Web入侵防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

吳林樺

摘要：互聯(lián)網(wǎng)時(shí)代，人們均將大量的個(gè)人信息或企業(yè)信息存儲(chǔ)到計(jì)算機(jī)當(dāng)中，所以計(jì)算機(jī)的安全性是用戶較為關(guān)注的事情，假如計(jì)算機(jī)安全性能不強(qiáng)，則對(duì)用戶或者企業(yè)造成大量的風(fēng)險(xiǎn)。在計(jì)算機(jī)安全當(dāng)中，首當(dāng)其沖的是Web服務(wù)器安全，本文首先對(duì)幾種Web常見的威脅進(jìn)行分析，以此為導(dǎo)向，進(jìn)行Web入侵防御系統(tǒng)的設(shè)計(jì)，提升用戶的網(wǎng)絡(luò)安全性能，降低信息泄露風(fēng)險(xiǎn)。

關(guān)鍵詞：計(jì)算機(jī)：Web服務(wù)器：網(wǎng)絡(luò)安全：防御系統(tǒng)

隨著計(jì)算機(jī)革命的逐步深入，不斷提升生活的便捷性，但是網(wǎng)絡(luò)安全也逐漸引起了人們的重視，如何確保每臺(tái)連接網(wǎng)絡(luò)的計(jì)算機(jī)均不受到黑客或者病毒的侵襲，是每個(gè)在計(jì)算機(jī)領(lǐng)域研究者的重任，在互聯(lián)網(wǎng)時(shí)代，其風(fēng)險(xiǎn)程度往往超越傳統(tǒng)環(huán)境風(fēng)險(xiǎn)，Web服務(wù)器也受到風(fēng)險(xiǎn)。黑客或者病毒侵襲web所用的方式基本是基于HTTP協(xié)議衍生的，傳統(tǒng)的防火墻已經(jīng)不能為web提供安全程度較高的保護(hù)，本文正是基于此，提出提升web服務(wù)器安全的保護(hù)系統(tǒng)，并將之設(shè)計(jì)與實(shí)現(xiàn)。

一、Web服務(wù)器常見的威脅

1.緩沖區(qū)溢出

緩沖區(qū)溢出這種攻擊方式主要是利用溢出漏洞進(jìn)行攻擊，最為簡(jiǎn)單的解釋就是通過輸送龐大的數(shù)據(jù)包沖擊緩沖劑容量，從而讓合法數(shù)據(jù)遭到溢出數(shù)據(jù)的覆蓋，然后威脅Web服務(wù)器的安全。并且這種攻擊方式較為常用，也很難杜絕，在Web服務(wù)器運(yùn)行的時(shí)候，無法對(duì)所有進(jìn)入數(shù)據(jù)均實(shí)行安全性能檢測(cè)，因此就不能杜絕這種緩沖區(qū)溢出攻擊方式。

2.SQL注入攻擊

這種方式的攻擊通常是黑客的常用手段，主要攻擊方式是針對(duì)數(shù)據(jù)庫(kù)，在系統(tǒng)設(shè)計(jì)的時(shí)候，受限于程序編寫人員的經(jīng)驗(yàn)和水平，促使在程序編譯過程當(dāng)中，缺乏對(duì)用戶數(shù)據(jù)輸入時(shí)是否合法進(jìn)行效驗(yàn)和判斷，提高了該種攻擊方式的隱患。

3.基于腳本的DDos攻擊

Ddos主要是通過大量的“僵尸主機(jī)”發(fā)送網(wǎng)絡(luò)包給予受害主機(jī)，讓受害主體的網(wǎng)絡(luò)出現(xiàn)堵塞，最終出現(xiàn)網(wǎng)絡(luò)癱瘓現(xiàn)象。

二、Web入侵防御系統(tǒng)的措施

在互聯(lián)網(wǎng)系統(tǒng)當(dāng)中，面臨攻擊最多的是Web，最為薄弱的也是Web，所以成為大多數(shù)黑客入侵的重點(diǎn)災(zāi)害區(qū)，如何防御這些惡意攻擊，就需要設(shè)計(jì)較為完善的防御系統(tǒng)，本文主要通過注定策略用以效驗(yàn)和檢測(cè)他人訪問Web的行為，規(guī)避他人利用權(quán)限問題進(jìn)行入侵，有效避免Web受到非法攻擊，保障Web服務(wù)器的安全。

1.主動(dòng)防御措施

IDS是入侵檢測(cè)系統(tǒng)，本文主要是防御入侵，所以重點(diǎn)在于IPS，入侵防御系統(tǒng)。IPS能夠?qū)W(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，包括網(wǎng)絡(luò)數(shù)據(jù)傳輸行為進(jìn)行管控，從而提高網(wǎng)絡(luò)的安全性能，并且該系統(tǒng)能夠在發(fā)現(xiàn)危險(xiǎn)時(shí)，進(jìn)行中斷，或者隔離一些存在威脅的數(shù)據(jù)或者流量傳輸。IPS主要是通過監(jiān)管網(wǎng)絡(luò)流量而產(chǎn)生工作，實(shí)現(xiàn)防御功能，其主要的流程如下：首先通過網(wǎng)絡(luò)端口接收外來數(shù)據(jù)或者流量，然后進(jìn)行安全檢查，確定其中無可疑數(shù)據(jù)之后，才進(jìn)行數(shù)據(jù)傳輸。最后將安全的數(shù)據(jù)信息通過端口發(fā)送至內(nèi)部系統(tǒng)當(dāng)中，在檢測(cè)過程當(dāng)中，將富含可疑數(shù)據(jù)的信息進(jìn)行清除或隔離，以此來提升網(wǎng)絡(luò)的安全性。

