一種網(wǎng)頁篡改的檢測方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種網(wǎng)頁篡改的檢測方法及裝置。該方法包括:在網(wǎng)頁中嵌入篡改檢測腳本;瀏覽器執(zhí)行所述篡改檢測腳本,檢測所述網(wǎng)頁是否被篡改;若所述網(wǎng)頁已被篡改,則將所述網(wǎng)頁上報(bào)檢測服務(wù)器。本發(fā)明提出的上述方案克服了現(xiàn)有技術(shù)中集中檢測帶來的效率低下問題,在不影響用戶訪問網(wǎng)頁的同時(shí)極大地提高了網(wǎng)站的安全性。
【專利說明】一種網(wǎng)頁篡改的檢測方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)站安全領(lǐng)域,特別是涉及一種網(wǎng)頁篡改的檢測方法及裝置。【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的快速發(fā)展,互聯(lián)網(wǎng)上網(wǎng)站數(shù)量也越來越多。許多網(wǎng)站都是實(shí)體機(jī)構(gòu)及組織在互聯(lián)網(wǎng)中的形象展示。而一些具有不良企圖的組織或個(gè)人通過掃描服務(wù)器的弱口令、漏洞,然后攻擊網(wǎng)站并對其進(jìn)行惡意篡改。
[0003]雖然目前已有防火墻、入侵檢測等安全防范手段,但現(xiàn)代操作系統(tǒng)的復(fù)雜性和多樣性導(dǎo)致系統(tǒng)漏洞層出不窮,防不勝防。黑客入侵和篡改頁面的事件時(shí)有發(fā)生。針對此,網(wǎng)頁防篡改系統(tǒng)應(yīng)運(yùn)而生。例如,給網(wǎng)頁掛惡意鏈接,如黑鏈、掛馬鏈接等,這些是網(wǎng)頁篡改的主要表現(xiàn)形式。
[0004]目前,國內(nèi)外主要采用以下兩類方式檢測網(wǎng)頁篡改內(nèi)容:
[0005](I)靜態(tài)特征匹配方式:
[0006]即通過特征串(即大量人工收集的關(guān)鍵字)匹配網(wǎng)頁中的HTML正文,以判斷其是否被加入惡意鏈接。
[0007](2)在網(wǎng)頁發(fā)布系統(tǒng)中增加網(wǎng)頁內(nèi)容審核和校驗(yàn)機(jī)制:
[0008]即在網(wǎng)頁發(fā)布系統(tǒng)中構(gòu)建一個(gè)網(wǎng)頁內(nèi)容實(shí)時(shí)檢測系統(tǒng),所有網(wǎng)頁發(fā)布的內(nèi)容都經(jīng)過該系統(tǒng),經(jīng)過確認(rèn)后才能發(fā)布,同時(shí)還建立了網(wǎng)頁內(nèi)容指紋庫,篡改檢測系統(tǒng)通過定期掃描網(wǎng)頁內(nèi)容和指紋庫內(nèi)容對比來發(fā)現(xiàn)網(wǎng)頁是否被黑鏈篡改。
[0009]現(xiàn)有技術(shù)中,通常由專門的網(wǎng)頁防篡改系統(tǒng)或搜索引擎對網(wǎng)頁篡改進(jìn)行檢測。其將先將從源站下載用戶請求的網(wǎng)頁,并利用篡改特征庫中的篡改特征規(guī)則匹配所述網(wǎng)頁內(nèi)容,如果發(fā)現(xiàn)與所述篡改特征規(guī)則相匹配的內(nèi)容,則認(rèn)為該網(wǎng)頁被篡改,否則將其發(fā)送給用戶。所述篡改特征規(guī)則通常由正則表達(dá)式表示,而使用正則表達(dá)式匹配網(wǎng)頁內(nèi)容比較耗時(shí),效率低下,實(shí)時(shí)性比較差。目前網(wǎng)頁篡改方式層出不窮,日益變化,篡改特征規(guī)則庫中的篡改特征規(guī)則也將隨之增加,這就意味著每一次檢測都將耗費(fèi)大量資源,且用戶體驗(yàn)不佳,導(dǎo)致用戶對網(wǎng)站的期望值下降,對于一些商業(yè)網(wǎng)站來說,這將是致命的。
