文档介绍:摘要随着互联网的广泛普及,τ闷教ㄒ丫鸾コ晌;チM畔交互的中心,随之而来的是τ妹媪俚脑嚼丛窖现氐陌踩玻如何保障τ冒踩丫晌R桓鲋匾5难芯靠翁狻U攵訵应用的攻击与传统网络攻击相比具有许多新特征,如采用正常的协议携带恶意数据,使得传统的网络层防火墙和入侵检测系统无法识别,必须从应用层的角度出发进行安全防护。本文首先研究了τ冒踩ú母匆约捌涿媪俚闹匾0全威胁,并针对τ闷教ㄌ岢隽艘桓霭踩ń饩龇桨浮V笊钊研究了⑷牍セ骱屯炒鄹墓セ髡饬街钟跋熳钗Q现氐腤应用攻击及其防护技术,并在理论研究的基础上对相应的安全防护机制进行了设计与实现。针对⑷牍セ鳎疚纳钊胙芯苛似涔セ餍形<坝锓ㄌ卣鳎采用正则表达式对攻击特征进行了完备描述;在研究⑷敕阑技术的基础上,本文基于服务端过滤技术设计实现了一个端⑷牍セ鞴似鳌8霉似髟贖请求未提交衿系统模块处理前分析请求数据,实时拦截攻击行为并告警;通过采用基于攻击特征的正则表达式描述过滤规则,降低了过滤机制的误报率和漏报率;同时结合了访问限制功能,可以预防攻击者发起穷举式⑷牍セ鳌针对网页篡改攻击,本文深入研究了各种防御技术,分析比较了各种技术的优缺点,最后结合募僮飨低澈涂杉釉啬诤四?开发技术,设计实现了一个基于事件触发技术的网页防篡改内核模块,在网页文件被修改时对修改文件的进程和用户进行权限核查,从而实时阻断恶意修改行为。测试结果表明,本文设计实现的攻击防御机制可以有效防御注入和网页篡改攻击,同时对服务器响应延迟和负载影响较小。关键词τ冒踩ǎ阑ぜ际酰琒注入,网页防篡改
瑆飌甒,,.,瓾’甌琧琱,.甌..瑆.,.,
第一章绪论弟一早瑁下匕毫皇翼课题背景介绍随着信息化建设的不断推广,企事业单位无论是构建内部的业务应用系统,还是建设对外信息的发布平台,都离不开τ眉际酢应用技术不仅给用户提供一个简单方便的交互平台,也给信息服务商提供了一种构建信息系统的标准技术。然而随着τ闷教ㄆ占霸嚼丛焦惴海攵訵应用程序的攻击也越来越多,τ冒踩ā媪偃找嫜暇耐埠吞粽健美国互联网安全厂商的分析报告显示,年网络攻击事件有%都是针对τ闷教ǚ⑵鸬模暾庖还セ鞅壤亮。另据/调查显示,年到年中国大陆网站恶意挂马事件增长了倍,被篡改网站数量增长了倍,年国内被篡改网站数量达到万个【这些攻击事件极大地影响了τ闷教ǖ恼T诵小目前针对τ貌愕墓セ饕丫啻锷锨е帧钗3<墓セ靼ǎ阂⑷牍セ魑4淼母髦肿⑷牍セ鳌⒎欠ù鄹耐疽趁妗⑼扯褚夤衣怼⒖站点脚本攻击等等。各种セ骼玫穆┒从牍セ魇侄尾痪∠嗤踔镣种攻击都可以运用灵活多变的手法来达到攻击者最终的目的。以⑷牍セ鳌。为例,如果τ每7⒄弑嘈吹拇朊挥信卸嫌没入数据的合法性,攻击者便可以构造恶意数据库查询代码从而获得某些重要的数据甚至获得服务器高级执行权限。同时,⑷牍セ骺梢岳肏橹的椒ā椒ㄒ约癈荨康榷嘀滞揪斗⑵穑セ髡呖梢圆断调整攻击参数以达到最终目的。图显示了当前典型的一种τ闷教ḿ芄梗突Ф通常为览器騑服务器发送请求,衿鹘肭笞7⒅劣τ寐呒衿骰蛘τ贸绦虼恚渲锌赡芑嵘婕暗接胧菘夥衿鞯慕换ァ应用程序完硕士学位论文第一章绪论图鼻暗湫偷腤应用平台架构网络榔⋯⋯⋯防火墙簂务戍用逻辑器服务器数据库
τ冒踩芯康南肿醇耙庖攻击时,防火墙和入侵检测系统就无能为力了【以。网络防火墙能够针对端口实成逻辑数据后,将响应内容返回给客户端。为了保障τ闷教ǖ陌踩ǎ多公司都在网络边界上部署了防火墙或者入侵检测系统。然而防火墙和入侵检测系统只能拦截针对网络层的攻击,当攻击者利用τ贸绦蚵┒捶⑵鹫攵孕现访问控制功能,但是防火墙必须允许和槭萃ㄐ幸员Vた以对外正常提供瘛H绻セ鞔氡恢踩氲紿ㄐ攀葜校敲捶火墙便无法识别这些通信数据的合法性,从而无法防御此类攻击。例如入攻击便是借助合法的通信数据,通过在请求实体中嵌入恶意查询代码,从而安全地穿过网络防火墙,达到攻击内网数据库的目的。入侵检测系统也工作在网络层上,并根据特征规则检测攻击行为,但是入侵检测系统对应用层数据的解析能力同样有限。由此可见,传统网络层的安全防护系统无法有效处理应用层协议数据,更无法结合具体的τ贸绦蛏钊敕治銮肭竽谌荩蚨薹ǚ烙攵訵应用程序的攻击。从本质上讲,基于应用层的攻击基本都是由τ贸绦蚵┒丛斐的,由于τ贸绦蚩7⑷嗽奔际跎匣蛘呔樯系脑颍挥姓反砀髦τ冒踩迹钪赵斐闪薟应用层漏洞。然而实际情况下让所有程序员在编写τ贸绦蚴倍甲⒁夥婪墩庑┞┒词遣惶质档模襑应用攻击方式的不断更新也使得只依靠应用程序本身无法及时防范各种新型攻击。因此,必须研究专门的踩ǚ阑げ呗岳幢U蟇应用平台的安全。目前防护利用协议发起的τ霉セ鳎饕2捎玫募际跏嵌訵服务器的功能做扩展,通过在衿魅砑刑砑影踩ǚ阑つ?椋梢栽请求数据尚未被衿飨低衬?榇碇敖邪踩ḿ觳椋终S户访问和攻击者的恶意数据,这种技术称为“衿骼┱辜际酢被蛘摺癢服务器模块开发技术”,它能够实时防御诸如⑷牍セ鞯壤谜通信数据的攻击。