防篡改技術(shù)比較

1、網(wǎng)頁防篡改系統(tǒng)技術(shù)比較一、三種技術(shù).外掛輪詢技術(shù)外掛輪詢技術(shù)是利用一個網(wǎng)頁讀取和檢測程序，以輪詢方式讀出要監(jiān)控的網(wǎng)頁，與真實網(wǎng)頁相比較，來判斷網(wǎng)頁內(nèi)容的完整性，對于被篡改的網(wǎng)頁進行報警和恢復(fù)。.核心內(nèi)嵌技術(shù)核心內(nèi)嵌技術(shù)是將篡改檢測模塊內(nèi)嵌在Web服務(wù)器軟件里，它在每一個網(wǎng)頁流出時都進行完整性檢查，對于篡改網(wǎng)頁進行實時訪問阻斷，并予以報警和恢復(fù)。.事件觸發(fā)技術(shù)事件觸發(fā)技術(shù)是利用操作系統(tǒng)的文件系統(tǒng)接口，在網(wǎng)頁文件的被修改時進行合法性檢查，對于非法操作進行報警和恢復(fù)。二、形象性描述.Wet務(wù)器與大樓我們把Web服務(wù)器看成是一個美術(shù)館大樓，目錄是大樓的樓層和房間，每個網(wǎng)頁文件都是房間掛著的畫作。這些畫

2、作每天在由工作人員不斷更新，每天也有成千上萬的借閱者通過借閱口來取出和閱讀這些畫作。網(wǎng)頁防篡改系統(tǒng)的目標就是保證人們看到的是真實的畫作,而不是品甚至反動宣傳品。.外掛輪詢技術(shù)大樓配備了一個檢查員進行巡檢，他以一個普通借閱者的身份不停地在借閱處調(diào)取每個房間的每副畫作，與手里的真實畫作相比較里進行檢查，發(fā)現(xiàn)有可疑物品即進行報警。這種方式的顯著弱點是：當大樓規(guī)模很大，房間和畫作很多時，他會忙不過來。對于特定的一幅畫作，兩次檢查的時間間隔會很長，不法分子完全有機會更換畫作，對借閱者造成嚴重影響。.核心內(nèi)嵌技術(shù)大樓在借閱口處配備一個檢查員，他對每一個調(diào)出的畫作進行檢查，發(fā)現(xiàn)有可疑畫作即阻止它的流出。這種

3、方式的顯著優(yōu)點是：每副畫作在流出時都進行檢查，因此可疑畫作完全沒有被借閱者看到的可能；相應(yīng)弱點是，由于存在檢查手續(xù)，畫作在流出時會耽誤時間。.事件觸發(fā)技術(shù)大樓在正門進口處配備一個檢查人，他對每一個進入的畫作進行檢查，發(fā)現(xiàn)有可疑物品即進行報警。這種方式的顯著優(yōu)點是：防范成本很低，但缺點是：美術(shù)館大樓的結(jié)構(gòu)非常復(fù)雜，不法分子通常不會選擇正門進來，他會從天花板、下水道甚至利用大樓結(jié)構(gòu)的薄弱處自己挖個洞進來，并且還不斷會有新的門路被發(fā)現(xiàn)，可見防守進口的策略是不能做到萬無一失的。另外，非法畫作一旦混進了大樓，就再也沒有機會進行安全檢查了。三、技術(shù)評估.技術(shù)對比外掛輪詢事件觸發(fā)核心內(nèi)嵌訪問被篡改網(wǎng)貝可能可

4、能不口能防護動態(tài)內(nèi)容不能僅腳本腳本和內(nèi)容Web服務(wù)器負載中低極低帶寬占用中無無檢測時間分鐘級接近實時實時繞過檢測機制不口能可能不口能防范連續(xù)篡改攻擊不能不支持支持保護所有網(wǎng)頁不能能能適用操作系統(tǒng)所有受限所有上傳時檢測不能受限臺匕目匕斷線時保護不能不能臺匕目匕.訪問被篡改網(wǎng)頁外掛輪詢技術(shù)：無法阻止公眾訪問到被篡改網(wǎng)頁，它只能在被篡改后一段時間發(fā)現(xiàn)和進行恢復(fù)，因此公眾有很大可能訪問到被篡改網(wǎng)頁。核心內(nèi)嵌技術(shù)：守住Web網(wǎng)頁流出的最后一道關(guān)口，因此能夠完全杜絕被篡改的網(wǎng)頁被公眾訪問到，真正做到萬無一失。事件觸發(fā)技術(shù)：將安全保障建立在“網(wǎng)頁不可能被隱秘地篡改”這種假設(shè)上，因此也沒有對網(wǎng)頁流出進行任何檢

