第5章 基于內(nèi)容的應(yīng)用安全技術(shù)2網(wǎng)頁防篡改技術(shù)

網(wǎng)頁防篡改技術(shù)網(wǎng)頁防篡改技術(shù)大多數(shù)網(wǎng)站的內(nèi)容安全的監(jiān)控還處于手工階段，從而無法及時有效的偵測到網(wǎng)站被攻擊，網(wǎng)頁被篡改，從而造成不良的政治影響。另外，網(wǎng)站內(nèi)部人員一旦疏忽發(fā)布了敏感信息，各監(jiān)管部門又難以及時發(fā)現(xiàn)，這樣必將造成重大損失。因此，對于影響力強，瀏覽人數(shù)眾多的網(wǎng)站，特別是權(quán)威的政府和媒體網(wǎng)站來說，它們所發(fā)布的消息都是與普通老百姓的生活息息相關(guān)的，要是網(wǎng)站上哪一環(huán)節(jié)出了差錯，勢必對公眾造成不良后果，這就需要一款專門的網(wǎng)頁防篡改系統(tǒng)來保護(hù)自己網(wǎng)站和網(wǎng)頁內(nèi)容的安全。網(wǎng)頁防篡改技術(shù)雖然目前已有防火墻、入侵檢測等安全防范手段，但各類web應(yīng)用系統(tǒng)的復(fù)雜性和多樣性導(dǎo)致系統(tǒng)漏洞層出不窮、防不勝防，黑客入侵和篡改頁面的事件時有發(fā)生。據(jù)中國被黑站點統(tǒng)計系統(tǒng)數(shù)據(jù)分析，截至2006年7月25日10時，2006年登記在案的被篡改網(wǎng)站數(shù)量已達(dá)5304個(其中有很多網(wǎng)站是多次被篡改)，平均每天約有25個站點被篡改且被舉報;又據(jù)CNCERT/CC(國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心)統(tǒng)計，2006年3月，全球被篡改網(wǎng)站數(shù)量超過3萬個，平均每1.5分鐘，就有一個網(wǎng)站被篡改……

Web網(wǎng)站攻擊來源統(tǒng)計（資料來源：國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心)全年共有22萬臺境外主機曾對我國發(fā)動攻擊07年中國大陸被篡改網(wǎng)頁統(tǒng)計CNCERT/CC的2007年度安全報告2007年，CNCERT/CC監(jiān)測到中國大陸被篡改網(wǎng)站總數(shù)累積達(dá)61228個，比2006年增加了1.5倍以上統(tǒng)計數(shù)據(jù)均基于報案事件，且只是網(wǎng)頁被篡改，未報案、或者網(wǎng)站掛馬事件不包含在其中。06年政府網(wǎng)站篡改情況（資料來源：國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心）政府門戶網(wǎng)站的重要性政府門戶網(wǎng)站成為政府應(yīng)用信息技術(shù)履行職能的重要形式對促進(jìn)政務(wù)公開，改進(jìn)行政管理，提高行政效能具有重要意義互聯(lián)網(wǎng)網(wǎng)站是電子政務(wù)建設(shè)的重要組成部分典型事件-國內(nèi)中國青少年基金會網(wǎng)站武漢市武昌區(qū)政府網(wǎng)站《北京青年報》網(wǎng)絡(luò)版陜西省公安廳廣州市物價局江民網(wǎng)站、金山、神州數(shù)碼吉林市政府網(wǎng)站……河南省人事廳&成都檔案局遭入侵2006年11月6日，國家公務(wù)員報考確認(rèn)時間，河南省人事廳網(wǎng)站（）的網(wǎng)上確認(rèn)程序突然中斷，造成問題的原因并非是考生同時登陸報名，而是由于黑客采用SQL注入的方式進(jìn)行入侵

