邱金水，庄会富

(中国科学院昆明植物研究所科技信息中心，云南 昆明 650201)

0 引言

当今信息技术和网络技术高速发展，推动着各行各业的信息化进程，各类应用系统和门户网站如雨后春笋般涌现出来，同时，黑客入侵技术也在不断提高，入侵手段多样化，因此，伴随而来的是各类网络安全事故的发生，包括木马、蠕虫、感染型病毒、灰色软件、后门等时刻威胁着各类应用系统和网站。据瑞星2020年中国网络安全报告，2020年瑞星“云安全”系统共截获病毒样本总量为1.48 亿个，病毒感染次数为3.52 亿次，病毒总体数量比2019 年同期上涨43.71%，由此可见，互联网上大量的计算机和服务器都在遭受病毒的侵害，病毒数量依然在大幅度地上升，未来的网络安全形势依然很严峻。

网站被黑客成功入侵后会在网站层面、服务器层面和数据层面都造成严重的后果。

⑴在网站层面：网页被篡改，网站被挂上反动、色情、赌博等不良信息，不仅严重误导广大网民，同时会降低相关单位的公信力，给广大网民和相关单位都造成不良的影响。

⑵在服务器层面：黑客先通过上传“小马”，再通过“小马”引入“大马”，从而实现对网站服务器的掌控，接着将服务器变成“肉鸡”，利用服务器资源进行挖矿，将服务器置于拒绝服务甚至宕机的奔溃状态。

⑶在数据层面：黑客入侵服务器后，容易导致服务器的数据丢失或者数据泄露，更有甚者将服务器的数据文件进行加密并索要赎金。后疫情时代下，全球网络安全格局的复杂性、不稳定性与日俱增，国家间网络冲突频发，勒索软件攻击层面逐步上升至国家安全。

因此，加强网站的安全防护和实时监控，研究和提高网站运维的安全水平是利国利民之举。

1 现有研究

影响网站安全水平的因素是多方面的，因此，提高网站安全水平也需要从各个环节和各个方面进行加强，如加强网站的安全需求分析、网站的安全设计、网站编码安全技术和网站安全性能测试，同时还要提高网站上线后的安全运维技术，如对网站运维人员进行安全知识和技术的培训，建设和完善网站的安全管理制度，以及使用各类安全防护的软硬件设施设备，如软硬件防火墙、入侵检测系统、蜜罐系统、安全认证介质、网络行为分析、杀毒软件、HTTPS 加密协议和信息系统安全等级保护认定等等，以上均是网站安全的事前防护，但很多网站都不能在各个环节和各个方面做到完美，以至于给了黑客入侵的机会，因此本论文对黑客入侵网站后进行事后监控和异常处理等研究，设计和实现基于文件监测的IIS站点入侵监控系统，为网站安全事故的发生提供最后一道安全屏障和补救措施。

在文件监测和网站入侵监控研究方面，刘芳等介绍了基于CRC32、MD5 和SHA-1 算法的电子文件完整性检测，这些算法在计算电子文档的数字特征时均需要耗费大量的计算时间。邓英等通过搭建服务器集群，采用并行程序扫描网站服务器的文件，从而提高文件监测的效率。王宁邦等和陈垚冰等构建了基于爬虫技术的网站入侵检测系统，通过对网站页面的元素和内容进行分析判断网站是否入侵，该方法无法对网站服务器的内部文件进行监测。杨非等研究了基于区块链技术的网站防篡改系统，该系统的搭建难度大成本高，用户运维和学习成本也较高，同时该技术在网站防篡改方面的应用对网站的访问效率亦有一定的影响。段尊敬和黄同成等设计和研究了基于Java 平台的文件监测和网站防篡改系统。陈晨等研究了一种基于完成例程的文件监控算法。张勇等提出了基于自定义判定树的网站入侵检测机制。本论文研究采用基于FileSystemWatcher技术实现.Net平台客户端模式的IIS站点入侵监控系统，能根据网站系统管理员配置的参数和规则实时对网站目录和文件进行监控，并有效处理网站被黑客入侵等异常事件。

