本发明专利技术涉及一种网页篡改的识别方法和装置。其方法包括:接收http请求;判断http请求是否是对配置的web服务器的首页进行访问的请求;如果http访问请求是对首页进行访问的请求,则对首页进行检测以识别网页是否被篡改,否则判断http请求是否携带来自搜索引擎的消息报头;如果http请求携带来自搜索引擎的消息报头,则对http请求及其响应进行处理以识别网页是否被篡改,否则,检测响应是否被植入暗链;如果响应被植入暗链,则判定网页被篡改,否则,检测响应是否包含木马;如果响应包含木马,则判定网页被篡改,否则返回响应。上述的网页篡改的识别方法和装置,能够提高网页篡改识别的效率和准确度。
【技术实现步骤摘要】
本专利技术涉及网络安全
,特别是涉及一种网页篡改的识别方法和装置。
技术介绍
近些年web安全类事件呈现逐年增加的趋势,基于此,就要求web服务器前端的防护装置,如二代防火墙,必须具备网页防篡改的功能,网页防篡改是整个防护装置完整安全防护能力的必要一环。现有的网页防篡改技术主要有如下四种:定时循环扫描技术、事件触发技术、数字水印或数字指纹、文件过滤驱动技术。定时循环扫描技术按用户设定的间隔对网站目录进行定时扫描,如果发现篡改,就用备份的网页目录进行恢复。事件触发技术可以对网站目录进行实时监控,如果发现目录被篡改,监控程序就能得到系统通知事件,随后程序根据相关规则判定是否为非法篡改,如果是,则恢复。数字水印技术使用MD5 (Message Digest Algorithm 5)散列算法或其他散列算法对每一个流出的网页计算数字水印值,并与之前备份的水印值比较,如果不同,则可判定网页被篡改,同时阻止其继续流出,并传唤恢复程序进行恢复。文件过滤驱动技术采用底层操作系统文件过滤驱动技术,拦截和分析文件操作,对所有受保护的网站目录的写操作都立即截断。上述四种技术方案都可以直接访问网站目录,只有定时循环扫描技术和数字水印技术可以应用到防护装置中,而且要衍变结合才能使用。现有防护装置的网页防篡改技术步骤如下:防护装置配置防护主机站点后,预先对网站进行爬取并缓存爬取的所有页面;当用户请求访问网页时,将请求的响应页面与预先已缓存的页面进行水印匹配;如果水印比对不相同,则可判定网页被篡改,阻止响应页面流出,同时恢复网页或记录日志或通知管理员等。然而,目前的网页防篡改技术的主要缺陷如下:(I)网站网页数量级巨大,网页爬取不仅需要耗费大量的时间,严重时甚至会导致防护装置崩溃,而且会大大影响web服务器的性能;(2)网页的细微改变会导致数字水印的改变,这样将会产生很多误报。
技术实现思路
基于此,有必要针对上述技术问题,提供一种网页篡改的识别方法和装置。其能够提高网页篡改识别的效率和准确度。—种网页篡改的识别方法,该方法包括:接收http请求;判断所述http请求是否是对配置的web服务器的首页进行访问的请求;如果所述http访问请求是对所述首页进行访问的请求,则对所述首页进行检测以识别网页是否被篡改,否则判断所述http请求是否携带来自搜索引擎的消息报头;如果所述http请求携带来自搜索引擎的消息报头,则对所述http请求及其响应进行处理以识别网页是否被篡改,否则,检测所述响应是否被植入暗链;如果所述响应被植入暗链,则判定网页被篡改,否则,检测所述响应是否包含木马;如果所述响应包含木马,则判定网页被篡改,否则返回所述响应。在其中一个实施例中,所述对所述首页进行检测以识别网页是否被篡改的步骤包括:获取所述http请求的响应页面的水印值;判断所述水印值与缓存的所述web服务器的首页的水印值是否匹配;如果不匹配,则判定网页被篡改,否则进入所述判断所述http请求中是否携带来自搜索引擎的消息报头的步骤。在其中一个实施例中,所述消息报头包括:UA消息报头和/或referer消息报头;所述对所述http请求及其响应进行处理以识别网页是否被篡改的步骤包括:缓存所述http请求及其响应;修改已缓存的http请求中的UA消息报头和/或ref erer消息报头,生成新的http请求,并发送所述新的http请求;判断所述新的http请求的响应与已缓存的响应是否匹配;如果不匹配,则判定网页被篡改,否则进入所述判断所述响应是否被植入暗链的步骤。