在互聯(lián)網(wǎng)領(lǐng)域，網(wǎng)站無(wú)疑是其最重要的組成部分之一。一個(gè)個(gè)網(wǎng)站不但代表著企業(yè)、金融、政府機(jī)構(gòu)、教育等行業(yè)在互聯(lián)網(wǎng)用戶(hù)中的形象，要是頁(yè)面被惡意篡改會(huì)造成嚴(yán)重的影響尤其是經(jīng)濟(jì)損失、名譽(yù)損失、政治風(fēng)險(xiǎn)等。所以如何有效快速的發(fā)現(xiàn)篡改事件，將篡改事件的惡劣影響縮至最小是物聯(lián)網(wǎng)安全領(lǐng)域重要的工作。 中培偉業(yè)《信息安全技術(shù)與信息安全管理體系(ISO27001認(rèn)證》培訓(xùn)專(zhuān)家蒲老師在這里就網(wǎng)站篡改這一問(wèn)題在我國(guó)的形勢(shì)及其相應(yīng)的措施發(fā)表了自己的看法。

蒲老師指出，網(wǎng)站篡改事件近些年來(lái)越演越烈，其中包括政府、教育、金融、事業(yè)企業(yè)單位等。根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心發(fā)布的《2015年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》中指出，“2015CNCERT/CC工檢測(cè)到境內(nèi)被篡改的網(wǎng)站數(shù)量為24550個(gè)，其中境內(nèi)政府網(wǎng)站篡改數(shù)量為898個(gè)。”

網(wǎng)頁(yè)篡改按照攻擊手段來(lái)進(jìn)行區(qū)分，可以分成顯式篡改和隱式篡改兩種。通過(guò)顯式網(wǎng)頁(yè)篡改，黑客可炫耀自己的技術(shù)技巧，或達(dá)到聲明自己主張的目的；隱式篡改一般是將被攻擊網(wǎng)站的網(wǎng)頁(yè)植入鏈接色情、詐騙等非法信息的暗鏈中，以幫助黑客牟取非法經(jīng)濟(jì)利益。黑客為了篡改網(wǎng)頁(yè)，一般需提前知曉網(wǎng)站的漏洞，提前在網(wǎng)頁(yè)中植入后門(mén)，并最終獲取網(wǎng)站的控制權(quán)。

網(wǎng)站代表著企業(yè)、金融、政府機(jī)構(gòu)、教育等行業(yè)在互聯(lián)網(wǎng)用戶(hù)中的形象，要是頁(yè)面被惡意篡改會(huì)造成嚴(yán)重的影響尤其是經(jīng)濟(jì)損失、名譽(yù)損失、政治風(fēng)險(xiǎn)等。所以如何有效快速的發(fā)現(xiàn)篡改事件，將篡改事件的惡劣影響縮至最小才是最最重要的事宜。

如何進(jìn)行網(wǎng)站篡改檢測(cè)頁(yè)面篡改監(jiān)控有兩種模式處理：

第一種處理模式，對(duì)于網(wǎng)站結(jié)構(gòu)或者屬性單一的用戶(hù)，提供基于防護(hù)的篡改監(jiān)控防護(hù)模式。用戶(hù)可以根據(jù)自己情況，從管理中心下載與其服務(wù)器相對(duì)應(yīng)的防篡改客戶(hù)端，安裝在自己服務(wù)器上，和管理中心互聯(lián)，完成”監(jiān)控防護(hù)”的功能；

第二種處理模式，基于掃描的網(wǎng)頁(yè)篡改監(jiān)控服務(wù)。通過(guò)遠(yuǎn)程實(shí)時(shí)監(jiān)測(cè)目標(biāo)網(wǎng)站頁(yè)面的信息，包括網(wǎng)站的標(biāo)題、文本內(nèi)容、圖片等元素進(jìn)行關(guān)鍵字、敏感詞、暗鏈等項(xiàng)目來(lái)進(jìn)行檢測(cè)判定，一旦發(fā)現(xiàn)頁(yè)面被篡改情況，第一時(shí)間通知用戶(hù)。用戶(hù)可根據(jù)烽火臺(tái)提供的安全建議及時(shí)修復(fù)被篡改頁(yè)面，避免篡改事件影響擴(kuò)散，給自身帶來(lái)聲譽(yù)和法律風(fēng)險(xiǎn)。