2 需求定位

基于文件监测的IIS 站点入侵监控系统的需求定位主要有以下几点。

⑴可控制IIS站点运行：监控系统运行于Windows操作系统，能实时对IIS 站点的目录和文件进行监控，监测到网站被入侵后能快速还原网站的文件和目录，还原失败或出现其他无法处理的异常事件则立即停止IIS站点。

⑵参数可配置：监控系统提供可视化的参数配置界面，简单易用，参数配置可裁剪，网站系统管理员可根据自身实际情况进行相关参数的配置。

⑶多方案选择：监控系统提供多种监控方案，网站系统管理员可根据自身的监控需求选择相应的监控方案，各监控方案之间互相独立互不干扰。

⑷无数据库辅助：监控系统能提供日志显示和保存历史日志以备查询，同时为了提高监控系统的通用性和降低使用难度，监控系统无需安装任何数据库等其他辅助软件亦能正常使用。

⑸监控信息报告：监控系统能将捕捉到的异常事件、异常处理结果等通过短信和邮件方式实时报告给网站系统管理，并按照网站系统管理员配置的时间和频率定期报告自身的运行状态。

3 设计思路

3.1 系统功能设计

基于文件监测的IIS 站点入侵监控系统的功能模块设计如图1 所示。

图1 监控系统功能模块

⑴启动/停止模块：该模块为网站系统管理员提供监控系统的启动监控和停止监控操作功能。

⑵参数配置模块：该模块为网站系统管理员提供参数配置功能，包括基本信息配置、监控方案配置、短信服务器配置、邮件服务器配置和监控系统运行状态报告配置。该模块中，①基本信息配置包括被监控的网站系统名称、管理员姓名、管理员手机、管理员邮箱和IIS 站点名称等信息。②监控方案配置包括三个互相独立的配置方案：方案一是需要监控网站的静态目录和文件，可配置多个监控目录，这些路径下的文件是静态的，该配置下的目录和文件发生任何创建、删除、修改和重命名事件时均会触发监控系统报警；方案二是需要监控用户上传的文件，可以配置多个用户上传文件的目录以及多种允许上传的文件格式，当该目录发生创建或重命名事件时触发监控进行合法性判断；方案三是网站系统管理员根据需要自定义文件监控，可配置多个任意目录并选择多种触发监控的事件，监控系统根据网站系统管理员配置的监控目录和触发事件进行工作。③短信服务器配置用于选择和配置监控系统发送短信提醒的服务商、UID 和KEY。④邮件服务器配置用于选择和配置监控系统发送邮件提醒的服务商、邮箱账号和邮箱密码。⑤运行状态报告配置用于配置监控系统报告自身运行状态的时间和间隔天数，监控系统根据配置的时间和频率定期向网站系统管理员报告自身的运行状态，若网站系统管理员在预计时间内未收到监控系统的运行状态报告，说明监控系统的工作出现异常。

⑶报警日志模块：该模块主要显示监控系统的报警日志、事件处理结果日志以及发送短信和邮件的日志信息。

⑷状态日志模块：该模块主要显示监控系统的启动、暂停、继续、停止以及自身运行状态报告的日志信息。

3.2 系统工作流程设计

网站系统管理员在运行监控系统时，需要先填写或核对配置参数，然后点击“启动”按钮，监控系统开始执行工作，当监控系统捕捉到相关事件时，均需要根据不同的监控方案和不同的监控事件进行相应的合法性判断或事件处理，监控系统具体的工作流程设计如图2所示。

图2 监控系统工作流程

3.3 参数与日志存储方案设计

为了避免网站系统管理员反复配置参数，监控系统需要保存网站系统管理员配置的当前参数，同时还需要保存监控系统的历史日志信息以备检查，且为了提高监控系统的易用性，无需网站系统管理员安装和配置数据库软件。因此，在本系统的设计中，采用了文件存储的方式，将网站系统管理员配置的当前参数和监控系统的历史日志信息保存在应用程序目录下特定的文件和子目录中。其中当前配置参数以Json数据格式进行保存，当前配置参数的短信秘钥和邮箱密码是敏感信息，因此需要先加密后存储。对于历史日志信息的存储则：每次打开监控系统时均自动生成一个以时间格式为文件名的日志文件，用于存储本次使用监控系统发生的日志信息。

