安恒网站恶意代码防治系统

安恒信息

系统建设背景

（一）互联网络规模不断扩大，实用型应用趋势明显

我国是全世界网民数、国家域名数最多的国家。根据最新发布的《中国互联网络发展状况统计报告》，2008年我国网民数达到2.98亿人，宽带网民数达到2.7亿人，国家CN域名数达1357.2万个，三项指标稳居世界排名第一。不仅如此，《报告》显示2008年我国农村地区和中西部地区的网民增速明显快于城镇和东部地区，互联网总体普及率达到22.6%，首次超过21.9%的全球平均水平。由此可见，互联网络已经成为我国人民群众生产生活的重要组成部分。

与网民同时增长的是互联网站与网页数量。《报告》统计显示，2008年底我国境内注册网站数量达到287.8万个，较2007年增长97.4%。网页总数超过160亿个，比2007年增长90%。网络技术日新月异，带动网络内容不断多元化。当前，网络求职、网络购物等实用型互联网应用率增长迅速，网络音乐、网络视频等娱乐型应用则呈现下行趋势，我国互联网正经历着由娱乐化应用向价值应用时代的转变。

（二）我国网络安全形势严峻，信息安全保障亟待加强

我国互联网络规模不断扩大、应用更加广泛的同时，各种网络攻击、信息安全事故发生率也不断攀升。国家互联网应急中心调查显示，2008年上半年各种网络安全事件数量与2007年上半年同期相比有较为显著的增加。其中，垃圾邮件事件和网络恶意代码事件增长较快，网络恶意代码同比增长近一倍。网页篡改事件和网络仿冒事件也有大幅增长，同比增长分别是23.7%和38%。网络安全事件整体上呈现高发趋势，安全形势严峻。

不仅网络安全事件总体发生频率增多，而且网络攻击工具日益专业化，且攻击动机明显，对经济和社会的危害越来越大。随着我国互联网进入价值应用时代，互联网业务与现实社会中诸如货币、交易、讯息交互等活动不断融合，承载这类业务的信息系统逐渐成为黑客重点攻击对象。同时，2008年上半年特别是临近奥运期间，我国大陆地区政府网页被篡改事件呈现大幅增长趋势。被篡改的gov.cn网站数量比2007年上半年增加41%，极大地影响了我国的国家形象。由此可见，互联网信息安全已成为国家经济安全和政治安全的重要组成部分，技术力量亟待加强。

（三）国家高度重视并积极推进信息安全保障体系建设

中国互联网络发展迅速，但长期以来网络安全基础设施建设不足，网络安全意识培养还跟不上互联网络的发展。为加强信息安全保障体系建设，2003年国家发布《国家信息化领导小组关于加强信息安全保障工作的意见》，积极鼓励信息安全技术研究开发，推进信息安全产业发展。2006年出台的《2006━2020年国家信息化发展战略》，正式将建设国家信息安全保障体系列为国家信息化发展的战略重点之一。同时，《国家信息安全“十一五”规划》对“十一五”期间国家信息安全战略进行了具体的部署。从最开始的原则部署到当前的具体规划，国家已逐步认识到信息安全的重要性，并已扎实推进信息安全保障体系建设。


系统实施的必要性

（一）项目建设有利于提高信息安全等级，推动互联网良性发展

网站和网页是互联网发展的重要载体。随着我国互联网的快速发展，许多企业逐渐通过网站和网页形式来从事日常商务活动。尽管这种发展趋势有利于企业降低宣传营销成本，提高公司经济效益，但如果安全保障不当，公司重要信息就可能被网络黑客盗窃，从而造成巨大经济损失。目前，许多企业网站已安装网络防火墙，并通过与入侵检测系统IDS联动来监视系统安全。这两套防护体系尽管能产生一定的防护作用，但由于它们把防护重点放在网络安全层面，所以一旦黑客通过应用层进行攻击（如：针对Web应用的SQL注入攻击、跨站脚本攻击、恶意代码等），那么传统的防护方式就形同虚设了。 事实上，应用层攻击已逐渐成为网络黑客的重要入侵手段。《中国互联网网络安全报告》显示，2008年上半年国家互联网应急中心处理的653件网络安全事件中，有21.2%是网页篡改事件，16.7%是恶意代码事件，总体比例已经接近40%。另外，2008年上半年国家互联网应急中心抽样检测到被木马或僵尸网络控制的IP地址总数达到1485868个，木马已经成为互联网安全的最大威胁。这些黑客技术的发展迫切需要相应对的解决之策。本项目信息安全产品正是为应对网络应用层攻击而研发的，因此对网络业务特别是未来价值型业务发展意义重大。