成都市檔案局網(wǎng)站被黑客篡改成土耳其國旗的圖片石家莊政府網(wǎng)攻擊紅十字會、地震局網(wǎng)站2008年5月18日下午，蘇州市公安局網(wǎng)警支隊接報：昆山市紅十字會網(wǎng)站遭人攻擊。警方立即組成專案組開展偵查，發(fā)現(xiàn)當(dāng)日下午3時許，有人攻擊竊取了這個網(wǎng)站后臺管理賬號和密碼，將原網(wǎng)站頁面替換成虛假頁面，并在虛假頁面上發(fā)布捐款賬號。因有50多名網(wǎng)民瀏覽過這個詐騙網(wǎng)頁，為避免群眾受騙，警方及時將這個網(wǎng)站關(guān)閉。2008年6月，黑龍江、湖南、湖北等地個別不法分子利用互聯(lián)網(wǎng)惡意篡改紅十字會公布的募捐銀行賬號，企圖吞噬善款。經(jīng)縝密偵查，警方迅速將犯罪嫌疑人捉拿歸案，對此類犯罪起到了極大的震懾作用。2008年5月29日晚上，黑客攻擊了陜西地震信息網(wǎng)站，在網(wǎng)站首頁上發(fā)布了“將有強烈地震發(fā)生”的虛假信息，陜西地震局緊急發(fā)布消息辟謠。28日晚陜西地震信息網(wǎng)遭遇了汶川地震以來的第一次黑客攻擊，黑客在網(wǎng)站首頁留下一條題為“網(wǎng)站出現(xiàn)重大安全漏洞”的信息，網(wǎng)站工作人員及時進(jìn)行了處理。5月29日20時53分前后，陜西地震信息網(wǎng)再次遭到黑客襲擊，網(wǎng)站主頁上被發(fā)布了“23時30分陜西等地會有強烈地震發(fā)生”的虛假信息。很快，陜西省地震局的電話就被打“爆”了，很多市民急切的希望求證這一“消息”是否真實。2008年5月31日、6月1日、2日，廣西地震局官方網(wǎng)站連續(xù)遭到黑客攻擊。黑客篡改網(wǎng)站數(shù)據(jù)資料，發(fā)布近期將發(fā)生地震的虛假信息。典型事件-國外美國白宮主頁美國司法部美國衛(wèi)生部美國勞工部雅虎新聞網(wǎng)《今日美國報》主頁韓國2300多個網(wǎng)站首頁……網(wǎng)頁篡改的動機和目的純粹炫耀黑客技術(shù)增加自己網(wǎng)站點擊率加入木馬和病毒程序發(fā)布虛假信息獲利騙取用戶資料政治性的宣傳網(wǎng)頁篡改的特點和危害網(wǎng)頁篡改的特點傳播速度快、閱讀人群多復(fù)制容易，事后消除影響難作案環(huán)境和工具相對簡單預(yù)先檢查和實時防范較難網(wǎng)頁篡改的危害破壞政府和公共機構(gòu)形象間接成為非法牟利的工具影響和諧社會的建設(shè)產(chǎn)生原因-客觀操作系統(tǒng)的復(fù)雜性已公布超過1萬多個系統(tǒng)漏洞漏洞與補丁系統(tǒng)漏洞從發(fā)現(xiàn)到被利用最短為5天系統(tǒng)補丁的平均發(fā)布時間為47天應(yīng)用漏洞注入式攻擊多個應(yīng)用系統(tǒng)不同的開發(fā)者現(xiàn)有技術(shù)架構(gòu)下，網(wǎng)站漏洞長期存在產(chǎn)生原因-主觀密碼管理合格密碼：8位以上，定期改變35％的人與其他人共享密碼67％的人用同一密碼訪問多個程序漏洞補丁定期更新上網(wǎng)控制釣魚、木馬、間諜軟件為業(yè)務(wù)服務(wù)還是為安全服務(wù)？其它現(xiàn)狀網(wǎng)站建設(shè)、維護(hù)力量薄弱很多網(wǎng)站沒有專門的網(wǎng)站建設(shè)部門，多采用外包形式?jīng)]有專門的維護(hù)人員的網(wǎng)站更是非常普遍，更別說安全人員的配備黑客的低門檻“職業(yè)”性質(zhì)各種免費黑客工具泛濫黑客工具使用教程更是比比皆是甚至工具使用的視頻教程也遍布互聯(lián)網(wǎng)什么是網(wǎng)頁防篡改系統(tǒng)網(wǎng)頁防篡改系統(tǒng)是這樣的一種網(wǎng)絡(luò)安全軟件，它實時監(jiān)控Web站點，當(dāng)Web站點上的文件受到破壞時，能迅速恢復(fù)被破壞的文件，并及時提交報告給系統(tǒng)管理員，從而保護(hù)Web站點的數(shù)據(jù)安全。網(wǎng)頁防篡改系統(tǒng)的核心技術(shù)有網(wǎng)站監(jiān)控功能、網(wǎng)站發(fā)布功能、內(nèi)容過濾功能及數(shù)字水印技術(shù)。網(wǎng)頁防篡改技術(shù)的發(fā)展歷程1.(起始點)人工對比檢測人工對比檢測，其實就是一種專門指派網(wǎng)絡(luò)管理人員，人工監(jiān)控需要保護(hù)的網(wǎng)站，一旦發(fā)現(xiàn)被篡改，然后以人力對其修改還原的手段。嚴(yán)格的說來，人工對比檢測不能算是一種網(wǎng)頁防篡改系統(tǒng)采用的技術(shù)，而只能算是一種原始的應(yīng)對網(wǎng)頁被篡改的手段。