网络安全态势分析
【IT168 评论】网站篡改事件近些年来越演越烈,其中包括政府、教育、金融、事业企业单位等。根据国家互联网应急响应中心发布的《2015年中国互联网网络安全报告》中指出,“2015年CNCERT/CC工检测到境内被篡改的网站数量为24550个,其中境内政府网站篡改数量为898个。”
网页篡改按照攻击手段来进行区分,可以分成显式篡改和隐式篡改两种。通过显式网页篡改,黑客可炫耀自己的技术技巧,或达到声明自己主张的目的;隐式篡改一般是将被攻击网站的网页植入链接色情、诈骗等非法信息的暗链中,以帮助黑客牟取非法经济利益。黑客为了篡改网页,一般需提前知晓网站的漏洞,提前在网页中植入后门,并最终获取网站的控制权。
网站代表着企业、金融、政府机构、教育等行业在互联网用户中的形象,要是页面被恶意篡改会造成严重的影响尤其是经济损失、名誉损失、政治风险等。所以如何有效快速的发现篡改事件,将篡改事件的恶劣影响缩至最小才是最最重要的事宜。
如何进行网站篡改检测
页面篡改监控有两种模式处理:
第一种处理模式,对于网站结构或者属性单一的用户,提供基于防护的篡改监控防护模式。用户可以根据自己情况,从管理中心下载与其服务器相对应的防篡改客户端,安装在自己服务器上,和管理中心互联,完成”监控-防护”的功能;
第二种处理模式,基于扫描的网页篡改监控服务。通过远程实时监测目标网站页面的信息,包括网站的标题、文本内容、图片等元素进行关键字、敏感词、暗链等项目来进行检测判定,一旦发现页面被篡改情况,第一时间通知用户。用户可根据烽火台提供的安全建议及时修复被篡改页面,避免篡改事件影响扩散,给自身带来声誉和法律风险。
页面篡改监控实践:
探测篡改最核心的关键是降低误报率,要是误报率太高的话会导致用户频频被误报短信和邮件骚扰。烽火台通过如下几个技术特点大大的降低了误报率使得检测能力有效的提升。
特点一,检测敏感度
烽火台会对页面的整体代码进行评估,通过配置选项可以设置页面修改比例。这样能够有效的判定网站篡改事件,修改的比较灵敏后,会频繁对网站进行更新检测,缺点就是探测的灵敏了误报率就响应的增高一些。
页面修改比例调整高一些,这样灵敏度虽然降低了,但是弹出出来的篡改事件误报率大大降低,因为代码修改浮动很大。正常的网站更新不可能修改大批量的代码。
特点二,篡改关键词匹配
对于降低误报率的另外一个手段则是用来检测审核修改的内容合规性,对网站更新的内容进行关键词及敏感词的特征匹配,若是探测到了修改并还触发了敏感词基本能判定为页面被篡改。
特点三,图片文件检测
篡改图片也是烽火台的一个亮点,通过扫描发现网站内包含图片信息,平台会对该图片进行md5效验并做下记录,当检测到图片文件发生变化后,平台会对新的图片进行md5效验在和原md5进行匹配核对。
特点四,暗链检测
隐式篡改一般是将被攻击网站的网页植入链接色情、诈骗等非法信息的暗链中,以帮助黑客牟取非法经济利益。烽火台会对网站内的链接进行探测抓取,平台会主动访问该链接来判断是否是非法恶意链接,用来有效的区分友链和暗链。
特点五,敏感词检测
敏感词检测平台也使用了两种技术手段,一种是内置了敏感词库对页面的内容信息机型敏感词匹配检测。另外一种是通过引擎进行百度hack检测和谷歌hack检测。这样通过搜索引擎能够更加完善静态库的不足。
如何用烽火台来监控网站?
首先登陆烽火台平台,在任务中心—站点管理—新增
需要设置上网站的名称、及监控的域名地址、网站类别等信息
其次在任务管理—内容监控—新增,根据实际情况设置监控信息。监控频率有每N分钟、每N小时、每天、每周等,具体的频率时间可以根据自己的实际情况自行设定。并且可以设置监控的深度、扫描线程数、扫描最大页面数等。
再次就是配置告警管理,设置好告警接受人和接收告警方式,有短信和邮件两种告警模式。
这时候,一个网站的监控项目创建成功。之后如果网站被重定向或者篡改成其他页面,就可以接收到告警短信。