江翰网页防篡改系统解决方案--6技术比较-优快云博客

博客介绍了外挂轮询、web层内嵌检测、文件系统内核检测等网页篡改检测技术，还对这些技术进行评估，包括技术对比、静态与动态网页情况、Web服务器负载、绕过检测机制等方面，最后进行了产品评估。

三种技术

外挂轮询技术是利用一个网页读取和检测程序，以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。

web层内嵌检测技术是将篡改检测模块内嵌在Web服务器软件里，它在每一个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，并予以报警和恢复。

文件系统内核检测技术是利用操作系统的文件系统接口，在网页文件的被修改时进行合法性检查，对于非法操作进行报警和恢复。

技术评估

	外挂轮询	文件内核检测	Web层内嵌检测
网页篡改阻止	不能	阻止篡改	-
访问被篡改网页	可能	-	不能
动态网页防护	不能	不能	能
Web服务器负载	高	低	中
检测时间	分钟级	实时	在线
防范连续篡改***	不能	支持	代价高
保护所有网页	不能	能	能
适用操作系统	所有	受限于操作系统	受限于web应用
总结：外挂方式已经淘汰，文件层和web层各有优缺点。发展方向是两者结合，通过文件层次实时监控篡改行为保护静态页面和脚本，在web层次对输入请求进行检查主要面向动态页面防护。

Web层内嵌技术：守住Web网页流出的最后一道关口，因此能够完全杜绝被篡改的网页被公众访问到，真正做到万无一失。

文件层内核技术：守住文件系统写入的关口，对网页和脚本的更改进行实时识别和阻止，保证网页处于正确的状态。

目前的网站越来越多地使用动态技术（例如：ASP、JSP、PHP）来输出网页。动态网页由网页脚本和内容组成：网页脚本以文件形式存在于Web服务器上；网页内容则取自于数据库。

文件层内核技术：仅能防护作为文件形式存在的动态网页脚本，不能对动态内容进行防护。

Web层内嵌技术：作为Web服务器核心内嵌模块的形式存在，可以在Web系统处理之前对用户提交的内容进行安全性检查，可以防止针对动态内容的***。

Web层内嵌技术：篡改检测模块内嵌于Web服务器软件里，Web服务器软件读出网页文件后，由篡改检测模块进行水印比对，因此要占用一定CPU计算时间。

文件层内核技术：由于只在正常网页发布时进行安全检查，因此对网页访问的影响几乎为零，额外占用的服务器负载也基本上为零。

Web层内嵌技术：整合在Web服务器软件里的。可能的绕过检测机制，需要修改内存中的web核心代码或者挂入新的高层过滤钩子，难度较大。

文件层内核技术：作为文件过滤驱动运行。可能的绕过机制包括直接写磁盘、挂载底层过滤驱动，难度较大。

有意进行恶意***的***可以利用其他技术的扫描间隔来进行连续的篡改***，即在网页被恢复后立即重新篡改网页。

Web层内嵌防护：在每次输出网页时都进行完整性检查，如有变化则阻断发送。因此，无论连续***多么迅速和频繁，都无法使公众看到被篡改的网页。但是连续***会造成频繁恢复，导致web效率下降。

文件层内核防护：文件系统截获所有的写操作，对写行为的合法性进行检测，基于写操作只在正常发布才产生，因此对系统性能影响极小。通过文件系统监控和适当的追踪技术，可以发现导致篡改的进程和网络连接，从而对连续***进行有效阻止和防护。

Web层防护技术：即使在***中断了Web服务器和备份网页服务器连接的情况下，也可以阻止被篡改网页的流出，但是不能及时恢复被篡改的网页。

文件层内核防护技术：可以继续实施保护。