但是其在網(wǎng)頁防篡改的技術(shù)發(fā)展歷程中存在一段相當(dāng)?shù)臅r間;所以在這里我們把它作為網(wǎng)頁防篡改技術(shù)發(fā)展的起始點，單獨拿出來講。這種手段非常原始且效果不佳，且不說人力成本較高，其最致命的缺陷在于人力監(jiān)控不能達(dá)到即時性，也就是不能在第一時間發(fā)現(xiàn)網(wǎng)頁被篡改也不能在第一時間做出還原，當(dāng)管理人員發(fā)現(xiàn)網(wǎng)頁被篡改再做還原時，被篡改的網(wǎng)頁已在互聯(lián)網(wǎng)存在了一段時間，可能已經(jīng)被一定數(shù)量的網(wǎng)民瀏覽。網(wǎng)頁防篡改技術(shù)的發(fā)展歷程2.(第一代)時間輪巡技術(shù)時間輪巡技術(shù)(也可稱為“外掛輪巡技術(shù)”)。我們在這里將其稱為網(wǎng)頁防篡改技術(shù)的第一代。從這一代開始，網(wǎng)頁防篡技術(shù)已經(jīng)擺脫了以人力檢測恢復(fù)為主體的原始手段而作為一種自動化的技術(shù)形式出現(xiàn)。時間輪詢技術(shù)是利用一個網(wǎng)頁檢測程序，以輪詢方式讀出要監(jiān)控的網(wǎng)頁，與真實網(wǎng)頁相比較，來判斷網(wǎng)頁內(nèi)容的完整性，對于被篡改的網(wǎng)頁進(jìn)行報警和恢復(fù)。但是，采用時間輪詢式的網(wǎng)頁防篡改系統(tǒng)，對每個網(wǎng)頁來說，輪詢掃描存在著時間間隔，一般為數(shù)十分鐘，在這數(shù)十分鐘的間隔中，黑客可以攻擊系統(tǒng)并使訪問者訪問到被篡改的網(wǎng)頁。此類應(yīng)用在過去網(wǎng)頁訪問量較少，具體網(wǎng)頁應(yīng)用較少的情況下適用，目前網(wǎng)站頁面通常少則上百頁，檢測輪巡時間更長，且占用系統(tǒng)資源較大，該技術(shù)逐漸被淘汰。網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)所謂核心內(nèi)嵌技術(shù)即密碼水印技術(shù)，最初先將網(wǎng)頁內(nèi)容采取非對稱加密存放，在外來訪問請求時將經(jīng)過加密驗證過的，進(jìn)行解密對外發(fā)布，若未經(jīng)過驗證，則拒絕對外發(fā)布，調(diào)用備份網(wǎng)站文件進(jìn)行驗證解密后對外發(fā)布。此種技術(shù)通常要結(jié)合事件觸發(fā)機制對文件的部分屬性進(jìn)行對比，如大小，頁面生成時間等做判斷，無法更準(zhǔn)確的進(jìn)行其它屬性的判斷。其最大的特點就是安全性相對外掛輪巡技術(shù)安全性大大提高，但不足是加密計算會占用大量服務(wù)器資源，系統(tǒng)反映較慢。核心內(nèi)嵌技術(shù)就避免了時間輪巡技術(shù)的輪巡間隔這個缺點。但是由于這種技術(shù)是對每個流出網(wǎng)頁都進(jìn)行完整檢查，占用巨大的系統(tǒng)資源，給服務(wù)器造成較大負(fù)載。且對網(wǎng)頁正常發(fā)布流程作了更改，整個網(wǎng)站需要重新架構(gòu)，增加新的發(fā)布服務(wù)器替代原先的服務(wù)器。隨著技術(shù)發(fā)展以及網(wǎng)上各類應(yīng)用的增多，對服務(wù)器的負(fù)載資源簡直可以用“苛刻”來形容，任何占用服務(wù)器資源的部分都要淘汰，來確保網(wǎng)站的高訪問效率，如此一來，內(nèi)嵌技術(shù)(即密碼技術(shù))最終將被淘汰。網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)核心內(nèi)嵌技術(shù):一個標(biāo)準(zhǔn)的Web服務(wù)器的體系結(jié)構(gòu)如下圖所示：網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)核心內(nèi)嵌技術(shù):Web服務(wù)器核心內(nèi)嵌技術(shù)簡稱核心內(nèi)嵌技術(shù)是指將安全模塊內(nèi)嵌在Web服務(wù)器軟件（IIS/Apache/Weblogic/Websphere/…）中，這個模塊針對不同的Web服務(wù)器軟件使用相應(yīng)的核心內(nèi)嵌技術(shù)實現(xiàn)，例如：ISAPI、Apache-module、NSAPI、JAVA-filter等，如圖所示：網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)核心內(nèi)嵌模塊的優(yōu)點