[0010]因此需要一種新的檢測網(wǎng)頁篡改的方法,在不影響用戶訪問網(wǎng)頁速度的前提下,提供網(wǎng)站的安全性,為用戶提供更好地服務(wù)。
【發(fā)明內(nèi)容】
[0011]為解決現(xiàn)有技術(shù)中存在的上述問題,本發(fā)明提出了一種網(wǎng)頁篡改的檢測方法,在用戶毫無覺察的情況下檢測網(wǎng)頁中的篡改內(nèi)容,為用戶提供最佳的安全服務(wù)。
[0012]根據(jù)本發(fā)明一方面,其提供了一種網(wǎng)頁篡改的檢測方法,包括:
[0013]在網(wǎng)頁中嵌入篡改檢測腳本;
[0014]瀏覽器執(zhí)行所述篡改檢測腳本,檢測所述網(wǎng)頁是否被篡改;
[0015]若所述網(wǎng)頁已被篡改,則將所述網(wǎng)頁上報(bào)檢測服務(wù)器。[0016]可選地,所述篡改檢測腳本通過判斷所述網(wǎng)頁中是否被掛馬來檢測所述網(wǎng)頁是否
被篡改。
[0017]可選地,所述篡改檢測腳本通過判斷所述網(wǎng)頁中是否存在黑鏈來檢測所述網(wǎng)頁是否被篡改。
[0018]可選地,還包括:
[0019]判斷所上報(bào)的網(wǎng)頁是否存在于白名單或黑名單中,其中,所述白名單和黑名單存儲于所述檢測服務(wù)器中;
[0020]若所述網(wǎng)頁存在于白名單中,則不作處理;
[0021]若所述網(wǎng)頁存在于黑名單中,則存入篡改數(shù)據(jù)庫,并發(fā)出警報(bào)。
[0022]可選地,還包括:
[0023]在所述檢測服務(wù)器中對所上報(bào)的網(wǎng)頁進(jìn)行進(jìn)一步檢測。
[0024]可選地,在所述檢測服務(wù)器中對所述網(wǎng)頁進(jìn)行進(jìn)一步檢測包括:
[0025]根據(jù)篡改特征庫檢測網(wǎng)頁中的篡改內(nèi)容,提取所述篡改內(nèi)容中的黑詞-黑鏈對,所述黑詞-黑鏈對由黑詞及其對應(yīng)的黑鏈組成;
[0026]若所述黑詞-黑鏈對的出現(xiàn)頻率高于預(yù)定閾值,則將其存入黑詞-黑鏈庫中;
[0027]根據(jù)黑詞-黑鏈庫檢測網(wǎng)頁中的篡改內(nèi)容;
[0028]若待檢測網(wǎng)頁中出現(xiàn)的黑詞對應(yīng)的鏈接存在于所述黑詞-黑鏈庫中該黑詞對應(yīng)的黑鏈集中,則確定該待檢測網(wǎng)頁被篡改。
[0029]可選地,所述發(fā)出警報(bào)包括:
[0030]將篡改信息發(fā)送至通知服務(wù)器;
[0031]所述通知服務(wù)器通過郵件/短信方式向網(wǎng)站管理員發(fā)出所述警報(bào)信息。
[0032]可選地,所述篡改檢測腳本為Javascript腳本。
[0033]根據(jù)本發(fā)明的另一方面,其還提供了一種網(wǎng)頁篡改的檢測裝置,包括:
[0034]嵌入模塊,用于在網(wǎng)頁中嵌入篡改檢測腳本;
[0035]瀏覽器模塊,用于執(zhí)行所述篡改檢測腳本,檢測所述網(wǎng)頁是否被篡改;
[0036]上報(bào)模塊,若所述網(wǎng)頁已被篡改,其將所述網(wǎng)頁上報(bào)檢測服務(wù)器。
[0037]可選地,所述篡改檢測腳本通過判斷所述網(wǎng)頁中是否被掛馬來檢測所述網(wǎng)頁是否被篡改。
[0038]可選地,所述篡改檢測腳本通過判斷所述網(wǎng)頁中是否存在黑鏈來檢測所述網(wǎng)頁是否被篡改。
[0039]可選地,還包括:
[0040]判斷模塊,用于判斷所上報(bào)的網(wǎng)頁是否存在于白名單或黑名單中,其中,所述白名單和黑名單存儲于所述檢測服務(wù)器中;若所述網(wǎng)頁存在于白名單中,則不作處理;若所述網(wǎng)頁存在于黑名單中,則存入篡改數(shù)據(jù)庫,并發(fā)出警報(bào)。
[0041]可選地,還包括:
[0042]檢測模塊,用于對所上報(bào)的網(wǎng)頁進(jìn)行進(jìn)一步檢測。
[0043]可選地,所述檢測模塊包括:
[0044]提取模塊,其根據(jù)篡改特征庫檢測網(wǎng)頁中的篡改內(nèi)容,提取所述篡改內(nèi)容中的黑詞-黑鏈對,所述黑詞-黑鏈對由黑詞及其對應(yīng)的黑鏈組成;[0045]庫生成模塊,其在所述黑詞-黑鏈對的出現(xiàn)頻率高于預(yù)定閾值時(shí),將黑詞-黑鏈存入黑詞-黑鏈庫中;
[0046]檢測子模塊:其根據(jù)黑詞-黑鏈庫檢測網(wǎng)頁中的篡改內(nèi)容,若待檢測網(wǎng)頁中出現(xiàn)的黑詞對應(yīng)的鏈接存在于所述黑詞-黑鏈庫中該黑詞對應(yīng)的黑鏈集中,則確定該待檢測網(wǎng)頁被篡改。
[0047]可選地,所述判斷模塊進(jìn)一步包括:
[0048]警報(bào)模塊,其將篡改信息發(fā)送至通知模塊;
[0049]通知模塊,其通過郵件/短信方式向網(wǎng)站管理員發(fā)出所述警報(bào)信息。
[0050]可選地,所述篡改檢測腳本為Javascript腳本。
[0051]可見,本發(fā)明提出的上述網(wǎng)頁篡改的檢測方法及裝置,通過在網(wǎng)頁源碼中嵌入篡改檢測腳本,在用戶打開瀏覽器的同時(shí)由瀏覽器對網(wǎng)頁進(jìn)行檢測。且本發(fā)明提出的上述方案中的篡改檢測腳本采用javascript腳本,其在啟動后只在后臺執(zhí)行,對用戶不會產(chǎn)生任何影響。這種檢測方法克服了現(xiàn)有技術(shù)中集中檢測帶來的效率低下問題,在不影響用戶訪問網(wǎng)頁的同時(shí)極大地提高了網(wǎng)站安全性。
【專利附圖】
【附圖說明】
[0052]圖1是本發(fā)明提出的一種網(wǎng)頁篡改的檢測方法流程圖;
[0053]圖2是本發(fā)明實(shí)施例中檢測服務(wù)器根據(jù)上報(bào)網(wǎng)頁的篡改內(nèi)容進(jìn)行處理的方法流程圖;
[0054]圖3是本發(fā)明實(shí)施例中檢測服務(wù)器對上報(bào)網(wǎng)頁的進(jìn)一步檢測方法流程圖;
[0055]圖4是本發(fā)明提出的一種網(wǎng)頁篡改的檢測裝置結(jié)構(gòu)圖;
[0056]圖5是本發(fā)明中檢測服務(wù)器中對上報(bào)網(wǎng)頁做進(jìn)一步檢測的裝置結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0057]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,以下結(jié)合具體實(shí)施例,并參照附圖,對本發(fā)明作進(jìn)一步的詳細(xì)說明。
[0058]圖1示出了本發(fā)明提出的一種網(wǎng)頁篡改的檢測方法流程圖。如圖1所示,該方法包括:
[0059]步驟101:在網(wǎng)頁中嵌入篡改檢測腳本;
[0060]步驟102:瀏覽器執(zhí)行所述篡改檢測腳本,檢測所述網(wǎng)頁是否被篡改;
[0061]步驟103:若所述網(wǎng)頁已被篡改,則將所述網(wǎng)頁上報(bào)檢測服務(wù)器。
[0062]下面根據(jù)具體的實(shí)施例對本發(fā)明提出上述網(wǎng)頁篡改的檢測方法的各個(gè)步驟進(jìn)行詳細(xì)說明。
