Java Web中的入侵檢測及簡單實現(轉)

BSDLite發表於2007-08-15
Java Web中的入侵檢測及簡單實現(轉)[@more@]  在Java Web應用程中,特別是網站開發中,我們有時候需要為應用程式增加一個入侵檢測程式來防止惡意重新整理的功能,防止非法使用者不斷的往Web應用中重複傳送資料。當然,入侵檢測可以用很多方法實現,包括軟體、硬體防火牆,入侵檢測的策略也很多。在這裡我們主要介紹的是Java Web應用程式中透過軟體的方式實現簡單的入侵檢測及防禦。

  該方法的實現原理很簡單,就是使用者訪問Web系統時記錄每個使用者的資訊,然後進行對照,並根據設定的策略(比如:1秒鐘重新整理頁面10次)判斷使用者是否屬於惡意重新整理。

  我們的入侵檢測程式應該放到所有Java Web程式的執行前,也即若發現使用者是惡意重新整理就不再繼續執行Java Web中的其它部分內容,否則就會失去了意義。這就需要以外掛的方式把入侵檢測的程式置入Java Web應用中,使得每次使用者訪問Java Web,都先要到這個入侵檢測程式中報一次到,符合規則才能放行。

  Java Web應用大致分為兩種,一種純JSP(+Java Bean)方式,一種是基於框架(如Struts、EasyJWeb等)的。第一種方式的Java Web可以透過Java Servlet中的Filter介面實現,也即實現一個Filter介面,在其doFilter方法中插入入侵檢測程式,然後再web.xml中作簡單的配置即可。在基於框架的Web應用中,由於所有應用都有一個入口,因此可以把入侵檢測的程式直接插入框架入口引擎中,使框架本身支援入侵檢測功能。當然,也可以透過實現Filter介面來實現。

  在EasyJWeb框架中,已經置入了簡單入侵檢測的程式,因此,這裡我們以EasyJWeb框架為例,介紹具體的實現方法及原始碼,完整的程式碼可以在EasyJWeb原始碼中找到。

  在基於EasyJWeb的Java Web應用中(如,預設情況下你只要連續重新整理頁面次數過多,即會彈出如下的錯誤:

  EasyJWeb框架友情提示!:-):
  您對頁面的重新整理太快,請等待60秒後再重新整理頁面!
  詳細請查詢


二、使用者訪問資訊記錄UserConnect.java類  

  這個類是一個簡單的Java Bean,主要代表使用者的資訊,包括使用者名稱、IP、第一次訪問時間、最後登入時間、登入次數、使用者狀態等。全部

程式碼如下:

package com.easyjf.web;

import java.util.Date;
/**
*
*

Title:使用者驗證資訊


*
Description:記錄使用者登入資訊,判斷使用者登入情況


*
Copyright: Copyright (c) 2006


*
Company:


* @author 蔡世友
* @version 1.0
*/
public class UserConnect {
private String userName;
private String ip;
private Date firstFailureTime;
private Date lastLoginTime;
private int failureTimes;//使用者登入失敗次數
private int status=0;//使用者狀態0表示正常,-1表示鎖定
public int getFailureTimes() {
return failureTimes;
}
public void setFailureTimes(int failureTimes) {
this.failureTimes = failureTimes;
}
public Date getFirstFailureTime() {
return firstFailureTime;
}

public void setFirstFailureTime(Date firstFailureTime) {
this.firstFailureTime = firstFailureTime;
}

public String getIp() {
return ip;
}

public void setIp(String ip) {
this.ip = ip;
}

public Date getLastLoginTime() {
return lastLoginTime;
}

public void setLastLoginTime(Date lastLoginTime) {
this.lastLoginTime = lastLoginTime;
}

public String getUserName() {
return userName;
}

public void setUserName(String userName) {
this.userName = userName;
}

public int getStatus() {
return status;
}

public void setStatus(int status) {
this.status = status;
}

}
三、監控執行緒UserConnectManage.java類

  這是入侵檢測的核心部分,主要實現具體的入侵檢測、記錄、判斷使用者資訊、線上使用者的重新整理等功能,並提供其它應用程式使用本元件的呼叫介面。

package com.easyjf.web;

import java.util.Date;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;

import org.apache.log4j.Logger;
/**
*
*

Title:使用者入侵檢測資訊


*
Description:用於判斷使用者重新整理情況檢查,預設為10秒鐘之內連續連線10次為超時


*
Copyright: Copyright (c) 2006


*
Company:


