主办单位: 共青团中央   中国科协   教育部   中国社会科学院   全国学联  

承办单位: 贵州大学     

基本信息

项目名称:
基于SQL语法树形结构分析的服务器防护系统
小类:
信息技术
简介:
作品面向网络服务器,普适于Windows、Linux两大主流服务器平台,无缝内嵌于服务器架设软件之中,以行之有效的方式实现对服务器全方位、立体化的系统性安全防护。作品创造性地提出了恶意攻击的主动分析检测技术,特别是通过对SQL语句语法树形结构的分析比对,从原理和根本上杜绝了恶意攻击的可能性,在学术理论和实际应用两方面均具有国际先进性和较高的实际应用价值,对于改善互联网安全环境具有较强的意义。
详细介绍:
1 作品介绍 1.1 背景分析 伴随着信息技术的高度发达,互联网承载着越来越多重要的信息,作为一个开放式的网络,如何确保这些信息的安全显得尤为重要。而服务器作为信息存储、发布、交换的主体,存储着海量信息,但由于程序开发者的水平参差不齐,大量服务器端的应用自诞生以来就存在诸多漏洞,加上一部分管理员对于此类安全问题的重视程度有限,导致服务器以及大量重要信息的安全受到极大的威胁。 开放式Web应用程序安全项目(OWASP, Open Web Application Security Project)是一个旨在协助个人、企业和机构发现和使用可信赖软件的非盈利性组织,作者研究了该组织在2007年、2010年根据调查结果发布的网络安全威胁排行,就各类威胁在易于利用性、流行程度、易于发现性、影响大小四个方面进行了详尽的比较,可以看到,注入攻击、跨站攻击等攻击方式一直较为流行,而且也具有很高的危险性,可能会给用户、服务器和Web应用造成无法挽回的损失。 与此同时,由于互联网的开放程度高,灵活性强,程序设计语言规范性差,给安全防护带来的极大的难度。而现有的服务器安全防护软件大多无法很好地满足市场对于此类软件的需求,根据团队成员的分析研究,认为主要存在有以下几点问题: (1)普适性差:由于互联网的灵活性和多样性,现有的防护软件多是针对特定的环境下的特定攻击威胁进行防护,缺乏对于不同环境平台的普遍适用性; (2)准确率低:网络中信息存储和传递的形式多种多样,标准难以统一,一方面为设计者提供了多种实现方式,另一方面也为黑客提供了多样化的攻击手段,致使现有安全防护软件的判断准确率普遍偏低; (3)方法陈旧:很多防护软件所使用的技术十分陈旧,而攻击者早已对这些方法烂熟于心,因此想要绕过防护往往轻而易举; (4)手段被动:现有安全防护软件多针对已有的常见攻击手段进行被动的检测和过滤,例如对于SQL注入的检测至今仍局限于关键字过滤的方式,对于新的攻击方式难有作为,因而往往会陷入“拆东墙,补西墙”的尴尬境地; (5)部署繁琐:很多防护软件在部署时都要求服务器管理员进行一系列繁琐的操作,甚至更改程序、网站源代码为其提供接口,因而难以应用于已成型的网站和服务器; 针对以上几点问题,项目开发团队进行了细致深入的研究分析,参考了国内外大量文献资料,经过长时间的讨论和理论论证,针对普及程度高、危害大的各种网络攻击手段,创造性地将主动防御的思想应用于服务器的防护,提出并实现了一个普适、便捷、智能的内嵌式服务器安全防护系统。 1.2 特色描述 1.2.1 跨平台性和可移植性 作品基于目前市面上最主流的服务器架设软件,Apache以及IIS,支持Windows和Linux操作系统,而且并不依赖于架设动态网站所使用语言的种类,具有良好的跨平台性和可移植性。 1.2.2 核心内嵌技术 系统完美内嵌于Web服务器架设软件之中,广泛适用于目前市场主流服务器,部署简便,配置轻松,无需预留接口,安装后开启服务即可使用。通过Web服务器核心内嵌技术,确保服务器每一次发送和接收数据的过程均经过本系统的检测和过滤。 1.2.3 智能高效的防注入方法 SQL注入攻击是黑客对数据库进行攻击最常用的手段之一,也是其他一些攻击手段的前提条件。系统改变传统关键字过滤的防注入方式,独创性地根据用户输入实时动态生成标准SQL语句范式,将其与用户输入分别建立语法树形结构,而由于SQL语法的无二义性,恶意攻击一定会改变原查询语句的树形结构,从而根据对两者树形结构的比对,即可判断用户输入是否含有恶意请求。