Iis应用服务器嵌入式安全监控方法及装置制造方法
【专利摘要】一种IIS应用服务器嵌入式安全监控方法及装置,该方法包括步骤:通过ISAPI截取发送到IIS应用服务器的HTTP请求信息;根据自动有限机将所述HTTP请求信息与配置的安全规则进行匹配;在匹配成功时,发出告警信息或者阻断所述HTTP请求信息进入所述IIS应用服务器;在匹配不成功时,将所述HTTP请求信息发送给所述IIS应用服务器上的对应的Web应用程序。本发明方案不仅可以防御外部网络,而且能够防御企业内部的攻击行为,提高了安全性。
【专利说明】IIS应用服务器嵌入式安全监控方法及装置
【技术领域】
[0001]本发明涉及智能电网安全【技术领域】,特别涉及一种Iis应用服务器嵌入式安全监控方法及一种Iis应用服务器嵌入式安全监控装置。
【背景技术】
[0002]随着智能电网技术的发展,如何确保安全性成为智能电网技术中的一项重要工作内容。目前的智能电网安全技术,其部署一般是在服务器前端、互联网访问入口处部署Web防火墙,Web防火墙通过配置固定的安全规则库、特征库,对访问IIS (InternetInformation Server)服务器的行为进行分析,对非授权的地址访问行为、入侵行为等进行阻断和告警。由于Web防火墙主要是对Web特有入侵方式的防护,而且是部署在Web服务器的前面,即外部网络到Web服务器之间的链路上,而企业内部的访问路由无需经过web防火墙,因此,web防火墙只能防御来自企业外部网络,即互联网的非法访问和攻击行为等,但无法防御来自企业内部的攻击行为,无法全面保证服务器的安全性。
【发明内容】
[0003]基于此,针对上述现有技术中存在的问题,本发明的目的在于提供一种IIS应用服务器嵌入式安全监控方法以及一种IIS应用服务器嵌入式安全监控装置。
[0004]为达到上述目的,本发明实施例采用以下技术方案:
[0005]一种IIS应用服务器嵌入式安全监控方法,包括步骤:
[0006]通过ISAPI截取发送到IIS应用服务器的HTTP请求信息;
[0007]根据自动有限机将所述HTTP请求信息与配置的安全规则进行匹配;
[0008]在匹配成功时,发出告警信息或者阻断所述HTTP请求信息进入所述IIS应用服务器;
[0009]在匹配不成功时,将所述HTTP请求信息发送给所述IIS应用服务器上的对应的Web应用程序。
[0010]一种IIS应用服务器嵌入式安全监控装置,该装置设置在IIS应用服务器上,该装置包括:
[0011]ISAPI过滤模块,用于通过ISAPI截取发送到IIS应用服务器的HTTP请求信息;
[0012]匹配模块,用于根据自动有限机将所述HTTP请求信息与所述配置的安全规则进行匹配;
[0013]告警模块,用于在所述匹配模块匹配成功时,发出告警信息或者阻断所述HTTP请求信息进入所述IIS应用服务器;
[0014]信息发送模块,用于在所述匹配模块匹配不成功时,将所述HTTP请求信息发送给所述IIS应用服务器上的对应的Web应用程序。
[0015]根据上述本发明实施例的方案,其在IIS应用服务器上、通过ISAPI截取发送到Iis应用服务器的HTTP请求,并对该HTTP请求与所配置的安全规则进行匹配,并在匹配不成功才将该HTTP请求信息发送给IIS应用服务器上的对应的Web应用程序,由于是在IIS应用服务器上对发送到IIS应用服务器的HTTP请求进行截取和匹配判定,而无论是外网还是内网的HTTP请求,都会发送到IIS应用服务器进行处理,从而不仅可以防御外部网络,而且能够防御企业内部的攻击行为,提高了安全性。
【专利附图】
【附图说明】
[0016]图1是本发明的IIS应用服务器嵌入式安全监控方法实施例的流程示意图;
[0017]图2是本发明的IIS应用服务器嵌入式安全监控装置实施例的结构示意图;
[0018]图3是本发明装置在一个应用场景中的系统结构示意图。
【具体实施方式】
[0019]以下结合本发明方案的具体示例进行详细说明。
[0020]图1中示出了本发明的IIS应用服务器嵌入式安全监控方法实施例的流程示意图。如图1所示,本实施例的方法包括步骤:
