基于MVC 网络信息安全模型设计.docVIP

基于MVC 网络信息安全模型设计 　　摘要：文章结合目前网络安全中存在的问题，基于MVC模式，引入机器学习的概念，设计实现一个能够根据以往数据自动判断并不断学习的模型，不仅大大减轻了网管的工作量，而且也能够提高Web应用程序的反应速度和判断准确率。 　　关键词：机器学习；CRM114；MVC；信息安全；UML 　　中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2013）34-7720-05 　　在当今网络化的世界中，计算机信息和资源很容易遭到各方面的攻击。一方面，来源于Internet，Internet给企业网带来成熟的应用技术的同时，也把固有的安全问题带给了企业网；另一方面，来源于企业内部，因为是企业内部的网络，主要针对企业内部的人员和企业内部的信息资源，因此，企业网同时又面临自身所特有的安全问题。网络的开放性和共享性在方便了人们使用的同时，也使得网络很容易遭受到攻击，而攻击的后果是严重的，诸如数据被人窃取、服务器拒绝服务等等。随着信息技术的高速发展，网络安全技术也越来越受到重视，由此推动了防火墙、人侵检测、虚拟专用网、访问控制等各种网络安全技术的蓬勃发展。 　　1 主流网络攻击方式 　　在众多网络攻击中，结构化查询语言注入攻击和跨站代码攻击最为常见，攻击的目标主要分为两类：1）以盗取服务器资源为目的的恶意攻击，此类攻击以SQL注入攻击居多；2）以危害其他访问该服务器用户为目的的恶意攻击，此类攻击以跨站代码攻击居多。 　　1.1 SQL注入攻击原理 　　常见的网站往往由应用程序服务器和后端数据库组成。应用程序服务器主要负责对用户的请求进行相应，如果需要使用数据库资源，则请求后端数据库相应的字段，而当前大多数的关系型数据库都采用了结构化查询语言（SQL）作为命令输入，所以欺骗应用程序服务器使其生成错误的SQL代码成了非常主流的手段。例如，在网站的登录验证页面中，一般会有两个常见的表单项：用户名和密码，在一个对SQL注入攻击完全没有防范的网站中，它大多会使用字符串连接的方式组成数据库查询命令，如下：“SELECT * FROM [user_table] WHERE [uname]=’”request（“uname”）”’”，如果用户输??的值是正常值，数据库返回的值确实就是逻辑正确的值，但是当恶意用户输入某一特殊字符如’ OR 1=1—这样的值时，应用程序服务器如果还是按照之前那边简单连接字符串的方法处理的话就会出现问题：SELECT * FROM [user_table] WHERE [uname]=’’ OR 1=1这种SQL表达式返回的一定永远是真值，而返回真值意味着用户已经通过了服务器检查，被赋予了权限，而这样就造成了信息的泄露，同样的，使用这样的SQL注入攻击还可以破坏数据库原有的结构，删除或更新某张表，或者在数据库中加入最高权限的用户等等。 　　1.2 跨站代码攻击原理 　　跨站代码攻击的原理与SQL注入攻击类似，而有所不同的就是SQL利用的是应用程序服务器生成结构化查询语言时缺乏检查的漏洞，而跨站代码攻击用的则是浏览器本身的标记语言，通过比如浏览或者其他输入形式加入网站中，此后，所有浏览到此网页的用户都将执行这段代码。这种攻击的目标不是提供网络应用服务的服务器，其实是正在浏览该网站的其他用户。当用户正在访问含有攻击信息的网页时，它会触发并执行某些Java脚本、VB脚本或者其他如ASP、PHP等动态语言，甚至是某些框架自己定义的语言，但所有这些语言都不是原始网站所提供的。之后的执行有可能??链接到另外一个网站被下载木马，而此攻击的严重程度取决于被下载的恶意程序。 　　2 MVC模型简介 　　MVC 模式主要由3 个部分组成： 模型（Model）、视图（View）和控制器（Controller），在各个对象之间取得高层接口，使应用程序的输入、处理和输出分开，同时在程序与程序之间进行重用。 　　2.1 模型（Model） 　　程序执行的关键部分。所有的操作都是在这一部分实现的，提供应用业务逻辑类。它若需要取得视图中的对象或更新视图时，需要通过控制器来进行处理。模型表示业务逻辑和业务规则等，在MVC 的3 个部件中，拥有最多的处理任务。它可以用JavaBean 和EJB 等组件技术来处理数据库的访问。模型能为多个视图提供数据。 　　2.2 视图（View） 　　视图是模型在屏幕上的显示（HTML 页面、JSP 页面、SwingGUI），是用户接口。视图可以通过模型访问数据，并根据客户端的要求来显示数据。视图必须保证当模型改变的时候，数据显示也必须同时改变。在本系统中，是用对应各个功能模块的JSP（Declare JSPs，Proposer JSPs，Unit JSP