国产性70yerg老太,狠狠的日,欧美人与动牲交a免费,中文字幕成人网站

基本信息

項目名稱:
基于SQL語法樹形結(jié)構(gòu)分析的服務(wù)器防護(hù)系統(tǒng)
小類:
信息技術(shù)
簡介:
作品面向網(wǎng)絡(luò)服務(wù)器,普適于Windows、Linux兩大主流服務(wù)器平臺,無縫內(nèi)嵌于服務(wù)器架設(shè)軟件之中,以行之有效的方式實現(xiàn)對服務(wù)器全方位、立體化的系統(tǒng)性安全防護(hù)。作品創(chuàng)造性地提出了惡意攻擊的主動分析檢測技術(shù),特別是通過對SQL語句語法樹形結(jié)構(gòu)的分析比對,從原理和根本上杜絕了惡意攻擊的可能性,在學(xué)術(shù)理論和實際應(yīng)用兩方面均具有國際先進(jìn)性和較高的實際應(yīng)用價值,對于改善互聯(lián)網(wǎng)安全環(huán)境具有較強(qiáng)的意義。
詳細(xì)介紹:
1 作品介紹 1.1 背景分析 伴隨著信息技術(shù)的高度發(fā)達(dá),互聯(lián)網(wǎng)承載著越來越多重要的信息,作為一個開放式的網(wǎng)絡(luò),如何確保這些信息的安全顯得尤為重要。而服務(wù)器作為信息存儲、發(fā)布、交換的主體,存儲著海量信息,但由于程序開發(fā)者的水平參差不齊,大量服務(wù)器端的應(yīng)用自誕生以來就存在諸多漏洞,加上一部分管理員對于此類安全問題的重視程度有限,導(dǎo)致服務(wù)器以及大量重要信息的安全受到極大的威脅。 開放式Web應(yīng)用程序安全項目(OWASP, Open Web Application Security Project)是一個旨在協(xié)助個人、企業(yè)和機(jī)構(gòu)發(fā)現(xiàn)和使用可信賴軟件的非盈利性組織,作者研究了該組織在2007年、2010年根據(jù)調(diào)查結(jié)果發(fā)布的網(wǎng)絡(luò)安全威脅排行,就各類威脅在易于利用性、流行程度、易于發(fā)現(xiàn)性、影響大小四個方面進(jìn)行了詳盡的比較,可以看到,注入攻擊、跨站攻擊等攻擊方式一直較為流行,而且也具有很高的危險性,可能會給用戶、服務(wù)器和Web應(yīng)用造成無法挽回的損失。 與此同時,由于互聯(lián)網(wǎng)的開放程度高,靈活性強(qiáng),程序設(shè)計語言規(guī)范性差,給安全防護(hù)帶來的極大的難度。而現(xiàn)有的服務(wù)器安全防護(hù)軟件大多無法很好地滿足市場對于此類軟件的需求,根據(jù)團(tuán)隊成員的分析研究,認(rèn)為主要存在有以下幾點(diǎn)問題: (1)普適性差:由于互聯(lián)網(wǎng)的靈活性和多樣性,現(xiàn)有的防護(hù)軟件多是針對特定的環(huán)境下的特定攻擊威脅進(jìn)行防護(hù),缺乏對于不同環(huán)境平臺的普遍適用性; (2)準(zhǔn)確率低:網(wǎng)絡(luò)中信息存儲和傳遞的形式多種多樣,標(biāo)準(zhǔn)難以統(tǒng)一,一方面為設(shè)計者提供了多種實現(xiàn)方式,另一方面也為黑客提供了多樣化的攻擊手段,致使現(xiàn)有安全防護(hù)軟件的判斷準(zhǔn)確率普遍偏低; (3)方法陳舊:很多防護(hù)軟件所使用的技術(shù)十分陳舊,而攻擊者早已對這些方法爛熟于心,因此想要繞過防護(hù)往往輕而易舉; (4)手段被動:現(xiàn)有安全防護(hù)軟件多針對已有的常見攻擊手段進(jìn)行被動的檢測和過濾,例如對于SQL注入的檢測至今仍局限于關(guān)鍵字過濾的方式,對于新的攻擊方式難有作為,因而往往會陷入“拆東墻,補(bǔ)西墻”的尷尬境地; (5)部署繁瑣:很多防護(hù)軟件在部署時都要求服務(wù)器管理員進(jìn)行一系列繁瑣的操作,甚至更改程序、網(wǎng)站源代碼為其提供接口,因而難以應(yīng)用于已成型的網(wǎng)站和服務(wù)器; 針對以上幾點(diǎn)問題,項目開發(fā)團(tuán)隊進(jìn)行了細(xì)致深入的研究分析,參考了國內(nèi)外大量文獻(xiàn)資料,經(jīng)過長時間的討論和理論論證,針對普及程度高、危害大的各種網(wǎng)絡(luò)攻擊手段,創(chuàng)造性地將主動防御的思想應(yīng)用于服務(wù)器的防護(hù),提出并實現(xiàn)了一個普適、便捷、智能的內(nèi)嵌式服務(wù)器安全防護(hù)系統(tǒng)。 1.2 特色描述 1.2.1 跨平臺性和可移植性 作品基于目前市面上最主流的服務(wù)器架設(shè)軟件,Apache以及IIS,支持Windows和Linux操作系統(tǒng),而且并不依賴于架設(shè)動態(tài)網(wǎng)站所使用語言的種類,具有良好的跨平臺性和可移植性。 1.2.2 核心內(nèi)嵌技術(shù) 系統(tǒng)完美內(nèi)嵌于Web服務(wù)器架設(shè)軟件之中,廣泛適用于目前市場主流服務(wù)器,部署簡便,配置輕松,無需預(yù)留接口,安裝后開啟服務(wù)即可使用。