邊金良，丁喜綱

（青島酒店管理職業(yè)技術(shù)學(xué)院，青島 266100）

1 概述

隨著計(jì)算機(jī)普及以及網(wǎng)絡(luò)技術(shù)的發(fā)展，越來越多的單位都擁有了自己的網(wǎng)站，網(wǎng)站作為一個應(yīng)用平臺，在產(chǎn)品介紹、電子商務(wù)、游戲和社交等方面扮演了重要的角色。網(wǎng)站的各種應(yīng)用在體現(xiàn)重要作用和重要價(jià)值的同時，也日益成為黑客攻擊的目標(biāo)；與此同時，隨著各種攻擊工具在互聯(lián)網(wǎng)的廣泛傳播，黑客技術(shù)的門檻越來越低，網(wǎng)站被掛馬和被入侵等現(xiàn)象已屢見不鮮。2010年CNCERT監(jiān)測發(fā)現(xiàn)境內(nèi)被篡改網(wǎng)站數(shù)量為34845個[1]。目前網(wǎng)站面臨的常見威脅主要有。

1.1 網(wǎng)站掛馬

網(wǎng)站掛馬，簡單地講是在正常網(wǎng)頁代碼中人為增加一段惡意腳本代碼，這段腳本通常是利用iframe或者script標(biāo)簽嵌入一個指定網(wǎng)站中含有的惡意代碼，這段腳本可以位于正常網(wǎng)頁代碼的任何部分，尤其是頭部或底部。這段惡意代碼的嵌套，是攻擊者在獲取網(wǎng)站的WebShell后，針對訪問率較高(index、login、default等) 或者全部的網(wǎng)頁，利用批量掛馬工具或手工往其中加入。如〈script src=http://q.bz.se/function.js/script〉。

一旦瀏覽者打開被掛馬頁面時，該頁面就會直接訪問潛入標(biāo)簽所指定的惡意腳本的網(wǎng)站，這樣不僅可以增加該網(wǎng)站的訪問量，實(shí)現(xiàn)掛馬利益鏈；更有甚者，直接使瀏覽者下載惡意腳本指定的文件。

1.2 SQL注入

SQL作為一種國際標(biāo)準(zhǔn)的數(shù)據(jù)庫查詢語言，在各種應(yīng)用程序環(huán)境中具有廣泛的應(yīng)用。而SQL注入的原理，就是攻擊者在客戶端提交特殊符號的代碼，達(dá)到欺騙服務(wù)器的目的，從而能夠破解網(wǎng)站數(shù)據(jù)庫的表名、字段名和管理員的用戶名和密碼，最終或者網(wǎng)站后臺管理員的身份，進(jìn)行惡意的行為。

SQL注入的主要原因是由于網(wǎng)站頁面的腳本程序與數(shù)據(jù)庫進(jìn)行交互式審核不嚴(yán)，造成供給者有機(jī)可乘，通俗的來講就是網(wǎng)站由于編寫者的原因造成的漏洞。

2 文件實(shí)時監(jiān)控的意義

網(wǎng)站是由各種各樣的文件組成，包括動態(tài)頁面（jsp、asp、php）和靜態(tài)頁面（html、htm、shtml）文件組成，而文件是信息的主要載體，在網(wǎng)站安全方面，應(yīng)該說對文件的保護(hù)顯得至關(guān)重要，要保證文件的刪除、增加和修改等操作都有嚴(yán)格的監(jiān)控，通過監(jiān)控實(shí)現(xiàn)文件的保護(hù)，提高網(wǎng)站的安全性。

通常，安全監(jiān)控的對象可分成兩類：操作和信息[2]。其中，操作主要是指用戶人為產(chǎn)生的操作行為，而信息則主要是指系統(tǒng)的文件和文本信息[3]。

由于目前網(wǎng)站的建設(shè)幾乎都是由動態(tài)網(wǎng)站構(gòu)成，構(gòu)成網(wǎng)站的主要文件只有幾個，而網(wǎng)頁內(nèi)容則全部是從數(shù)據(jù)庫提取。如http://www.XXX.com/showproduct.aspx?id=10，該網(wǎng)頁顯示某個產(chǎn)品，它實(shí)際的操作是從數(shù)據(jù)庫中取出id=10的產(chǎn)品記錄，然后用showproduct.aspx這個文件顯示。這樣即使該公司有多種產(chǎn)品，也不需要多個文件，只要一個文件即可。而網(wǎng)站掛馬往往就是修改這個文件，在這個文件內(nèi)容里添加惡意腳本，因此當(dāng)該文件被修改后，文件的可定會發(fā)生變化，通過文件的變化產(chǎn)生通知，從而使得網(wǎng)站管理員能夠及時知道網(wǎng)站正在面臨的風(fēng)險(xiǎn)。由此可見對網(wǎng)站目錄文件的實(shí)時監(jiān)控對于保證網(wǎng)站信息的安全性具有重要意義。

