網(wǎng)頁篡改的識別方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別是涉及一種網(wǎng)頁篡改的識別方法和裝置����。
【背景技術(shù)】
[0002]近些年web安全類事件呈現(xiàn)逐年增加的趨勢,基于此�����,就要求web服務(wù)器前端的防護(hù)裝置���,如二代防火墻�,必須具備網(wǎng)頁防篡改的功能����,網(wǎng)頁防篡改是整個防護(hù)裝置完整安全防護(hù)能力的必要一環(huán)。
[0003]現(xiàn)有的網(wǎng)頁防篡改技術(shù)主要有如下四種:定時循環(huán)掃描技術(shù)��、事件觸發(fā)技術(shù)����、數(shù)字水印或數(shù)字指紋、文件過濾驅(qū)動技術(shù)��。
[0004]定時循環(huán)掃描技術(shù)按用戶設(shè)定的間隔對網(wǎng)站目錄進(jìn)行定時掃描����,如果發(fā)現(xiàn)篡改���,就用備份的網(wǎng)頁目錄進(jìn)行恢復(fù)。事件觸發(fā)技術(shù)可以對網(wǎng)站目錄進(jìn)行實(shí)時監(jiān)控�����,如果發(fā)現(xiàn)目錄被篡改�����,監(jiān)控程序就能得到系統(tǒng)通知事件�����,隨后程序根據(jù)相關(guān)規(guī)則判定是否為非法篡改��,如果是��,則恢復(fù)����。數(shù)字水印技術(shù)使用MD5 (Message Digest Algorithm 5)散列算法或其他散列算法對每一個流出的網(wǎng)頁計(jì)算數(shù)字水印值,并與之前備份的水印值比較�����,如果不同�,則可判定網(wǎng)頁被篡改,同時阻止其繼續(xù)流出���,并傳喚恢復(fù)程序進(jìn)行恢復(fù)�。文件過濾驅(qū)動技術(shù)采用底層操作系統(tǒng)文件過濾驅(qū)動技術(shù)���,攔截和分析文件操作�����,對所有受保護(hù)的網(wǎng)站目錄的寫操作都立即截?cái)唷?br>[0005]上述四種技術(shù)方案都可以直接訪問網(wǎng)站目錄����,只有定時循環(huán)掃描技術(shù)和數(shù)字水印技術(shù)可以應(yīng)用到防護(hù)裝置中�,而且要衍變結(jié)合才能使用。現(xiàn)有防護(hù)裝置的網(wǎng)頁防篡改技術(shù)步驟如下:
[0006]防護(hù)裝置配置防護(hù)主機(jī)站點(diǎn)后���,預(yù)先對網(wǎng)站進(jìn)行爬取并緩存爬取的所有頁面�;
[0007]當(dāng)用戶請求訪問網(wǎng)頁時��,將請求的響應(yīng)頁面與預(yù)先已緩存的頁面進(jìn)行水印匹配;
[0008]如果水印比對不相同�����,則可判定網(wǎng)頁被篡改�����,阻止響應(yīng)頁面流出���,同時恢復(fù)網(wǎng)頁或記錄日志或通知管理員等��。
[0009]然而�����,目前的網(wǎng)頁防篡改技術(shù)的主要缺陷如下:
[0010](I)網(wǎng)站網(wǎng)頁數(shù)量級巨大�,網(wǎng)頁爬取不僅需要耗費(fèi)大量的時間�����,嚴(yán)重時甚至?xí)?dǎo)致防護(hù)裝置崩潰���,而且會大大影響web服務(wù)器的性能�;
[0011](2)網(wǎng)頁的細(xì)微改變會導(dǎo)致數(shù)字水印的改變,這樣將會產(chǎn)生很多誤報����。
【發(fā)明內(nèi)容】
[0012]基于此����,有必要針對上述技術(shù)問題,提供一種網(wǎng)頁篡改的識別方法和裝置��。其能夠提高網(wǎng)頁篡改識別的效率和準(zhǔn)確度��。
[0013]—種網(wǎng)頁篡改的識別方法��,該方法包括:
[0014]接收http請求�;
[0015]判斷所述http請求是否是對配置的web服務(wù)器的首頁進(jìn)行訪問的請求;
[0016]如果所述http訪問請求是對所述首頁進(jìn)行訪問的請求��,則對所述首頁進(jìn)行檢測以識別網(wǎng)頁是否被篡改�,否則判斷所述http請求是否攜帶來自搜索引擎的消息報頭;