（二） 项目建设有利于保障电子政务发展，维护国家形象与安全

信息安全对互联网企业至关重要，同时也是电子政务健康发展的重要保障。2008年，我国颁布施行《政府信息公开条例》。该《条例》的推行对政府信息化建设提出了新的要求，同时也对电子政务信息系统的网络安全提出了更高的要求。2008年上半年，我国大陆地区被篡改的gov.cn网站数量达到2242个，占被篡改网站总数的7%。不仅如此，部分政府网站被挂载木马，如果没有得到紧急处理，其可能造成的后果非常严重。可见，电子政务的健康发展亟待信息安全技术的保障。 然而，与互联网企业一样，当前我国政府网站的防护仍主要依靠网络防火墙和IDS系统。同时，政府内部通过区分内外网来隔离网络攻击，这虽能保护国家重要机密，但也影响了行政效率，增加了行政成本。本项目产品能够有效防护网络应用层面的攻击，识别和阻击恶意代码、网页篡改和木马入侵。不仅如此，通过系列产品的联合防护，政府网站可以达到内外网共用，既保护国家机密，又能提高行政效益。因此，本项目建设对我国电子政务的健康发展意义重大。

（三） 项目建设有利于提高企业效益，促进信息安全产业化发展

信息安全事关国家经济政治安全。推动我国信息安全产业发展，提升信息安全专业化服务水平，对我国信息产业发展意义重大。本项目产品系归国留学人员自主研发，是具有国家专利号的信息安全高科技产品。目前企业正处于成长期，本项目产品不但能提升我国信息安全技术水平，而且对企业自身良性发展也至关重要。


系统实现目标

1、网站恶意代码检测软件

网站恶意代码检测软件核心的功能是网页木马检测及网页木马溯源，可以对各类挂马方式的网页木马进行全自动、高性能、智能化分析，并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。

2、网站恶意代码防护软件

是业界首创的新一代恶意代码防护系统，采用目前最先进的Web入侵检测技术、服务器核心内嵌技术、内核驱动级文件保护技术、基于事件触发式监测机制，高效实现网页监测、即时内容恢复、动态WEB攻击防护功能，杜绝了网站被非法篡改、非法入侵的可能。

3、网站恶意代码防护硬件

该产品区别于传统的网络安全产品（如：网络防火墙、IDS、IPS），主要针对各种Web应用进行监测、报警、审计和防御，能够对目前流行的危害最大的各种WEB攻击和变种进行自动识别和主动防御，并提供全方位的审计分析能力。

——复杂攻击验证功能

——WEB应用异常入侵检测

4、网站恶意代码检测会员服务模式

会员服务就是利用公司自行研制开发的基于SAAS (Software-as-a-service：软件即服务)模式的恶意代码检测平台，为平台的注册会员提供网站恶意代码检测的一项安全服务项目，会员通过平台注册，支付一定的服务费用后，就可以通过互联网对本单位的网站进行网站恶意代码检测了。


系统主要技术创新

（一）网站恶意代码检测技术创新

本项目在网站恶意代码检测技术创新方面的主要创新点包括以下几部分：

    1、填补了应用安全领域弱点评估和风险管理空白

    本项目研发和生产的产品区别于传统网络扫描器，对目前全球供认的三大类Web漏洞——“Web漏洞扫描-SQL注入、跨站脚本、恶意文件包含”进行深度检测并且取证，填补了应用安全领域弱点评估和风险管理空白。
    2、使检测复杂WEB应用成为可能

    本项目研发和生产的产品采用独特的代理扫描模式，通过创新的设计，解决了传统的扫描器扫描方式无法对复杂Web应用和https加密通道进行参数分析的问题，从而实现了对于复杂应用和https加密传输通道的检测和监控。
    3、支持Web Service和Web 2.0安全检测功能

    本项目研发和生产的产品通过特殊数据注入XML，根据返回页面的数据来判断是否存在XML注入漏洞；同时，通过异步调用和Javascript分解，实现对最新Web 2.0 AJAX程序检测是否存在AJAX注入，解决了目前市场扫描器普遍不支持Web2.0AJAX程序扫描和XML注入的问题。
    4、网站恶意代码虚拟运行

    通过网络虚拟运行，从而可以检测变形和未知的恶意代码。

（二）网站恶意代码防范技术创新

本项目在恶意代码防范技术创新方面的主要创新点包括以下几部分：

    1、解决了传统ASIC无法满足安全攻击多变性的问题

    本项目研发和生产的产品采用X86的可扩展体系架构，并对其进一步优化，实现了可自动升级的实时安全防御功能。同时，通过改进和集成专用采集网卡，可支持对8路千兆网络端口的安全检测和防护，解决了传统ASIC无法满足安全攻击多变性的问题。
    2、提高了检测准确性

    本项目研发和生产的产品采用了拥有自主专利的特征引擎和智能异常引擎技术，设计了安全事件关联处理算法，构建了检测规则库和审计知识库，实现了基于规则和知识的常规特征安全检测与防护，以及基于行为模式自学习的异常检测与防护。双引擎技术的应用提高了检测的准确性，降低了误报率。
    3、将审计和防御功能有机融为一体

    本项目研发和生产的产品，基于检测规则库和审计知识库设计了防御与审计的同步工作机制，将审计与防御功能有机融合于一体，并能通过审计的回放和分析，发现慢性攻击，提高了恶意代码防范能力。
    4、第三代全新的防恶意代码种植技术

    本项目实现了从被动修复转为主动防御，通过新一代内核驱动级文件保护和核心内嵌技术等多种保护模式，切实保障Web 应用系统的平稳运行。