高安全需求的Web服務器群主動防御體系研究

王楊 蔣巍 蔣海巖 劉桂香 劉歡

摘? ?要：針對金融、證券等行業對Web服務器高等級的安全需求，采用擬態防御、白名單、智能學習、可信計算等技術，構建一整套主動安全防御體系，有效提高Web服務器系統化服務器群的安全防護等級。

關鍵詞：系統安全;快速部署;云平臺;擬態防御

中圖分類號：TP3-05? ? ? ? ? 文獻標識碼：A

Abstract： In view of the high-level security requirements of Web servers in finance， securities and other industries， a set of active security defense system is constructed by using pseudo-defense， whitelist， intelligent learning， trusted computing and other technologies， which can effectively improve the security protection level of Web servers.

Key words： system security; rapid deployment; cloud platform; mimetic defense

1 引言

一般來說，Web服務器的功能和安全機制不能由單獨的服務器來完成，必須由系統化服務器和安全設備協作完成。根據木桶原理，服務器群只要有一塊安全短板就會降低整個Web系統的安全等級。為解決目前網絡空間安全缺陷存在的普遍性問題，將不可控的網絡空間安全威脅問題，轉化為自主可控的網絡空間服務魯棒性控制問題，從內生機制或構造層面獲得對未知缺陷的主動免疫能力。期望能夠解決多維度的網絡空間安全問題，引入主動防御技術是十分必要的。

目前，主動防御技術主要有擬態防御技術和白名單技術，但是兩種技術的側重點不同，各自存在利弊。

擬態防御技術主要針對基于未知漏洞和后門攻擊，或者新型病毒木馬引發的未知安全問題。但是，對整個系統安全防護鏈還不完整，大型系統化Web服務防御能力有限，內部攻擊安全防護能力有限，防御系統自身安全防護能力不足，另外擬態防御技術對設備的性能及運行效率都有消耗，且對管理者專業技術要求高。

白名單技術主要針對可信的應用程序、軟件硬件信息和外部通信環境，存在著可信程序的白名單機制是否足夠全面、更新速度是否足夠快、是否會形成大量誤報的問題，同時對系統的未知漏洞預防能力較弱。

本文將通過采用擬態防御、白名單、智能學習等技術，為系統化服務器群構建一個高安全等級的Web服務器主動防御體系。

2 Web服務器安全主動防御

Web服務器安全主動防御系統分別在六個層面進行防護，即硬件層、操作系統層、虛擬化層、虛擬操作系統層、服務器軟件層、應用腳本層。針對危害程度較高的未知漏洞利用擬態技術進行主動防御，針對可能存在的硬件破壞、內部病毒、木馬等利用白名單技術進行主動防御。

2.1 總體架構

Web服務器安全主動防御系統總體架構如圖1所示。

（1）硬件層：在基礎硬件層，可能出現的問題是外接未受權的硬件設備，造成數據信息泄露或木馬病毒的侵入;重要硬件設備故障或檢測到被入侵，可能造成系統運行故障等。解決辦法：利用白名單技術啟用受權機制，防止非法硬件接入;啟用擬態技術切換硬件平臺。

（2）操作系統層、虛擬化層、虛擬操作系統層：利用多系統管理和虛擬化多樣性，實現擬態技術切換;利用系統白名單和進程白名單來固化虛擬化底層平臺的安全性。

（3）服務器軟件層、應用腳本層：利用多應用腳本和服務軟件異構化，實現擬態技術切換;利用軟件白名單、文件白名單、用戶白名單等多項機制實現系統安全的主動防御。

2.2 核心技術

擬態防御技術：擬態安全Web服務器旨在現有Web服務器基礎上，構建具有異構性、多樣性、動態性特征的處理架構，在不影響Web服務器基本功能、性能、兼容性的前提下，有效應對后門和漏洞的安全威脅。自下而上的構成主要包括操作系統層、服務器軟件層和應用軟件層。大部分漏洞存在于各種各樣的Web應用中，然而危害程度較高的漏洞往往存在于服務器軟件層和操作系統層，同時由于這兩層的基礎地位，也時常成為新型攻擊的主要目標。

擬態防御重點針對已知和未知安全漏洞，與白名單技術配合使用，會達到相當好的防御效果。

白名單技術：如果設立了白名單，則在白名單中的用戶（或IP地址、IP包、電子郵件等）會優先通過，不會被當成非法文件拒收，也不會對任何一個程序運行都要被當成未知程序進行安全檢查。這樣，系統的安全性和快捷性都有所保障。

