Apache服務器安全監(jiān)控方法
【專利摘要】一種Apache服務器安全監(jiān)控方法���,接收訪問請求指令����,提取訪問請求指令的內容。判斷訪問請求指令的內容與預設的監(jiān)控數(shù)據是否匹配�����,若訪問請求指令的內容與監(jiān)控數(shù)據匹配說明檢測到入侵行為�����,阻斷訪問請求指令使其無法發(fā)送至Apache服務器�����;若訪問請求指令的內容與監(jiān)控數(shù)據不匹配�����,則將請求指令發(fā)送至Apache服務器以便Apache服務器進行相應處理�����。對企業(yè)外部和內部的訪問均進行監(jiān)控����,將訪問請求指令的內容與監(jiān)控數(shù)據進行匹配來識別入侵行為��,對滿足條件的訪問請求指令進行阻斷處理��,與傳統(tǒng)的Apache服務器安全監(jiān)控方法相比��,提高了安全性��。
【專利說明】Apache服務器安全監(jiān)控方法
【技術領域】
[0001]本發(fā)明涉及計算機網絡安全【技術領域】�����,特別是涉及一種Apache服務器安全監(jiān)控方法�����。
【背景技術】
[0002]Apache服務器是一款功能強大、擴展性好�、穩(wěn)定性強的WEB服務器,由于其快平臺和安全性被廣泛應用于計算機平臺上�����。用戶通過互聯(lián)網訪問Apache服務器��,Apache服務器處理客戶端的訪問請求,從數(shù)據庫提取相關數(shù)據推送至客戶端顯示�����。
[0003]傳統(tǒng)的Apache服務器安全監(jiān)控方法是在Apache服務器前端���、互聯(lián)網訪問入口處部署web防火墻來進行安全監(jiān)控���。web防火墻主要是對Web特有入侵方式的防護,如DDOS (Distributed Denial of Service,分布式拒絕服務)防護�、SQL (Structured QueryLanguage,結構化查詢語言)注入、XML (Extensible Markup Language,可擴展標記語言)注入�����、XSS(Cross Site Scripting,跨站腳本攻擊)等,其主要技術是通過配置固定的安全規(guī)則庫����、特征庫,對訪問Apache服務器的行為進行分析����,對非授權的地址訪問行為、入侵行為等進行阻斷和告警���。由于web防火墻只能防御來自企業(yè)外部網絡的入侵行為��,如來自互聯(lián)網的非法訪問和攻擊行為等��,傳統(tǒng)的Apache服務器安全監(jiān)控方法存在安全性低的缺點���。
【發(fā)明內容】
[0004]基于此����,有必要針對上述問題����,提供一種可提高安全性的Apache服務器安全監(jiān)控方法。
[0005]一種Apache服務器安全監(jiān)控方法��,包括以下步驟:
[0006]接收訪問請求指令����,提取所述訪問請求指令的內容;
[0007]判斷所述訪問請求指令的內容與預設的監(jiān)控數(shù)據是否匹配�;
[0008]若是�����,則阻斷所述訪問請求指令;
[0009]若否����,則發(fā)送所述訪問請求指令至Apache服務器。
[0010]上述Apache服務器安全監(jiān)控方法,接收訪問請求指令�,提取訪問請求指令的內容。判斷訪問請求指令的內容與預設的監(jiān)控數(shù)據是否匹配��,若訪問請求指令的內容與監(jiān)控數(shù)據匹配說明檢測到入侵行為��,阻斷訪問請求指令使其無法發(fā)送至Apache服務器�;若訪問請求指令的內容與監(jiān)控數(shù)據不匹配,則將請求指令發(fā)送至Apache服務器以便Apache服務器進行相應處理�����。對企業(yè)外部和內部的訪問均進行監(jiān)控���,將訪問請求指令的內容與監(jiān)控數(shù)據進行匹配來識別入侵行為����,對滿足條件的訪問請求指令進行阻斷處理����,與傳統(tǒng)的Apache服務器安全監(jiān)控方法相比��,提高了安全性��。
