防篡改技術(shù)比較_第1頁
防篡改技術(shù)比較_第2頁
防篡改技術(shù)比較_第3頁
防篡改技術(shù)比較_第4頁
防篡改技術(shù)比較_第5頁
已閱讀5頁,還剩1頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、網(wǎng)頁防篡改系統(tǒng)技術(shù)比較一、三種技術(shù).外掛輪詢技術(shù)外掛輪詢技術(shù)是利用一個(gè)網(wǎng)頁讀取和檢測程序,以輪詢方式讀出要監(jiān)控的網(wǎng)頁,與真實(shí)網(wǎng)頁相比較,來判斷網(wǎng)頁內(nèi)容的完整性,對于被篡改的網(wǎng)頁進(jìn)行報(bào)警和恢復(fù)。.核心內(nèi)嵌技術(shù)核心內(nèi)嵌技術(shù)是將篡改檢測模塊內(nèi)嵌在Web服務(wù)器軟件里,它在每一個(gè)網(wǎng)頁流出時(shí)都進(jìn)行完整性檢查,對于篡改網(wǎng)頁進(jìn)行實(shí)時(shí)訪問阻斷,并予以報(bào)警和恢復(fù)。.事件觸發(fā)技術(shù)事件觸發(fā)技術(shù)是利用操作系統(tǒng)的文件系統(tǒng)接口,在網(wǎng)頁文件的被修改時(shí)進(jìn)行合法性檢查,對于非法操作進(jìn)行報(bào)警和恢復(fù)。二、形象性描述.Wet務(wù)器與大樓我們把Web服務(wù)器看成是一個(gè)美術(shù)館大樓,目錄是大樓的樓層和房間,每個(gè)網(wǎng)頁文件都是房間掛著的畫作。這些畫

2、作每天在由工作人員不斷更新,每天也有成千上萬的借閱者通過借閱口來取出和閱讀這些畫作。網(wǎng)頁防篡改系統(tǒng)的目標(biāo)就是保證人們看到的是真實(shí)的畫作,而不是品甚至反動(dòng)宣傳品。.外掛輪詢技術(shù)大樓配備了一個(gè)檢查員進(jìn)行巡檢,他以一個(gè)普通借閱者的身份不停地在借閱處調(diào)取每個(gè)房間的每副畫作,與手里的真實(shí)畫作相比較里進(jìn)行檢查,發(fā)現(xiàn)有可疑物品即進(jìn)行報(bào)警。這種方式的顯著弱點(diǎn)是:當(dāng)大樓規(guī)模很大,房間和畫作很多時(shí),他會(huì)忙不過來。對于特定的一幅畫作,兩次檢查的時(shí)間間隔會(huì)很長,不法分子完全有機(jī)會(huì)更換畫作,對借閱者造成嚴(yán)重影響。.核心內(nèi)嵌技術(shù)大樓在借閱口處配備一個(gè)檢查員,他對每一個(gè)調(diào)出的畫作進(jìn)行檢查,發(fā)現(xiàn)有可疑畫作即阻止它的流出。這種

3、方式的顯著優(yōu)點(diǎn)是:每副畫作在流出時(shí)都進(jìn)行檢查,因此可疑畫作完全沒有被借閱者看到的可能;相應(yīng)弱點(diǎn)是,由于存在檢查手續(xù),畫作在流出時(shí)會(huì)耽誤時(shí)間。.事件觸發(fā)技術(shù)大樓在正門進(jìn)口處配備一個(gè)檢查人,他對每一個(gè)進(jìn)入的畫作進(jìn)行檢查,發(fā)現(xiàn)有可疑物品即進(jìn)行報(bào)警。這種方式的顯著優(yōu)點(diǎn)是:防范成本很低,但缺點(diǎn)是:美術(shù)館大樓的結(jié)構(gòu)非常復(fù)雜,不法分子通常不會(huì)選擇正門進(jìn)來,他會(huì)從天花板、下水道甚至利用大樓結(jié)構(gòu)的薄弱處自己挖個(gè)洞進(jìn)來,并且還不斷會(huì)有新的門路被發(fā)現(xiàn),可見防守進(jìn)口的策略是不能做到萬無一失的。另外,非法畫作一旦混進(jìn)了大樓,就再也沒有機(jī)會(huì)進(jìn)行安全檢查了。三、技術(shù)評估.技術(shù)對比外掛輪詢事件觸發(fā)核心內(nèi)嵌訪問被篡改網(wǎng)貝可能可

