一种防篡改方法和防篡改终端与流程

本发明涉及信息安全技术领域，具体涉及一种防篡改方法和防篡改终端。

背景技术：

本部分向读者介绍可能与本发明的各个方面相关的背景技术，相信能够向读者提供有用的背景信息，从而有助于读者更好地理解本发明的各个方面。因此，可以理解，本部分的说明是用于上述目的，而并非构成对现有技术的承认。

Internet已经成为一个方便快捷的基础平台，很多组织都将应用和服务以网站(Web)的形式架设在该平台上，为用户提供更为方便、快捷的服务体验。随着这些Web应用及服务在功能和性能上不断的完善和提高，Web越来越多地承载了核心业务，如电子政务、电子商务、运营商的增值业务等。然而在其安全性上，却没有得到足够的重视。据Gartner的数据统计，75％的攻击发生在Web应用安全层面，而大部分的Web应用是脆弱的，存在的安全漏洞也使各种组织机构很容易受到病毒与黑客的攻击。这些攻击可能导致网站遭受声誉损失、经济损失甚至政治影响。

在大多数的安全评估报告中，Web安全风险都占据了大量的版面，SQL注入漏洞、XSS跨站脚本漏洞等Web应用安全隐患已经成为报告中的常客。面对如此严峻的安全形势，虽然IT管理人员已意识到Web安全问题的重要性，但传统安全防护设备(防火墙系统、入侵检测系统等)由于设计目标的不同，主要针对网络层安全防护，在针对Web系统应用层攻击进行防护时往往力不从心。

现有的防篡改方案中采用操作系统底层文件过滤驱动技术，拦截与分析IRP流，对受保护的网站目录、文件的写操作都立即截断，该技术是典型的“先发制人”，在篡改写入文件之前就阻止。通过底层文件驱动技术，文件将不能被篡改、删除，使得公众无法看到被篡改页面。由于现有的防篡改方法取主动阻断式机制，无事后恢复数据的处理机制。

