i l i t yd e t e c t i o n ，i tr e a l i z e s t h ef u n c t i o no fv u l n e r a b i l i t yd e t e c t i o no n d i f f e r e n tw e bs e r v e r s a c c o r d i n gt ot h es y s t e m sa r c h i t e c t u r ea n dt h ea p p l i c a t i o nb a c k g r o u n di t u s e si 0 m u l t i p l e x i n gs y s t e mc o m m u n i c a t i o nm o d e l i td e s i g n sa n d i m p l e m e n t st h ei n t e l l i g e n tr e c o g n i t i o no fd d o sa t t a c k sb a s e do nt h e s e r v e r sp e r f o r m a n c e k e yw o r d sw e ba p p l i c a t i o n a t t a c k s ，d d o s ，p r o c e s sm o n i t o r i n g ， v u l n e r a b i l i t yd e t e c t i o n i l 目录 摘j 1 2 ：i a b s t r a c t l i 第一章绪论1 1 1 课题背景介绍1 1 2 课题研究的现状2 1 3 研究目标与内容4 1 4 论文章节安排4 第二章w 曲网站安全监测需求分析6 2 1w 曲网站安全监测的总体目标6 2 2w 曲服务器实时状态信息检测一7 2 2 1 服务器实时性能信息7 2 2 2 服务器实时进程信息7 2 3w 曲服务器安全防护7 2 3 1 典型的w 曲应用攻击一7 2 3 2d d o s 检测8 2 3 3 进程监控9 2 4w 曲服务器安全漏洞检测。9 2 4 1 服务器漏洞检测9 2 4 2 网页挂马扫描。1 0 2 3 本章小结1 1 第三章w e b 服务器安全监测系统设计1 2 3 1 系统设计目标1 2 3 2 系统总体架构1 3 3 3 系统主要功能模块1 4 3 3 1 安全监测系统客户端1 4 3 3 2 安全监测系统服务端1 6 3 3 3 安全监测系统监控端。17 3 4 本章小结l8 第四章系统实现与关键技术2 0 4 1 进程监控实现与技术2 0 4 2 服务器安全漏洞检测2 6 4 3 基于主机的d d o s 检测2 8 4 4 重要网页定时检测。3 0 4 5 系统通信实现与技术3 2 4 5 1 系统通信模型3 2 4 5 2 系统通信协议3 5 i l l 4 6 系统数据库实现3 6 4 6 1 数据库系统选择3 6 4 6 2 数据库表设计与实现。3 6 4 7 本章小结3 8 第五章系统测试结果3 9 5 1 系统开发和运行环境3 9 5 1 1 系统开发环境3 9 5 1 2 系统运行环境3 9 5 2 系统运行和测试结果3 9 5 3 本章小结4 3 第六章结束语4 4 6 1 工作总结4 4 6 2 下一步工作展望4 5 参考文献4 6 致谢5 0 攻读学位期间主要的研究成果51 i v 硕士学位论文第一章绪论 1 1 课题背景介绍 第一章绪论 随着互联网的不断普及与发展，i n t e m e t 已经在全世界范围得以普及，很多 的学校、政府机构、企业为了大幅度的提升工作效率，都构建了自己的网站。然 而伴随着在线信息和服务的可用性的提升，以及基于w e b 的攻击和破坏的增长， 网站安全所面临的挑战日益严峻，安全风险达到了前所未有的高度。