Andrew
2
CISP-PTE
CISM-WSE
Andrew2
CISP-PTE
CISM-WSE
定時循環掃描技術
定時循環掃描技術也稱為“外掛輪詢”,該技術在程序中按用戶設定的間隔對網站目錄進行定時掃描比對,如果發現篡改,就用備份進行恢復。這是早期使用的技術,因為比較落后已經被淘汰了,原因是現在的網站少則幾千個文件,大則幾萬幾十萬個文件,采用定時循環掃描不僅需要耗費大量的時間,還會嚴重影響服務器性能。在掃描的間隙或者掃描過程中,如果有文件被二次篡改,那么在下次循環掃描到該文件之前,文件就一直是被篡改的,公眾訪問到的也將是被篡改的網頁,這是一段“盲區”,“盲區”的時長由網站文件數量、磁盤性能、CPU性能等眾多客觀因素來決定。
事件觸發技術
事件觸發技術使用程序對網站目錄進行實時監控,文件系統稍有變動就進行檢查是否為非法篡改。事件觸發技術是目前主流的防篡改技術之一,該技術以穩定、可靠、占用資源極少著稱,其原理是監控網站目錄,如果目錄中有篡改發生,監控程序就能得到系統通知事件,隨后程序根據相關規則判定是否是非法篡改,如果是非法篡改就立即給予恢復。該技術是典型的“后發制人”,即非法篡改已經發生后才可進行恢復。
核心內嵌(數字水印)技術
核心內嵌技術在用戶請求訪問網頁之后,系統正式提交網頁內容給用戶之前,對網頁進行完整性檢查。核心內嵌技術是目前的主流技術之一,該技術以無進程、篡改網頁無法流出、使用密碼學算法作支撐而著稱,其原理是對每一個流出的網頁進行數字水印(也就是HASH散列)檢查,如果發現當前水印和之前記錄的水印不同,則可斷定該文件被篡改,并且阻止其繼續流出,并傳喚恢復程序進行恢復。即使黑客該技術的特點通過各種各樣未知的手段篡改了網頁文件,被篡改的網頁文件也無法流出而被公眾訪問到。
文件過濾驅動技術
文件過濾驅動技術采用系統底層文件過濾驅動技術,攔截與分析IRP流。文件過濾驅動技術是新興的一種防篡改技術,其原理是采用操作系統底層文件過濾驅動技術,攔截與分析IRP流,對所有受保護的網站目錄的寫操作都立即截斷,與“事件觸發技術”的“后發制人”相反,該技術是典型的“先發制人”,在篡改寫入文件之前就阻止。
推薦文章
