摘  要： 針對Web網(wǎng)站點的入侵事件不斷發(fā)生，現(xiàn)有的防火墻、IDS等設備都不能有效防止入侵者篡改網(wǎng)站中的網(wǎng)頁、盜取重要信息等攻擊,提出了Web服務器安全較完備機制，從核心層保證Web站點中的網(wǎng)頁不會被黑客篡改，惡意代碼在系統(tǒng)中不會肆意發(fā)作。該機制重構了操作系統(tǒng)核心層權限訪問控制模型，對操作系統(tǒng)文件、注冊表、進程和網(wǎng)絡等資源采用白名單規(guī)則，并采用多機制相結合的方式提高Web服務器的抗攻擊能力。
關鍵詞： 服務器安全； 系統(tǒng)保護； 文件驅動； 網(wǎng)絡驅動

    隨著互聯(lián)網(wǎng)技術的飛速發(fā)展，作為信息系統(tǒng)的核心設備，服務器的安全提升到了一個新的高度。服務器中存儲和處理的大量核心業(yè)務數(shù)據(jù)，其安全性愈顯重要，傳統(tǒng)防病毒系統(tǒng)、防火墻、IDS等設備無法保證服務器系統(tǒng)高度保密和信息完整性要求。多核服務器的安全保障難度再增高，采用新的安全機制來提供Web服務器抵抗黑客和惡意代碼攻擊尤為重要。Web應用必須有80和443端口，惡意用戶正是利用了這兩個端口執(zhí)行各種惡意操作：偷竊、操控、破壞Web應用中重要信息。
    為透明提升Web服務器操作系統(tǒng)安全等級，最大程度地保證系統(tǒng)兼容性，本文通過對文件系統(tǒng)和網(wǎng)絡底層架構的理解，結合對規(guī)則的成功運用，實現(xiàn)了操作系統(tǒng)安全和網(wǎng)絡安全的有效結合。
1 原理與架構
    系統(tǒng)分為驅動層和應用層。驅動層包括一個文件過濾驅動程序和一個NDIS網(wǎng)絡防火墻驅動；應用層包括一個應用程序和與驅動交互的DLL。應用層采用了WTL做界面，在驅動程序啟動時，讀取相應的規(guī)則文件，包括文件規(guī)則（所有進程對文件讀寫的規(guī)則和特殊進程對文件讀寫的規(guī)則）。文件讀寫權限有禁用、只讀、正常讀寫等。
    計算機病毒發(fā)作時的行為一般有寫注冊表項、生成文件、遠程線程注入等。安全防護驅動攔截系統(tǒng)服務調用，通過分析例程調用的參數(shù)得到文件、進程等相關信息。系統(tǒng)服務調度表(SSDT)保存著本地系統(tǒng)服務的地址，可以定位函數(shù)的內存地址。
     文件系統(tǒng)過濾驅動對Native API做截獲，對IoCreateFile做INLINE HOOK，在文件讀寫時根據(jù)函數(shù)參數(shù)和例程上下文信息得到相關文件全路徑和進程相關信息。與加載到內存中的文件規(guī)則做判斷。規(guī)則加載方法是開啟一個系統(tǒng)線程，在系統(tǒng)線程循環(huán)中判斷規(guī)則文件是否被修改。如果被修改，則重新加載規(guī)則文件到內存。
    對注冊表的防護,則是HOOK了ZwCreateKey、ZwDeleteKey、ZwEnumerateKey、ZwOpenKey等函數(shù)。在函數(shù)內部得到操作的進程全路徑和注冊路徑，與規(guī)則文件中的進程名和注冊表路徑比較，如果符合規(guī)則，則采取規(guī)則文件中的動作對注冊表操作控制，文件動作規(guī)則包括禁用、只讀結合進程名的對比，只有進程名和文件名與規(guī)則中的進程名和文件名完全相同時，執(zhí)行規(guī)則內相應的禁用和只讀動作等。
    進程和進程保護采用對ZwOpenProcess的HOOK方法實現(xiàn)。在截獲的ZwOpenProcess例程內，得到進程ID。把進程ID與內存規(guī)則鏈表中的保護進程的ID作對比。如果是需要保護進程的ID,則返回無效句柄。進程注入多數(shù)采用CreateRemoteThread方法,在應用層采用WriteProcessMemory函數(shù)。在核心層則是NtCreateThread例程和ZwWriteVirtualMemory例程。防止復制句柄則是在驅動層截獲ZwDuplicateObject例程。進程保護的最低層可采用KiInsertQueueApc方法的截獲來實現(xiàn)。目前較為高級的進程保護都采用KiInsertQueueApc方法實現(xiàn)，如XueTr等。圖1為服務器Web安全系統(tǒng)序列圖。

    對64位操作系統(tǒng)(Windows Vista 和Windows 2008 Server)等,由于操作系統(tǒng)采取了對內核保護的措施(PatchGuard技術),其內核被鎖定了，任何第三方軟件都無法對其進行修改。SSDT HOOK在64位操作系統(tǒng)上失效。
    采用微軟WDK開發(fā)包提供minifilter框架，對文件權限的修改在IRP_MJ_CREATE內進行截獲，對于只讀文件，如果規(guī)則比較發(fā)現(xiàn)其是需要進行權限修改的只讀文件，有WRITE的標記，則修改為GENERIC_READ標記。對需要禁用的文件，則在IRP_MJ_CREATE的后處理(PostCreate)例程內采用FltCancelFileOpen對相應的文件禁用。
   在網(wǎng)絡安全方面采用NDIS低層技術構建網(wǎng)絡防火墻，提供網(wǎng)絡層訪問控制和攻擊保護服務。統(tǒng)一部署在Web應用的前端。網(wǎng)絡防火墻是整個Web應用安全體系結構的一個組件，防御網(wǎng)絡層黑客攻擊(網(wǎng)絡掃描、telnet等)，阻止蠕蟲的傳播。
2 文件和注冊表訪問權限研究與實現(xiàn)
