（计算机科学与技术专业论文）web主页安全防护技术的研究与实现.pdf

国防科学技术人学研究生院硕士学位论文 摘要 网络技术的发展导致w e b 主页成为恶意攻击的重要目标。主页频遭篡改、重 要数据被窃等问题，使政府和企业部门遭受了严重损失。然而现有的w e b 主页安 全防护技术不能有效保护主页的安全。w e b 主页防篡改研究已经成为信息安全领 域的热点课题。 论文首先介绍了w e b 主页面临的严重威胁，深入分析传统w e b 服务器系统的 脆弱性，指出当前主页防护技术的不足，提出可以通过加强w e b 主页访问控制和 主页访问请求的可信过滤来保护主页安全。接着，论文深入研究了传统访问控制 策略，对比指出了当前主流策略的特点和存在的问题，总结得出传统策略不能有 效应用于w e b 主页安全防护。 基于以上内容，针对信息发布型w e b 主页的安全防护，提出一种基于用户意 愿的w e b 主页访问控制策略( i n t e n t i o n b a s e dw e bp a g ea c c e s sc o n t r o lp o l i c y ，简 称i b p a c ) ，给出了策略模型的形式化定义，分析了策略的安全风险，证明了i b p a c 能够有效抵御针对w e b 主页文件的恶意篡改攻击。进一步，为了验证i b p a c 的有 效性，构建了基于i b p a c 的w e b 主页安全防护系统，介绍了系统的基本概念、安 全模型和系统整体结构，详细描述了各子系统中功能模块的定义和设计流程，并 对系统实现过程中的关键技术深入研究。 最后，对安全防护系统进行了初步测试，内容包括安全防护系统对w e b 服务 器性能的影响和防护系统防恶意篡改能力。测试结果表明，基于i b p a c 的w e b 主页安全防护系统对系统访问请求处理性能影响很小并且具有良好的安全性。 统 主题词：w e b 主页，篡改攻击，访问控制，用户意愿，w e b 主页安全防护系 第i 页 国防科学技术大学研究生院硕士学何论文 a b s t r a c t w i t ht h ed e v e l o p m e n to fi n t e r n e t ，m o r ea n dm o r em a l a t t a c k st o w a r d sw e b h o m e p a g ec o m eu p g o v e r n m e n t sa n dc o m p a n i e sh a v es u f f e r e dg r e a tp r o b l e m ss u c ha s h o m e p a g et a m p e r i n ga n di m p o r t a n td a t as t e a l i n g h o w e v e r ，c u r r e n tw i d e l yu s e d h o m e p a g e d e f e n d i n gt e c h n o l o g i e sa r ei n e f f i c i e n ta g a i n s tm a l a t t a c k s t h er e s e a r c ho n a n t i - t a m p e rh a sb e c o m eac h a l l e n g ei nt h ef i e l do fi n f o r m a t i o ns e c u r i t y f i r s t l y ，t h i sd i s s e r t a t i o ni n t r o d u c e dt h em e n a c et h eh o m e p a g ef a c i n g ，a n a l y z e dt h e w e a k n e s so ft r a d i t i o n a lw e bs e r v e rs y s t e m ，p o i n t e do u tt h e d e f i c i e n c yo fc u r r e n t h o m e p a g e d e f e n d i n gt e c h n o l o g i e s ，a n dt h e np r o p o s e dt h a tw ec a np r o t e c th o m e p a g e s a f e l yb ye n h a n c i n gt h ea c c e s sc o n t r o lt oh o m e p a g ea n db ya s s u r i n gt h er e q u e s t s a f t e r t h a t ，t h ed i s s e r t a t i o nc o m p a r e dt h ec u r r e n tp r e v a l e n ta c c e s sc o n t r o l p o l i c i e s ，a n d c o n c l u d e