【專利附圖】
【附圖說明】
[0011]圖1為一實施例中Apache服務器安全監(jiān)控方法的流程圖��;
[0012]圖2為另一實施例中Apache服務器安全監(jiān)控方法的流程圖���;[0013]圖3為又一實施例中Apache服務器安全監(jiān)控方法的流程圖。
【具體實施方式】
[0014]為使本發(fā)明的上述目的�����、特征和優(yōu)點能夠更加明顯易懂���,下面結合附圖對本發(fā)明的【具體實施方式】做詳細的說明��。在下面的描述中闡述了很多具體細節(jié)以便于充分理解本發(fā)明�。但是本發(fā)明能夠以很多不同于在此描述的其它方式來實施���,本領域技術人員可以在不違背本發(fā)明內涵的情況下做類似改進�����,因此本發(fā)明不受下面公開的具體實施例的限制�����。
[0015]除非另有定義����,本文所使用的所有的技術和科學術語與屬于本發(fā)明的【技術領域】的技術人員通常理解的含義相同��。本文中在本發(fā)明的說明書中所使用的術語只是為了描述具體的實施例的目的���,不是旨在于限制本發(fā)明����。本文所使用的術語“及/或”包括一個或多個相關的所列項目的任意的和所有的組合�。
[0016]一種Apache服務器安全監(jiān)控方法,如圖1所示���,包括以下步驟:
[0017]步驟S120:接收訪問請求指令,提取訪問請求指令的內容�。
[0018]訪問請求指令可以是由HTTP (Hyper Text Transfer Protocol,超文本傳輸協(xié)議超文本傳輸協(xié)議)客戶程序(例如瀏覽器)經外部網絡發(fā)送的指令�,也可以是由企業(yè)內部網絡發(fā)送的指令。訪問請求指令具體可包括請求頭����、URL(Uniform Resoure Locator,統(tǒng)一資源定位器)地址�、IP(Internet Protocol����,互聯(lián)網協(xié)議)地址、訪問時間����、查詢字符串、請求資源名��、請求物理路徑�����、請求長度和請求方式等內容����,其中請求頭表示訪問請求指令的請求類型,如GET或者POST等類型���,URL地址和IP地址即分別為發(fā)送訪問請求指令的客戶程序的URL地址和IP地址����,訪問時間指訪問請求指令的發(fā)送時間,查詢字符串與訪問請求指令所要訪問的數(shù)據對應����,用于Apache服務器提取用戶所要訪問的數(shù)據。請求資源名指訪問請求指令所要訪問的Apache服務器中資源的名稱�����,請求物理路徑指訪問請求指令所要訪問的數(shù)據在數(shù)據庫中的存儲路徑����。請求長度指訪問請求指令的字符串個數(shù)��,請求方式指請求指令的發(fā)送方式��??梢岳斫猓L問請求指令包括但并不限于上述內容���,可根據實際情況進行調整����。
[0019]可在Apache服務器前端設置安全監(jiān)控服務器��,利用安全監(jiān)控接收訪問請求指令并對其進行解析,獲取訪問請求指令的內容�。本實施例中即是通過安全監(jiān)控服務器實現(xiàn)對Apache服務器的安全監(jiān)控,在其他實施例中,也可以是直接對Apache服務器的控制程序進行修改��,利用Apache服務器本身來實現(xiàn)安全監(jiān)控功能����。利用設置在Apache服務器前端的安全監(jiān)控服務器進行安全監(jiān)控,無需對Apache服務器的原有控制程序進行修改�����,不會影響Apache服務器本身的功能���,且監(jiān)控靈活性高��。
[0020]步驟S150:判斷訪問請求指令的內容與預設的監(jiān)控數(shù)據是否匹配���。