从传统的安 全角度出发，w e b 服务器的安全工作主要集中在网络层和机器本身上面，几乎没 有对w e b 应用程序的安全给与足够的重视。而目前情况是w e b 应用程序运行在 多种不同的机器上：客户端、w e b 服务器、数据库服务器和应用服务器，导致出 现针对w e b 服务器的不同的攻击方式，安全情势日益严峻。 众所周知，w e b 服务器提供了几种不同的方式( 比如g e t 、p o s t 、c o o k i e s 等) 将h 丁r p 【l j 请求转发给应用服务器，并将获取修改过的或新的网页内容返回 给最终用户，这就给攻击者和黑客的非法闯入w e b 服务器提供了可能。而且， 由于许多w e b 开发人员水平参差不齐，开发出来的应用程序不一定都能考虑到 各个方面的缺陷，特别是对一些经验不足的人来说，不知道如何开发安全的应用 程序。他们开发的应用程序往往没有考虑到安全缺陷，而这些没有考虑到安全缺 陷的应用程序往往被黑客所利用，造成网站不能访问或者被恶意篡改这些灾难性 后果。 目前典型的w r e b 服务器安全问题有w e b 应用攻击( 包括注入攻击、网页防篡改 1 2 1 、网站挂马等) ，d d o s 攻击1 3 1 ，恶意进程等，其中d d o s 攻击、恶意进程往往造 成w | e b 服务器本身不能处理客户发送的请求而不能被其正常访问；网页篡改、网 站挂马攻击者主要通过篡改网页文件等手段来达到自己的目的，会直接影响企事 业单位的形象，产生不利的影响，主要方式有插入自己的广告、恶意内容等。注 入攻击、网页篡改攻击事件往往具有以下特点：篡改网站页面往往针对通用的 w e b 文件，传播速度快、阅读人群多；事前检查和实时防范比较困难；在目前复 杂的网络环境下难以追踪其来源，且攻击工具简单 虽然目前已有防火墙、入侵检测等安全防范手段来对w e b 服务器提供保护， 可是w e b 应用攻击有别于其他攻击方式，相对来说很难被发现，这种针对应用 层面的攻击可以轻松的突破防火墙和入侵检测系统的保护。例如：常见的s q l 注入攻击( s q li n j e c t i o n ) m j 对于防火墙或者入侵检测系统来说完全是正常的数 据交互查询。总之，w e b 应用攻击之所以与其他攻击方式不同，是因为它们对硬 硕士学位论文第一章绪论 件防火墙来说是正常的数据交互而很难被发现。迄今为止，该方面的安全尚未受 到足够的重视，某些单位和企业主要使用防火墙和入侵检测解决方案来保护其网 络和w e b 服务器的安全，可是硬件防火墙和入侵检测解决方案发现不了w e b 攻 击行为。 从国内来看，w | e b 服务器安全监测的需求十分明显。首先金融危机导致企业 的各方面的竞争更加激烈，使得传统的w e b 攻击更加疯狂，趋利性更加明显， 企业的数据资产迫切需要保护；另一方面近些年来，发生了大量企业、政府的网 站时常遭遇w e b 应用攻击，使众多企事业单位认识到传统的防火墙都无法完全 阻止来自网络的w e b 应用攻击，增加了国内的行业用户对w e b 应用的防护意识 与意愿。 所以，针对当前w 曲服务器所受到的应用攻击的情况，我们应该研究并设 计一个w e b 安全监测系统的来对w e b 服务器进行防护。 1 2 课题研究的现状 通过对现在w e b 服务器所受到的攻击情况进行统计和研究表明，现在对w | e b 的攻击主要分为两类：一类是针对w e b 服务器机器本身的恶意进程、d d o s 攻击， 另一类是针对w e b 应用层和w e b 漏洞的攻击，主要有s q l 注入、非法内容提交、 网页篡改等。d d o s 攻击、恶意进程主要以系统性能为出发点，使服务器系统资 源耗尽，最后不能响应正常的请求。