網絡安全態勢分析

網站篡改事件近些年來越演越烈，其中包括政府、教育、金融、事業企業單位等。根據國家互聯網應急響應中心發布的《2015年中國互聯網網絡安全報告》中指出，“2015年CNCERT/CC工檢測到境內被篡改的網站數量為24550個，其中境內政府網站篡改數量為898個。”

網頁篡改按照攻擊手段來進行區分，可以分成顯式篡改和隱式篡改兩種。通過顯式網頁篡改，黑客可炫耀自己的技術技巧，或達到聲明自己主張的目的;隱式篡改一般是將被攻擊網站的網頁植入鏈接色情、詐騙等非法信息的暗鏈中，以幫助黑客牟取非法經濟利益。黑客為了篡改網頁，一般需提前知曉網站的漏洞，提前在網頁中植入后門，并最終獲取網站的控制權。

網站代表著企業、金融、政府機構、教育等行業在互聯網用戶中的形象，要是頁面被惡意篡改會造成嚴重的影響尤其是經濟損失、名譽損失、政治風險等。所以如何有效快速的發現篡改事件，將篡改事件的惡劣影響縮至最小才是最最重要的事宜。

如何進行網站篡改檢測頁面篡改監控有兩種模式處理：第一種處理模式，對于網站結構或者屬性單一的用戶，提供基于防護的篡改監控防護模式。用戶可以根據自己情況，從管理中心下載與其服務器相對應的防篡改客戶端，安裝在自己服務器上，和管理中心互聯，完成”監控-防護”的功能;

第二種處理模式，基于掃描的網頁篡改監控服務。通過遠程實時監測目標網站頁面的信息，包括網站的標題、文本內容、圖片等元素進行關鍵字、敏感詞、暗鏈等項目來進行檢測判定，一旦發現頁面被篡改情況，第一時間通知用戶。用戶可根據烽火臺提供的安全建議及時修復被篡改頁面，避免篡改事件影響擴散，給自身帶來聲譽和法律風險。

頁面篡改監控實踐：探測篡改最核心的關鍵是降低誤報率，要是誤報率太高的話會導致用戶頻頻被誤報短信和郵件騷擾。烽火臺通過如下幾個技術特點大大的降低了誤報率使得檢測能力有效的提升。

特點一，檢測敏感度

烽火臺會對頁面的整體代碼進行評估，通過配置選項可以設置頁面修改比例。這樣能夠有效的判定網站篡改事件，修改的比較靈敏后，會頻繁對網站進行更新檢測，缺點就是探測的靈敏了誤報率就響應的增高一些。

頁面修改比例調整高一些，這樣靈敏度雖然降低了，但是彈出出來的篡改事件誤報率大大降低，因為代碼修改浮動很大。正常的網站更新不可能修改大批量的代碼。

特點二，篡改關鍵詞匹配

對于降低誤報率的另外一個手段則是用來檢測審核修改的內容合規性，對網站更新的內容進行關鍵詞及敏感詞的特征匹配，若是探測到了修改并還觸發了敏感詞基本能判定為頁面被篡改。

特點三，圖片文件檢測

篡改圖片也是烽火臺的一個亮點，通過掃描發現網站內包含圖片信息，平臺會對該圖片進行md5效驗并做下記錄，當檢測到圖片文件發生變化后，平臺會對新的圖片進行md5效驗在和原md5進行匹配核對。

特點四，暗鏈檢測

隱式篡改一般是將被攻擊網站的網頁植入鏈接色情、詐騙等非法信息的暗鏈中，以幫助黑客牟取非法經濟利益。烽火臺會對網站內的鏈接進行探測抓取，平臺會主動訪問該鏈接來判斷是否是非法惡意鏈接，用來有效的區分友鏈和暗鏈。

特點五，敏感詞檢測

敏感詞檢測平臺也使用了兩種技術手段，一種是內置了敏感詞庫對頁面的內容信息機型敏感詞匹配檢測。另外一種是通過引擎進行百度hack檢測和谷歌hack檢測。這樣通過搜索引擎能夠更加完善靜態庫的不足。

如何用烽火臺來監控網站?首先登陸烽火臺平臺，在任務中心—站點管理—新增

需要設置上網站的名稱、及監控的域名地址、網站類別等信息

其次在任務管理—內容監控—新增，根據實際情況設置監控信息。監控頻率有每N分鐘、每N小時、每天、每周等，具體的頻率時間可以根據自己的實際情況自行設定。并且可以設置監控的深度、掃描線程數、掃描最大頁面數等。

再次就是配置告警管理，設置好告警接受人和接收告警方式，有短信和郵件兩種告警模式。

這時候，一個網站的監控項目創建成功。之后如果網站被重定向或者篡改成其他頁面，就可以接收到告警短信。

遠江盛邦對于網站篡改監控多次參與國家級安全保障網站安全是安全的重點領域，而篡改監控則是重點中的重點。篡改往往有其經濟和整治目的，他不像數據盜竊，成功失敗都是發生在攻擊的同時，而篡改攻擊，不僅要技術上成功還要被盡量多的人訪問才算成功，因此只要能在足夠短的時間內發現篡改，并進行修正，就可以認為是對篡改攻擊的成功防御!