如何構建快速高效的智慧黑鏈檢測模型
黑鏈,是指看不見、摸不到,但卻被搜尋引擎計算權重的外鏈,也叫隱鏈、暗鏈。這種技術正在成為黑客獲利的常用手段,簡單來說即通過入侵篡改他人網站,植入暗鏈程式碼,劫持他人網站流量,用作不法內容宣傳,從而獲利。
黑鏈會帶來哪些危害?
百度搜索日常問題,結果搜到 詐 騙電話;
自媒體平臺 被植入賭博APP廣告;
政府監管機構官網被劫持跳轉至非法 博彩 網站;
……
這一連串的場景恐怕你並不陌生,而這些都是黑客植入黑鏈的“勝利果實”。
政府和企業的官方網站、知名媒體平臺是黑客最喜歡的植入物件,因為這些網站關注度高,流量劫持成功的收益巨大。對於社會公眾而言,黑鏈可能以黃賭毒內容植入在正常網頁中,會對正常網站造成經濟損失或影響未成年人的健康成長;對於企業機構而言,流量及系統資料被竊取,導致網站權重受到影響;對於政府機關而言,黑鏈會影響政府公信力,不利於社會的和諧穩定。
黑鏈的植入方式
一般情況下,黑客非法入侵網站以及空間伺服器,通過植入黑鏈實現流量劫持,許多被植入黑鏈的網站頁面上不會有太大變化,主要會通過以下三種方式:
1.在css中將標籤display元素設定為none,讓黑鏈不顯示; 2.在css中通過在color元素中將黑鏈標籤調為於網頁頁面顏色一致,讓人看不到; 3.利用css浮動或定位技術,將黑鏈定位在網站瀏覽不到的位置。
如今,黑鏈的植入與檢測已經成為黑帽與白帽之間激烈的“帽子之爭”。本文將從近期一起影響較大的黑鏈植入案例入手,剖析如何基於大資料分析能力構建黑鏈智慧檢測模型。
一起黑鏈事件的分析還原
2月20-21日,AiLPHA大資料智慧分析平臺監測到某集團網站被攻擊者使用KindEditor編輯器元件植入色情廣告頁面。
該案例主要通過最近爆發的KindEditor漏洞進行黑鏈植入。
根據對GitHub程式碼版本測試,KindEditor編輯器<= 4.1.11的版本上都存在上傳漏洞,即預設有upload_json.*檔案保留,但在4.1.12版本中該檔案已經改名處理了,改成了upload_json.*.txt和file_manager_json.*.txt,從而再呼叫該檔案上傳時將提示不成功。
黑鏈檢測方式的分析和對比
傳統黑鏈檢測方法效率低下:
1.檢視網站原始碼,查詢原始碼中有沒有異常的http://或者https://; 2.用FTP檢視網站檔案的修改時間來檢查黑鏈,通常每個網站檔案都有自己的修改時間,被植入黑鏈的檔案修改時間會與其他檔案時間不一致; 3.通過掃描器對全網URL進行掃描,通過對掃描結果進行分析是否存在暗鏈。
這幾種傳統暗鏈檢測存在時效性差、耗時長,可能對原有業務產生影響(許多企業業務系統不允許掃描)等問題,可用性不高。
更智慧高效的黑鏈監測方式
基於核心大資料智慧分析技術,AiLPHA大資料實驗室研發構建出更智慧的黑鏈檢測模型,大幅度提升檢測準確度與檢測效率,能夠實現外網威脅植入快速預警,幫助使用者及時採取保護措施。
AiLPHA 智慧黑鏈檢測模型:
第一步:基於使用者站點的行為建立正常訪問的基線;例如獲取該站點上上週,上週的訪問流量,通過AI演算法建立本週正常訪問區間的基線。
第二步:發現超過基線的異常請求,如下圖所示,事件發生時間的訪問超出演算法計算基線的異常請求,系統告警。
異常基線檢測基礎原理
第三步:大資料平臺通過儲存的原始日誌進一步分析該請求的返回報文;利用自然語言處理技術對返回報文進行語義分析,對高概率包含黃賭毒等黑鏈的URL產生告警。
檢測到暗鏈之後,平臺還可以通過大資料追蹤溯源技術,發現植入暗鏈的入口,防止下一次被黑客利用。
上面的案例通過大資料溯源技術進一步分析:發現黑客使用其他IP通過KindEditor漏洞進行暗鏈的植入。客戶及時修復漏洞與阻斷惡意IP防止網站二次被攻擊。
AiLPHA 黑鏈智慧檢測模型優勢:
1.基於旁路流量的檢測方法具有更高檢測效率以及準確率;
2.能夠實時快速發現使用者站點中被嵌入的黑鏈;
3.不用在伺服器端部署額外軟體,業務運轉零損耗。
4.利用平臺追蹤溯源技術發現黑客植入暗鏈入口,防止二次被植入。
*本文作者:安恆資訊,轉載請註明來自FreeBuf.COM