亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種網(wǎng)頁篡改的檢測方法及裝置制造方法

文檔序號:6521460閱讀:366來源:國知局
一種網(wǎng)頁篡改的檢測方法及裝置制造方法【專利摘要】本發(fā)明公開了一種網(wǎng)頁篡改的檢測方法及裝置。該方法包括:根據(jù)篡改特征庫檢測網(wǎng)頁中的篡改內(nèi)容,提取所述篡改內(nèi)容中的黑詞-黑鏈對,所述黑詞-黑鏈對由黑詞及其對應(yīng)的黑鏈組成;若所述黑詞-黑鏈對的出現(xiàn)頻率高于預(yù)定閾值,則將其存入黑詞-黑鏈庫中;若根據(jù)篡改特征庫未檢測到網(wǎng)頁中的篡改內(nèi)容,則根據(jù)黑詞-黑鏈庫檢測網(wǎng)頁中的篡改內(nèi)容。本發(fā)明通過自主學(xué)習(xí)的方式不斷更新黑詞黑鏈特征數(shù)據(jù),能夠及時捕獲變種了的黑詞黑鏈特征,提高了檢測準(zhǔn)確率?!緦@f明】一種網(wǎng)頁篡改的檢測方法及裝置【
技術(shù)領(lǐng)域
】[0001]本發(fā)明涉及計算機(jī)網(wǎng)站安全領(lǐng)域,特別是涉及一種網(wǎng)頁篡改的檢測方法及裝置。【
背景技術(shù)
】[0002]隨著互聯(lián)網(wǎng)的快速發(fā)展,互聯(lián)網(wǎng)上網(wǎng)站數(shù)量也越來越多。許多網(wǎng)站都是實體機(jī)構(gòu)及組織在互聯(lián)網(wǎng)中的形象展示。而一些具有不良企圖的組織或個人通過掃描服務(wù)器的弱口令、漏洞,然后攻擊網(wǎng)站并對其進(jìn)行惡意篡改。[0003]雖然目前已有防火墻、入侵檢測等安全防范手段,但現(xiàn)代操作系統(tǒng)的復(fù)雜性和多樣性導(dǎo)致系統(tǒng)漏洞層出不窮,防不勝防。黑客入侵和篡改頁面的事件時有發(fā)生。針對此,網(wǎng)頁防篡改系統(tǒng)應(yīng)運而生。例如,給網(wǎng)頁掛黑鏈和黑詞,是網(wǎng)頁篡改主要表現(xiàn)形式。[0004]目前的網(wǎng)頁防篡改系統(tǒng)對黑鏈和黑詞的檢測方法過于簡單,而且黑鏈和黑詞嵌入網(wǎng)頁的方法層出不窮,日益變化。很多黑鏈和黑詞都能繞過檢測系統(tǒng)。目前,國內(nèi)外主要采用以下兩類黑鏈檢測技術(shù):[0005](I)靜態(tài)特征匹配方式:[0006]即通過特征串(即大量人工收集的關(guān)鍵字)匹配網(wǎng)頁中的HTML正文,以判斷其是否被黑鏈篡改。[0007](2)在網(wǎng)頁發(fā)布系統(tǒng)中增加網(wǎng)頁內(nèi)容審核和校驗機(jī)制:[0008]即在網(wǎng)頁發(fā)布系統(tǒng)中構(gòu)建一個網(wǎng)頁內(nèi)容實時檢測系統(tǒng),所有網(wǎng)頁發(fā)布的內(nèi)容都經(jīng)過該系統(tǒng),經(jīng)過確認(rèn)后才能發(fā)布,同時還建立了網(wǎng)頁內(nèi)容指紋庫,篡改檢測系統(tǒng)通過定期掃描網(wǎng)頁內(nèi)容和指紋庫內(nèi)容對比來發(fā)現(xiàn)網(wǎng)頁是否被黑鏈篡改。[0009]上述兩種檢測技術(shù)均僅僅依賴于篡改特征庫,而篡改特征庫一般是固定不變的。但是黑鏈黑詞嵌入網(wǎng)頁的方式日益變化,層出不窮。這樣很多黑鏈可以成功繞過固有的篡改特征庫,以致即使網(wǎng)頁被黑客篡改了,檢測程序依然無法檢測出來惡意篡改。