秦久明

摘要：隨著現(xiàn)代計算機網(wǎng)絡技術的普及和發(fā)展，網(wǎng)絡運行環(huán)境的安全性和穩(wěn)定性越來越受到人們的關注。網(wǎng)絡所具有的高度自由和開放使得在其運行的過程中會面臨到多種多樣的安全風險，網(wǎng)絡環(huán)境受到破壞，從當前網(wǎng)絡環(huán)境的網(wǎng)站安全防御系統(tǒng)建設來看，并不能完全的有效解決網(wǎng)絡環(huán)境網(wǎng)站的安全問題，需要在新形勢下，建立一個多角度網(wǎng)絡環(huán)境的網(wǎng)站安全防御系統(tǒng)，全方位多角度的對網(wǎng)站運行起到安全保護作用，據(jù)此，該文從當前網(wǎng)站安全防御的現(xiàn)狀入手，研究構建了一個多角度綜合化的網(wǎng)站安全防御系統(tǒng)。

關鍵詞：多角度；網(wǎng)絡環(huán)境；網(wǎng)站安全；防御系統(tǒng)

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）27-0026-02

Abstract：With the popularization and development of modern computer network technology， the security and stability of the network operating environment is getting more and more attention. The network has a high degree of freedom and openness in the process of its operation will be faced with a variety of security risks， network environment is damaged， from the current network environment of the site security defense system construction， and can not be completely effective solution to the network environment， need to build a multi angle network environment of website security defense system， the full range of multi angle on the site to run the security of the site， this article from the current status of security defense.

Key words： multi angle； network environment； website security； defense system

現(xiàn)代社會生活中，計算機網(wǎng)絡對人們的生活帶來了極大的便利，它為人們對于新知識的了解提供了一個新的途徑和方式。它自身所具有的自由性和開放性特征，使得網(wǎng)絡運行環(huán)境受到了很多安全隱患的威脅，由其是在當前網(wǎng)絡大環(huán)境下，網(wǎng)站的安全風險越來越高，很多網(wǎng)站包括政府、企業(yè)等類型都受到過非法篡改和攻擊，大多數(shù)網(wǎng)站的安全維護主要是以防火墻以及入侵檢驗等為主，這些防御技術實質(zhì)上并不能完全解決日益多變的安全防護要求，構建良好的網(wǎng)絡運行環(huán)境，提高網(wǎng)站的安全系數(shù)具有重要意義。

1 對于網(wǎng)絡非法攻擊的分析

通過對當前大多數(shù)網(wǎng)站受到攻擊的威脅來看，最具有代表性的攻擊方式有三種，即注入攻擊、跨站腳本和網(wǎng)頁篡改。三者中前兩者是關鍵，也是威脅系數(shù)最大的，需要網(wǎng)站在進行安全防御工作時多有留意，下面對三者進行分析。

1.1 注入攻擊

注入攻擊者是攻擊操作者把惡意數(shù)據(jù)充當為命令，然后再把它插入到應用處理程序中，經(jīng)過這個處理程序后，可以按照這種方式來達到網(wǎng)站處理程序計劃之外而攻擊者策劃內(nèi)的命令，也可以是還沒有被網(wǎng)站處理程序允許的數(shù)據(jù)的目的。其中的惡意數(shù)據(jù)主要有SQL命令、和Javascript腳本等。現(xiàn)在主要的防護措施是以動態(tài)化的形式來對用戶提交的SQL語句進行監(jiān)控，如果不滿足正確模型就說明存在SQL注入攻擊問題[1]。

1.2 跨站腳本攻擊的分析

在網(wǎng)站運行中，我們常說的跨站腳本攻擊，從它的作用和目的來看，它屬于是計算機安全漏洞的一種，它的產(chǎn)生可以給計算機用戶帶來極大的危害，導致用戶在正常的網(wǎng)頁瀏覽過程中個人信息被盜竊走，那么從盜竊的原理來看，其中重要的一個內(nèi)容就是惡意客戶端腳本，它會被注入到網(wǎng)頁中而不會被發(fā)現(xiàn)，它的英文簡寫是XSS，到目前為止我們對于XSS的研究有兩點，其一，網(wǎng)站的開發(fā)和日常維護管理，這一部分的主要目的是在網(wǎng)站開發(fā)的過程中，怎樣才可以提高它的運行安全性，在日常管理中怎樣可以最大程度的減少攻擊危害；其二，它的客戶端，對于它的客戶端來說，我們可以從運行安全的角度來考慮在它的客戶端中添加相應的腳本審查機制，并增加Web-proxy來對所有流量起到轉(zhuǎn)發(fā)的作用，就相當于是一個防護墻，但是具體的操作實施不是很簡單。

