一种网页篡改的检测方法及装置制造方法

一种网页篡改的检测方法及装置制造方法
【专利摘要】本发明公开了一种网页篡改的检测方法及装置。该方法包括：在网页中嵌入篡改检测脚本；浏览器执行所述篡改检测脚本，检测所述网页是否被篡改；若所述网页已被篡改，则将所述网页上报检测服务器。本发明提出的上述方案克服了现有技术中集中检测带来的效率低下问题，在不影响用户访问网页的同时极大地提高了网站的安全性。
【专利说明】一种网页篡改的检测方法及装置
【技术领域】
[0001]本发明涉及计算机网站安全领域，特别是涉及一种网页篡改的检测方法及装置。【背景技术】
[0002]随着互联网的快速发展，互联网上网站数量也越来越多。许多网站都是实体机构及组织在互联网中的形象展示。而一些具有不良企图的组织或个人通过扫描服务器的弱口令、漏洞，然后攻击网站并对其进行恶意篡改。
[0003]虽然目前已有防火墙、入侵检测等安全防范手段，但现代操作系统的复杂性和多样性导致系统漏洞层出不穷，防不胜防。黑客入侵和篡改页面的事件时有发生。针对此，网页防篡改系统应运而生。例如，给网页挂恶意链接，如黑链、挂马链接等，这些是网页篡改的主要表现形式。
[0004]目前，国内外主要采用以下两类方式检测网页篡改内容:
[0005](I)静态特征匹配方式:
[0006]即通过特征串(即大量人工收集的关键字)匹配网页中的HTML正文，以判断其是否被加入恶意链接。
[0007](2)在网页发布系统中增加网页内容审核和校验机制:
[0008]即在网页发布系统中构建一个网页内容实时检测系统，所有网页发布的内容都经过该系统，经过确认后才能发布，同时还建立了网页内容指纹库，篡改检测系统通过定期扫描网页内容和指纹库内容对比来发现网页是否被黑链篡改。
[0009]现有技术中，通常由专门的网页防篡改系统或搜索引擎对网页篡改进行检测。其将先将从源站下载用户请求的网页，并利用篡改特征库中的篡改特征规则匹配所述网页内容，如果发现与所述篡改特征规则相匹配的内容，则认为该网页被篡改，否则将其发送给用户。所述篡改特征规则通常由正则表达式表示，而使用正则表达式匹配网页内容比较耗时，效率低下，实时性比较差。目前网页篡改方式层出不穷，日益变化，篡改特征规则库中的篡改特征规则也将随之增加，这就意味着每一次检测都将耗费大量资源，且用户体验不佳，导致用户对网站的期望值下降，对于一些商业网站来说，这将是致命的。
[0010]因此需要一种新的检测网页篡改的方法，在不影响用户访问网页速度的前提下，提供网站的安全性，为用户提供更好地服务。

【发明内容】

[0011]为解决现有技术中存在的上述问题，本发明提出了一种网页篡改的检测方法，在用户毫无觉察的情况下检测网页中的篡改内容，为用户提供最佳的安全服务。
[0012]根据本发明一方面，其提供了一种网页篡改的检测方法，包括:
[0013]在网页中嵌入篡改检测脚本；
[0014]浏览器执行所述篡改检测脚本，检测所述网页是否被篡改；
[0015]若所述网页已被篡改，则将所述网页上报检测服务器。[0016]可选地，所述篡改检测脚本通过判断所述网页中是否被挂马来检测所述网页是否
被篡改。
[0017]可选地，所述篡改检测脚本通过判断所述网页中是否存在黑链来检测所述网页是否被篡改。
[0018]可选地，还包括:
[0019]判断所上报的网页是否存在于白名单或黑名单中，其中，所述白名单和黑名单存储于所述检测服务器中；
[0020]若所述网页存在于白名单中，则不作处理；
[0021]若所述网页存在于黑名单中，则存入篡改数据库，并发出警报。
[0022]可选地，还包括:
[0023]在所述检测服务器中对所上报的网页进行进一步检测。
[0024]可选地，在所述检测服务器中对所述网页进行进一步检测包括:
[0025]根据篡改特征库检测网页中的篡改内容，提取所述篡改内容中的黑词-黑链对，所述黑词-黑链对由黑词及其对应的黑链组成；
[0026]若所述黑词-黑链对的出现频率高于预定阈值，则将其存入黑词-黑链库中；
[0027]根据黑词-黑链库检测网页中的篡改内容；
[0028]若待检测网页中出现的黑词对应的链接存在于所述黑词-黑链库中该黑词对应的黑链集中，则确定该待检测网页被篡改。
[0029]可选地，所述发出警报包括:
[0030]将篡改信息发送至通知服务器；
[0031]所述通知服务器通过邮件/短信方式向网站管理员发出所述警报信息。
