- Hoạt động của hệ thống con đa kiểm tra. Hệ thống con này gồm hai chế độ kiểm tra:
Một là chế độ kiểm tra cơ bản là chế độ kiểm tra nhanh. Thuật toán ở chế độ này đơn giản chỉ là các phép toán so sánh các thuộc tính của trang web cần kiểm tra như tên tập tin (file name), kiểu tập tin (style), kích thước tập tin (size), ngày khởi tạo tập tin, ngày cập nhật (update) với các thuộc tính của trang gốc lưu trữ trong CSDL.
Hai là chế độ kiểm tra chi tiết của hệ thống phát hiện thay đổi nội dung trang web dựa trên thuật toán kiểm tra định kỳ mã băm cho mỗi trang web [19].
Tương ứng với mỗi trang web ta có các giá trị mã băm. Đầu tiên các trang web sẽ được được tính tốn mã băm. Nếu trang này là trang mới sẽ được lưu vào cơ sở dữ liệu.
Định kỳ sẽ kiểm tra đối với bất kỳ trang web nào và mỗi trang web kiểm tra sẽ được tính mã băm mới. Nó sẽ được so sánh với mã băm đã được lưu, nếu kết quả kiểm tra trả về giá trị đúng (giá trị băm bằng nhau) thì trang web đó chưa bị thay đổi về nội dung, ngược lại nếu kết quả kiểm tra trả về giá trị sai thì trang web đó đã bị thay đổi về nội dung. Phương pháp được đề xuất có thể được tóm tắt trong sơ đồ sau đây [19]:
Hình 3.7. Sơ đồ phương pháp phát hiện sự thay đổi nội dung trang web
Bước 1: Trên cơ sở các trang web thích hợp chọn một trang web để kiểm tra sự thay đổi về nội dung.
Bước 2: Tính mã băm mới cho các trang web được chọn trong bước 1, sử dụng giải thuật cải tiến của Rabin Fingerprinting.
Bước 3: So sánh các mã băm mới của trang web với mã băm được lưu trữ trong cơ sở dữ liệu.
Nếu kết quả của việc so sánh là đúng, thì trang web đó chưa có sự thay đổi về nội dung và quá trình sẽ dừng lại.
Nếu kết quả của việc so sánh là sai, thì trang web đó đã có sự thay đổi về nội dung , đưa ra thông điệp cảnh báo.
Hoạt động của hệ thống theo dõi giám sát phát hiện thay đổi bất thường nội dung trang web. Hiệu quả của hệ thống này chính việc hệ thống đưa ra những cảnh báo thay đổi bất thường có ý nghĩa (trang web đã bị tấn công thay đổi về nội dung) dựa trên sự so sánh các tham số đầu vào P(ri) với ngưỡng cho phép ti. Phân tích một số trường hợp cụ thể như sau:
Trường hợp 1: Nếu hệ thống kiểm tra giám sát thuộc một trong các trường hợp này thì hệ thống sẽ đưa ra cảnh báo có sự thay đổi bất thường:
- Số kí tự của trang web thay đổi bất thường (số kí tự nhỏ hơn rất nhiều hoặc lớn hơn rất nhiều so với số kí tự ban đầu của trang web).
- Nội dung chỉ chứa một hình ảnh hoặc khơng có hình ảnh nào. - Khơng có bất kỳ thẻ nội dung nào.
- Không thấy được nội dung văn bản. - Số liên kết của trang thay đổi bất thường.
Trường hợp 2: Trong trường hợp này hệ thống tổng kết tất cả kết quả so sánh của các tham số X(ri) với ngưỡng ti và đưa ra cảnh báo nếu như phát hiện có thay đổi bất thường A(r) > t.
- Đánh giá chung:
Đối với hệ thống phát hiện thay đổi nội dung web dựa trên hệ thống con đa kiểm tra thì hệ thống này rất hiệu quả với việc kiểm tra tính tồn vẹn cho các trang web tĩnh có nội dung cố định ít thay đổi, hệ thống dựa trên thuật tốn cải tiến Rabin Fingerprint tìm các số nguyên (giá trị băm) xác định vị trí của nội dung đã bị sửa đổi. Ngược lại, thì khơng phù hợp với việc kiểm tra các trang web có nội dung thay đổi thường xuyên như các trang web động. Hệ thống theo dõi giám sát
phát hiện thay đổi bất thường sẽ hiệu quả hơn việc kiểm tra giám sát các trang web có nội dung động thay đổi thường xuyên. Hệ thống sẽ đưa ra cảnh báo sớm có ý nghĩa nếu phát hiện có sự thay đổi bất thường về nội dung.