技术实现要素：

要解决的技术问题是如何提供一种防篡改方法和防篡改终端。

针对现有技术中的缺陷，本发明提供一种防篡改方法和防篡改终端，可以有效防止篡改行为。

第一方面，本发明提供了一种防篡改方法，包括：

加载预先设置的防篡改监控策略；

监控并按所述防篡改监控策略对访问行为进行合法性判断；

根据所述判断结果对访问行为执行放行或拒绝的防篡改操作；

保存对访问行为的防篡改操作结果。

可选地，还包括按照编译器的版本号将访问行为定向到相应版本的库文件的步骤。

可选地，所述按所述防篡改监控策略对访问行为进行合法性判断包括：

依次判断当前的访问行为是否是篡改行为；

其中所述篡改行为包括：非例外进程、访问非例外目录、访问防护路径；

如果所述访问行为是上述全部篡改行为，则判定为非法操作；

如果所述访问行为不是上述篡改行为之一，则判定为合法操作。

可选地，还包括：按照所述防篡改监控策略加载防篡改配置信息步骤：

所述防篡改配置信息包括：非监控服务或系统进程、防护路径、例外路径、例外进程。

可选地，还包括发送防篡改操作结果。

另一方面，本发明还提供一种防篡改终端，包括：

防篡改监控策略获取单元，用于加载预先设置的防篡改监控策略；

防篡改监控单元，用于监控并按所述防篡改监控策略对访问行为进行合法性判断；

防篡改操作执行单元，用于根据所述判断结果对访问行为执行放行或拒绝的防篡改操作；

防篡改操作结果存储单元，用于保存对访问行为的防篡改操作结果。

可选地，还包括：

库定位单元，用于按照编译器的版本号将访问行为定向到相应版本的库文件。

可选地，所述防篡改监控单元包括：

判断单元用于，依次判断当前的访问行为是否是篡改行为；

如果所述访问行为是所述全部篡改行为，则判定为非法操作；

如果所述访问行为不是所述篡改行为之一，则判定为合法操作；

其中所述篡改行为包括：非例外进程、访问非例外目录、访问防护路径。

可选地，还包括：防篡改信息配置单元，用于按照所述防篡改监控策略加载防篡改配置信息；

所述防篡改配置信息包括：非监控服务或系统进程、防护路径、例外路径、例外进程。

可选地，还包括防篡改结果发送单元，用于发送防篡改操作结果。

由上述技术方案可知，本发明供的防篡改方法和防篡改终端，通过王篡改防护策略，具有修改属性的命令对指定对象的访问行为，执行放行或者拒绝的操作，以实现对文件访问的过滤，主要应用在网页防篡改的文件保护。用户可设置被监控状态和监控范围，以列表方式显示客户端的执行结果，方便管理者分析访问行为。本发明针对Web站点，在遭到黑客或病毒的攻击下，保护站点中的网页、电子文档、图片、数据库等任何类型的文件不会受到非授权修改和破坏。对通过Web实现的Root提权，SQL注入,挂马和破坏整个网站数据等重大事件断绝其先决条件。相对于现有技术，本发明完全杜绝了轮询扫描式页面防篡改软件的扫描间隔中被篡改内容被用户访问的可能，其所消耗的内存和CPU占用率也远远现有的低于文件轮询扫描式或核心内嵌式的防篡改方法。。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单的介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一个实施例中一种防篡改方法流程示意图；

图2为本发明另一个实施例中一种防篡改方法流程示意图；

图3为本发明另一个实施例中一种防篡改方法流程示意图；

图4为本发明一个实施例中一种防篡改终端结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明提供一种防篡改方法，其特征在于，包括：加载预先设置的防篡改监控策略；监控并按所述防篡改监控策略对访问行为进行合法性判断；根据所述判断结果对访问行为执行放行或拒绝的防篡改操作；保存对访问行为的防篡改操作结果。下面对本发明和提供的防篡改方法展开详细的说明。

如图2所示，在本发明中，启动防篡改功能后，可以从服务端或本地加载预先设置的防篡改监控策略，该防篡改监控策略存储在防篡改动态链接库中。加载完成后进入监控模式，监控系统和进程的每一个访问行为。如果监控到系统和进程的访问行为则进一步进行防篡改防护，如果没有监控到则结束监控。

如图2所示，由于编译环境的不同，与之对应的动态链接库也不同。在执行防篡改防护时，还需要按照编译器的版本号将访问行为定向到相应版本的库文件。具体地，例如，GCC编译环境版本，将访问命令重定向到指定的库文件。如果当前编译环境版本低于3.0，则将访问命令定向到默认的动态链接库。反之，则将则将访问命令定向到默认的动态链接库/lib/lib.so.6。

如图3所示，将当前的访问命令定向到相应的动态链接库后，进一步对当前的反问进行防篡改防护。由于每个用户的习惯和文件也不同，相应的防篡改防护需求也不同，用户需要预先配置防篡改配置信息，该防篡改配置信息存储在防篡改动态链接库中。具体地，在执行防篡改防护时，按照所述防篡改监控策略加载防篡改配置信息：所述防篡改配置信息包括：非监控服务或系统进程、防护路径、例外路径、例外进程。例如可以按顺序执行排除非监控服务或系统进程、加载防护路径、加载例外路径、加载例外进程。

如图3所示，加载防篡改监控策略加载防篡改配置信息后，根据预先加载的防篡改监控策略对访问行为进行合法性判断并过滤。具体包括依次判断当前的访问行为是否是篡改行为；其中所述篡改行为包括：非例外进程、访问非例外目录、访问防护路径；如果所述访问行为是上述全部篡改行为，则判定为非法操作；如果所述访问行为不是上述篡改行为之一，则判定为合法操作。例如，依序判断当前执行的访问操作是否符合例外进程、例外目录、非防护路径。

如图3所示，在执行相应的监控判断操作后根据所述判断结果对访问行为执行放行或拒绝的防篡改操作；放行或者拒绝操作后，客户端将防篡改执行结果写入日志中，例如可以将该日志通过邮件方式发送至管理中心，提供管理员对该行为的汇总和分析。执行结果和日志可以通过UDP协议发送至管理中心。

