中國電信集團系統集成有限責任公司 | 王興宇 彭曉靖 張宇峰 郭亮 彭國城

當前，網站快速發(fā)展的同時面臨新的信息安全挑戰(zhàn)。目前市場上常見的運營型網站篡改檢測解決方案，基本上都是采用外掛輪詢技術, 以輪詢方式讀出要監(jiān)控的網頁，與所記錄的歷史網頁相比較，來判斷網頁內容的完整性和一致性，對于被判斷為惡意篡改的網頁進行報警。這種方式導致報警量大，需要大量人工判斷。

通過深入研究，中國電信安全服務中心采用了分布式計算、歷史曲線擬合、行為模式識別和中文處理等方面技術，解決了大規(guī)模安全運營下網站篡改檢測大量誤報和耗費人工的弊病，對正常頁面的誤報率較低，對異常頁面的檢測率較高，檢測效率和準確率都大大提升。

國內網站篡改現狀堪憂

據2013年7月17日中國互聯網絡信息中心（CNNIC）發(fā)布的第32次《中國互聯網絡發(fā)展狀況統計報告》顯示，截至2013年6月底，我國網民規(guī)模達到5.91億，互聯網普及率為44.1%。

規(guī)?；木W民數量和網站為互聯網應用快速發(fā)展奠定了良好的基礎。網站的重要性也得到了空前的提高，對政府、企事業(yè)來說，網站是一個重要的對外形象、服務窗口和溝通渠道。然而，一方面由于互聯網在設計之初對安全性的考慮不足，不能適應當前的互聯網快速發(fā)展的需求；另一方面現有的操作系統和應用軟件中不可避免的存在各種各樣的漏洞和缺陷，導致惡意入侵者很容易利用這些漏洞和缺陷對網站進行攻擊，從而破壞網站的正常運轉。

雖然目前已經有防火墻、入侵檢測等安全防范手段，但各類Web應用系統的復雜性和多樣性，以及IT建設水平的差異性，導致系統漏洞層出不窮、防不勝防，被黑客入侵，進而網站頁面被篡改的事件時有發(fā)生。

據不完全統計結果，2012年我國境內已知被篡改網站的事件數量多達16388次，較2011年的15443次增長6.1%。從域名類型看，2012年我國境內被篡改網站中，代表商業(yè)機構的網站（COM）最多，占64.5%，其次是政府類(GOV)網站和網絡組織類（NET）網站，分別占11.0%和7.1%，而且，政府類網站較2011年增長率高達21.4%，值得重視。

根據對網站篡改攻擊行為分析，可以將攻擊動機分為四類：第一類是出于政治、宗教目的，將境內政府部門網站作為重點攻擊目標，攻擊成功后通常會在網站留下宣揚其政治、宗教理念的文字或圖片；第二類是出于技術炫耀目的，攻擊者篡改網站成功后留下代號名稱，并留有調侃風格的文字或圖片；第三類則是在網站上留存后門頁面，一是方便其以后進入，二則不排除其將該后門用于地下交易牟取非法利益的可能。第四類是在網站上添加被稱之為“暗鏈”的隱藏鏈接，以達到黑帽SEO等牟利目的。

從篡改實現來看,除了前三類篡改攻擊事件外，第四類暗鏈篡改呈現較快增長趨勢。向網站植入暗鏈不易被網站管理員和互聯網用戶發(fā)覺，但是卻能給攻擊者帶來較為豐富的回報，因而受到攻擊者的追捧。攻擊者向網站暗中植入的暗鏈大多為廣告頁面的鏈接，主要用于出售廣告位或提供網站排名優(yōu)化以牟取經濟利益，也可用于出售其所掌握或控制的網站服務器信息或當作跳板發(fā)起網絡攻擊。目前通過埋入暗鏈、銷售暗鏈所指向的網頁及資源，已經形成了一個地下產業(yè)鏈條。

網站被篡改危害重重

從前面的統計可以看到,國內被篡改攻擊的網站多為公司/企業(yè)類網站，其次是政府類網站。下面以這些網站來分析篡改導致的危害。

我們知道，門戶網站的優(yōu)點是可以向公眾快速發(fā)布各種信息，信息分為很多種，從簡單的通知到正式聲明等。但這又是一把雙刃劍，網站發(fā)布的信息很快就會被閱讀或轉載的同時，如果遭到篡改，則又會因為篡改網站頁面?zhèn)鞑ニ俣瓤?，閱讀人群多，復制容易等特點，造成不良影響，而且事后消除影響困難。

