一種Web服務器安全機制的實現(xiàn)方法

陳偉東,劉 剛,徐 崢,耿坤英

(1.浪潮嘉信信息技術有限公司，北京100085;2.清華大學 軟件學院,北京100083)

隨著互聯(lián)網(wǎng)技術的飛速發(fā)展，作為信息系統(tǒng)的核心設備，服務器的安全提升到了一個新的高度。服務器中存儲和處理的大量核心業(yè)務數(shù)據(jù)，其安全性愈顯重要，傳統(tǒng)防病毒系統(tǒng)、防火墻、IDS等設備無法保證服務器系統(tǒng)高度保密和信息完整性要求。多核服務器的安全保障難度再增高，采用新的安全機制來提供Web服務器抵抗黑客和惡意代碼攻擊尤為重要。Web應用必須有80和443端口，惡意用戶正是利用了這兩個端口執(zhí)行各種惡意操作：偷竊、操控、破壞Web應用中重要信息。

為透明提升Web服務器操作系統(tǒng)安全等級，最大程度地保證系統(tǒng)兼容性，本文通過對文件系統(tǒng)和網(wǎng)絡底層架構的理解，結合對規(guī)則的成功運用，實現(xiàn)了操作系統(tǒng)安全和網(wǎng)絡安全的有效結合。

1 原理與架構

系統(tǒng)分為驅動層和應用層。驅動層包括一個文件過濾驅動程序和一個NDIS網(wǎng)絡防火墻驅動；應用層包括一個應用程序和與驅動交互的DLL。應用層采用了WTL做界面，在驅動程序啟動時，讀取相應的規(guī)則文件，包括文件規(guī)則（所有進程對文件讀寫的規(guī)則和特殊進程對文件讀寫的規(guī)則）。文件讀寫權限有禁用、只讀、正常讀寫等。

計算機病毒發(fā)作時的行為一般有寫注冊表項、生成文件、遠程線程注入等。安全防護驅動攔截系統(tǒng)服務調用，通過分析例程調用的參數(shù)得到文件、進程等相關信息。系統(tǒng)服務調度表(SSDT)保存著本地系統(tǒng)服務的地址，可以定位函數(shù)的內存地址。

文件系統(tǒng)過濾驅動對Native API做截獲，對IoCreateFile做INLINE HOOK，在文件讀寫時根據(jù)函數(shù)參數(shù)和例程上下文信息得到相關文件全路徑和進程相關信息。與加載到內存中的文件規(guī)則做判斷。規(guī)則加載方法是開啟一個系統(tǒng)線程，在系統(tǒng)線程循環(huán)中判斷規(guī)則文件是否被修改。如果被修改，則重新加載規(guī)則文件到內存。

對注冊表的防護,則是HOOK了ZwCreateKey、ZwDeleteKey、ZwEnumerateKey、ZwOpenKey 等函數(shù)。在函數(shù)內部得到操作的進程全路徑和注冊路徑，與規(guī)則文件中的進程名和注冊表路徑比較，如果符合規(guī)則，則采取規(guī)則文件中的動作對注冊表操作控制，文件動作規(guī)則包括禁用、只讀結合進程名的對比，只有進程名和文件名與規(guī)則中的進程名和文件名完全相同時，執(zhí)行規(guī)則內相應的禁用和只讀動作等。

進程和進程保護采用對ZwOpenProcess的HOOK方法實現(xiàn)。在截獲的ZwOpenProcess例程內，得到進程ID。把進程ID與內存規(guī)則鏈表中的保護進程的ID作對比。如果是需要保護進程的ID,則返回無效句柄。進程注入多數(shù)采用CreateRemoteThread方法,在應用層采用WriteProcessMemory函數(shù)。在核心層則是NtCreateThread例程和ZwW riteVirtualMemory例程。防止復制句柄則是在驅動層截獲ZwDuplicateObject例程。進程保護的最低層可采用KiInsertQueueApc方法的截獲來實現(xiàn)。目前較為高級的進程保護都采用KiInsertQueueApc方法實現(xiàn)，如XueTr等。圖1為服務器Web安全系統(tǒng)序列圖。

對64位操作系統(tǒng) (Windows Vista和Windows 2008 Server)等,由于操作系統(tǒng)采取了對內核保護的措施(Patch-Guard技術),其內核被鎖定了，任何第三方軟件都無法對其進行修改。SSDT HOOK在64位操作系統(tǒng)上失效。

采用微軟WDK開發(fā)包提供minifilter框架，對文件權限的修改在IRP_MJ_CREATE內進行截獲，對于只讀文件，如果規(guī)則比較發(fā)現(xiàn)其是需要進行權限修改的只讀文件，有WRITE的標記，則修改為GENERIC_READ標記。對需要禁用的文件，則在IRP_MJ_CREATE的后處理(PostCreate)例程內采用FltCancelFileOpen對相應的文件禁用。

在網(wǎng)絡安全方面采用NDIS低層技術構建網(wǎng)絡防火墻，提供網(wǎng)絡層訪問控制和攻擊保護服務。統(tǒng)一部署在Web應用的前端。網(wǎng)絡防火墻是整個Web應用安全體系結構的一個組件，防御網(wǎng)絡層黑客攻擊(網(wǎng)絡掃描、telnet等)，阻止蠕蟲的傳播。