而w e b 应用层和w e b 漏洞的攻击主要是通 过利用应用程序漏洞来破坏、篡改w e b 网页和数据库使网页不能正常访问或者 造成不良的影响。 针对当前d d o s 攻击已有相关的公司开发了相应的硬件防火墙，例如天网防 火墙、风云防火墙、冰盾d d o s 防火墙等【6 】，都能够在一定的带宽条件下对当前 主流的d d o s 攻击进行防护。 可是由于s q l 注入、非法内容提交、网页篡改对一般的应用防火墙来说是 正常的数据流量，无论从数据包的大小，地址和内容都没有可疑的地方，从而不 会触发防火墙的警报。而以最典型的例s q l 注入攻击为例。在这种攻击中，一 种是黑客利用网页中的表单提交的数据中包含相应的s q l 语句，然后再执行， 未经授权就查询数据库或操作数据库；另一种威胁就是命令执行，只要w e b 应 用把命令发送到外壳程序，黑客就可以在服务器上随意执行命令 7 1 。 目前，在国内现阶段各级大型企业网站系统和事业单位的安全措施还停留在 仅限于购置硬件防火墙和入侵检测等对服务器的防护，可是w e b 应用攻击行为 是利用操作系统和应用程序的漏洞和管理的缺陷进行攻击，而他们原有的安全防 护( 硬件防火墙、入侵检测) 主要是针对网络层上的攻击，w e b 应用攻击应对他 2 硕士学位论文第一章绪论 们来说是正常的数据交互，导致无法对w e b 应用攻击事件做出有效的处理。 据g a r t n e r 统计：目前7 5 攻击转移到应用层，当企业的网站不断遭到攻击， 原有的防火墙已经不能满足企业对网络攻击的防御 7 1 。当前由于w e b 应用变得更 加广泛，非法者或者网络黑客为了自己的目的使得w e b 应用攻击变得愈演愈烈， 从而导致原有的安全观念上的防火墙和检测系统不能对当前的w e b 服务器提供 完整的防护 目前针对w e b 服务器的安全也有部分网络安全的厂商，做了大量的研究工 作，推出了自己的安全产品。 上海天存信息技术有限公司推出了i g u a r d 网页防篡改系统【8 】，该系统利用核 心内嵌来实现技术，使用网页文件加密技术，为每个网页对象计算出唯一性的数 字水印。用户通过浏览访问网页时，都首先将网页内容与数字水印进行对比；一 旦发现网页被非法修改，即进行自动恢复，保证非法篡改的网页内容不被用户浏 览。 该公司还推出了i w a u 应用防火墙【9 】，在请求数据尚未被w e b 服务器软件处 理之前( 更在应用系统处理之前) 即进行检查，区分正常用户访问w e b 和攻击 者的恶意行为，确保所有攻击行为被过滤。 固盾公司推出了固盾防火墙【lo 】，采用f i l t e r 技术为i i s 提供全方位安全防护， 适用于任何类型的网站( a s p 、a s p x 、p h p 、j s p 等) ，无需修改网站的源代码为其 提供网站安全功能。 北京智恒联盟科技有限公司生产的w e b 应用防火墙【1 1 l ( w e b g u a r d - w a f ) 可以帮助用户解决目前所面临的各类网站安全问题，如：注入攻击、跨站脚本攻 击( 钓鱼攻击) 、恶意编码( 网页木马) 、缓冲区溢出、信息泄露等，w e b g u a r d w a f 采用了系统底层核心技术，程序运行于系统核心层，运行级别极高，防御攻击的 效果极佳。其w e b g u r a d 网页防篡改保护系统【1 2 】采用目前最先进的系统驱动级文 件保护技术，基于事件触发式监测机制，高效的实现了网页监测与防护功能，彻 底杜绝了网站被非法篡改的可能。 杭州安恒信息技术有限公司开发的明御t m w e b 应用防火墙【1 3 】( 简称： w 舡) 在提供w e b 应用实时深度防御的同时实现w e b 应用加速及敏感信息泄露 防护，为w e b 全问题，广泛适用于政府、金融、运营商、公安、能源、税务、 工商、社保、交通、卫生、教育、电子商务等所有涉及w e b 应用的各个行业。 