WEB应用监测工具的研发与实施

丁　全， 刘朋熙， 钱光超

(1.国网安徽省电力公司电力科学研究院， 安徽　合肥　230022；2.国网安徽省电力公司， 安徽　合肥　230022)



WEB应用监测工具的研发与实施

丁全1， 刘朋熙2， 钱光超1

(1.国网安徽省电力公司电力科学研究院， 安徽合肥230022；2.国网安徽省电力公司， 安徽合肥230022)

按照国家电网公司关于管理自建信息系统相关规范，针对自建信息系统上线通常缺少安全防护体系设计和安全功能测试，对敏感内容保护措施不到位，容易成为攻击目标等问题，自主研发了一套WEB应用监测工具。目的在于排查自建信息系统部署架构、梳理自建系统台账、防范自建系统信息泄露隐患。

WEB应用；信息安全；信息系统；督查

0　引言

由于各地市公司自建系统涉及业务部门较多，部署情况比较复杂，如何尽快地摸清本地自建系统及其部署情况对信息运维管理工作提出了更高的要求，为了有效辅助运维人员快速高效完成这一工作，公司自主研发了一套WEB应用发现工具。

信息运维人员在利用研发的WEB应用发现工具检查自建系统时，可以快速地获取WEB应用的IP地址和端口号，相比普通扫描工具扫描周期长、使用费时，本工具通过监测工具实时监测内网中用户访问的WEB应用系统地址，并可快速查询最终检测结果，节省时间，提高了工作效率。

1　WEB应用监测工具模块分解

1.1WEB应用监测服务

WEB应用监测服务主要分为数据包捕获、数据包过滤和数据包分析存储。

(1)数据包捕获。利用现有的交换机端口镜像功能，通过WinPcap[1]技术实现对流量数据的采集；得到流量数据后，对数据包进行过滤，丢弃不在监测范围内的数据，从而避免数据过多，造成服务器负荷过大。

(2)数据包过滤。对抓取到的数据包进行源地址、目的地址等信息进行第一次过滤，把条件外的数据包直接丢弃，符合需求的数据包等待进一步分析。

(3)数据包分析存储。解析数据包内容，对符合条件的http数据包进行进一步内容解析，解析出web应用IP地址和端口信息并存储到数据库中[2]。

1.2结果分析模块

提供对数据抓取服务扫描结果的查询功能，列表展示内网用户访问的Web应用系统地址和端口号信息。

2　工具设计流程

本工具基于WinPcap[1]，用于捕获和分析网络数据包。选择捕获指定的IP地址、端口号和协议类型的数据包。对于数据包的捕获，如果在一个繁忙的网络上进行，而不设置任何过滤，则得到的数据包是非常多的。如果应用程序不进行必要的性能优化，那么将会丢失大量的数据包。因此对捕包性能的优化必不可少，本系统采用多线程来解决此问题：一个线程负责捕获数据包，一个线程负责数据处理。

系统对于数据包的捕获，主要分为四个步骤：开启指定网卡，设置过滤规则，循环捕获网络数据包，以及分析处理网络数据包。

(1)配置适配器Adapter。需要将网络适配器的工作模式设置为混杂模式。

(2)设置过滤规则。利用pcap_compile()和pcap_setfilter()两个函数可以方便地实现过滤数据包的功能。例如，要捕捉特定源/目的IP地址和特定源/目的端口的数据包，只需将过滤器设置成诸如 “host 59.64.133.16 and tcp port 80”的高层表达式即可。

(3)捕获网络数据包。系统通过pcap_loop()方法来捕获数据包。该方法是基于回调的原理来捕获数据包，用户在pacp_loop()函数中写希望执行的代码，系统会记录下这个函数的地址作为系统的一个接口。当有数据包流过网卡时，系统会自动调用这个接口函数执行相应的功能。

(4)分析处理网络数据包。WinPcap能访问网络中的原始数据包，即没有被操作系统利用网络协议处理过的数据包。捕获到的每一个数据包就是数据链路层中的每一帧。系统处理时，如果分析是HTTP协议，则提取出HTTP的内容，以明文显示[3]。

3　WEB应用检测工具的配置及使用说明

WEB应用检测工具采用C/S结构，操作系统约定为：Window server 2003、Window XP、Win7等；组件要求：.NET FRAMEWORK 2.0及以上版本；数据库要求MSSQLSERVER 2005数据库。

3.1配置过程

WEB应用监测工具配置过程需要三步，即安装WinPcap软件、确定抓包环境配置是否正确以及抓取服务安装顺序。这里着重指出在确定抓包环境配置是否正确时，需要监视是否抓到http数据包[4]，否则检查所要监视的交换机端口是否配置正确。另外，在抓取服务安装顺序时需要按照如下顺序进行：