可信計算技術：可信計算以安全芯片為核心，來測量整個平臺（包括操作系統、應用程序、硬件配置等）的安全性和完整性，將整個平臺的完整性數據存儲在可信任平臺模塊中，從而判斷該平臺是否可信，以此保證所交互的平臺的安全性。可信計算技術可以對主機實施有效的安全防護，保護計算機及網絡系統的安全運行，從而向用戶提供一個可信的執行環境。

2.3 核心功能聯動

擬態防御架構通過多樣化與隨機化方法，在時空維度上產生的不確定性，在時間上以動態性呈現，在空間上則以異構性呈現。其中，核心聯動機制是擬態防御架構的關鍵組成部分。

核心聯動執行體調度器結構如圖2所示。動態執行體調度器由檢測系統、執行器、分發器和跨平臺通信客戶端組成。

核心聯動執行體調度器設計的關鍵環節是虛擬機調度策略。虛擬機調度方法采用非相似Web虛擬機子池獨立調度，并由中心調度器通過跨平臺消息傳遞機制實現遠程協助調度。當收到響應輸入，白名單模塊載決在信任庫范圍，繼續按時間緯度進行動態變換。當響應輸入不在白名單模塊載決在信任庫范圍，啟用空間緯度異構性變換。當白名單模塊收到信任模塊信息對相應的白名單庫進行修改，白名單模塊載決在信任庫范圍，繼續按時間緯度進行動態變換。完成非相似Web虛擬機池中虛擬機的啟動、停止、快照恢復等調度任務，并記錄虛擬機的各個運行狀態存儲到數據庫中。

核心聯動執行體調度器主要的功能是保證Web服務器的多樣性和周期性或以事件驅動形式，清洗回滾可能存在漏洞的Web服務器。動態執行體調度器縮短了攻擊者探測某一臺Web服務器的時間，增大了探測結果的不確定性，擾亂攻擊者視線，使其無法確定攻擊對象。

3 主動防御體系的效果

對于重要信息系統，基于白名單構建主動防御體系，對應用進行管控，能夠實現比等級保護更高的安全要求，能夠有效防止APT攻擊。防御效果主要體現在幾個方面。

（1）防止應用攻擊。四位一體的應用白名單，保征在應用運行的整個過程中，不被惡意軟件、 特殊木馬等污染或被注入攻擊。

（2）防止數據泄漏。當應用系統被惡意軟件、特殊木馬侵蝕后，通過應用管控，并以業務為中心建立保護規則，所以數據不會被泄漏到系統之外。

（3）防止信息系統崩潰。當應用管控及監控到進程、線程級時，一旦惡意軟件發作，就能被立即發現，保證信息系統不被破壞，防止信息系統崩潰。

（4）防止APT攻擊。在APT攻擊的初始攻陷、建立立足點、特權升級、橫向移動、數據輸出的各個階段，都進行了有針對性的防護。

4 結束語

該防御體系針對系統化服務器和安全設備協作設計。利用擬態防御技術結合白名單技術、智能學習技術、可信計算技術，為系統化服務器群構建Web服務器主動防御體系。系統設計完善了擬態防御技術內部安全弱，無法針對內部已經存在的安全問題進行防御，完善了整個安全防護鏈;通過白名單技術提高了系統的效率和性能;通過智能學習和可信計算簡化了技術人員的工作，提高了運行效率和安全性。

基金項目：

1.賽爾網絡下一代互聯網技術創新項目（項目編號：NG1120180202）;

2. 2018年省屬本科高?；究蒲袠I務費項目（項目編號：2018-KYYWF-E008）。

參考文獻

[1] 李鑫，李京春，鄭雪峰，張友春，王少杰.一種基于層次分析法的信息系統漏洞量化評估方法[J].計算機科學，2012，39（07）：58-63.

[2] 余前帆.大數據時代網絡空間安全問題的思考[J].網絡空間安全，2017，8（Z1）：66-69.

[3] 蔣巍，王楊，齊景嘉，張明輝，艾何潔.針對黑客滲透思維制定Web服務器安全防護策略[J].網絡空間安全，2018（Z5）：45-49.

[4] 王楊，蔣巍，劉柳，孔子范.基于IPv6的行業云安全服務互助平臺[J].網絡空間安全，2019，10（02）：70-73.