dt h a tt r a d i t i o n a lp o l i c i e sa r en o te f f i c i e n ti nk e e p i n g h o m e p a g es e c u r i t y b a s e do nv i e w p o i n t sa b o v e ，a i m i n ga tt h e s e c u r i t yo fi n f o r m a t i o np u b l i s h i n g h o m e p a g e ，an e ww e bp a g ea c c e s sc o n t r o lp o l i c yb a s e do nu s e r si n t e n t i o n ( b r i e f l y i b p a c ) w a sp r o p o s e d i tp u tf o r w a r dt h ef o r m a lm o d e la n di t ss e c u r i t yp r o p e r t i e s a n a l y z e dt h er i s ko ft h ep o l i c y ，a n dd e m o n s t r a t e dt h a ti b p a ci se f f i c i e n ta g a i n s t t a m p e r i n gt o w a r d sh o m e p a g e f u r t h e r m o r e ，b a s e do ni p b a c ，t h ed i s s e r t a t i o n c o n s t r u c t e dan e w s e c u r i t yh o m e p a g e - d e f e n d i n gs y s t e m ，i n t r o d u c e dt h eb a s i c c o n c e p t i o n s ，s e c u r i t ym o d e la n da r c h i t e c t u r eo ft h es y s t e m ，i l l u s t r a t e dt h ef u n c t i o n sa n d d e s i g no fm o d u l e si ne a c hs u b s y s t e mi nd e t a i l ，a n dd i s c u s s e dk e yt e c h n o l o g i e si nt h e i m p l e m e n t a t i o n f i n a l l y ，t h ed i s s e r t a t i o ns i m u l a t e da n dt e s tt h es y s t e ms i m p l y w ec a r r i e do u ts o m e t e s t s ，s u c ha s t h ei m p a c to fi b p a ct ot h es e r v e ra n dt h ec a p a b i l i t yi np r o t e c t i n g h o m e p a g e t h er e s u l ts h o w e dt h a tt h en e ws e c u r i t yh o m e p a g ed e f e n d i n gs y s t e mi sh a s l o wi m p a c to nt h es e r v e ra n di sar e l i a b l em e t h o di nh o m e p a g e p r o t e c t i o n k e yw o r d s ：w e bh o m e p a g e ，t a m p e r ，a c c e s sc o n t r o l ，u s e r si n t e n t i o n ，s e c u r i t y h o m e p a g e d e f e n d i n gs y s t e m 第i i 页 国防科学技术大学研究生院硕士学位论文 图目录 图1 1 中国大陆被篡改网页数量年份统计图1 图1 2 中国大陆被篡改网站中政府网站比例月度统计图2 图2 1 服务器数据防护技术时序层次关系图1 0 图2 2w e b 服务器工作原理1 4 图3 1 访问控制的一般模式2 1 图3 2d a c 无法防御特洛伊木马示意图2 2 图3 3 用户、角色和权限关系2 4 图3 4i m a c 家族2 4 图3 5u a 、u l 、u p 三种用户之间关系2 8 图3 6f i n 、f o u t 变化示意图2 9 图4 1 添加i b p a c 控制机制后的协议栈结构3 7 图4 2 传统w e b 服务器访| 、u j 流程图3 8 图4 3 基于i b p a c 的w e b 主页安全防护访问流程图3 