三种技术

      外挂轮询技术

         外挂轮询技术是利用一个网页读取和检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。

   web层内嵌检测技术

         web层内嵌检测技术是将篡改检测模块内嵌在Web服务器软件里,它在每一个网页流出时都进行完整性检查,对于篡改网页进行实时访问阻断,并予以报警和恢复。

   文件系统内核检测技术

        文件系统内核检测技术是利用操作系统的文件系统接口,在网页文件的被修改时进行合法性检查,对于非法操作进行报警和恢复。

                 技术评估

             技术对比

外挂轮询
文件内核检测
Web层内嵌检测
网页篡改阻止
不能
阻止篡改
-
访问被篡改网页
可能
-
不能
动态网页防护
不能
不能
Web服务器负载
检测时间
分钟级
实时
在线
防范连续篡改攻击
不能
支持
代价高
保护所有网页
不能
适用操作系统
所有
受限于操作系统
受限于web应用
总结:外挂方式已经淘汰,文件层和web层各有优缺点。发展方向是两者结合,通过 
      文件层次实时监控篡改行为保护静态页面和脚本,在web层次对输入请求进行检查主要面向动态页面防护。

      静态网页

   Web层内嵌技术:守住Web网页流出的最后一道关口,因此能够完全杜绝被篡改的网页被公众访问到,真正做到万无一失。
   文件层内核技术:守住文件系统写入的关口,对网页和脚本的更改进行实时识别和阻止,保证网页处于正确的状态。

      动态网页

         目前的网站越来越多地使用动态技术(例如:ASP、JSP、PHP)来输出网页。动态网页由网页脚本和内容组成:网页脚本以文件形式存在于Web服务器上;网页内容则取自于数据库。
         文件层内核技术:仅能防护作为文件形式存在的动态网页脚本,不能对动态内容进行防护。
        Web层内嵌技术:作为Web服务器核心内嵌模块的形式存在,可以在Web系统处理之前对用户提交的内容进行安全性检查,可以防止针对动态内容的攻击。

       Web服务器负载

         Web层内嵌技术:篡改检测模块内嵌于Web服务器软件里,Web服务器软件读出网页文件后,由篡改检测模块进行水印比对,因此要占用一定CPU计算时间。
         文件层内核技术:由于只在正常网页发布时进行安全检查,因此对网页访问的影响几乎为零,额外占用的服务器负载也基本上为零。

      绕过检测机制

         Web层内嵌技术:整合在Web服务器软件里的。可能的绕过检测机制,需要修改内存中的web核心代码或者挂入新的高层过滤钩子,难度较大。
文件层内核技术:作为文件过滤驱动运行。可能的绕过机制包括直接写磁盘、挂载底层过滤驱动,难度较大。

       连续篡改攻击

        有意进行恶意攻击的黑客可以利用其他技术的扫描间隔来进行连续的篡改攻击,即在网页被恢复后立即重新篡改网页。
        Web层内嵌防护:在每次输出网页时都进行完整性检查,如有变化则阻断发送。因此,无论连续攻击多么迅速和频繁,都无法使公众看到被篡改的网页。但是连续攻击会造成频繁恢复,导致web效率下降。
        文件层内核防护:文件系统截获所有的写操作,对写行为的合法性进行检测,基于写操作只在正常发布才产生,因此对系统性能影响极小。通过文件系统监控和适当的追踪技术,可以发现导致篡改的进程和网络连接,从而对连续攻击进行有效阻止和防护。

       断线时保护

         Web层防护技术:即使在黑客中断了Web服务器和备份网页服务器连接的情况下,也可以阻止被篡改网页的流出,但是不能及时恢复被篡改的网页。
   文件层内核防护技术: 可以继续实施保护。

    产品评估

Web-Defender 
网页防篡改系统
iGuard
网页防篡改系统
InforGuard
网页防篡改
天榕网站监测
与自动修复系统
操作系统
Windows/Linux
Windows/Linux/Unix
Windows
Windows
采用技术
Web层内嵌防护和文件系统层内核防护
Web层内嵌防护和文件系统层内核防护
文件系统层内核防护
外挂轮询
保护对象
静态和动态网页
静态和动态网页
静态网页
静态网页
自动发布
支持
支持
支持
不支持
自动续传
支持
支持
不稳定
不支持
自动备份
支持
支持
支持
支持
安全发布
支持(无须改变发布流程)
不支持
支持(需要改变发布流程)
不支持
攻击追踪
支持IP追踪
不支持
不支持
支持
日志分析
记录web访问日志,实施关联分析
篡改日志
篡改日志
不支持
备份恢复
系统、文件、数据库保护
网页内容
网页内容
网页内容