部署安恒的w a f 产品，可以帮助用户解决目前所面临的各类网站安全问题，如： 注入攻击、跨站脚本攻击( 钓鱼攻击 、恶意编码( 网页木马) 、缓冲区溢出、信 息泄露等。 尽管现在市场上已经提供了上述产品，但是i g u a r d 网页防篡改系统利用的 3 硕士学位论文第一章绪论 核心内嵌技术，在实时性方面比事件触发技术要差一些；固盾防火墙只能对i i s w e b 服务器提供安全防护；i w a l l 应用防火墙、w e b g u a r d w a f 应用防火墙、 w e b g u r a d 网页防篡改保护系统、明御t m w e b 应用防火墙尽管提供了其产品， 但是其技术资料并没有公开，不能免费使用，不便于我们的研究。 1 3 研究目标与内容 在分析了当前w e b 服务器所面临的安全情势和所遭受的攻击情况以后，我 们认为：随着互连网的发展，针对w e b 服务器的网络攻击会越来越频繁，所以 对w e b 服务器进行安全监测显得非常重要。我们在研究了当前各类攻击的原理 和防护、检测技术的基础上，提出一个w e b 服务器安全监测系统的框架，该系 统能够根据不同的网站服务器的需求，设定不同的防护规则，具有良好的灵活性 和扩展性，文中对本系统的各个部分的设计和实现进行了详细分析和描述。 本文的主要内容如下： ( 1 ) 研究了当前w e b 服务器所遭受的主要攻击，主要包括针对w e b 应用 的注入攻击和网页篡改f 悼”】、d d o s 攻击、恶意进程开启、网页挂马等，对其攻 击的原理做了详细的分析。 ( 2 ) 针对当前w e b 服务器的上述各类攻击研究了其防御和检测技术，提出 当前w e b 服务器安全监测系统应达到的具体目标，并根据该目标，提出一个w e b 服务器安全监测系统总体框架的设计方案，对该监测系统进行了功能划分，介绍 了系统各模块主要功能，并给出了各个功能模块的详细设计方案。 ( 3 ) 根据设计方案，实现了w e b 服务器安全监测系统。 ( 4 ) 对该系统在现有的网站服务器上进行测试并给出测试结果。 1 4 论文章节安排 本文的结构安排 论文共分为六章，组织结构如下： 第一章是论文的绪论部分，第二章到第五章是论文的主体部分，第六章是论 文的结束语部分。 第一章介绍了服务器安全监测的研究背景和意义。 第二章主要讨论了w e b 网站安全监测需求，并对其研究的内容进行了划分 和描述。 第三章分析了当前w e b 服务器安全的状况和所面临的挑战，介绍了本监测 系统所需达到的具体目标，并根据此目标提出了w e b 服务器安全监测系统的设 4 硕士学位论文 第一章绪论 计，介绍了系统的各个功能模块。 第四章针对w ，e b 服务器安全监测系统的实现和关键技术进行了详细的描述。 第五章展示了本系统的预i j 试结果。 第六章总结了本文的研究工作，指出了本系统需完善的一些问题，并对未来 研究计划进行了展望。 5 硕士学位论文第二章w e b 网站安全监测需求 第二章w e b 网站安全监测需求分析 本章主要介绍了w e b 网站安全监测系统的需求和总体目标，并对其研究的 内容从三个方面来进行分类并做了详细的描述，首先是w e b 服务器实时状态信 息检测，主要包括实时系统c p u 、内存、网络流量和进程信息( 包括进程i d 、 c p u 、内存利用率、路径) ；然后是w e b 服务器安全防护，主要包括针对w e b 服务器的s q l 注入攻击、网页篡改、恶意进程以及d d o s 攻击等；最后是w e b 服务器安全漏洞检测，主要包括服务器操作系统和服务器软件的漏洞检测，以及 网页挂马。 2 。