9 图4 4w 曲主页安全防护系统结构图4 2 图5 1w e b 主页安全防护系统整体框架图4 5 图5 2 访问监控子系统结构图4 6 图5 3 文件访问监控模块的位置4 7 图5 4 文件访问监控模块处理流程4 8 图5 5 可信事件过滤实现5 0 图5 6 内核监控模块与用户态对话框交互图5 2 图5 7 可信加解密子系统结构图5 3 图5 8 可信加解密子系统访问流程图5 4 图6 1t e s t 测试程序运行主界面图5 9 图6 2w e b 主页原始状态6 2 图6 - 3w 曲主页被篡改后状态6 2 图6 4 系统拦截到l m w a r e e x e 的恶意访问6 3 图6 5 程序r m w a r e e x e 私自建立连接发送访问请求被拦截6 4 第1 v 页 国防科学技术人学研究生院硕士学位论文 表目录 表3 12 0 0 7 年对我国w e b 主页实施篡改的前十位黑客1 7 表3 2 篡改破坏w e b 主页的前十名的恶意代码一1 8 表6 1 改写文件的测试结果6 0 第v 页 独创声明尸明 本人声明所呈交的学位论文是我本人在导癖指导下迸行的研究工作及取得的研 究成果尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他入已 经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教育机构的学 位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意。 学位论文题目： 坠坠塞夏童全陵塑挂苤数婴窀盏塞理 学位论文作者签名：童i 重：重日期：炒3 年，x 月8 日 学位论文版权使用授权书 本入完全了解国防科学技术大学有关保留、使用学位论文的规定本人授权国 防科学技术大学可以保留并向国家有关部门或视构送交论文的复印件和电子文档，允 许论文被查阅和借阗；可以将学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印，缩印或扫描等复制手段保存、汇编学位论文 ( 保密学位论文在解密后适用本授权书。) 学位论文题目：坠垒童匮塞金堕塑拉苤鳆班窥量塞理 学位论文作者签名：寻意童 作者瓣教师签名：耻 日期：m 了年f 月巧日 日期：彻孑年，知月 g 日 国防科学技术人学研究生院硕士学位论文 第一章绪论 1 1 课题背景和意义 网络的发展使得政府、企业部门纷纷通过建立w e b 服务器来提高自身的办事 效率或拓展更多的业务，但伴随而来的安全问题也更加的严重和突出，如网站w e b 主页被恶意篡改、重要数据信息被窃取和破坏等。 图1 1 中国大陆被篡改网页数量年份统计图 中国国家计算机网络应急技术处理协调中心( c n e r t c c ) ( ( 2 0 0 7 年网络安 全报告【l 】中关于中国被篡改情况统计情况显示，2 0 0 3 年至2 0 0 7 年以来中国大陆 被篡改网站数量连年上涨。仅2 0 0 7 年，中国篡改网站数量就累计达到6 1 2 2 8 个， 比2 0 0 6 年增加了1 5 倍，平均每天就有1 7 0 多个网站主页被恶意篡改，如图1 1 所示。在众多的被篡改w e b 主页当中，有相当一部分是大陆的政府网站。报告指 出，2 0 0 7 年，中国大陆政府网站被篡改数量各月累计高达4 2 3 4 个，其中不重复的 就有3 4 0 7 个，有些政府网站的安全管理监控不足，导致网站主页被篡改后长期无 人过问，有些网站虽然在接到报告后能够尽快恢复，但由于缺乏有效的主页安全 防护技术，不能根除安全隐患，从而遭到多次恶意篡改。其中，8 月、1 0 月和1 1 月被篡改网站数量居多。2 0 0 7 年中国大陆被篡改的网站中政府网站所占比例月度 统计如图1 2 所示。从中可以看出，2 0 0 7 年每月被篡改的g o v c n 域名网站占整个 大陆地区被篡改网站的7 ，明显高于我国c n 域名下的政府网站所占的3 5 t t 例， 被篡改的g o v c n 网站的数量每年在大幅增加，问题愈来愈严重。 第l 页 国防科学技术大学研究生院硕士学位论文 中国大陆被篡改的网站中政府网站所占比例月度统计 a c 目q k c 一 * b k 嗣涮 f - 一 月z 月m 4 月 1 月 ，月”j 月1 月：2 月 k r 黼月镕* 自州 图12 中国太陆被篡改呵站中政府喇站比例月度统计图 网站主页被恶意篡改、重要数据信息被窃取，尤其对于政府和企业部门，带 来的损失将不可估量。因此，切实有效的保障w e b 服务器主页和蓐要数据信息的 安全变得极其重要。w e b 主页防护技术研究不仅是计算机领域的技术问题，已经 成为一个业界高度重视的社会问题。 尽管世界各国对w e b 主页安全技术的研究都投入了大量的资金和人力，取得 了很多骄人的成绩，也研究出很多先进的技术。但是目前的w e b 主页安全防护技 术仍存在很多亟待解决的熏要问题： ( 1 ) 无法有效拦截针对主页的恶意攻击 针对w e b 主页篡改的防护技术研究己久，但是现有的w e b 主页防篡改技术无 法及时、准确拦截针对主页文件的恶意攻击。