这种基于SQL语句语义分析的方法,真正意义上实现了对注入攻击的主动分析防御,从根本上、原理上杜绝了一切形式的SQL注入攻击。相比于传统关键字过滤式的防注入方法,一方面可以更加准确有效地识别各种形式的注入攻击,另一方面也避免了对用户无恶意输入误操作。 1.2.4 智能化的DDOS攻击检测 针对DDOS攻击特征难以辨识的防护难点,项目开发团队深入研究了主流DDOS攻击的原理,并以此为根据从根本上掐断攻击的源头。采用驱动层拦截处理,应用层回溯分析的方式,独创的Trace Route回溯分析、网络流拓扑结构分析,结合SYN-Cookie等成熟技术,实现了智能高效的DDOS攻击检测,有效保障只有合法数据包才能够流入服务器内部,同时还能够精确定位攻击源,从而达到保护服务器安全的目的。 1.2.5 全方位、立体化的安全防护 除防SQL注入攻击外,本系统针对其他普及程度高、危险性强的网络攻击威胁也都开发部署了独具特色、行之有效的检测防御服务,如跨站攻击、资源盗链等,力图为用户提供全方位、立体化的服务器安全防护。 1.2.6 实时响应、日志系统 系统实时检测响应攻击行为,一旦检测到攻击,系统会自动拦截动作,并根据攻击者的相关信息、用户控制面板设置对其进行封禁IP地址等相应处理响应,并将详细的攻击信息、处理响应信息存储于日志系统之中,为服务器管理员提供完整详尽的管理日志。 1.3 相关工作 作品是开发团队在对目前互联网安全状况进行详细的调查评估,并对目前市场上已有的同类产品进行研究后,自行设计开发的一款服务器安全防护系统。防护系统经过团队几个月来的不断测试和改进,对各种网络安全威胁的检测准确率已经能够稳定在较高水平,同时系统已部署在多个校内服务器上试运行,目前运行状况良好稳定。希望能够获取更多的实际运行数据,为日后进一步提升系统性能打下良好的基础。 本系统的一个独特之处在于防注入方法的创新上,同时对用户输入语句进行语法语义的分析也是系统的一个难点。为了满足系统的跨平台性和可移植性要求,我们采用标准C++语言进行开发,同时在Apache、IIS等多平台进行开发和测试,克服了调试困难、平台生疏、缺乏文档经验等诸多困难,较好地完成实现了项目系统的设计初衷和目标。 此外,项目开发团队从原理上深入分析了目前主流的DDOS攻击方式,使用驱动层与应用层相结合的方式,利用层层严格的过滤,实现对于DDOS攻击的智能精确定位,迅速有效响应。 1.4 市场分析 时下互联网承载着越来越多的重要信息,其安全性也自然受到了越来越多的关注,因此服务器防护软件的市场也随之不断增大。虽然目前市场上已经出现了大量的Web服务器防护软件,但由于互联网所特有的多样性、不规范性,传统方法对于攻击威胁的防护效果远远不能满足日渐庞大的市场需求。 而作品是着眼于信息的载体,针对传统防护软件所存在的问题和市场对于此类软件的需求,自主研发的一套独具特色、实时动态、智能高效的防护系统。 本系统无缝内嵌于服务器架设软件之中,致力于采用智能化分析的手段,帮助服务器管理员实现方便快捷、智能高效的服务器安全防护,提供防SQL注入攻击、防DDOS攻击、防跨站攻击、权限控制、资源防盗链、网页防篡改等诸多功能,实现了全方位立体化的实时安全防护,并为管理员提供了完整详尽的管理日志,较好地满足了市场对于此类软件的需求。 综上所述,作品的设计和功能符合市场需求,具有较为广阔的市场应用前景。 2 实现方案 2.1 系统说明 2.1.1 说明 作品旨在为服务器提供全方位、高效率的安全防护,帮助服务器管理员更方便、有效、全面地实现对服务器的安全保护,以确保服务器信息的正确性和保密性。 2.1.2 设计目标 作品的雏形,来自于开发团队成员对服务器端防护的长期研究和国内外相关资料的深入分析,抓住恶意攻击者最常用、造成危害最大的攻击方式进行探索,从而形成了一套独创性、体系化、智能高效的解决方案,力图通过我们的努力,更好地保护网络信息安全。 根据小组成员对现有类似软件的研究,我们认为被动地根据攻击者的攻击方式进行相应的防护,往往会陷入到拆东墙补西墙的尴尬境地,已经远远无法满足当今互联网对于信息安全的庞大需求。因此,开发团队为满足市场需求,经过长时间的理论论证,提出以主动分析攻击者行为的方式,达到准确定位攻击行为、高效处理响应的设计目标。 