[0010]因此需要一種新的網(wǎng)頁篡改檢測方法,提供一種黑詞黑鏈的獲取機(jī)制,用以在盡可能低成本、高效率獲取最新的黑詞黑鏈特征,并根據(jù)新獲取的黑詞黑鏈特征對網(wǎng)站進(jìn)行檢測,以提高檢測頁面被惡意篡改的準(zhǔn)確率?!?br/>發(fā)明內(nèi)容】[0011]為解決現(xiàn)有技術(shù)中存在的上述技術(shù)問題,本發(fā)明提供了一種網(wǎng)頁篡改的檢測方法及其裝置,能夠低成本、高效率獲取最新的黑詞黑鏈特征,并根據(jù)新獲取的黑詞黑鏈特征對網(wǎng)站進(jìn)行檢測,以提高檢測頁面被惡意篡改的準(zhǔn)確率。[0012]根據(jù)本發(fā)明一方面,其提供了一種網(wǎng)頁篡改的檢測方法,其包括:[0013]根據(jù)篡改特征庫檢測網(wǎng)頁中的篡改內(nèi)容,提取所述篡改內(nèi)容中的黑詞-黑鏈對,所述黑詞-黑鏈對由黑詞及其對應(yīng)的黑鏈組成;[0014]若所述黑詞-黑鏈對的出現(xiàn)頻率高于預(yù)定閾值,則將其存入黑詞-黑鏈庫中;[0015]若根據(jù)篡改特征庫未檢測到網(wǎng)頁中的篡改內(nèi)容,則根據(jù)黑詞-黑鏈庫檢測網(wǎng)頁中的篡改內(nèi)容。[0016]其中,所述黑詞-黑鏈庫中存儲有黑詞及其對應(yīng)的由至少一個黑鏈組成的黑鏈集。[0017]其中,在根據(jù)黑詞-黑鏈庫檢測網(wǎng)頁中的篡改內(nèi)容時,利用所述黑詞及其對應(yīng)的黑鏈進(jìn)行匹配。[0018]其中,若待檢測網(wǎng)頁中出現(xiàn)的黑詞對應(yīng)的鏈接存在于所述黑詞-黑鏈庫中該黑詞對應(yīng)的黑鏈集中,則確定該待檢測網(wǎng)頁被篡改。[0019]其中,若待檢測網(wǎng)頁中出現(xiàn)的黑詞對應(yīng)的鏈接存在于所述黑詞-黑鏈庫中該黑詞對應(yīng)的黑鏈集中的預(yù)定位之前,則確定該待檢測網(wǎng)頁被篡改;其中,所述黑鏈集為根據(jù)黑鏈的出現(xiàn)頻率排序后的有序集合。[0020]其中,所述篡改特征庫包含黑鏈的正則表達(dá)式。[0021]根據(jù)本發(fā)明另一方面,其還提供了一種網(wǎng)頁篡改的檢測裝置,其包括:[0022]第一檢測模塊,其根據(jù)篡改特征庫檢測網(wǎng)頁中的篡改內(nèi)容,提取所述篡改內(nèi)容中的黑詞-黑鏈對,所述黑詞-黑鏈對由黑詞及其對應(yīng)的黑鏈組成;[0023]庫生成模塊,若所述黑詞-黑鏈對的出現(xiàn)頻率高于預(yù)定閾值,其將所述黑詞-黑鏈對存入黑詞-黑鏈庫中;[0024]第二檢測模塊,若根據(jù)篡改特征庫未檢測到網(wǎng)頁中的篡改內(nèi)容,其根據(jù)黑詞-黑鏈庫檢測網(wǎng)頁中的篡改內(nèi)容。[0025]其中,所述黑詞-黑鏈庫中存儲有黑詞及其對應(yīng)的由至少一個黑鏈組成的黑鏈集。[0026]其中,第二檢測模塊利用所述黑詞及其對應(yīng)的黑鏈進(jìn)行匹配。[0027]其中,第二檢測模塊檢測到待檢測網(wǎng)頁中出現(xiàn)的黑詞對應(yīng)的鏈接存在于所述黑詞-黑鏈庫中該黑詞對應(yīng)的黑鏈集中,則確定該待檢測網(wǎng)頁被篡改。[0028]其中,第二檢測模塊檢測到待檢測網(wǎng)頁中出現(xiàn)的黑詞對應(yīng)的鏈接存在于所述黑詞-黑鏈庫中該黑詞對應(yīng)的黑鏈集中的預(yù)定位之前,則確定該待檢測網(wǎng)頁被篡改;其中,所述黑鏈集為根據(jù)黑鏈的出現(xiàn)頻率排序后的有序集合。[0029]其中,所述篡改特征庫包含黑鏈的正則表達(dá)式。[0030]本發(fā)明提出的上述方案根據(jù)已有的篡改特征庫,結(jié)合搜索引擎技術(shù),對網(wǎng)站上的網(wǎng)頁進(jìn)行檢測,并根據(jù)匹配頻率較高的黑詞黑鏈特征數(shù)據(jù)對網(wǎng)頁進(jìn)行檢測。本發(fā)明通過自主學(xué)習(xí)的方式不斷更新黑詞黑鏈特征數(shù)據(jù),能夠及時捕獲變種了的黑詞黑鏈特征,提高了檢測準(zhǔn)確率。