4、能不口能防護(hù)動(dòng)態(tài)內(nèi)容不能僅腳本腳本和內(nèi)容Web服務(wù)器負(fù)載中低極低帶寬占用中無無檢測時(shí)間分鐘級接近實(shí)時(shí)實(shí)時(shí)繞過檢測機(jī)制不口能可能不口能防范連續(xù)篡改攻擊不能不支持支持保護(hù)所有網(wǎng)頁不能能能適用操作系統(tǒng)所有受限所有上傳時(shí)檢測不能受限臺(tái)匕目匕斷線時(shí)保護(hù)不能不能臺(tái)匕目匕.訪問被篡改網(wǎng)頁外掛輪詢技術(shù):無法阻止公眾訪問到被篡改網(wǎng)頁,它只能在被篡改后一段時(shí)間發(fā)現(xiàn)和進(jìn)行恢復(fù),因此公眾有很大可能訪問到被篡改網(wǎng)頁。核心內(nèi)嵌技術(shù):守住Web網(wǎng)頁流出的最后一道關(guān)口,因此能夠完全杜絕被篡改的網(wǎng)頁被公眾訪問到,真正做到萬無一失。事件觸發(fā)技術(shù):將安全保障建立在“網(wǎng)頁不可能被隱秘地篡改”這種假設(shè)上,因此也沒有對網(wǎng)頁流出進(jìn)行任何檢

5、查,在一些情形下(具體情形見下文),公眾是有可能訪問到被篡改網(wǎng)頁的。.動(dòng)態(tài)網(wǎng)頁目前的網(wǎng)站越來越多地使用動(dòng)態(tài)技術(shù)(例如:ASPJSP、PHP來輸出網(wǎng)頁。動(dòng)態(tài)網(wǎng)頁由網(wǎng)頁腳本和內(nèi)容組成:網(wǎng)頁腳本以文件形式存在于Web服務(wù)器上;網(wǎng)頁內(nèi)容則取自于數(shù)據(jù)庫。外掛輪詢技術(shù):所監(jiān)測到的動(dòng)態(tài)網(wǎng)頁是網(wǎng)頁腳本和內(nèi)容混合后的結(jié)果,而網(wǎng)頁內(nèi)容是根據(jù)訪問情況時(shí)時(shí)在變化的,外掛輪詢技術(shù)又無法區(qū)分網(wǎng)頁腳本和內(nèi)容,因此無法實(shí)現(xiàn)對動(dòng)態(tài)網(wǎng)頁的防篡改保護(hù)。核心內(nèi)嵌技術(shù):可以直接從Web服務(wù)器上得到動(dòng)態(tài)網(wǎng)頁腳本,不受變化的內(nèi)容影響,因而能夠象靜態(tài)網(wǎng)頁一樣保護(hù)動(dòng)態(tài)網(wǎng)頁腳本。同時(shí),因?yàn)樽鳛閃eb服務(wù)器核心內(nèi)嵌模塊的形式存在,可以在Web系統(tǒng)

