圖1:防篡改技術(shù)發(fā)展
第三代防篡改技術(shù)實(shí)現(xiàn)雙重防護(hù)方案
第三代網(wǎng)頁(yè)防篡改技術(shù)是文件驅(qū)動(dòng)級(jí)保護(hù)技術(shù)與事件觸發(fā)技術(shù)的結(jié)合�����,具體如下:
文件驅(qū)動(dòng)級(jí)保護(hù)技術(shù):這是新興的一種防篡改技術(shù),其原理是采用操作系統(tǒng)底層文件過(guò)濾驅(qū)動(dòng)技術(shù)����,攔截與分析IRP流����,對(duì)所有受保護(hù)的網(wǎng)站目錄的寫操作都立即截?cái)?���,該技術(shù)是典型的“先發(fā)制人”,在篡改寫入文件之前就阻止�。
事件觸發(fā)技術(shù):這是目前主流的防篡改技術(shù)之一,該技術(shù)以穩(wěn)定���、可靠��、占用資源極少著稱�,其原理是監(jiān)控網(wǎng)站目錄�����,如果目錄中有篡改發(fā)生����,監(jiān)控程序就能 得到系統(tǒng)通知事件�����,隨后程序根據(jù)相關(guān)規(guī)則判定是否是非法篡改,如果是非法篡改就立即給予恢復(fù)�。可以看出���,與“文件級(jí)驅(qū)動(dòng)保護(hù)技術(shù)”的“先發(fā)制人”相反�����,該 技術(shù)是典型的“后發(fā)制人”,即非法篡改已經(jīng)發(fā)生后可進(jìn)行恢復(fù)����。
以上兩種技術(shù)相結(jié)合��,可以在篡改事件發(fā)生的兩個(gè)階段對(duì)網(wǎng)站實(shí)施雙重防護(hù):第一重防護(hù)——采用文件驅(qū)動(dòng)級(jí)保護(hù)技術(shù)���,實(shí)現(xiàn)進(jìn)程式篡改檢測(cè)引擎�,阻斷非法進(jìn)程對(duì)網(wǎng)站的篡改����。第二重防護(hù) ——采用事件觸發(fā)技術(shù),實(shí)現(xiàn)觸發(fā)式篡改檢測(cè)引擎,瞬間清除被非法篡改的網(wǎng)頁(yè)�����,并實(shí)時(shí)恢復(fù)�����。這種事中阻止����,事后恢復(fù)的雙重防護(hù)方案可以做到網(wǎng)站防御的滴水不漏。
第三代防篡改技術(shù)優(yōu)勢(shì)
隨著WEB應(yīng)用的發(fā)展��,網(wǎng)站系統(tǒng)也變得越來(lái)越復(fù)雜���。第一代防篡改技術(shù)(時(shí)間輪巡)已不再適用���,被市場(chǎng)所淘汰。目前市場(chǎng)中的網(wǎng)頁(yè)防篡改產(chǎn)品多數(shù)采用的 是第二代或第三代防篡改技術(shù)�。與第二代防篡改技術(shù)(以下簡(jiǎn)稱“第二代技術(shù)”)相比,第三代防篡改技術(shù)(以下簡(jiǎn)稱“第三代技術(shù)”)在安全性����、執(zhí)行效率及易用 性等方面有獨(dú)到優(yōu)勢(shì)。具體如下:
真正的“防”篡改
第二代防篡改核心技術(shù)是數(shù)字水印技術(shù)。其原理是:對(duì)每一個(gè)流出的網(wǎng)頁(yè)進(jìn)行數(shù)字水印(數(shù)字指紋)檢查��,如果發(fā)現(xiàn)相關(guān)水印和之前備份的水印不同����,則可斷 定該文件被篡改,并且阻止其繼續(xù)流出����,并傳喚恢復(fù)程序進(jìn)行恢復(fù)。所以�����,第二代技術(shù)其實(shí)不是真正的“防”���,而是一種恢復(fù)的技術(shù)���。第三代技術(shù)阻斷非法進(jìn)程對(duì)網(wǎng) 站的寫操作,是真正意義上的“防”篡改�����。
連續(xù)篡改攻擊防護(hù)
