【干货】如何构建快速高效的智能黑链检测模型
黑链,是指看不见、摸不到,但却被搜索引擎计算权重的外链,也叫隐链、暗链。这种技术正在成为黑客获利的常用手段,简单来说即通过入侵篡改他人网站,植入暗链代码,劫持他人网站流量,用作不法内容宣传,从而获利。
黑链会带来哪些危害?
百度搜索日常问题,结果搜到诈骗电话;
自媒体平台被植入菠菜APP广告;
政府监管机构官网被劫持跳转至非法菠菜网站;
……
这一连串的场景恐怕你并不陌生,而这些都是黑客植入黑链的“胜利果实”。
政府和企业的官方网站、知名媒体平台是黑客最喜欢的植入对象,因为这些网站关注度高,流量劫持成功的收益巨大。对于社会公众而言,黑链可能以黄赌毒内容植入在正常网页中,会对正常网站造成经济损失或影响未成年人的健康成长;对于企业机构而言,流量及系统数据被窃取,导致网站权重受到影响;对于政府机关而言,黑链会影响政府公信力,不利于社会的和谐稳定。
黑链的植入方式
一般情况下,黑客非法入侵网站以及空间服务器,通过植入黑链实现流量劫持,许多被植入黑链的网站页面上不会有太大变化,主要会通过以下三种方式:
1.在css中将标签display元素设置为none,让黑链不显示;
2.在css中通过在color元素中将黑链标签调为于网页页面颜色一致,让人看不到;
3.利用css浮动或定位技术,将黑链定位在网站浏览不到的位置。
如今,黑链的植入与检测已经成为黑帽与白帽之间激烈的“帽子之争”。本文将从近期一起影响较大的黑链植入案例入手,剖析如何基于大数据分析能力构建黑链智能检测模型。
一起黑链事件的分析还原
2月20-21日,AiLPHA大数据智能分析平台监测到某集团网站被攻击者使用KindEditor编辑器组件植入色情广告页面。
该案例主要通过最近爆发的KindEditor漏洞进行黑链植入。
根据对GitHub代码版本测试,KindEditor编辑器<= 4.1.11的版本上都存在上传漏洞,即默认有upload_json.*文件保留,但在4.1.12版本中该文件已经改名处理了,改成了upload_json.*.txt和file_manager_json.*.txt,从而再调用该文件上传时将提示不成功。
黑链检测方式的分析和对比
传统黑链检测方法效率低下:
1.查看网站源代码,查找源码中有没有异常的http://或者https://;
2.用FTP查看网站文件的修改时间来检查黑链,通常每个网站文件都有自己的修改时间,被植入黑链的文件修改时间会与其他文件时间不一致;
3.通过扫描器对全网URL进行扫描,通过对扫描结果进行分析是否存在暗链。
这几种传统暗链检测存在时效性差、耗时长,可能对原有业务产生影响(许多企业业务系统不允许扫描)等问题,可用性不高。
更智能高效的黑链监测方式
基于核心大数据智能分析技术,AiLPHA大数据实验室研发构建出更智能的黑链检测模型,大幅度提升检测准确度与检测效率,能够实现外网威胁植入快速预警,帮助用户及时采取保护措施。
AiLPHA智能黑链检测模型:
第一步:基于用户站点的行为建立正常访问的基线;例如获取该站点上上周,上周的访问流量,通过AI算法建立本周正常访问区间的基线。
第二步:发现超过基线的异常请求,如下图所示,事件发生时间的访问超出算法计算基线的异常请求,系统告警。
异常基线检测基础原理
第三步:大数据平台通过保存的原始日志进一步分析该请求的返回报文;利用自然语言处理技术对返回报文进行语义分析,对高概率包含黄赌毒等黑链的URL产生告警。
检测到暗链之后,平台还可以通过大数据追踪溯源技术,发现植入暗链的入口,防止下一次被黑客利用。
上面的案例通过大数据溯源技术进一步分析:发现黑客使用其他IP通过KindEditor漏洞进行暗链的植入。客户及时修复漏洞与阻断恶意IP防止网站二次被攻击。