网页篡改的检测方法和装置与流程

本发明涉及网络安全技术领域，尤其是涉及网页篡改的检测方法和装置。

背景技术：

网页篡改是指网站被攻击者非法入侵后将部分网页或整站页面植入恶意内容或创建新的恶意内容的网页的行为。网页篡改包括显式篡改和隐式篡改，显式篡改是直接修改网页，可通过视觉呈现；隐式篡改是针对搜索引擎结果进行的篡改，当访问被篡改网页时无法判断网页被篡改。

目前主要通过关键词特征库和网页在前后时间段的源代码的对比来检测。关键词特征库的检测主要依赖物特征库，如果特征库的内容不全面，则会产生漏报和误报；网页在前后时间段的源代码的对比的方法主要依赖于初始的网页基线文件，如果在创建基线文件之前就已经被植入恶意内容，则无法检测出网页篡改事件；或者正常的内容更新和网页基线文件不一致则产生误报。

上述方法在检测网页过程中，都会产生误报和漏报，并且对于隐式篡改的行为无法检测，因为浏览的网页都是正常的。

技术实现要素：

有鉴于此，本发明的目的在于提供网页篡改的检测方法和装置，可以降低检测的误报率和漏报率，提高网页篡改检测的准确性，并且可以对隐式篡改进行检测。

第一方面，本发明实施例提供了网页篡改的检测方法，应用于服务器，所述方法包括：

接收客户端发送的链接请求信息，所述链接请求信息包括referer值或用户代理ua值；

根据所述链接请求信息向所述客户端发送第一网站内容信息；

对所述链接请求信息中的所述referer值或所述ua值进行修改，并根据修改的链接请求信息向所述客户端发送第二网站内容信息；

接收所述客户端发送的源代码请求信息，根据所述源代码请求信息分别获取所述第一网站内容信息对应的第一源代码信息和所述第二网站内容信息对应的第二源代码信息；

将所述第一源代码信息和所述第二源代码信息进行比对，并根据比对结果确定网页的属性。

进一步的，所述将所述第一源代码信息和所述第二源代码信息进行比对，并根据比对结果确定网页的属性，包括：

如果所述第一源代码信息和所述第二源代码信息相同，则所述网页没有被篡改。

进一步的，所述将所述第一源代码信息和所述第二源代码信息进行比对，并根据比对结果确定网页的属性，还包括：

如果所述第一源代码信息和所述第二源代码信息的相似度在预设的阈值内，则所述网页没有被篡改；

或者，

如果所述第一源代码信息和所述第二源代码信息的相似度不在所述预设的阈值内，则所述网页被篡改。

第二方面，本发明实施例提供了网页篡改的检测方法，应用于客户端，所述方法包括：

获取链接请求信息，所述链接请求信息包括referer值或ua值；

将所述链接请求信息发送给服务器，以使所述服务器根据所述链接请求信息发送第一网站内容信息，以及对所述链接请求信息中的所述referer值或所述ua值进行修改，并根据修改的链接请求信息发送第二网站内容信息；

接收所述服务器发送的所述第一网站内容信息和所述第二网站内容信息；

向所述服务器发送源代码请求信息，以使所述服务器根据所述源代码请求信息分别获取所述第一网站内容信息对应的第一源代码信息和所述第二网站内容信息对应的第二源代码信息；

接收所述服务器发送的所述第一源代码信息和所述第二源代码信息。

进一步的，所述方法还包括：

显示所述第一网站内容信息、所述第二网站内容信息、所述第一源代码信息和所述第二源代码信息。

第三方面，本发明实施例提供了网页篡改的检测装置，应用于服务器，所述装置包括：

链接请求信息接收单元，用于接收客户端发送的链接请求信息，所述链接请求信息包括referer值或用户代理ua值；

网站内容信息发送单元，用于根据所述链接请求信息向所述客户端发送第一网站内容信息；

修改单元，用于对所述链接请求信息中的所述referer值或所述ua值进行修改，并根据修改的链接请求信息向所述客户端发送第二网站内容信息；

源代码信息获取单元，用于接收所述客户端发送的源代码请求信息，根据所述源代码请求信息分别获取所述第一网站内容信息对应的第一源代码信息和所述第二网站内容信息对应的第二源代码信息；

比对单元，用于将所述第一源代码信息和所述第二源代码信息进行比对，并根据比对结果确定网页的属性。

进一步的，所述比对单元包括：

如果所述第一源代码信息和所述第二源代码信息相同，则所述网页没有被篡改。

进一步的，所述比对单元还包括：

如果所述第一源代码信息和所述第二源代码信息的相似度在预设的阈值内，则所述网页没有被篡改；

或者，

如果所述第一源代码信息和所述第二源代码信息的相似度不在所述预设的阈值内，则所述网页被篡改。

第四方面，本发明实施例提供了网页篡改的检测装置，应用于客户端，所述装置包括：

链接请求信息获取单元，用于获取链接请求信息，所述链接请求信息包括referer值或ua值；

链接请求信息发送单元，用于将所述链接请求信息发送给服务器，以使所述服务器根据所述链接请求信息发送第一网站内容信息，以及对所述链接请求信息中的所述referer值或所述ua值进行修改，并根据修改的链接请求信息发送第二网站内容信息；

