【正文】 種安全的方式來構建網絡應用程序，雖然已有大量針對在網絡應用程序開發(fā)中如何安全地訪問數(shù)據(jù)庫的文檔出版，但仍然有很多開發(fā)者缺乏足夠的安全意識，造成開發(fā)出的產品中依舊存在注入漏洞；方案 (2)的做法需要 RDBMS 的支持，目前只有 Oracle 采用該技術；方案 (3)則是一種不完全的解決措施，例如，當客戶端的輸入為“?ccmdmcmdd? ”時 ,在對敏感字符串“ cmd”替換刪除以后，剩下的字符正好是“? cmd?”；方案 (4)是目前最常被采用的方法，很多安全文檔都認為 SQL 注入攻擊需要通過錯誤信息收集信息，有些甚至聲稱某些特殊的任務若缺乏詳細的錯誤信息則不能完成，這使很多安全專家形成一種觀念，即注入攻擊在缺乏詳細錯誤的情況下不能實施。無論是何種 Web 腳本語本語言或何種數(shù)據(jù)庫，如果編碼人員缺乏相關的安全意識，都可能會導致此缺陷的存在。 SQL 注入同樣也是對客戶端提交的數(shù)據(jù)沒有進行必要的檢測過濾造成的。對一個內部網絡的滲透往往是從 Web 服務腳本入手（如 ASP， PHP 等），而 SQL 注入漏洞通常是 Web 服務腳本中最容易找到的。 因為 Web 服務器程序提供專有的 HTTP 服務，所以我們可以通過 HTTP 協(xié)議確定客戶端提交數(shù)據(jù)中每個字段的長度的合理范圍，通過對所有用戶提交的數(shù)據(jù)都進行嚴格的長度檢測是對緩沖區(qū)溢出攻擊的有效防御方式。如曾經造成十分大危害的蠕蟲“ 紅色代碼（ Red Code） ”和 “ 尼姆達（ Nimda） ”都是利用 IIS 的緩沖 區(qū)溢出的漏洞而傳播的。 2 Web 服務器所受的威脅及防御 Web 服務器在互聯(lián)網環(huán)境中會遭受格式各樣的安全威脅，下面列出的是一些當前主流的針對 Web 服務器的攻擊方式，它們有的會導致服務器被非法控制，有的會使服務器無法提供正常的服務，而有的甚至會對訪問者的機器造成破壞。這套系統(tǒng)通過策略來控制訪問 Web 服務器的行為，它的策略引擎可以加載 Lua 腳本編寫的策略，所以策略的編寫十分容易。所以， Web 服務器的安全顯得尤為重要。在很多網絡環(huán)境中，正是由于 Web 服務器同時對內部網絡和外部網絡提供服務，使其成為整個網絡中最常被攻擊的目標。 Lua 目 錄 論文總頁數(shù)： 280頁 1 引言 ................................................................................................................... 4 2 Web 服務器所受的威脅及防御 ............................................................................ 4 緩沖區(qū)溢出 .............................................................................................. 4 SQL 注入攻擊 .......................................................................................... 4 基于腳本的 DDos 攻擊 ............................................................................. 5 其他的不安全因素 ................................................................................... 6 3 Web 的入侵防御系統(tǒng)的設計 ............................................................................... 7 體系結構 ................................................................................................. 7 處理流程 ................................................................................................. 8 對客戶端訪問的響應 .............................................................................. 10 策略引擎的設計 ......................................................................................11 策略的屬性 ...................................................................................11 策略的加載 .................................................................................. 12 策略的調度 .................................................................................. 13 策略的接口 .................................................................................. 13 4 Web 的入 侵防御系統(tǒng)的實現(xiàn) ............................................................................. 14 基于 ISAPI 的解析及響應模塊的實現(xiàn) .................................................... 14 使用 ISAPI Filter 獲取 Http 報文信息 ............................................ 14 使用 ISAPI 進行 Http 響應 ............................................................ 16 在服務器上的安裝配置 ISAPI Filter .............................................. 17 基于 Lua 的策略實現(xiàn) ............................................................................. 18 對策略的封裝 .............................................................................. 18 Lua 策略腳本示例 ......................................................................... 18 基于 xml 的策略管理 ............................................................................. 19 5 系統(tǒng)運行過程及測試 ........................................................................................ 19 結 論 ................................................................................................................. 21 參考文獻 ................................................................................................................. 21 致 謝 .................................................................................................................... 22 聲 明 .................................................................................................................... 23 1 引言 連接入互聯(lián)網中的每一臺服務器每時每刻都會受到來自病毒蠕蟲的侵擾和黑客的入侵。 work security。這套入侵防御系統(tǒng)的策略引擎可以加載和調用 Lua語言編寫的策略腳本，使策略腳本的編寫更加簡單。本課題中首先調研了當前 Web服務器所 面對的威脅，然后針對這些安全威脅設計了一套入侵防御系統(tǒng)，并通過 ISAPI實現(xiàn)了對 Windows平臺下的 IIS服務器的保護。 畢 業(yè) 設 計 ( 論文 ) Web 的入侵 防御 系統(tǒng)的設計與實現(xiàn) 論 文 作 者 姓 名 ： 申 請 學 位 專 業(yè) ： 申 請 學 位 類 別 ： 指導教師姓名（職稱）： 論 文 提 交 日 期 ： Web 的入侵 防御 系統(tǒng)的設計與實現(xiàn) 摘 要 Web服務器往往得不到傳統(tǒng)防御方式的有效保護，使其成為整個網絡環(huán)境中安全最薄弱的地方。緩沖區(qū)溢出、 SQL注入、基于腳本的 DDos、盜鏈和跨站等攻擊行為對 Web服務器的安全和穩(wěn)定造成極大的威脅，而目前缺少有效的防御和保護的方式。在這套入侵防御系統(tǒng)中，可以通過制定策略來檢測所有訪問 Web服務器的行為，可以有效地阻止惡意攻擊從而保護 Web服務器的安全。 關鍵詞 ： 入侵防御；網絡安全； ISAPI； Lua Design and Implementation of Web Intrusion Prevention System Abstract Web server can not often get the effective protection of traditional defense mechanism, makes it bee the weakest area in the whole work. The attacks, such as Buffer overflow, SQL injection, DDos based on script, Resource steal and Crosssite, cause the great threat to the security and stability of Web server, and lack effective defense and protection way at present. This paper introduces the different attack ways to a Web server at first, then designs an intrusion prevention system for the Web server and implements the protection of IIS server under Windows platform through ISAPI. The intrusion prevention system can measure the behaviors of all visiting Web servers through the strategies and protect the Web Server against the malicious attacks. The security strategies engine of the system can load and transfer the strategy scripts written in Lua language, It make strategy scripts writing more simpler. Key words: Intrusions prevention。 ISAPI。目前，很多針對 Web 服務器的攻擊都是通過 Http 協(xié)議發(fā)起的，所以傳統(tǒng)的防火墻對諸如 SQL 注入這種攻擊方式不能提供很好的保護。惡意的攻擊者往往 通過 Web 服務器上的突破口，來進一步對內部網絡進行滲透。 本課題的首先對 Web服務器所受到的威脅及相應的防御方式做了一些調研，然后針對 Web 服務器所受的這些威脅設計了一套專門針對 Web 服務器安全的輕量級的入侵防御系統(tǒng)， 并通過 ISAPI 實現(xiàn)了 Windows 平臺環(huán)境下保護 IIS 服務器的系統(tǒng)。通過對這套系統(tǒng)的運行檢測可