[0063]步驟101中,在網(wǎng)頁中嵌入篡改檢測腳本。
[0064]所謂網(wǎng)頁篡改就是一些具有不良企圖的組織或個(gè)人通過掃描服務(wù)器的弱口令、漏洞,獲得網(wǎng)站的賬戶權(quán)限后,對網(wǎng)站的網(wǎng)頁源碼進(jìn)行惡意修改。最典型的一種修改方式就是在網(wǎng)頁源碼中插入惡意鏈接,如掛馬鏈接和黑鏈等。
[0065]網(wǎng)頁是構(gòu)成網(wǎng)站的基本元素,通常網(wǎng)頁都是由超文本標(biāo)記語言(HTML語言)編寫而成的文件,其需要通過瀏覽器閱讀。而通過瀏覽器打開某個(gè)網(wǎng)頁時(shí),瀏覽器執(zhí)行相應(yīng)的HTML文件,根據(jù)HTML文件中的格式顯示網(wǎng)頁的文字、圖片等等。黑客通過各種方式獲得網(wǎng)站的管理員權(quán)限后,對該網(wǎng)站上的網(wǎng)頁源碼即其對應(yīng)的HTML文件進(jìn)行修改,在其中一些不良元素,如黑鏈和掛馬鏈接等。而黑客在網(wǎng)頁中所植入的黑鏈和掛馬鏈接用戶往往無法察覺,其可能是通過改寫網(wǎng)頁對應(yīng)的HTML文件,將黑鏈或掛馬鏈接隱藏起來,如黑鏈或掛馬鏈接的顯示格式設(shè)置為不可見、或?yàn)g覽器顯示區(qū)域之外,或者隱藏在一張圖片底層等等。在用戶通過瀏覽器打開該被篡改的網(wǎng)頁時(shí),就可能直接轉(zhuǎn)向帶有木馬病毒的惡意網(wǎng)站,或者直接執(zhí)行木馬病毒等等。
[0066]目前對網(wǎng)頁篡改的檢測機(jī)制是由專門的檢測工具或者搜索引擎集中檢測,即對用戶請求的網(wǎng)頁先預(yù)下載之后進(jìn)行檢測,并在檢測通過之后發(fā)送給用戶。這在網(wǎng)站較多和/或訪問網(wǎng)站用戶較多時(shí),會導(dǎo)致用戶的訪問速度下降。
[0067]鑒于此,本發(fā)明提出將檢測網(wǎng)頁篡改內(nèi)容的篡改檢測腳本直接嵌入到網(wǎng)頁源碼即網(wǎng)頁的HTML文件中,具體地,可以直接將腳本代碼插入在HTML文件的頭標(biāo)簽head或者內(nèi)容標(biāo)簽body中。這樣,可以將網(wǎng)頁篡改的檢測工作分散到各個(gè)用戶端,能夠提高檢測效率。
[0068]可選地,本發(fā)明中篡改檢測腳本采用Javascript腳本來實(shí)現(xiàn)。Javascript是一種基于對象和事件驅(qū)動并具有相對安全性的客戶端腳本語言。同時(shí)也是一種廣泛用于客戶端Web開發(fā)的腳本語言,常用來給Html網(wǎng)頁添加動態(tài)功能。
[0069]Javascript腳本程序是純文本語句,不需要編譯,因此其可以由瀏覽器直接解釋執(zhí)行。在將檢測網(wǎng)頁是否被篡改的Javascript語句嵌入到網(wǎng)頁對應(yīng)的HTML文件中,用戶在打開該網(wǎng)頁時(shí)就可觸發(fā)該Javascript腳本執(zhí)行相應(yīng)操作,以檢測網(wǎng)頁中的內(nèi)容是否被篡改。
[0070]采用Javascript腳本嵌入的方式除了能提高檢測速度外,另一個(gè)優(yōu)點(diǎn)是Javascript腳本程序只在后臺執(zhí)行,用戶對其不可見,因此不會妨礙用戶的其它操作。
[0071]下面以嵌入Javascript腳本舉例說明如何在HTML文件的頭標(biāo)簽head中嵌入篡改檢測腳本:
[0072]針對HTML文件:
[0073]〈html xmlns=http: / / www.XXXX.cn / xhtml>
[0074]〈head〉