网站内容信息接收单元，用于接收所述服务器发送的所述第一网站内容信息和所述第二网站内容信息；

源代码请求信息发送单元，用于向所述服务器发送源代码请求信息，以使所述服务器根据所述源代码请求信息分别获取所述第一网站内容信息对应的第一源代码信息和所述第二网站内容信息对应的第二源代码信息；

源代码信息接收单元，用于接收所述服务器发送的所述第一源代码信息和所述第二源代码信息。

进一步的，所述装置还包括：

显示单元，用于显示所述第一网站内容信息、所述第二网站内容信息、所述第一源代码信息和所述第二源代码信息。

本发明实施例提供了网页篡改的检测方法和装置，在服务器端包括：接收客户端发送的链接请求信息，链接请求信息包括referer值或用户代理ua值；根据链接请求信息向客户端发送第一网站内容信息；对链接请求信息中的referer值或ua值进行修改，并根据修改的链接请求信息向客户端发送第二网站内容信息；接收客户端发送的源代码请求信息，根据源代码请求信息分别获取第一网站内容信息对应的第一源代码信息和第二网站内容信息对应的第二源代码信息；将第一源代码信息和第二源代码信息进行比对，并根据比对结果确定网页的属性，从而可以降低检测的误报率和漏报率，提高网页篡改检测的准确性，并且可以对隐式篡改进行检测。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的网页篡改的检测方法应用场景示意图；

图2为本发明实施例二提供的网页篡改的检测方法流程图；

图3为本发明实施例三提供的另一网页篡改的检测方法流程图；

图4为本发明实施例四提供的网页篡改的检测装置示意图；

图5为本发明实施例五提供的另一网页篡改的检测装置示意图。

图标：

100-链接请求信息接收单元；110-网站内容信息发送单元；120-修改单元；130-源代码信息获取单元；140-比对单元；150-链接请求信息获取单元；160-链接请求信息发送单元；170-网站内容信息接收单元；180-源代码请求信息发送单元；190-源代码信息接收单元。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为便于对本实施例进行理解，下面对本发明实施例进行详细介绍。

实施例一：

图1为本发明实施例一提供的网页篡改的检测方法应用场景示意图。

图1为本发明实施例一提供的网页篡改的检测方法应用场景示意图。

参照图1，客户端向服务器发送链接请求信息，链接请求信息包括referer值或ua(useragent，用户代理)值，服务器根据链接请求信息生成第一网站内容信息，并将第一网站内容信息发送给客户端。服务器对链接请求信息中的referer值或ua值进行修改，并根据修改的链接请求信息生成第二网站内容信息，并向客户端发送第二网站内容信息。

客户端在接收到第一网站内容信息和第二网站内容信息后，会显示第一网站内容信息和第二网站内容信息，并且向服务器发送源代码请求信息，服务器根据源代码请求信息分别获取第一网站内容信息对应的第一源代码信息和第二网站内容信息对应的第二源代码信息，将第一源代码信息和第二源代码信息进行比对，如果第一源代码信息和第二源代码信息相同，或者相似度在预设的阈值内，则网页没有被篡改；如果不在预设的阈值内，则网页被篡改，从而可以降低检测的误报率和漏报率，提高网页篡改检测的准确性，并且可以对隐式篡改进行检测。

实施例二：

图2为本发明实施例二提供的网页篡改的检测方法流程图。

参照图2，执行主体为服务器，该方法包括以下步骤：

步骤s101，接收客户端发送的链接请求信息，链接请求信息包括referer值或用户代理ua值；

这里，referer值为从网页a跳转到网页b的来路值。ua值是一个特殊字符串头，使得服务器能够识别客户使用的操作系统及版本、cpu类型、浏览器及版本、浏览器渲染引擎、浏览器语言和浏览器插件等。链接请求信息可以为url(uniformresourcelocation，统一资源定位符)，用户在客户端上通过点击url的链接，就可以在客户端上显示该链接的网站内容信息。

步骤s102，根据链接请求信息向客户端发送第一网站内容信息；

步骤s103，对链接请求信息中的referer值或ua值进行修改，并根据修改的链接请求信息向客户端发送第二网站内容信息；

这里，通过将修改链接请求信息中的referer值或ua值生成的网站内容信息与未修改的链接请求信息中的网站内容信息进行比对，从而可以判断网页是否被篡改，发现网页篡改的误报和漏报的技术问题，使用户能够及时获知网站存在的安全事件风险。

步骤s104，接收客户端发送的源代码请求信息，根据源代码请求信息分别获取第一网站内容信息对应的第一源代码信息和第二网站内容信息对应的第二源代码信息；

这里，用户在客户端上查看第一网站内容信息和第二网站内容信息，并点击显示网页源代码，则客户端向服务端发送源代码请求信息，服务器根据源代码请求信息生成相应网页的源代码信息。