不存在獨立的安全模塊運行進(jìn)程，入侵者無法找到和中止模塊運行。精準(zhǔn)理解和分析Web服務(wù)請求數(shù)據(jù)，進(jìn)行充分可靠的安全檢查。完全與Web服務(wù)的運行進(jìn)程融合，穩(wěn)定性和兼容性強。二進(jìn)制代碼，處理效率高，與應(yīng)用系統(tǒng)使用的腳本語言無關(guān)。與操作系統(tǒng)及硬件無關(guān)，全面控制Web系統(tǒng)軟件和服務(wù)。網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)事件觸發(fā)技術(shù)利用操作系統(tǒng)的文件系統(tǒng)或驅(qū)動程序接口，在網(wǎng)頁文件的被修改時進(jìn)行合法性檢查，對于非法操作進(jìn)行報警和恢復(fù)。網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)(1)Web服務(wù)器與大樓

我們把Web服務(wù)器看成是一個美術(shù)館大樓，目錄是大樓的樓層和房間，每個網(wǎng)頁文件都是房間掛著的畫作。這些畫作每天在由工作人員不斷更新，每天也有成千上萬的借閱者通過借閱口來取出和閱讀這些畫作。網(wǎng)頁防篡改系統(tǒng)的目標(biāo)就是保證人們看到的是真實的畫作，而不是贗品甚至反動宣傳品。網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)(2)外掛輪詢技術(shù)大樓配備了一個檢查員進(jìn)行巡檢，他以一個普通借閱者的身份不停地在借閱處調(diào)取每個房間的每副畫作，與手里的真實畫作相比較里進(jìn)行檢查，發(fā)現(xiàn)有可疑物品即進(jìn)行報警。