[0031]為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂,以下特舉本發(fā)明的【具體實施方式】詳細(xì)說明?!緦@綀D】【附圖說明】[0032]圖1是本發(fā)明提出的一種網(wǎng)頁篡改的檢測方法的流程圖;[0033]圖2是本發(fā)明提出的一種網(wǎng)頁篡改的檢測裝置的結(jié)構(gòu)示意圖。【具體實施方式】[0034]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚明白,以下結(jié)合具體實施例,并參照附圖,對本發(fā)明作進(jìn)一步的詳細(xì)說明。[0035]萬維網(wǎng)成為大量信息的載體,為有效地提取并利用這些信息,搜索引擎(SearchEngine)作為一個輔助人們檢索信息的工具,成為用戶訪問萬維網(wǎng)的入口和指南。[0036]例如,某新開的網(wǎng)站在搜索引擎中的排名很靠后,之后某個權(quán)利高(排名好,質(zhì)量高)的網(wǎng)站和這個新開的網(wǎng)站做了鏈接,那么搜索引擎就會認(rèn)為這個新開的網(wǎng)站既然可以和這樣權(quán)重高的網(wǎng)站做上鏈接,那么它的權(quán)重也不會低,所以這個網(wǎng)站在搜索引擎中的排名就會提升。如果有多個權(quán)重高的網(wǎng)站也都和這個網(wǎng)站做了鏈接,那么它的排名將會上升得非??臁0037]反之,一個新網(wǎng)站的權(quán)重不會很高,所以搜索引擎不會給它很高的排名,其在搜索結(jié)果中的排名就會比較靠后。對于搜索引擎的這種特性,目前有些工具提供了黑鏈技術(shù),即通過入侵一些權(quán)重高的網(wǎng)站,入侵成功后將網(wǎng)站的鏈接插入到被入侵網(wǎng)站的頁面中,從而實現(xiàn)鏈接的效果,并且通過隱藏網(wǎng)站鏈接,使別人在被入侵網(wǎng)站的頁面上是看不到任何鏈接。[0038]然而,目前采用黑鏈技術(shù)來實現(xiàn)搜索排名提升的,相當(dāng)一部分是游戲私服網(wǎng)站、盜號木馬網(wǎng)站、釣魚網(wǎng)站和廣告網(wǎng)站等不安全網(wǎng)站。對于這些不安全網(wǎng)站,搜索引擎不會給它們很高的排名,但通過“黑鏈”,它們的排名就會很靠前,在這種情況下,當(dāng)使用搜索引擎的時候,點擊打開這些網(wǎng)站的概率就會很高,如果用戶沒有做好安全防護(hù)工作,那么就會容易就會感染網(wǎng)站上的病毒。[0039]圖1示出了本發(fā)明提出的一種網(wǎng)頁篡改的檢測方法流程圖。如圖1所示,該方法包括:[0040]步驟101:根據(jù)篡改特征庫檢測網(wǎng)頁中的篡改內(nèi)容,提取所述篡改內(nèi)容中的黑詞-黑鏈對,所述黑詞-黑鏈對由黑詞及其對應(yīng)的黑鏈組成;[0041]步驟102:若所述黑詞-黑鏈對的出現(xiàn)頻率高于預(yù)定閾值,則將其存入黑詞-黑鏈庫中;[0042]步驟103:若根據(jù)篡改特征庫未檢測到網(wǎng)頁中的篡改內(nèi)容,則根據(jù)黑詞-黑鏈庫檢測網(wǎng)頁中的篡改內(nèi)容。[0043]下面根據(jù)具體的實施例對本發(fā)明提出上述網(wǎng)頁篡改的檢測方法的各個步驟進(jìn)行詳細(xì)說明。[0044]步驟101:根據(jù)篡改特征庫檢測網(wǎng)頁中的篡改內(nèi)容,提取所述篡改內(nèi)容中的黑詞-黑鏈對,所述黑詞-黑鏈對由黑詞及其對應(yīng)的黑鏈組成。[0045]所謂網(wǎng)頁篡改就是一些具有不良企圖的組織或個人通過掃描服務(wù)器的弱口令、漏洞,獲得網(wǎng)站的賬戶權(quán)限后,對網(wǎng)站的網(wǎng)頁源碼進(jìn)行惡意修改。最典型的一種修改方式就是在網(wǎng)頁源碼中插入黑詞-黑鏈。