WEB應用監(jiān)測工具的研發(fā)與實施

丁　全， 劉朋熙， 錢光超

(1.國網(wǎng)安徽省電力公司電力科學研究院， 安徽　合肥　230022；2.國網(wǎng)安徽省電力公司， 安徽　合肥　230022)

?

WEB應用監(jiān)測工具的研發(fā)與實施

丁全1， 劉朋熙2， 錢光超1

(1.國網(wǎng)安徽省電力公司電力科學研究院， 安徽合肥230022；2.國網(wǎng)安徽省電力公司， 安徽合肥230022)

按照國家電網(wǎng)公司關于管理自建信息系統(tǒng)相關規(guī)范，針對自建信息系統(tǒng)上線通常缺少安全防護體系設計和安全功能測試，對敏感內(nèi)容保護措施不到位，容易成為攻擊目標等問題，自主研發(fā)了一套WEB應用監(jiān)測工具。目的在于排查自建信息系統(tǒng)部署架構、梳理自建系統(tǒng)臺賬、防范自建系統(tǒng)信息泄露隱患。

WEB應用；信息安全；信息系統(tǒng)；督查

0　引言

由于各地市公司自建系統(tǒng)涉及業(yè)務部門較多，部署情況比較復雜，如何盡快地摸清本地自建系統(tǒng)及其部署情況對信息運維管理工作提出了更高的要求，為了有效輔助運維人員快速高效完成這一工作，公司自主研發(fā)了一套WEB應用發(fā)現(xiàn)工具。

信息運維人員在利用研發(fā)的WEB應用發(fā)現(xiàn)工具檢查自建系統(tǒng)時，可以快速地獲取WEB應用的IP地址和端口號，相比普通掃描工具掃描周期長、使用費時，本工具通過監(jiān)測工具實時監(jiān)測內(nèi)網(wǎng)中用戶訪問的WEB應用系統(tǒng)地址，并可快速查詢最終檢測結果，節(jié)省時間，提高了工作效率。

1　WEB應用監(jiān)測工具模塊分解

1.1WEB應用監(jiān)測服務

WEB應用監(jiān)測服務主要分為數(shù)據(jù)包捕獲、數(shù)據(jù)包過濾和數(shù)據(jù)包分析存儲。

(1)數(shù)據(jù)包捕獲。利用現(xiàn)有的交換機端口鏡像功能，通過WinPcap[1]技術實現(xiàn)對流量數(shù)據(jù)的采集；得到流量數(shù)據(jù)后，對數(shù)據(jù)包進行過濾，丟棄不在監(jiān)測范圍內(nèi)的數(shù)據(jù)，從而避免數(shù)據(jù)過多，造成服務器負荷過大。

(2)數(shù)據(jù)包過濾。對抓取到的數(shù)據(jù)包進行源地址、目的地址等信息進行第一次過濾，把條件外的數(shù)據(jù)包直接丟棄，符合需求的數(shù)據(jù)包等待進一步分析。

(3)數(shù)據(jù)包分析存儲。解析數(shù)據(jù)包內(nèi)容，對符合條件的http數(shù)據(jù)包進行進一步內(nèi)容解析，解析出web應用IP地址和端口信息并存儲到數(shù)據(jù)庫中[2]。

1.2結果分析模塊

提供對數(shù)據(jù)抓取服務掃描結果的查詢功能，列表展示內(nèi)網(wǎng)用戶訪問的Web應用系統(tǒng)地址和端口號信息。

2　工具設計流程

本工具基于WinPcap[1]，用于捕獲和分析網(wǎng)絡數(shù)據(jù)包。選擇捕獲指定的IP地址、端口號和協(xié)議類型的數(shù)據(jù)包。對于數(shù)據(jù)包的捕獲，如果在一個繁忙的網(wǎng)絡上進行，而不設置任何過濾，則得到的數(shù)據(jù)包是非常多的。如果應用程序不進行必要的性能優(yōu)化，那么將會丟失大量的數(shù)據(jù)包。因此對捕包性能的優(yōu)化必不可少，本系統(tǒng)采用多線程來解決此問題：一個線程負責捕獲數(shù)據(jù)包，一個線程負責數(shù)據(jù)處理。

系統(tǒng)對于數(shù)據(jù)包的捕獲，主要分為四個步驟：開啟指定網(wǎng)卡，設置過濾規(guī)則，循環(huán)捕獲網(wǎng)絡數(shù)據(jù)包，以及分析處理網(wǎng)絡數(shù)據(jù)包。