本系统广泛适用于Windows和Linux平台,不受数据库和服务器软件版本的限制,安装快捷,部署简便,操作简单,安全性高,为服务器提供全方位、多角度的立体化安全防护。 2.2 系统架构 作品采用模块化设计,根据用户的不同需求对各个模块进行设置管理,并通过详尽的管理日志对用户的操作以及客户端访问信息进行记录和检索,以方便服务器管理员的工作。通过各个模块的协作来完成对服务器的全方位的防护。 攻击检测模块根据浏览用户输入以及向服务器提交的请求,进行SQL注入攻击、跨站攻击、权限控制、资源盗链、篡改攻击以及DDOS攻击6个方面的实时动态检测,倘若检测到攻击者的攻击威胁,则将攻击信息传递给处理响应模块,该模块根据服务器管理员对于本系统的控制设置,决定对于该攻击的处理响应方式,并将相关攻击信息和处理响应信息详尽地写入到管理日志模块之中,供服务器管理员日后分析查看。 2.3 功能及实现原理 2.3.1 攻击检测模块 攻击检测模块主要由6个子模块构成,分别负责SQL注入攻击、DDOS攻击、跨站攻击、篡改攻击、权限控制和资源盗链的实时动态检测控制。 2.3.1.1 注入攻击检测子模块  功能 注入攻击检测子模块通过拦截用户输入所构成的SQL语句,实时动态地生成一个绝对无害、表达Web应用开发者本意的SQL语句,并对上述两个SQL语句分别建立语法树形结构,根据树形结构和节点类型比对结果判断两语句在语义上的异同,从而进行注入攻击判定,返回相应结果。  原理 由于T-SQL语言为一种无二义性的语言,因此其语句的最左推导或最右推导形式唯一,则其语法树形结构可以根据其语义唯一确定。若黑客通过SQL注入的方式进行攻击,则必须改变SQL语句的语义,其语义的改变也必将影响到其语法树形结构。于是,根据绝对无害的标准输入及用户输入所构成的语法树形结构的比对结果,即可判断用户输入是否含有恶意。  具体实现 (1)获取访问者提交请求 编写ISAPI Filter和Apache Module分别内嵌于IIS和Apache服务器架设软件内部,用以获取用户向服务器端提交的请求,实现跨平台、跨动态语言种类的用户输入拦截和处理。 (2)构建标准SQL范式 对访问者输入形成的SQL语句进行分析,只对其中的用户输入部分进行处理,生成一个形式类似、绝对无害的SQL语句。其中,访问者输入中特殊的、可能改变语句含义的符号(如等号、引号等)不做改变,对其他字符进行简单无意义替换,以无意义字符替换原有输入,这样一方面保证其绝对无害性,一方面尽可能还原访问者本意,防止访问者无恶意输入的误判。 (3)建立语法树形结构 针对用户输入和标准范式,采用Lex & Yacc进行词法及语法分析。 特别地,针对访问者无恶意的不规范输入,建立了一种ERRSTR类型的节点,以防止对访问者正常输入的误判。 (4)语法树比较 对两棵语法树的比对包括两方面:树形结构比较和节点类型比较。 (a)树形结构比较 比较两者树形结构中树的深度、同层节点数、父子节点关系,从而判断访问者输入与标准范式语句含义的异同。 (b)节点类型比较 比较节点树形结构中相同位置节点的类型差异,从而判断访问者输入与标准范式语句含义的异同。 综上所述,SQL注入攻击通过向网页表单添加恶意输入,改变了Web应用程序员为访问者设置的理想SQL语句执行路径,这种改变必然会在SQL语句的语法结构上体现出来,所以这种基于SQL语句语法分析的注入攻击检测方法是非常有效而且精确的。 2.3.1.2 DDOS攻击检测子模块  功能 DDOS(Distributed Denial of Service 分布式拒绝服务攻击)攻击是由很多DOS攻击源一起攻击某台服务器构成的,利用合理的服务请求占用过多的服务资源,导致服务器无法正常处理合法用户的请求。 目前主要DDOS攻击方式有以下三种: (1)SYN Flood攻击:利用它TCP协议缺陷,通过发送大量的半连接请求,耗费服务器CPU以及内存资源; (2)CC攻击:利用代理服务器,想目标主机发送大量的合法请求,以拖慢服务器运行速度,甚至造成服务器崩溃; (3)僵尸网络:通过在大量计算机中植入特定的恶意程序,控制者利用相对集中的若干台机器向目标机发送大量请求,造成服务器崩溃。 本模块针对DDOS攻击请求合法、攻击源分散等特点,利用对于不同IP地址使用不同URL访问地址的方式,实现对于DDOS攻击的准确智能检测防护。  