《基于文件监控和自定义判定树的网页防篡改机制》-工学论文，计算机论文-论文范文参考-科学狗论文网

标题

基于文件监控和自定义判定树的网页防篡改机制

范文

张勇　徐云燕

摘要：黑客入侵网站后，最常见的行为就是篡改原本合法的网页文件，针对此类行为，该文提出了基于文件监控和自定义判定树的被动防御机制，文件监控能够实时发现网站所有文件的变化，判定树根据自定义的知识库和安全要求，分析判断文件变化的合法性，并采取相应的防御措施，从而达到保护网站文件的目的，这种安全技术具有实时高效、简便灵活、适用性广的特点。

关键词：网站入侵；文件监控；自定义判定树；网页木马；网页防篡改

在今天的信息化时代，几乎所有企事业单位都建设了自己的网站，这些网站通常放置在独立的Web服务器上24小时运行，随着信息技术不断进步，网页制作越来越美观，内容越来越丰富，安全问题却越来越突出。网站被攻击事件层出不穷，一旦被入侵，数据可能被删除，网页可能被篡改，其中网页被篡改的危害性最大，被篡改后的网页可能直接链接到恶意木马、游戏甚至黄色网页上，给本单位造成非常恶劣的影响。根据国家计算机网络应急技术处理协调中心的统计报告，在目前所有造成严重危害的网络攻击事件中，网页篡改占到总数量的74%。

所以管理员必须高度关注Web网站的安全问题，应该能做到24小时监视网站上的每个网页文件，本文研究重点就是利用文件监控技术和自定义规则模板，来实时获知、检测和处理每个网页文件的变化，以达到保护网站的目的。

1网页被篡改机制和危害

目前互聯网上充斥着各种安全威胁，对广大用户来说，最直接的威胁来自网页木马程序，当用户浏览含有恶意代码网页的时候，恶意代码会利用用户浏览器的漏洞自动将配置好的木马服务端程序下载到用户电脑上并自动执行，此服务端程序会打开用户电脑的一个通信端口，建立通信套接字和黑客那里运行的木马客户端连接成功，听从黑客发出的指令操纵用户电脑，这样用户电脑就成为一个被黑客控制的“肉鸡”，由于这一系列操作都不是通过可视化界面进行的，所以用户察觉不到。

与普通用户不同，用于架设网站的web服务器系统和浏览器安全级别设置较高，管理员通常禁止使用web服务器随便上网，所以很少像用户那样因为浏览了木马网页被挂马，web服务器面临的主要威胁是被“挂马”，所谓的“挂马”就是黑客人侵网站后，先后上传了“小马”和“大马”，从而彻底获得Web服务器的控制权，小马往往就是常说的一句话木马，它的作用是在服务器上根据黑客post的数据创建大马，大马实际上是个包含了php、asp或其他可执行脚本代码的动态网页文件，黑客在web服务器上创建了大马，就意味着已经完全控制了服务器，可以通过大马远程操作web服务器，最常见的行为是篡改网站上的网页文件，一般是在正常网页的末尾进行添加篡改，如表1所示。

黑客篡改网页的目的就是让互联网用户在访问此网页时，自动打开非法链接，可能但不限于以下危害：

（1）链接到游戏网站页面以达到游戏推广的目的。

（2）链接到含有恶意木马的网页，利用网站浏览量比较大的特点，吸引更多的用户下载木马程序，从而获得大量的网络肉鸡。

（3）链接到一些广告页面以达到宣传目的。

由于黑客人侵的网站一般点击率高，浏览量大，一旦被加入了非法链接，将会产生广泛的危害，单位信誉损失难以估量，影响极其恶劣。黑客人侵并篡改网页的目的就是利用网站浏览量比较大的特点，吸引更多的用户下载木马程序，所以防止网站的网页被篡改，可以大大净化网络环境，减少网络木马的泛滥。

2防范措施分析

2.1防范措施

为了防止黑客篡改网站的网页，人们已经研究了许多应对措施，大体分为以下几个方面：

（1）为操作系统和IIS打补丁。

（2）设置访问权限。不需要写操作的文件或文件夹设置为只读，需要写操作的文件或文件夹赋予读写权限，但不允许执行权限。

（3）为服务器安装专业防护软件，如安全狗。

（4）限制或禁用功能函数和组件，如php的exeeO、Wscript.shell组件。

（5）过滤用户提交数据，防止SQL注入，例如过滤单引号。

（6）提高数据库的安全系数，检查数据库的写入内容。

2.2局限性分析

以上是常用的安全防范措施，这些措施从不同角度为服务器加固，这就要求管理员必须掌握很多方面的业务知识，包括多种网络协议、网页动态脚本编程、网站漏洞查找、服务器的安全管理、操作系统安全策略、数据库管理和安全防范、了解专业防护软件等等，每一方面的知识都需要花费大量的时间和精力钻研，实际上，鲜有如此全面和专业的信息安全人才，所以保障web服务器的安全远比建设困难的多。