2.運(yùn)用IWSA有效防止病毒及間諜軟件的入侵

IWSA不是軟件產(chǎn)品，而是歸屬于硬件產(chǎn)品，IWSA能夠獨(dú)立運(yùn)行，為網(wǎng)絡(luò)提供安全程度較多，靈活度較強(qiáng)的防御策略。其主要的工作方式是通過目前較為主流的“云”技術(shù)，利用“云”對(duì)通過Web的數(shù)據(jù)進(jìn)行掃描，優(yōu)點(diǎn)較多，同時(shí)還能防御釣魚軟件，進(jìn)行過濾操作，是目前企業(yè)網(wǎng)絡(luò)當(dāng)中，最為常用的方案。針對(duì)這種情況，還設(shè)計(jì)了一款專門用于防御Web攻擊的SWSA5000，為企業(yè)提供實(shí)時(shí)、動(dòng)態(tài)的網(wǎng)絡(luò)安全保護(hù)，通過周密的檢測(cè)，為企業(yè)剔除不安全數(shù)據(jù)源，清楚惡意程序，提升內(nèi)部網(wǎng)絡(luò)的安全性。

3.應(yīng)用層防火墻技術(shù)的運(yùn)用

Iwall是應(yīng)用層防火墻技術(shù)的佳作，能夠保護(hù)Web應(yīng)用的安全，當(dāng)通過利用Http進(jìn)行數(shù)據(jù)操作時(shí)，進(jìn)行數(shù)據(jù)操作分析和檢測(cè)，幫助用戶規(guī)避操作失誤引發(fā)的網(wǎng)絡(luò)威脅，抵御主觀操作導(dǎo)致的惡意攻擊，通過訪問時(shí)提示或報(bào)警引起用戶的警惕。Iwall能夠杜絕非法腳本、源代碼泄露以及敏感文件訪問等攻擊行為，為網(wǎng)絡(luò)安全提供周密的防護(hù)效果。

4.系統(tǒng)體系結(jié)構(gòu)的設(shè)計(jì)

在網(wǎng)絡(luò)系統(tǒng)搭建的過程當(dāng)中，存在兩種，一種采取的多層結(jié)構(gòu)，另外一種是單層結(jié)構(gòu)。多層結(jié)構(gòu)主要通過層與層之間的模塊進(jìn)行區(qū)分，在層與層進(jìn)行數(shù)據(jù)傳輸時(shí)，利用兩者的通用接口進(jìn)行，而單層系統(tǒng)，是相互交叉使用，兩種方式各有利弊，多層結(jié)構(gòu)主要提升了系統(tǒng)的擴(kuò)展性，單層結(jié)構(gòu)能夠提升系統(tǒng)的效率，因?yàn)楸疚脑O(shè)計(jì)的系統(tǒng)需要滿足多種情況下運(yùn)行，所以采用多層結(jié)構(gòu)方式。Web防御入侵系統(tǒng)主要存在三層：第一層為解析及響應(yīng)、第二層為策略引擎、第三層為數(shù)據(jù)管理。

其中第一層解析及響應(yīng)層，主要是對(duì)用戶的主觀行為進(jìn)行防御，用戶通過http進(jìn)行網(wǎng)絡(luò)訪問時(shí)，將用戶的訪問進(jìn)行解析和響應(yīng)。當(dāng)用戶進(jìn)行數(shù)據(jù)庫(kù)的訪問時(shí)，通過調(diào)用策略引擎介入，以此提升客戶端訪問信息的檢測(cè)，從而將用戶的操作進(jìn)行響應(yīng)，因?yàn)檫@一層主要是調(diào)用其他層次進(jìn)行防御，所以可進(jìn)行封裝處理。第二層是策略引擎層，主要是調(diào)度策略，在通過上一層獲取到用戶的操作，將用戶的操作數(shù)據(jù)進(jìn)行分析，并通過與數(shù)據(jù)管理層的緊密合作，完成策略的加載工作。第三層為數(shù)據(jù)管理層，其主要的工作就是對(duì)策略腳本進(jìn)行解析，同時(shí)對(duì)配置管理進(jìn)行分析和管控，所有有關(guān)數(shù)據(jù)處理的操作，均交由第三層進(jìn)行處理。在系統(tǒng)設(shè)計(jì)過程當(dāng)中，每一層的防御處理均能夠相互獨(dú)立運(yùn)行，在運(yùn)行的過程當(dāng)中，其他層次發(fā)生改變時(shí)，只要相互之間的接口無變化，就不會(huì)影響其他層次的運(yùn)行，提升了該系統(tǒng)的擴(kuò)展性和安全性。

三、結(jié)論

在研究過程當(dāng)中，首先將目前Web服務(wù)器主要面臨的威脅進(jìn)行分析，以此為導(dǎo)向，設(shè)計(jì)了該Web入侵防御系統(tǒng)，系統(tǒng)設(shè)計(jì)過程較為便捷，存在部分地方未進(jìn)行涉及，這將是今后研究和設(shè)計(jì)的主要方向。網(wǎng)絡(luò)安全技術(shù)是目前較為關(guān)鍵點(diǎn)，是網(wǎng)絡(luò)工作者需要重視的問題，不能夠僅僅依靠防火墻進(jìn)行安全防御，在安全性提升方面方面還需要考慮系統(tǒng)的整體性。

參考文獻(xiàn)：

[1]姚琳琳，基于分布式對(duì)等架構(gòu)的Web應(yīng)用防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].桂林：桂林電子科技大學(xué)，2012.

[2]魏林.基于日志的網(wǎng)站安全監(jiān)控與審計(jì)的研究[D].北京郵電大學(xué)，2015.