1.3 網(wǎng)站的非法篡改

網(wǎng)站的非法篡改是網(wǎng)站安全運行中的常見威脅，我們對其研究經(jīng)歷了四個不同的階段，即外掛輪詢技術、事件觸發(fā)技術、核心內(nèi)嵌技術、文件過濾驅(qū)動技術。在上述四個不同的階段中，每一階段的技術都有明顯的獨特性，在實際應用的過程中應用的流程和原理也不一樣，外掛輪詢技術，它是起到對網(wǎng)站的掃描作用，主要的掃描部分包括所有目錄，掃描的方式是循壞模式，一旦在掃描的過程中發(fā)現(xiàn)異常狀況就可以及時地采取措施進行解決處理，對已經(jīng)被篡改的目錄進行備份和恢復，而相對于文件過濾技術來說，它主要的攔截和分析對象是IRP，按照既定的規(guī)則來對目錄文件進行讀、寫等的管控，可以在第一時間維護目錄完整性[2]。

2 攻擊危害產(chǎn)生的具體流程

因為網(wǎng)站的普及度很廣，因此，在防御系統(tǒng)的建立上也要有多角度全面性的考慮，任何一個方面都要做到位，不能因為一方面的原因?qū)е抡麄€網(wǎng)站受到安全危險。

2.1 注入攻擊的流程

首先，對網(wǎng)站應用程序的腳本系統(tǒng)進行判斷，其中包括asp、aspx、php等；其次，對于存在漏洞的掃描，可以在最短的時間內(nèi)發(fā)現(xiàn)存在的SQL注入點，如果具有特殊性的話，還需要對其進行有根據(jù)的判斷；第三，采用科學的方法和手段對系統(tǒng)運行所需要的數(shù)據(jù)庫進行準確的分析，并對它的內(nèi)部各個結構進行準確合理的判斷；第四，構造一個注入語句，然后再把SQL注入其中；第五，得到網(wǎng)站應用程序的管理權限，然后直接進入到后臺來掌握腳本系統(tǒng)，這種攻擊方十分常見。

2.2 跨站腳本攻擊流程

對于這方面內(nèi)容的分析，要有合理的分析流程，首先，攻擊者會有事前的調(diào)查準備，針對于網(wǎng)站應用程序中所存在的XSS漏洞進行發(fā)現(xiàn)和標記，然后在這些標記中確定出最合適的XSS攻擊構造部位，最后插入XSS攻擊語句；其次，用戶在訪問網(wǎng)絡時可以正常的瀏覽網(wǎng)頁內(nèi)容；第三，攻擊者對XSS語句經(jīng)過特定的設計之后，會隱藏在網(wǎng)頁腳本中，一旦網(wǎng)頁瀏覽就會被執(zhí)行，一旦執(zhí)行就會搜集網(wǎng)站的cookie等信息，然后會直接的傳輸?shù)焦粽叩姆掌髦校谒?，攻擊者在獲得這些用戶的cookie信息后，攻擊者就會利用這些信息來冒充用戶在網(wǎng)站中進行操作，也可以進行其他的攻擊性活動。

2.3 具體的解決處理方法

首先，網(wǎng)站維護管理人員要建立一個防SQL注入或防XSS的防火墻，而且還要在這個服務器上嵌入防火墻[3]，這樣做的目的主要是對用戶的信息起到保護作用，可以按照它自身的保護原則對用戶所提交的所有數(shù)據(jù)信息進行有針對性的篩選和攔截，只要是符合攔截規(guī)則的都會被過濾掉，其中就包括上述提到的SQL語句，這樣就大大提高了運行的可靠性。

其次，經(jīng)過上一流程后，我們還可以構建一個具有驅(qū)動層次的防篡改系統(tǒng)，這種系統(tǒng)的存在是依據(jù)文件驅(qū)動層次的，在它的作用下可以得到系統(tǒng)對文件的各種操作信息，在得到這些信息后再經(jīng)過相應的過濾后，進而達到防止文件被篡改的目的，保證運行的良好。

第三，加大對webshell檢測技術的應用力度，webshell文件從其實質(zhì)上來講，就是一種網(wǎng)頁文件，因此，在執(zhí)行殺毒處理時會被忽略，那么對于這類文件，常用的檢測技術就是在特征碼技術的基礎上，一旦檢測出異常特征狀況就說明這個webshell是可疑的[4]。

3 構建的多角度網(wǎng)絡環(huán)境的網(wǎng)站安全防御系統(tǒng)闡述

隨著網(wǎng)絡信息技術的普及，人們對網(wǎng)絡的使用越來越廣泛，網(wǎng)絡對社會生產(chǎn)和生活產(chǎn)生著重要的影響，對于新出現(xiàn)的安全隱患類型，如果還是按照過去舊的防御模式的話，是不能完全解決當前網(wǎng)站運行所面臨的安全問題的，必須構建一種新的安全防御系統(tǒng)。