(1)确定网卡序号，打开测试网卡程序；

(2)确定需要抓取数据包的网卡序号；

图1　确定抓取数据包的网卡序号

(3)打开web应用检测工具配置文件“MailDataAnalysis.exe.config”；

图2　打开配置文件

(4)配置数据库连接字符串“AppCenterDSN”，配置网卡序号“Device”为第2步网卡测试程序里的序号；

图3　配置数据库连接字符串及网卡序号

(5)将Install.bat中的地址修改为其所在目录地址；

图4　修改Install.bat的地址

(6)在Install.bat上单击鼠标右键选择“以管理员身份运行”，安装工具；

图5　运行程序并直至完成事物处理安装

(7)启动工具，即“开始”→“运行”，在运行框中输入“services.msc”回车后弹出“服务”选项框，找到名称为“MailDataAnalysis”的服务，在其上点击鼠标右键选择“启动”。

图6　启动“MailDataAnalysis”的服务

3.2WEB应用检测工具使用

在所有配置工作完成后即可使用WEB应用检测工具，进入主界面，录入相应的账号及密码点击登录按钮，进入系统。

图7　登录WEB应用监测工具

在主界面列表展示后台服务扫描到的Web应用系统地址。本例图示中IP列表为国网芜湖供电公司实际应用的地址，即工具扫描到的自建系统地址列表。

图8　扫描芜湖供电公司自建系统列表

4　结论

4.1功能综述

Web应用检测工具为安徽省电力公司信息安全督查组自主研发工具，通过监测网络核心交换机的镜像端口，捕获流量数据包，并依据HTTP协议规范对数据包进行解析获取Web应用，准确度高，可在不影响已有的信息系统和网络的正常使用情况下发现非80、8080等端口的Web应用，同时可发现被网络防火墙保护等一些扫描工具无法访问到主机的Web应用，相比常用的nmap等扫描工具能更为全面、准确的发现Web应用。

信息安全督查队伍使用Web应用系统对地市公司进行扫描和排查，为省公司信息安全管理工作提供基础数据来源，为公司领导决策提供基础数据支撑。具体功能如下：

(1)应用服务监测：利用现有的交换机端口镜像功能，通过WinPcap技术实现对流量数据的采集；得到流量后，对数据包进行过滤、解析，最终发现内网中运行是Web应用系统；

(2)结果分析：提供对数据抓取服务扫描结果的查询功能，列表展示内网用户访问的Web应用系统地址和端口号信息；

(3)人员维护：提供对工具使用人员信息维护。

4.2先进性对比说明

目前国内外的Web应用扫描工具产品比较成熟，如惠普公司WebInspect、IBM 公司的Rational AppScan和其他一些国内外产品等等，这些产品都是针对服务器的Web应用扫描和漏洞检测，虽然其功能完善和强大，但是其价格不菲，专门购买此产品用于Web应用发现扫描就显得得不偿失，同时自建系统也不符合省公司的有关管理规定，另外这些产品的使用需要操作人员具备一定专业素质和原厂支持，如熟悉繁琐的操作说明等。此外这些工具不具备直观的Web应用扫描结果分析功能，不能快速的进行自建系统筛查。

序号功能详细说明信息安全督查组自主研发安全督察工具网络上同类型的WebInspect工具网络上同类型的RationalAppScan工具1监测对象及范围监测网络中核心交换机,范围广监测服务器监测服务器2分析技术基于数据包,准确性高准确度差准确度差3监测效率对交换机端口实时监测扫描周期长扫描周期长4监测结果可直观显示web应用地址和端口号不具备不具备5自建系统筛查具备不具备不具备

[1] 郭凯.基于WinPcap的数据包捕获系统的设计与实现[D].西安电子科技大学,2013.

[2] 姜丽丽,杨晓辉.网络协议分析系统的设计与实现[J].信息网络安全, 2014(7):48-52.

[3] 陈小文,胡文飞，和应民,等.基于WinPcap的旁路IP阻断方法研究与实现[J].中国新技术新产品,2009(1):15-16.

[4] 谢小特,王勇军.基于WinPcap的捕包程序设计[J].软件导刊, 2007(11):71-73.

[责任编辑：朱子]

Development and Implementation of WEB Application Monitoring Tool

DINGQuan1,LIUPeng-xi2,QIANGuang-chao1

(1.ElectricPowerResearchInstituteofStateGridAnhuiElectricPowerCorporation,Hefei230022,China;2.StateGridAnhuiElectricPowerCorporation,Hefei230022,China)

According to regulation from the state grid corporation regarding management self-built information system relevant specification, online self-built information system is usually lack of safety protection system design and safety function test. The protection measures of sensitive content are not in place, which makes it easy to be targeted and so on. A set of WEB application monitoring tool is thus developed independently. The system is aimed to screen self-built information system deployment architecture, teased out self-built system account, and prevented self-built system information from leakage via hidden trouble.

WEB application; information security; information system; supervision

2016- 03- 06

丁全(1982-),男，安徽合肥人，工程师，国网安徽省电力公司电力科学研究院科技信息情报研究室，从事电力系统信息安全督查工作。

刘朋熙(1983-)，男，安徽合肥人，高级工程师，国网安徽省电力公司科技信通部信息处，从事信息系统建设管理工作。

TP309.5

A

1672-9706(2016)03- 0102- 06

钱光超(1982-)，男，安徽无为人，工程师，国网安徽省电力公司电力科学研究院科技发展部，从事电力系统科技信息管理工作。