5、查，在一些情形下（具體情形見下文），公眾是有可能訪問到被篡改網(wǎng)頁的。.動態(tài)網(wǎng)頁目前的網(wǎng)站越來越多地使用動態(tài)技術(shù)（例如：ASPJSP、PHP來輸出網(wǎng)頁。動態(tài)網(wǎng)頁由網(wǎng)頁腳本和內(nèi)容組成：網(wǎng)頁腳本以文件形式存在于Web服務(wù)器上；網(wǎng)頁內(nèi)容則取自于數(shù)據(jù)庫。外掛輪詢技術(shù)：所監(jiān)測到的動態(tài)網(wǎng)頁是網(wǎng)頁腳本和內(nèi)容混合后的結(jié)果，而網(wǎng)頁內(nèi)容是根據(jù)訪問情況時時在變化的，外掛輪詢技術(shù)又無法區(qū)分網(wǎng)頁腳本和內(nèi)容，因此無法實現(xiàn)對動態(tài)網(wǎng)頁的防篡改保護。核心內(nèi)嵌技術(shù)：可以直接從Web服務(wù)器上得到動態(tài)網(wǎng)頁腳本，不受變化的內(nèi)容影響，因而能夠象靜態(tài)網(wǎng)頁一樣保護動態(tài)網(wǎng)頁腳本。同時，因為作為Web服務(wù)器核心內(nèi)嵌模塊的形式存在，可以在Web系統(tǒng)

6、處理之前對用戶提交的內(nèi)容進行安全性檢查，可以防止針對動態(tài)內(nèi)容的攻擊。事件觸發(fā)技術(shù)：僅能防護作為文件形式存在的動態(tài)網(wǎng)頁腳本，不能對動態(tài)內(nèi)容進行防護。.Wet務(wù)器負載外掛輪詢技術(shù)：由于從外部不斷地和獨立地掃描Web服務(wù)器文件，因此對Web服務(wù)器形成相當?shù)呢撦d，并且掃描頻度（亦即安全程度）和負載總是矛盾的。核心內(nèi)嵌技術(shù)：篡改檢測模塊內(nèi)嵌于Web服務(wù)器軟件里，Web服務(wù)器軟件讀出網(wǎng)頁文件后，由篡改檢測模塊進行水印比對，因此要占用一定CPU十算時間。但這個計算是在內(nèi)存中進行的，比起Web服務(wù)器軟件從硬盤中讀取網(wǎng)頁文件的操作來，額外產(chǎn)生的負載是非常小的。事件觸發(fā)技術(shù)：由于只在正常網(wǎng)頁發(fā)布時進行安全檢查，因

7、此對網(wǎng)頁訪問的影響幾乎為零，額外占用的服務(wù)器負載也基本上為零。.帶寬占用外掛輪詢技術(shù)：從外部獨立檢測網(wǎng)頁，因此需要占用訪問的網(wǎng)絡(luò)帶寬。核心內(nèi)嵌技術(shù)和事件觸發(fā)技術(shù)：檢測都在服務(wù)器本機上進行，不占用網(wǎng)絡(luò)帶寬。.繞過檢測機制外掛輪詢技術(shù)：由外部主機進行，不可能繞過檢測。核心內(nèi)嵌技術(shù)：整合在Web服務(wù)器軟件里的，對每一個網(wǎng)頁都進行篡改檢查，不可能有網(wǎng)頁繞過檢測機制。事件觸發(fā)技術(shù)：并不能確保捕獲對文件的所有方式的修改（例如直接寫磁盤、直接寫內(nèi)核驅(qū)動程序、利用操作系統(tǒng)漏洞等），非常容易被專業(yè)黑客很容易繞過；而且一旦成功，它沒有任何手段來察覺和恢復(fù)。它的技術(shù)特點決定了它類似于防病毒工具（以黑防黑）而不是專門

8、針對網(wǎng)站保護的系統(tǒng)。.連續(xù)篡改攻擊有意進行惡意攻擊的黑客可以利用其他技術(shù)的掃描間隔來進行連續(xù)的篡改攻擊，即在網(wǎng)頁被恢復(fù)后立即重新篡改網(wǎng)頁。外掛輪詢技術(shù)：由于重篡改過程可以利用程序自動和連續(xù)進行，并只針對一個重要網(wǎng)頁（例如網(wǎng)站首頁）進行，因此即使的掃描時間間隔設(shè)置得再?。ɡ?分鐘），也無法阻止篡改后的網(wǎng)頁被公眾訪問到。核心內(nèi)嵌技術(shù)：在每次輸出網(wǎng)頁時都進行完整性檢查，如有變化則阻斷發(fā)送。因此，無論連續(xù)攻擊多么迅速和頻繁，都無法使公眾看到被篡改的網(wǎng)頁。事件觸發(fā)技術(shù)：對Web服務(wù)器軟件沒有控制能力，它發(fā)現(xiàn)篡改后沒有辦法去協(xié)調(diào)Web服務(wù)器工作，對于大規(guī)模或精心策劃的攻擊是無能為力的。.斷線時保護核心內(nèi)嵌技術(shù)：即使在黑客中斷