中国电信推运营型网站篡改检测服务以技术创新实现安全服务转型

中国电信集团系统集成有限责任公司 | 王兴宇 彭晓靖 张宇峰 郭亮 彭国城

当前，网站快速发展的同时面临新的信息安全挑战。目前市场上常见的运营型网站篡改检测解决方案，基本上都是采用外挂轮询技术, 以轮询方式读出要监控的网页，与所记录的历史网页相比较，来判断网页内容的完整性和一致性，对于被判断为恶意篡改的网页进行报警。这种方式导致报警量大，需要大量人工判断。

通过深入研究，中国电信安全服务中心采用了分布式计算、历史曲线拟合、行为模式识别和中文处理等方面技术，解决了大规模安全运营下网站篡改检测大量误报和耗费人工的弊病，对正常页面的误报率较低，对异常页面的检测率较高，检测效率和准确率都大大提升。

国内网站篡改现状堪忧

据2013年7月17日中国互联网络信息中心（CNNIC）发布的第32次《中国互联网络发展状况统计报告》显示，截至2013年6月底，我国网民规模达到5.91亿，互联网普及率为44.1%。

规模化的网民数量和网站为互联网应用快速发展奠定了良好的基础。网站的重要性也得到了空前的提高，对政府、企事业来说，网站是一个重要的对外形象、服务窗口和沟通渠道。然而，一方面由于互联网在设计之初对安全性的考虑不足，不能适应当前的互联网快速发展的需求；另一方面现有的操作系统和应用软件中不可避免的存在各种各样的漏洞和缺陷，导致恶意入侵者很容易利用这些漏洞和缺陷对网站进行攻击，从而破坏网站的正常运转。

虽然目前已经有防火墙、入侵检测等安全防范手段，但各类Web应用系统的复杂性和多样性，以及IT建设水平的差异性，导致系统漏洞层出不穷、防不胜防，被黑客入侵，进而网站页面被篡改的事件时有发生。

据不完全统计结果，2012年我国境内已知被篡改网站的事件数量多达16388次，较2011年的15443次增长6.1%。从域名类型看，2012年我国境内被篡改网站中，代表商业机构的网站（COM）最多，占64.5%，其次是政府类(GOV)网站和网络组织类（NET）网站，分别占11.0%和7.1%，而且，政府类网站较2011年增长率高达21.4%，值得重视。

根据对网站篡改攻击行为分析，可以将攻击动机分为四类：第一类是出于政治、宗教目的，将境内政府部门网站作为重点攻击目标，攻击成功后通常会在网站留下宣扬其政治、宗教理念的文字或图片；第二类是出于技术炫耀目的，攻击者篡改网站成功后留下代号名称，并留有调侃风格的文字或图片；第三类则是在网站上留存后门页面，一是方便其以后进入，二则不排除其将该后门用于地下交易牟取非法利益的可能。第四类是在网站上添加被称之为“暗链”的隐藏链接，以达到黑帽SEO等牟利目的。

从篡改实现来看,除了前三类篡改攻击事件外，第四类暗链篡改呈现较快增长趋势。向网站植入暗链不易被网站管理员和互联网用户发觉，但是却能给攻击者带来较为丰富的回报，因而受到攻击者的追捧。攻击者向网站暗中植入的暗链大多为广告页面的链接，主要用于出售广告位或提供网站排名优化以牟取经济利益，也可用于出售其所掌握或控制的网站服务器信息或当作跳板发起网络攻击。目前通过埋入暗链、销售暗链所指向的网页及资源，已经形成了一个地下产业链条。

网站被篡改危害重重

从前面的统计可以看到,国内被篡改攻击的网站多为公司/企业类网站，其次是政府类网站。下面以这些网站来分析篡改导致的危害。

我们知道，门户网站的优点是可以向公众快速发布各种信息，信息分为很多种，从简单的通知到正式声明等。但这又是一把双刃剑，网站发布的信息很快就会被阅读或转载的同时，如果遭到篡改，则又会因为篡改网站页面传播速度快，阅读人群多，复制容易等特点，造成不良影响，而且事后消除影响困难。