從商業(yè)公司、企業(yè)角度來說，尤其是大型企業(yè)，網站被篡改，會導致企業(yè)威望降低，給商業(yè)競爭對手攻擊的借口，損失客戶的信任，甚至導致敏感信息被竊取，影響是長遠的。

從政府角度來說，政府網站作為政府發(fā)布重要新聞、重大方針政策以及法規(guī)等的重要渠道，一旦被黑客篡改，將使政府的形象受損，影響信息的傳達，破壞群眾對政府部門的信任。嚴重的，還會因不良或惡意信息的傳播，導致社會恐慌或引發(fā)政治危機。

由此可見，網站被篡改所帶來的后果是嚴重的。國家相關部門對此也很重視，2011 年 4 月，國務院辦公廳正式發(fā)文國辦函〔2011〕40 號《國務院辦公廳關于進一步加強政府網站管理工作的通知》，要求各級政府主管部門對本地區(qū)政府網站的安全狀況進行全面檢查，重點對網站掛馬、暗鏈、篡改、病毒等進行監(jiān)測及防范。

傳統檢測方案需要變革

國內外非法組織的不法企圖，黑客強烈的表現欲望，商業(yè)競爭對手的惡意攻擊，甚至帶有不滿情緒離職員工的發(fā)泄等等都將導致網頁被“變臉”。

為了減少網站被篡改的可能，有些大型企業(yè)或政府機構為網站購買了傳統的網頁防篡改系統，并在其網站服務器上部署安裝。不過，一則很多用戶并沒有足夠經驗的技術人員維護系統；二則價格昂貴，并不是所有具有篡改檢測需求的用戶都有相應的經濟條件來購買；三則傳統的本地網頁防篡改系統會給網站應用帶來復雜度增加和性能的下降。

在這種情況下，運營型的網站篡改檢測服務就應運而生。既解決了購買設備開銷大，需要專業(yè)人員維護的問題，又解決了無人值守的問題，尤其是節(jié)假日期間，無人值守常會導致篡改不能及時發(fā)現的后果，因此廣受中小型企業(yè)及政府部門的歡迎。

但是，目前常用的運營型網站篡改檢測解決方案，并沒有將惡意篡改和網站主動更新進行明確的區(qū)分，從而其報警的有效率和可靠性并不令人滿意。網站的一些輕微調整和正常維護都會觸發(fā)告警，篡改檢測的運維人員不得不對每條告警都做人工驗證，只將驗證通過的告警才告知客戶，檢測效率低，耗費人力，效果并不理想。

解決面臨兩大技術難點

從技術角度看，網站篡改和網站更新都屬于信息的變更，只是網站篡改是網站管理人員未經授權和認可的改變，其帶來的后果往往是惡意的、破壞性的。因此，簡單的從是否發(fā)生了變化、變化的幅度、變化的位置等這些方面，不能通過技術手段來將篡改和更新進行明確的區(qū)分。

難點一：正常內容更新和惡意篡改的區(qū)分

對于瀏覽者，尤其是對該網站比較熟悉的瀏覽者或網站管理員，能夠相對容易的判別網站是否出現了被篡改的內容（部分篡改極其隱蔽，人工也難以識別和判斷）。但是對于自動執(zhí)行的程序，由于其缺乏人腦所具備的模糊識別、經驗判斷等能力，必須從概率統計、模式識別、人工智能等方面進行判斷，并且考慮到篡改檢測的應用場景，其實現的計算成本和運營成本必須控制在一定范疇之內。

難點二：篡改定位與展現

篡改監(jiān)控不僅僅要識別出篡改事件，而且作為運營型服務，應該具備更易用的用戶體驗和更直觀的用戶界面。傳統的網頁篡改軟件，一般只能提供網頁的源代碼進行對比，以不同的顏色將代碼差異性區(qū)分顯示。但是對于非技術人員，這種界面既不方便，也很難判斷發(fā)生了什么篡改變化。我們通過模擬用戶瀏覽行為的技術，對網頁進行可視化對比，從而發(fā)現視覺上發(fā)生了變化的位置，以直觀的方式展現變化的位置、內容和程度。

