IDS即入侵檢測系統(tǒng)，專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。 傳統(tǒng)的IDS是一個監(jiān)聽設(shè)備，這個設(shè)備通過網(wǎng)絡(luò)鏈路掛接在服務(wù)器和客戶端所有流量都必須流經(jīng)的鏈路上，IDS就是通過特有IDS規(guī)則匹配黑客惡意攻擊入侵行為的流量，進行即時的監(jiān)測和報警。

在歷年來開源的Web程序中，被披露最多最嚴(yán)重的安全漏洞一直是SQL注射，為了減少SQL注射漏洞對各大網(wǎng)站造成的安全威脅，web安全研究組織80SEC在2008年編寫了國內(nèi)第一個腳本類IDS - MysqlIds，使用MysqlIds可以更好的、更有效率的幫助網(wǎng)站管理員和程序員抵御和檢測Sql注射漏洞。

現(xiàn)在流行的技術(shù)大部分是旁路監(jiān)聽，一般不會因為IDS的性能影響網(wǎng)站正常的訪問流量，而Mysqlids也是按照類似的思路同樣不會影響程序的性能。Mysqlids存在于應(yīng)用程序和數(shù)據(jù)庫操作之間的一個環(huán)節(jié)，完全以數(shù)據(jù)庫的語法來分析執(zhí)行的SQL語句，而不是采用傳統(tǒng)的關(guān)鍵字檢測的方法，對于一些非正常的SQL語句能進行阻止并且記錄相關(guān)的信息，這樣就可以很快地定位程序中存在注射漏洞的地方，為漏洞的及時修復(fù)提供必要的信息。

MysqlIds是由PHP編寫的，通過一個封裝的安全函數(shù)，監(jiān)測程序中運行的SQL查詢語句，針對黑客經(jīng)常使用的union查詢、select子查詢、不常用的SQL注釋符、文件操作和benchmark等危險函數(shù)行為進行報警，這個IDS是無縫封裝在程序里的數(shù)據(jù)庫操作流程里的，也就是黑客通過程序漏洞進行惡意的SQL注射都能被非常詳細(xì)的監(jiān)測到，程序員或者網(wǎng)站站長甚至能使用IDS發(fā)現(xiàn)自己網(wǎng)站程序中未被察覺的0DAY漏洞。下面我就分析MysqlIds的部分代碼，使大家可以從原理上更容易的理解MysqlIds，我們看看MysqlIds如何監(jiān)測黑客SQL注入經(jīng)常使用的惡意的聯(lián)合查詢。部分代碼如下：

Code highlighting produced by Actipro CodeHighlighter （freeware）  
-->if （strpos（$clean, 'union'） !== false && preg_match（'~（^[^a-z]）union（$ [^[a-z]）~s', $clean） != 0）{  
$fail = true;  
$error="union detect";  
} 

MysqlIds使用了PHP中strpos函數(shù)來判斷程序執(zhí)行的SQL語句是否存在惡意的SQL注射，這個函數(shù)可以高效率的查找指定字符串返回一個布爾值，當(dāng)程序執(zhí)行SQL語句中使用聯(lián)合查詢，規(guī)則條件就開始生效，啟用preg_match函數(shù)調(diào)用IDS規(guī)則來匹配惡意的聯(lián)合查詢語句，這個IDS規(guī)則是精心構(gòu)造的正則表達(dá)式，類似于大家使用的傳統(tǒng)IDS規(guī)則，由于MysqlIds是在程序的數(shù)據(jù)庫操作層來檢測，所有能抓取到有效且實實在在的安全問題，且更有效更具有針對性。MysqlIds還針對程序運行的SQL語句出現(xiàn)的異常情況進行了監(jiān)控，如SQL語句中出現(xiàn)異常的注釋符，一般黑客進行SQL注射攻擊，很多情況下需要注釋符完成SQL注射攻擊的SQL語句，同時黑客還有可能使用一些比較危險的MYSQL函數(shù)和功能，如sleep、benchmark、load_file和into outfile功能等，這些黑客在程序中使用SQL注射的惡意動作都能被MysqlIds監(jiān)測到。　MysqlIds與傳統(tǒng)Web安全防御措施的區(qū)別

傳統(tǒng)的Web安全防御措施都非常滯后，在Web程序里未知的漏洞被攻擊的情況下，管理員往往要排查很多東西才能找到問題的關(guān)鍵點，有的時候可能是使用的程序中存在一個未知的SQL注射漏洞被黑客利用，卻無法確定黑客是如何攻擊，而導(dǎo)致整個網(wǎng)站一而再，再而三的淪陷。合理地部署Mysqlids后，就可以幫助管理員第一時間準(zhǔn)確的定位網(wǎng)站的Web程序漏洞，關(guān)鍵在于MysqlIds核心的日志功能，它能準(zhǔn)確的將每次精確匹配報警后的信息存入日志，代碼如下：

Code highlighting produced by Actipro CodeHighlighter （freeware）  
-->if （！empty（$fail））  
{  
fputs（fopen（$log_file,'a+'），"<?php die（）；?>$db_string$error\r\n"）；  
die（"Hacking Detect<br><a href=http://www.80sec.com />http://www.80sec.com"）；  
}  
else {  
return $db_string;  
}  
} 

當(dāng)程序的SQL語句被監(jiān)測到惡意行為后，會打開相應(yīng)條件語句里的fail開關(guān)，也就是觸發(fā)監(jiān)測后根據(jù)信息會留下一條精確的日志信息。管理員排查日志就能精確定位程序中的SQL注射漏洞。

MysqlIds暫時只支持PHP+MYSQL架構(gòu)的Web程序，作為開源程序和其原理的靈活性，大家可以很方便將MysqlIds和自己程序無縫結(jié)合。比如國內(nèi)站長采用比較廣泛的一款PHP建站程序DeDecms，在DeDecms歷史版本中被披露過很多安全問題，其中SQL注射是其安全問題中危害最大也最多的問題。為了解決SQL注射問題，DedeCms在其發(fā)布的最新版中的數(shù)據(jù)庫類中封裝了80sec的Mysqlids，以用來抵御和檢測Sql注射漏洞。我們可以參考DeDecms的MYSQL數(shù)據(jù)庫類，將MysqlIds部署在程序中：

\include\dedesql.class.php 

DeDecms的MYSQL數(shù)據(jù)庫類161行的ExecuteNoneQuery函數(shù)封裝了MysqlIds，程序運行的SQL語句在進入MYSQL查詢之前都會使用MysqlIds的CheckSql函數(shù)處理。

Code highlighting produced by Actipro CodeHighlighter （freeware）  
-->if（$this->safeCheck） CheckSql（$this->queryString,'update'）；  
return mysql_query（$this->queryString,$this->linkID）；  
 

腳本類IDS展望

腳本類IDS作為一種花銷很小當(dāng)最有效的安全措施值得大力推廣，近年來大家對安全越來越重視，Web程序的開發(fā)也越來越多的考慮程序的安全性，也許以后的WEB程序在開發(fā)之初就會將這類腳本IDS的概念設(shè)計在自己的程序中，那么大家只需要打開程序中的一個設(shè)置開關(guān)就能被實時保護，并能最準(zhǔn)確的定位安全問題。目前MysqlIds在80SEC的官方網(wǎng)站上仍然是1.0版，希望他們以后能提供功能更強大腳本IDS.

【編輯推薦】

1. 實例分析IDS系統(tǒng)特點
2. IDS誤報的典型情況與對策
3. 2011七大網(wǎng)絡(luò)安全威脅報告
4. 英雄救美 網(wǎng)管巧助MM擺脫綁架型木馬困擾