* @author 蔡世友
* @version 1.0
*/
public class UserConnectManage {
private static final Logger logger = (Logger) Logger.getLogger(UserConnectManage.class.getName());
private static int maxFailureTimes=10;//最大登入失敗次數
private static long maxFailureInterval=10000;//毫秒,達到最大登入次數且在這個時間範圍內
private static long waitInterval=60000;//失敗後接受連線的等待時間,預設1分鐘
private static int maxOnlineUser=200;//同時線上的最大數
private final static Map users=new HashMap();//使用ip+userName為key存放使用者登入資訊UserLoginAuth
private static Thread checkThread=null;
private static class CheckTimeOut implements Runnable{
private Thread parentThread;
public CheckTimeOut(Thread parentThread)
{
this.parentThread=parentThread;
synchronized(this){
if(checkThread==null){
checkThread= new Thread(this);
//System.out.println("建立一個新執行緒!");
checkThread.start();
}
}
}
public void run() {
while(true)
{
if(parentThread.isAlive()){
try{
Thread.sleep(2000);
int i=0;
if(users.size()>maxOnlineUser)//當達到最大使用者數時清除
{
synchronized(users){//執行刪除操作
Iterator it=users.keySet().iterator();
Set set=new HashSet();
Date now=new Date();
while(it.hasNext())
{
Object key=it.next();
UserConnect user=(UserConnect)users.get(key);
if(now.getTime()-user.getFirstFailureTime().getTime()>maxFailureInterval)//刪除超時的使用者
{
set.add(key);
logger.info("刪除了一個超時的連線"+i);
i++;
}
}
if(i<5)//如果刪除少於5個,則強行刪除1/2線上記錄,犧牲效能的情況下保證記憶體
{
int num=maxOnlineUser/2;
it=users.keySet().iterator();
while(it.hasNext() && i {
set.add(it.next());
logger.info("刪除了一個多餘的連線"+i);
i++;
}
}
users.keySet().removeAll(set);
}
}

}
catch(Exception e)
{
e.printStackTrace();
}

}
else
{
break;
}
}
logger.info("監視程式執行結束!");
}
}
//透過checkLoginValidate判斷是否合法的登入連線,如果合法則繼續,非法則執行
public static boolean checkLoginValidate(String ip,String userName)//只檢查認證失敗次數
{
boolean ret=true;
Date now=new Date();
String key=ip+":"+userName;
UserConnect auth=(UserConnect)users.get(key);
if(auth==null)//把使用者當前的訪問資訊加入到users容器中
{
auth=new UserConnect();
auth.setIp(ip);
auth.setUserName(userName);
auth.setFailureTimes(0);
auth.setFirstFailureTime(now);
users.put(key,auth);
if(checkThread==null)new CheckTimeOut(Thread.currentThread());
}
else
{
if(auth.getFailureTimes()>maxFailureTimes)
{
//如果在限定的時間間隔內,則返回拒絕使用者連線的資訊
if((now.getTime()-auth.getFirstFailureTime().getTime()) {
ret=false;
auth.setStatus(-1);
}
else if(auth.getStatus()==-1 && (now.getTime()-auth.getFirstFailureTime().getTime(){
ret=false;
}
else
{
auth.setFailureTimes(0);
auth.setFirstFailureTime(now);
auth.setStatus(0);
}

}
//登入次數加1
auth.setFailureTimes(auth.getFailureTimes()+1);
}
//System.out.println(key+":"+auth.getFailureTimes()+":"+ret+":"+(now.getTime()-auth.getFirstFailureTime().getTime()));
return ret;
}

public static void reset(String ip,String userName)//重置使用者資訊
{
Date now=new Date();
String key=ip+":"+userName;
UserConnect auth=(UserConnect)users.get(key);
if(auth==null)//把使用者當前的訪問資訊加入到users容器中
{
auth=new UserConnect();
auth.setIp(ip);
auth.setUserName(userName);
auth.setFailureTimes(0);
auth.setFirstFailureTime(now);
users.put(key,auth);
}
else
{
auth.setFailureTimes(0);
auth.setFirstFailureTime(now);
}
}
public static void remove(String ip,String userName)//刪除使用者在容器中的記錄
{
String key=ip+":"+userName;
users.remove(key);
}
public static void clear()//清空容器中內容
{
if(!users.isEmpty())users.clear();
}
public static long getMaxFailureInterval() {
return maxFailureInterval;
}

public static void setMaxFailureInterval(long maxFailureInterval) {
UserConnectManage.maxFailureInterval = maxFailureInterval;
}

public static int getMaxFailureTimes() {
return maxFailureTimes;
}

public static void setMaxFailureTimes(int maxFailureTimes) {
UserConnectManage.maxFailureTimes = maxFailureTimes;
}

public static int getMaxOnlineUser() {
return maxOnlineUser;
}

public static void setMaxOnlineUser(int maxOnlineUser) {
UserConnectManage.maxOnlineUser = maxOnlineUser;
}

public static long getWaitInterval() {
return waitInterval;
}

public static void setWaitInterval(long waitInterval) {
UserConnectManage.waitInterval = waitInterval;
}
四、呼叫介面

  在需要進入侵檢測判斷的地方,直接使用UserConnectManage類中的checkLoginValidate方法即可。如EasyJWeb的核心Servlet 

com.easyjf.web.ActionServlet中呼叫UserConnectManage的程式碼:
if(!UserConnectManage.checkLoginValidate(request.getRemoteAddr(),"guest"))
{
info(request,response,new Exception("您對頁面的重新整理太快,請等待"+UserConnectManage.getWaitInterval()/1000+"秒

後再重新整理頁面!"));
return;
}
  
    
五、總結
  當然,這裡提供的方法只是一個簡單的實現示例,由於上面的使用者資訊是直接儲存在記憶體中,若併發使用者很大的時候的程式碼的佔用,可以考慮引入資料庫來記錄使用者的訪問資訊,當然相應的執行效率肯定用降低。上面介紹的實現中,入侵檢測判斷的策略也只有使用者訪問次數及時間間隔兩個元素,您還可以根據你的實現情況增加其它的檢測元素。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-960053/,如需轉載,請註明出處,否則將追究法律責任。

相關文章