外挂轮询技术和核心内嵌技术存在 严重的滞后性，不能及时的阻止恶意攻击对主页文件的篡改破坏；事件触发技术 虽然比前两种技术有更好的实时性，但由于无法对w e b 主页文件访问请求进行可 信性判别，导致其不能有效拦截恶意代码伪装成合法月 户对主页发出的攻击访问 请求。 ( 2 ) 对主页的隐式攻击缺乏有效防御 当前的w e b 服务器系统中，服务器程序对主页文件的访u j 不受任何限制，这 就导致服务器程序中可能存在的恶意代码将会对主页文件进行“合法”破坏。同 样的，表面上正常的应用程序可能含有恶意代码，当服务器管理员利用这些程序 对主页文件进行操作时，恶意代码对主页的攻击破坏将不可避免的。现有的主页 防护策略对于这种隐式的主页文件信息窃取和破坏攻击缺乏有效的防御。 第2 页 * i x ， b 国防科学技术大学研究生院硕士学位论文 ( 3 ) w e b 主页安全依赖操作系统安全 操作系统作为w e b 服务器系统的核心，是主页安全防护的基础和关键所在。 然而，目前的操作系统的诚实性、安全性始终是用户，尤其是安全敏感用户的心 头之患，不少国家投入巨资要研制自己的安全操作系统。毫无疑问，恶意操作系 统对w e b 主页的攻击将是彻底的、毁灭性的，这是更具挑战性的课题。 研究更安全、更有效的w e b 主页防护技术，解决w e b 主页频遭篡改等信息攻 击问题，已经成为国际上安全防护技术研究领域最具挑战性的前沿课题，如果能 够在技术上的取得突破性进展，彻底的解决w e b 主页频遭篡改问题，将有力的推 动现有的主页防护技术，对国防和国民经济建设都具有重大意义。 1 2 研究现状 当前w e b 主页安全防护主要有两种途径：一种是普适方法，即通过增强w e b 服务器数据安全来达到主页文件的防护；另一种是专用方法，针对w e b 应用服务 器，采用主页防篡改技术实现w e b 主页安全可靠。 1 2 1w e b 服务器数据防护 w e b 服务器中存储的信息越来越多，而且也越来越重要；为防止服务器发生 意外或受到意外攻击，而导致大量重要的数据丢失，服务器一般都会采用许多重 要的安全保护技术来确保其数据安全。 总的来说，w e b 服务器数据安全防护技术包括两层：外围安全和主机安全。 w e b 服务器数据外围安全防范技术往往和网络安全密切相关，是为了防御网 络上的针对w e b 服务器主页等数据攻击破坏而研究提出的安全防护措施，主要采 用的技术包括防火墙、入侵检测、入侵防护和响应恢复系统等。 ( 1 ) 防火墙 防火墙是应用最广的一种防范技术。作为系统的第一道防线，其主要作用是 监控可信任网络和不可信任网络之间的访问通道，可在内部与外部网络之间形成 一道防护屏障，拦截来自外部的非法访问并阻止内部信息的外泄【2 ，3 1 。 ( 2 ) 蜜罐系统 蜜罐【4 j 是一个陷阱，作为监视系统以及一个预警机制，用来识别、避免和在一 定程度上抵消企图劫持信息系统和网络。美国l s p i z n e r 曾对蜜罐做了定义：蜜 罐是一种资源，它的价值是被攻击或攻陷岭j 。具体的来讲，蜜罐系统最为重要的功 能是对系统中所有操作和行为进行监视和记录，可以网络安全专家通过精心的伪 第3 页 国防科学技术大学研究生院硕士学位论文 装，使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监 视下。 ( 3 ) 入侵检测 入侵检测( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 【6 ，7 1 是近年来发展起来的一种防范 技术，综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推 理等技术和方法，其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。 1 9 8 7 年，d e r o t h yd e n n i n g 首次提出了一种检测入侵的思想，经过不断发展和完善， 作为监控和识别攻击的标准解决方案，i d s 系统已经成为安全防御系统的重要组成 部分。 ( 4 ) 入侵防护系统 入侵防护系统( i n t r u s i o np r o t e c t i o ns y s t e m ，i p s ) 8 , 9 1 足在i d s 的基础上添加 了数据包过滤和主动响应，这种方法能够很好的实现攻击防御甚至防御后反击， 但是i p s 由i d s 的旁路检测升级为串接在网络端口中，因此其对信息的处理速度 成为了网络传输的一个隘口。 ( 5 ) 响应恢复 响应恢复对已经发生的安全事件和突发事件以及重大灾难性事故进行快速响 应和恢复，最大限度的减少攻击破坏的负面影响。通常包括攻击抑制、灾难恢复 和防御加固等。响应恢复是在攻击发生后采取的行动，作为防护技术具有明显的 滞后性，但对于系统恢复和重建具有重要的作用。 w e b 服务器数据防护中的主机安全防范技术通过加强w e b 服务器主机系统的 安全保证w e b 服务器上包括主页文件在内的数据信息的安全可靠，研究领域主要 有安全操作系统、安全存储设备和恶意程序防护等。 ( 1 ) 安全操作系统 由于计算机安全的基本模式存在着先天的不足，基础成分的安全性并不可信， 基于现有的硬件和操作系统的各种安全解决方案都无法从根本上解决信息安全问 题。因而许多专家认为要从根本上解决信息安全问题，就必须从基础成分入手， 研究出安全可信的操作系统 1 0 , 1 1 】。国内联想集团和国防科技大学合作研制的“麒 麟操作系统就是安全操作系统的一个案例，而且这项研究仍在继续。 ( 2 ) 安全存储设备 它所运用的技术是将入侵检测、安全日志、数据恢复等技术嵌入设备中，并 且修改访问接口，使得存储设备内部的安全记录信息不可被应用程序删改 1 2 , 1 3 , 1 4 】。 这样，存储设备在遭到破坏后，能够利用内部的数据备份恢复历史数据，对未知 第4 页 国防科学技术大学研究生院硕士学位论文 恶意程序具有了较好的防范能力。 ( 3 ) 恶意程序防御 科技进步和网络的发展使得传统的病毒制造者或攻击者开始通过新的恶意程 序攻击对计算机用户进行信息窃取和破坏。面对恶意程序日益严重的破坏，如何 有效地识别、防范与清除恶意程序已成为一个社会焦点问题。随着病毒理论的发 展和恶意程序防范的深入研究，越来越多的专家和学者开始关注和探索恶意程序 防护技术。这方面的主要技术有：反病毒软件1 6 , 1 7 】、软件安全认证技术和沙盒 技术1 9 ，2 蛇1 1 等。 1 2 2w e b 主页防篡改技术 w e b 主页的防护技术除了上述针对w e b 服务器数据防护的普适方法外，还有 专门针对w e b 应用服务器的专用方法，那就是主页防篡改技术。目前常见的w e b 主页防篡改技术主要有以下三种：外挂轮询技术、核心内嵌技术和事件触发技术。 ( 1 ) 外挂轮询技术 利用一个专门的网页读取和检测程序，以轮询方式读出要监控的网页，与真 实网页相比较，判断网页内容的完整性，对于被篡改的网页进行报警和重新恢复。 ( 2 ) 核心内嵌技术 将篡改检测模块内嵌在w e b 服务器软件里，在每一个网页流出时都进行完整 性检查，对于被篡改网页进行实时访问阻断，并予以报警和恢复。 ( 3 ) 事件触发技术 利用操作系统的文件系统或驱动程序接口，在网页文件被修改时进行合法性 检查，对于非法操作进行报警和恢复。 1 2 3 主页防护技术发展趋势 w e b 主页防护技术安全研究的发展趋势是多层立体防范体系。立体化、多层 次的防范体系分为网关防护、内网网络层防护和主机防护三个层次。网关防护是 指设置边界防火墙，管理内、外网之间的访问。内网网络层防护是由网络入侵监 测系统和内网防火墙来共同完成。主机防护由主机防火墙和主机入侵检测产品完 成，这两者通常集成在同一个产品中，安装在被保护主机的操作系统上，并嵌入 到操作系统的核心层。而以数据为中心的病毒、恶意程序防护和w e b 主页防篡改 技术必将成为w e b 主页安全防护技术研究的重要内容。 第5 页 国防科学技术大学研究生院硕+ 学位论文 1 3 论文研究内容 硕士课题研究期间，作者在w e b 主页防篡改技术方面做了大量的理论研究和 实践工作，提出了w e b 主页访问控制策略，在此基础上提出了w e b 主页安全防护 系统，对系统模型的建立、性质的分析验证以及系统实现测试等问题进行了深入 的研究，主要研究内容概括如下： ( 1 ) w e b 服务器缺陷分析 对w e b 服务器系统模型深入研究，分析了模型的安全缺陷，指出当前w e b 主 页频遭篡改的原因在于传统w e b 服务器系统对主页文件的访问控制不足和服务器 访问请求可信性无法保证。 ( 2 ) w e b 主页访问控制策略研究 对传统访问控制策略进行深入细致的研究，指出传统访问控制策略防御不足 的根本原因，针对主页访l 、口j 控制不足和系统访问请求可信性无法判别等问题，探 讨w e b 主页安全访问控制策略，进一步研究策略的核心思想、形式化模型、模型 的理沦分析证明以及策略的安全性质，并对策略的风险进行分析。 ( 3 ) w e b 主页防护系统模型研究 基于上述安全访问控制策略提出相应的w e b 主页安全防护系统，建立安全模 型，对系统日标、模型特性、系统安全性质等深入研究和论证。 ( 4 ) 安全防护系统实现与测试 对防护系统的整体结构和各个子系统、功能模块详细定义，详细描述了系统 设计流程，研究w e b 主页安全防护系统设计与实现的关键技术。最后以w i n d o w s 和a p a c h e 为实验平台，深入实践，实现系统并进行了相关测试。 1 4 主要贡献 本文针对w e b 服务器主页频遭篡改问题，深入分析了传统w e b 服务器模型， 指出传统服务器具有访问控制不足、可信性无法保证等安全缺陷，而现有主页防 护技术不能有效的保护服务器主页的安全，提出了一种基于i b p a c 的w e b 主页安 全防护系统，构建了安全系统模型，对模型特性和系统安全性质深入分析，最终 设计实现系统并广泛测试。