Web的入侵防御系統(tǒng)的設(shè)計_服務(wù)器-論文網(wǎng)

1、Web的入侵防御系統(tǒng)的設(shè)計_服務(wù)器-論文網(wǎng)論文摘要：本文在系統(tǒng)分析當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀的基礎(chǔ)上，通過調(diào)查研究Web服務(wù)器所面對的威脅，并對各種常見的網(wǎng)絡(luò)攻擊方式進(jìn)行研究，設(shè)計了基于Web的入侵防御系統(tǒng)。在本系統(tǒng)中，用戶可以通過制定一些策略來監(jiān)測訪問Web服務(wù)器的用戶的行為，以此來阻止有不良企圖的用戶的惡意攻擊，從而實現(xiàn)保護(hù)Web服務(wù)器的安全。論文關(guān)鍵詞：入侵防御系統(tǒng),服務(wù)器,策略設(shè)計0引言隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和深入應(yīng)用，人們對網(wǎng)絡(luò)的安全性和可管理性的要求也越來越高，與此同時網(wǎng)絡(luò)黑客的攻擊方式，也變得越來越多樣化，技術(shù)的復(fù)雜程度也越來越高，網(wǎng)絡(luò)用戶使用網(wǎng)絡(luò)過程中常見的攻擊類型有：未經(jīng)授權(quán)的遠(yuǎn)程訪問

2、、本地超級用戶的非法訪問、掃描與探查、拒絕服務(wù)攻擊以及惡意軟件包。這就要求對用戶端發(fā)送的HTTP信息進(jìn)行分析比對，但這種報文解析的方式需要一種截獲下層原始報文的能力，這可以通過截獲傳輸層或網(wǎng)際層報文的實現(xiàn)，所以我們通過Web服務(wù)器提供的接口僅僅截獲應(yīng)用層的HTTP報文。要求用戶端口發(fā)起的檢測本身全面監(jiān)控用戶端口的行為是不夠的，因為我們只知道用戶端口發(fā)起的請求，但不知道如何在服務(wù)器響應(yīng)到用戶端口。由于完整的HTTP會話，包括用戶端口發(fā)送一個請求，服務(wù)器端響應(yīng)請求，那么服務(wù)器只監(jiān)控的內(nèi)容后，才作出回應(yīng)的HTTP會話將結(jié)束。如果Web服務(wù)器端口提供給用戶端口響應(yīng)HTTP數(shù)據(jù)包封裝的接口，當(dāng)我們試圖調(diào)

3、用Web服務(wù)器也接口，而不是試圖組裝消息的HTTP。因此，這個入侵防御系統(tǒng)的核心是它的策略引擎，通過強(qiáng)大，靈活的策略引擎，實現(xiàn)功能檢測或異常檢測。1體系結(jié)構(gòu)通常一個系統(tǒng)會采用單層或者多層的體系結(jié)構(gòu)。單層的結(jié)構(gòu)將模塊都緊密連接在一起，模塊與模塊間都能交叉調(diào)用，多層的結(jié)構(gòu)劃分了不同功能的模塊，層與層之間是靠已經(jīng)定義好的接口進(jìn)行通信傳輸。單層結(jié)構(gòu)沒多層的結(jié)構(gòu)有良好的擴(kuò)展性，而單層結(jié)構(gòu)可以對模塊之間交互的更加高效。為了能使系統(tǒng)能夠適合不同的Web服務(wù)器平臺，綜合以上的因素考慮后，本系統(tǒng)采取了分層式體系結(jié)構(gòu)。圖1為本系統(tǒng)的體系結(jié)構(gòu)圖。如圖1所示，這個Web的入侵防御系統(tǒng)主要分層了以下三層：圖1WebIP

