- Chế độ kiểm tra nâng cao (advanced mode): Khi hệ thống Multi-checker bắt đầu hoạt động, hệ thống sẽ tính tốn tìm giá trị băm (sử dụng thuật tốn cải tiến Rabin Fingerprint) cho các trang web được công bố (được lưu trữ trên thư mục Intpub) và so sánh nó với trang web đã được lưu trữ trước của chính nó trong CSDL.
Hệ thống Multi-checker đã triển khai bao gồm hai checker hoạt động tại chế độ “”basic mode” (checkerB01 và checkerB02) và hai checker hoạt động tại chế độ “advanced mode” (checkerA01 và checkerA02).
Các trạng thái kiểm tra của hệ thống như sau:
• Nếu trang web hiện khơng được liệt kê trong danh sách được lưu trữ trong CSDL, có nghĩa là các trang web này là một tập tin khơng hợp pháp có thể là tập tin mã độc hoặc virus... Hệ thống kiểm tra đưa ra cảnh báo “Không tồn tại trang web này trong CSDL hoặc có thể là tập tin độc hại”, người quản trị trang web
kiểm tra lại và đưa ra xử lý kịp thời. Nếu là trang web mới thì sẽ tính giá trị băm và các thuộc tính lưu vào CSDL. Nếu là tập tin mã độc hoặc virus thì loại nó ra khỏi hệ thống và tiếp tục kiểm tra các trang web tiếp theo.
• Nếu như giá trị băm (trong chế độ kiểm tra nâng cao) hoặc bất kỳ thuộc tính nào (trong chế độ kiểm tra cơ bản) của trang web hiện tại khác so với bản gốc được lưu trữ ở CSDL, điều này có nghĩa là các trang web hiện tại đã bị sửa đổi về nội dung. Hệ thống kiểm tra đưa ra cảnh báo “Trang web đã bị sửa đổi về nội dung”, sau đó thơng báo cho hệ thống phục hồi thực hiện khôi phục lại hệ thống như trạng thái ban đầu, và tiếp tục kiểm tra các trang web tiếp theo.
• Nếu tên trang web đã tồn tại trong CSDL và khơng tồn tại trong thư mục Intpub, có nghĩa là các trang web bị xóa khỏi thư mục Intpub công bố, và hệ thống kiểm tra đưa ra cảnh báo “Trang web đã bị xố”, sau đó thơng báo cho hệ thống khôi phục (Recover), và tiếp tục kiểm tra các trang web tiếp theo.
• Nếu thực hiện các kiểm tra khơng có vấn đề gì, hệ thống kiểm tra đưa ra cảnh báo “Không phát hiện sự thay đổi”, và tiếp tục kiểm tra các trang web tiếp theo.
3.2.3. Hệ thống Recover
Hệ thống khơi phục được kích hoạt bởi hệ thống Multi-checker sau khi phát hiện có sự tấn cơng làm thay đổi nội dung trang web. Hệ thống con này sẽ phục hồi lại các trang web đã bị tấn công làm thay đổi nội dung về lại trạng thái như ban đầu. Hoạt động của hệ thống Recover như sau:
- Xoá trang web hiện tại khỏi thư mục Intpub nếu như tên trang web này không tồn tại trong CSDL.
- Phục hồi lại trang web về trạng thái ban đầu, nếu như các thuộc tính và giá trị băm của trang web hiện khác so với các thuộc tính và giá trị băm của trang web đã được lưu trữ trong CSDL.
- Phục hồi lại trang web về trạng thái ban đầu, nếu như tập tin được liệt kê không xuất hiện.
Và hệ thống Recover thông báo đến cho quản trị viên bằng cách gửi một thông điệp cảnh báo phù hợp (ví dụ như là: malicious-alarm, defaced-alarm, hoặc delete-alarm).
3.2.4. Hệ thống Self-watcher
Một lỗ hổng nghiêm trọng đối với hệ thống giám sát website (AWDS) chính là hệ thống con Multi-checker. Hệ thống tự theo dõi (Self-watcher) theo dõi từng checker của hệ thống đa kiểm tra (Multi-checker) để đảm bảo rằng các checker đang ở trạng thái hoạt động. Hệ thống Self-watcher làm việc để thẩm tra các trạng thái của các checker. Hệ thống Multi-checker là trái tim của AWDS, do đó nếu bất kì một checker nào khơng đúng chức năng với bất cứ lý do gì (như là bị tấn cơng) thì hệ thống giám sát website sẽ có giá trị an ninh cục bộ hoặc khơng cịn giá trị về mặt an ninh nữa.
