网页篡改的识别方法和装置的制造方法
【技术领域】
[0001]本发明涉及网络安全技术领域,特别是涉及一种网页篡改的识别方法和装置。
【背景技术】
[0002]近些年web安全类事件呈现逐年增加的趋势,基于此,就要求web服务器前端的防护装置,如二代防火墙,必须具备网页防篡改的功能,网页防篡改是整个防护装置完整安全防护能力的必要一环。
[0003]现有的网页防篡改技术主要有如下四种:定时循环扫描技术、事件触发技术、数字水印或数字指纹、文件过滤驱动技术。
[0004]定时循环扫描技术按用户设定的间隔对网站目录进行定时扫描,如果发现篡改,就用备份的网页目录进行恢复。事件触发技术可以对网站目录进行实时监控,如果发现目录被篡改,监控程序就能得到系统通知事件,随后程序根据相关规则判定是否为非法篡改,如果是,则恢复。数字水印技术使用MD5 (Message Digest Algorithm 5)散列算法或其他散列算法对每一个流出的网页计算数字水印值,并与之前备份的水印值比较,如果不同,则可判定网页被篡改,同时阻止其继续流出,并传唤恢复程序进行恢复。文件过滤驱动技术采用底层操作系统文件过滤驱动技术,拦截和分析文件操作,对所有受保护的网站目录的写操作都立即截断。
[0005]上述四种技术方案都可以直接访问网站目录,只有定时循环扫描技术和数字水印技术可以应用到防护装置中,而且要衍变结合才能使用。现有防护装置的网页防篡改技术步骤如下:
[0006]防护装置配置防护主机站点后,预先对网站进行爬取并缓存爬取的所有页面;
[0007]当用户请求访问网页时,将请求的响应页面与预先已缓存的页面进行水印匹配;
[0008]如果水印比对不相同,则可判定网页被篡改,阻止响应页面流出,同时恢复网页或记录日志或通知管理员等。
[0009]然而,目前的网页防篡改技术的主要缺陷如下:
[0010](I)网站网页数量级巨大,网页爬取不仅需要耗费大量的时间,严重时甚至会导致防护装置崩溃,而且会大大影响web服务器的性能;
[0011](2)网页的细微改变会导致数字水印的改变,这样将会产生很多误报。
【发明内容】
[0012]基于此,有必要针对上述技术问题,提供一种网页篡改的识别方法和装置。其能够提高网页篡改识别的效率和准确度。
[0013]—种网页篡改的识别方法,该方法包括:
[0014]接收http请求;
[0015]判断所述http请求是否是对配置的web服务器的首页进行访问的请求;
[0016]如果所述http访问请求是对所述首页进行访问的请求,则对所述首页进行检测以识别网页是否被篡改,否则判断所述http请求是否携带来自搜索引擎的消息报头;
[0017]如果所述http请求携带来自搜索引擎的消息报头,则对所述http请求及其响应进行处理以识别网页是否被篡改,否则,检测所述响应是否被植入暗链;
[0018]如果所述响应被植入暗链,则判定网页被篡改,否则,检测所述响应是否包含木马;
[0019]如果所述响应包含木马,则判定网页被篡改,否则返回所述响应。
[0020]在其中一个实施例中,所述对所述首页进行检测以识别网页是否被篡改的步骤包括:
[0021]获取所述http请求的响应页面的水印值;
[0022]判断所述水印值与缓存的所述web服务器的首页的水印值是否匹配;
[0023]如果不匹配,则判定网页被篡改,否则进入所述判断所述http请求中是否携带来自搜索引擎的消息报头的步骤。
[0024]在其中一个实施例中,所述消息报头包括:UA消息报头和/或referer消息报头;所述对所述http请求及其响应进行处理以识别网页是否被篡改的步骤包括:
[0025]缓存所述http请求及其响应;
[0026]修改已缓存的http请求中的UA消息报头和/或ref erer消息报头,生成新的http请求,并发送所述新的http请求;
[0027]判断所述新的http请求的响应与已缓存的响应是否匹配;
[0028]如果不匹配,则判定网页被篡改,否则进入所述判断所述响应是否被植入暗链的步骤。
[0029]在其中一个实施例中,所述修改已缓存的http访问请求中的UA消息报头和/或ref erer消息报头的步骤包括:
[0030]将所述已缓存的http请求中的UA的浏览器类型值修改为主流浏览器类型值;和/或,
[0031]去除所述已缓存的http请求中的referer消息报头或者将所述已缓存的http请求中的referer消息报头修改为当前网站的域名或者包含当前域名的链接。