6、處理之前對用戶提交的內(nèi)容進(jìn)行安全性檢查,可以防止針對動(dòng)態(tài)內(nèi)容的攻擊。事件觸發(fā)技術(shù):僅能防護(hù)作為文件形式存在的動(dòng)態(tài)網(wǎng)頁腳本,不能對動(dòng)態(tài)內(nèi)容進(jìn)行防護(hù)。.Wet務(wù)器負(fù)載外掛輪詢技術(shù):由于從外部不斷地和獨(dú)立地掃描Web服務(wù)器文件,因此對Web服務(wù)器形成相當(dāng)?shù)呢?fù)載,并且掃描頻度(亦即安全程度)和負(fù)載總是矛盾的。核心內(nèi)嵌技術(shù):篡改檢測模塊內(nèi)嵌于Web服務(wù)器軟件里,Web服務(wù)器軟件讀出網(wǎng)頁文件后,由篡改檢測模塊進(jìn)行水印比對,因此要占用一定CPU十算時(shí)間。但這個(gè)計(jì)算是在內(nèi)存中進(jìn)行的,比起Web服務(wù)器軟件從硬盤中讀取網(wǎng)頁文件的操作來,額外產(chǎn)生的負(fù)載是非常小的。事件觸發(fā)技術(shù):由于只在正常網(wǎng)頁發(fā)布時(shí)進(jìn)行安全檢查,因

7、此對網(wǎng)頁訪問的影響幾乎為零,額外占用的服務(wù)器負(fù)載也基本上為零。.帶寬占用外掛輪詢技術(shù):從外部獨(dú)立檢測網(wǎng)頁,因此需要占用訪問的網(wǎng)絡(luò)帶寬。核心內(nèi)嵌技術(shù)和事件觸發(fā)技術(shù):檢測都在服務(wù)器本機(jī)上進(jìn)行,不占用網(wǎng)絡(luò)帶寬。.繞過檢測機(jī)制外掛輪詢技術(shù):由外部主機(jī)進(jìn)行,不可能繞過檢測。核心內(nèi)嵌技術(shù):整合在Web服務(wù)器軟件里的,對每一個(gè)網(wǎng)頁都進(jìn)行篡改檢查,不可能有網(wǎng)頁繞過檢測機(jī)制。事件觸發(fā)技術(shù):并不能確保捕獲對文件的所有方式的修改(例如直接寫磁盤、直接寫內(nèi)核驅(qū)動(dòng)程序、利用操作系統(tǒng)漏洞等),非常容易被專業(yè)黑客很容易繞過;而且一旦成功,它沒有任何手段來察覺和恢復(fù)。它的技術(shù)特點(diǎn)決定了它類似于防病毒工具(以黑防黑)而不是專門

8、針對網(wǎng)站保護(hù)的系統(tǒng)。.連續(xù)篡改攻擊有意進(jìn)行惡意攻擊的黑客可以利用其他技術(shù)的掃描間隔來進(jìn)行連續(xù)的篡改攻擊,即在網(wǎng)頁被恢復(fù)后立即重新篡改網(wǎng)頁。外掛輪詢技術(shù):由于重篡改過程可以利用程序自動(dòng)和連續(xù)進(jìn)行,并只針對一個(gè)重要網(wǎng)頁(例如網(wǎng)站首頁)進(jìn)行,因此即使的掃描時(shí)間間隔設(shè)置得再?。ɡ?分鐘),也無法阻止篡改后的網(wǎng)頁被公眾訪問到。核心內(nèi)嵌技術(shù):在每次輸出網(wǎng)頁時(shí)都進(jìn)行完整性檢查,如有變化則阻斷發(fā)送。因此,無論連續(xù)攻擊多么迅速和頻繁,都無法使公眾看到被篡改的網(wǎng)頁。事件觸發(fā)技術(shù):對Web服務(wù)器軟件沒有控制能力,它發(fā)現(xiàn)篡改后沒有辦法去協(xié)調(diào)Web服務(wù)器工作,對于大規(guī)?;蚓牟邉澋墓羰菬o能為力的。.斷線時(shí)保護(hù)核心內(nèi)嵌技術(shù):即使在黑客中斷

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論