如何检验网站安全建设是真的“安全”？

传统网站安全检测方式

当前的网站安全检查都是通过静态扫描的方式，来检测网站存在的漏洞和后门等安全问题，以是否存在漏洞来判断网站是否“安全”，这种检测方式通常都是依靠漏洞的“特征”，但是，黑客攻击的方式越来越隐蔽，利用的更多是0DAY漏洞和未知威胁，这些隐藏的威胁对网站影响更为严重，比如植入后门、木马感染、非法控制等，仅通过静态扫描很难发现这些隐藏的安全威胁和成功的攻击事件。

基于行为的异常检测方式

针对网站可能遭受的各种已知和未知威胁，必须在网络流量中对各种访问的行为进行异常检测，包含对请求包和响应内容的双向分析，通过无签名的动态行为分析机制，判断异常的访问行为，来发现各种隐蔽的攻击事件，包括WEBSHELL后门、变种病毒、异常木马、0day样本等。通过在流量中实时的对威胁进行分析，一方面可以及时的分析各种异常的攻击，包含一些隐蔽威胁、绕过攻击等，另一方面可以发现成功的攻击事件，比如网站被植入的后门正在被利用的事件、服务器被感染病毒传播和非法控制的事件等。

基于行为的异常检测价值

基于行为的双向流量异常检测，不仅发现请求报文中的异常攻击，还可以发现返回页面中包含的后门指纹信息，在发现网站存在访问WEBSHELL后门的事件时，可以说明该后门是真实存在且活跃的，进一步还可以确认具体是哪个服务器被植入后门、对应的后门页面和后门存在路径，能够帮助进行及时预警和便于处理解决问题，同时根据捕获到的攻击源IP和攻击手段进行关联分析，追溯和定位攻击源，避免其他服务器受到同类型的攻击。

基于行为的双向流量异常检测，能够及时发现网站被病毒感染和传播事件，通过对各种下载网站文件的行为进行监控，一旦发现某个下载文件包含病毒，可以确定服务器上该文件已经被感染为病毒，同时在向更多客户端进行传播，此类型的事件不仅对网站服务器造成影响，还可能会影响更多客户端主机。

基于行为的双向流量异常检测，捕获服务器主动发起的连接请求数据包，并判断连接协议类型、请求目标服务器等行为，通过沙箱的动态自学习技术和木马回连行为分析技术，可以快速发现网站服务器被恶意控制和回连的事件，此类型事件具有较强针对性和持续性，通常是以控制和盗取数据为目的，一旦服务器被控制，会造成数据泄露、服务不可用、资源被恶意利用等危害。现在网站遭受的非法控制、恶意程序感染和WEBSHELL后门等威胁事件越来越多，一旦攻击成功被利用，可以完全获取服务器的权限，造成极为严重的影响和后果。

安恒APT异常检测能力

安恒信息的明御®APT攻击（网络战）预警平台可以为网站安全提供最后一层保障，通过深度的协议解析和动态的行为分析，弥补了传统安全产品仅依靠特征检测的缺陷，能检测到传统安全设备无法检测的攻击。以领先的检测性能和极高的准确率，帮助用户发现了大量有价值的恶意威胁和当前安全防护的弱点，极大提升了安全防护的策略和能力。识别恶意行为、发现未知威胁、直击新型网络攻击。

在过去的时间里，明御®APT（网络战）预警平台为政府、金融、电力、公安、军工等多方客户提供安全服务。未来，将继续依托云端强大的样本分析能力，持续的提升产品检测水平，并实现威胁指数感知、攻击溯源和攻击路线分析等更多有价值的能力，帮助用户真正“感知”APT攻击，不断提升安全防护能力。

在过去的时间里，明御®APT（网络战）预警平台为政府、金融、电力、公安、军工等多方客户提供安全服务。未来，将继续依托云端强大的样本分析能力，持续的提升产品检测水平，并实现威胁指数感知、攻击溯源和攻击路线分析等更多有价值的能力，帮助用户真正“感知”APT攻击，不断提升安全防护能力。