[0032]可选地，所述篡改检测脚本为Javascript脚本。
[0033]根据本发明的另一方面，其还提供了一种网页篡改的检测装置，包括:
[0034]嵌入模块，用于在网页中嵌入篡改检测脚本；
[0035]浏览器模块，用于执行所述篡改检测脚本，检测所述网页是否被篡改；
[0036]上报模块，若所述网页已被篡改，其将所述网页上报检测服务器。
[0037]可选地，所述篡改检测脚本通过判断所述网页中是否被挂马来检测所述网页是否被篡改。
[0038]可选地，所述篡改检测脚本通过判断所述网页中是否存在黑链来检测所述网页是否被篡改。
[0039]可选地，还包括:
[0040]判断模块，用于判断所上报的网页是否存在于白名单或黑名单中，其中，所述白名单和黑名单存储于所述检测服务器中；若所述网页存在于白名单中，则不作处理；若所述网页存在于黑名单中，则存入篡改数据库，并发出警报。
[0041]可选地，还包括:
[0042]检测模块，用于对所上报的网页进行进一步检测。
[0043]可选地，所述检测模块包括:
[0044]提取模块，其根据篡改特征库检测网页中的篡改内容，提取所述篡改内容中的黑词-黑链对，所述黑词-黑链对由黑词及其对应的黑链组成；[0045]库生成模块，其在所述黑词-黑链对的出现频率高于预定阈值时，将黑词-黑链存入黑词-黑链库中；
[0046]检测子模块:其根据黑词-黑链库检测网页中的篡改内容，若待检测网页中出现的黑词对应的链接存在于所述黑词-黑链库中该黑词对应的黑链集中，则确定该待检测网页被篡改。
[0047]可选地，所述判断模块进一步包括:
[0048]警报模块，其将篡改信息发送至通知模块；
[0049]通知模块，其通过邮件/短信方式向网站管理员发出所述警报信息。
[0050]可选地，所述篡改检测脚本为Javascript脚本。
[0051]可见，本发明提出的上述网页篡改的检测方法及装置，通过在网页源码中嵌入篡改检测脚本，在用户打开浏览器的同时由浏览器对网页进行检测。且本发明提出的上述方案中的篡改检测脚本采用javascript脚本，其在启动后只在后台执行，对用户不会产生任何影响。这种检测方法克服了现有技术中集中检测带来的效率低下问题，在不影响用户访问网页的同时极大地提高了网站安全性。
【专利附图】

【附图说明】
[0052]图1是本发明提出的一种网页篡改的检测方法流程图；
[0053]图2是本发明实施例中检测服务器根据上报网页的篡改内容进行处理的方法流程图；
[0054]图3是本发明实施例中检测服务器对上报网页的进一步检测方法流程图；
[0055]图4是本发明提出的一种网页篡改的检测装置结构图；
[0056]图5是本发明中检测服务器中对上报网页做进一步检测的装置结构图。
【具体实施方式】
[0057]为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明作进一步的详细说明。
[0058]图1示出了本发明提出的一种网页篡改的检测方法流程图。如图1所示，该方法包括:
[0059]步骤101:在网页中嵌入篡改检测脚本；
[0060]步骤102:浏览器执行所述篡改检测脚本，检测所述网页是否被篡改；
[0061]步骤103:若所述网页已被篡改，则将所述网页上报检测服务器。
[0062]下面根据具体的实施例对本发明提出上述网页篡改的检测方法的各个步骤进行详细说明。
[0063]步骤101中，在网页中嵌入篡改检测脚本。
[0064]所谓网页篡改就是一些具有不良企图的组织或个人通过扫描服务器的弱口令、漏洞，获得网站的账户权限后，对网站的网页源码进行恶意修改。最典型的一种修改方式就是在网页源码中插入恶意链接，如挂马链接和黑链等。
[0065]网页是构成网站的基本元素，通常网页都是由超文本标记语言(HTML语言)编写而成的文件，其需要通过浏览器阅读。而通过浏览器打开某个网页时，浏览器执行相应的HTML文件，根据HTML文件中的格式显示网页的文字、图片等等。黑客通过各种方式获得网站的管理员权限后，对该网站上的网页源码即其对应的HTML文件进行修改，在其中一些不良元素，如黑链和挂马链接等。而黑客在网页中所植入的黑链和挂马链接用户往往无法察觉，其可能是通过改写网页对应的HTML文件，将黑链或挂马链接隐藏起来，如黑链或挂马链接的显示格式设置为不可见、或浏览器显示区域之外，或者隐藏在一张图片底层等等。在用户通过浏览器打开该被篡改的网页时，就可能直接转向带有木马病毒的恶意网站，或者直接执行木马病毒等等。