为了进一步体现本发提供的防篡改方法的优越性，本发明还提供一种应用上述方法的防篡改终端，如图4所示，该终端包括：防篡改监控策略获取单元，用于加载预先设置的防篡改监控策略；防篡改监控单元，用于监控并按所述防篡改监控策略对访问行为进行合法性判断；防篡改操作执行单元，用于根据所述判断结果对访问行为执行放行或拒绝的防篡改操作；防篡改操作结果存储单元，用于保存对访问行为的防篡改操作结果。下面对本发明和提供的防篡改终端展开详细的说明。

在本发明中，所示防篡改终端还包括库定位单元，用于按照编译器的版本号将访问行为定向到相应版本的库文件。具体地，如图2所示，由于编译环境的不同，与之对应的动态链接库也不同。在执行防篡改防护时，还需要按照编译器的版本号将访问行为定向到相应版本的库文件。具体地，例如，GCC编译环境版本，将访问命令重定向到指定的库文件。如果当前编译环境版本低于3.0，则将访问命令定向到默认的动态链接库。反之，则将则将访问命令定向到默认的动态链接库/lib/lib.so.6。

在本发明中，所述防篡改监控单元包括：判断单元用于，依次判断当前的访问行为是否是篡改行为；如果所述访问行为是所述全部篡改行为，则判定为非法操作；如果所述访问行为不是所述篡改行为之一，则判定为合法操作；其中所述篡改行为包括：非例外进程、访问非例外目录、访问防护路径。具体地，如图3所示，加载防篡改监控策略加载防篡改配置信息后，根据预先加载的防篡改监控策略对访问行为进行合法性判断并过滤。具体包括依次判断当前的访问行为是否是篡改行为；其中所述篡改行为包括：非例外进程、访问非例外目录、访问防护路径；如果所述访问行为是上述全部篡改行为，则判定为非法操作；如果所述访问行为不是上述篡改行为之一，则判定为合法操作。例如，依序判断当前执行的访问操作是否符合例外进程、例外目录、非防护路径。

本发明中防篡改终端还包括：防篡改信息配置单元，用于按照所述防篡改监控策略加载防篡改配置信息；所述防篡改配置信息包括：非监控服务或系统进程、防护路径、例外路径、例外进程。具体地，如图3所示，将当前的访问命令定向到相应的动态链接库后，进一步对当前的反问进行防篡改防护。由于每个用户的习惯和文件也不同，相应的防篡改防护需求也不同，用户需要预先配置防篡改配置信息，该防篡改配置信息存储在防篡改动态链接库中。具体地，在执行防篡改防护时，按照所述防篡改监控策略加载防篡改配置信息：所述防篡改配置信息包括：非监控服务或系统进程、防护路径、例外路径、例外进程。例如可以按顺序执行排除非监控服务或系统进程、加载防护路径、加载例外路径、加载例外进程。

本发明中防篡改终端还包括：防篡改结果发送单元，用于发送防篡改操作结果。具体地，如图3所示，在执行相应的监控判断操作后根据所述判断结果对访问行为执行放行或拒绝的防篡改操作；放行或者拒绝操作后，客户端将防篡改执行结果写入日志中，例如可以将该日志通过邮件方式发送至管理中心，提供管理员对该行为的汇总和分析。

综上所述，本发明提供的一种防篡改方法和防篡改终端，通过王篡改防护策略，具有修改属性的命令对指定对象的访问行为，执行放行或者拒绝的操作，以实现对文件访问的过滤，主要应用在网页防篡改的文件保护。用户可设置被监控状态和监控范围，以列表方式显示客户端的执行结果，方便管理者分析访问行为。本发明针对Web站点，在遭到黑客或病毒的攻击下，保护站点中的网页、电子文档、图片、数据库等任何类型的文件不会受到非授权修改和破坏。对通过Web实现的Root提权，SQL注入,挂马和破坏整个网站数据等重大事件断绝其先决条件。相对于现有技术，本发明完全杜绝了轮询扫描式页面防篡改软件的扫描间隔中被篡改内容被用户访问的可能，其所消耗的内存和CPU占用率也远远现有的低于文件轮询扫描式或核心内嵌式的防篡改方法。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

本发明的说明书中，说明了大量具体细节。然而能够理解的是，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。类似地，应当理解，为了精简本发明公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释呈反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。本发明并不局限于任何单一的方面，也不局限于任何单一的实施例，也不局限于这些方面和/或实施例的任意组合和/或置换。而且，可以单独使用本发明的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。