中國電信集團系統(tǒng)集成有限責任公司 | 王興宇 彭曉靖 張宇峰 郭亮 彭國城

當前，網(wǎng)站快速發(fā)展的同時面臨新的信息安全挑戰(zhàn)。目前市場上常見的運營型網(wǎng)站篡改檢測解決方案，基本上都是采用外掛輪詢技術, 以輪詢方式讀出要監(jiān)控的網(wǎng)頁，與所記錄的歷史網(wǎng)頁相比較，來判斷網(wǎng)頁內(nèi)容的完整性和一致性，對于被判斷為惡意篡改的網(wǎng)頁進行報警。這種方式導致報警量大，需要大量人工判斷。

通過深入研究，中國電信安全服務中心采用了分布式計算、歷史曲線擬合、行為模式識別和中文處理等方面技術，解決了大規(guī)模安全運營下網(wǎng)站篡改檢測大量誤報和耗費人工的弊病，對正常頁面的誤報率較低，對異常頁面的檢測率較高，檢測效率和準確率都大大提升。

國內(nèi)網(wǎng)站篡改現(xiàn)狀堪憂

據(jù)2013年7月17日中國互聯(lián)網(wǎng)絡信息中心（CNNIC）發(fā)布的第32次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示，截至2013年6月底，我國網(wǎng)民規(guī)模達到5.91億，互聯(lián)網(wǎng)普及率為44.1%。

規(guī)?；木W(wǎng)民數(shù)量和網(wǎng)站為互聯(lián)網(wǎng)應用快速發(fā)展奠定了良好的基礎。網(wǎng)站的重要性也得到了空前的提高，對政府、企事業(yè)來說，網(wǎng)站是一個重要的對外形象、服務窗口和溝通渠道。然而，一方面由于互聯(lián)網(wǎng)在設計之初對安全性的考慮不足，不能適應當前的互聯(lián)網(wǎng)快速發(fā)展的需求；另一方面現(xiàn)有的操作系統(tǒng)和應用軟件中不可避免的存在各種各樣的漏洞和缺陷，導致惡意入侵者很容易利用這些漏洞和缺陷對網(wǎng)站進行攻擊，從而破壞網(wǎng)站的正常運轉(zhuǎn)。

雖然目前已經(jīng)有防火墻、入侵檢測等安全防范手段，但各類Web應用系統(tǒng)的復雜性和多樣性，以及IT建設水平的差異性，導致系統(tǒng)漏洞層出不窮、防不勝防，被黑客入侵，進而網(wǎng)站頁面被篡改的事件時有發(fā)生。

據(jù)不完全統(tǒng)計結(jié)果，2012年我國境內(nèi)已知被篡改網(wǎng)站的事件數(shù)量多達16388次，較2011年的15443次增長6.1%。從域名類型看，2012年我國境內(nèi)被篡改網(wǎng)站中，代表商業(yè)機構(gòu)的網(wǎng)站（COM）最多，占64.5%，其次是政府類(GOV)網(wǎng)站和網(wǎng)絡組織類（NET）網(wǎng)站，分別占11.0%和7.1%，而且，政府類網(wǎng)站較2011年增長率高達21.4%，值得重視。

根據(jù)對網(wǎng)站篡改攻擊行為分析，可以將攻擊動機分為四類：第一類是出于政治、宗教目的，將境內(nèi)政府部門網(wǎng)站作為重點攻擊目標，攻擊成功后通常會在網(wǎng)站留下宣揚其政治、宗教理念的文字或圖片；第二類是出于技術炫耀目的，攻擊者篡改網(wǎng)站成功后留下代號名稱，并留有調(diào)侃風格的文字或圖片；第三類則是在網(wǎng)站上留存后門頁面，一是方便其以后進入，二則不排除其將該后門用于地下交易牟取非法利益的可能。第四類是在網(wǎng)站上添加被稱之為“暗鏈”的隱藏鏈接，以達到黑帽SEO等牟利目的。