3 文件實(shí)時監(jiān)控系統(tǒng)的實(shí)現(xiàn)

3.1 文件實(shí)時監(jiān)控實(shí)現(xiàn)的思路

1）對要檢測的網(wǎng)站目錄進(jìn)行初始化

初始化主要做兩方面的工作：（1）將網(wǎng)站目錄文件備份至另外一個安全目錄中，該備份目錄的作用是當(dāng)文件實(shí)時監(jiān)控系統(tǒng)監(jiān)控到文件進(jìn)行了變動后，就將備份目錄的同名文件還原回來；（2）為網(wǎng)站目錄中的每一個文件進(jìn)行逐個掃描，生成初始的文件信息表，包括文件名、物理路徑、文件內(nèi)容、文件的大小等信息，該表是為今后監(jiān)控文件的大小進(jìn)行比對，要注意的是該初始化信息不包括增長的目錄，比方說上傳的圖片目錄等。

2）文件的刪除與恢復(fù)

文件監(jiān)控系統(tǒng)實(shí)時對網(wǎng)站目錄進(jìn)行監(jiān)控，當(dāng)發(fā)現(xiàn)文件的大小、文件內(nèi)容或者數(shù)量發(fā)生變化，系統(tǒng)就對發(fā)生變化的文件進(jìn)行恢復(fù)，對大小發(fā)生變化的文件用備份的文件進(jìn)行恢復(fù)，對多出來的文件進(jìn)行刪除。這樣可以保證網(wǎng)站在運(yùn)行過程中始終都保持在初始時的狀態(tài)。

3.2 文件實(shí)時監(jiān)控的關(guān)鍵技術(shù)

1）監(jiān)控策略與性能的優(yōu)化

對網(wǎng)站目錄文件進(jìn)行實(shí)時監(jiān)控的頻率，是決定文件監(jiān)控實(shí)時性與占用服務(wù)器資源多少的決定性條件[4]。監(jiān)控的頻率也就是多長時間運(yùn)行一次監(jiān)控程序，監(jiān)控頻率過高，網(wǎng)站的安全性增加，但是占用的服務(wù)器系統(tǒng)資源必然會多；監(jiān)控的頻率過低，網(wǎng)站的安全性就降低，占用服務(wù)器系統(tǒng)資源就少。因此，一個好的監(jiān)控系統(tǒng)應(yīng)該能制定靈活的配置策略，以此來調(diào)度監(jiān)控系統(tǒng)的執(zhí)行。系統(tǒng)的調(diào)度可以采用實(shí)時監(jiān)控，即連續(xù)不斷地對網(wǎng)站文件進(jìn)行掃描檢查，也可以設(shè)置一定的時間間隔運(yùn)行。

2）文件內(nèi)容比較的簽名算法

MD算法的作用是不定長度的信息，經(jīng)過算法壓縮以后，加密成一個固定長度的信息。這一輸出可以被看作是原輸入的摘要值(Message Digest)，如果是兩個不同的信息則加密后的結(jié)果（摘要值）必然不同，這也是MD算法得名的原因。由于加密前的信息有時比加密后的信息要長，這種簽名算法可能會出現(xiàn)不同的輸入但輸出相同的可能。MD5是由Ron Rivcst設(shè)計(jì)的散列函數(shù)系列的第5個。然而對于信息摘錄函數(shù)而言，給定一個輸出，要求出一個輸入以產(chǎn)生相同的輸出，這種情況是計(jì)算不可行的。MD5以一種充分而復(fù)雜的方式將各比特弄亂，每個輸出比特都受到每一個輸入比特的影響[5]。

在文件實(shí)時監(jiān)控系統(tǒng)的實(shí)現(xiàn)中只需要比較文件的內(nèi)容是否一致，而不用考慮文件內(nèi)容的哪一部分發(fā)生了變動。

3.3 文件實(shí)時監(jiān)控的具體實(shí)現(xiàn)

1）選擇的開發(fā)語言

系統(tǒng)采用C#語言編寫，以SQL Server為數(shù)據(jù)庫進(jìn)行數(shù)據(jù)的存儲。

2）系統(tǒng)初始化的實(shí)現(xiàn)