4 技术实现

4.1 开发环境、工具和技术

本论文设计和实现的基于文件监测的IIS 站点入侵监控系统是在Windows 操作系统环境下，使用Visual Studio 集成开发工具，采用WinForm 开发技术按客户端模式进行开发和实现，WinForm 技术可用于设计窗体和可视控件，并创建丰富的基于Windows 的应用程序。

4.2 参数配置

启动监控前，网站系统管理员首先需要配置或核对监控系统的相关参数。配置参数时需要将相关参数信息以Json 数据格式保存在应用程序目录下的MonitorSet.xml 文件，监控系统先要将秘钥和密码等敏感数据加密，然后使用JavaScriptSerializer 进行数据格式序列化再进行保存。

需要使用或回显配置参数时，监控系统通过调用可自动解析Json数据格式的MonitorSet函数即可快速实现获取或回显配置参数。

4.3 系统监控

监控系统的核心部件是实时监控器，本系统采用由FileSystemWatcher 提供的实时监控器，由于监控系统向网站系统管理员提供三种监控方案，三种监控方案单一使用或组合使用，且每种监控方案均支持同时监控多个网站目录，因此需要为每个监控方案的每个监控目录创建实时监控器，并设定各个监控目录的监听事件。

4.4 监控信息报告

当监控系统捕捉到目标事件或对异常事件进行处理后，以及设定的监控系统运行状态报告时间到达时，监控系统均需要向网站系统管理员发送报告信息，发送报告信息时，监控系统通过调用封装好发送报告信息的SendMessage 函数实现，该函数再根据网站系统管理员配置的服务商、用户名和密码等信息调用服务商提供的发送短信或邮件接口从而完成监控信息报告。

4.5 监控日志

监控系统从启动到停止，期间所有的事件信息均通过日志形式在相应的模块进行显示，同时历史日志信息需要保存在应用程序目录下的特定子目录中。监控系统每次运行都会在特定的字目录下创建一个以时间格式为文件名的日志文件，如20220227190244.txt，本次运行的所有日志信息均以Append的形式写入该日志文件。

5 实现效果

5.1 参数配置

网站系统管理员启动监控系统前，需要配置或核对相关参数，配置参数界面如图3所示，配置完后点击“更新配置参数”完成配置，然后点击“监控操作”选项卡中的“启动”按钮即可启动监控系统。

图3 参数配置界面

5.2 报警日志

监控系统启动后，监控系统会根据网站系统管理员配置的监控方案进行工作，当监测到异常事件时，监控系统将异常事件信息在报警日志模块进行显示，并开始处理异常事件，处理完后亦将结果信息显示在报警日志模块，如图4所示。

图4 报警日志显示

5.3 状态日志

状态日志模块主要用于显示监控系统的相关工作状态，如参数配置结果、监控器创建结果、监控启动与停止状态显示、监控系统运行状态报告等信息，如图5所示。

图5 状态日志显示

5.4 监控信息报告

监控信息报告包括短信报告和邮件报告，监控系统将重要的信息通过短信和邮件形式通知网站系统管理员，确保网站系统管理员及时知晓网站和监控系统的运行状态，通过短信形式的监控信息报告如图6所示，通过邮件形式的监控信息报告如图7所示。

图6 短信形式监控信息报告

图7 邮件形式监控信息报告

6 结束语

本论文设计和实现基于文件监测的IIS 站点入侵监控系统，能根据网站系统管理员配置的监控方案，实时地对IIS站点下的目录和文件进行监控，捕捉到目标事件后能进行合法性判断，并对异常事件进行处理，确保网站系统和服务器的安全稳定运行。监控系统还能实时地将监控信息、异常处理结果信息以及系统运行状态信息以短信和邮件的方式通知网站系统管理员，且对无法处理或处理失败的异常事件提供辅助关闭IIS 站点的功能。系统配置简单使用便捷无需安装数据库，是一款通用型的IIS 站点入侵监控系统，能帮助网站系统管理员提高网站运维的安全水平，有效减少网络安全事故的发生和减轻网络安全事故造成的后果。