通過Web服務(wù)器核心內(nèi)嵌技術(shù),確保服務(wù)器每一次發(fā)送和接收數(shù)據(jù)的過程均經(jīng)過本系統(tǒng)的檢測和過濾。 1.2.3 智能高效的防注入方法 SQL注入攻擊是黑客對數(shù)據(jù)庫進(jìn)行攻擊最常用的手段之一,也是其他一些攻擊手段的前提條件。系統(tǒng)改變傳統(tǒng)關(guān)鍵字過濾的防注入方式,獨(dú)創(chuàng)性地根據(jù)用戶輸入實時動態(tài)生成標(biāo)準(zhǔn)SQL語句范式,將其與用戶輸入分別建立語法樹形結(jié)構(gòu),而由于SQL語法的無二義性,惡意攻擊一定會改變原查詢語句的樹形結(jié)構(gòu),從而根據(jù)對兩者樹形結(jié)構(gòu)的比對,即可判斷用戶輸入是否含有惡意請求。這種基于SQL語句語義分析的方法,真正意義上實現(xiàn)了對注入攻擊的主動分析防御,從根本上、原理上杜絕了一切形式的SQL注入攻擊。相比于傳統(tǒng)關(guān)鍵字過濾式的防注入方法,一方面可以更加準(zhǔn)確有效地識別各種形式的注入攻擊,另一方面也避免了對用戶無惡意輸入誤操作。 1.2.4 智能化的DDOS攻擊檢測 針對DDOS攻擊特征難以辨識的防護(hù)難點(diǎn),項目開發(fā)團(tuán)隊深入研究了主流DDOS攻擊的原理,并以此為根據(jù)從根本上掐斷攻擊的源頭。采用驅(qū)動層攔截處理,應(yīng)用層回溯分析的方式,獨(dú)創(chuàng)的Trace Route回溯分析、網(wǎng)絡(luò)流拓?fù)浣Y(jié)構(gòu)分析,結(jié)合SYN-Cookie等成熟技術(shù),實現(xiàn)了智能高效的DDOS攻擊檢測,有效保障只有合法數(shù)據(jù)包才能夠流入服務(wù)器內(nèi)部,同時還能夠精確定位攻擊源,從而達(dá)到保護(hù)服務(wù)器安全的目的。 1.2.5 全方位、立體化的安全防護(hù) 除防SQL注入攻擊外,本系統(tǒng)針對其他普及程度高、危險性強(qiáng)的網(wǎng)絡(luò)攻擊威脅也都開發(fā)部署了獨(dú)具特色、行之有效的檢測防御服務(wù),如跨站攻擊、資源盜鏈等,力圖為用戶提供全方位、立體化的服務(wù)器安全防護(hù)。 1.2.6 實時響應(yīng)、日志系統(tǒng) 系統(tǒng)實時檢測響應(yīng)攻擊行為,一旦檢測到攻擊,系統(tǒng)會自動攔截動作,并根據(jù)攻擊者的相關(guān)信息、用戶控制面板設(shè)置對其進(jìn)行封禁IP地址等相應(yīng)處理響應(yīng),并將詳細(xì)的攻擊信息、處理響應(yīng)信息存儲于日志系統(tǒng)之中,為服務(wù)器管理員提供完整詳盡的管理日志。 1.3 相關(guān)工作 作品是開發(fā)團(tuán)隊在對目前互聯(lián)網(wǎng)安全狀況進(jìn)行詳細(xì)的調(diào)查評估,并對目前市場上已有的同類產(chǎn)品進(jìn)行研究后,自行設(shè)計開發(fā)的一款服務(wù)器安全防護(hù)系統(tǒng)。防護(hù)系統(tǒng)經(jīng)過團(tuán)隊幾個月來的不斷測試和改進(jìn),對各種網(wǎng)絡(luò)安全威脅的檢測準(zhǔn)確率已經(jīng)能夠穩(wěn)定在較高水平,同時系統(tǒng)已部署在多個校內(nèi)服務(wù)器上試運(yùn)行,目前運(yùn)行狀況良好穩(wěn)定。希望能夠獲取更多的實際運(yùn)行數(shù)據(jù),為日后進(jìn)一步提升系統(tǒng)性能打下良好的基礎(chǔ)。 本系統(tǒng)的一個獨(dú)特之處在于防注入方法的創(chuàng)新上,同時對用戶輸入語句進(jìn)行語法語義的分析也是系統(tǒng)的一個難點(diǎn)。為了滿足系統(tǒng)的跨平臺性和可移植性要求,我們采用標(biāo)準(zhǔn)C++語言進(jìn)行開發(fā),同時在Apache、IIS等多平臺進(jìn)行開發(fā)和測試,克服了調(diào)試?yán)щy、平臺生疏、缺乏文檔經(jīng)驗等諸多困難,較好地完成實現(xiàn)了項目系統(tǒng)的設(shè)計初衷和目標(biāo)。 此外,項目開發(fā)團(tuán)隊從原理上深入分析了目前主流的DDOS攻擊方式,使用驅(qū)動層與應(yīng)用層相結(jié)合的方式,利用層層嚴(yán)格的過濾,實現(xiàn)對于DDOS攻擊的智能精確定位,迅速有效響應(yīng)。 1.4 市場分析 時下互聯(lián)網(wǎng)承載著越來越多的重要信息,其安全性也自然受到了越來越多的關(guān)注,因此服務(wù)器防護(hù)軟件的市場也隨之不斷增大。雖然目前市場上已經(jīng)出現(xiàn)了大量的Web服務(wù)器防護(hù)軟件,但由于互聯(lián)網(wǎng)所特有的多樣性、不規(guī)范性,傳統(tǒng)方法對于攻擊威脅的防護(hù)效果遠(yuǎn)遠(yuǎn)不能滿足日漸龐大的市場需求。 