[0032]在其中一个实施例中,所述检测所述响应是否被植入暗链的步骤包括:
[0033]将所述响应与暗链特征库进行匹配,如果匹配成功,则判定网页被篡改,否则,将所述响应与恶意网址库进行匹配;
[0034]如果匹配成功,则判定网页被篡改,否则,进入所述检测所述响应是否包含木马的步骤。
[0035]—种网页篡改的识别装置,所述装置包括:
[0036]接收模块,用于接收http请求;
[0037]首页判断模块,用于判断所述http请求是否是对配置的web服务器的首页进行的请求;
[0038]首页检测模块,用于当判定所述http请求是对所述首页进行的请求时,对所述首页进行检测以识别网页是否被篡改;
[0039]消息报头判断模块,用于判断所述http请求是否携带来自搜索引擎的消息报头;
[0040]消息报头检测模块,用于当判定所述http请求携带来自搜索引擎的消息报头时,对所述http请求及其响应进行处理以识别网页是否被篡改;
[0041]暗链检测模块,用于当判定所述http请求未携带来自搜索引擎的消息报头时,判断所述响应是否被植入暗链;
[0042]木马检测模块,用于当判定所述响应未被植入木马时,检测所述响应是否包含木马;
[0043]响应模块,用于当判定所述响应未包含木马时,返回所述响应。
[0044]在其中一个实施例中,所述首页检测模块具体用于获取所述http请求的响应页面的水印值;判断所述水印值与缓存的所述web服务器的首页的水印值是否匹配;如果不匹配,则判定所述首页被篡改。
[0045]在其中一个实施例中,所述消息报头包括:UA消息报头和/或referer消息报头;
[0046]所述消息报头检测模块具体用于缓存所述http请求及其响应;修改已缓存的http请求中的UA消息报头和/或referer消息报头,生成新的http请求,并发送所述新的http请求;判断所述新的http请求的响应与已缓存的响应是否匹配;如果不匹配,则判定网页被篡改。
[0047]在其中一个实施例中,所述消息报头检测模块具体用于将所述已缓存的http请求中的UA的浏览器类型值修改为主流浏览器类型值;和/或,去除所述已缓存的http请求中的referer消息报头或者将所述已缓存的http请求中的referer消息报头修改为当前网站的域名或者包含当前域名的链接。
[0048]在其中一个实施例中,所述暗链检测模块具体用于将所述响应与暗链特征库进行匹配;如果匹配成功,则判定网页被篡改,否则,将所述响应与恶意网址库进行匹配;如果匹配成功,则判定网页被篡改。
[0049]上述网页篡改的识别方法和装置,通过判断是否是对配置的web服务器的首页的访问实现了对首页的监控,减少了网页爬取的工作量,提高了识别效率。另外,通过判断请求中是否携带来自搜索引擎的消息报头、以及对暗链和网马进行检测,不仅提高了识别的准确度,而且可以对动态网页进行监控。
【附图说明】
[0050]图1为一个实施例的网页篡改的识别方法的应用场景示意图;
[0051]图2为一个实施例的网页篡改的识别方法的流程图;
[0052]图3为另一个实施例的网页篡改的识别方法的流程图;
[0053]图4为一个实施例的网页篡改的识别装置的结构框图。
【具体实施方式】
[0054]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0055]用户可以通过客户端的web浏览器访问因特网上的各个网站,查看网站中的网页内容。web浏览器和web服务器之间通过http (HyperText Transfer Protocol,超文本传输协议)相互响应,web 浏览器则通过 TCP/IP (Transmiss1n Control Protocol/InternetProtocol,传输控制协议)与web服务器建立连接,web服务器通常在80端口等待web浏览器发送的访问请求。为了防御攻击,保证web服务器的安全,需要在web浏览器和web服务器之间设立防护装置,以解决网页防篡改的问题。
[0056]图1为在一个实施例中运行本网页篡改的识别方法的应用场景示意图,客户端、网页篡改识别装置以及web服务器两两之间通过网络连接。
[0057]如图2所示,在一个实施例中,提供一种网页篡改的识别方法,该方法包括:
[0058]步骤202,接收htt