专利名称:基于图像处理技术的网页异常检测方法
技术领域:
本发明涉及网络安全技术与数字图像处理技术,尤其是涉及一种利用数字图像处理技术防止网页遭受篡改的技术。
背景技术:
随着网络与信息技术的发展,网络上不安全因素也与日俱增,加之大部分网站的安全性不是很高,使得政府、高校、企事业网站遭受篡改的情况时有发生,如何检测与防止web页面被非法篡改问题显得特别重要。
网页异常检测常用的方法是通过计算与比较服务器上网页文件的数字指纹(一般是MD5或SHA-I散列值)是否一致来确认页面是否被篡改。有的通过在页面代码中加入脆弱水印,通过辨别水印的完整性的方法来检测是否受到篡改。这两种方法不足之处是不能很好地检测到页面中由代码调用数据库而生成的动态内容。因此对动态页面的保护除了对服务器端页面文件进行保护外,还需要保护相应的数据库。只有页面文件与数据库都安全的情况下在客服端展现出的页面才是真实可信的。然而对数据库的保护难度非常大,目前还没有行之有效的保护方法。也可以考虑直接从客户端页面的特征对其进行检测。比如下载网页的客户端代码然后进行字符串或MD5数字指纹比较分析,但这种下载网页代码的方式有个致命的弱点不适合于有客户端动态生成的内容,比如有网站统计访问量、评级等动态页面元素,因为这些动态元素使页面客户端html代码也会相应的改变。其次,如果入侵者替换了形如页面标签〈img src =”xxx. jpg”>中的xxx. jpg图片文件或更改了该文件的内容,页面源码是没有任何改变的,这中攻击导致无论是客户端还是服务器端检测都存在相当的困难。总之,对动态网站页面的保护仍然是一个非常棘手的问题。
发明内容
本发明目的是提供一种对静态网页与动态网页都能进行有效保护的方法,并且不用对数据库进行特别保护。本发明是基于数字图像处理技术的防止网页被篡改的方法。该方法利用了瞬间的页面图像。瞬间的页面图像也称页面快照或页面图像帧,它根据html语法将页面代码在内存中生成图像。页面图像帧对应了在某时刻页面的可视化外观,它能真实的反映页面的运行状况包括页面内容、页面色调、布局等格式。攻击者往往利用各种攻击手段对网页的文字内容、外观样式等造成影响来达到攻击目的。对网页图像的分析能直接有效的发现网页的异常情况。本发明尤其适用于客户端交互量不大的门户类网站的页面。在正常情况下,循环采集需要保护页面的图像组成页面图像帧序列,并应用图像差分技术分割出动态区域与静态区域图像。当某一页面被访问时,通过web服务器事件触发机制或轮询技术获取该页面地址并生成该页面图像帧序列处理为动态与静态区域图像。将该页面的动、静态区域图像与正常情况下保存的动静态区域图像进行比较分析对于静态区域图像,如果该区域发生任何变化则说明该网页出现异常;对于动态区域,若该区域图像的变动在给定的阈值范围内变动则正常,否则异常。当正常操作更改网页时应及时从新采集并更新已保存的动、静态图像。本方法能识别出动态、静态网页内容与格式的不一致,可以避开对数据库的保护。网页图像的分割,将页面图像分割为静态区域与动态区域图像。由于flash动画、gif图像、页面访问统计、数据库生成内容等页面动态元素在网页中是动态变化的,每次取得的页面图像可能会不一样。该方法根据页面是否动态变化对其划分为静态区域与动态区域。对某一页面循环扫描(每次扫描需清除缓存)获得的图像帧序列为{&,f\,f2,fV··,fn}。页面图像的分割可以由(I)、(2)、(3)式表示。DI (x, y) = U | ft (x, y)(x, y) | t = 1,2, ...,n i=0,l...,t_l(I)Dk(x, y) = RectSeg {DI (x, y)古 0} k e N(2) S (x, y) = RectSeg {DI (X,Y) =0}(3)DI(x,y)表示所有两帧图像差之并集,由此可以得出最大范围不为零的动态区域。记号ReCtSeg{ · }表示用矩形去分割图像的像素值不为零的区域得到k个动态区域,用Dk(x,y)表示。St(x,y)为静态区域图像。考虑到页面基本元素形状是矩形的,把动态区域分割为矩形是适合的。页面的一次图像采集其静态区域图像只有一个,动态区域图像有多个。对没有动态元素的纯静态页面,理论上讲只要一次采集。在做匹配验证是否被篡改时,只需做一次差分操作即可。对于有动态元素的页面,需要循环采集多次页面图像直到页面动态图像中一定的像素阈值内稳定为止,采集次数的多少取决于动态元素本身的复杂性,比如flash动画、gif图像的图像帧数。一般,像素的RGB阈值控制在10以内的范围,像素阈值设置越大采集次数越少,但控制精度会越粗。在检测页面是否被篡改时,该页面的每一个动态区域图像都要与对应的正常情况下保存的动态图像进行比较,当其变化均在给定阈值范围内则页面正