這種方式的顯著弱點是：當(dāng)大樓規(guī)模很大，房間和畫作很多時，他會忙不過來。對于特定的一幅畫作，兩次檢查的時間間隔會很長，不法分子完全有機會更換畫作，對借閱者造成嚴(yán)重影響。網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)(3)事件觸發(fā)技術(shù)

大樓在正門進(jìn)口處配備一個檢查員，他對每一個進(jìn)入的畫作進(jìn)行檢查，發(fā)現(xiàn)有可疑物品即進(jìn)行報警。

這種方式的顯著優(yōu)點是：防范成本很低，但缺點是：美術(shù)館大樓的結(jié)構(gòu)非常復(fù)雜，不法分子通常不會選擇正門進(jìn)來，他會從天花板、下水道甚至利用大樓結(jié)構(gòu)的薄弱處自己挖個洞進(jìn)來，并且還不斷會有新的門路被發(fā)現(xiàn)，可見防守進(jìn)口的策略是不能做到萬無一失的。另外，非法畫作一旦混進(jìn)了大樓，就再也沒有機會進(jìn)行安全檢查了。網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)(4)核心內(nèi)嵌技術(shù)大樓在借閱口處配備一個檢查員，他對每一個調(diào)出的畫作進(jìn)行檢查，發(fā)現(xiàn)有可疑畫作即阻止它的流出。

這種方式的顯著優(yōu)點是：每副畫作在流出時都進(jìn)行檢查，因此可疑畫作完全沒有被借閱者看到的可能；相應(yīng)弱點是，由于存在檢查手續(xù)，畫作在流出時會耽誤時間。網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對比

外掛輪詢技術(shù)事件觸發(fā)技術(shù)核心內(nèi)嵌技術(shù)訪問篡改網(wǎng)頁可能可能不可能保護(hù)動態(tài)內(nèi)容不能不能能服務(wù)器負(fù)載中低低帶寬占用中無無檢測時間分鐘級秒級實時繞過檢測機制不可能可能不可能防范連續(xù)篡改攻擊不能不能能保護(hù)所有網(wǎng)頁不能能能動態(tài)網(wǎng)頁腳本不支持支持支持適用操作系統(tǒng)所有受限所有上傳時檢測不能受限能斷線時保護(hù)不能不能能網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對比

訪問被篡改網(wǎng)頁外掛輪詢技術(shù)：無法阻止公眾訪問到被篡改網(wǎng)頁，它只能在被篡改后一段時間發(fā)現(xiàn)和進(jìn)行恢復(fù)，因此公眾有很大可能訪問到被篡改網(wǎng)頁。事件觸發(fā)技術(shù)：將安全保障建立在“網(wǎng)頁不可能被隱秘地篡改”這種假設(shè)上，因此也沒有對網(wǎng)頁流出進(jìn)行任何檢查，在一些情形下，公眾是有可能訪問到被篡改網(wǎng)頁的。核心內(nèi)嵌技術(shù)：守住Web網(wǎng)頁流出的最后一道關(guān)口，因此能夠完全杜絕被篡改的網(wǎng)頁被公眾訪問到，真正做到萬無一失。網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對比

保護(hù)動態(tài)內(nèi)容外掛輪詢技術(shù)：所監(jiān)測到的動態(tài)網(wǎng)頁是網(wǎng)頁腳本和內(nèi)容混合后的結(jié)果，而網(wǎng)頁內(nèi)容是根據(jù)訪問情況時時在變化的，外掛輪詢技術(shù)又無法區(qū)分網(wǎng)頁腳本和內(nèi)容，因此無法實現(xiàn)對動態(tài)網(wǎng)頁的防篡改保護(hù)。事件觸發(fā)技術(shù)：事件觸發(fā)僅工作在操作系統(tǒng)層面上，未和Web服務(wù)器軟件發(fā)生關(guān)聯(lián)，因此無法獲得用戶的Web請求數(shù)據(jù)，對動態(tài)內(nèi)容的篡改則是完全無能為力的。核心內(nèi)嵌技術(shù)：內(nèi)嵌于Web服務(wù)器軟件內(nèi)部，能夠完全截獲用戶請求數(shù)據(jù)，通過阻擋對數(shù)據(jù)庫的注入式攻擊來保護(hù)動態(tài)網(wǎng)頁內(nèi)容的安全。

