WEB应用系统入侵检测及安全防护策略应用研究

WEB应用系统入侵检测及安全防护策略应用研究

摘要：本文通过一个实际的入侵案例，分析了入侵者对web应用系统的常用入侵技术和方法。针对入侵技术和方法，提出了保证系统安全运行的防护策略。经几个月的实际运行检验，防护策略取得了较好的效果。

关键词：web服务器 入侵检测 安全策略

近年来，随着计算机大量普及和互联网的飞速发展，以web服务为代表的海量信息服务也越来越被广泛接受。各种b/s结构的信息服务平台已在教育、政企、科研等多个领域中得到广泛的应用。然而，在知识获取和信息处理越来越方便、快捷的同时，系统安全和数据安全等问题也接踵而至。安全性问题得到有效解决，是信息化成功、企事业稳定发展的关键，也是几乎所有的社会系统存在和发展的重要基础。

网络安全的范围很大，本文主要阐述web服务所面临的一些安全问题和针对这些问题应采取的措施。以一次成功的入侵检测和安全防护为例，提出自己的一些策略和方法。 1 入侵案例

某校园网中的一台web服务器，运行windows2003 server操作系统，向外界提供校内各部门的网站服务。在一次例行维护的过程中，网络管理员发现部分网站内容被删除，系统设置被改动，还被上传了大量的木马和恶意程序。同时，入侵者清空了部分系统日志，

试图阻止管理人员对入侵过程的反向解析。但通过部分残存的web日志进行分析，仍可得出比较清晰的入侵途径等重要信息。 2 入侵技术及入侵痕迹隐藏方法分析

2.1 入侵技术分析 在入侵过程中，入侵者可以利用多种技术手段对web服务器进行入侵：

2.1.1 利用网站本身漏洞 由于网站在设计的时候，就没有考虑到对评论内容的安全过滤，致使包含有恶意内容的数据可被提交到服务器上执行，成为入侵者进入系统的一条途径。

2.1.2 sql注入 很多网站为了避免access数据库文件被下载，常将文件的.mdb后缀名改为.asp。但是一旦网站的数据库路径被探测到后，入侵者就可使用正常方式向数据库内提交非法数据，这些数据会被以.asp程序的方式运行，使入侵者获得并利用webshell进行提权操作，最终获得系统管理员权限。

上面案例中，入侵者就是利用某个网站的文件上传功能，提交了包含有恶意数据的文件，该网站虽然限制了上传文件的类型，但同时又提供了文件改名的功能。入侵者将后缀名原本为asp的木马程序改名为jpg后上传，然后再通过文件改名将木马还原并加以执行，借此获得了系统权限。

2.2 入侵痕迹隐藏方法 当木马程序或者恶意程序被上传到服务器之后，入侵者一定会对系统进行一系列的操作来对恶意程序进行隐藏。

一般的入侵者会将恶意程序存放到回收站目录或者系统临时目录下，利用比较少被注意的文件目录来隐藏，以达到不被发现的目的。有经验的系统管理员可以比较容易地发现这样隐藏的恶意程序。

部分有经验的入侵者会使用畸形目录和特殊文件名来对恶意程序进行隐藏。畸形目录指的是文件目录的名称中包含一个或多个“.”符号。特殊文件名指的是使用windows系统保留的设备名来命名文件，主要有：lpt，aux，com1-9，prn，nul，con等，例如：lpt.txt、com1.txt。也可以将两者结合来使用，例如：c：＼a.＼aux.txt。即使管理员发现了这些畸形目录和特殊文件，不采取特殊手段也很难删除这些恶意程序。

有的入侵者会利用某些特定软件来隐藏恶意程序，例如使用easy file locker等软件，这个软件会使用硬件驱动的方式将存放在硬盘上的恶意程序加以隐藏，这种隐藏方式比较难发现，因为从系统中只能看到新增了一个未知硬件，很容易被管理员忽略。 入侵者在入侵过程中，会单独或综合使用上述各种方法。 3 安全设置和实现方法

3.1 服务器安全设置 服务器的安全运行，需要比较全面的安全设置。

3.1.1 关闭不必要的系统服务 系统服务越多，漏洞就越大。管理员需要严格按照所提供的服务来控制系统内服务的使用，关闭不

必要的系统服务，以免系统漏洞被入侵者利用。

3.1.2 严格设置文件权限和用户权限 服务器一定要使用ntfs等可以设置用户权限的文件格式。一般来说，大多数文件和文件目录除administrators用户组和system用户组外，都不给读写权限。以web服务为例，网站目录中除了数据库目录和文件上传目录外，都不给guests组以写权限。