1w e b 网站安全监测的总体目标 介于目前w e b 服务器所面临的主要攻击方式和安全形势，通过分析各项攻 击的原理，研究其防护和检测技术，设计并实现一个w e b 服务器安全监测系统， 对w 曲服务器进行安全监测。 对w r e b 网站安全监测系统的研究内容，从w r e b 服务器的角度出发，根据其 攻击特点划分成三个部分，w e b 服务器实时状态信息、w - e b 服务器安全防护、 w e b 服务器安全漏洞，实时状态信息主要包括c p u 、内存、网络流量、进程信 息，w e b 服务器安全防护主要包括w e b 应用攻击( s q l 注入攻击、网页篡改) 、 d d o s 检测、系统进程监控，w e b 服务器安全漏洞检测包括操作系统和服务器漏 洞、网页挂马。安全监测的总体目标为： l 、对w e b 服务器进行防s q l 注入攻击、i p 地址访问限制、网页防篡改【1 1 l 处理。 2 、实时查看w e b 服务器的系统性能情况，主要包括c p u 、内存利用率、网 络吞吐率以及系统的实时进程状态信息。 3 、对系统进程进行监控，保护系统运行正常时必须启动的进程，对启动的 恶意进程进行拦截。 4 、实时获取c p u 、内存利用率、网络吞吐率的状况，根据设定的阀值做 d d o s 智能识别。 5 、监测w e b 服务器遭受到的w e b 应用攻击、d d o s 攻击、恶意进程阻止信 息做日志记录，包括攻击时间，攻击方式，攻击字段，攻击i p 地址等，并将所 有的日志记录保存到数据库，以备后续分析。 6 、具有远程监控功能，能够实时查看每台w e b 服务器的状态和所受的攻击 6 硕士学位论文第二章w e b 网站安全监测需求 情况，并配置下发相应的防护规则。 2 2w e b 服务器实时状态信息检测 通过对w e b 服务器实时状态信息检测可以让w e b 服务器管理人员实时了解 服务器当前的工作状态，为异常状况的定位和故障解除提供帮助，检测信息主要 包括实时系统性能信息( c p u 、内存、网络流量) 和进程信息( 包括进程i d 、 c p u 、内存利用率、路径) 。 2 2 1 服务器实时性能信息 w e b 服务器c p u 、内存利用率、网络吞吐率信息是对系统正常运行状态的 真实反映，w e b 服务器通常由于c p u 、内存利用率、网络吞吐率过高而造成客 户请求响应延迟或不能处理，所以对w e b 服务器管理人员来说能够在远程实时 查看到c p u 、内存利用率、网络吞吐率信息是非常重要的，能够在任意时候对 监控的w e b 服务器通过查看状态信息后进行异常情况定位。对不同的w e b 服务 器操作系统来说都提供了相应的接口和命令来对原始的数据进行获取和分析。 2 2 2 服务器实时进程信息 对w e b 服务器来说，往往黑客通过对其植入木马程序和病毒【1 6 1 ，对服务器 进行破坏( 篡改网页，破坏数据库，盗取管理员账户和密码等) ，所以，实时获 取w 曲服务器的进程信息对服务器管理员来说就显得很重要了。根据系统运行 时的特征分析表明任何运行在系统中的病毒和木马程序都无法彻底和进程脱离 关系，即使采用了隐藏技术，也还是能够从系统进程信息中找到踪迹，因此，查 看系统中活动的进程成为w e b 服务器检测病毒木马最直接的方法。 2 3w e b 服务器安全防护 w e b 服务器安全防护主要包括对w e b 应用的攻击( 包括s q l 注入、网页篡 改) 的过滤、d d o s 攻击事件的检测、系统进程的监控三个方面。 2 3 1 典型的w e b 应用攻击 ( 1 ) s q l 注入攻击 在程序开发的过程中，一般通过s q l 这一关系数据库的结构化操作语言来 7 硕士学位论文第二章w e b 网站安全监测需求 修改数据库结构和操作数据库内容。