安全監(jiān)測(cè)平臺(tái)的網(wǎng)頁木馬檢測(cè)算法主要由網(wǎng)頁惡意代碼分析技術(shù)和網(wǎng)頁行為分析技術(shù)組成。通過上述兩種主要的算法使網(wǎng)頁木馬檢測(cè)功能實(shí)現(xiàn)了誤報(bào)率低、漏報(bào)率底、能發(fā)現(xiàn)部分未知網(wǎng)頁木馬的效果。從測(cè)試情況來看可實(shí)現(xiàn)對(duì)傳統(tǒng)殺毒廠商提供的木馬樣本99%以上的識(shí)別率。

本技術(shù)是通過對(duì)網(wǎng)頁中的惡意腳本的鏈接進(jìn)行分析，基于鏈接分析的網(wǎng)頁木馬檢測(cè)技術(shù)，利用網(wǎng)頁中的鏈接，追查出網(wǎng)頁木馬傳播的病毒、木馬程序所在位置，從而解決網(wǎng)絡(luò)中有害程序的準(zhǔn)確定位。為安全部門清除有害程序，追查病毒、木馬傳播人員提供線索，為上網(wǎng)用戶提供安全的網(wǎng)絡(luò)環(huán)境。

惡意代碼分析技術(shù)能實(shí)現(xiàn)高效的網(wǎng)頁木馬檢測(cè)，但由于核心技術(shù)在于對(duì)網(wǎng)頁木馬特征提取和對(duì)shellcode的認(rèn)知程度的深入。因此為了進(jìn)一步提高網(wǎng)頁木馬的識(shí)別率，我們采用了網(wǎng)頁行為分析技術(shù)作為輔助檢測(cè)技術(shù)，即安全沙箱分析技術(shù)。

● 采用html標(biāo)簽域比對(duì)技術(shù)實(shí)現(xiàn)監(jiān)測(cè)，監(jiān)測(cè)引擎對(duì)網(wǎng)站進(jìn)行初始化采樣建立篡改監(jiān)測(cè)基準(zhǔn)，并對(duì)基準(zhǔn)內(nèi)容進(jìn)行泛格式化處理，解析出html的相關(guān)標(biāo)簽作為后續(xù)比對(duì)的基準(zhǔn)。
● 篡改監(jiān)測(cè)技術(shù)的基礎(chǔ)是網(wǎng)頁變更監(jiān)測(cè)，因此如果將所有的網(wǎng)頁變更都認(rèn)為是篡改將導(dǎo)致大量的誤判，為了解決這個(gè)問題網(wǎng)站安全監(jiān)測(cè)平臺(tái)使用了四個(gè)級(jí)別的監(jiān)測(cè)策略：低度變更、中度變更、高度變更、確認(rèn)篡改。管理員可自行定義篡改策略，如網(wǎng)頁的title標(biāo)簽如果檢測(cè)到變更將視為確認(rèn)篡改，或通過定義監(jiān)測(cè)到某特定的關(guān)鍵字即視為確認(rèn)篡改。

● 采用中文關(guān)鍵詞以及語義分析技術(shù)對(duì)網(wǎng)站進(jìn)行敏感關(guān)鍵字監(jiān)測(cè)，實(shí)現(xiàn)的敏感字識(shí)別，確保網(wǎng)站內(nèi)容符合互聯(lián)網(wǎng)相關(guān)規(guī)定，避免出現(xiàn)敏感信息以及被監(jiān)管部門封殺。
● 監(jiān)測(cè)平臺(tái)可以靈活的識(shí)別網(wǎng)站中存在的敏感關(guān)鍵字，即使字與字之間加了標(biāo)點(diǎn)符號(hào)，依然可以良好的識(shí)別出來，有效的解決了關(guān)鍵字中夾雜符號(hào)而無法識(shí)別的問題。
● 還使用了主輔關(guān)鍵字技術(shù)，使關(guān)鍵的告警控制在更有為效的范圍之內(nèi)，如“xxx”為告警主關(guān)鍵字，但與“打擊”、“抵制”等輔關(guān)鍵字在一起時(shí)則不會(huì)觸發(fā)告警行為。更為合理的關(guān)鍵字監(jiān)測(cè)降低人工二次確認(rèn)的龐大工作量。

網(wǎng)站安全監(jiān)測(cè)平臺(tái)提供三個(gè)級(jí)別的網(wǎng)站可用性監(jiān)測(cè)功能，分別從域名可用性、網(wǎng)站服務(wù)可用性再深入到網(wǎng)站程序可用性的監(jiān)測(cè)。較為全面的實(shí)現(xiàn)了網(wǎng)站可用性的監(jiān)測(cè)功能。

任何一個(gè)解析的域名均有對(duì)應(yīng)的權(quán)威DNS服務(wù)器為其提供域名解析服務(wù)，如果提供權(quán)威DNS信息的域名服務(wù)器出現(xiàn)故障或解析出錯(cuò)誤的信息，將導(dǎo)致用戶無法訪問到真實(shí)的網(wǎng)站，例如百度網(wǎng)站被黑就是類似的原因?qū)е碌摹?/br> 監(jiān)測(cè)平臺(tái)通過監(jiān)測(cè)權(quán)威服務(wù)器的可用性、以及權(quán)威服務(wù)器解析IP地址是否與監(jiān)測(cè)平臺(tái)記錄的歷史基準(zhǔn)一致來判斷域名是存否發(fā)生安全問題，檢測(cè)到故障時(shí)會(huì)向網(wǎng)站管理員提出整改建議。

網(wǎng)站正常工作時(shí)會(huì)自動(dòng)監(jiān)聽指定的TCP端口，通常是TCP 80端口，且通過HTTP協(xié)議訪問時(shí)能獲得一個(gè)200的響應(yīng)狀態(tài)碼，則說明網(wǎng)站已經(jīng)正常服務(wù)。當(dāng)網(wǎng)站采用獨(dú)立的服務(wù)器，網(wǎng)站內(nèi)容為靜態(tài)內(nèi)容時(shí)使用該技術(shù)檢測(cè)已經(jīng)可以很好的跟蹤網(wǎng)站的可用性了，但如果網(wǎng)站存在虛擬主機(jī)或復(fù)雜的應(yīng)用程序時(shí)則仍不能確認(rèn)網(wǎng)站是否正常工作。

網(wǎng)站程序可用性主要用于解決虛擬主機(jī)環(huán)境、復(fù)雜應(yīng)用程序等環(huán)境的可用性識(shí)別。該功能類似于網(wǎng)上銀行系統(tǒng)的預(yù)留信息確信技術(shù)，采用該技術(shù)時(shí)監(jiān)測(cè)引擎間隔一段時(shí)間就會(huì)向監(jiān)測(cè)網(wǎng)站發(fā)起HTTP請(qǐng)求，并核對(duì)響應(yīng)頁面內(nèi)容是否有預(yù)留的文本或數(shù)據(jù)，若能匹配才認(rèn)為網(wǎng)站能正常訪問。