[0066]目前对网页篡改的检测机制是由专门的检测工具或者搜索引擎集中检测，即对用户请求的网页先预下载之后进行检测，并在检测通过之后发送给用户。这在网站较多和/或访问网站用户较多时，会导致用户的访问速度下降。
[0067]鉴于此，本发明提出将检测网页篡改内容的篡改检测脚本直接嵌入到网页源码即网页的HTML文件中，具体地，可以直接将脚本代码插入在HTML文件的头标签head或者内容标签body中。这样，可以将网页篡改的检测工作分散到各个用户端，能够提高检测效率。
[0068]可选地，本发明中篡改检测脚本采用Javascript脚本来实现。Javascript是一种基于对象和事件驱动并具有相对安全性的客户端脚本语言。同时也是一种广泛用于客户端Web开发的脚本语言，常用来给Html网页添加动态功能。
[0069]Javascript脚本程序是纯文本语句，不需要编译，因此其可以由浏览器直接解释执行。在将检测网页是否被篡改的Javascript语句嵌入到网页对应的HTML文件中，用户在打开该网页时就可触发该Javascript脚本执行相应操作，以检测网页中的内容是否被篡改。
[0070]采用Javascript脚本嵌入的方式除了能提高检测速度外，另一个优点是Javascript脚本程序只在后台执行，用户对其不可见，因此不会妨碍用户的其它操作。
[0071]下面以嵌入Javascript脚本举例说明如何在HTML文件的头标签head中嵌入篡改检测脚本:
[0072]针对HTML文件:
[0073]〈html xmlns=http: / / www.XXXX.cn / xhtml>
[0074]〈head〉
[0075]〈title〉欢迎访问 XXXX 网站！〈 / title〉
[0076]< / head〉
[0077]嵌入Javascript脚本之后如下所示:
[0078]
【权利要求】
1.一种网页篡改的检测方法,包括: 在网页中嵌入篡改检测脚本； 浏览器执行所述篡改检测脚本，检测所述网页是否被篡改； 若所述网页已被篡改，则将所述网页上报检测服务器。
2.如权利要求1所述的网页篡改的检测方法，其中，所述篡改检测脚本通过判断所述网页中是否被挂马来检测所述网页是否被篡改。
3.如权利要求1所述的网页篡改的检测方法，其中，所述篡改检测脚本通过判断所述网页中是否存在黑链来检测所述网页是否被篡改。
4.如权利要求1所述的网页篡改的检测方法，还包括: 判断所上报的网页中的篡改内容是否存在于白名单或黑名单中，其中，所述白名单和黑名单存储于所述检测服务器中； 若所述网页的篡改内容存在于白名单中，则不作处理； 若所述网页的篡改内容存在于黑名单中，则存入篡改数据库，并发出警报。
5.如权利要求1-4中任一项所述的网页篡改的检测方法，还包括: 在所述检测服务器中对所上报的网页进行进一步检测。
6.如权利要求5所述的网页篡改的检测方法，其中，在所述检测服务器中对所述网页进行进一步检测包括:` 根据篡改特征库检测网页中的篡改内容，提取所述篡改内容中的黑词-黑链对，所述黑词-黑链对由黑词及其对应的黑链组成； 若所述黑词-黑链对的出现频率高于预定阈值，则将其存入黑词-黑链库中； 根据黑词-黑链库检测网页中的篡改内容； 若待检测网页中出现的黑词对应的链接存在于所述黑词-黑链库中该黑词对应的黑链集中，则确定该待检测网页被篡改。
7.如权利要求4所述的网页篡改的检测方法，其中，所述发出警报包括: 将篡改信息发送至通知服务器； 所述通知服务器通过邮件/短信方式向网站管理员发出所述警报信息。
8.如权利要求1-4中任一项所述的网页篡改的检测方法，其中，所述篡改检测脚本为Javascript 脚本。
9.一种网页篡改的检测装置，包括: 嵌入模块，用于在网页中嵌入篡改检测脚本； 浏览器模块，用于执行所述篡改检测脚本，检测所述网页是否被篡改； 上报模块，若所述网页已被篡改，其将所述网页上报检测服务器。
10.如权利要求9所述的网页篡改的检测装置，其中，所述篡改检测脚本通过判断所述网页中是否被挂马来检测所述网页是否被篡改。
【文档编号】G06F21/56GK103605925SQ201310629297
【公开日】2014年2月26日 申请日期:2013年11月29日 优先权日:2013年11月29日
【发明者】何振科, 赵武 申请人:北京奇虎科技有限公司, 奇智软件（北京）有限公司