但正是其这样一个特点，往往被网络攻击者 所利用，在w e b 应用程序表单中，攻击者通过输入非法的s q l 语句作为输入参 数在服务器端运行来操作应用程序的数据库，进而破坏系统的数据库而影响正常 访问，这种方法就是s q l 注入【1 7 郴】。 s q l 注入攻击作为当前网络w e b 服务器攻击的主要手段之一，当前的硬件 防火墙不能对其进行有效地防范，所以需要对其进行分析和过滤为w e b 服务器 提供防护。 ( 2 ) 网页篡改 网页篡改主要是黑客通过对要攻击的w e b 服务器的网页文件的篡改( 比如 说植入广告、插入低俗图片等) 来达到自己的目的，这类攻击往往对企事业单位 的形象产生很不好的社会影响，诸如政府的网站被篡改的情况时有发生，商业的 竞争对手也往往通过此方法打压对手。 网页防篡改主要的功能包括可定义配置对多个网页文件和具体的网页文件 夹进行保护，并对其篡改行为做记录。 2 3 2d d o s 检测 d d o s ( d i s t r i b u t e dd e n i a lo f s e r v i c e ) ，即“分布式拒绝服务俗称洪水攻击。 d d o s 攻击是在拒绝服务d o s ( d e n i a lo f s e r v i c e ) 攻击基础上产生的一种攻击方 式，最基本的d o s 攻击原理是利用大量正常的请求来占用过多的服务器的系统 资源，使得服务器降低处理其他正常的请求的概率或者无法处理【1 9 - 2 0 。 当前主要有三种流行的d d o s 攻击： ( 1 ) s y n a c kf l o o d 攻击：这是经典最有效的d d o s 方法，主要通过向受 害主机或者服务器发送大量伪造源i p 和端口的s y n 或a c k 包，导致主机的缓 存资源被耗尽或忙于发送回应包而造成拒绝服务，可以对各种系统的网络服务进 行攻击，由于其伪造的特点，使得普通的防火墙防御此类攻击比较困难【2 1 1 。 ( 2 ) t c p 全连接攻击：这是利用网络服务程序( 如：i i s 、a p a c h e 等w e b 服务器) 能接受的t c p 连接数的限制特点，对其建立大量的t c p 连接，导致网 站访问困难甚至无法访问。这种攻击需要通过许多网络僵尸主机不断地与受害服 务器建立大量的t c p 连接，一直到服务器的内存、c p u 、网络带宽等资源被耗 尽而被拖跨，从而无法对正常的访问进行响应1 2 l j 。 ( 3 ) 刷s c r i p t 脚本攻击：这是利用s c r i p t 脚本的调用原理而是设计的d d o s 攻击技术。主要针对具有数据库的网站系统。攻击者通过代理向服务器不断的提 交查询、列表等大量耗费系统资源的g e t 或p o s t 指令，从而消耗掉系统资源 而造成无法访问【引j 。 8 硕士学位论文第二章w e b 网站安全监测需求 2 3 3 进程监控 目前主流的操作系统( w i n d o w s 2 0 0 0 、w i n d o w ss e r v e r2 0 0 3 等) 自带的任务管 理器和l i n u x 的进程监控工具，提供了当前系统中正运行的进程信息，并可禁止 非法进程的运行以确保系统的安全。但是，借助这些进程监控工具无法对当前运 行的进程进行合法性验证，也没有提供良好的用户接口，需要使用者人为的对系 统进程进行分析，对服务器管理员来说不能实时处理系统的异常进程，只能通过 事后处理，是沉重的负担，这显然难以适应服务器正常运行的要求。 对w e b 服务器安全防护来说，进程监控主要针对的进程为隐藏进程以及网 络黑客通过一些恶意代码启动的进程和木马程序，防止其对系统的破坏和数据的 窃取。 