而作品是著眼于信息的載體,針對傳統(tǒng)防護(hù)軟件所存在的問題和市場對于此類軟件的需求,自主研發(fā)的一套獨(dú)具特色、實時動態(tài)、智能高效的防護(hù)系統(tǒng)。 本系統(tǒng)無縫內(nèi)嵌于服務(wù)器架設(shè)軟件之中,致力于采用智能化分析的手段,幫助服務(wù)器管理員實現(xiàn)方便快捷、智能高效的服務(wù)器安全防護(hù),提供防SQL注入攻擊、防DDOS攻擊、防跨站攻擊、權(quán)限控制、資源防盜鏈、網(wǎng)頁防篡改等諸多功能,實現(xiàn)了全方位立體化的實時安全防護(hù),并為管理員提供了完整詳盡的管理日志,較好地滿足了市場對于此類軟件的需求。 綜上所述,作品的設(shè)計和功能符合市場需求,具有較為廣闊的市場應(yīng)用前景。 2 實現(xiàn)方案 2.1 系統(tǒng)說明 2.1.1 說明 作品旨在為服務(wù)器提供全方位、高效率的安全防護(hù),幫助服務(wù)器管理員更方便、有效、全面地實現(xiàn)對服務(wù)器的安全保護(hù),以確保服務(wù)器信息的正確性和保密性。 2.1.2 設(shè)計目標(biāo) 作品的雛形,來自于開發(fā)團(tuán)隊成員對服務(wù)器端防護(hù)的長期研究和國內(nèi)外相關(guān)資料的深入分析,抓住惡意攻擊者最常用、造成危害最大的攻擊方式進(jìn)行探索,從而形成了一套獨(dú)創(chuàng)性、體系化、智能高效的解決方案,力圖通過我們的努力,更好地保護(hù)網(wǎng)絡(luò)信息安全。 根據(jù)小組成員對現(xiàn)有類似軟件的研究,我們認(rèn)為被動地根據(jù)攻擊者的攻擊方式進(jìn)行相應(yīng)的防護(hù),往往會陷入到拆東墻補(bǔ)西墻的尷尬境地,已經(jīng)遠(yuǎn)遠(yuǎn)無法滿足當(dāng)今互聯(lián)網(wǎng)對于信息安全的龐大需求。因此,開發(fā)團(tuán)隊為滿足市場需求,經(jīng)過長時間的理論論證,提出以主動分析攻擊者行為的方式,達(dá)到準(zhǔn)確定位攻擊行為、高效處理響應(yīng)的設(shè)計目標(biāo)。 本系統(tǒng)廣泛適用于Windows和Linux平臺,不受數(shù)據(jù)庫和服務(wù)器軟件版本的限制,安裝快捷,部署簡便,操作簡單,安全性高,為服務(wù)器提供全方位、多角度的立體化安全防護(hù)。 2.2 系統(tǒng)架構(gòu) 作品采用模塊化設(shè)計,根據(jù)用戶的不同需求對各個模塊進(jìn)行設(shè)置管理,并通過詳盡的管理日志對用戶的操作以及客戶端訪問信息進(jìn)行記錄和檢索,以方便服務(wù)器管理員的工作。通過各個模塊的協(xié)作來完成對服務(wù)器的全方位的防護(hù)。 攻擊檢測模塊根據(jù)瀏覽用戶輸入以及向服務(wù)器提交的請求,進(jìn)行SQL注入攻擊、跨站攻擊、權(quán)限控制、資源盜鏈、篡改攻擊以及DDOS攻擊6個方面的實時動態(tài)檢測,倘若檢測到攻擊者的攻擊威脅,則將攻擊信息傳遞給處理響應(yīng)模塊,該模塊根據(jù)服務(wù)器管理員對于本系統(tǒng)的控制設(shè)置,決定對于該攻擊的處理響應(yīng)方式,并將相關(guān)攻擊信息和處理響應(yīng)信息詳盡地寫入到管理日志模塊之中,供服務(wù)器管理員日后分析查看。 2.3 功能及實現(xiàn)原理 2.3.1 攻擊檢測模塊 攻擊檢測模塊主要由6個子模塊構(gòu)成,分別負(fù)責(zé)SQL注入攻擊、DDOS攻擊、跨站攻擊、篡改攻擊、權(quán)限控制和資源盜鏈的實時動態(tài)檢測控制。 2.3.1.1 注入攻擊檢測子模塊 ? 功能 注入攻擊檢測子模塊通過攔截用戶輸入所構(gòu)成的SQL語句,實時動態(tài)地生成一個絕對無害、表達(dá)Web應(yīng)用開發(fā)者本意的SQL語句,并對上述兩個SQL語句分別建立語法樹形結(jié)構(gòu),根據(jù)樹形結(jié)構(gòu)和節(jié)點(diǎn)類型比對結(jié)果判斷兩語句在語義上的異同,從而進(jìn)行注入攻擊判定,返回相應(yīng)結(jié)果。 ? 原理 由于T-SQL語言為一種無二義性的語言,因此其語句的最左推導(dǎo)或最右推導(dǎo)形式唯一,則其語法樹形結(jié)構(gòu)可以根據(jù)其語義唯一確定。若黑客通過SQL注入的方式進(jìn)行攻擊,則必須改變SQL語句的語義,其語義的改變也必將影響到其語法樹形結(jié)構(gòu)。于是,根據(jù)絕對無害的標(biāo)準(zhǔn)輸入及用戶輸入所構(gòu)成的語法樹形結(jié)構(gòu)的比對結(jié)果,即可判斷用戶輸入是否含有惡意。 ? 具體實現(xiàn) (1)獲取訪問者提交請求 編寫ISAPI Filter和Apache Module分別內(nèi)嵌于IIS和Apache服務(wù)器架設(shè)軟件內(nèi)部,用以獲取用戶向服務(wù)器端提交的請求,實現(xiàn)跨平臺、跨動態(tài)語言種類的用戶輸入攔截和處理。 (2)構(gòu)建標(biāo)準(zhǔn)SQL范式 對訪問者輸入形成的SQL語句進(jìn)行分析,只對其中的用戶輸入部分進(jìn)行處理,生成一個形式類似、絕對無害的SQL語句。其中,訪問者輸入中特殊的、可能改變語句含義的符號(如等號、引號等)不做改變,對其他字符進(jìn)行簡單無意義替換,以無意義字符替換原有輸入,這樣一方面保證其絕對無害性,一方面盡可能還原訪問者本意,防止訪問者無惡意輸入的誤判。 (3)建立語法樹形結(jié)構(gòu) 針對用戶輸入和標(biāo)準(zhǔn)范式,采用Lex & Yacc進(jìn)行詞法及語法分析。 特別地,針對訪問者無惡意的不規(guī)范輸入,建立了一種ERRSTR類型的節(jié)點(diǎn),以防止對訪問者正常輸入的誤判。 (4)語法樹比較 對兩棵語法樹的比對包括兩方面:樹形結(jié)構(gòu)比較和節(jié)點(diǎn)類型比較。 (a)樹形結(jié)構(gòu)比較 比較兩者樹形結(jié)構(gòu)中樹的深度、同層節(jié)點(diǎn)數(shù)、父子節(jié)點(diǎn)關(guān)系,從而判斷訪問者輸入與標(biāo)準(zhǔn)范式語句含義的異同。 (b)節(jié)點(diǎn)類型比較 比較節(jié)點(diǎn)樹形結(jié)構(gòu)中相同位置節(jié)點(diǎn)的類型差異,從而判斷訪問者輸入與標(biāo)準(zhǔn)范式語句含義的異同。 綜上所述,SQL注入攻擊通過向網(wǎng)頁表單添加惡意輸入,改變了Web應(yīng)用程序員為訪問者設(shè)置的理想SQL語句執(zhí)行路徑,這種改變必然會在SQL語句的語法結(jié)構(gòu)上體現(xiàn)出來,所以這種基于SQL語句語法分析的注入攻擊檢測方法是非常有效而且精確的。 2.3.1.2 DDOS攻擊檢測子模塊 ? 功能 DDOS(Distributed Denial of Service 分布式拒絕服務(wù)攻擊)攻擊是由很多DOS攻擊源一起攻擊某臺服務(wù)器構(gòu)成的,利用合理的服務(wù)請求占用過多的服務(wù)資源,導(dǎo)致服務(wù)器無法正常處理合法用戶的請求。 目前主要DDOS攻擊方式有以下三種: (1)SYN Flood攻擊:利用它TCP協(xié)議缺陷,通過發(fā)送大量的半連接請求,耗費(fèi)服務(wù)器CPU以及內(nèi)存資源; (2)CC攻擊:利用代理服務(wù)器,想目標(biāo)主機(jī)發(fā)送大量的合法請求,以拖慢服務(wù)器運(yùn)行速度,甚至造成服務(wù)器崩潰; (3)僵尸網(wǎng)絡(luò):通過在大量計算機(jī)中植入特定的惡意程序,控制者利用相對集中的若干臺機(jī)器向目標(biāo)機(jī)發(fā)送大量請求,造成服務(wù)器崩潰。 本模塊針對DDOS攻擊請求合法、攻擊源分散等特點(diǎn),利用對于不同IP地址使用不同URL訪問地址的方式,實現(xiàn)對于DDOS攻擊的準(zhǔn)確智能檢測防護(hù)。 ? 原理 改變傳統(tǒng)TCP協(xié)議三次握手的連接確認(rèn)方式,使用唯一的加密Cookie作為連接確認(rèn)的憑據(jù),從而避免大量惡意半連接請求占據(jù)服務(wù)器系統(tǒng)資源,有效避免偽造IP地址進(jìn)行的SYN Flood式攻擊。 為了避免黑客破解我們的Cookie算法,軟件針對性地采取了回溯檢測躍數(shù)的方法進(jìn)一步過濾偽造IP數(shù)據(jù)包。經(jīng)由理論證明,同一客戶端發(fā)往同一目標(biāo)機(jī)的數(shù)據(jù)包躍數(shù)相同,因此我們根據(jù)收到數(shù)據(jù)包以及回溯采集數(shù)據(jù)包兩者之間躍數(shù)的異同,檢測偽造IP數(shù)據(jù)包。 而針對僵尸網(wǎng)絡(luò)、CC攻擊等真實IP地址攻擊,我們則利用Trace Route的方式實時動態(tài)建立網(wǎng)絡(luò)流拓?fù)浣Y(jié)構(gòu),根據(jù)結(jié)構(gòu)中各網(wǎng)絡(luò)節(jié)點(diǎn)的流量進(jìn)行拓?fù)渑判?,以排序結(jié)果作為依據(jù),過濾掉其中流量過大的網(wǎng)絡(luò)節(jié)點(diǎn)。 通過層層過濾,確保只有使用真實IP地址的合法訪問請求才能流入服務(wù)器內(nèi)部進(jìn)行相應(yīng)的處理。 ? 具體實現(xiàn) 利用SYN-Cookie的方式進(jìn)行連接確認(rèn),以唯一Cookie憑據(jù)代替等待半連接隊列的方式,有效避免大量偽造IP數(shù)據(jù)包發(fā)起的SYN-Flood式的攻擊。 而針對黑客破解Cookie加密算法的可能,我們則采用應(yīng)用層回溯的方式,比對兩次數(shù)據(jù)包躍數(shù)的異同,從而分辨?zhèn)卧霫P數(shù)據(jù)包。 