[0021]步骤SlOl:通过ISAPI(Internet Server Application Programming Interface)截取发送到Iis应用服务器的HTTP请求信息;
[0022]步骤S102:将所述HTTP请求信息与配置的安全规则进行匹配;
[0023]步骤S103:在匹配成功时,发出告警信息或者阻断所述HTTP请求信息进入所述Iis应用服务器,在匹配不成功时,将所述HTTP请求信息发送给所述IIS应用服务器上的对应的Web应用程序。
[0024]根据上述本发明实施例的方案,其在IIS应用服务器上、通过ISAPI截取发送到Iis应用服务器的HTTP请求,并对该HTTP请求与所配置的安全规则进行匹配,并在匹配不成功才将该HTTP请求信息发送给IIS应用服务器上的对应的Web应用程序,由于是在IIS应用服务器上对发送到IIS应用服务器的HTTP请求进行截取和匹配判定,而无论是外网还是内网的HTTP请求,都会发送到IIS应用服务器进行处理,从而不仅可以防御外部网络,而且能够防御企业内部的攻击行为,提高了安全性。
[0025]其中,上述配置的安全规则,可以用正则表达式来实现,从而可以有更广泛的适配性。
[0026]如图1所示,本实施例中的方法还可以包括:
[0027]步骤S104:接收规则定义配置指令,根据该规则定义配置指令对所述安全规则进行更新。
[0028]从而,可以据此实现对上述配置的安全规则进行实时的更新和调整。需要说明的是,图1所示中是以在对一个HTTP请求进行截取、匹配、处理后进行更新为例进行说明,实际使用中,对安全规则的更新,可以是在安全监控过程中的任何时刻进行。
[0029]此外,如图1所示,本实施例中的方法还可以包括:
[0030]步骤S105:检测IIS应用服务器的系统负荷,并判断系统负荷是否达到预设负荷阈值,并在达到预设负荷阈值时,停止对应的安全规则的运行。
[0031]从而可以据此实现基于不同系统的特殊类型规则进行个性化设定。具体的检测系统负荷的方式,可以采用现有以后可能出现的任何方式进行。上述预设负荷阈值,可以基于实际需要进行设定,在此不予详加赘述。
[0032]上述本发明方法的整个实现过程,即上述截取HTTP请求、匹配、匹配后的处理、规则的更新、规则的停止等等,都是在IIS应用服务器的进程内进行,即嵌入在IIS应用服务器内。
[0033]根据上述方法,本发明还提供一种IIS应用服务器嵌入式安全监控装置,该装置设置在IIS应用服务器上,图2中示出了该装置实施例的结构示意图,如图2所示,该实施例的装置包括:
[0034]ISAPI过滤模块201,用于通过ISAPI截取发送到IIS应用服务器的HTTP请求信息;
[0035]匹配模块202,用于根据自动有限机将所述HTTP请求信息与所述配置的安全规则进行匹配;
[0036]告警模块203,用于在所述匹配模块匹配成功时,发出告警信息或者阻断所述HTTP请求信息进入所述IIS应用服务器;
[0037]信息发送模块204,用于在所述匹配模块匹配不成功时,将所述HTTP请求信息发送给所述IIS应用服务器上的对应的Web应用程序。
[0038]根据上述本发明实施例的方案,其在IIS应用服务器上、通过ISAPI截取发送到Iis应用服务器的HTTP请求,并对该HTTP请求与所配置的安全规则进行匹配,并在匹配不成功才将该HTTP请求信息发送给IIS应用服务器上的对应的Web应用程序,由于是在IIS应用服务器上对发送到IIS应用服务器的HTTP请求进行截取和匹配判定,而无论是外网还是内网的HTTP请求,都会发送到IIS应用服务器进行处理,从而不仅可以防御外部网络,而且能够防御企业内部的攻击行为,提高了安全性。
[0039]如图2所示,本实施例中的装置还可以包括:
[0040]规则配置接口 205,用于接收规则定义配置指令,根据该规则定义配置指令对所述安全规则进行更新。
[0041]从而可以通过该规则配置接口实现对上述配置的安全规则进行实时的更新和调整,实际使用中,对安全规则的更新,可以是在安全监控过程中的任何时刻进行。
[0042]如图2所示,本实施例中的装置还可以包括:
[0043]负荷检测模块206,用于检测IIS应用服务器的系统负荷,并判断系统负荷是否达到预设负荷阈值;
[0044]规则控制模块207,用于在所述负荷检测模块判定达到预设负荷阈值时,停止对应的安全规则的运行。
[0045]从而可以据此实现基于不同系统的特殊类型规则进行个性化设定。具体的检测系统负荷的方式,可以采用现有以后可能出现的任何方式进行。上述预设负荷阈值,可以基于实际需要进行设定,在此不予详加赘述。
[0046]根据上述本发明方案,以下结合其中一个具体示例进行详细说明。
[0047]图3中示出了本发明装置在一个应用场景中的系统结构示意图。如图3所示,该系统应用场景中,301表示基于IIS服务器的应用系统,302表示本发明方案的装置,其本质上是基于IIS的安全监控前端模块,用于动态跟踪外来访问,303表示应用系统的数据库系统,304表示应用系统的web服务器相关子系统,305表示应用系统的访问及威胁。[0048]基于上述系统结构,本发明利用ISAPI技术,设计了一套以安全规则匹配为主的自动有限机(deterministic finite automaton, DFA),对所有截获的Http请求进行执行匹配。
[0049]结合图3所示的系统结构,其中一个具体的处理流程如下所述:
[0050]来自外部的HTTP请求从互联网进入IIS应用服务器,被本发明的IIS应用服务器嵌入式安全监控装置302截获。来自外部的该HTTP请求可能是从外网发送的HTTP请求,也可能是内网发送过来的HTTP请求。截获到该HTTP请求后,该装置302按照配置的安全规则,根据自动有限机对该HTTP请求进行匹配,如果匹配成功,则说明是检测到入侵行为,进行告警或者阻断,从而使该HTTP请求无法达到IIS服务器的Web应用程序,如果匹配不成功,将该HTTP请求发送到IIS服务器上的Web应用程序进行处理并返回结果。
[0051]其中,上述配置的安全规则包括以下内容:
[0052]正则式,用来执行模式匹配;
[0053]正则式应用的服务器环境字段上,该服务器环境字段是指URL、IP、Websrever路径、类型等在规则匹配的执行上下文可获知的跟Web服务器紧密相关的环境参数;
[0054]规则匹配后的评价处理方式,是告警还是阻断。
[0055]包含上述3个组成部分的规则可以在ISAPI中自动按规则进行执行。执行按ISAPI的每次执行请求的周期进行限定哪些可以在此阶段执行。比如客户的IP地址信息是可以在任何执行阶段都获取的,但是Response响应内容这一字段只能是ISAPI的最后输出阶段才能获取到具体的内容(进行模式匹配)的等等。
[0056]为了更好的对安全规则进行更新,本发明方案还提供了基于自定义协议的通信接口,本发明方案中称为规则配置接口,用于接收规则定义配置。因而可以通过这个接口实现对安全规则的实时更新和调整。此外,通过使用自定义协议的通信接口,可以解决IIS服务器对规则替换等过程中的同步冲突问题,而且解决了将规则动态加入到IIS ISAPI中而不引起IIS服务器阻塞的技术问题,无需对IIS服务器进行重启就可以实现对安全规则的更新。
[0057]安全规则的自定义编制,是整个系统的监控基础。在一个具体示例中,安全规则的制定可以包括以下字段:规则名称;规则的安全级别(用以界定匹配的事件级别);适合的操作系统;适应的部署方式;是否进行IP测试;是否进行时间段测试;是否URL监控测试;是否查询字符串匹配测试;是否对请求资源名进行测试;是否测试请求的物理路径;是否对请求头测试;是否监控请求长度;请求方法测试;是否请求内容测试;是否对响应内容进行测试等属性;规则匹配后采取的措施。
[0058]对于不同安全规则的需求,本发明支持进行规则字段的扩展,以及添加更多的字段,并在IIS模块端进行实现。此外还有规则的维护管理者相关属性、规则的描述信息以解释规则的有效性适应性等等。