在發(fā)生給用戶或運維人員的篡改警告中，可以很直觀的查看到具體發(fā)生變化的情況，從而可以迅速定位和判定篡改的情況。

圖1 整個業(yè)務平臺的邏輯架構

圖2 網頁變化判定邏輯圖

運營型網站篡改檢測系統已實現

針對這個現狀，基于中國電信安全服務中心兩年來網站安全運營的經驗，結合垃圾信息識別、數據模式分析方面的技術，我們提出了新的檢測思路，并已開發(fā)完成投入使用，從目前的實際運營情況看，效果良好。

作為運營型的網站篡改檢測系統，需具備如下特點：一是大數據處理能力，能夠處理較大數量的網站、網頁的變更對比和篡改評判；二是分布式存儲和調用能力，能夠分布式存儲和訪問大量的網頁及其附屬元素，并根據需要生成和存儲不同歷史時期的快照；三是任務調度處理能力，能夠根據處理能力、存儲能力、帶寬能力進行篡改監(jiān)控的頁面抓取、分析工作的分配與調度；四是運維級和用戶級的警告推送能力，根據判定的篡改結果，將其遠程推送到運維平臺或用戶端，并具備重復報警合并、報警級別升級等對報警信息的優(yōu)化處置能力。因此，我們設計并運行的運營型網站篡改檢測系統實現（如圖1）。

其中，監(jiān)控中心負責調度和發(fā)布監(jiān)控任務，并根據監(jiān)控節(jié)點回推的監(jiān)控結果，通知告警中心進行告警處置。監(jiān)控節(jié)點負責對被檢測的網站頁面進行抓取、快照、對比和形成判定。在判定出現篡改事件后，將該事件通知監(jiān)控中心。告警中心負責接收監(jiān)控中心傳遞的篡改告警，并將這些告警視情況通知運維人員或最終客戶。告警的通知方式有移動客戶端、短信、郵件，也可以通過網站查看詳細告警信息和統計報告。

監(jiān)控節(jié)點的內容抓取

監(jiān)控節(jié)點對被監(jiān)控網站進行數據抓取，并判斷是否出現篡改。監(jiān)控節(jié)點的抓取動作分為兩類：完整抓取和部分抓取。

在定時抓取任務中，通常進行部分抓取，僅在必要時再進行完整抓取，以建立完整印象。舉例說，如果定時檢測間隔為30分鐘，通常每次檢測都是做部分抓取，除非部分抓取中出現了可疑的變化，才會在部分抓取的基礎上補充完整抓?。欢谝粋€較長間隔，比如一天，會進行一個完整抓取，以強化“印象”和保留歷史數據。完整抓取和部分抓取是一種效率和準確率的結合。

頁面“印象”的建立和對比

篡改監(jiān)控需要對抓取的頁面進行“印象”建立，并根據前后兩個“印象”對比結果給出篡改判斷。建立完整“印象”，需要抓取該頁面的全部資源。本方案在篡改檢測技術上有所創(chuàng)新，使用頁面“印象”的對比，來完成篡改檢測。頁面“印象”變化通過四個方面的值綜合獲得，即頁面結構變化率、文字傾向性變化率、圖片元素變化率和主觀視覺變化率等。

結合用戶行為分析進行篡改判定

網頁的變化，從動因上分為兩類：一是變更，由授權人員主動的、有意識的、許可地進行的變化，如手工更新、自動更新等；二是篡改，未經授權的、未知的、惡意的變化。如黑客攻擊、惡意破壞等。

從本質上看，變更和篡改都是網頁及其附屬元素的變化，帶來了可見或不可見的頁面變化，因此，兩者之間存在一定的模糊區(qū)域。不過從頁面變化的結果、行為上，是可以將絕大部分的變更和篡改區(qū)分開。

從變化的結果上看，如果變化劇烈以致超過了設定基準，就應該發(fā)起告警（圖2）。但在特定情形下，需避免告警：用戶在改版期間，可以手工抑制告警；用戶在網站服務器基礎設施調整期間，可以手工抑制告警。

但是，在另外一些情形下，應該提高告警觸發(fā)敏感度：變更發(fā)生在非工作日、非工作時間；變更幅度與歷史變化幅度偏離較大時。

新系統運營效果良好

中國電信安全服務中心基于新方案對某公司網站進行了試點。該網站篡改檢測系統上線后，經過兩個多月的試運行，效果良好。篡改發(fā)現及時準確，更重要的是，采用上面的技術手段后，大大減少了無效告警量，在保證監(jiān)控頻率的前提下，誤報告警量降至原來的10%以下，極大的節(jié)省了運維力量。