第二代技術(shù)在發(fā)生大規(guī)模連續(xù)篡改時(shí)����,需要每次通過(guò)應(yīng)用層插件計(jì)算校驗(yàn)匹配����,由于不能阻止篡改發(fā)生�,系統(tǒng)需要不停的重復(fù)恢復(fù)原始網(wǎng)頁(yè)內(nèi)容,極大的占用 系統(tǒng)資源和網(wǎng)絡(luò)資源���,并可能造成顯示錯(cuò)誤頁(yè)給訪問(wèn)用戶����。對(duì)于大規(guī)模連續(xù)的篡改�����,第三代技術(shù)在檢測(cè)到首個(gè)非法操作后就會(huì)實(shí)時(shí)阻斷其后續(xù)其他的篡改操作�����。防篡 改軟件系統(tǒng)針對(duì)來(lái)源和操作行為����,提前終止其后續(xù)篡改操作請(qǐng)求。系統(tǒng)在底層完成這些防護(hù)措施并不會(huì)將這些大規(guī)模連續(xù)篡改請(qǐng)求發(fā)送到上層應(yīng)用����,極大的降低了應(yīng) 用程序的處理負(fù)擔(dān)����,有效的提高了應(yīng)有工作效率��。
斷線監(jiān)控保護(hù)
當(dāng)WEB服務(wù)器和備份服務(wù)器斷開時(shí)����,第三代技術(shù)通過(guò)內(nèi)嵌到WEB服務(wù)器底層的監(jiān)控程序����,仍然可以阻止一切對(duì)網(wǎng)頁(yè)文件的非法操作。而第二代技術(shù)的恢復(fù)機(jī)制在網(wǎng)絡(luò)斷開的情況下將無(wú)法發(fā)揮作用����,最終導(dǎo)致篡改后的網(wǎng)頁(yè)流出被公眾訪問(wèn)。
不影響網(wǎng)頁(yè)正常訪問(wèn)
第二代技術(shù)是每次用戶瀏覽網(wǎng)頁(yè)時(shí)����,才檢查該網(wǎng)頁(yè)是否被篡改。如果發(fā)現(xiàn)篡改就做恢復(fù)動(dòng)作�����。每次打開網(wǎng)頁(yè)都要增加防篡改系統(tǒng)的處理時(shí)間,尤其當(dāng)網(wǎng)頁(yè)文件 較大時(shí)�,防篡改的比對(duì)處理時(shí)間很長(zhǎng),導(dǎo)致用戶瀏覽網(wǎng)頁(yè)時(shí)的延遲很明顯���。第三代技術(shù)是底層監(jiān)控文件���,發(fā)現(xiàn)篡改馬上恢復(fù),用戶每次瀏覽網(wǎng)頁(yè)時(shí)��,沒有額外處理�, 所以不會(huì)產(chǎn)生延遲。
服務(wù)器資源低占用
由于第二代技術(shù)在每次用戶瀏覽時(shí)都要截停數(shù)據(jù)流并做數(shù)據(jù)對(duì)比���,所以網(wǎng)頁(yè)訪問(wèn)量越大占用的系統(tǒng)資源也越多�。第三代技術(shù)在底層監(jiān)控文件系統(tǒng)���,消耗的服務(wù)器資源很低���,且是個(gè)固定值,不隨網(wǎng)站訪問(wèn)量變化�。
不依賴WEB服務(wù)器軟件
第二代技術(shù)是內(nèi)嵌到WEB服務(wù)器軟件中的,如IIS�、weblogic�、tomcat等���,所以如果web服務(wù)器軟件重裝����、修改��、配置變更����,均需要調(diào) 整或者重裝防篡改軟件系統(tǒng)�����。第三代技術(shù)內(nèi)嵌于操作系統(tǒng)底層�����,不依賴WEB服務(wù)器軟件���,只有重裝整個(gè)操作系統(tǒng)時(shí)才需要重裝防篡改軟件系統(tǒng)����。
識(shí)別第三代防篡改技術(shù)的方法
目前,網(wǎng)頁(yè)防篡改產(chǎn)品市場(chǎng)如火如荼,產(chǎn)品質(zhì)量良莠不齊���,品牌多而繁雜���,不少?gòu)S商都宣稱自己的產(chǎn)品采用的是第三代防篡改技術(shù)。讓網(wǎng)站管理者們產(chǎn)生迷 惑�。其實(shí),識(shí)別第三代防篡改技術(shù)的方法很簡(jiǎn)單:如果網(wǎng)頁(yè)被篡改后可以馬上恢復(fù)�,即是第三代技術(shù)。因?yàn)榈诙夹g(shù)在網(wǎng)頁(yè)被篡改后不會(huì)立即恢復(fù)�����,需要等到有用 戶訪問(wèn)該網(wǎng)頁(yè)后才可恢復(fù)����。
測(cè)試方法:將防篡改軟件系統(tǒng)的防護(hù)功能關(guān)掉,只開啟篡改后恢復(fù)功能��。然后更改一個(gè)網(wǎng)頁(yè)并確定更改成功�����。在用戶沒有訪問(wèn)被更改網(wǎng)頁(yè)的情況下����,如果網(wǎng)頁(yè)沒有恢復(fù)�����,則是第二代技術(shù)�,如果網(wǎng)頁(yè)很快就恢復(fù)了�,則是第三代技術(shù)。