[0017]如果所述http請求攜帶來自搜索引擎的消息報頭�,則對所述http請求及其響應(yīng)進(jìn)行處理以識別網(wǎng)頁是否被篡改,否則����,檢測所述響應(yīng)是否被植入暗鏈���;
[0018]如果所述響應(yīng)被植入暗鏈,則判定網(wǎng)頁被篡改�����,否則��,檢測所述響應(yīng)是否包含木馬����;
[0019]如果所述響應(yīng)包含木馬,則判定網(wǎng)頁被篡改����,否則返回所述響應(yīng)。
[0020]在其中一個實(shí)施例中�����,所述對所述首頁進(jìn)行檢測以識別網(wǎng)頁是否被篡改的步驟包括:
[0021]獲取所述http請求的響應(yīng)頁面的水印值�����;
[0022]判斷所述水印值與緩存的所述web服務(wù)器的首頁的水印值是否匹配;
[0023]如果不匹配���,則判定網(wǎng)頁被篡改��,否則進(jìn)入所述判斷所述http請求中是否攜帶來自搜索引擎的消息報頭的步驟�����。
[0024]在其中一個實(shí)施例中,所述消息報頭包括:UA消息報頭和/或referer消息報頭�;所述對所述http請求及其響應(yīng)進(jìn)行處理以識別網(wǎng)頁是否被篡改的步驟包括:
[0025]緩存所述http請求及其響應(yīng);
[0026]修改已緩存的http請求中的UA消息報頭和/或ref erer消息報頭�����,生成新的http請求�,并發(fā)送所述新的http請求;
[0027]判斷所述新的http請求的響應(yīng)與已緩存的響應(yīng)是否匹配�;
[0028]如果不匹配,則判定網(wǎng)頁被篡改��,否則進(jìn)入所述判斷所述響應(yīng)是否被植入暗鏈的步驟�����。
[0029]在其中一個實(shí)施例中,所述修改已緩存的http訪問請求中的UA消息報頭和/或ref erer消息報頭的步驟包括:
[0030]將所述已緩存的http請求中的UA的瀏覽器類型值修改為主流瀏覽器類型值����;和/或,
[0031]去除所述已緩存的http請求中的referer消息報頭或者將所述已緩存的http請求中的referer消息報頭修改為當(dāng)前網(wǎng)站的域名或者包含當(dāng)前域名的鏈接���。
[0032]在其中一個實(shí)施例中�����,所述檢測所述響應(yīng)是否被植入暗鏈的步驟包括:
[0033]將所述響應(yīng)與暗鏈特征庫進(jìn)行匹配��,如果匹配成功�,則判定網(wǎng)頁被篡改��,否則�,將所述響應(yīng)與惡意網(wǎng)址庫進(jìn)行匹配;
[0034]如果匹配成功��,則判定網(wǎng)頁被篡改�,否則,進(jìn)入所述檢測所述響應(yīng)是否包含木馬的步驟��。
[0035]—種網(wǎng)頁篡改的識別裝置��,所述裝置包括:
[0036]接收模塊,用于接收http請求���;
[0037]首頁判斷模塊��,用于判斷所述http請求是否是對配置的web服務(wù)器的首頁進(jìn)行的請求���;
[0038]首頁檢測模塊,用于當(dāng)判定所述http請求是對所述首頁進(jìn)行的請求時�����,對所述首頁進(jìn)行檢測以識別網(wǎng)頁是否被篡改�����;
[0039]消息報頭判斷模塊����,用于判斷所述http請求是否攜帶來自搜索引擎的消息報頭�����;
[0040]消息報頭檢測模塊��,用于當(dāng)判定所述http請求攜帶來自搜索引擎的消息報頭時,對所述http請求及其響應(yīng)進(jìn)行處理以識別網(wǎng)頁是否被篡改�����;
[0041]暗鏈檢測模塊��,用于當(dāng)判定所述http請求未攜帶來自搜索引擎的消息報頭時����,判斷所述響應(yīng)是否被植入暗鏈;
[0042]木馬檢測模塊�,用于當(dāng)判定所述響應(yīng)未被植入木馬時,檢測所述響應(yīng)是否包含木馬�����;
[0043]響應(yīng)模塊�,用于當(dāng)判定所述響應(yīng)未包含木馬時,返回所述響應(yīng)�。
[0044]在其中一個實(shí)施例中,所述首頁檢測模塊具體用于獲取所述http請求的響應(yīng)頁面的水印值����;判斷所述水印值與緩存的所述web服務(wù)器的首頁的水印值是否匹配;如果不匹配��,則判定所述首頁被篡改。