從篡改實現(xiàn)來看,除了前三類篡改攻擊事件外，第四類暗鏈篡改呈現(xiàn)較快增長趨勢。向網(wǎng)站植入暗鏈不易被網(wǎng)站管理員和互聯(lián)網(wǎng)用戶發(fā)覺，但是卻能給攻擊者帶來較為豐富的回報，因而受到攻擊者的追捧。攻擊者向網(wǎng)站暗中植入的暗鏈大多為廣告頁面的鏈接，主要用于出售廣告位或提供網(wǎng)站排名優(yōu)化以牟取經(jīng)濟利益，也可用于出售其所掌握或控制的網(wǎng)站服務器信息或當作跳板發(fā)起網(wǎng)絡攻擊。目前通過埋入暗鏈、銷售暗鏈所指向的網(wǎng)頁及資源，已經(jīng)形成了一個地下產(chǎn)業(yè)鏈條。

網(wǎng)站被篡改危害重重

從前面的統(tǒng)計可以看到,國內(nèi)被篡改攻擊的網(wǎng)站多為公司/企業(yè)類網(wǎng)站，其次是政府類網(wǎng)站。下面以這些網(wǎng)站來分析篡改導致的危害。

我們知道，門戶網(wǎng)站的優(yōu)點是可以向公眾快速發(fā)布各種信息，信息分為很多種，從簡單的通知到正式聲明等。但這又是一把雙刃劍，網(wǎng)站發(fā)布的信息很快就會被閱讀或轉(zhuǎn)載的同時，如果遭到篡改，則又會因為篡改網(wǎng)站頁面?zhèn)鞑ニ俣瓤?，閱讀人群多，復制容易等特點，造成不良影響，而且事后消除影響困難。

從商業(yè)公司、企業(yè)角度來說，尤其是大型企業(yè)，網(wǎng)站被篡改，會導致企業(yè)威望降低，給商業(yè)競爭對手攻擊的借口，損失客戶的信任，甚至導致敏感信息被竊取，影響是長遠的。

從政府角度來說，政府網(wǎng)站作為政府發(fā)布重要新聞、重大方針政策以及法規(guī)等的重要渠道，一旦被黑客篡改，將使政府的形象受損，影響信息的傳達，破壞群眾對政府部門的信任。嚴重的，還會因不良或惡意信息的傳播，導致社會恐慌或引發(fā)政治危機。

由此可見，網(wǎng)站被篡改所帶來的后果是嚴重的。國家相關部門對此也很重視，2011 年 4 月，國務院辦公廳正式發(fā)文國辦函〔2011〕40 號《國務院辦公廳關于進一步加強政府網(wǎng)站管理工作的通知》，要求各級政府主管部門對本地區(qū)政府網(wǎng)站的安全狀況進行全面檢查，重點對網(wǎng)站掛馬、暗鏈、篡改、病毒等進行監(jiān)測及防范。

傳統(tǒng)檢測方案需要變革

國內(nèi)外非法組織的不法企圖，黑客強烈的表現(xiàn)欲望，商業(yè)競爭對手的惡意攻擊，甚至帶有不滿情緒離職員工的發(fā)泄等等都將導致網(wǎng)頁被“變臉”。

為了減少網(wǎng)站被篡改的可能，有些大型企業(yè)或政府機構(gòu)為網(wǎng)站購買了傳統(tǒng)的網(wǎng)頁防篡改系統(tǒng)，并在其網(wǎng)站服務器上部署安裝。不過，一則很多用戶并沒有足夠經(jīng)驗的技術人員維護系統(tǒng)；二則價格昂貴，并不是所有具有篡改檢測需求的用戶都有相應的經(jīng)濟條件來購買；三則傳統(tǒng)的本地網(wǎng)頁防篡改系統(tǒng)會給網(wǎng)站應用帶來復雜度增加和性能的下降。

在這種情況下，運營型的網(wǎng)站篡改檢測服務就應運而生。既解決了購買設備開銷大，需要專業(yè)人員維護的問題，又解決了無人值守的問題，尤其是節(jié)假日期間，無人值守常會導致篡改不能及時發(fā)現(xiàn)的后果，因此廣受中小型企業(yè)及政府部門的歡迎。