頁(yè)面篡改監(jiān)控實(shí)踐：

探測(cè)篡改最核心的關(guān)鍵是降低誤報(bào)率，要是誤報(bào)率太高的話(huà)會(huì)導(dǎo)致用戶(hù)頻頻被誤報(bào)短信和郵件騷擾。烽火臺(tái)通過(guò)如下幾個(gè)技術(shù)特點(diǎn)大大的降低了誤報(bào)率使得檢測(cè)能力有效的提升。

特點(diǎn)一，檢測(cè)敏感度

烽火臺(tái)會(huì)對(duì)頁(yè)面的整體代碼進(jìn)行評(píng)估，通過(guò)配置選項(xiàng)可以設(shè)置頁(yè)面修改比例。這樣能夠有效的判定網(wǎng)站篡改事件，修改的比較靈敏后，會(huì)頻繁對(duì)網(wǎng)站進(jìn)行更新檢測(cè)，缺點(diǎn)就是探測(cè)的靈敏了誤報(bào)率就響應(yīng)的增高一些。

頁(yè)面修改比例調(diào)整高一些，這樣靈敏度雖然降低了，但是彈出出來(lái)的篡改事件誤報(bào)率大大降低，因?yàn)榇a修改浮動(dòng)很大。正常的網(wǎng)站更新不可能修改大批量的代碼。

特點(diǎn)二，篡改關(guān)鍵詞匹配

對(duì)于降低誤報(bào)率的另外一個(gè)手段則是用來(lái)檢測(cè)審核修改的內(nèi)容合規(guī)性，對(duì)網(wǎng)站更新的內(nèi)容進(jìn)行關(guān)鍵詞及敏感詞的特征匹配，若是探測(cè)到了修改并還觸發(fā)了敏感詞基本能判定為頁(yè)面被篡改。

特點(diǎn)三，圖片文件檢測(cè)

篡改圖片也是烽火臺(tái)的一個(gè)亮點(diǎn)，通過(guò)掃描發(fā)現(xiàn)網(wǎng)站內(nèi)包含圖片信息，平臺(tái)會(huì)對(duì)該圖片進(jìn)行md5效驗(yàn)并做下記錄，當(dāng)檢測(cè)到圖片文件發(fā)生變化后，平臺(tái)會(huì)對(duì)新的圖片進(jìn)行md5效驗(yàn)在和原md5進(jìn)行匹配核對(duì)。

特點(diǎn)四，暗鏈檢測(cè)

隱式篡改一般是將被攻擊網(wǎng)站的網(wǎng)頁(yè)植入鏈接色情、詐騙等非法信息的暗鏈中，以幫助黑客牟取非法經(jīng)濟(jì)利益。烽火臺(tái)會(huì)對(duì)網(wǎng)站內(nèi)的鏈接進(jìn)行探測(cè)抓取，平臺(tái)會(huì)主動(dòng)訪(fǎng)問(wèn)該鏈接來(lái)判斷是否是非法惡意鏈接，用來(lái)有效的區(qū)分友鏈和暗鏈。

特點(diǎn)五，敏感詞檢測(cè)

敏感詞檢測(cè)平臺(tái)也使用了兩種技術(shù)手段，一種是內(nèi)置了敏感詞庫(kù)對(duì)頁(yè)面的內(nèi)容信息機(jī)型敏感詞匹配檢測(cè)。另外一種是通過(guò)引擎進(jìn)行百度hack檢測(cè)和谷歌hack檢測(cè)。這樣通過(guò)搜索引擎能夠更加完善靜態(tài)庫(kù)的不足。