从商业公司、企业角度来说，尤其是大型企业，网站被篡改，会导致企业威望降低，给商业竞争对手攻击的借口，损失客户的信任，甚至导致敏感信息被窃取，影响是长远的。

从政府角度来说，政府网站作为政府发布重要新闻、重大方针政策以及法规等的重要渠道，一旦被黑客篡改，将使政府的形象受损，影响信息的传达，破坏群众对政府部门的信任。严重的，还会因不良或恶意信息的传播，导致社会恐慌或引发政治危机。

由此可见，网站被篡改所带来的后果是严重的。国家相关部门对此也很重视，2011 年 4 月，国务院办公厅正式发文国办函〔2011〕40 号《国务院办公厅关于进一步加强政府网站管理工作的通知》，要求各级政府主管部门对本地区政府网站的安全状况进行全面检查，重点对网站挂马、暗链、篡改、病毒等进行监测及防范。

传统检测方案需要变革

国内外非法组织的不法企图，黑客强烈的表现欲望，商业竞争对手的恶意攻击，甚至带有不满情绪离职员工的发泄等等都将导致网页被“变脸”。

为了减少网站被篡改的可能，有些大型企业或政府机构为网站购买了传统的网页防篡改系统，并在其网站服务器上部署安装。不过，一则很多用户并没有足够经验的技术人员维护系统；二则价格昂贵，并不是所有具有篡改检测需求的用户都有相应的经济条件来购买；三则传统的本地网页防篡改系统会给网站应用带来复杂度增加和性能的下降。

在这种情况下，运营型的网站篡改检测服务就应运而生。既解决了购买设备开销大，需要专业人员维护的问题，又解决了无人值守的问题，尤其是节假日期间，无人值守常会导致篡改不能及时发现的后果，因此广受中小型企业及政府部门的欢迎。

但是，目前常用的运营型网站篡改检测解决方案，并没有将恶意篡改和网站主动更新进行明确的区分，从而其报警的有效率和可靠性并不令人满意。网站的一些轻微调整和正常维护都会触发告警，篡改检测的运维人员不得不对每条告警都做人工验证，只将验证通过的告警才告知客户，检测效率低，耗费人力，效果并不理想。

解决面临两大技术难点

从技术角度看，网站篡改和网站更新都属于信息的变更，只是网站篡改是网站管理人员未经授权和认可的改变，其带来的后果往往是恶意的、破坏性的。因此，简单的从是否发生了变化、变化的幅度、变化的位置等这些方面，不能通过技术手段来将篡改和更新进行明确的区分。

难点一：正常内容更新和恶意篡改的区分

对于浏览者，尤其是对该网站比较熟悉的浏览者或网站管理员，能够相对容易的判别网站是否出现了被篡改的内容（部分篡改极其隐蔽，人工也难以识别和判断）。但是对于自动执行的程序，由于其缺乏人脑所具备的模糊识别、经验判断等能力，必须从概率统计、模式识别、人工智能等方面进行判断，并且考虑到篡改检测的应用场景，其实现的计算成本和运营成本必须控制在一定范畴之内。

难点二：篡改定位与展现

篡改监控不仅仅要识别出篡改事件，而且作为运营型服务，应该具备更易用的用户体验和更直观的用户界面。传统的网页篡改软件，一般只能提供网页的源代码进行对比，以不同的颜色将代码差异性区分显示。但是对于非技术人员，这种界面既不方便，也很难判断发生了什么篡改变化。我们通过模拟用户浏览行为的技术，对网页进行可视化对比，从而发现视觉上发生了变化的位置，以直观的方式展现变化的位置、内容和程度。