论文的主要贡献包括： ( 1 ) 指出w e b 服务器存在可信缺陷 对传统w e b 服务器研究分析，指出当前主页频遭篡改问题的原因在于系统存 在访问控制不足和访问请求的可信性无法保证等缺陷。传统w e b 服务器系统无法 第6 页 国防辩学技术大学研究生院颈学位论文 判别接收到的请求是否用户( 人) 的真实意愿，霹不能判别该请求是用户( 人) 自己发出的请求还是恶意代码伪装成为用户发出模拟发出的请求，从而不能有效 防御恶意的篡改攻击。迸一步针对服务器存在的安全缺陷，提出了如何构建可信 的安全w e b 服务器。 ( 2 ) 提出w e b 主页访问控制策略 为了有效解决主页访问控制不足和w e b 服务器访问请求可信性无法保证的缺 陷，深入研究传统访问控制策略的不足， 闯控制策略。策略具有很好的安全性质， 进而提出了基于用户意愿的w e b 主页访 能够有效防御己知和未知的恶意程序对 w e b 主页文件的攻击破坏，它的提出对于主页安全防篡改技术的发展有着重要的 意义。 ( 3 ) 提出w e b 主页安全防护系统 论文在对基于用户意愿的w e b 主页访闻控制策略深入研究的基础上，提出相 应的w e b 主页安全防护系统，详细鲻述了系统目标、模型定义和模型特性，通过 理论分析证明了系统的安全性质，表明系统能够保证仅对用户( 人) 的真实请求 安全响应，解决了传统w e b 服务器的可信性不足，有效的防止了恶意代码对w e b 主页的篡改攻击，系统的提出将有力的解决当前w e b 服务器主页频遭篡改的安全 阏题。 ( 4 ) w e b 主页防护系统实现与测试 以w i n d o w s 和a p a c h e 为平台设计并初步实现了防护系统，并对系统进行了相 关测试。内容包括安全防护系统的实施对w e b 服务器系统性能的影响、系统防范 恶意攻击的能力等。论文将这种新的w e b 主页安全防护系统实现并测试，为其实 际投入应用奠定了基础。 1 5 论文结构 全文分为七章： 第一章，绪论。阑述了课题的研究背景和意义，分析了尽前国内外关于w e b 服务器数据安全防护的研究现状，提出课题的研究内容和创新点，最后介绍了论 文主要工作和贡献； 第二章，w 曲主页防护技术。本章简要介绍了当前w e b 主页面晒的安全威胁， 针对w e b 主页频遭篡改的阏题，指出当前w e b 主页安全防护主要有两种途径：一 种是通过增强w e b 服务器数据安全来达到主页文件的防护；另一种是针对w e b 应 用服务器，采用主页防篡改技术实现w e b 主页安全可靠。首先分析了w e b 服务器 第7 页 国防科学技术大学研究生院硕士学位论文 数据防护技术的不足。接管深入研究指出传统w e b 服务器系统存在主页文件访问 控制不足和主页访问请求可信性不足等安全缺陷，进一步对比分析了现有主页防 篡改技术的不足； 第三章，w e b 主页访问控制策略。本章首先对当前主页遭篡改事件分析总结， 提出可以通过加强安全访问控制以保护w e b 主页的安全。接着深入研究传统访问 控制策略，指出传统策略不能有效防止主页文件遭受恶意攻击和破坏。为了解决 w e b 服务器主页访问控制不足和可信性不足等问题，从用户意愿出发提出w e b 主 页访问控制策略，详细描述了策略的定义、安全性质等，并从理论上分析论证了 策略的安全风险； 第叫章，w e b 主页安全防护系统。将w e b 主页访问控制策略应用于w e b 主页 防篡改，提出一种新的w e b 主页安全防护系统，介绍了系统的基本概念和访问规 则，详细描述了系统目标、安全模型和模型特性，分析证明了系统的安全性质， 并提出了安全防护系统的实现结构； 第五章，系统设计与实现。阐述了系统的整体实现框架，介绍了安全防护系 统中各个子系统和功能模块定义，研究了其中的关键实现技术，对具体的设计实 现流程进行了详细的描述； 第六章，系统测试。在系统初步实现的基础上测试了安全防护系统的实施对 系统性能的影响，并对安全系统防恶意篡改攻击的能力进行了测试分析： 第七章，结束语。总结了全文，并展望了下一步工作。 第8 页 国防科学技术大学研究生院硕士学位论文 第二章w e b 主页防护技术 网络的飞速发展导致w e b 主页成为恶意攻击的重要目标。w e b 主页被恶意篡 改、重要数据被窃取给政府和企业部门造成了严重的损失，为了防止w e b 主页遭 受恶意篡改攻击，w e b 主页安全防护技术应运而生。 当前w e b 主页安全防护主要有两种途径：一种是普适方法，即通过增强w e b 服务器数据安全来达到主页文件的防护；另一种是专用方法，即网页防篡改技术。 本章首先介绍w e b 主页面临的安全威胁，接着介绍了w e b 服务器数据安全防护技 术，然后分析研究了w e b 服务器系统存在的安全缺陷和现有w e b 主页防篡改技术。 2 1w e b 主页篡改问题严重 c n e r t c c 关于我国网站被篡改情况月度报告1 2 2 j 指出，2 0 0 8 年1 月到9 月期 问，我国被篡改网站数量惊人，3 月份我国被篡改网站的数量超过9 0 0 0 多个。仅 2 0 0 8 年9 月1 日至3 0 日，我国遭篡改的网站数量就高达2 5 9 3 个，其中大陆2 5 2 7 个，香港和台湾地区分别为3 8 个和2 5 个。