[0045]在其中一個實(shí)施例中�,所述消息報頭包括:UA消息報頭和/或referer消息報頭;
[0046]所述消息報頭檢測模塊具體用于緩存所述http請求及其響應(yīng)�����;修改已緩存的http請求中的UA消息報頭和/或referer消息報頭�,生成新的http請求,并發(fā)送所述新的http請求��;判斷所述新的http請求的響應(yīng)與已緩存的響應(yīng)是否匹配��;如果不匹配�����,則判定網(wǎng)頁被篡改�。
[0047]在其中一個實(shí)施例中�����,所述消息報頭檢測模塊具體用于將所述已緩存的http請求中的UA的瀏覽器類型值修改為主流瀏覽器類型值����;和/或��,去除所述已緩存的http請求中的referer消息報頭或者將所述已緩存的http請求中的referer消息報頭修改為當(dāng)前網(wǎng)站的域名或者包含當(dāng)前域名的鏈接��。
[0048]在其中一個實(shí)施例中���,所述暗鏈檢測模塊具體用于將所述響應(yīng)與暗鏈特征庫進(jìn)行匹配;如果匹配成功�,則判定網(wǎng)頁被篡改,否則����,將所述響應(yīng)與惡意網(wǎng)址庫進(jìn)行匹配;如果匹配成功���,則判定網(wǎng)頁被篡改���。
[0049]上述網(wǎng)頁篡改的識別方法和裝置,通過判斷是否是對配置的web服務(wù)器的首頁的訪問實(shí)現(xiàn)了對首頁的監(jiān)控�,減少了網(wǎng)頁爬取的工作量,提高了識別效率�����。另外�����,通過判斷請求中是否攜帶來自搜索引擎的消息報頭、以及對暗鏈和網(wǎng)馬進(jìn)行檢測�,不僅提高了識別的準(zhǔn)確度,而且可以對動態(tài)網(wǎng)頁進(jìn)行監(jiān)控��。
【附圖說明】
[0050]圖1為一個實(shí)施例的網(wǎng)頁篡改的識別方法的應(yīng)用場景示意圖�����;
[0051]圖2為一個實(shí)施例的網(wǎng)頁篡改的識別方法的流程圖��;
[0052]圖3為另一個實(shí)施例的網(wǎng)頁篡改的識別方法的流程圖�����;
[0053]圖4為一個實(shí)施例的網(wǎng)頁篡改的識別裝置的結(jié)構(gòu)框圖�����。
【具體實(shí)施方式】
[0054]為了使本發(fā)明的目的�、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白�����,以下結(jié)合附圖及實(shí)施例,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明���。應(yīng)當(dāng)理解�����,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明����,并不用于限定本發(fā)明�。
[0055]用戶可以通過客戶端的web瀏覽器訪問因特網(wǎng)上的各個網(wǎng)站,查看網(wǎng)站中的網(wǎng)頁內(nèi)容�。web瀏覽器和web服務(wù)器之間通過http (HyperText Transfer Protocol,超文本傳輸協(xié)議)相互響應(yīng)�,web 瀏覽器則通過 TCP/IP (Transmiss1n Control Protocol/InternetProtocol,傳輸控制協(xié)議)與web服務(wù)器建立連接���,web服務(wù)器通常在80端口等待web瀏覽器發(fā)送的訪問請求��。為了防御攻擊�����,保證web服務(wù)器的安全���,需要在web瀏覽器和web服務(wù)器之間設(shè)立防護(hù)裝置����,以解決網(wǎng)頁防篡改的問題���。
[0056]圖1為在一個實(shí)施例中運(yùn)行本網(wǎng)頁篡改的識別方法的應(yīng)用場景示意圖���,客戶端、網(wǎng)頁篡改識別裝置以及web服務(wù)器兩兩之間通過網(wǎng)絡(luò)連接��。
[0057]如圖2所示���,在一個實(shí)施例中��,提供一種網(wǎng)頁篡改的識別方法�����,該方法包括:
[0058]步驟202�,接收htt