3.1 防止SQL注入和XSS攻擊

對于這方面的分析，文章以圖示方法來講解，這樣表述可以更為明確清晰。在下圖中，客戶端用戶在和網(wǎng)絡服務器進行交互時是離不開瀏覽器的，在瀏覽器的支持作用下再采用GET和POST兩種方法來實現(xiàn)和網(wǎng)站服務器的數(shù)據(jù)交換，得到網(wǎng)站服務器的相應處理，兩種方法提交的數(shù)據(jù)信息也是不相同的，前者也就是GET是對瀏覽器地址欄中的網(wǎng)址參數(shù)進行提交，而后者也就是POST則是網(wǎng)頁頁面form表單中的數(shù)據(jù)信息，那么這兩種數(shù)據(jù)提交方法也為攻擊者提供了攻擊渠道[5]。那么本文所提到的建立多角度網(wǎng)站安全防御系統(tǒng)就是采用對比關鍵字、正則表達式技術以及多編碼技術三位一體的模式，可以對用戶所提交的請求進行事前攔截，會對所提交的數(shù)據(jù)信息進行分析和過濾，確保不存在惡意內(nèi)容后再進行提交，這樣也就大大減少了攻擊者的攻擊行為產(chǎn)生。

下圖為防SQL注入和防XSS攻擊的具體流程圖。

3.2 防止網(wǎng)站被非法篡改

這個系統(tǒng)中所使用的防篡改系統(tǒng)是Windows底層文件過濾驅(qū)動技術，那么什么是Windows底層文件過濾驅(qū)動技術？從它的運行流程和結構來看，它的主體有兩部分構成，即內(nèi)核態(tài)的文件過濾驅(qū)動部分和用戶態(tài)的應用程序部分。前者是以Filemon為基礎來完成修改，可以對文件操作過程中的IRP進行分析和攔截，然后再按照用戶態(tài)的應用程序配置標準對特定操作進行過濾和攔截，最終保證了網(wǎng)站目錄不會被篡改；后者通過DeviceIoControl的采用，來完成其向驅(qū)動程序傳輸I/O控制碼的操作，保證了用戶態(tài)程序和過濾驅(qū)動兩者之間的交流正常[6]。

3.3 對于webshell檢測技術的分析

經(jīng)過上述的分析，我們知道webshell文件其實屬于是網(wǎng)頁的一種，那么對于這種類型的文件，這個多角度網(wǎng)站安全防御是依靠特征碼技術來實現(xiàn)的，在具體檢測過程中，如果檢測出現(xiàn)了異常，就可以說明這個webshell并不符合要求。此外，這種系統(tǒng)還可以在文件檢測模塊的作用下對文件內(nèi)容進行針對性的讀取，以特征庫為基礎進行特定目的的查找，如果存在匹配一致的關鍵字則完成匹配，再進行下一關鍵字的查找和匹配，最后輸出所有含有該關鍵字的文件，也就是可疑的webshell文件。

4 結束語

隨著計算機網(wǎng)絡技術的普及和發(fā)展，它在社會發(fā)展中所起到的作用越來越明顯，那么隨之而來的就是它所面臨的安全風險也越來越多樣化，這對網(wǎng)站安全運行是不利的，本文從網(wǎng)站的維護管理角度，分析了多角度網(wǎng)絡環(huán)境的網(wǎng)站安全防御系統(tǒng)的建立，在新的系統(tǒng)作用下，可以實現(xiàn)全方位、多層次、多角度的保護，提高網(wǎng)站運行的安全性和可靠性。

參考文獻：

[1] 文志華， 周序生. 多方位WEB網(wǎng)站安全防御系統(tǒng)研究[J]. 網(wǎng)絡安全技術與應用， 2014（12）： 115-116.

[2] 陳藝. 網(wǎng)絡安全防御系統(tǒng)的設計與實現(xiàn)探析[J]. 軟件， 2013， 34（11）： 125-126.

[3] 張風雷， 霍旺. Web系統(tǒng)入侵與防御架構的研究[J]. 中國新通信， 2014（10）： 106-107， 120.

[4] 楊林， 楊鵬， 李長齊. Web應用漏洞分析及防御解決方案研究[J]. 信息安全與通信保密， 2011（2）： 8-60， 63.

[5] 郭文博. 網(wǎng)站的安全隱患及應對措施探討[J]. 計算機光盤軟件與應用， 2012（16）： 159-160.

[6] 高育智. 試論Web網(wǎng)站安全問題與解決方法[J]. 數(shù)字技術與應用， 2010（8）： 46-47.