但是，目前常用的運營型網(wǎng)站篡改檢測解決方案，并沒有將惡意篡改和網(wǎng)站主動更新進行明確的區(qū)分，從而其報警的有效率和可靠性并不令人滿意。網(wǎng)站的一些輕微調(diào)整和正常維護都會觸發(fā)告警，篡改檢測的運維人員不得不對每條告警都做人工驗證，只將驗證通過的告警才告知客戶，檢測效率低，耗費人力，效果并不理想。

解決面臨兩大技術難點

從技術角度看，網(wǎng)站篡改和網(wǎng)站更新都屬于信息的變更，只是網(wǎng)站篡改是網(wǎng)站管理人員未經(jīng)授權(quán)和認可的改變，其帶來的后果往往是惡意的、破壞性的。因此，簡單的從是否發(fā)生了變化、變化的幅度、變化的位置等這些方面，不能通過技術手段來將篡改和更新進行明確的區(qū)分。

難點一：正常內(nèi)容更新和惡意篡改的區(qū)分

對于瀏覽者，尤其是對該網(wǎng)站比較熟悉的瀏覽者或網(wǎng)站管理員，能夠相對容易的判別網(wǎng)站是否出現(xiàn)了被篡改的內(nèi)容（部分篡改極其隱蔽，人工也難以識別和判斷）。但是對于自動執(zhí)行的程序，由于其缺乏人腦所具備的模糊識別、經(jīng)驗判斷等能力，必須從概率統(tǒng)計、模式識別、人工智能等方面進行判斷，并且考慮到篡改檢測的應用場景，其實現(xiàn)的計算成本和運營成本必須控制在一定范疇之內(nèi)。

難點二：篡改定位與展現(xiàn)

篡改監(jiān)控不僅僅要識別出篡改事件，而且作為運營型服務，應該具備更易用的用戶體驗和更直觀的用戶界面。傳統(tǒng)的網(wǎng)頁篡改軟件，一般只能提供網(wǎng)頁的源代碼進行對比，以不同的顏色將代碼差異性區(qū)分顯示。但是對于非技術人員，這種界面既不方便，也很難判斷發(fā)生了什么篡改變化。我們通過模擬用戶瀏覽行為的技術，對網(wǎng)頁進行可視化對比，從而發(fā)現(xiàn)視覺上發(fā)生了變化的位置，以直觀的方式展現(xiàn)變化的位置、內(nèi)容和程度。

在發(fā)生給用戶或運維人員的篡改警告中，可以很直觀的查看到具體發(fā)生變化的情況，從而可以迅速定位和判定篡改的情況。

圖1 整個業(yè)務平臺的邏輯架構(gòu)

圖2 網(wǎng)頁變化判定邏輯圖

運營型網(wǎng)站篡改檢測系統(tǒng)已實現(xiàn)

針對這個現(xiàn)狀，基于中國電信安全服務中心兩年來網(wǎng)站安全運營的經(jīng)驗，結(jié)合垃圾信息識別、數(shù)據(jù)模式分析方面的技術，我們提出了新的檢測思路，并已開發(fā)完成投入使用，從目前的實際運營情況看，效果良好。

作為運營型的網(wǎng)站篡改檢測系統(tǒng)，需具備如下特點：一是大數(shù)據(jù)處理能力，能夠處理較大數(shù)量的網(wǎng)站、網(wǎng)頁的變更對比和篡改評判；二是分布式存儲和調(diào)用能力，能夠分布式存儲和訪問大量的網(wǎng)頁及其附屬元素，并根據(jù)需要生成和存儲不同歷史時期的快照；三是任務調(diào)度處理能力，能夠根據(jù)處理能力、存儲能力、帶寬能力進行篡改監(jiān)控的頁面抓取、分析工作的分配與調(diào)度；四是運維級和用戶級的警告推送能力，根據(jù)判定的篡改結(jié)果，將其遠程推送到運維平臺或用戶端，并具備重復報警合并、報警級別升級等對報警信息的優(yōu)化處置能力。因此，我們設計并運行的運營型網(wǎng)站篡改檢測系統(tǒng)實現(xiàn)（如圖1）。