4、S的體系結(jié)構(gòu)解析及響應(yīng)層：這一層的作用是為IPS提供解析客戶端HTTP報文請求以及封裝服務(wù)響應(yīng)報文的接口。當(dāng)客戶端要對服務(wù)器進(jìn)行訪問時,該層通知策略引擎調(diào)度策略，客戶端的訪問信息進(jìn)行檢測,并為策略引擎提供響應(yīng)。按照以上的分析結(jié)果，這一層由服務(wù)器提供的接口封裝實現(xiàn)。如圖2所示。圖2WebIPS的解析與響應(yīng)流程策略引擎：這一層的作用是策略調(diào)配，通過“解析及響應(yīng)層”提供的接口來獲取用戶端的信息，并交給“解析及響應(yīng)層”來完成。同時策略加載策略引擎的調(diào)配數(shù)據(jù)管理層來完成，以及日志記錄的功能。數(shù)據(jù)管理：這一層主要提供日志記錄的信息、策略腳本解析及配置管理的功能。因此數(shù)據(jù)進(jìn)行處理過程都是在這一層里來處理完成

5、。每一層都獨立的完成功能，當(dāng)其中某層的發(fā)生變化時，只要接口沒有改變，對另外層沒有影響。這樣整體結(jié)構(gòu)就有較大的擴(kuò)展性，例如：我們可以把響應(yīng)層和解析的具體實現(xiàn)方法是由調(diào)用Web服務(wù)器的接口方式替換為直接截獲傳輸層網(wǎng)絡(luò)層封包的方式等。2處理流程WebIPS的處理流程圖2所示，具體流程如下：當(dāng)用戶端向發(fā)送HTTP請求的時候，解析模塊解析原始的數(shù)據(jù)報文經(jīng)HTTP報文，報文解析模塊會告知策略引擎模塊對用戶端的信息進(jìn)行排查檢測，策略引擎會根據(jù)策略腳本中編寫的策略，告知HTTP響應(yīng)模塊對用戶端的行為做出響應(yīng)，并根據(jù)策略腳本中的策略，告知日志記錄信息模塊記錄相應(yīng)的日志。如圖3所示，依據(jù)WebIPS系統(tǒng)的處理流程

6、及體系結(jié)構(gòu)，系統(tǒng)主要模塊和實際作用如下：圖3WebIPS的處理過程圖IPS管理模塊該模塊的主要工作是管理和連接IPS的各個功能模塊，同時管理和監(jiān)控數(shù)據(jù)流，根據(jù)讀取配置文件的相關(guān)設(shè)置完成系統(tǒng)的初始化，對系統(tǒng)的信息狀態(tài)進(jìn)行管理：運行、停止、重新加載。當(dāng)HTTP報文解析模塊告知有用戶端進(jìn)行訪問時，調(diào)用策略引擎對用戶端的信息進(jìn)行和行為進(jìn)行檢測，對策略引擎反饋的結(jié)果告知HTTP響應(yīng)模塊進(jìn)行響應(yīng)。配置文件模塊主要完成IPS配置文件的分析、讀取及保存，為IPS提供正確的接口，具體方式可以由管理需求進(jìn)行修改。HTTP報文的解析模塊主要通過服務(wù)器為IPS提供的接口，對用戶端訪問服務(wù)器的數(shù)據(jù)進(jìn)行解析，并通知IPS管理模塊已經(jīng)收到訪問請求，策略引擎檢測訪問用戶端的信息。HTTP完整的數(shù)據(jù)信息解析模塊中都有一個接口，來檢測用戶端口相關(guān)信息。在一般的Web腳本當(dāng)中都有這樣一個接口。HTTP響應(yīng)模塊當(dāng)需要針對用戶端口的行為進(jìn)行分析響應(yīng)時，在這一模塊中對完整的數(shù)據(jù)信息進(jìn)行組裝。提供下面幾種方式響應(yīng)：調(diào)用了下一條策略、響應(yīng)接受請求、響應(yīng)斷開鏈接、響應(yīng)發(fā)送信息、響應(yīng)發(fā)送文件和重定向。策略引擎模塊策略引擎首先對系統(tǒng)預(yù)先制定好的策略腳本進(jìn)行解析比對，并依據(jù)設(shè)定的策略的不同屬性和優(yōu)先級組裝策略鏈。當(dāng)系統(tǒng)的管理員模塊通知策略引擎對用戶端口信息檢測的時候，策略引擎將利用HTTP報文分析模塊提供的接口獲得用戶端