在2 5 2 7 个被篡改的大陆网站中，政府 部f - j g o v c n 网站被篡改的数量为1 6 3 个，约占大陆被篡改网站的6 4 5 。报告称， 2 0 0 8 年1 月至9 月，大陆g o v c n 网站被篡改的数量累计达3 0 0 6 个，其中不重复 的就有2 4 8 2 个。由于缺乏有效的w e b 主页安全防护技术，很多网站主页被攻击篡 改后不能及时恢复，或者不能根除安全隐患导致网站主页多次被恶意篡改攻击。 随着网络技术的发展黑客们的攻击方式和目的也产生了很大变化，由传统科 技研发到威胁全球的技术炫耀，转变成为今天通过互联网上的黑客攻击来谋取经 济利益，导致恶意攻击篡改w e b 主页的问题日益严重。 2 2w e b 服务器数据防护技术 w e b 服务器的信息越来越重要。为防止服务器发生意外或受到意外攻击，而 导致大量重要的数据丢失，服务器一般都会采用许多重要的安全保护技术来确保 其数据安全。总的来说，w e b 服务器数据防护包括两层：外围安全和主机安全。 2 2 1 外围安全防护 w e b 服务器数据外围安全防范技术往往和网络安全密切相关，是为了防御网 络上的针对w e b 服务器主页等数据攻击破坏而研究提出的安全防护措施，主要采 用的技术包括防火墙、入侵检测、入侵防护和响应恢复系统等。 第9 页 围防科学技术大学研究生院硕士学位论文 根据各防护技术时序和功能，可以将其分为如下四个层次：预防在攻 击发生前，对服务器进行防护，主要技术如防火墙。预警在潜在的危害或 攻击发生前，向管理人员提示和告警，如蜜罐系统等。检测、防护攻击发 生时或发生一段时间后的系统安全检测，甚至增加数据包过滤和主动防护技术， 如入侵监测系统和入侵防护系统。响应恢复在系统遭受了攻击后，快速响 应攻击，对服务器数据恢复。服务器数据安全防护技术时序层次关系如图2 1 所示。 掣孽卜匮丑 9 二0 0 i _ 时序_ t t _ 卜_ h _ ，于 匝茎h 茎丑 查卜盛丑一 图2 1 服务器数据防护技术时序层次关系图 ( 1 ) 防火墙 防火墙是应用最广的一种防范技术。作为系统的第一道防线，其主要作用是 监控可信任网络和不可信任网络之间的访问通道，可在内部与外部网络之间形成 一道防护屏障，拦截来自外部的非法访问并阻止内部信息的外泄【2 捌，本身具体较 强的抗攻击能力。 但防火墙作为一个网络的隔离设备，仍然存在很多的不足：防火墙虽然能 够有效阻止网络外部的攻击，但它对来自网络内部的袭击不能有效防御；攻击 者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门进而对服务器进行 攻击。防火墙是根据事先设定的规则来确定是否拦截信息流的进出，但无法动 态识别或自适应地调整规则，因而其智能化程度很有限，漏报、误报的情况时有 发生。 ( 2 ) 蜜罐系统 蜜罐【4 】是一个陷阱，作为监视系统以及一个预警机制，用来识别、避免和在一 定程度上抵消企图劫持信息系统和网络。美国l s p i z n e r 曾对蜜罐做了定义：蜜 罐是一种资源，它的价值是被攻击或攻陷【5 】。具体的来讲，蜜罐系统最为重要的功 能是对系统中所有操作和行为进行监视和记录，可以网络安全专家通过精心的伪 装，使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监 视下。管理员通过研究和分析攻击者的访问记录，可以得到攻击者采用的攻击工 具、攻击手段、攻击目的和攻击水平等信息，为进一步的防护和反击提供支持。 第1 0 页 国防科学技术大学研究生院硕士学位论文 传统的防火墙、入侵检测技术和病毒防护技术都是在攻击者对网络进行攻击时对 系统进行被动的防护，而蜜罐技术可以采取主动防御的方式。 尽管蜜罐系统作为传统网络安全防护技术的有力补充，具有很多的优点，但 它的缺点也非常明显：无论使用者如何建立和使用蜜罐，只有它受到攻击，它 的作用才能发挥出来。假如有经验的攻击者躲过了蜜罐系统，那么它就完全失去 作用。作为一种网络防护技术，它不能实时的拦截恶意的攻击，只能在系统遭 受攻击甚至沦陷后作为一种帮助管理员分析入侵者行为的技术。 ( 3 ) 入侵检测 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 【6 7 2 3 】是近年来发展起来的一 种防范技术，综合采用了统计技术、规则方法、网络通信技术、人工智能、密码 学、推理等技术和方法对入侵行为进行检测，通过对计算机网络或计算机系统中 的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全 策略的行为和被攻击的迹象。1 9 8 7 年，d e r o t h yd e n n i n g 首次提出了一种检测入侵 的思想，经过不断发展和完善，作为监控和识别攻击的标准解决方案，i d s 系统已 经成为安全防御系统的重要组成部分。 