[0021]安全監(jiān)控服務器在獲取訪問請求指令的內容后,與監(jiān)控數(shù)據進行匹配來識別入侵行為�。本實施例中監(jiān)控數(shù)據與訪問請求指令的內容相對應,具體可包括IP地址�、訪問時間段����、URL地址�、查詢字符串����、請求資源名、請求物理路徑��、請求頭��、請求長度和請求方式中的至少一種�����。以監(jiān)控數(shù)據包括IP地址為例����,可預先存儲具備訪問權限的終端設備的IP地址��,可以是一個也可以是多個���。在對訪問請求指令進行解析后�����,判斷訪問請求指令中包含的IP地址是否為預先存儲的IP地址中的一個�,若是則說明訪問請求指令的內容與監(jiān)控數(shù)據相匹配?��?梢岳斫?���,若監(jiān)控數(shù)據包括多種�,如包括IP地址和訪問時間段,則分別比較訪問請求指令中包含的IP地址是否為預先存儲的IP地址中的一個���,訪問請求指令發(fā)送的時間是否在預設的訪問時間段內�����。若以上條件均滿足則說明訪問請求指令的內容與監(jiān)控數(shù)據相匹配����。同樣��,監(jiān)控數(shù)據包括但并不限于以上幾種��,具體可根據實際情況進行調整�。
[0022]在其中一個實施例中�,監(jiān)控數(shù)據包括多個關鍵字�,步驟S150包括:判斷訪問請求指令的內容是否包含多個關鍵字中的至少一個。即本實施例中步驟S150中具體也可以是通過對訪問請求指令的內容進行過濾來進行匹配比較�,判斷訪問請求指令的內容是否包含預設的關鍵字,若是則說明訪問請求指令的內容與監(jiān)控數(shù)據相匹配��。對訪問請求指令的內容進行過濾判斷是否包含預設的關鍵字來進行匹配比較���,更加方便快捷��。
[0023]若訪問請求指令的內容與監(jiān)控數(shù)據相匹配�,則進行步驟S160 ;若訪問請求指令的內容與監(jiān)控數(shù)據不匹配����,則進行步驟S170�����。
[0024]步驟S160:阻斷訪問請求指令�。
[0025]阻斷訪問請求指令即指對訪問請求指令進行攔截,不發(fā)送至Apache服務器�。若訪問請求指令的內容與監(jiān)控數(shù)據相匹配,則說明檢測到入侵行為�����。安全監(jiān)控服務器對訪問請求指令進行攔截,防止該訪問請求指令進入Apache服務器��,實現(xiàn)對Apache服務器的安全監(jiān)控�。
[0026]步驟S170:發(fā)送訪問請求指令并發(fā)送至Apache服務器。
[0027]若訪問請求指令的內容與監(jiān)控數(shù)據不匹配��,則說明本次訪問不是入侵行為���。安全監(jiān)控服務器將該訪問請求指令發(fā)送至Apache服務器�,以便Apache服務器進行相應處理���。
[0028]上述Apache服務器安全監(jiān)控方法,接收訪問請求指令,提取訪問請求指令的內容����。判斷訪問請求指令的內容與預設的監(jiān)控數(shù)據是否匹配����,若訪問請求指令的內容與監(jiān)控數(shù)據匹配說明檢測到入侵行為,阻斷訪問請求指令使其無法發(fā)送至Apache服務器�;若訪問請求指令的內容與監(jiān)控數(shù)據不匹配,則將請求指令發(fā)送至Apache服務器以便Apache服務器進行相應處理。對企業(yè)外部和內部的訪問均進行監(jiān)控�,將訪問請求指令的內容與監(jiān)控數(shù)據進行匹配來識別入侵行為,對滿足條件的訪問請求指令進行阻斷處理���,與傳統(tǒng)的Apache服務器安全監(jiān)控方法相比�����,提高了安全性���。
[0029]在其中一個實施例中,監(jiān)控數(shù)據包括多種���。如圖2所示�����,步驟S150之前,Apache服務器安全監(jiān)控方法還包括以下步驟:
[0030]步驟S130:判斷Apache服務器是否超負荷運行����。
[0031]同樣以利用安全監(jiān)控服務器進行處理為例,安全監(jiān)控服務器判斷Apache服務器是否超負荷運行��,具體可以是通過判斷Apache服務器當前運行程序的數(shù)量是否超過預設的數(shù)量閾值來確定����,或者通過判斷Apache服務器的內存空間占用率是否超過設定閾值等等���。若安全監(jiān)控服務器判斷Apache服務器超負荷運行,則進行步驟S140 ;若安全監(jiān)控服務器判斷Apache服務器未超負荷運行�,則進行步驟S150。
[0032]步驟S140:停用監(jiān)控數(shù)據中的至少一種�。
[0033]步驟S140后進行步驟S150。停用監(jiān)控數(shù)據中的至少一種即是指對至少一種監(jiān)控數(shù)據進行屏蔽處理��,在進行步驟S150時被停用的監(jiān)控數(shù)據不用作匹配比較���。當Apache服務器處理超負荷運行狀態(tài)時�����,減少進行匹配的監(jiān)控數(shù)據種類�,在判斷訪問請求指令的內容與監(jiān)控數(shù)據是否匹配時可簡化對比程序�,降低整個系統(tǒng)的工作負荷,提高系統(tǒng)性能���,還可延長系統(tǒng)使用壽命�。[0034]進一步地,步驟S140之前���,Apache服務器安全監(jiān)控方法還可包括根據所述監(jiān)控數(shù)據的類型對監(jiān)控數(shù)據進行安全級別分類的步驟���,步驟S140包括:根據監(jiān)控數(shù)據的安全級別停用監(jiān)控數(shù)據中的至少一種。具體可根據實際情況對監(jiān)控數(shù)據進行分級管理����,如根據不同類型監(jiān)控數(shù)據對Apache服務器安全監(jiān)控的重要程度來進行劃分。以根據重要程度從高至低的順序將IP地址���、URL地址和查詢字符串作為第一級數(shù)據�����,將請求資源名�����、訪問時間段和請求物理路徑作為第二級數(shù)據�,將請求頭��、請求長度和請求方式作為第三級數(shù)據為例�����,若Apache服務器超負荷運行����,步驟S140中根據超負荷情況停用第三級數(shù)據和/或第二級數(shù)據,然后進行步驟S150����,判斷訪問請求指令的內容與剩余的監(jiān)控數(shù)據是否匹配。對監(jiān)控數(shù)據進行分級并按級別進行停用處理���,優(yōu)先保留安全監(jiān)控重要程度高的監(jiān)控數(shù)據�,提高了監(jiān)控可靠性����。
[0035]在其中一個實施例中,如圖3所示���,步驟S160后��,Apache服務器安全監(jiān)控方法還可包括以下步驟:
[0036]步驟S180:輸出報警信息���。
[0037]當阻斷訪問請求指令后�,輸出報警信息以便工作人員可及時獲知入侵行為����,進行相應處理。具體可通過顯示屏顯示預設的圖像或文字進行報警����,也可利用揚聲器播放預存的音頻文件進行報警。
[0038]在其中一個實施例中����,繼續(xù)參照圖3,步驟S170后�,Apache服務器安全監(jiān)控方法還可包括以下步驟:
[0039]步驟S190:接收并輸出Apache服務器根據訪問請求指令返回的數(shù)據信息的步驟。
[0040]Apache服務器根據安全監(jiān)控服務器發(fā)送的訪問請求指令進行相應操作�����,提取用戶所要訪問的數(shù)據信息并發(fā)送至安全監(jiān)控服務器�。安全監(jiān)控服務器輸出Apache服務器返回的數(shù)據信息,具體輸出至發(fā)送訪問請求指令的HTTP客戶程序��,將數(shù)據信息進行顯示以便用
戶查看�����。
[0041]步驟S120之前,Apache服務器安全監(jiān)控方法還可包括以下步驟:
[0042]步驟SllO:接收并存儲監(jiān)控數(shù)據��。
[0043]具體可通過基于自定義協(xié)議的通信接口進行數(shù)據傳輸�����,安全監(jiān)控服務器接收監(jiān)控數(shù)據并進行存儲����,此外還可通過該通信接口對監(jiān)控數(shù)據進行添加�、修改、刪除等管理�����。
[0044]本實施例中即是提供匹配規(guī)則定義功能���,根據實際情況對監(jiān)控數(shù)據進行調整����。針對訪問請求指令的生命周期�,設計不同的匹配規(guī)則,傳輸至安全監(jiān)控服務器���。根據實際情況設計不同的匹配規(guī)則��,提高了安全監(jiān)控的適用性���。
[0045]在其中一個實施例中���,步驟SllO之后,步驟S120之前���,Apache服務器安全監(jiān)控方法還可包括以下步驟:
[0046]步驟1:測試監(jiān)控數(shù)據是否有效��。
[0047]測試監(jiān)控數(shù)據是否有效即是指對監(jiān)控數(shù)據進行測試�,評價其有效性�。如將保存好的監(jiān)控數(shù)據與請求指令的內容進行匹配比較得到匹配結果,匹配結果指明訪問請求指令是正常指令還是入侵行為��。然后將訪問請求指令實際為正常指令還是入侵行為與前面得到的匹配結果進行比較檢查�����,得到匹配準確度(即指匹配正確數(shù)與匹配總數(shù)之比)��。若匹配準確度高于設定的匹配比率值則說明監(jiān)控數(shù)據有效����?��?梢岳斫猓瑴y試監(jiān)控數(shù)據是否有效的具體方式并不唯一����。[0048]若監(jiān)控數(shù)據有效則進行步驟S120 ;若監(jiān)控數(shù)據無效則進行步驟2�����。
[0049]步驟2:對監(jiān)控數(shù)據進行修改�����。然后返回步驟I�����。
[0050]若監(jiān)控數(shù)據無效則對監(jiān)控數(shù)據進行修改��,如更換�����、增加或刪除部分監(jiān)控數(shù)據等。修改監(jiān)控數(shù)據后再次返回步驟I檢測修改后的監(jiān)控數(shù)據是否有效����。
[0051]步驟I和步驟2即是提供了監(jiān)控數(shù)據檢測調試功能。對存儲的監(jiān)控數(shù)據進行檢測調試�����,確定監(jiān)控數(shù)據的有效性后再接收訪問請求命令,在對訪問請求指令的內容和監(jiān)控數(shù)據進行匹配比較時可提高準確性��,進一步提高了 Apache服務器安全監(jiān)控安全性�。
[0052]此外,步驟S150之后�����,Apache服務器安全監(jiān)控方法還可包括根據接收的刪除指令對監(jiān)控數(shù)據進行刪除的步驟���。
[0053]在匹配比較完成之后����,用戶可通過控制終端輸入刪除指令���,根據用戶輸入的刪除指令對監(jiān)控數(shù)據進行刪除����。在需要重新導入監(jiān)控數(shù)據時先將之前存儲的監(jiān)控數(shù)據進行刪除,可避免新舊數(shù)據混雜對匹配比較造成干擾���,確保匹配比較的可靠性���,提高監(jiān)控安全性。
[0054]以上所述實施例僅表達了本發(fā)明的幾種實施方式�����,其描述較為具體和詳細���,但并不能因此而理解為對本發(fā)明專利范圍的限制。應當指出的是�,對于本領域的普通技術人員來說,在不脫離本發(fā)明構思的前提下��,還可以做出若干變形和改進�����,這些都屬于本發(fā)明的保護范圍。因此���,本發(fā)明專利的保護范圍應以所附權利要求為準�。
【權利要求】