網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對比

服務(wù)器負(fù)載外掛輪詢技術(shù)：由于從外部不斷地和獨立地掃描Web服務(wù)器文件，因此對Web服務(wù)器形成相當(dāng)?shù)呢?fù)載，并且掃描頻度（亦即安全程度）和負(fù)載總是矛盾的。事件觸發(fā)技術(shù)：由于只在正常網(wǎng)頁發(fā)布時進(jìn)行安全檢查，因此對網(wǎng)頁訪問的影響幾乎為零，額外占用的服務(wù)器負(fù)載也基本上為零。核心內(nèi)嵌技術(shù)：篡改檢測模塊內(nèi)嵌于Web服務(wù)器軟件里，Web服務(wù)器軟件讀出網(wǎng)頁文件后，由篡改檢測模塊進(jìn)行水印比對，因此要占用一定CPU計算時間。但這個計算是在內(nèi)存中進(jìn)行的，比起Web服務(wù)器軟件從硬盤中讀取網(wǎng)頁文件的操作來，額外產(chǎn)生的負(fù)載是非常小的。

網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對比

帶寬占用外掛輪詢技術(shù)：從外部獨立檢測網(wǎng)頁，因此需要占用訪問的網(wǎng)絡(luò)帶寬。事件觸發(fā)技術(shù)和核心內(nèi)嵌技術(shù)：檢測都在服務(wù)器本機上進(jìn)行，不占用網(wǎng)絡(luò)帶寬。網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對比

繞過檢測機制外掛輪詢技術(shù)：由外部主機進(jìn)行，不可能繞過檢測。事件觸發(fā)技術(shù)：并不能確保捕獲對文件的所有方式的修改（例如直接寫磁盤、直接寫內(nèi)核驅(qū)動程序、利用操作系統(tǒng)漏洞等），非常容易被專業(yè)黑客很容易繞過；而且一旦成功，它沒有任何手段來察覺和恢復(fù)。它的技術(shù)特點決定了它類似于防病毒工具（以黑防黑）而不是專門針對網(wǎng)站保護(hù)的系統(tǒng)。核心內(nèi)嵌技術(shù)：整合在Web服務(wù)器軟件里的，對每一個網(wǎng)頁都進(jìn)行篡改檢查，不可能有網(wǎng)頁繞過檢測機制。網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對比

連續(xù)篡改攻擊有意進(jìn)行惡意攻擊的黑客可以利用其他技術(shù)的掃描間隔來進(jìn)行連續(xù)的篡改攻擊，即在網(wǎng)頁被恢復(fù)后立即重新篡改網(wǎng)頁。外掛輪詢技術(shù)：由于重篡改過程可以利用程序自動和連續(xù)進(jìn)行，并只針對一個重要網(wǎng)頁（例如網(wǎng)站首頁）進(jìn)行，因此即使的掃描時間間隔設(shè)置得再小（例如1分鐘），也無法阻止篡改后的網(wǎng)頁被公眾訪問到。事件觸發(fā)技術(shù)：對Web服務(wù)器軟件沒有控制能力，它發(fā)現(xiàn)篡改后沒有辦法去協(xié)調(diào)Web服務(wù)器工作，對于大規(guī)?；蚓牟邉澋墓羰菬o能為力的。核心內(nèi)嵌技術(shù)：在每次輸出網(wǎng)頁時都進(jìn)行完整性檢查，如有變化則阻斷發(fā)送。因此，無論連續(xù)攻擊多么迅速和頻繁，都無法使公眾看到被篡改的網(wǎng)頁。網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對比