2 4w e b 服务器安全漏洞检测 2 4 1 服务器漏洞检测 w e b 服务器系统漏洞通常是指应用软件或操作系统软件在逻辑设计上的缺 陷或在编程实现时留下的错误，这些缺陷或错误如果不及时进行更新，有可能被 攻击者或者黑客所利用，通过植入木马、病毒等方式来攻击或控制整个服务器， 进一步窃取服务器中的重要资料和文档，甚至破坏整个服务器系统，给单位和企 业产生不可估量的损失1 2 孙。 漏洞的分布范围很广，包括操作系统本身及其支撑软件，网络客户端和服务 器软件，网络交换机、路由器和甚至安全防火墙等。也就是说，在网络中的相关 的软件和硬件设备中都有可能存在不同程度的安全漏洞问题。并且，有同样功能 的不同的设备所构成的网络系统，设置在同样条件下，产生的系统漏洞不完全一 样，更有甚者，就算是同样的软硬件，由于版本不一样，系统漏洞也有很大的差 别，比如w i n d o w s 操作系统，就不断的更新系统补丁包。 w i n d o w s 作为当前使用最为广泛的操作系统，我们都知道w i n d o w s 系统漏 洞问题是与时间紧密相关的。往往一个w i n d o w s 系统从发布的当天起，系统中 存在的漏洞会随着用户的深入使用而被不断暴露出来，这些被发现的漏洞也会不 断的被操作系统供应商不断的发布系统补丁而得以修正或者在新的版本的系统 中得以纠正网。不过令人费解的是，往往新版系统在纠正了旧版本中具有漏洞的 同时，也会产生一些新的漏洞和错误，从而使得系统漏洞的检测就成了一个不断 重复的过程。 l i n u x 操作系统作为在u n i x 操作系统上产生的变种，目前在市场上出现 9 硕士学位论文 第二章w e b 网站安全监测需求 的版本也非常多，由于其源代码开放，并且用户可以根据自己的功能需要对操作 系统的内核进行修改，使得其中某些版本的内核存在安全问题。从目前的情况来 看，主要存在任意内核执行拒绝服务漏洞、脚本执行任意命令漏洞、保存选项无 法恢复规则漏洞、拒绝服务漏洞等方面的漏洞。 同理，i i s 和a p a c h e 本省作为w e b 服务器软件，也存在相关的漏洞，所以 对本文的w e b 服务器安全监测系统来说，主要通过查看操作系统和w e b 服务器 软件的相关配置和补丁情况给服务器管理员以相应的提示。 2 4 2 网页挂马扫描 我们通常把网站被挂马定义为一些黑客或者攻击者为了达到自己的目的，将 自己编写的网页木马程序嵌入的被挂马的网页文件中，利用被挂马网站的流通性 将自己的网页木马程序传播开去。这些网页木马程序通常是为了添加自己的非法 广告、或者盗取相关用户的账号和密码、或者利用大型网站流量大的特点寻找对 某些w e b 服务器的d d o s 攻击( 刷s c r i p t 脚本攻击) 。总的来说，网站被挂马往 往让自己的网站在客户面前失去信誉，甚至会给企业造成大量客户流失，也会让 我们这些用户无意中陷入黑客设下的陷阱，沦为d d o s 攻击的肉机。 目前主要网页挂马1 2 4 j 的类型如表2 1 所示： 表2 - 1 网页挂马类型描述表 类型描述 框架嵌入挂马 脚本调用型挂马 图片伪装挂马 网络钓鱼挂马 利用i f r a m e 语句嵌入木马代码 通过脚本调用挂马程序服务端 在图片文件中隐藏木马 欺骗用户执行挂马程序 浏览器地址栏域名伪装挂马利用浏览器地址栏的缺陷对用户 进行欺骗 例如，框架嵌入式网络挂马的方式通常如下： 网页木马被攻击者利用i f r a m e 语句，加载到任意网页中都可执行的挂马形 式，这是最早也是最有效的一种网络挂马技术。通常的挂马代码如下： 解释：用户通过浏览器在打开插入该句代码的网页后，也就打开了嵌入到其 中的h t t p ：w w w x x x c o m m u m a h t m l 页面，但是由于它的长和宽都为“0 ，所以 很难察觉，非常具有隐蔽性。 