    文件訪問控制采用Inline Hook方法，對IoCreateFile做截獲。文件規(guī)則包括文件全路徑名、打開文件的進程名、訪問權限(只讀、禁用、正常使用等)等多元參數(shù)組。在截獲函數(shù)內，首先根據(jù)參數(shù)和上下文得到文件全路徑名。然后得到進程名。與內存規(guī)則內的文件和進程名對比，如果符合則根據(jù)規(guī)則中的動作對文件只讀、禁用等操作。如果不符合，則采取默認動作。驅動內部需要得到保護進程的列表和進程ID等。進程加載通知(PsSetCreateProcessNotifyRoutine)；DLL或驅動加載通知(PsSetLoadImageNotifyRoutine)；低層驅動維護著活動進程鏈表和文件、進程、注冊表規(guī)則鏈表等。圖2為文件網(wǎng)絡驅動與應用層關系序列圖。

    Web服務器的安全需要考慮到Web服務應用程序的安全，包括遠程線程的防止注入、復制句柄、遠程內存讀寫、子進程創(chuàng)建的預防和判斷等。遠程線程注入通過CreateRemoteThread實現(xiàn)，需要調用WriteVirtualMemory等函數(shù)，在內核層則是調用ZwWriteVirtualMemory。ZwWriteVirtualMemory是在NTDLL.DLL中導出的，在驅動內得到NTDLL.DLL的地址，然后得到相應導出函數(shù)ZwWriteVirtualMemory地址。截獲地址后，在截獲函數(shù)內判斷進程ID號是否是在進程保護列表中的進程，如是則返回STATUS_ACCESS_DENIED。
    驅動底層的難點主要有文件只讀、禁用規(guī)則，結合進程規(guī)則的對比，以及規(guī)則文件的設計和在內存中與進程和文件名的對比。驅動層原來對文件對比采用SSDT HOOK方法，攔截ZwOpenfile和ZwCreateFile函數(shù)，后來改用了一個函數(shù)，采用了Inline Hook加匯編的方式，簡化了對函數(shù)的比較，收到了比較好的效果。對注冊表的規(guī)則和禁用，采用了Regmon中的方法，在注冊表相應的函數(shù)內得到注冊表的訪問全名，與注冊表規(guī)則進行比較，采取相應的禁用等方法。
     規(guī)則文件加上只讀等控制后，對規(guī)則的判斷首先需要對進程名進行判斷，是否符合規(guī)則中的進程名。判斷符合后，再對文件名進行規(guī)則判斷，如果文件名相同，則按規(guī)則文件中數(shù)據(jù)結構對文件做只讀和禁用等對復制句柄的禁止。
    在64位服務器系統(tǒng)上,需要對驅動進行簽名。Minifilter架構可在32位和64位操作系統(tǒng)上運行?？蛇\行的系統(tǒng)包括WindowsXP、Windows 2003、Windows2008 Server 64位等。在64位多核系統(tǒng)中需要調整一些不兼容的函數(shù)。
    驅動難點還有在多核服務器上的驅動例程，如自旋鎖(SPIN LOCK)的獲取等，遇到了數(shù)次BSOD.都是多核鎖造成的,多核下要用KeAcquireInStackQueuedSpinLock.如果不想改動IRQL,只能用資源鎖（ERESOURCE）了。
3 服務器Web安全數(shù)據(jù)結構和接口方案
    用戶接口主要是應用層的程序與驅動進行DeviceIoControl 交互，應用程序啟動時，需要與驅動程序會話，調用相應的函數(shù)。還有應用層需要定時與驅動層查詢得到相關的日志。
    //驅動層與應用層應答IoControl
    #define IOCTL_REPLY_USERLAND_REQUEST    
    CTL_CODE(FILE_DEVICE_UNKNOWN, 0x802, METHOD_
        BUFFERED,FILE_ANY_ACCESS)
    //對規(guī)則文件加密和解密IoControl
    #define IOCTL_RULEFILE_ENCRYPT            
    CTL_CODE(FILE_DEVICE_UNKNOWN, 0x805, METHOD_
        BUFFERED, FILE_ANY_ACCESS)
    //得到系統(tǒng)運行日志IoControl
    #define IOCTL_DPROTECT_GETLOG            
    CTL_CODE(FILE_DEVICE_UNKNOWN, 0x809, METHOD_
        BUFFERED, FILE_ANY_ACCESS)
    //應用層與驅動層通信EVENT
    #define IOCTL_REG_EVENT    
    CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800, METHOD_
        BUFFERED, FILE_ANY_ACCESS)
    //日志記錄數(shù)據(jù)結構
    typedef struct _LOG_RECORD {
        ULONG        Length;
        ULONG        SequenceNumber;
        RULE_TYPE    LogType;
        ULONG        uWhat;
        LARGE_INTEGER    origTime;
        CHAR        Name[0];