[0046]插入黑詞-黑鏈的主要目標(biāo)就是提升自己在搜索引擎中的排名?,F(xiàn)有的黑詞-黑鏈技術(shù)中,隱藏鏈接有一些固定技巧,例如搜索引擎對javascript的識別不是很好,通過javascript來輸出隱藏的div。這樣的話,人工直接通過頁面無法看到這些鏈接,而搜索引擎確認(rèn)為這些鏈接是有效的。代碼為:首先通過javascript寫前面的div,設(shè)置display為noneο然后輸出一個table,table中包含了要掛的黑詞-黑鏈。最后再通過javascript輸出后半部分div。[0047]例如,黑客通過在網(wǎng)頁的源碼插入下面語句,在目標(biāo)網(wǎng)頁中插入黑詞-黑鏈:[0048]<ahref=“http://ffffff.45u.com”style=”margin-left:-83791;”〉傳奇私服發(fā)布〈/a>[0049]其中,上述插入語句中,黑鏈?zhǔn)恰碼href-^http://ffffff.45u.com,,style=,,margin-left:-83791;”>,黑詞為“傳奇私服發(fā)布”,其通過設(shè)置style='margin-left:-83791',使得上述黑詞-黑鏈在網(wǎng)頁中不可見。[0050]為檢測網(wǎng)頁中含有的黑詞-黑鏈,目前很多安全工具、搜索引擎甚至瀏覽器本身都配備了一些檢測網(wǎng)頁是否被篡改的工具或插件等。而這些工具和/或插件的檢測方式也各有不同,最常用的方式就是通過一定的方式遍歷網(wǎng)頁源碼中是否存在一些異常的鏈接和/或關(guān)鍵詞等。[0051]本發(fā)明實施例中,通過篡改特征庫檢測網(wǎng)頁中的篡改內(nèi)容。所述篡改特征庫是由多個篡改關(guān)鍵詞和/或黑鏈的正則表達(dá)式所組成。對于待檢測網(wǎng)頁,首先獲取其源碼,然后利用現(xiàn)有的篡改特征庫中的正則表達(dá)式匹配所述源碼,以獲取與正則表達(dá)式相一致的內(nèi)容。如果通過篡改特征庫中的正則表達(dá)式命中待檢測網(wǎng)頁中的內(nèi)容,則說明該待檢測網(wǎng)頁中存在桌改內(nèi)容。[0052]正則表達(dá)式是用于進(jìn)行文本匹配的工具,通常由一些普通字符和一些元字符(metacharacters)組成。普通字符包括大小寫的字母和數(shù)字,而元字符則具有特殊的含義。正則表達(dá)式的匹配可以理解為,在給定的字符串中,尋找與給定的正則表達(dá)式相匹配的部分。有可能字符串里有不止一個部分滿足給定的正則表達(dá)式,這時每一個這樣的部分被稱為一個匹配。匹配在本文里可以包括三種含義:一種是形容詞性的,比如說一個字符串匹配一個表達(dá)式;一種是動詞性的,比如說在字符串里匹配正則表達(dá)式;還有一種是名詞性的,就是剛剛說到的“字符串中滿足給定的正則表達(dá)式的一部分”。[0053]以下通過舉例對正則表達(dá)式的生成規(guī)則進(jìn)行說明。[0054]假設(shè)要查找hi,則可以使用正則表達(dá)式hi。這個正則表達(dá)式可以精確匹配這樣的字符串:由兩個字符組成,前一個字符是h,后一個是i。在實際中,正則表達(dá)式是可以忽略大小寫的。如果很多單詞里都包含hi這兩個連續(xù)的字符,比如him,history,high等等。用hi來查找的話,這此單詞里面的hi也會被找出來。如果要精確地查找hi這個單詞的話,則應(yīng)該使用\bhi\b。其中,\b是正則表達(dá)式的一個元字符,它代表著單詞的開頭或結(jié)尾,也就是單詞的分界處。雖然通常英文的單詞是由空格或標(biāo)點符號或換行來分隔的,但是\b并不匹配這些單詞分隔符中的任何一個,它只匹配一個位置。假如要找的是hi后面不遠(yuǎn)處跟著一個Lucy,則應(yīng)該用\bhi\b.*\bLucy\b。其中,.是另一個元字符,匹配除了換行符以外的任意字符。