(1)配置適配器Adapter。需要將網(wǎng)絡適配器的工作模式設置為混雜模式。

(2)設置過濾規(guī)則。利用pcap_compile()和pcap_setfilter()兩個函數(shù)可以方便地實現(xiàn)過濾數(shù)據(jù)包的功能。例如，要捕捉特定源/目的IP地址和特定源/目的端口的數(shù)據(jù)包，只需將過濾器設置成諸如 “host 59.64.133.16 and tcp port 80”的高層表達式即可。

(3)捕獲網(wǎng)絡數(shù)據(jù)包。系統(tǒng)通過pcap_loop()方法來捕獲數(shù)據(jù)包。該方法是基于回調(diào)的原理來捕獲數(shù)據(jù)包，用戶在pacp_loop()函數(shù)中寫希望執(zhí)行的代碼，系統(tǒng)會記錄下這個函數(shù)的地址作為系統(tǒng)的一個接口。當有數(shù)據(jù)包流過網(wǎng)卡時，系統(tǒng)會自動調(diào)用這個接口函數(shù)執(zhí)行相應的功能。

(4)分析處理網(wǎng)絡數(shù)據(jù)包。WinPcap能訪問網(wǎng)絡中的原始數(shù)據(jù)包，即沒有被操作系統(tǒng)利用網(wǎng)絡協(xié)議處理過的數(shù)據(jù)包。捕獲到的每一個數(shù)據(jù)包就是數(shù)據(jù)鏈路層中的每一幀。系統(tǒng)處理時，如果分析是HTTP協(xié)議，則提取出HTTP的內(nèi)容，以明文顯示[3]。

3　WEB應用檢測工具的配置及使用說明

WEB應用檢測工具采用C/S結構，操作系統(tǒng)約定為：Window server 2003、Window XP、Win7等；組件要求：.NET FRAMEWORK 2.0及以上版本；數(shù)據(jù)庫要求MSSQLSERVER 2005數(shù)據(jù)庫。

3.1配置過程

WEB應用監(jiān)測工具配置過程需要三步，即安裝WinPcap軟件、確定抓包環(huán)境配置是否正確以及抓取服務安裝順序。這里著重指出在確定抓包環(huán)境配置是否正確時，需要監(jiān)視是否抓到http數(shù)據(jù)包[4]，否則檢查所要監(jiān)視的交換機端口是否配置正確。另外，在抓取服務安裝順序時需要按照如下順序進行：

(1)確定網(wǎng)卡序號，打開測試網(wǎng)卡程序；

(2)確定需要抓取數(shù)據(jù)包的網(wǎng)卡序號；

圖1　確定抓取數(shù)據(jù)包的網(wǎng)卡序號

(3)打開web應用檢測工具配置文件“MailDataAnalysis.exe.config”；

圖2　打開配置文件

(4)配置數(shù)據(jù)庫連接字符串“AppCenterDSN”，配置網(wǎng)卡序號“Device”為第2步網(wǎng)卡測試程序里的序號；

圖3　配置數(shù)據(jù)庫連接字符串及網(wǎng)卡序號

(5)將Install.bat中的地址修改為其所在目錄地址；

圖4　修改Install.bat的地址

(6)在Install.bat上單擊鼠標右鍵選擇“以管理員身份運行”，安裝工具；

圖5　運行程序并直至完成事物處理安裝

(7)啟動工具，即“開始”→“運行”，在運行框中輸入“services.msc”回車后彈出“服務”選項框，找到名稱為“MailDataAnalysis”的服務，在其上點擊鼠標右鍵選擇“啟動”。

圖6　啟動“MailDataAnalysis”的服務

3.2WEB應用檢測工具使用

在所有配置工作完成后即可使用WEB應用檢測工具，進入主界面，錄入相應的賬號及密碼點擊登錄按鈕，進入系統(tǒng)。

圖7　登錄WEB應用監(jiān)測工具

在主界面列表展示后臺服務掃描到的Web應用系統(tǒng)地址。本例圖示中IP列表為國網(wǎng)蕪湖供電公司實際應用的地址，即工具掃描到的自建系統(tǒng)地址列表。

圖8　掃描蕪湖供電公司自建系統(tǒng)列表

4　結論

4.1功能綜述

Web應用檢測工具為安徽省電力公司信息安全督查組自主研發(fā)工具，通過監(jiān)測網(wǎng)絡核心交換機的鏡像端口，捕獲流量數(shù)據(jù)包，并依據(jù)HTTP協(xié)議規(guī)范對數(shù)據(jù)包進行解析獲取Web應用，準確度高，可在不影響已有的信息系統(tǒng)和網(wǎng)絡的正常使用情況下發(fā)現(xiàn)非80、8080等端口的Web應用，同時可發(fā)現(xiàn)被網(wǎng)絡防火墻保護等一些掃描工具無法訪問到主機的Web應用，相比常用的nmap等掃描工具能更為全面、準確的發(fā)現(xiàn)Web應用。