堂
巾O在监空初期,如果出现虚报现象可以人工交互方式矫正系统。当由于客服端交互而产生的图像差异被误判为异常时,可以人为的指定为正常,然后自动将该页面图像帧相应的动态图像加入到正常的动态图像中继续训练,从而使该方法更加稳定可靠。
图I是获取页面图像与静态、动态区域图像的流程图;图2是检测某页面是否正常的流程图。
具体实施例方式下面根据附图对本发明进行详细阐述实施过程。图I说明了获取页面图像并将其分割为动、静态区域的流程图。根据页面地址生成页面图像,如果是首次生成图像则直接保存图像,否则当前图像帧与已经采集的每个图像帧做差分(相减)操作得到差分图像,见公式(I),然后求出所有差分图像的并集。如此循环直到所有差分图像的动态区域的位置、大小、RGB像素值在一定阈值内稳定时停止迭代。然后根据公式(2) (3)将该并集图像分割,分割的具体操作是依次扫描该图像,检测出连续不为零的区域并标记该区域的最左上角与最右下角坐标以确定矩形大小。这些区域就是flash动画、gif图像、页面访问统计、数据库生成内容等页面动态元素显示的区域,将该页面的静态与各动态区域生成的图像保存。正常情况下,如果对页面有更新操作时(比如管理信息系统中的后台管理程序对数据库的添加、删除等操作等)应重新做一次图像帧序列采集与分割操作,并更新动态静动态区域图像。图2是检测过程。定时扫描或根据web服务器事件获取页面地址(可 以通过ISAPKApache-Module等服务器内核模块的相关接口获得)并生成页面图像。用保存的动态区域位置大小的矩形区域去分割采集到的页面图像。将分割后的静、动态区域图像分别与保存的静、动态区域图像做差分操作。对于静态区域图像如果差分操作后结果为零则正常;对于每一个动态区域图像,当其与相应的在正常情况下保存的动态区域图像的差值都在一定阈值内变动时则为正常。在监控中如果出现误报可以人工干预方式矫正系统,这种 情况一般出现在监控初期。
权利要求
1.一种基于页面图像的网页异常检测方法,其特征在于利用图像处理技术实现网页是否异常进行检测。
2.根据权利要求I所述的基于图像处理技术的网页异常检测方法,通过采集多帧页面图像差分技术将页面图像分割为静态区域图像与动态区域图像。监控时分别比较静态区域图像是否变化,动态区域图像变化是否在一定阈值内来确定该页面是否异常。
3.根据权利要求I所述的基于图像处理技术的网页异常检测方法,对网页的防篡改是基于客户端的,不必对数据库进行特殊的保护。
4.根据权利要求I所述的基于图像处理技术的网页异常检测方法,人工交互方式矫止系统。当由于客服端交互而产生的图像差异被误判为异常时,人为的指定为正常,从而可以将当前页面图像产生的动态图像序列加入到正常的动态图像序列中,以提高该方法的可靠性与稳定性。
全文摘要
本发明是一种基于图像处理技术的网页异常自动检测方法,以发现网页是否遭受篡改、病毒等攻击导致的页面异常情况。本方法通过定时或事件触发方式采集页面图像,运用数字图像处理技术对多帧图像序列进行差分分析,识别出页面中在正常情况下的静态区域与动态区域并将其分割为一个静态区域图像与多个动态区域图像。在检测时静态区域图像如果没有变化正常;对动态区域图像,任一动态图像的变动如果未超出一定的阈值范围识别是否异常。该方法无需对生成页面内容的网站后台数据库进行特别保护,尤其适用于客户端与服务器端交互信息量不大的公司、企事业单位等门户网站页面异常检测与保护。
文档编号G06T7/00GK102779245SQ201110122099
公开日2012年11月14日 申请日期2011年5月12日 优先权日2011年5月12日
发明者李朝荣 申请人:李朝荣