Hệ thống Self-watcher làm việc để đảm bảo rằng các checker đang hoạt động và đúng chức năng bằng thủ tục “Call-Back tự động” nhằm xác minh các trạng thái của các checker. Trong mỗi khoảng thời gian đã cho, hệ thống Self- watcher quay số gọi tới một checker bằng cách gửi một số ngẫu nhiên, checker đó ngắt liên lạc. Và checker này gọi lại cho Self-watcher.
Nếu như hệ thống Self-watcher không nhận được cuộc gọi trong khoảng thời gian timeout đã cho thì nó sẽ gọi lại theo như cách cũ. Nếu khơng có trả lời trong thời gian timeout lớn nhất đã cho, (điều đó có nghĩa là checker đó bị hỏng
hoặc kết nối giữa hai server bị đứt liên kết), hệ thống Self-watcher se gửi một cảnh báo “failed-alarm” tới hệ thống quản trị (Admin).
3.2.5. Hệ thống Admin
Quản trị viên của hệ thống giám sát website có thể điều khiển các thành phần khác nhau của các hệ thống phụ này. Ví dụ, thêm một trang web mới, chỉnh sửa một trang web đang tồn tại, hoặc xóa bỏ trang web khỏi CSDL và tập tin khơi phục. Bằng cách sử dụng hệ thống Admin, người quản trị có thể thiết lập khoảng thời gian kiểm tra cho mỗi trang web và khởi tạo các thông điệp cảnh báo và thông báo.
3.3. Hoạt động hệ thống dựa trên các phát hiện thay đổi bất thường. 3.3.1. Tổng quan hệ thống 3.3.1. Tổng quan hệ thống
Cho một tài nguyên web hoặc dữ liệu có ý nghĩa được xác định bởi một URL, một tài liệu HTML, một tập tin hình ảnh [14] …
Một giám sát M có thể giám sát nhiều tài nguyên web khác nhau cùng một lúc. Bộ giám sát sẽ giám sát tập hợp các URL xác định. Thông thường, nhưng không nhất thiết bộ giám sát sẽ bao gồm nhiều tài nguyên từ nhiều nguồn khác nhau. Để dễ trình bày nhưng khơng mất tính tổng qt, chúng ta giả định rằng bộ giám sát chỉ giám sát một nguồn R. Biểu thị ri sẽ đọc tài nguyên R.
Trong giai đoạn đầu tiên, mà chúng ta gọi là giai đoạn học (learning phase), xây dựng tập hồ sơ (profile) của R là Pr . M={ ri }. Giám sát M có thể bắt đầu theo dõi, trong đó nó thực hiện các chu kỳ sau một cách vô tận:
1. Thiết lập khoảng thời gian giám sát m. 2. Đọc r thuộc R
3. Phân tích r
Giai đoạn đầu là giai đoạn học và phân tích (bước 3 ở trên), các bước khác của giai đoạn giám sát có thể được hiểu một cách dễ dàng, đặc biệt là việc thực hiện thực tế của bước 4 (làm thế nào để gửi một cảnh báo cho người theo dõi các trang web, làm thế nào để xử lý các cảnh báo).
3.3.2. Kiến trúc hệ thống
Tài nguyên R sẽ được phân tích thành các lớp tham số P(ri). Mỗi tham số đặc trưng cho một hoặc nhiều tính năng của R, ví dụ như kích thước (byte) hay số liên kết, số hình ảnh, số thẻ nội dung...
- Trong chế độ học (learning mode), hệ thống sẽ lưu trữ tất cả các tham số Pi, các ngưỡng cho phép ti.
- Trong chế độ phát hiện (detection mode), Hệ thống sẽ đọc giá trị ri thuộc R phân tích và trả về một giá trị luận lý (Boolean) S(ri). S(ri) trả về giá trị là đúng nếu như X(ri) > ti, trong trường hợp này hệ thống sẽ đánh dấu là một trường hợp bất thường.