入侵检测系统在不断提高检测能力，扩大检测范围的同时，在实际环境的运 行中也暴露出了一些问题：入侵监测系统具有严重的滞后性，它不能在入侵行 为发生之前，预先报警；也不能在入侵行为对系统造成危害之前，对其阻止； 入侵检测的规则和模型不易创建和维护。 ( 4 ) 入侵防护 入侵防护系统( i n t r u s i o np r e v e n t i o ns y s t e m ，i p s ) 1 8 , 9 】是在i d s 的基础上添加 了数据包过滤和主动响应，这种方法能够很好的实现攻击防御甚至防御后反击， 但是i p s 由i d s 的旁路检测升级为串接在网络端口中，因此其对信息的处理速度 成为了网络传输的一个隘口。 ( 5 ) 响应恢复 响应恢复阶段对已经发生的安全事件和突发事件以及重大灾难性事故进行快 速响应和恢复，最大限度的减少攻击破坏的负面影响。通常包括攻击抑制、灾难 恢复和防御加固等。 在发现入侵行为后，为及时切断入侵、抵抗攻击者的进一步破坏行动，做出 及时准确的响应是必须的。使用实时响应阻断系统、攻击源跟踪系统、取证系统 和必要的反击系统来确保响应的准确、有效和及时，预防同类事件的再发生并为 捕获攻击者提供可能，为抵抗黑客入侵提供有效的保障。恢复是防范体系的又一 第1 1 页 国防科学技术大学研究生院硕士学位论文 个环节，无论防范多严密，都很难确保万无一失，使用完善的备份机制确保内容 的可恢复，借助自动恢复系统、快速恢复系统来控制和修复破坏，将损失降至最 低。 响应恢复是在攻击发生后采取的行动，作为防护技术具有明显的滞后性，但 对于系统恢复和重建具有重要的作用。 2 2 2 主机安全防护 w e b 服务器数据防护中的主机安全防范技术通过加强w e b 服务器主机系统的 安全保证w e b 服务器上包括主页文件在内的数据信息的安全可靠，研究领域主要 有安全操作系统、安全存储设备和恶意程序防护等。 ( 1 ) 安全操作系统 由于计算机安全的基本模式存在着先天的不足，基础成分的安全性并不可信， 基于现有的硬件和操作系统的各种安全解决方案都无法从根本上解决信息安全问 题。因而许多专家认为要从根本上解决信息安全问题，就必须从基础成分入手， 研究出安全可信的操作系统。 尽管各国都非常重视安全操作系统的研发，如我国的8 6 3 计划、国家自然科 学基金等均支持安全操作系统的研究，但其研制难度很大。根本原因在于操作系 统结构复杂、代码规模极其庞大。按照计算机系统安全等级a l 级【lo j 要求，系统 开发必须包括一个严格的设计、控制和验证过程，要运用数学证明方法加以验证， 而且必须进行秘密通道和可信任分布的分析。操作系统的复杂和庞大规模与此是 相违背的。在目前的技术条件下，操作系统的安全性是不容易让人信服的1 2 4 j 。 ( 2 ) 安全存储设备 安全存储设备所运用的技术是将入侵检测、安全日志、数据恢复等技术嵌入 设备中，并且修改访问接口，使得存储设备内部的安全记录信息不可被应用程序 删改【1 2 , 1 3 , 1 4 】。这样，存储设备在遭到破坏后，能够利用内部的数据备份恢复历史数 据，对未知恶意程序具有了较好的防范能力。目前比较热门的安全技术有i s c s i 技术、全自动备份技术、事务跟踪技术、自动检验技术等。 安全存储设备提供了很好的解决方案解决防御入侵者私自篡改或者永久删除 存储数据。然而，由于安全存储没备的设计仍然基于传统计算机系统，因而存在 一些无法避免的缺陷。首先，安全设备无法及时防御攻击行为，因为根据其原理， 必须在攻击入侵行为发生之后，入侵检测系统才能检测到，然后进行挽救恢复措 施。此外，安全储存设备需要巨大的额外空间进行操作记录和数据备份，短短几 第1 2 页 国防科学技术大学研究生院硕士学位论文 周就可能耗光上百g b 容量的磁盘【1 2 , 1 3 】，同时，性能会有比较明显的下降。 ( 3 ) 恶意程序防御 科技进步和网络的发展使得传统的病毒制造者或攻击者开始通过新的恶意程 序攻击对计算机用户进行信息窃取和破坏。面对恶意程序日益严重的破坏，如何 有效地识别、防范与清除恶意程序已成为一个社会焦点问题。随着病毒理论的发 展和恶意程序防范的深入研究，越来越多的专家和学者开始关注和探索恶意程序 防护技术【15 1 。这方面的主要技术有：反病毒软件1 6 , 1 7 、软件安全认证技术【1 8 1 和沙 盒技术【1 9 , 2 0 , 2 1 】等。 恶意程序防御研究中，病毒的定义一直是计算机安全领域的一个重要研究课 题【2 5 , 2 6 】。研究人员希望能通过恶意程序的精确定义，进而构造恶意程序的准确判 断算法，准确查、杀各类恶意程序。1 9 8 4 年，c o h e n 博士首先从技术角度给出了 病毒的定义【2 7 】：“计算机病毒是一种程序，它可以感染其它程序，感染的方式为 在被感染程序中加入计算机病毒的一个副本，这个副本可能是在原病毒基础上演 变过来的。随后，c o h e n 给出了病毒的形式化定义【1 7 ，2 7 1 ，将病毒的范围扩大了所 有的自我复制程序，以及在系统或网络中发展和移动的程序。在c o h e n 之后，很 少有人提出有影响力的新的形式化定义【1 6 , 2 8 】。c o h