户和时间的管理控制,从而防止不明入侵者的所用数据;实施用户策略和接口策略;可以检测到对网络或内部主机的所有tcp/udp扫描并进行阻断,提供对
网络的实时监控、审计和告警功能。
防火墙是外部网络和内部网之间的屏障,但是它不能对内部的 2 北京交通大学硕士学位论文 绪论攻击进行防御,不能防止特定的攻击,对病毒也束手无策。
3.入侵检测 入侵检测系统根据管理员配置的安全规则,通过从
计算机网络或计算机主机上收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为或入侵发生。
IDS一方面检测未授权用户对系统的非法访问,另一方面监视授权用户对系统资源的非法操作。
入侵检测作为一种积极主动的安全防护技术,在网络系统受到危害之前拦截和响应入侵行为,提供了对内部攻击、外部攻击和误操作的实时保护,如记录证据、跟踪入侵、恢复或断丌网络连接、阻断恶意数据流等,对于处理网络攻击、保护服务器安全、构建安全的防护系统具有重要的意义。
4.服务器的安全配置 对于wwW服务器来讲,降低安全风险、保证自身安全的一个直接手段是关闭不必要的服务,尽量只开放WEB服务,及时安装操作系统补丁,将WEB服务升级到最新版本并安装所有补丁,根据开放服务的需要和安全专家的建议进行服务器的配置等,这些措施可以极大的提高WEB服务器本身的安全性。
虽然这些安全措施可以很大的提高WEB服务器的安全性能,减少被攻击的可能性。
但是使用的很多工具不是专门面向WWW服务器安全防护的产品,在处理对网站的攻击和入侵时没有针对性。
1.3研究的意义 随着互联网的普及和发展,随着国内电子商务、电子政务的迅速崛起,计算机网络被广泛应用于人们生活的各个领域。
Web服务器上存放的数据包括各方面的无形资产,有的是政府或企事业单位的关键资产。
据统计,我国现有网站达到60多万个,网站已经成为各级政府机关、企事业单位的开展网上服务的门户,也是各个单位开展对外业务、提供服务的重要手段。
如果网站被入侵,不仅业务的开展、造成
经济损失,同时影响企业形象和政府声誉;如果被不法分子篡改了网页,可能会造成很严重的政治后果和社会影响。
现有的防护技术在设计之初不是专门针对WWW服务器的安全阿1,防御的对对象往往是各种各样的攻击,使用在网站防护上往往没有针对性。
本文研究并开发针对www服务器的安全防护系统的检测引擎,面向web服务防护,可以有效地保护网站的安全运行,提高网络管理的效率和处理恶意数据的反应能力。
北京交通大学硕士学位论文 绪论1.4所做的主要工作 本文首先概述了Web安全问题、wwW服务器防御技术现状和
常用技术,论述了研究针对WWW服务器的防护系统的价值;接着研究了入侵检测系统特别是Snort系统的架构和原理,以及入侵检测技术在WWW服务器防护中的应用,提出了入侵检测系统特别是Snort在WWW服务器防护中的不足。
WwW服务器防护系统检测引擎是基于丌源的入侵检测
系统Snort来
设计和实现的,主要包括规则解析、匹配链表的构建、协议解析与预处理和数据检测几大部分。
在设计过程中,充分考虑web服务的特点和WWW服务器防护的特殊需要,针对Snort在WwW服务器防护中的不足,进行了若干改进。
在Snort中,模式匹配占用了30%到80%的CPU时间,是整个系统的瓶颈所在。
从众多改进的算法中,选取了占用内存空间少、速度快的改进的BM算法和改进的KR算法,对它们进行了实现和性能测试。
测试结果是二者在效率上较传统Snort采用的BM算法提高了约23%.30%。
为了实现捕获的数据与规则库中大量规则的快速匹配,Snort根据规则的特点进行分类,构建多维规则链表结构。
但是该链表是个静态结构,不能根据规则匹配情况进行动态调整;而对wWW服务器攻击的数据在一定时问内往往具有共同的特征。
我们采用了动态索引调整的技术,根据匹配情况及时调整索引顺序,对上次匹配上的规则节点优先进行下一次的匹配。
测试阶段的性能测试表明,采用这种方法对攻击的检测速度提高了约20%。
入侵检测系统Snort防御的是各种各样的攻击,其规则库中有数量庞大的规则,约3000多条,而针对web防护的规则不到900条。
在进行WWW服务器防护时,大量多余的规则造成了内存空间和匹配时间的浪费。
我们一方面删除与wWW服务器防护无关的规则,另一方面针对Snort防御SQL注入攻击的不足,在分析SQL攻击技术的基础上,扩充了规则库中针对SQL注入攻击的规则。
从而使规则库更有效、更有针对性。
最后进行了防护系统检测引擎的的系统测试。
采用了中间层驱动的技术捕获数据,同时搭建了自己的Web网站等网络环境。
功能测试的结果表明本系统可以有效防御对WWW服务器的攻击;性能测试则表明,在规则匹配链表中采用