网页挂马监测及web服务安全加固

数据来自：12321网络不良与垃圾信息举报受理中心
二、Web应用及安全分析
不良信息top10 1 赌博 2 假证件办理 3 代写论文 4 黑客网站 5 色情淫秽信息 6 股票证券诈骗 7 管制品买卖 8 暴力 9 毒品 10 犯罪技能 备注 约占不良信息70%
数据来自：12321网络不良与垃圾信息举报受理中心
动态视图 变化探测
动态元素 检测分析
脚本解释 执行引擎
Web页面预处理子系统
网页爬虫 内嵌链接 分析提取 PageRank 智能分析
网页木马监 测分析中心Baidu Nhomakorabea
Web爬虫子系统
网络专线接入
挂马检测系统结构图
三、赛尔网络体检中心
• 不良信息检测(声学所)
检测报告 监管人员 内容甄别 检测结果数据库 任务管理 任务数据库 应 用 层
--瑞星“云安全”
二、Web应用及安全分析
被挂马、被篡改、被攻击原因分析
• 管理漏洞
• 缺少有效管理，特别是二、三级网站 • Web服务器一机多用，导致病毒感染 • Web服务器与其他机器共享网段，导致ARP欺骗
• 系统漏洞
• 系统更新不及时，系统漏洞依旧存在
• Web应用漏洞
• SQL注入、XSS等
跨站点脚本漏洞
SQL/XPath 注入漏洞
用户证书以明文方式提交 内部IP地址泄露 PHP版本非最新版 Apache版本非最新版
敏感的文件夹
GHDB: Typical login page 源码错误 密码输入自动补全功能处于启用状态 备份文件可通过URL访问 潜在的敏感地址 断开的链接 ......................
网页挂马监测及web服务安全加固
宁雄雁 赛尔网络体检中心
2010/5/27
汇报内容
一、高校站点安全现状 二、Web应用及安全分析 三、赛尔网络体检中心
一、高校站点安全现状
安全威胁
• • • • 信息系统本身的安全缺陷 计算机网络结构隐患 恶意攻击非安全信息发布 安全意识淡薄
一、高校站点安全现状
三、赛尔网络体检中心
• 服务优势 • 特点
• 积极预防，检治并举的体检策略 • 用户自定制、综合检测服务
• 技术
• • • • Web应用漏洞检测技术(wvs库)(赛尔) 系统漏洞检测技术(nessus库)(CCERT) 爬虫技术、沙箱技术、蜜罐技术(北大) 句类分析技术(声学所)
三、赛尔网络体检中心
Web应用系统结构图
一、高校站点安全现状
-常见安全问题
• • • • 代码注入 攻击认证系统 绕过访问控制 绕过客户端的控制 • • • • 对cookie和session 的攻击 跨站脚本（XSS）漏洞 应用程序的逻辑错误 信息泄露，如Error Message等
-常见防护措施
• 防病毒，防火墙，防篡改 • 入侵检测，加密传输，身份认证 • 访问控制，安全审计
二、Web应用及安全分析
• • • •
漏洞检测情况 网页挂马情况 不良信息情况 案例及分析
二、Web应用及安全分析
• 江苏某高校被挂马网站
挂马图
Web漏洞图
二、Web应用及安全分析
• 相关案例
–2007年6月份，沪上某高校数千名学生和老师的电子学 籍管理系统账号和密码外泄 --东方网 –2008年7月31日，武汉某高校遭攻击，删除正式录取11 人，恶意添加8人，欺骗考生和家长 --《新京报》 –2009年7月，北京某高校招生网页被挂马，招生数据被 恶意篡改 --《新京报》 –2009年7月，20多所知名高校的二级网页屡遭“挂马”， 8月份，多所高校的成人教育网站被恶意“挂马”
教育网全网挂马网站扫描数据
数据来自北京大学信息安全中心
二、Web应用及安全分析
网页挂马案例(南昌某高校招生办官方网站)追踪提取的挂马链示例
该挂马网站(南昌某高校招生办官方网站)被Google列入黑名单
二、Web应用及安全分析
• • • •
漏洞检测情况 网页挂马情况 不良信息情况 案例及分析
二、Web应用及安全分析
占系统漏洞的67.3%
应用级漏洞
占应用级漏洞的71.6%
系统漏洞比列表
二、Web应用及安全分析
数据来自CCERT
二、Web应用及安全分析
