黑链，是指看不见、摸不到，但却被搜索引擎计算权重的外链，也叫隐链、暗链。这种技术正在成为黑客获利的常用手段，简单来说即通过入侵篡改他人网站，植入暗链代码，劫持他人网站流量，用作不法内容宣传，从而获利。

黑链会带来哪些危害？

百度搜索日常问题，结果搜到诈骗电话；

自媒体平台被植入菠菜APP广告；

政府监管机构官网被劫持跳转至非法菠菜网站；

……

这一连串的场景恐怕你并不陌生，而这些都是黑客植入黑链的“胜利果实”。

政府和企业的官方网站、知名媒体平台是黑客最喜欢的植入对象，因为这些网站关注度高，流量劫持成功的收益巨大。对于社会公众而言，黑链可能以黄赌毒内容植入在正常网页中，会对正常网站造成经济损失或影响未成年人的健康成长；对于企业机构而言，流量及系统数据被窃取，导致网站权重受到影响；对于政府机关而言，黑链会影响政府公信力，不利于社会的和谐稳定。

黑链的植入方式

一般情况下，黑客非法入侵网站以及空间服务器，通过植入黑链实现流量劫持，许多被植入黑链的网站页面上不会有太大变化，主要会通过以下三种方式：

1.在css中将标签display元素设置为none，让黑链不显示；

2.在css中通过在color元素中将黑链标签调为于网页页面颜色一致，让人看不到；

3.利用css浮动或定位技术，将黑链定位在网站浏览不到的位置。

如今，黑链的植入与检测已经成为黑帽与白帽之间激烈的“帽子之争”。本文将从近期一起影响较大的黑链植入案例入手，剖析如何基于大数据分析能力构建黑链智能检测模型。

一起黑链事件的分析还原

2月20-21日，AiLPHA大数据智能分析平台监测到某集团网站被攻击者使用KindEditor编辑器组件植入色情广告页面。

该案例主要通过最近爆发的KindEditor漏洞进行黑链植入。

根据对GitHub代码版本测试，KindEditor编辑器<= 4.1.11的版本上都存在上传漏洞，即默认有upload_json.*文件保留，但在4.1.12版本中该文件已经改名处理了，改成了upload_json.*.txt和file_manager_json.*.txt，从而再调用该文件上传时将提示不成功。

黑链检测方式的分析和对比

传统黑链检测方法效率低下：

1.查看网站源代码，查找源码中有没有异常的http://或者https://；

2.用FTP查看网站文件的修改时间来检查黑链，通常每个网站文件都有自己的修改时间，被植入黑链的文件修改时间会与其他文件时间不一致；

3.通过扫描器对全网URL进行扫描，通过对扫描结果进行分析是否存在暗链。

这几种传统暗链检测存在时效性差、耗时长，可能对原有业务产生影响（许多企业业务系统不允许扫描）等问题，可用性不高。

更智能高效的黑链监测方式

基于核心大数据智能分析技术，AiLPHA大数据实验室研发构建出更智能的黑链检测模型，大幅度提升检测准确度与检测效率，能够实现外网威胁植入快速预警，帮助用户及时采取保护措施。

AiLPHA智能黑链检测模型：

第一步：基于用户站点的行为建立正常访问的基线；例如获取该站点上上周，上周的访问流量，通过AI算法建立本周正常访问区间的基线。

第二步：发现超过基线的异常请求，如下图所示，事件发生时间的访问超出算法计算基线的异常请求，系统告警。

异常基线检测基础原理

第三步：大数据平台通过保存的原始日志进一步分析该请求的返回报文；利用自然语言处理技术对返回报文进行语义分析，对高概率包含黄赌毒等黑链的URL产生告警。

检测到暗链之后，平台还可以通过大数据追踪溯源技术，发现植入暗链的入口，防止下一次被黑客利用。

上面的案例通过大数据溯源技术进一步分析：发现黑客使用其他IP通过KindEditor漏洞进行暗链的植入。客户及时修复漏洞与阻断恶意IP防止网站二次被攻击。