動態(tài)網(wǎng)頁腳本目前的網(wǎng)站越來越多地使用動態(tài)技術(shù)（例如：ASP、JSP、PHP）來輸出網(wǎng)頁。動態(tài)網(wǎng)頁由網(wǎng)頁腳本和內(nèi)容組成：網(wǎng)頁腳本以文件形式存在于Web服務(wù)器上；網(wǎng)頁內(nèi)容則取自于數(shù)據(jù)庫。外掛輪詢技術(shù)：所監(jiān)測到的動態(tài)網(wǎng)頁是網(wǎng)頁腳本和內(nèi)容混合后的結(jié)果，而網(wǎng)頁內(nèi)容是根據(jù)訪問情況時時在變化的，外掛輪詢技術(shù)又無法區(qū)分網(wǎng)頁腳本和內(nèi)容，因此無法實現(xiàn)對動態(tài)網(wǎng)頁的防篡改保護(hù)。事件觸發(fā)技術(shù)和核心內(nèi)嵌技術(shù)：可以直接從Web服務(wù)器上得到動態(tài)網(wǎng)頁腳本，不受變化的內(nèi)容影響，因而能夠象靜態(tài)網(wǎng)頁一樣保護(hù)動態(tài)網(wǎng)頁腳本。網(wǎng)頁防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對比

斷線時保護(hù)事件觸發(fā)技術(shù)：如果黑客中斷了Web服務(wù)器和備份網(wǎng)頁服務(wù)器的連接，這個被篡改的網(wǎng)頁就沒法即時恢復(fù)，而與此同時，大量的公眾可能已經(jīng)訪問到了這個網(wǎng)頁，造成嚴(yán)重后果。核心內(nèi)嵌技術(shù)：即使在黑客中斷了Web服務(wù)器和備份網(wǎng)頁服務(wù)器連接的情況下，也可以阻止被篡改網(wǎng)頁的流出，最大程度達(dá)到保證效果。

網(wǎng)頁防篡改技術(shù)的發(fā)展歷程4.(第三代)文件過濾驅(qū)動技術(shù)+事件觸發(fā)技術(shù)文件過濾驅(qū)動技術(shù)的最初應(yīng)用于軍方和保密系統(tǒng)，作為文件保護(hù)技術(shù)和各類審計技術(shù)，甚至被一些狡猾好事者應(yīng)用于“流氓軟件”，該技術(shù)可以說是讓人喜憂參半。在網(wǎng)頁防篡改技術(shù)革新當(dāng)中，該技術(shù)找到了其發(fā)展的空間。與事件觸發(fā)技術(shù)結(jié)合，形成了今天的第三代網(wǎng)頁防篡改保護(hù)技術(shù)。其原理是：將篡改監(jiān)測的核心程序通過微軟文件底層驅(qū)動技術(shù)應(yīng)用到Web服務(wù)器中，通過事件觸發(fā)方式進(jìn)行自動監(jiān)測，對文件夾的所有文件內(nèi)容，對照其底層文件屬性，經(jīng)過內(nèi)置散列快速算法，實時進(jìn)行監(jiān)測，若發(fā)現(xiàn)屬性變更，通過非協(xié)議方式，純文件安全拷貝方式將備份路徑文件夾內(nèi)容拷貝到監(jiān)測文件夾相應(yīng)文件位置，通過底層文件驅(qū)動技術(shù)，整個文件復(fù)制過程毫秒級，使得公眾無法看到被篡改頁面，其運行性能和檢測實時性都達(dá)到最高的水準(zhǔn)。網(wǎng)頁防篡改技術(shù)的發(fā)展歷程4.(第三代)文件過濾驅(qū)動技術(shù)+事件觸發(fā)技術(shù)何謂文件系統(tǒng)過濾驅(qū)動？文件系統(tǒng)過濾驅(qū)動是一種可選的，為文件系統(tǒng)提供具有附加值功能的驅(qū)動程序。文件系統(tǒng)過濾驅(qū)動是一種核心模式組件，它作為WindowsNT執(zhí)行體的一部分運行。

文件系統(tǒng)過濾驅(qū)動可以過濾一個或多個文件系統(tǒng)或文件系統(tǒng)卷的I/O操作。按不同的種類劃分，文件系統(tǒng)過濾驅(qū)動可以分成日志記錄、系統(tǒng)監(jiān)測、數(shù)