對于真實IP地址發(fā)起的DDOS攻擊,則使用獨(dú)創(chuàng)的網(wǎng)絡(luò)流拓?fù)浣Y(jié)構(gòu)分析,以拓?fù)渑判虻慕Y(jié)果作為判斷依據(jù),準(zhǔn)確定位攻擊源。 三種方式層層遞進(jìn),嚴(yán)格的過濾方法,有效保證只有合法數(shù)據(jù)包才能夠流入服務(wù)器內(nèi)部;從驅(qū)動層出發(fā),進(jìn)行攔截處理,保證了軟件的高效性,在驚人請求量的DDOS攻擊面前,高效準(zhǔn)確的防護(hù)機(jī)制,有效保護(hù)了服務(wù)器安全。 這樣的DDOS攻擊檢測方法理論依據(jù)完善,檢測識別精確快速,系統(tǒng)資源消耗少;其次,相比于包標(biāo)記等DDOS檢測方法,配置簡單,無需路由器配置支持;另外,在處理真實IP地址攻擊時,能夠準(zhǔn)確定位攻擊源。 2.3.1.3 跨站攻擊檢測子模塊 ? 功能 利用Lex & Yacc對訪問者輸入進(jìn)行JavaScript語法分析,判斷是否含有跨站攻擊威脅,從而返回跨站攻擊檢測結(jié)果。改變傳統(tǒng)關(guān)鍵字過濾的防護(hù)方式,實現(xiàn)了對訪問者輸入的實時動態(tài)行為分析,根據(jù)其實際請求內(nèi)容進(jìn)行檢測。 ? 原理 跨站攻擊,即Cross Site Script Execution(XSS),是指攻擊者在遠(yuǎn)程頁面中寫入含有惡意代碼的數(shù)據(jù),造成訪問者在訪問指定頁面時自動執(zhí)行相應(yīng)的惡意腳本,通常使用JavaScript作為惡意腳本語言。 由于跨站攻擊的核心在于可執(zhí)行惡意代碼的寫入,因此我們選擇在服務(wù)器端對訪問者的輸入進(jìn)行可執(zhí)行性以及語法語義的檢測判斷,從而確定其是否為可執(zhí)行的惡意代碼,并返回檢測結(jié)果。 ? 具體實現(xiàn) 利用ISAPI Filter與Apache Module進(jìn)行訪問者輸入攔截,檢測其中是否含有完整腳本語句標(biāo)簽,若無完整標(biāo)簽,則返回正常訪問請求;若含有完整腳本標(biāo)簽,則繼續(xù)進(jìn)行腳本語法分析,確定其語句含義,判斷用戶輸入的可執(zhí)行性和惡意威脅性,根據(jù)上述步驟返回跨站攻擊檢測結(jié)果。 2.3.1.4 篡改檢測子模塊 ? 功能 通過服務(wù)器核心內(nèi)嵌技術(shù),實現(xiàn)對于被保護(hù)對象的實時動態(tài)監(jiān)控,防止惡意篡改,一旦發(fā)現(xiàn)對象被篡改,立即進(jìn)行恢復(fù),并拒絕成功恢復(fù)前所有訪問者對該對象的訪問請求。 ? 原理 利用具有唯一性的數(shù)字水印作為標(biāo)識被保護(hù)對象的依據(jù),對象一旦被篡改,其數(shù)字水印特征也一定會被改變,以此判別被保護(hù)對象是否被篡改。攔截訪問者對被保護(hù)對象的全部訪問請求,校驗確定未被篡改時予以放行,且在成功恢復(fù)前拒絕一切針對該對象的訪問請求,從而有效地保證了被篡改對象不會被訪問者瀏覽。采用文件路徑以及文件內(nèi)容的雙重校驗備份,加快篡改還原速度。 ? 具體實現(xiàn) 篡改檢測子模塊一經(jīng)開啟,即為每個需保護(hù)的對象(靜態(tài)網(wǎng)頁、執(zhí)行腳本、二進(jìn)制文件)計算出唯一的數(shù)字水印,并在安全路徑下進(jìn)行備份。備份方式以文件路徑以及文件內(nèi)容分別進(jìn)行MD5校驗,從而加快恢復(fù)是查找備份溫條件的速度,有效提高篡改恢復(fù)速度,做到實時迅速恢復(fù)。每次接收到訪問請求時,將當(dāng)前被保護(hù)對象水印與原始數(shù)字水印進(jìn)行比對計算,一旦發(fā)現(xiàn)對象被篡改,則立即進(jìn)行恢復(fù),并在成功恢復(fù)前拒絕所有訪問者對該對象的訪問請求,防止非法網(wǎng)頁內(nèi)容被訪問者瀏覽,同時返回檢測結(jié)果,為日志模塊提供記錄所需的攻擊信息。 2.3.1.5 權(quán)限控制子模塊 ? 功能 根據(jù)用戶對于需保護(hù)路徑和文件的權(quán)限設(shè)置,檢測攻擊者對于受保護(hù)對象的非法訪問請求,并返回檢測結(jié)果。從而實現(xiàn)對特定路徑和文件的權(quán)限控制,避免攻擊者惡意訪問和下載受保護(hù)的重要文件。 ? 原理 本模塊主要針對攻擊者對于服務(wù)器端重要文件的惡意訪問和下載,這些文件往往記錄了用戶和管理員的一些重要信息,而攻擊者利用Web應(yīng)用程序的漏洞,非法對以上文件進(jìn)行訪問和下載,就可能會造成大量重要保密信息的流失。比如暴庫攻擊,攻擊者利用技術(shù)手段或程序漏洞得到數(shù)據(jù)庫的地址,并將數(shù)據(jù)庫非法下載到本地,從而得到網(wǎng)站的管理員賬號,甚至服務(wù)器的最高權(quán)限。 權(quán)限控制子模塊針對以上問題,對訪問者的資源請求進(jìn)行有針對性的分析檢測,判斷請求方是否具有訪問受保護(hù)對象的權(quán)限,防止重要路徑和文件數(shù)據(jù)的流失。 ? 具體實現(xiàn) 攔截訪問者對服務(wù)器端資源的請求,與用戶控制面板對本模塊的設(shè)置進(jìn)行比對,分析請求內(nèi)容是否與用戶資源權(quán)限設(shè)置沖突,即訪問者是否對所請求資源具有訪問權(quán)限,從而返回權(quán)限控制子模塊檢測結(jié)果。 2.3.1.6 資源盜鏈檢測子模塊 ? 功能 攔截其他站點(diǎn)對本站資源的非法盜鏈請求,保護(hù)本地資源不被未經(jīng)許可的站點(diǎn)非法盜鏈。 ? 原理 發(fā)往服務(wù)器端的請求都會具有Refer項標(biāo)志其來源,而我們就可以根據(jù)請求來源是否為本站判斷是否為非法盜鏈行為,若非授權(quán)站點(diǎn)則判定為非法盜鏈。 ? 具體實現(xiàn) 對于服務(wù)器端接收到的資源請求,進(jìn)行非法盜鏈判定,即判斷Refer項內(nèi)容是否為授權(quán)站點(diǎn),若非則判定為非法盜鏈,根據(jù)用戶設(shè)置拒絕請求或返回警告信息。 2.3.2處理響應(yīng)模塊 ? 功能 根據(jù)用戶控制面板設(shè)置的處理響應(yīng)方案,對攻擊檢測模塊檢測到的攻擊者進(jìn)行處理響應(yīng),主要包括警告信息提示以及封禁IP地址兩種方式,并分別將攻擊和處理響應(yīng)信息寫入到相應(yīng)的管理日志中。 ? 具體實現(xiàn) 根據(jù)用戶控制面板設(shè)置,決定對于惡意攻擊用戶的響應(yīng)處理。警告信息提示采用ISAPI Filter或Apache Module返回警告信息頁面,而封禁IP地址則采取將攻擊者添加至服務(wù)器架設(shè)軟件拒絕IP段中的方式,并將此次攻擊的詳細(xì)信息,以及詳細(xì)的處理響應(yīng)動作信息,分別寫入至攻擊日志和處理日志。 2.3.3 用戶控制面板 ? 功能 用戶控制面板實現(xiàn)對于整體軟件功能的用戶自定義設(shè)置和調(diào)整,主要由模塊防御設(shè)置、攻擊響應(yīng)設(shè)置、日志管理設(shè)置和高級設(shè)置四個部分組成。 模塊防御設(shè)置提供對于各攻擊檢測模塊的開啟和關(guān)閉設(shè)置。 攻擊響應(yīng)設(shè)置針對處理響應(yīng)模塊,為用戶提供警告信息提示、封禁IP地址等響應(yīng)動作的相關(guān)設(shè)置。 日志管理設(shè)置,主要針對管理日志模塊,提供備份、導(dǎo)出、定期清理等自定義設(shè)置選項,進(jìn)一步保證本軟件的安全性。 高級設(shè)置,針對攻擊檢測模塊,為高級管理員用戶提供自定義配置方案的高級檢測子模塊設(shè)置。 2.3.4 管理日志模塊 ? 功能 管理日志主要分為攻擊日志和響應(yīng)日志兩部分,攻擊日志記錄惡意攻擊者的攻擊時間、攻擊方式、攻擊者IP地址等相關(guān)攻擊信息;響應(yīng)日志記錄對攻擊者處理響應(yīng)的時間、方式、結(jié)果等相關(guān)信息。為服務(wù)器管理員提供了寶貴的服務(wù)器和軟件運(yùn)行響應(yīng)數(shù)據(jù),便于其更好地保護(hù)服務(wù)器安全不受威脅。 2.4指標(biāo) 下面我們從完整性、普適性、準(zhǔn)確性三個方面對作品的相關(guān)指標(biāo)進(jìn)行詳細(xì)評價與闡釋。 2.4.1 完整性 功能完整性:除具有各模塊攻擊檢測響應(yīng)功能模塊,還有完整的控制面板、管理日志,為用戶提供了詳盡的服務(wù)器、軟件運(yùn)行數(shù)據(jù),以及針對軟件功能的自主設(shè)置,軟件功能上具有較好的完整性。 防護(hù)完整性:針對注入攻擊、DDOS攻擊、跨站攻擊等普及程度高、危險性強(qiáng)的攻擊手段進(jìn)行了全方位多角度的檢測防護(hù),各模塊協(xié)同合作,為用戶提供體系化的服務(wù)器端安全防護(hù)。 2.4.2 普適性 跨平臺性:各攻擊檢測模塊與處理響應(yīng)模塊均在Windows和Linux兩個平臺下并行開發(fā),并使用具有較好跨平臺特性的Qt進(jìn)行用戶界面的設(shè)計和編寫,作品在兩個平臺上均運(yùn)行穩(wěn)定。 動態(tài)語言無關(guān)性:采用核心內(nèi)嵌的方式完成各模塊的架構(gòu),實現(xiàn)了安全防護(hù)與動態(tài)網(wǎng)頁源代碼的彼此獨(dú)立,使本軟件可以與動態(tài)網(wǎng)站無縫連接,具有較強(qiáng)的動態(tài)語言無關(guān)性。 2.4.3 準(zhǔn)確性 作品采用動態(tài)實時的語法語義分析、智能化DDOS攻擊檢測技術(shù),從根本上杜絕攻擊的可能性,相比較于傳統(tǒng)安全防護(hù)方式在準(zhǔn)確性方面有著顯著的提升,大大降低了用戶無惡意請求的誤判幾率。此外,還將系統(tǒng)運(yùn)行過程中檢測到的惡意攻擊威脅和處理響應(yīng)操作詳細(xì)記錄于日志模塊,供服務(wù)器管理員查看使用,從而進(jìn)一步提升本軟件的安全防護(hù)準(zhǔn)確性。

