行业新闻

如何构建快速高效的智能黑链检测模型

如何构建快速高效的智能黑链检测模型

黑链,是指看不见、摸不到,但却被搜索引擎计算权重的外链,也叫隐链、暗链。这种技术正在成为黑客获利的常用手段,简单来说即通过入侵篡改他人网站,植入暗链代码,劫持他人网站流量,用作不法内容宣传,从而获利。

黑链会带来哪些危害?

百度搜索日常问题,结果搜到骗电话;

自媒体平台被植入赌博APP广告;

政府监管机构官网被劫持跳转至非法博彩网站;

……

这一连串的场景恐怕你并不陌生,而这些都是黑客植入黑链的“胜利果实”。

政府和企业的官方网站、知名媒体平台是黑客最喜欢的植入对象,因为这些网站关注度高,流量劫持成功的收益巨大。对于社会公众而言,黑链可能以黄赌毒内容植入在正常网页中,会对正常网站造成经济损失或影响未成年人的健康成长;对于企业机构而言,流量及系统数据被窃取,导致网站权重受到影响;对于政府机关而言,黑链会影响政府公信力,不利于社会的和谐稳定。

1.png

黑链的植入方式

一般情况下,黑客非法入侵网站以及空间服务器,通过植入黑链实现流量劫持,许多被植入黑链的网站页面上不会有太大变化,主要会通过以下三种方式:

1.在css中将标签display元素设置为none,让黑链不显示;

2.在css中通过在color元素中将黑链标签调为于网页页面颜色一致,让人看不到;

3.利用css浮动或定位技术,将黑链定位在网站浏览不到的位置。

如今,黑链的植入与检测已经成为黑帽与白帽之间激烈的“帽子之争”。本文将从近期一起影响较大的黑链植入案例入手,剖析如何基于大数据分析能力构建黑链智能检测模型。

一起黑链事件的分析还原

2月20-21日,AiLPHA大数据智能分析平台监测到某集团网站被攻击者使用KindEditor编辑器组件植入色情广告页面。

该案例主要通过最近爆发的KindEditor漏洞进行黑链植入。

根据对GitHub代码版本测试,KindEditor编辑器= 4.1.11的版本上都存在上传漏洞,即默认有upload_json.*文件保留,但在4.1.12版本中该文件已经改名处理了,改成了upload_json.*.txt和file_manager_json.*.txt,从而再调用该文件上传时将提示不成功。 

image.png

黑链检测方式的分析和对比

传统黑链检测方法效率低下:

1.查看网站源代码,查找源码中有没有异常的http://或者https://;

2.用FTP查看网站文件的修改时间来检查黑链,通常每个网站文件都有自己的修改时间,被植入黑链的文件修改时间会与其他文件时间不一致;

3.通过扫描器对全网URL进行扫描,通过对扫描结果进行分析是否存在暗链。

这几种传统暗链检测存在时效性差、耗时长,可能对原有业务产生影响(许多企业业务系统不允许扫描)等问题,可用性不高。

更智能高效的黑链监测方式

基于核心大数据智能分析技术,AiLPHA大数据实验室研发构建出更智能的黑链检测模型,大幅度提升检测准确度与检测效率,能够实现外网威胁植入快速预警,帮助用户及时采取保护措施。

AiLPHA智能黑链检测模型:

第一步:基于用户站点的行为建立正常访问的基线;例如获取该站点上上周,上周的访问流量,通过AI算法建立本周正常访问区间的基线。

第二步:发现超过基线的异常请求,如下图所示,事件发生时间的访问超出算法计算基线的异常请求,系统告警。

3.png

异常基线检测基础原理

第三步:大数据平台通过保存的原始日志进一步分析该请求的返回报文;利用自然语言处理技术对返回报文进行语义分析,对高概率包含黄赌毒等黑链的URL产生告警。

检测到暗链之后,平台还可以通过大数据追踪溯源技术,发现植入暗链的入口,防止下一次被黑客利用。

上面的案例通过大数据溯源技术进一步分析:发现黑客使用其他IP通过KindEditor漏洞进行暗链的植入。客户及时修复漏洞与阻断恶意IP防止网站二次被攻击。

4.png

AiLPHA黑链智能检测模型优势:

1.基于旁路流量的检测方法具有更高检测效率以及准确率;

2.能够实时快速发现用户站点中被嵌入的黑链;

3.不用在服务器端部署额外软件,业务运转零损耗。

4.利用平台追踪溯源技术发现黑客植入暗链入口,防止二次被植入。

*本文作者:安恒信息,转载请注明来自FreeBuf.COM

关闭