2 文件和注冊表訪問權限研究與實現(xiàn)

文件訪問控制采用Inline Hook方法，對IoCreateFile做截獲。文件規(guī)則包括文件全路徑名、打開文件的進程名、訪問權限(只讀、禁用、正常使用等)等多元參數(shù)組。在截獲函數(shù)內，首先根據(jù)參數(shù)和上下文得到文件全路徑名。然后得到進程名。與內存規(guī)則內的文件和進程名對比，如果符合則根據(jù)規(guī)則中的動作對文件只讀、禁用等操作。如果不符合，則采取默認動作。驅動內部需要得到保護進程的列表和進程ID等。進程加載通知(Ps-SetCreateProcessNotifyRoutine)；DLL或驅動加載通知(PsSet-LoadImageNotifyRoutine)；低層驅動維護著活動進程鏈表和文件、進程、注冊表規(guī)則鏈表等。圖2為文件網(wǎng)絡驅動與應用層關系序列圖。

Web服務器的安全需要考慮到Web服務應用程序的安全，包括遠程線程的防止注入、復制句柄、遠程內存讀寫、子進程創(chuàng)建的預防和判斷等。遠程線程注入通過CreateRemoteThread實現(xiàn)，需要調用WriteVirtualMemory等函數(shù)，在內核層則是調用 ZwWriteVirtualMemory。ZwWriteVirtualMemory是在NTDLL.DLL中導出的，在驅動內得到NTDLL.DLL的地址，然后得到相應導出函數(shù)ZwWriteVirtualMemory地址。截獲地址后，在截獲函數(shù)內判斷進程ID號是否是在進程保護列表中的進程，如是則返回STATUS_ACCESS_DENIED。

驅動底層的難點主要有文件只讀、禁用規(guī)則，結合進程規(guī)則的對比，以及規(guī)則文件的設計和在內存中與進程和文件名的對比。驅動層原來對文件對比采用SSDT HOOK方法，攔截ZwOpenfile和 ZwCreateFile函數(shù)，后來改用了一個函數(shù)，采用了Inline Hook加匯編的方式，簡化了對函數(shù)的比較，收到了比較好的效果。對注冊表的規(guī)則和禁用，采用了Regmon中的方法，在注冊表相應的函數(shù)內得到注冊表的訪問全名，與注冊表規(guī)則進行比較，采取相應的禁用等方法。

規(guī)則文件加上只讀等控制后，對規(guī)則的判斷首先需要對進程名進行判斷，是否符合規(guī)則中的進程名。判斷符合后，再對文件名進行規(guī)則判斷，如果文件名相同，則按規(guī)則文件中數(shù)據(jù)結構對文件做只讀和禁用等對復制句柄的禁止。

在64位服務器系統(tǒng)上,需要對驅動進行簽名。Minifilter架構可在32位和64位操作系統(tǒng)上運行。可運行 的 系 統(tǒng) 包 括 WindowsXP、Windows 2003、Windows2008 Server 64位等。在64位多核系統(tǒng)中需要調整一些不兼容的函數(shù)。

驅動難點還有在多核服務器上的驅動例程，如自旋鎖(SPIN LOCK)的獲取等，遇到了數(shù)次 BSOD.都是多核鎖造成的,多核下要用 KeAcquireInStackQueuedSpinLock.如果不想改動IRQL,只能用資源鎖（ERESOURCE）了。

3 服務器Web安全數(shù)據(jù)結構和接口方案

用戶接口主要是應用層的程序與驅動進行DeviceIo-Control交互，應用程序啟動時，需要與驅動程序會話，調用相應的函數(shù)。還有應用層需要定時與驅動層查詢得到相關的日志。

Minifilter應用層和驅動層的通信方案是在應用層采用FilterConnectCommunicationPort建立通信端口的連接。然后初始化相關參數(shù)數(shù)據(jù)，創(chuàng)建日志查詢線程。用FilterSendMessage例程查詢驅動內日志信息。

經(jīng)過測試人員詳細測試和客戶現(xiàn)場應用，本系統(tǒng)達到了良好的應用效果，從驅動層到應用層都運行良好。目前系統(tǒng)支持32位和64位服務器系統(tǒng)，對服務器安全要求較高的企事業(yè)單位有比較好的保障作用。

[1]耿玉波，夏魯寧，杜皎，等.一種 Web服務器安全機制的研究與實現(xiàn)[J]，計算機工程，2006(11):189-191.

[2]NAGAR R.Windows NT file system internals[EB/OL].[2007-04-01].http://download.csdn.net/source/168266.

[3]RUSSINOVICH M E,SOLOMON D A.Microsoft windows Internals.Fourth Edition[M].Microsoft Press，2007.

[4]湯方澄，楊小虎，董金祥.基于智能Agent的網(wǎng)絡安全監(jiān)控系統(tǒng)的研究[J].計算機工程，2002，28(12)：63-65.