|
中国电信推运营型网站篡改检测服务 以技术创新实现安全服务转型
http://www.cww.net.cn 2013年12月9日 07:00
作为运营型的网站篡改检测系统,需具备如下特点:一是大数据处理能力,能够处理较大数量的网站、网页的变更对比和篡改评判;二是分布式存储和调用能力,能够分布式存储和访问大量的网页及其附属元素,并根据需要生成和存储不同历史时期的快照;三是任务调度处理能力,能够根据处理能力、存储能力、带宽能力进行篡改监控的页面抓取、分析工作的分配与调度;四是运维级和用户级的警告推送能力,根据判定的篡改结果,将其远程推送到运维平台或用户端,并具备重复报警合并、报警级别升级等对报警信息的优化处置能力。因此,我们设计并运行的运营型网站篡改检测系统实现(如图1) 。 其中,监控中心负责调度和发布监控任务,并根据监控节点回推的监控结果,通知告警中心进行告警处置。监控节点负责对被检测的网站页面进行抓取、快照、对比和形成判定。在判定出现篡改事件后,将该事件通知监控中心。告警中心负责接收监控中心传递的篡改告警,并将这些告警视情况通知运维人员或最终客户。告警的通知方式有移动客户端、短信、邮件,也可以通过网站查看详细告警信息和统计报告。 监控节点的内容抓取 监控节点对被监控网站进行数据抓取,并判断是否出现篡改。监控节点的抓取动作分为两类:完整抓取和部分抓取。 在定时抓取任务中,通常进行部分抓取,仅在必要时再进行完整抓取,以建立完整印象。举例说,如果定时检测间隔为30分钟,通常每次检测都是做部分抓取,除非部分抓取中出现了可疑的变化,才会在部分抓取的基础上补充完整抓取;而在一个较长间隔,比如一天,会进行一个完整抓取,以强化“印象”和保留历史数据。完整抓取和部分抓取是一种效率和准确率的结合。 页面“印象”的建立和对比 篡改监控需要对抓取的页面进行“印象”建立,并根据前后两个“印象”对比结果给出篡改判断。建立完整“印象”,需要抓取该页面的全部资源。本方案在篡改检测技术上有所创新,使用页面“印象”的对比,来完成篡改检测。页面“印象”变化通过四个方面的值综合获得,即页面结构变化率、文字倾向性变化率、图片元素变化率和主观视觉变化率等。 结合用户行为分析进行篡改判定 网页的变化,从动因上分为两类:一是变更,由授权人员主动的、有意识的、许可地进行的变化,如手工更新、自动更新等;二是篡改,未经授权的、未知的、恶意的变化。如黑客攻击、恶意破坏等。 从本质上看,变更和篡改都是网页及其附属元素的变化,带来了可见或不可见的页面变化,因此,两者之间存在一定的模糊区域。不过从页面变化的结果、行为上,是可以将绝大部分的变更和篡改区分开。 从变化的结果上看,如果变化剧烈以致超过了设定基准,就应该发起告警(图2)。但在特定情形下,需避免告警:用户在改版期间,可以手工抑制告警;用户在网站服务器基础设施调整期间,可以手工抑制告警。 但是,在另外一些情形下,应该提高告警触发敏感度:变更发生在非工作日、非工作时间;变更幅度与历史变化幅度偏离较大时。 新系统运营效果良好 中国电信安全服务中心基于新方案对某公司网站进行了试点。该网站篡改检测系统上线后,经过两个多月的试运行,效果良好。篡改发现及时准确,更重要的是,采用上面的技术手段后,大大减少了无效告警量,在保证监控频率的前提下,误报告警量降至原来的10%以下,极大的节省了运维力量。 来源:通信世界网-通信世界周刊 作 者:中国电信集团系统集成有限责任公司 | 王兴宇 彭晓靖 张宇峰 郭亮 彭国城编 辑:于光媚
猜你还喜欢的内容
文章评论【查看评论()】
|
企业黄页 会议活动 |