步骤s105，将第一源代码信息和第二源代码信息进行比对，并根据比对结果确定网页的属性。

进一步的，步骤s105包括：

如果第一源代码信息和第二源代码信息相同，则网页没有被篡改。

进一步的，步骤s105还包括：

如果第一源代码信息和第二源代码信息的相似度在预设的阈值内，则网页没有被篡改；

或者，

如果第一源代码信息和第二源代码信息的相似度不在预设的阈值内，则网页被篡改。

这里，预设的阈值可以为99％，如果达不到预设阈值，说明网页内容信息变化较大，从而说明网页被篡改。

实施例三：

图3为本发明实施例三提供的另一网页篡改的检测方法流程图。

参照图3，执行主体为客户端，该方法包括以下步骤：

步骤s201，获取链接请求信息，链接请求信息包括referer值或ua值；

步骤s202，将链接请求信息发送给服务器，以使服务器根据链接请求信息发送第一网站内容信息，以及对链接请求信息中的referer值或ua值进行修改，并根据修改的链接请求信息发送第二网站内容信息；

步骤s203，接收服务器发送的第一网站内容信息和第二网站内容信息；

步骤s204，向服务器发送源代码请求信息，以使服务器根据源代码请求信息分别获取第一网站内容信息对应的第一源代码信息和第二网站内容信息对应的第二源代码信息；

步骤s205，接收服务器发送的第一源代码信息和第二源代码信息。

进一步的，该方法还包括：

显示第一网站内容信息、第二网站内容信息、第一源代码信息和第二源代码信息。

实施例四：

图4为本发明实施例四提供的网页篡改的检测装置示意图。

参照图4，执行主体为服务器，该装置包括链接请求信息接收单元100、网站内容信息发送单元110、修改单元120、源代码信息获取单元130和比对单元140。

链接请求信息接收单元100，用于接收客户端发送的链接请求信息，链接请求信息包括referer值或用户代理ua值；

网站内容信息发送单元110，用于根据链接请求信息向客户端发送第一网站内容信息；

修改单元120，用于对链接请求信息中的referer值或ua值进行修改，并根据修改的链接请求信息向客户端发送第二网站内容信息；

源代码信息获取单元130，用于接收客户端发送的源代码请求信息，根据源代码请求信息分别获取第一网站内容信息对应的第一源代码信息和第二网站内容信息对应的第二源代码信息；

比对单元140，用于将第一源代码信息和第二源代码信息进行比对，并根据比对结果确定网页的属性。

进一步的，比对单元140包括：

如果第一源代码信息和第二源代码信息相同，则网页没有被篡改。

进一步的，比对单元140还包括：

如果第一源代码信息和第二源代码信息的相似度在预设的阈值内，则网页没有被篡改；

或者，

如果第一源代码信息和第二源代码信息的相似度不在预设的阈值内，则网页被篡改。

实施例五：

图5为本发明实施例五提供的另一网页篡改的检测装置示意图。

参照图5，执行主体为客户端，该装置包括：链接请求信息获取单元150、链接请求信息发送单元160、网站内容信息接收单元170、源代码请求信息发送单元180和源代码信息接收单元190。

链接请求信息获取单元150，用于获取链接请求信息，链接请求信息包括referer值或ua值；

链接请求信息发送单元160，用于将链接请求信息发送给服务器，以使服务器根据链接请求信息发送第一网站内容信息，以及对链接请求信息中的referer值或ua值进行修改，并根据修改的链接请求信息发送第二网站内容信息；

网站内容信息接收单元170，用于接收服务器发送的第一网站内容信息和第二网站内容信息；

源代码请求信息发送单元180，用于向服务器发送源代码请求信息，以使服务器根据源代码请求信息分别获取第一网站内容信息对应的第一源代码信息和第二网站内容信息对应的第二源代码信息；

源代码信息接收单元190，用于接收服务器发送的第一源代码信息和第二源代码信息。

进一步的，该装置还包括：

显示单元(未示出)，用于显示第一网站内容信息、第二网站内容信息、第一源代码信息和第二源代码信息。

本发明实施例提供了网页篡改的检测方法和装置，在服务器端包括：接收客户端发送的链接请求信息，链接请求信息包括referer值或用户代理ua值；根据链接请求信息向客户端发送第一网站内容信息；对链接请求信息中的referer值或ua值进行修改，并根据修改的链接请求信息向客户端发送第二网站内容信息；接收客户端发送的源代码请求信息，根据源代码请求信息分别获取第一网站内容信息对应的第一源代码信息和第二网站内容信息对应的第二源代码信息；将第一源代码信息和第二源代码信息进行比对，并根据比对结果确定网页的属性，从而可以降低检测的误报率和漏报率，提高网页篡改检测的准确性，并且可以对隐式篡改进行检测。

本发明实施例还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述实施例提供的网页篡改的检测方法的步骤。

本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器运行时执行上述实施例的网页篡改的检测方法的步骤。

本发明实施例所提供的计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。