即使以上这些措施都认真实施了，仍然无法保证不被黑客人侵，因为不断有新的漏洞被发现和利用，防范措施总是滞后的，面对花样繁多的入侵，这些措施显得被动。

3基于文件监控和判定树的实时防御策略

3.1文件监控策略

分析web服务器被入侵的行为，不难发现绝大部分入侵行为是篡改网站的网页，在网页加上非法链接，使之指向木马网页。如果能够有效监控网站上的所有网页文件，对篡改网页的行为做出实时反应，就可以有效阻止黑客的行为，这就需要24小时监控网站的文件。

一般说来，网站文件是放置在硬盘上的文件夹中，监控网站实际上就是监控文件夹内容的变化，国内多数网站的后台脚本包括asp、asp.net、php、jsp等，使用的操作系统主要是windows server系列和linux系列，以windows系统为例，可以使用.net提供的FileSystemWatcher类对指定的多个文件夹进行监控，当文件夹中的文件被修改、被改名、被删除或者有新的文件被创建，都会引发事件，在事件的参数中含有行为类别和发生变化的文件名，当监听到事件后，就可以在自定义代码中采取措施保护网站文件。

在linux系统中，可以使用Java 7的NIO.2提供的文件监控功能对网站目录进行监控。

3.2获取安全知识和判定树

文件监控为网站监控的实现提供了技术条件，若要灵活、全面的监控网站目录下新建和被修改的文件，必须知晓本站的安全要求，假设一个网站的安全要求如下：

（1）后台仅允许上传jpg、png和gif图片；仅允许上传doc、xls、ppt文档和pdf文件；

（2）上传的文件必须位于upload_files目录下；

（3）仅允许在create_html目录下生成静态html，且必须含有约定密码；

（4）后台仅使用php脚本，仅允许本站原有php文件存在并禁止修改；

（5）后台上传文件限定在每天的7：00-22：00之间；

（6）发现并删除伪装成图片的木马文件；

（7）发现并删除上传的木马脚本文件。

基于以上要求，针对网站上被修改、创建的文件，可以获得出以下安全知识：

（1）若文件创建时间不在7：00-22：00之间，则删除；

（2）若文件扩展名不属于合法范围（包括jpg、png、gif、doc、xls、ppt、pdf、php和html），删除；

（3）若文件格式为jpg、png、gif、doc、xls、ppt、pdf之一，但并非位于upload_files目录下，则删除；

（4）检查文件头，若文件头非法，则判定为非法文件，删除；

（5）若文件内容含有eval、request或execute等非法字符串，则删除；

（6）若文件扩展名为html，上传位置不位于create_html目录下，则删除；

（7）若create_html目录下的html文件不含有约定密码，则删除；

（8）若文件扩展名为php，但并非本站原有php文件，则删除。

以上安全知识是根据专家经验设定的，例如：第四条和第五条知识可用来清除伪装成图片的木马文件，同时可以清除传统木马，基于这些安全知识，可以构建一个判定树，来判定新建或修改的文件是否应该保留，判定树如图1所示。

3.3实时报警策略

上述判定树实际是一棵二叉树，如果增加了新的安全知识，那么可以通过增加节点来修正此二叉樹，通过此判定树，可以灵活的判定当前被创建或修改的文件是否合法，如果合法则保留文件，否则删除。

删除文件的同时，应该实时通知管理员提示网站有非法文件，采用的方式是用短信将删除的非法文件名、非法内容等信息发送给管理员，当管理员收到短信后，可以回复约定的字符串，监控系统可以根据回复的字符串来进一步采取相应的行为，例如：如果发现某个文件被篡改，可以从备份中恢复；如果发现大面积网页文件被篡改，可以暂时停止Web服务；如果是误删除，可以恢复文件。

4结束语

由于网站被入侵后，黑客的大多数行为是上传木马和篡改原本合法的网页文件，而文中提出的防御机制可以实时发现并处理网页篡改行为，这就有效保证了网站文件的安全，这种防御机制具有实时高效、简便灵活的特点，可用于安装了windows server或linux的Web服务器，所以具有广泛的适用性。

随便看

科学优质学术资源、百科知识分享平台，免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。