1.引子

　　互联网已经逐渐渗透到了的人们的日常生活中，人们的生活已经逐渐对互联网产生了依赖。互联网已经成为人们资讯传播、休闲娱乐最重要的渠道之一，成为人们经济生活中不可或缺的一环。正因为如此，攻击者逐渐将视线转向互联网，并且攻击者实施攻击的目的已经明显变成了以经济利益驱动为主。

　　随着更多的利益流向互联网，以及技术革新及应用的速度越来越快，Web 漏洞在过去的十年里从零增长到近 16,000 个。从 2005 年开始，Web 漏洞一直保持较高的增长率，这也是导致 Web 应用频繁遭受攻击的重要原因。2012年上半年 Web 应用的漏洞总数占全部漏洞的55.95%，也因此导致 2012年漏洞总数继续激增，传统已经发生了转变。

　　对于拥有大量网站的网站运营者来说，能够实时地了解这些网站存在哪些漏洞，正在遭受哪些攻击，目前的运行状态如何成为他们最为关心的问题。目前市面上也存在一些针对web应用的检测类产品，如：分布式扫描器，就是针对大量网站的弱点进行检测的工具平台，这些产品一方面缺乏持续性检测，同时只能检测网站面临的各种风险中的漏洞信息，而非客户真正关心的网站面临的风险，根据风险管理的安全理论，风险是由资产价值、自身具有的弱点、以及面临的外部威胁构成。网站监控系统正是为客户解决网站风险管理的产品，利用风险管理模型：风险=资产X弱点X威胁，对网站进行实时的风险分析，并以各种图表、告警实时等形式实时地反映大量网站所面临的各种风险。目前以国舜科技、知道创宇、绿盟科技为代表的主流应用安全厂商也都推出了网站监控系统产品。

　　2.产品介绍

　　2.1国舜

　　北京国舜科技有限公司的网站安全监控平台是基于风险管理模型进行设计的网站风险管理平台，关注网站风险的资产、弱点以及威胁的各个方面。①对于资产也就是网站本身，监控系统中重点关注的可用性，完整性两个方面：可用性检测采用实时检测的方式，检测网站是否可以访问到;完整性检测采用轮询的方式，检测网站页面是否遭受到篡改。②对于弱点，也就是网站存在的漏洞，监控系统采用应用安全漏洞扫描以及挂马沙箱检测技术进行可定制任务的周期检测。③对于网站面临的外部威胁，监控系统采用与防篡改告警中心进行联动的方式，对网站目前遭受哪些安全攻击进行监控。

　　国舜网站安全监控平台的特色功能具体如下：

　　1.可用性监测

　　透过监测引擎对网站页面载入性能的分析，即Ping响应时间、HTTP GET请求首页响应时间等指标，可以记录详细的网站可用性数据，对于不可用的网站及时向客户告警。

　　2.网页篡改监测

　　通过国舜独特的页面数字水印技术及页面框架比对等技术，能够智能的检测出网站页面上是否出现了遭受篡改的内容、暗链、外链等问题，一旦检测出及时通过人工验证的方式，确认页面是否被黑客篡改。

　　3.脆弱性检测

　　(1)SQL注入检测

　　1.Get参数的注入检测、Post参数的注入检测、Cookie中变量的注入检测、HTTP头部变量的注入检测

　　2.检测的数据库类型：Access、MSSQLServer、Mysql、Oracle、Firebird、Maxdb、Postgresql、Sqlite、Sybase等