3.1.3 web服务安全策略 在iis设置中，一定不要给数据库目录和文件上传目录脚本执行权限。删除不需要的文件后缀名解析映射。例如，静态网站只保留.htm和.html解析映射；当存在动态网页时，则按照需要保留.asp或.php或.jsp等。使用无法解析的dll程序对access数据库做解析映射，例如将.mdb定义为使用c：＼windows＼twain_32.dll来解析，可以防止数据库被下载并杜绝恶意数据运行。

3.1.4 系统安全策略 使用组策略编辑器，将默认管理员administrator和默认来宾guest改名，设定严格的账户审核策略。在安全设置-本地策略-安全选项里将：可匿名访问的共享、可匿名访问的命名管道、可远程访问的注册表路径、可远程访问的注册表路径和子路径四项清空。在通过终端服务拒绝登录中，加入除administartors和users外其他用户组，保证系统远程登录的安全。 3.1.5 阻止非法访问 启用系统自带的防火墙，只开放必须的端口，如：web服务开放80端口，远程桌面开放3389端口，其他端

口按照服务器的需求决定。

3.2 环境安全、规章制度和安全意识 除了采用技术手段对服务器进行安全设置之外，还要用严格的制度来规范操作人员的行为，提高管理人员的安全意识和责任观念。

3.2.1 数据备份和容灾能力 为保证系统正常运行，尽量避免数据丢失，需要利用各种技术周期性的备份数据并妥善保存。在条件允许的情况下，建立容灾系统，对数据进行双重保护。

3.2.2 加强对设备的安全管理 首先保证设备的物理安全。一般来说，好的运行环境应该对场地的封闭、防火、防盗、防静电、空气流通、温度控制以及用电环境的安全等提供安全性保证。其次，控制设备的访问权限，记录出入机房的人员信息及机房内的操作记录。

3.2.3 提高安全意识，建立安全管理规章制度 要注意提高安全意识，养成良好的使用习惯。包括但不限于：不在专用设备上打开来历不明的文件或程序；运行任何有安全嫌疑的程序之前，使用防病毒软件或其他安全软件对该程序进行安全扫描；密码设置尽可能使用大小写字母和数字及符号混排，定期更改密码防止泄漏；及时下载安装系统补丁程序、及时更新防病毒软件病毒库等。 建立安全管理的规章制度并严格落实。管理人员及操作人员按照权限划分责任，各自负责自己账号、口令的安全管理，不与他人相互使用，不窥探他人信息，不私自进入他人账户，不通过其他非法

手段进行系统攻击、获取系统权限、修改系统设置、删除数据等危害系统正常运行的行为，人员岗位变动时应采取相应的安全管理措施。

建立系统日常运行维护管理制度、计算机使用控制管理制度、文档资料管理制度、服务器及设备机房的安全管理制度、上网信息登记审核制度，上网行为规范准则等。

可以依照当前国际上一些成熟的安全管理方法，如isms信息安全管理体系等来完善安全管理制度，最大程度地防止网络技术滥用对网络和数据造成的危害。 4 结论

网络安全是一个长期且系统的工程，涉及技术、管理、使用等许多方面。其中，网络安全技术与工具是基础，高水平的网络安全技术队伍是保证，严格的管理制度则是关键。本文通过一次web服务器的入侵检测和安全策略配置，为网络安全提出了一些建议，浅析了如何搭建一个安全的网络web服务器，希望通过大家的努力，使我们的网络及服务器安全水平得到提高。 参考文献：

[1]贺雪晨.信息对抗与网络安全[m].清华大学出版社，2006. [2]张庆华.网络安全与黑客攻防宝典[m].北京：电子工业出版社，2007.

[3]阎慧等.防火墙原理与技术[m].北京：机械工业出版社，2004.

[4]郑成兴.网络入侵防范的理论与实践[m].机械工业出版社，2006.

项目基金：宁夏高等学校科研项目（2011jy008）。

作者简介：毛速（1975-），男，讲师，主要研究方向为计算机网络安全。