[0059]在其中一个具体示例中,针对安全规则的操作包括有:预建立(只做预登记分析,并不用于工业环境);规则测试;规则确认(由系统管理员确认规则有效性);规则发布;规则修改(按修改流程进行);规则有效性管理(启用/关闭);规则删除等操作(必修撤回所有规则下发才能进行删除规则,所以需要慎重);规则部署分析;精细化安全防护。针对上述安全规则的具体操作在此不予详加赘述。[0060]此外,由于本发明装置是设置嵌入到IIS服务器上的,因而可以针对每个不同的IIS服务器所承载的业务,设定与之对应的特定的安全规则,从而实现精细化安全管控。
[0061]此外,本发明还可以针对单独系统的特殊类型规则进行个性化设定,例如过滤特定的关键字;设定系统后台特定时间关闭;检测IIS应用服务器的系统负荷,并判断系统负荷是否达到预设负荷阈值,并在系统负荷达到预设负荷阈值时停止对应的安全规则的运行等等。这些都可以是根据系统运行情况作出技术性判断后进行调控。
[0062]另一方面,本发明方案还可以针对HTTP请求全生命周期,设计针对不同周期的安全规则,并据此进行自动化的匹配,规则匹配成功后,本发明方案迅速进行匹配终止,从而根据安全规则的设定,返回特定的规则匹配的告警事件,然后将事件进行立即上报,从而将IIS服务器执行中遇到的安全问题进行及时的主动的监控。整个匹配过程是完全在IIS的进程内执行,并且自动实现匹配后的相应动作。
[0063]此外,基于上述本发明的安全规则,除了设定匹配条件外,还可以指定触发此规则匹配代表的事件,从而让管理平台、系统管理员及时获得安全告警事件,在此不予详加赘述。
[0064]以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1.一种IIS应用服务器嵌入式安全监控方法,其特征在于,包括步骤: 通过ISAPI截取发送到IIS应用服务器的HTTP请求信息; 将所述HTTP请求信息与配置的安全规则进行匹配; 在匹配成功时,发出告警信息或者阻断所述HTTP请求信息进入所述IIS应用服务器;在匹配不成功时,将所述HTTP请求信息发送给所述IIS应用服务器上的对应的Web应用程序。
2.根据权利要求1所述的IIS应用服务器嵌入式安全监控方法,其特征在于,还包括步骤:接收规则定义配置指令,根据该规则定义配置指令对所述安全规则进行更新。
3.根据权利要求1所述的IIS应用服务器嵌入式安全监控方法,其特征在于,还包括步骤: 检测IIS应用服务器的系统负荷,并判断系统负荷是否达到预设负荷阈值,并在达到预设负荷阈值时,停止对应的安全规则的运行。
4.根据权利要求1所述的IIS应用服务器嵌入式安全监控方法,其特征在于,所述截取HTTP请求和匹配的过程在IIS应用服务器的进程内进行。
5.根据权利要求1至4任意一项所述的IIS应用服务器嵌入式安全监控装置,其特征在于,所述安全规则采用正则表达式实现。
6.一种IIS应用服务器嵌入式安全监控装置,其特征在于,该装置设置在IIS应用服务器上,该装置包括: ISAPI过滤模块,用于通过ISAPI截取发送到IIS应用服务器的HTTP请求信息; 匹配模块,用于将所述HTTP请求信息与所述配置的安全规则进行匹配; 告警模块,用于在所述匹配模块匹配成功时,发出告警信息或者阻断所述HTTP请求信息进入所述IIS应用服务器; 信息发送模块,用于在所述匹配模块匹配不成功时,将所述HTTP请求信息发送给所述IIS应用服务器上的对应的Web应用程序。
7.根据权利要求6所述的IIS应用服务器嵌入式安全监控装置,其特征在于,还包括规则配置接口,用于接收规则定义配置指令,根据该规则定义配置指令对所述安全规则进行更新。
8.根据权利要求6所述的IIS应用服务器嵌入式安全监控装置,其特征在于,还包括: 负荷检测模块,用于检测IIS应用服务器的系统负荷,并判断系统负荷是否达到预设负荷阈值; 规则控制模块,用于在所述负荷检测模块判定达到预设负荷阈值时,停止对应的安全规则的运行。
9.根据权利要求6至8任意一项所述的IIS应用服务器嵌入式安全监控装置,其特征在于,所述安全规则采用正则表达式实现。
【文档编号】H04L29/08GK103944897SQ201410153900
【公开日】2014年7月23日 申请日期:2014年4月16日 优先权日:2014年4月16日
【发明者】刘晔, 彭泽武, 陈富汉 申请人:广东电网公司信息中心, 中国能源建设集团广东省电力设计研究院