1.一種Apache服務器安全監(jiān)控方法���,其特征在于����,包括以下步驟: 接收訪問請求指令�����,提取所述訪問請求指令的內容�����; 判斷所述訪問請求指令的內容與預設的監(jiān)控數(shù)據是否匹配�����; 若是�����,則阻斷所述訪問請求指令; 若否�����,則發(fā)送所述訪問請求指令至Apache服務器�。
2.根據權利要求1所述的Apache服務器安全監(jiān)控方法,其特征在于��,所述監(jiān)控數(shù)據包括IP地址�、訪問時間段、URL地址��、查詢字符串�、請求資源名、請求物理路徑��、請求頭���、請求長度和請求方式中的至少一種。
3.根據權利要求2所述的Apache服務器安全監(jiān)控方法�,其特征在于,所述監(jiān)控數(shù)據包括多種�����,判斷所述訪問請求指令的內容與預設的監(jiān)控數(shù)據是否匹配的步驟之前,所述Apache服務器安全監(jiān)控方法還包括以下步驟: 判斷所述Apache服務器是否超負荷運行����; 若否,則進行所述判斷所述訪問請求指令的內容與預設的監(jiān)控數(shù)據是否匹配的步驟���; 若是��,則停用所述監(jiān)控數(shù)據中的至少一種���,進行所述判斷所述訪問請求指令的內容與預設的監(jiān)控數(shù)據是否匹配的步驟。
4.根據權利要求3所述的Apache服務器安全監(jiān)控方法���,其特征在于���,停用所述監(jiān)控數(shù)據中的至少一種的步驟之前,還包括根據所述監(jiān)控數(shù)據的類型對監(jiān)控數(shù)據進行安全級別分類的步驟�; 所述停用所述監(jiān)控數(shù)據中的至少一種的步驟包括:根據監(jiān)控數(shù)據的安全級別停用所述監(jiān)控數(shù)據中的至少一種。
5.根據權利要求1所述的Apache服務器安全監(jiān)控方法��,其特征在于��,所述監(jiān)控數(shù)據包括多個關鍵字�����,判斷所述訪問請求指令的內容與所述監(jiān)控數(shù)據是否匹配的步驟包括:判斷所述訪問請求指令的內容是否包含所述多個關鍵字中的至少一個。
6.根據權利要求1所述的Apache服務器安全監(jiān)控方法�,其特征在于,阻斷所述訪問請求指令后�����,還包括輸出報警信息的步驟����。
7.根據權利要求1所述的Apache服務器安全監(jiān)控方法,其特征在于�����,發(fā)送所述訪問請求指令并發(fā)送至Apache服務器后��,還包括接收并輸出Apache服務器根據所述訪問請求指令返回的數(shù)據信息的步驟��。
8.根據權利要求1所述的Apache服務器安全監(jiān)控方法�,其特征在于���,接收所述訪問請求指令之前��,還包括接收并存儲所述監(jiān)控數(shù)據的步驟�����。
9.根據權利要求8所述的Apache服務器安全監(jiān)控方法�,其特征在于,接收并存儲所述監(jiān)控數(shù)據之后�����,接收所述訪問請求指令之前�����,還包括以下步驟: 測試監(jiān)控數(shù)據是否有效����; 若是,則進行接收所述訪問請求指令�,提取所述訪問請求指令的內容的步驟; 若否����,則對所述監(jiān)控數(shù)據進行修改,并返回所述測試監(jiān)控數(shù)據是否有效的步驟����。
10.根據權利要求1至9任意一項所述的Apache服務器安全監(jiān)控方法����,其特征在于���,判斷所述訪問請求指令的內容與預設的監(jiān)控數(shù)據是否匹配后��,還包括根據接收的刪除指令對所述監(jiān)控數(shù)據進行刪除的步驟����。
【文檔編號】H04L29/06GK103944904SQ201410166587
【公開日】2014年7月23日 申請日期:2014年4月23日 優(yōu)先權日:2014年4月23日
【發(fā)明者】劉曄, 彭澤武, 陳富漢 申請人:廣東電網公司信息中心, 中國能源建設集團廣東省電力設計研究院