　　3.SQL盲注检测

　　(2)XSS漏洞检测

　　1.反射型XSS、存储型XSS和DOM型XSS的检测

　　2.通过表单智能识别技术，能够区分Email、电话号码、地址等表单字段，以提高XSS识别率

　　3.检测的文件类型包括：HTML、CSS、Flash等

　　4.XSS跨站脚本检测能够识别路径形式的参数并进行检测

　　(3)Web漏洞检测

　　1.支持准确的Web应用、Web容器、Web服务端语言、操作系统识别技术

　　2.Web容器：Apache, IIS, Tomcat, Jboss, Nginx, Lighttp等主流Web容器

　　服务端语言：PHP, ASP, .NET, java scriptP, Python, CGI等

　　3.操作系统：Windows, Linux, Unix

　　(4)CGI漏洞检测

　　覆盖全面的CGI漏洞检测

　　(5)Web 路径下敏感文件检测，如备份文件、数据库文件、密码文件等

　　4.网页挂马监测

　　采用独特的“脚本沙箱”技术，一种基于脚本的异常行为分析的技术，能够完全模拟所有的脚本层交互行为，对于不存在的系统插件，可以完全由“脚本沙箱”模拟出来，而不需搭建不同的环境。由于脚本层位于浏览器以及操作系统层之间，完全不依赖任何特定环境，因此避免了“蜜罐”技术需要构建多个系统组合及漏报的缺陷。

　　5.与网站应用防护系统联动

　　该平台可以将网站应用防护系统检测到的告警信息接入，作为网站面临的外部威胁与系统检测到的网站自身弱点进行关联分析，从而得出网站真正的风险点。

　　2.2知道创宇

　　WebSOC网站立体监控系统从脆弱性、可用性、域名劫持、挂马、暗链、网页篡改等多个维度对网站进行周期性监测。并且，用户可以根据实际业务应用场景定制不同监测目标的监测内容、监测周期和优先级策略，具体功能包括：

　　1.可用性监测

　　WebSOC 通过 HTTP(S)请求、域名解析、Ping等方式分析响应时间，及时发现网站出现链路异常、访问延迟、解析错误等情况。

　　2.漏洞监测

　　Web漏洞规则达 500 条以上，对常见的 SQL 注入、跨站脚本、跨站请求伪造(CSRF)等代码层漏洞具备强大的检测能力，支持 SQL 注入专家检测模式;支持常见 Web 应用层安全漏洞的检测;支持第三方应用组件(如：论坛、BLOG、编辑器)的识别与零日漏洞检测。

　　3.安全事件监测

　　支持挂马、暗链、内容变更和关键字监测，挂马和暗链的检测精确度高。

　　2.3绿盟科技

　　绿盟网站安全监测系统(NSFOCUS Web Security Monitoring System 简称：NSFOCUS WSM)，该系统能够根据站点管理者的监管要求，通过对目标站点进行不间断的页面爬取、分析、匹配，为客户的互联网网站提供远程安全监测、安全检查、实时告警，是构建完善的网站安全体系的最好补充。

　　1.多维度，全面、实时监测网站风险，可对目标站点的脆弱性、可用性、完整性进行高频率持续监测，一旦发生安全事件，及时告警，第一时间帮助客户降低风险。

　　2.对多网站的页面的爬取、页面解析、漏洞扫描、渗透测试和辅助逻辑分析监测自动化，节省大量时间和成本，远程透明监测，无需改变网络架构。系统支持为不同网站设置不同监测策略，一次性配置好，系统即可进行自动化监测，并根据监测结果进行告警。

　　3.总结

　　总体来说传统的网站安全监管方式采用 Web 应用安全扫描工具周期性的对网站进行安全扫描与评估，然后根据评估结果进行安全加固和风险管理，这种安全检查工作是一种静态的检查工作，能够反映站点被检查那一时期站点的安全问题，但是缺少风险的持续监测性。网站应用安全监控已进入了集群式实时风险监控的时代。

　　对于三家首先推出该类产品的厂家，国舜科技的网站监控系统通过对网站状态、自身存在的漏洞以及面临的外部威胁等方面的检测实现了对对网站的整体安全风险进行分析，其中也使用了很多应用安全业界的工人的先进技术，如：脚本沙箱、页面指纹算法等算法保证了网站漏洞、篡改页面、暗链、挂马等检测的准确性，降低了误报率，十八期间，国舜的网站综合监控平台在电信运营商领域表现出色，但在政府领域营销投入过小,需要加强;知道创宇凭借其开发的网站监控工具本有一定优势，但公司注意力转移，产品长期没有有份量更新而丧失其优势，应该将注意力重新集中到网站监控工具，继续升级改造其网站监控产品;绿盟科技的监控系统产品基本上还是基于原有的分布式扫描器产品发展而来，其产品定位重点关注网站弱点的发现，对于整体的风险分析，则需要依托与服务的结合。