原理 改变传统TCP协议三次握手的连接确认方式,使用唯一的加密Cookie作为连接确认的凭据,从而避免大量恶意半连接请求占据服务器系统资源,有效避免伪造IP地址进行的SYN Flood式攻击。 为了避免黑客破解我们的Cookie算法,软件针对性地采取了回溯检测跃数的方法进一步过滤伪造IP数据包。经由理论证明,同一客户端发往同一目标机的数据包跃数相同,因此我们根据收到数据包以及回溯采集数据包两者之间跃数的异同,检测伪造IP数据包。 而针对僵尸网络、CC攻击等真实IP地址攻击,我们则利用Trace Route的方式实时动态建立网络流拓扑结构,根据结构中各网络节点的流量进行拓扑排序,以排序结果作为依据,过滤掉其中流量过大的网络节点。 通过层层过滤,确保只有使用真实IP地址的合法访问请求才能流入服务器内部进行相应的处理。  具体实现 利用SYN-Cookie的方式进行连接确认,以唯一Cookie凭据代替等待半连接队列的方式,有效避免大量伪造IP数据包发起的SYN-Flood式的攻击。 而针对黑客破解Cookie加密算法的可能,我们则采用应用层回溯的方式,比对两次数据包跃数的异同,从而分辨伪造IP数据包。 对于真实IP地址发起的DDOS攻击,则使用独创的网络流拓扑结构分析,以拓扑排序的结果作为判断依据,准确定位攻击源。 三种方式层层递进,严格的过滤方法,有效保证只有合法数据包才能够流入服务器内部;从驱动层出发,进行拦截处理,保证了软件的高效性,在惊人请求量的DDOS攻击面前,高效准确的防护机制,有效保护了服务器安全。 这样的DDOS攻击检测方法理论依据完善,检测识别精确快速,系统资源消耗少;其次,相比于包标记等DDOS检测方法,配置简单,无需路由器配置支持;另外,在处理真实IP地址攻击时,能够准确定位攻击源。 2.3.1.3 跨站攻击检测子模块  功能 利用Lex & Yacc对访问者输入进行JavaScript语法分析,判断是否含有跨站攻击威胁,从而返回跨站攻击检测结果。改变传统关键字过滤的防护方式,实现了对访问者输入的实时动态行为分析,根据其实际请求内容进行检测。  原理 跨站攻击,即Cross Site Script Execution(XSS),是指攻击者在远程页面中写入含有恶意代码的数据,造成访问者在访问指定页面时自动执行相应的恶意脚本,通常使用JavaScript作为恶意脚本语言。 由于跨站攻击的核心在于可执行恶意代码的写入,因此我们选择在服务器端对访问者的输入进行可执行性以及语法语义的检测判断,从而确定其是否为可执行的恶意代码,并返回检测结果。  具体实现 利用ISAPI Filter与Apache Module进行访问者输入拦截,检测其中是否含有完整脚本语句标签,若无完整标签,则返回正常访问请求;若含有完整脚本标签,则继续进行脚本语法分析,确定其语句含义,判断用户输入的可执行性和恶意威胁性,根据上述步骤返回跨站攻击检测结果。 2.3.1.4 篡改检测子模块  功能 通过服务器核心内嵌技术,实现对于被保护对象的实时动态监控,防止恶意篡改,一旦发现对象被篡改,立即进行恢复,并拒绝成功恢复前所有访问者对该对象的访问请求。  原理 利用具有唯一性的数字水印作为标识被保护对象的依据,对象一旦被篡改,其数字水印特征也一定会被改变,以此判别被保护对象是否被篡改。拦截访问者对被保护对象的全部访问请求,校验确定未被篡改时予以放行,且在成功恢复前拒绝一切针对该对象的访问请求,从而有效地保证了被篡改对象不会被访问者浏览。采用文件路径以及文件内容的双重校验备份,加快篡改还原速度。  具体实现 篡改检测子模块一经开启,即为每个需保护的对象(静态网页、执行脚本、二进制文件)计算出唯一的数字水印,并在安全路径下进行备份。备份方式以文件路径以及文件内容分别进行MD5校验,从而加快恢复是查找备份温条件的速度,有效提高篡改恢复速度,做到实时迅速恢复。每次接收到访问请求时,将当前被保护对象水印与原始数字水印进行比对计算,一旦发现对象被篡改,则立即进行恢复,并在成功恢复前拒绝所有访问者对该对象的访问请求,防止非法网页内容被访问者浏览,同时返回检测结果,为日志模块提供记录所需的攻击信息。 2.3.1.5 权限控制子模块  功能 根据用户对于需保护路径和文件的权限设置,检测攻击者对于受保护对象的非法访问请求,并返回检测结果。