在其中一个实施例中,所述修改已缓存的http访问请求中的UA消息报头和/或ref erer消息报头的步骤包括:将所述已缓存的http请求中的UA的浏览器类型值修改为主流浏览器类型值;和/或,去除所述已缓存的http请求中的referer消息报头或者将所述已缓存的http请求中的referer消息报头修改为当前网站的域名或者包含当前域名的链接。在其中一个实施例中,所述检测所述响应是否被植入暗链的步骤包括:将所述响应与暗链特征库进行匹配,如果匹配成功,则判定网页被篡改,否则,将所述响应与恶意网址库进行匹配;如果匹配成功,则判定网页被篡改,否则,进入所述检测所述响应是否包含木马的步骤。—种网页篡改的识别装置,所述装置包括:接收模块,用于接收http请求;首页判断模块,用于判断所述http请求是否是对配置的web服务器的首页进行的请求;首页检测模块,用于当判定所述http请求是对所述首页进行的请求时,对所述首页进行检测以识别网页是否被篡改;消息报头判断模块,用于判断所述http请求是否携带来自搜索引擎的消息报头;消息报头检测模块,用于当判定所述http请求携带来自搜索引擎的消息报头时,对所述http请求及其响应进行处理以识别网页是否被篡改;暗链检测模块,用于当判定所述http请求未携带来自搜索引擎的消息报头时,判断所述响应是否被植入暗链;木马检测模块,用于当判定所述响应未被植入木马时,检测所述响应是否包含木马;响应模块,用于当判定所述响应未包含木马时,返回所述响应。在其中一个实施例中,所述首页检测模块具体用于获取所述http请求的响应页面的水印值;判断所述水印值与缓存的所述web服务器的首页的水印值是否匹配;如果不匹配,则判定所述首页被篡改。在其中一个实施例中,所述消息报头包括:UA消息报头和/或referer消息报头;所述消息报头检测模块具体用于缓存所述http请求及其响应;修改已缓存的http请求中的UA消息报头和/或referer消息报头,生成新的http请求,并发送所述新的http请求;判断所述新的http请求的响应与已缓存的响应是否匹配;如果不匹配,则判定网页被篡改。在其中一个实施例中,所述消息报头检测模块具体用于将所述已缓存的http请求中的UA的浏览器类型值修改为主流浏览器类型值;和/或,去除所述已缓存的http请求中的referer消息报头或者将所述已缓存的http请求中的referer消息报头修改为当前网站的域名或者包含当前域名的链接。在其中一个实施例中,所述暗链检测模块具体用于将所述响应与暗链特征库进行匹配;如果匹配成功,则判定网页被篡改,否则,将所述响应与恶意网址库进行匹配;如果匹配成功,则判定网页被篡改。上述网页篡改的识别方法和装置,通过判断是否是对配置的web服务器的首页的访问实现了对首页的监控,减少了网页爬取的工作量,提高了识别效率。另外,通过判断请求中是否携带来自搜索引擎的消息报头、以及对暗链和网马进行检测,不仅提高了识别的准确度,而且可以对动态网页进行监控。【附图说明】图1为一个实施例的网页篡改的识别方法的应用场景示意图;图2为一个实施例的网页篡改的识别方法的流程图;图3为另一个实施例的网页篡改的识别方法的流程图;图4为一个实施例的网页篡改的识别装置的结构框图。【具体实施方式】为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。用户可以通过客户端的web浏览器访问因特网上的各个网站,查看网站中的网页内容。web浏览器和web服务器之间通过http 本文档来自技高网...
【技术保护点】
一种网页篡改的识别方法,所述方法包括:接收http请求;判断所述http请求是否是对配置的web服务器的首页进行访问的请求;如果所述http访问请求是对所述首页进行访问的请求,则对所述首页进行检测以识别网页是否被篡改,否则判断所述http请求是否携带来自搜索引擎的消息报头;如果所述http请求携带来自搜索引擎的消息报头,则对所述http请求及其响应进行处理以识别网页是否被篡改,否则,检测所述响应是否被植入暗链;如果所述响应被植入暗链,则判定网页被篡改,否则,检测所述响应是否包含木马;如果所述响应包含木马,则判定网页被篡改,否则返回所述响应。
【技术特征摘要】
【专利技术属性】
技术研发人员:王朋涛,
申请(专利权)人:深圳市深信服电子科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。