*同樣是元字符,它代表的是數(shù)量——即指定*前邊的內(nèi)容可以連續(xù)重復(fù)出現(xiàn)任意次以使整個表達(dá)式得到匹配。現(xiàn)在\bhi\b.*\bLucy\b的意思就很明顯了:先是一個單詞hi,然后是任意個任意字符(但不能是換行),最后是Lucy這個單詞。[0055]例如,篡改特征庫中篡改特征規(guī)則對應(yīng)的正則表達(dá)式如下所示:[0056]〈script.*?>document\.write.*?\(.*?\+.*?\+.*?\+.*?\+.*?\【權(quán)利要求】1.一種網(wǎng)頁篡改的檢測方法,其包括:根據(jù)篡改特征庫檢測網(wǎng)頁中的篡改內(nèi)容,提取所述篡改內(nèi)容中的黑詞-黑鏈對,所述黑詞-黑鏈對由黑詞及其對應(yīng)的黑鏈組成;若所述黑詞-黑鏈對的出現(xiàn)頻率高于預(yù)定閾值,則將其存入黑詞-黑鏈庫中;若根據(jù)篡改特征庫未檢測到網(wǎng)頁中的篡改內(nèi)容,則根據(jù)黑詞-黑鏈庫檢測網(wǎng)頁中的篡改內(nèi)容。2.如權(quán)利要求1所述的網(wǎng)頁篡改的檢測方法,其中,所述黑詞-黑鏈庫中存儲有黑詞及其對應(yīng)的由至少一個黑鏈組成的黑鏈集。3.如權(quán)利要求2所述的網(wǎng)頁篡改的檢測方法,其中,在根據(jù)黑詞-黑鏈庫檢測網(wǎng)頁中的篡改內(nèi)容時,利用所述黑詞及其對應(yīng)的黑鏈進(jìn)行匹配。4.如權(quán)利要求3所述的網(wǎng)頁篡改的檢測方法,其中,若待檢測網(wǎng)頁中出現(xiàn)的黑詞對應(yīng)的鏈接存在于所述黑詞-黑鏈庫中該黑詞對應(yīng)的黑鏈集中,則確定該待檢測網(wǎng)頁被篡改。5.如權(quán)利要求3所述的網(wǎng)頁篡改的檢測方法,其中,若待檢測網(wǎng)頁中出現(xiàn)的黑詞對應(yīng)的鏈接存在于所述黑詞-黑鏈庫中該黑詞對應(yīng)的黑鏈集中的預(yù)定位之前,則確定該待檢測網(wǎng)頁被篡改;其中,所述黑鏈集為根據(jù)黑鏈的出現(xiàn)頻率排序后的有序集合。6.如權(quán)利要求1一5任一項所述的網(wǎng)頁篡改的檢測方法,其中,所述篡改特征庫包含黑鏈的正則表達(dá)式。7.—種網(wǎng)頁篡改的檢測裝置,其包括:第一檢測模塊,其根據(jù)篡改特征庫檢測網(wǎng)頁中的篡改內(nèi)容,提取所述篡改內(nèi)容中的黑詞-黑鏈對,所述黑詞-黑鏈對由黑詞及其對應(yīng)的黑鏈組成;庫生成模塊,若所述黑詞-黑鏈對的出現(xiàn)頻率高于預(yù)定閾值,其將所述黑詞-黑鏈對存入黑詞-黑鏈庫中;第二檢測模塊,若根據(jù)篡改特征庫未檢測到網(wǎng)頁中的篡改內(nèi)容,其根據(jù)黑詞-黑鏈庫檢測網(wǎng)頁中的篡改內(nèi)容。8.如權(quán)利要求7所述的網(wǎng)頁篡改的檢測裝置,其中,所述黑詞-黑鏈庫中存儲有黑詞及其對應(yīng)的由至少一個黑鏈組成的黑鏈集。9.如權(quán)利要求8所述的網(wǎng)頁篡改的檢測裝置,其中,第二檢測模塊利用所述黑詞及其對應(yīng)的黑鏈進(jìn)行匹配。10.如權(quán)利要求9所述的網(wǎng)頁篡改的檢測裝置,其中,第二檢測模塊檢測到待檢測網(wǎng)頁中出現(xiàn)的黑詞對應(yīng)的鏈接存在于所述黑詞-黑鏈庫中該黑詞對應(yīng)的黑鏈集中,則確定該待檢測網(wǎng)頁被篡改?!疚臋n編號】G06F21/56GK103593615SQ201310629346【公開日】2014年2月19日申請日期:2013年11月29日優(yōu)先權(quán)日:2013年11月29日【發(fā)明者】何振科,趙武申請人:北京奇虎科技有限公司,奇智軟件(北京)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1