从而实现对特定路径和文件的权限控制,避免攻击者恶意访问和下载受保护的重要文件。  原理 本模块主要针对攻击者对于服务器端重要文件的恶意访问和下载,这些文件往往记录了用户和管理员的一些重要信息,而攻击者利用Web应用程序的漏洞,非法对以上文件进行访问和下载,就可能会造成大量重要保密信息的流失。比如暴库攻击,攻击者利用技术手段或程序漏洞得到数据库的地址,并将数据库非法下载到本地,从而得到网站的管理员账号,甚至服务器的最高权限。 权限控制子模块针对以上问题,对访问者的资源请求进行有针对性的分析检测,判断请求方是否具有访问受保护对象的权限,防止重要路径和文件数据的流失。  具体实现 拦截访问者对服务器端资源的请求,与用户控制面板对本模块的设置进行比对,分析请求内容是否与用户资源权限设置冲突,即访问者是否对所请求资源具有访问权限,从而返回权限控制子模块检测结果。 2.3.1.6 资源盗链检测子模块  功能 拦截其他站点对本站资源的非法盗链请求,保护本地资源不被未经许可的站点非法盗链。  原理 发往服务器端的请求都会具有Refer项标志其来源,而我们就可以根据请求来源是否为本站判断是否为非法盗链行为,若非授权站点则判定为非法盗链。  具体实现 对于服务器端接收到的资源请求,进行非法盗链判定,即判断Refer项内容是否为授权站点,若非则判定为非法盗链,根据用户设置拒绝请求或返回警告信息。 2.3.2处理响应模块  功能 根据用户控制面板设置的处理响应方案,对攻击检测模块检测到的攻击者进行处理响应,主要包括警告信息提示以及封禁IP地址两种方式,并分别将攻击和处理响应信息写入到相应的管理日志中。  具体实现 根据用户控制面板设置,决定对于恶意攻击用户的响应处理。警告信息提示采用ISAPI Filter或Apache Module返回警告信息页面,而封禁IP地址则采取将攻击者添加至服务器架设软件拒绝IP段中的方式,并将此次攻击的详细信息,以及详细的处理响应动作信息,分别写入至攻击日志和处理日志。 2.3.3 用户控制面板  功能 用户控制面板实现对于整体软件功能的用户自定义设置和调整,主要由模块防御设置、攻击响应设置、日志管理设置和高级设置四个部分组成。 模块防御设置提供对于各攻击检测模块的开启和关闭设置。 攻击响应设置针对处理响应模块,为用户提供警告信息提示、封禁IP地址等响应动作的相关设置。 日志管理设置,主要针对管理日志模块,提供备份、导出、定期清理等自定义设置选项,进一步保证本软件的安全性。 高级设置,针对攻击检测模块,为高级管理员用户提供自定义配置方案的高级检测子模块设置。 2.3.4 管理日志模块  功能 管理日志主要分为攻击日志和响应日志两部分,攻击日志记录恶意攻击者的攻击时间、攻击方式、攻击者IP地址等相关攻击信息;响应日志记录对攻击者处理响应的时间、方式、结果等相关信息。为服务器管理员提供了宝贵的服务器和软件运行响应数据,便于其更好地保护服务器安全不受威胁。 2.4指标 下面我们从完整性、普适性、准确性三个方面对作品的相关指标进行详细评价与阐释。 2.4.1 完整性 功能完整性:除具有各模块攻击检测响应功能模块,还有完整的控制面板、管理日志,为用户提供了详尽的服务器、软件运行数据,以及针对软件功能的自主设置,软件功能上具有较好的完整性。 防护完整性:针对注入攻击、DDOS攻击、跨站攻击等普及程度高、危险性强的攻击手段进行了全方位多角度的检测防护,各模块协同合作,为用户提供体系化的服务器端安全防护。 2.4.2 普适性 跨平台性:各攻击检测模块与处理响应模块均在Windows和Linux两个平台下并行开发,并使用具有较好跨平台特性的Qt进行用户界面的设计和编写,作品在两个平台上均运行稳定。 动态语言无关性:采用核心内嵌的方式完成各模块的架构,实现了安全防护与动态网页源代码的彼此独立,使本软件可以与动态网站无缝连接,具有较强的动态语言无关性。 2.4.3 准确性 作品采用动态实时的语法语义分析、智能化DDOS攻击检测技术,从根本上杜绝攻击的可能性,相比较于传统安全防护方式在准确性方面有着显著的提升,大大降低了用户无恶意请求的误判几率。此外,还将系统运行过程中检测到的恶意攻击威胁和处理响应操作详细记录于日志模块,供服务器管理员查看使用,从而进一步提升本软件的安全防护准确性。