    } LOG_RECORD, *PLOG_RECORD;
     //規(guī)則類型  
    typedef enum _RuleType
    {
        RULE_FILE = 0,                  //文件規(guī)則類型
        RULE_DIRECTORY,                    //文件路徑類型
        RULE_REGISTRY,                             //注冊表規(guī)則
        RULE_SECTION,
        RULE_PROTECT,                      //需要保護的進程
        RULE_REGPROCESS,   //與注冊表規(guī)則對應的進程
        RULE_FILEPROCESS,      //與文件規(guī)則對應的進程
        RULE_NETWORK,
             }RULE_TYPE;
         //進程規(guī)則結構
    typedef struct _PROCRULE
    {
        ULONG    nId;
        CHAR    procName[PROCNAMELEN];
        short    nRuleType;
        DWORD    Reserved;
    } PROCRULE, *PPROCRULE;
    //注冊表規(guī)則
    typedef struct _REGRULE
    {
        ULONG nId;
        CHAR  procName[PROCNAMELEN];
        short    nRuleType;
    } REGRULE, *PREGRULE;
    //注冊表進程規(guī)則
    typedef struct _REGPROCRULE
    {
        ULONG  nId;
        CHAR  procName[PROCNAMELEN];
        short    nRuleType;
    } REGPROCRULE, *PREGPROCRULE;
    //文件規(guī)則數(shù)據(jù)結構
    typedef struct _FILERULE
    {
        ULONG    nId;
        ULONG    nReadWrite;
        CHAR    procName[PROCNAMELEN];
        short    nRuleType;
        BOOLEAN    bDirectory;
    } FILERULE, PFILERULE;
    //過濾規(guī)則結構
    typedef struct _FLTRULE
    {
        struct FLTRULE    *next;
        int    ruleLine;
        int    nAction;
        BOOLEAN bLog;
        enum RULE_TYPE    ruleType;
        union {
            struct _PROCRULE      procRule;
            struct _REGRULE      regRule;
            struct _FILERULE      fileRule;         //文件規(guī)則
            struct _PROCRULE       protectRule;
                                                             //禁止用任務管理器結束進程
            struct _REGPROCRULE   regProcrule;
        }Rule;
    } FLTRULE, *PFLTRULE;
　    Minifilter應用層和驅動層的通信方案是在應用層采用FilterConnectCommunicationPort建立通信端口的連接。然后初始化相關參數(shù)數(shù)據(jù)，創(chuàng)建日志查詢線程。用FilterSendMessage例程查詢驅動內日志信息。
    經過測試人員詳細測試和客戶現(xiàn)場應用，本系統(tǒng)達到了良好的應用效果，從驅動層到應用層都運行良好。目前系統(tǒng)支持32位和64位服務器系統(tǒng)，對服務器安全要求較高的企事業(yè)單位有比較好的保障作用。
參考文獻
[1] 耿玉波，夏魯寧，杜皎，等.一種Web服務器安全機制的 研究與實現(xiàn)[J]，計算機工程，2006(11):189-191.
[2] NAGAR R. Windows NT file system internals[EB/OL].[2007-04-01].http://download.csdn.net/source/168266.
[3] RUSSINOVICH M E, SOLOMON D A. Microsoft windows  Internals. Fourth Edition[M]. Microsoft Press， 2007.
[4] 湯方澄，楊小虎，董金祥.基于智能Agent的網(wǎng)絡安全監(jiān)控系統(tǒng)的研究[J].計算機工程，2002，28(12)：63-65.