根據(jù)上面的論述，系統(tǒng)初始化，主要是設(shè)置系統(tǒng)監(jiān)控的目錄以及獲取要監(jiān)控目錄的文件信息，包括文件的大小、創(chuàng)建時間和文件的加密后的內(nèi)容等，并將信息保存到數(shù)據(jù)庫中。程序界面如圖1所示。

圖1 系統(tǒng)初始化界面

初始化后，數(shù)據(jù)庫中數(shù)據(jù)的信息如圖2所示。

圖2 初始化后的數(shù)據(jù)信息

3）文件的實(shí)時監(jiān)控

文件的實(shí)時監(jiān)控是要在特定的時間間隔內(nèi)，依次掃描監(jiān)控目錄的文件，界面如圖3所示。

圖3 設(shè)置監(jiān)控的頻率

監(jiān)控的頻率通過Timer設(shè)置完成，系統(tǒng)主要完成以下的操作：

（1）如果該文件在數(shù)據(jù)庫中不存在，則直接刪除；

（2）如果該文件的大小、修改時間和文件內(nèi)容中的任何一樣與數(shù)據(jù)庫該文件初始化信息中不符，則將備份的文件還原；

（3）如果網(wǎng)站目錄的文件被攻擊者或者系統(tǒng)的還原部分直接刪除了，可在數(shù)據(jù)庫中對掃描到的文件做一個標(biāo)記，最后遍歷數(shù)據(jù)庫，如果有沒有做過標(biāo)記的記錄，則直接從備份的文件中還原。

4）部分代碼

4 網(wǎng)站安全的其它建議

文件實(shí)時監(jiān)控系統(tǒng)的實(shí)現(xiàn)，能夠?qū)崟r監(jiān)控網(wǎng)站目錄文件免受攻擊者的改變，這只是從一方面提高了網(wǎng)站的安全性。為了進(jìn)一步加強(qiáng)網(wǎng)站的安全性，筆者從多年的經(jīng)驗(yàn)出發(fā)，提出以下的建議：

1）盡量采用ODBC數(shù)據(jù)源，不要使用連接字符串

設(shè)計(jì)網(wǎng)站時一般是將連接數(shù)據(jù)庫的字符串保存到網(wǎng)站的配置文件中，連接字符串都長包括服務(wù)器的名稱、數(shù)據(jù)庫的名稱、用戶名和密碼。但是如果該配置文件的內(nèi)容被竊取，那么數(shù)據(jù)庫都將會處于危險(xiǎn)的狀態(tài)中。因此，配置ODBC數(shù)據(jù)源方法，即可實(shí)現(xiàn)數(shù)據(jù)庫與網(wǎng)站的分離，達(dá)到安全的進(jìn)一步提高。

2）為防止SQL注入，盡量采用存儲過程

動態(tài)網(wǎng)站往往都要對數(shù)據(jù)庫進(jìn)行填、刪、改、查的操作，而往往SQL注入是發(fā)生在查詢語句中。因此，在數(shù)據(jù)庫中建立存儲過程，通過存儲過程來完成對數(shù)據(jù)的操作。使用存儲過程，不僅可以將用戶和數(shù)據(jù)分開的方法，而且維護(hù)調(diào)試方便，也就比較了在網(wǎng)頁文件中直接使用SQL語句，從而保證SQL注入的發(fā)生。

5 結(jié)束語

系統(tǒng)通過對網(wǎng)站文件進(jìn)行實(shí)施監(jiān)控，通過實(shí)踐調(diào)度、加密技術(shù)保證了網(wǎng)站文件被篡改時能即使恢復(fù)，使用靈活方便，在預(yù)防網(wǎng)頁掛馬方面以及網(wǎng)站安全性的提高起到很大的作用。

[1] CERNET/CC.2010年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[R/OL].2011-04-22.http://www.cert.org.cn/articles/docs/common/2011042225342.shtml.

[2] 王云維.基于文件管理的網(wǎng)站安全動態(tài)監(jiān)控的研究[D].北京: 北京工業(yè)大學(xué), 2010.

[3] 于揚(yáng), 楊澤紅, 賈培發(fā).計(jì)算機(jī)安全監(jiān)控系統(tǒng)的關(guān)鍵技術(shù)研究 [J].計(jì)算機(jī)工程, 2007, 33(24): 146-152.

[4] 趙君輝, 徐琨.網(wǎng)頁監(jiān)控與恢復(fù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn) [J].北方交通大學(xué)學(xué)報(bào), 2002, 26(1): 36-37.

[5] 曾鳴,趙榮彩,姚京松,王小芹.基于特征提取的二進(jìn)制代碼比較技術(shù) [J].計(jì)算機(jī)工程與應(yīng)用, 2006(22): 8-11.