1 0 硕士学位论文 第二章w e b 网站安全监测需求 2 3 本章小结 本章主要分析了w e b 服务器安全监测系统要研究的相关内容，并从w e b 服 务器实时状态信息检测、w e b 服务器安全防护和w e b 服务器安全漏洞检测三个 方面对研究的内容作了具体的描述。 硕士学位论文第三章w e b 服务器安全监测系统设计 第三章w e b 服务器安全监测系统设计 基于w e b 服务器安全监测系统是一个对企业、政府机构以及事业单位的w e b 服务器提供安全监测的系统，w e b 服务器管理员能够通过查看w e b 服务器攻击 的日志和实时状态信息，再设置相应的防护规则来实现对w e b 服务器的监测。 本章首先介绍系统需要达到的具体目标，然后根据目标提出了一个w e b 服 务器安全监测系统的总体框架设计方案，并给出了系统中各模块的功能设计。 3 1 系统设计目标 针对目前w e b 服务器所面临的安全情势和现有的主要攻击方式，结合现有 w e b 服务器安全分析技术，设计一个w e b 服务器安全监测系统，实现对单个企 业、政府机构以及事业单位的w e b 服务器所遭受的w e b 应用攻击、服务器安全 系统的攻击进行安全监测。w 曲应用攻击使用i i s 提供的i s a p i 扩展服务器1 2 5 j 功能和a p a c h e 提供的第三方扩展功能【2 6 - 2 7 1 实现，通过相应的接口把服务器接收 到的h 1 v r p 请求截获下来，并获取相关的数据与设定的规则进行比较，再根据比 较结果对h 盯p 请求进行响应处理。服务器安全系统的攻击主要从操作系统的角 度出发，根据操作系统所提供的内核接口对系统进程进行监控，通过获取系统的 相关性能参数做d d o s 检测和根据系统配置检测服务器漏洞。 系统需要达到的具体目标为： l 、系统能够监测到w e b 服务器所接收到的所有h t t p 请求，并对所有的 h t t p 请求包解析后根据设定的规则做防s q l 注入攻击1 2 8 - 3 3 1 、地址访问限制、 网页防篡改处理。 2 、系统能够实时查看服务器的系统性能情况，主要包括c p u 、内存利用率、 网络吞吐率以及系统的实时进程状态信息。 3 、系统能够对服务器的进程根据具体设置，对系统进程进行监控，并且能 够根据c p u 、内存利用率、网络吞吐率与过去遭受d d o s 攻击时的状况、设定 的阀值作比较检测。 4 、系统能够对w e b 服务器遭受到的w e b 应用攻击、d d o s 攻击、恶意进程 阻止信息做日志记录，包括攻击时间、攻击方式、攻击字段、攻击i p 地址等， 并能够对所有的日志记录保存到数据库。 5 、系统具有远程监控功能，控制端能够实时查看每台w e b 服务器的状态和 所受的攻击情况，并配置下发相应的防护规则。 1 2 硕士学位论文 第三章w e b 服务器安全监测系统设计 6 、w e b 服务器遭受到攻击时，临时日志信息应该能够根据设定的上报时间 定时上报给服务器端，然后保存到数据库，服务端能够定时检测客户端的在线状 态，并且对重要的网页做访问，检测该网页的正常访问情况，做相应的日志记录。 7 、系统应具有良好的可扩展性，能够针对不同的客户需求对防护功能和防 护规则进行设定，具备良好的实用性。 3 2 系统总体架构 本监测系统的总体框架结构如图3 1 所示，w e b 服务器客户端与客户端管理 服务器端采用多对一的方式相连，多个客户端与服务端保持连接，服务端与数据 库服务器相连，并同时通过多个w e b 浏览器通过监控端同时连接服务端，实现 对要监测的w e b 服务器的分组监控。 图3 1系统总体架构图 本监测系统的客户端部署在w e b 服务器上，提供对w e b 服务器的多重安全 防护和