作为运营型的网站篡改检测系统，需具备如下特点：一是大数据处理能力，能够处理较大数量的网站、网页的变更对比和篡改评判；二是分布式存储和调用能力，能够分布式存储和访问大量的网页及其附属元素，并根据需要生成和存储不同历史时期的快照；三是任务调度处理能力，能够根据处理能力、存储能力、带宽能力进行篡改监控的页面抓取、分析工作的分配与调度；四是运维级和用户级的警告推送能力，根据判定的篡改结果，将其远程推送到运维平台或用户端，并具备重复报警合并、报警级别升级等对报警信息的优化处置能力。因此，我们设计并运行的运营型网站篡改检测系统实现（如图1） 。

其中，监控中心负责调度和发布监控任务，并根据监控节点回推的监控结果，通知告警中心进行告警处置。监控节点负责对被检测的网站页面进行抓取、快照、对比和形成判定。在判定出现篡改事件后，将该事件通知监控中心。告警中心负责接收监控中心传递的篡改告警，并将这些告警视情况通知运维人员或最终客户。告警的通知方式有移动客户端、短信、邮件，也可以通过网站查看详细告警信息和统计报告。

监控节点的内容抓取

监控节点对被监控网站进行数据抓取，并判断是否出现篡改。监控节点的抓取动作分为两类：完整抓取和部分抓取。

在定时抓取任务中，通常进行部分抓取，仅在必要时再进行完整抓取，以建立完整印象。举例说，如果定时检测间隔为30分钟，通常每次检测都是做部分抓取，除非部分抓取中出现了可疑的变化，才会在部分抓取的基础上补充完整抓取；而在一个较长间隔，比如一天，会进行一个完整抓取，以强化“印象”和保留历史数据。完整抓取和部分抓取是一种效率和准确率的结合。

页面“印象”的建立和对比

篡改监控需要对抓取的页面进行“印象”建立，并根据前后两个“印象”对比结果给出篡改判断。建立完整“印象”，需要抓取该页面的全部资源。本方案在篡改检测技术上有所创新，使用页面“印象”的对比，来完成篡改检测。页面“印象”变化通过四个方面的值综合获得，即页面结构变化率、文字倾向性变化率、图片元素变化率和主观视觉变化率等。

结合用户行为分析进行篡改判定

网页的变化，从动因上分为两类：一是变更，由授权人员主动的、有意识的、许可地进行的变化，如手工更新、自动更新等；二是篡改，未经授权的、未知的、恶意的变化。如黑客攻击、恶意破坏等。

从本质上看，变更和篡改都是网页及其附属元素的变化，带来了可见或不可见的页面变化，因此，两者之间存在一定的模糊区域。不过从页面变化的结果、行为上，是可以将绝大部分的变更和篡改区分开。

从变化的结果上看，如果变化剧烈以致超过了设定基准，就应该发起告警（图2）。但在特定情形下，需避免告警：用户在改版期间，可以手工抑制告警；用户在网站服务器基础设施调整期间，可以手工抑制告警。

但是，在另外一些情形下，应该提高告警触发敏感度：变更发生在非工作日、非工作时间；变更幅度与历史变化幅度偏离较大时。

新系统运营效果良好

中国电信安全服务中心基于新方案对某公司网站进行了试点。该网站篡改检测系统上线后，经过两个多月的试运行，效果良好。篡改发现及时准确，更重要的是，采用上面的技术手段后，大大减少了无效告警量，在保证监控频率的前提下，误报告警量降至原来的10%以下，极大的节省了运维力量。