• • • •
漏洞检测情况 网页挂马情况 不良信息情况 案例及分析
二、Web应用及安全分析
2010年1月-4月进行的教育网全网挂马网站扫描数据 •扫描全网有效网站个数：35421 个 •涉及的院校：311个（清华、北大都在其中）
核心 分词 技术 层面
自然语言文字 文本向各类基 元的映射处理
技术对比
谢谢！
概 念 分 析
内 容 分 类
领域分析 语句分析 词句分析
核 心 分 析 层
文本提取 网络爬虫
数 据 层
互联网 站点1 站点N
不良信息检测结构图
三、赛尔网络体检中心
• • 概念层次网络（Hierarchical Network of Concepts，简称HNC）理论 特点：语义深层处理自然语言内容 传统 内容 基础 词语 层面 句法分析 语义分析 特点 对象无限 相关性隐含 体系松散缺乏内聚性 语句处理未实用化 算法简单 近距离计算 存在分词歧义 新词处理困难 多义词同义词困难 内容 概念基元 句类基元 语境单元基元 HNC 特点 对象有限 以有限驾驭无限 凸现语义内涵的相关性 体系强相关内聚性强 语境分析进入实用 算法较复杂 远近结合体现语言关联 形式化概念符号处理 语义表达手段丰富 区分语义差异容易
系统漏洞级别分布图
系统漏洞种类表
二、Web应用及安全分析
跨站点脚本漏洞 断开的链接 SQL/XPath 注入漏洞
系统级漏洞
内部IP地址泄露 用户证书以明码方式提交 Apache版本不是最新版 PHP版本不是最新版 GHDB: Typical login page 敏感的文件夹 源码错误 密码输入自动补全功能处于启用状态 备份文件可通过URL访问 潜在的敏感地址 程序错误信息 应用错误信息
二、Web应用及安全分析
• • • •
漏洞检测情况 网页挂马情况 不良信息情况 案例及分析
二、Web应用及安全分析
申请学校 扫描信息 完成扫描信息 完成扫描高校 下发报告
357
413
近2000次
357
近2000份
各省高校网站检测统计分析
二、Web应用及安全分析
• 357所高校，检测结果分析 • 存在安全漏洞网站占：97.3% • 检测安全漏洞71种
• 挂马检测(北大)
•爬虫500万URL/ 天/台 •抽样时对相似U RL进行归并 •预处理50万URL/天/台 •过滤良性URL •静态检测已知网马
页面采集
预处理
定点监测 热点追踪 嫌疑站点
•分析1500URL/ 天/台 •自动生成挂马 追踪图 •对挂马网站进 行深度挖掘
确认挂马 广度抽样
挂马分析
三、赛尔网络体检中心
• 赛尔网络体检中心成立2009年6月，幵被教育部学 生司指定为全国高校招生安全检测平台，主要负责 该校网络站点安全检测工作，幵提供整体解决方案 • 服务策略：
• 积极预防，检治幵丼
• 安全服务
• 系统漏洞检测 • 网页挂马监测 • 方案咨询 • 应急响应
• web应用漏洞检测
• 体检中心作用
–作为高校信息安全实践和科研平台 –为国家培养网络信息安全人才
三、赛尔网络体检中心
• 服务模式
赛尔体检中心服务模式
三、赛尔网络体检中心
• 服务流程
检测及治疗服务流程
• 体检中心: http://www.nhcc.edu.cn
三、赛尔网络体检中心
三、赛尔网络体检中心
三、赛尔网络体检中心
动态检测
•检测10万URL/天/台 •动态行为结果判定
挂马检测系统结构图
三、赛尔网络体检中心
• 挂马检测(北大)
网页木马检测与分析子系统
内核调用 劫持 动态行为 检测判定 动态行为 监控分析 感染链 分析提取 监测 数据库 网页木马态 势分析 恶意代码 扫描引擎 样本及 特征库
轻量级并行化沙箱
计算 计算 计算 集群 集群 集群
• 安全加固
• 网络不良信息检测 • 站点托管 • 网页质量监测 • 站点安全
三、赛尔网络体检中心
三、赛尔网络体检中心
• 安全体检的意义
–执行保障高招信息安全的国家任务 –提高会员单位的服务体验，变会员为惠员
• 安全体检基础
–中国教育和科研计算机网紧急响应小组(CCERT) –保障高考招生安全的检测平台 (教学司文件) –拥有近2700所高校的用户群体