作品图片

  • 基于SQL语法树形结构分析的服务器防护系统
  • 基于SQL语法树形结构分析的服务器防护系统
  • 基于SQL语法树形结构分析的服务器防护系统
  • 基于SQL语法树形结构分析的服务器防护系统

作品专业信息

设计、发明的目的和基本思路、创新点、技术关键和主要技术指标

1. 设计目的和思路 2009年赛门铁克共发现了超过2.4亿个全新的网络安全威胁,在信息化、网络化高速发达的今天,互联网作为大量重要乃至机密信息的存储媒介,这样惊人的数字将无疑将严重制约互联网未来的发展,为社会带来巨大的损失。 面对这样的严峻形势,我们将作品定位于一款面向网络服务器,针对时下最流行的攻击方式,以核心内嵌的方式工作于服务器架设软件内部的安全防护软件,旨在以简单便捷的操作,精确智能的分析,实现对服务器全方位立体化的系统性安全防护。 2. 技术创新点 1)基于SQL语法树形结构分析的攻击检测方法:作品独创性地提出基于SQL语法树形结构分析的SQL注入攻击检测方法,这种方法,真正意义上实现了对注入攻击的主动分析防御,从根本上、原理上杜绝了一切形式的SQL注入攻击。相比于现有同类软件的防护方法,一方面可以更加准确有效地识别各种形式的注入攻击,另一方面也避免了对用户无恶意输入误操作。 2)核心内嵌的工作方式:作品完美内嵌于Web服务器架设软件之中,部署简便,无需预留接口,安装后开启服务即可使用。通过Web服务器核心内嵌技术,一方面不会产生单独的进程,防止黑客通过截获防护进程入侵服务器,另一方面也大幅改善了运行效率。 3)良好的跨平台性和可移植性:作品基于目前市面上最主流的服务器架设软件——Apache和IIS,支持Windows和Linux操作系统平台,而且并不依赖于架设动态网站所使用语言的种类,具有良好的跨平台性和可移植性。

