不間斷監測 | 提升網站安全防護能力 | 提高網站服務質量 | 建立長效安全保障機制
面對日益復雜的網絡安全環境和不斷變化的網絡攻擊,網站安全已經成為網絡安全的焦點,與網站相關的安全事件已造成了一定的經濟損失和社會影響。《網絡安全法》中也明確了關于網站安全的相關規定,要求網站主管部門、運營商應對網絡安全保護方面采取技術措施和其他必要措施。而通過對網站內容進行監測進而發現網站安全問題,是解決站點安全問題的重要途徑之一。 易網科技通過對網站的不間斷監測服務從而提升網站的安全防護能力和網站服務質量,并通過安全監測平臺的事件跟蹤功能建立起一種長效的安全保障機制。
監測平臺集成了漏洞掃描功能,該功能繼承了網站弱點掃描器的所有優點,可以實現快速、準確的定位出網站存在的問題,并且具有豐富的可配置接口便于配置個性化的掃描要求。
① 智能、快速的深度漏洞掃描。 ② 全面、準確的應用弱點檢測。
安全監測平臺的網頁木馬檢測算法主要由網頁惡意代碼分析技術和網頁行為分析技術組成。通過上述兩種主要的算法使網頁木馬檢測功能實現了誤報率低、漏報率底、能發現部分未知網頁木馬的效果。從測試情況來看可實現對傳統殺毒廠商提供的木馬樣本99%以上的識別率。
本技術是通過對網頁中的惡意腳本的鏈接進行分析,基于鏈接分析的網頁木馬檢測技術,利用網頁中的鏈接,追查出網頁木馬傳播的病毒、木馬程序所在位置,從而解決網絡中有害程序的準確定位。為安全部門清除有害程序,追查病毒、木馬傳播人員提供線索,為上網用戶提供安全的網絡環境。
惡意代碼分析技術能實現高效的網頁木馬檢測,但由于核心技術在于對網頁木馬特征提取和對shellcode的認知程度的深入。因此為了進一步提高網頁木馬的識別率,我們采用了網頁行為分析技術作為輔助檢測技術,即安全沙箱分析技術。
● 采用html標簽域比對技術實現監測,監測引擎對網站進行初始化采樣建立篡改監測基準,并對基準內容進行泛格式化處理,解析出html的相關標簽作為后續比對的基準。 ● 篡改監測技術的基礎是網頁變更監測,因此如果將所有的網頁變更都認為是篡改將導致大量的誤判,為了解決這個問題網站安全監測平臺使用了四個級別的監測策略:低度變更、中度變更、高度變更、確認篡改。管理員可自行定義篡改策略,如網頁的title標簽如果檢測到變更將視為確認篡改,或通過定義監測到某特定的關鍵字即視為確認篡改。
● 采用中文關鍵詞以及語義分析技術對網站進行敏感關鍵字監測,實現的敏感字識別,確保網站內容符合互聯網相關規定,避免出現敏感信息以及被監管部門封殺。 ● 監測平臺可以靈活的識別網站中存在的敏感關鍵字,即使字與字之間加了標點符號,依然可以良好的識別出來,有效的解決了關鍵字中夾雜符號而無法識別的問題。 ● 還使用了主輔關鍵字技術,使關鍵的告警控制在更有為效的范圍之內,如“xxx”為告警主關鍵字,但與“打擊”、“抵制”等輔關鍵字在一起時則不會觸發告警行為。更為合理的關鍵字監測降低人工二次確認的龐大工作量。
網站安全監測平臺提供三個級別的網站可用性監測功能,分別從域名可用性、網站服務可用性再深入到網站程序可用性的監測。較為全面的實現了網站可用性的監測功能。
任何一個解析的域名均有對應的權威DNS服務器為其提供域名解析服務,如果提供權威DNS信息的域名服務器出現故障或解析出錯誤的信息,將導致用戶無法訪問到真實的網站,例如百度網站被黑就是類似的原因導致的。 監測平臺通過監測權威服務器的可用性、以及權威服務器解析IP地址是否與監測平臺記錄的歷史基準一致來判斷域名是存否發生安全問題,檢測到故障時會向網站管理員提出整改建議。
網站正常工作時會自動監聽指定的TCP端口,通常是TCP 80端口,且通過HTTP協議訪問時能獲得一個200的響應狀態碼,則說明網站已經正常服務。當網站采用獨立的服務器,網站內容為靜態內容時使用該技術檢測已經可以很好的跟蹤網站的可用性了,但如果網站存在虛擬主機或復雜的應用程序時則仍不能確認網站是否正常工作。
網站程序可用性主要用于解決虛擬主機環境、復雜應用程序等環境的可用性識別。該功能類似于網上銀行系統的預留信息確信技術,采用該技術時監測引擎間隔一段時間就會向監測網站發起HTTP請求,并核對響應頁面內容是否有預留的文本或數據,若能匹配才認為網站能正常訪問。