作品圖片

  • 基于SQL語法樹形結(jié)構(gòu)分析的服務(wù)器防護(hù)系統(tǒng)
  • 基于SQL語法樹形結(jié)構(gòu)分析的服務(wù)器防護(hù)系統(tǒng)
  • 基于SQL語法樹形結(jié)構(gòu)分析的服務(wù)器防護(hù)系統(tǒng)
  • 基于SQL語法樹形結(jié)構(gòu)分析的服務(wù)器防護(hù)系統(tǒng)

作品專業(yè)信息

設(shè)計、發(fā)明的目的和基本思路、創(chuàng)新點(diǎn)、技術(shù)關(guān)鍵和主要技術(shù)指標(biāo)

1. 設(shè)計目的和思路 2009年賽門鐵克共發(fā)現(xiàn)了超過2.4億個全新的網(wǎng)絡(luò)安全威脅,在信息化、網(wǎng)絡(luò)化高速發(fā)達(dá)的今天,互聯(lián)網(wǎng)作為大量重要乃至機(jī)密信息的存儲媒介,這樣驚人的數(shù)字將無疑將嚴(yán)重制約互聯(lián)網(wǎng)未來的發(fā)展,為社會帶來巨大的損失。 面對這樣的嚴(yán)峻形勢,我們將作品定位于一款面向網(wǎng)絡(luò)服務(wù)器,針對時下最流行的攻擊方式,以核心內(nèi)嵌的方式工作于服務(wù)器架設(shè)軟件內(nèi)部的安全防護(hù)軟件,旨在以簡單便捷的操作,精確智能的分析,實現(xiàn)對服務(wù)器全方位立體化的系統(tǒng)性安全防護(hù)。 2. 技術(shù)創(chuàng)新點(diǎn) 1)基于SQL語法樹形結(jié)構(gòu)分析的攻擊檢測方法:作品獨(dú)創(chuàng)性地提出基于SQL語法樹形結(jié)構(gòu)分析的SQL注入攻擊檢測方法,這種方法,真正意義上實現(xiàn)了對注入攻擊的主動分析防御,從根本上、原理上杜絕了一切形式的SQL注入攻擊。相比于現(xiàn)有同類軟件的防護(hù)方法,一方面可以更加準(zhǔn)確有效地識別各種形式的注入攻擊,另一方面也避免了對用戶無惡意輸入誤操作。 2)核心內(nèi)嵌的工作方式:作品完美內(nèi)嵌于Web服務(wù)器架設(shè)軟件之中,部署簡便,無需預(yù)留接口,安裝后開啟服務(wù)即可使用。通過Web服務(wù)器核心內(nèi)嵌技術(shù),一方面不會產(chǎn)生單獨(dú)的進(jìn)程,防止黑客通過截獲防護(hù)進(jìn)程入侵服務(wù)器,另一方面也大幅改善了運(yùn)行效率。 3)良好的跨平臺性和可移植性:作品基于目前市面上最主流的服務(wù)器架設(shè)軟件——Apache和IIS,支持Windows和Linux操作系統(tǒng)平臺,而且并不依賴于架設(shè)動態(tài)網(wǎng)站所使用語言的種類,具有良好的跨平臺性和可移植性。