[0075]〈title〉歡迎訪問 XXXX 網(wǎng)站!〈 / title〉
[0076]< / head〉
[0077]嵌入Javascript腳本之后如下所示:
[0078]
【權(quán)利要求】
1.一種網(wǎng)頁篡改的檢測方法,包括: 在網(wǎng)頁中嵌入篡改檢測腳本; 瀏覽器執(zhí)行所述篡改檢測腳本,檢測所述網(wǎng)頁是否被篡改; 若所述網(wǎng)頁已被篡改,則將所述網(wǎng)頁上報(bào)檢測服務(wù)器。
2.如權(quán)利要求1所述的網(wǎng)頁篡改的檢測方法,其中,所述篡改檢測腳本通過判斷所述網(wǎng)頁中是否被掛馬來檢測所述網(wǎng)頁是否被篡改。
3.如權(quán)利要求1所述的網(wǎng)頁篡改的檢測方法,其中,所述篡改檢測腳本通過判斷所述網(wǎng)頁中是否存在黑鏈來檢測所述網(wǎng)頁是否被篡改。
4.如權(quán)利要求1所述的網(wǎng)頁篡改的檢測方法,還包括: 判斷所上報(bào)的網(wǎng)頁中的篡改內(nèi)容是否存在于白名單或黑名單中,其中,所述白名單和黑名單存儲于所述檢測服務(wù)器中; 若所述網(wǎng)頁的篡改內(nèi)容存在于白名單中,則不作處理; 若所述網(wǎng)頁的篡改內(nèi)容存在于黑名單中,則存入篡改數(shù)據(jù)庫,并發(fā)出警報(bào)。
5.如權(quán)利要求1-4中任一項(xiàng)所述的網(wǎng)頁篡改的檢測方法,還包括: 在所述檢測服務(wù)器中對所上報(bào)的網(wǎng)頁進(jìn)行進(jìn)一步檢測。
6.如權(quán)利要求5所述的網(wǎng)頁篡改的檢測方法,其中,在所述檢測服務(wù)器中對所述網(wǎng)頁進(jìn)行進(jìn)一步檢測包括:` 根據(jù)篡改特征庫檢測網(wǎng)頁中的篡改內(nèi)容,提取所述篡改內(nèi)容中的黑詞-黑鏈對,所述黑詞-黑鏈對由黑詞及其對應(yīng)的黑鏈組成; 若所述黑詞-黑鏈對的出現(xiàn)頻率高于預(yù)定閾值,則將其存入黑詞-黑鏈庫中; 根據(jù)黑詞-黑鏈庫檢測網(wǎng)頁中的篡改內(nèi)容; 若待檢測網(wǎng)頁中出現(xiàn)的黑詞對應(yīng)的鏈接存在于所述黑詞-黑鏈庫中該黑詞對應(yīng)的黑鏈集中,則確定該待檢測網(wǎng)頁被篡改。
7.如權(quán)利要求4所述的網(wǎng)頁篡改的檢測方法,其中,所述發(fā)出警報(bào)包括: 將篡改信息發(fā)送至通知服務(wù)器; 所述通知服務(wù)器通過郵件/短信方式向網(wǎng)站管理員發(fā)出所述警報(bào)信息。
8.如權(quán)利要求1-4中任一項(xiàng)所述的網(wǎng)頁篡改的檢測方法,其中,所述篡改檢測腳本為Javascript 腳本。
9.一種網(wǎng)頁篡改的檢測裝置,包括: 嵌入模塊,用于在網(wǎng)頁中嵌入篡改檢測腳本; 瀏覽器模塊,用于執(zhí)行所述篡改檢測腳本,檢測所述網(wǎng)頁是否被篡改; 上報(bào)模塊,若所述網(wǎng)頁已被篡改,其將所述網(wǎng)頁上報(bào)檢測服務(wù)器。
10.如權(quán)利要求9所述的網(wǎng)頁篡改的檢測裝置,其中,所述篡改檢測腳本通過判斷所述網(wǎng)頁中是否被掛馬來檢測所述網(wǎng)頁是否被篡改。
【文檔編號】G06F21/56GK103605925SQ201310629297
【公開日】2014年2月26日 申請日期:2013年11月29日 優(yōu)先權(quán)日:2013年11月29日
【發(fā)明者】何振科, 趙武 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司