在发生给用户或运维人员的篡改警告中，可以很直观的查看到具体发生变化的情况，从而可以迅速定位和判定篡改的情况。

图1 整个业务平台的逻辑架构

图2 网页变化判定逻辑图

运营型网站篡改检测系统已实现

针对这个现状，基于中国电信安全服务中心两年来网站安全运营的经验，结合垃圾信息识别、数据模式分析方面的技术，我们提出了新的检测思路，并已开发完成投入使用，从目前的实际运营情况看，效果良好。

作为运营型的网站篡改检测系统，需具备如下特点：一是大数据处理能力，能够处理较大数量的网站、网页的变更对比和篡改评判；二是分布式存储和调用能力，能够分布式存储和访问大量的网页及其附属元素，并根据需要生成和存储不同历史时期的快照；三是任务调度处理能力，能够根据处理能力、存储能力、带宽能力进行篡改监控的页面抓取、分析工作的分配与调度；四是运维级和用户级的警告推送能力，根据判定的篡改结果，将其远程推送到运维平台或用户端，并具备重复报警合并、报警级别升级等对报警信息的优化处置能力。因此，我们设计并运行的运营型网站篡改检测系统实现（如图1）。

其中，监控中心负责调度和发布监控任务，并根据监控节点回推的监控结果，通知告警中心进行告警处置。监控节点负责对被检测的网站页面进行抓取、快照、对比和形成判定。在判定出现篡改事件后，将该事件通知监控中心。告警中心负责接收监控中心传递的篡改告警，并将这些告警视情况通知运维人员或最终客户。告警的通知方式有移动客户端、短信、邮件，也可以通过网站查看详细告警信息和统计报告。

监控节点的内容抓取

监控节点对被监控网站进行数据抓取，并判断是否出现篡改。监控节点的抓取动作分为两类：完整抓取和部分抓取。

在定时抓取任务中，通常进行部分抓取，仅在必要时再进行完整抓取，以建立完整印象。举例说，如果定时检测间隔为30分钟，通常每次检测都是做部分抓取，除非部分抓取中出现了可疑的变化，才会在部分抓取的基础上补充完整抓取；而在一个较长间隔，比如一天，会进行一个完整抓取，以强化“印象”和保留历史数据。完整抓取和部分抓取是一种效率和准确率的结合。

页面“印象”的建立和对比

篡改监控需要对抓取的页面进行“印象”建立，并根据前后两个“印象”对比结果给出篡改判断。建立完整“印象”，需要抓取该页面的全部资源。本方案在篡改检测技术上有所创新，使用页面“印象”的对比，来完成篡改检测。页面“印象”变化通过四个方面的值综合获得，即页面结构变化率、文字倾向性变化率、图片元素变化率和主观视觉变化率等。

结合用户行为分析进行篡改判定

网页的变化，从动因上分为两类：一是变更，由授权人员主动的、有意识的、许可地进行的变化，如手工更新、自动更新等；二是篡改，未经授权的、未知的、恶意的变化。如黑客攻击、恶意破坏等。

从本质上看，变更和篡改都是网页及其附属元素的变化，带来了可见或不可见的页面变化，因此，两者之间存在一定的模糊区域。不过从页面变化的结果、行为上，是可以将绝大部分的变更和篡改区分开。

从变化的结果上看，如果变化剧烈以致超过了设定基准，就应该发起告警（图2）。但在特定情形下，需避免告警：用户在改版期间，可以手工抑制告警；用户在网站服务器基础设施调整期间，可以手工抑制告警。

但是，在另外一些情形下，应该提高告警触发敏感度：变更发生在非工作日、非工作时间；变更幅度与历史变化幅度偏离较大时。

新系统运营效果良好

中国电信安全服务中心基于新方案对某公司网站进行了试点。该网站篡改检测系统上线后，经过两个多月的试运行，效果良好。篡改发现及时准确，更重要的是，采用上面的技术手段后，大大减少了无效告警量，在保证监控频率的前提下，误报告警量降至原来的10%以下，极大的节省了运维力量。