科學(xué)性、先進(jìn)性

作品創(chuàng)造性地提出了基于SQL語法樹形結(jié)構(gòu)分析的注入攻擊檢測方法,該技術(shù)在國際范圍內(nèi)處于領(lǐng)先地位,其相對于現(xiàn)有同類軟件所使用方法,主要具有以下幾點(diǎn)優(yōu)勢: 1)整體采用C語言級實現(xiàn),相對于傳統(tǒng)代碼內(nèi)嵌式的動態(tài)腳本語言檢測,執(zhí)行效率顯著提高; 2)從語法語義的角度分析,克服了注入攻擊靈活性強(qiáng)的防護(hù)難點(diǎn),從根本和理論上杜絕了注入攻擊的可能; 3)語法分析的方式以及無害輸入生成的方式,能夠避免對于用戶合法輸入的錯誤攔截; 4)不依賴于網(wǎng)頁動態(tài)語言的種類,能夠?qū)崿F(xiàn)跨平臺、跨語言的攻擊檢測; 目前階段正在就該技術(shù)撰寫學(xué)術(shù)論文,摘要已經(jīng)被國際某信息安全領(lǐng)域期刊錄用,同時也正在申請國家發(fā)明專利。

獲獎情況及鑒定結(jié)果

2010年8月,于哈爾濱工業(yè)大學(xué),獲得第三屆全國大學(xué)生信息安全競賽一等獎(第1名) 2010年12月,經(jīng)國家信息中心評審,作品在學(xué)術(shù)理論及實際應(yīng)用方面均具有國際先進(jìn)性

作品所處階段

生產(chǎn)階段

技術(shù)轉(zhuǎn)讓方式

作品可展示的形式

實物、產(chǎn)品;現(xiàn)場展示;圖片;樣品

使用說明,技術(shù)特點(diǎn)和優(yōu)勢,適應(yīng)范圍,推廣前景的技術(shù)性說明,市場分析,經(jīng)濟(jì)效益預(yù)測

1. 產(chǎn)品適用范圍 作品基于目前市面上最主流的服務(wù)器架設(shè)軟件——Apache和IIS,支持Windows和Linux操作系統(tǒng)平臺,而且并不依賴于架設(shè)動態(tài)網(wǎng)站所使用語言的種類。針對目前互聯(lián)網(wǎng)環(huán)境中,由于人力財力所限中小型網(wǎng)站往往疏于維護(hù)的現(xiàn)狀,作品主要面向該類用戶,有效保護(hù)服務(wù)器安全,改善互聯(lián)網(wǎng)安全環(huán)境。 2. 技術(shù)特點(diǎn)及優(yōu)勢 1)基于SQL語法樹形結(jié)構(gòu)分析的攻擊檢測方法 2)核心內(nèi)嵌的工作方式 3)良好的跨平臺性和可移植性 3. 市場前景分析 作品面向網(wǎng)絡(luò)服務(wù)器,為中小型網(wǎng)站用戶提供了一整套具有獨(dú)創(chuàng)性和先進(jìn)性的網(wǎng)絡(luò)安全服務(wù)系統(tǒng),不僅在理論上具有國際先進(jìn)性和獨(dú)創(chuàng)性,而且具有很強(qiáng)的實用價值和高效性,特別從理論角度根本上解決了SQL注入攻擊靈活性強(qiáng)的防護(hù)難點(diǎn),徹底杜絕了攻擊的可能。而相比于目前市場同類硬件防火墻產(chǎn)品動輒數(shù)百萬的高昂價格,作品完全采用軟件架構(gòu),低廉的使用以及部署成本,保證了作品廣闊的應(yīng)用推廣前景。

同類課題研究水平概述

目前,國內(nèi)相關(guān)的服務(wù)器安全防護(hù)系統(tǒng)尚處于起步階段,尤其是針對中國小型網(wǎng)站的服務(wù)器安全防護(hù)系統(tǒng)更是少之又少,幾家大型網(wǎng)絡(luò)安全公司主要針對大型企業(yè)提供服務(wù)器安全解決方案。 據(jù)了解,目前我國國內(nèi)為數(shù)不多的針對中小企業(yè)的服務(wù)器安全防護(hù)系統(tǒng),其中的防SQL注入攻擊大都采用基于關(guān)鍵字過濾的防護(hù)技術(shù),且其防護(hù)能力良莠不齊。并且由于基于關(guān)鍵字過濾的防護(hù)技術(shù)的先天不足,其產(chǎn)品的實際防護(hù)效果并不十分理想,并且過濾掉用戶合法輸入的情況時有發(fā)生。而作品創(chuàng)造性地提出了“基于SQL語法樹形結(jié)構(gòu)比對”的注入攻擊檢測方法,此項技術(shù)直接針對SQL注入的原理,從根本上杜絕了任意形式SQL注入攻擊。相比較于現(xiàn)在市場上的主流SQL注入檢測防護(hù)方法,準(zhǔn)確率有了大幅度的提升。并且本團(tuán)隊在分析惡意性的過程中,加入了對于無害錯誤串的容錯處理機(jī)制。此項技術(shù)在不影響SQL防注入準(zhǔn)確率的前提下,從根本上杜絕了錯誤攔截用戶正常輸入的現(xiàn)象。 并且據(jù)我們了解國內(nèi)同類軟件一般只針對一種操作系統(tǒng)甚至一種服務(wù)器架設(shè)軟件進(jìn)行防護(hù)。而作品采用Web服務(wù)器核心內(nèi)嵌式技術(shù),與各種服務(wù)器架設(shè)軟件無縫銜接,并采用具有普適性和自適應(yīng)能力的方式,實現(xiàn)了跨平臺、跨語言的安全防護(hù)。系統(tǒng)基于Windows、Linux兩大主流服務(wù)器操作系統(tǒng),面向IIS、Apache、Tomcat三種主流服務(wù)器架設(shè)軟件,適用于ASP、PHP、JSP三大動態(tài)網(wǎng)頁語言,以創(chuàng)造性的方式方法,較好地解決了服務(wù)器安全問題。
建議反饋 返回頂部