圖1:防篡改技術發(fā)展
第三代防篡改技術實現(xiàn)雙重防護方案
第三代網(wǎng)頁防篡改技術是文件驅動級保護技術與事件觸發(fā)技術的結合,具體如下:
文件驅動級保護技術:這是新興的一種防篡改技術,其原理是采用操作系統(tǒng)底層文件過濾驅動技術,攔截與分析IRP流�����,對所有受保護的網(wǎng)站目錄的寫操作都立即截斷,該技術是典型的“先發(fā)制人”��,在篡改寫入文件之前就阻止��。
事件觸發(fā)技術:這是目前主流的防篡改技術之一��,該技術以穩(wěn)定����、可靠、占用資源極少著稱�����,其原理是監(jiān)控網(wǎng)站目錄�����,如果目錄中有篡改發(fā)生,監(jiān)控程序就能 得到系統(tǒng)通知事件�����,隨后程序根據(jù)相關規(guī)則判定是否是非法篡改��,如果是非法篡改就立即給予恢復����?�?梢钥闯?���,與“文件級驅動保護技術”的“先發(fā)制人”相反,該 技術是典型的“后發(fā)制人”,即非法篡改已經(jīng)發(fā)生后可進行恢復���。
以上兩種技術相結合����,可以在篡改事件發(fā)生的兩個階段對網(wǎng)站實施雙重防護:第一重防護——采用文件驅動級保護技術����,實現(xiàn)進程式篡改檢測引擎�����,阻斷非法進程對網(wǎng)站的篡改���。第二重防護 ——采用事件觸發(fā)技術,實現(xiàn)觸發(fā)式篡改檢測引擎�,瞬間清除被非法篡改的網(wǎng)頁,并實時恢復����。這種事中阻止,事后恢復的雙重防護方案可以做到網(wǎng)站防御的滴水不漏�。
第三代防篡改技術優(yōu)勢
隨著WEB應用的發(fā)展,網(wǎng)站系統(tǒng)也變得越來越復雜�。第一代防篡改技術(時間輪巡)已不再適用,被市場所淘汰�。目前市場中的網(wǎng)頁防篡改產(chǎn)品多數(shù)采用的 是第二代或第三代防篡改技術。與第二代防篡改技術(以下簡稱“第二代技術”)相比���,第三代防篡改技術(以下簡稱“第三代技術”)在安全性����、執(zhí)行效率及易用 性等方面有獨到優(yōu)勢。具體如下:
真正的“防”篡改
第二代防篡改核心技術是數(shù)字水印技術�。其原理是:對每一個流出的網(wǎng)頁進行數(shù)字水印(數(shù)字指紋)檢查,如果發(fā)現(xiàn)相關水印和之前備份的水印不同��,則可斷 定該文件被篡改,并且阻止其繼續(xù)流出�����,并傳喚恢復程序進行恢復����。所以�,第二代技術其實不是真正的“防”,而是一種恢復的技術�����。第三代技術阻斷非法進程對網(wǎng) 站的寫操作��,是真正意義上的“防”篡改�����。
連續(xù)篡改攻擊防護
第二代技術在發(fā)生大規(guī)模連續(xù)篡改時���,需要每次通過應用層插件計算校驗匹配�����,由于不能阻止篡改發(fā)生�����,系統(tǒng)需要不停的重復恢復原始網(wǎng)頁內容����,極大的占用 系統(tǒng)資源和網(wǎng)絡資源,并可能造成顯示錯誤頁給訪問用戶����。對于大規(guī)模連續(xù)的篡改,第三代技術在檢測到首個非法操作后就會實時阻斷其后續(xù)其他的篡改操作����。防篡 改軟件系統(tǒng)針對來源和操作行為,提前終止其后續(xù)篡改操作請求��。系統(tǒng)在底層完成這些防護措施并不會將這些大規(guī)模連續(xù)篡改請求發(fā)送到上層應用���,極大的降低了應 用程序的處理負擔���,有效的提高了應有工作效率����。
斷線監(jiān)控保護
當WEB服務器和備份服務器斷開時�,第三代技術通過內嵌到WEB服務器底層的監(jiān)控程序,仍然可以阻止一切對網(wǎng)頁文件的非法操作�����。而第二代技術的恢復機制在網(wǎng)絡斷開的情況下將無法發(fā)揮作用���,最終導致篡改后的網(wǎng)頁流出被公眾訪問����。
不影響網(wǎng)頁正常訪問
第二代技術是每次用戶瀏覽網(wǎng)頁時����,才檢查該網(wǎng)頁是否被篡改��。如果發(fā)現(xiàn)篡改就做恢復動作�����。每次打開網(wǎng)頁都要增加防篡改系統(tǒng)的處理時間,尤其當網(wǎng)頁文件 較大時�����,防篡改的比對處理時間很長�����,導致用戶瀏覽網(wǎng)頁時的延遲很明顯�����。第三代技術是底層監(jiān)控文件���,發(fā)現(xiàn)篡改馬上恢復���,用戶每次瀏覽網(wǎng)頁時,沒有額外處理��, 所以不會產(chǎn)生延遲���。
服務器資源低占用
由于第二代技術在每次用戶瀏覽時都要截停數(shù)據(jù)流并做數(shù)據(jù)對比����,所以網(wǎng)頁訪問量越大占用的系統(tǒng)資源也越多。第三代技術在底層監(jiān)控文件系統(tǒng)����,消耗的服務器資源很低,且是個固定值���,不隨網(wǎng)站訪問量變化���。
不依賴WEB服務器軟件
第二代技術是內嵌到WEB服務器軟件中的,如IIS�、weblogic、tomcat等�,所以如果web服務器軟件重裝、修改�����、配置變更��,均需要調 整或者重裝防篡改軟件系統(tǒng)����。第三代技術內嵌于操作系統(tǒng)底層��,不依賴WEB服務器軟件,只有重裝整個操作系統(tǒng)時才需要重裝防篡改軟件系統(tǒng)���。
識別第三代防篡改技術的方法
目前,網(wǎng)頁防篡改產(chǎn)品市場如火如荼�,產(chǎn)品質量良莠不齊�����,品牌多而繁雜��,不少廠商都宣稱自己的產(chǎn)品采用的是第三代防篡改技術�����。讓網(wǎng)站管理者們產(chǎn)生迷 惑���。其實����,識別第三代防篡改技術的方法很簡單:如果網(wǎng)頁被篡改后可以馬上恢復���,即是第三代技術����。因為第二代技術在網(wǎng)頁被篡改后不會立即恢復,需要等到有用 戶訪問該網(wǎng)頁后才可恢復��。
測試方法:將防篡改軟件系統(tǒng)的防護功能關掉����,只開啟篡改后恢復功能。然后更改一個網(wǎng)頁并確定更改成功����。在用戶沒有訪問被更改網(wǎng)頁的情況下,如果網(wǎng)頁沒有恢復�,則是第二代技術,如果網(wǎng)頁很快就恢復了��,則是第三代技術�。