其中，監(jiān)控中心負責調(diào)度和發(fā)布監(jiān)控任務，并根據(jù)監(jiān)控節(jié)點回推的監(jiān)控結(jié)果，通知告警中心進行告警處置。監(jiān)控節(jié)點負責對被檢測的網(wǎng)站頁面進行抓取、快照、對比和形成判定。在判定出現(xiàn)篡改事件后，將該事件通知監(jiān)控中心。告警中心負責接收監(jiān)控中心傳遞的篡改告警，并將這些告警視情況通知運維人員或最終客戶。告警的通知方式有移動客戶端、短信、郵件，也可以通過網(wǎng)站查看詳細告警信息和統(tǒng)計報告。

監(jiān)控節(jié)點的內(nèi)容抓取

監(jiān)控節(jié)點對被監(jiān)控網(wǎng)站進行數(shù)據(jù)抓取，并判斷是否出現(xiàn)篡改。監(jiān)控節(jié)點的抓取動作分為兩類：完整抓取和部分抓取。

在定時抓取任務中，通常進行部分抓取，僅在必要時再進行完整抓取，以建立完整印象。舉例說，如果定時檢測間隔為30分鐘，通常每次檢測都是做部分抓取，除非部分抓取中出現(xiàn)了可疑的變化，才會在部分抓取的基礎上補充完整抓?。欢谝粋€較長間隔，比如一天，會進行一個完整抓取，以強化“印象”和保留歷史數(shù)據(jù)。完整抓取和部分抓取是一種效率和準確率的結(jié)合。

頁面“印象”的建立和對比

篡改監(jiān)控需要對抓取的頁面進行“印象”建立，并根據(jù)前后兩個“印象”對比結(jié)果給出篡改判斷。建立完整“印象”，需要抓取該頁面的全部資源。本方案在篡改檢測技術上有所創(chuàng)新，使用頁面“印象”的對比，來完成篡改檢測。頁面“印象”變化通過四個方面的值綜合獲得，即頁面結(jié)構(gòu)變化率、文字傾向性變化率、圖片元素變化率和主觀視覺變化率等。

結(jié)合用戶行為分析進行篡改判定

網(wǎng)頁的變化，從動因上分為兩類：一是變更，由授權(quán)人員主動的、有意識的、許可地進行的變化，如手工更新、自動更新等；二是篡改，未經(jīng)授權(quán)的、未知的、惡意的變化。如黑客攻擊、惡意破壞等。

從本質(zhì)上看，變更和篡改都是網(wǎng)頁及其附屬元素的變化，帶來了可見或不可見的頁面變化，因此，兩者之間存在一定的模糊區(qū)域。不過從頁面變化的結(jié)果、行為上，是可以將絕大部分的變更和篡改區(qū)分開。

從變化的結(jié)果上看，如果變化劇烈以致超過了設定基準，就應該發(fā)起告警（圖2）。但在特定情形下，需避免告警：用戶在改版期間，可以手工抑制告警；用戶在網(wǎng)站服務器基礎設施調(diào)整期間，可以手工抑制告警。

但是，在另外一些情形下，應該提高告警觸發(fā)敏感度：變更發(fā)生在非工作日、非工作時間；變更幅度與歷史變化幅度偏離較大時。

新系統(tǒng)運營效果良好

中國電信安全服務中心基于新方案對某公司網(wǎng)站進行了試點。該網(wǎng)站篡改檢測系統(tǒng)上線后，經(jīng)過兩個多月的試運行，效果良好。篡改發(fā)現(xiàn)及時準確，更重要的是，采用上面的技術手段后，大大減少了無效告警量，在保證監(jiān)控頻率的前提下，誤報告警量降至原來的10%以下，極大的節(jié)省了運維力量。