科学性、先进性

作品创造性地提出了基于SQL语法树形结构分析的注入攻击检测方法,该技术在国际范围内处于领先地位,其相对于现有同类软件所使用方法,主要具有以下几点优势: 1)整体采用C语言级实现,相对于传统代码内嵌式的动态脚本语言检测,执行效率显著提高; 2)从语法语义的角度分析,克服了注入攻击灵活性强的防护难点,从根本和理论上杜绝了注入攻击的可能; 3)语法分析的方式以及无害输入生成的方式,能够避免对于用户合法输入的错误拦截; 4)不依赖于网页动态语言的种类,能够实现跨平台、跨语言的攻击检测; 目前阶段正在就该技术撰写学术论文,摘要已经被国际某信息安全领域期刊录用,同时也正在申请国家发明专利。

获奖情况及鉴定结果

2010年8月,于哈尔滨工业大学,获得第三届全国大学生信息安全竞赛一等奖(第1名) 2010年12月,经国家信息中心评审,作品在学术理论及实际应用方面均具有国际先进性

作品所处阶段

生产阶段

技术转让方式

作品可展示的形式

实物、产品;现场展示;图片;样品

使用说明,技术特点和优势,适应范围,推广前景的技术性说明,市场分析,经济效益预测

1. 产品适用范围 作品基于目前市面上最主流的服务器架设软件——Apache和IIS,支持Windows和Linux操作系统平台,而且并不依赖于架设动态网站所使用语言的种类。针对目前互联网环境中,由于人力财力所限中小型网站往往疏于维护的现状,作品主要面向该类用户,有效保护服务器安全,改善互联网安全环境。 2. 技术特点及优势 1)基于SQL语法树形结构分析的攻击检测方法 2)核心内嵌的工作方式 3)良好的跨平台性和可移植性 3. 市场前景分析 作品面向网络服务器,为中小型网站用户提供了一整套具有独创性和先进性的网络安全服务系统,不仅在理论上具有国际先进性和独创性,而且具有很强的实用价值和高效性,特别从理论角度根本上解决了SQL注入攻击灵活性强的防护难点,彻底杜绝了攻击的可能。而相比于目前市场同类硬件防火墙产品动辄数百万的高昂价格,作品完全采用软件架构,低廉的使用以及部署成本,保证了作品广阔的应用推广前景。

同类课题研究水平概述

目前,国内相关的服务器安全防护系统尚处于起步阶段,尤其是针对中国小型网站的服务器安全防护系统更是少之又少,几家大型网络安全公司主要针对大型企业提供服务器安全解决方案。 据了解,目前我国国内为数不多的针对中小企业的服务器安全防护系统,其中的防SQL注入攻击大都采用基于关键字过滤的防护技术,且其防护能力良莠不齐。并且由于基于关键字过滤的防护技术的先天不足,其产品的实际防护效果并不十分理想,并且过滤掉用户合法输入的情况时有发生。而作品创造性地提出了“基于SQL语法树形结构比对”的注入攻击检测方法,此项技术直接针对SQL注入的原理,从根本上杜绝了任意形式SQL注入攻击。相比较于现在市场上的主流SQL注入检测防护方法,准确率有了大幅度的提升。并且本团队在分析恶意性的过程中,加入了对于无害错误串的容错处理机制。此项技术在不影响SQL防注入准确率的前提下,从根本上杜绝了错误拦截用户正常输入的现象。 并且据我们了解国内同类软件一般只针对一种操作系统甚至一种服务器架设软件进行防护。而作品采用Web服务器核心内嵌式技术,与各种服务器架设软件无缝衔接,并采用具有普适性和自适应能力的方式,实现了跨平台、跨语言的安全防护。系统基于Windows、Linux两大主流服务器操作系统,面向IIS、Apache、Tomcat三种主流服务器架设软件,适用于ASP、PHP、JSP三大动态网页语言,以创造性的方式方法,较好地解决了服务器安全问题。
建议反馈 返回顶部
Baidu
map