信息安全督查隊伍使用Web應用系統(tǒng)對地市公司進行掃描和排查，為省公司信息安全管理工作提供基礎數(shù)據(jù)來源，為公司領導決策提供基礎數(shù)據(jù)支撐。具體功能如下：

(1)應用服務監(jiān)測：利用現(xiàn)有的交換機端口鏡像功能，通過WinPcap技術實現(xiàn)對流量數(shù)據(jù)的采集；得到流量后，對數(shù)據(jù)包進行過濾、解析，最終發(fā)現(xiàn)內(nèi)網(wǎng)中運行是Web應用系統(tǒng)；

(2)結果分析：提供對數(shù)據(jù)抓取服務掃描結果的查詢功能，列表展示內(nèi)網(wǎng)用戶訪問的Web應用系統(tǒng)地址和端口號信息；

(3)人員維護：提供對工具使用人員信息維護。

4.2先進性對比說明

目前國內(nèi)外的Web應用掃描工具產(chǎn)品比較成熟，如惠普公司W(wǎng)ebInspect、IBM 公司的Rational AppScan和其他一些國內(nèi)外產(chǎn)品等等，這些產(chǎn)品都是針對服務器的Web應用掃描和漏洞檢測，雖然其功能完善和強大，但是其價格不菲，專門購買此產(chǎn)品用于Web應用發(fā)現(xiàn)掃描就顯得得不償失，同時自建系統(tǒng)也不符合省公司的有關管理規(guī)定，另外這些產(chǎn)品的使用需要操作人員具備一定專業(yè)素質(zhì)和原廠支持，如熟悉繁瑣的操作說明等。此外這些工具不具備直觀的Web應用掃描結果分析功能，不能快速的進行自建系統(tǒng)篩查。

序號功能詳細說明信息安全督查組自主研發(fā)安全督察工具網(wǎng)絡上同類型的WebInspect工具網(wǎng)絡上同類型的RationalAppScan工具1監(jiān)測對象及范圍監(jiān)測網(wǎng)絡中核心交換機,范圍廣監(jiān)測服務器監(jiān)測服務器2分析技術基于數(shù)據(jù)包,準確性高準確度差準確度差3監(jiān)測效率對交換機端口實時監(jiān)測掃描周期長掃描周期長4監(jiān)測結果可直觀顯示web應用地址和端口號不具備不具備5自建系統(tǒng)篩查具備不具備不具備

[1] 郭凱.基于WinPcap的數(shù)據(jù)包捕獲系統(tǒng)的設計與實現(xiàn)[D].西安電子科技大學,2013.

[2] 姜麗麗,楊曉輝.網(wǎng)絡協(xié)議分析系統(tǒng)的設計與實現(xiàn)[J].信息網(wǎng)絡安全, 2014(7):48-52.

[3] 陳小文,胡文飛，和應民,等.基于WinPcap的旁路IP阻斷方法研究與實現(xiàn)[J].中國新技術新產(chǎn)品,2009(1):15-16.

[4] 謝小特,王勇軍.基于WinPcap的捕包程序設計[J].軟件導刊, 2007(11):71-73.

[責任編輯：朱子]

Development and Implementation of WEB Application Monitoring Tool

DINGQuan1,LIUPeng-xi2,QIANGuang-chao1

(1.ElectricPowerResearchInstituteofStateGridAnhuiElectricPowerCorporation,Hefei230022,China;2.StateGridAnhuiElectricPowerCorporation,Hefei230022,China)

According to regulation from the state grid corporation regarding management self-built information system relevant specification, online self-built information system is usually lack of safety protection system design and safety function test. The protection measures of sensitive content are not in place, which makes it easy to be targeted and so on. A set of WEB application monitoring tool is thus developed independently. The system is aimed to screen self-built information system deployment architecture, teased out self-built system account, and prevented self-built system information from leakage via hidden trouble.

WEB application; information security; information system; supervision

2016- 03- 06

丁全(1982-),男，安徽合肥人，工程師，國網(wǎng)安徽省電力公司電力科學研究院科技信息情報研究室，從事電力系統(tǒng)信息安全督查工作。

劉朋熙(1983-)，男，安徽合肥人，高級工程師，國網(wǎng)安徽省電力公司科技信通部信息處，從事信息系統(tǒng)建設管理工作。

TP309.5

A

1672-9706(2016)03- 0102- 06

錢光超(1982-)，男，安徽無為人，工程師，國網(wǎng)安徽省電力公司電力科學研究院科技發(fā)展部，從事電力系統(tǒng)科技信息管理工作。