CN102779245A - 基于图像处理技术的网页异常检测方法 - Google Patents
基于图像处理技术的网页异常检测方法 Download PDFInfo
- Publication number
- CN102779245A CN102779245A CN2011101220999A CN201110122099A CN102779245A CN 102779245 A CN102779245 A CN 102779245A CN 2011101220999 A CN2011101220999 A CN 2011101220999A CN 201110122099 A CN201110122099 A CN 201110122099A CN 102779245 A CN102779245 A CN 102779245A
- Authority
- CN
- China
- Prior art keywords
- page
- image
- webpage
- dynamic
- image processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Processing Or Creating Images (AREA)
Abstract
本发明是一种基于图像处理技术的网页异常自动检测方法,以发现网页是否遭受篡改、病毒等攻击导致的页面异常情况。本方法通过定时或事件触发方式采集页面图像,运用数字图像处理技术对多帧图像序列进行差分分析,识别出页面中在正常情况下的静态区域与动态区域并将其分割为一个静态区域图像与多个动态区域图像。在检测时静态区域图像如果没有变化正常;对动态区域图像,任一动态图像的变动如果未超出一定的阈值范围识别是否异常。该方法无需对生成页面内容的网站后台数据库进行特别保护,尤其适用于客户端与服务器端交互信息量不大的公司、企事业单位等门户网站页面异常检测与保护。
Description
技术领域
本发明涉及网络安全技术与数字图像处理技术,尤其是涉及一种利用数字图像处理技术防止网页遭受篡改的技术。
背景技术
随着网络与信息技术的发展,网络上不安全因素也与日俱增,加之大部分网站的安全性不是很高,使得政府、高校、企事业网站遭受篡改的情况时有发生,如何检测与防止web页面被非法篡改问题显得特别重要。
网页异常检测常用的方法是通过计算与比较服务器上网页文件的数字指纹(一般是MD5或SHA-1散列值)是否一致来确认页面是否被篡改。有的通过在页面代码中加入脆弱水印,通过辨别水印的完整性的方法来检测是否受到篡改。这两种方法不足之处是不能很好地检测到页面中由代码调用数据库而生成的动态内容。因此对动态页面的保护除了对服务器端页面文件进行保护外,还需要保护相应的数据库。只有页面文件与数据库都安全的情况下在客服端展现出的页面才是真实可信的。然而对数据库的保护难度非常大,目前还没有行之有效的保护方法。
也可以考虑直接从客户端页面的特征对其进行检测。比如下载网页的客户端代码然后进行字符串或MD5数字指纹比较分析,但这种下载网页代码的方式有个致命的弱点:不适合于有客户端动态生成的内容,比如有网站统计访问量、评级等动态页面元素,因为这些动态元素使页面客户端html代码也会相应的改变。其次,如果入侵者替换了形如页面标签<img src=”xxx.jpg”>中的xxx.jpg图片文件或更改了该文件的内容,页面源码是没有任何改变的,这中攻击导致无论是客户端还是服务器端检测都存在相当的困难。总之,对动态网站页面的保护仍然是一个非常棘手的问题。
发明内容
本发明目的是提供一种对静态网页与动态网页都能进行有效保护的方法,并且不用对数据库进行特别保护。
本发明是基于数字图像处理技术的防止网页被篡改的方法。该方法利用了瞬间的页面图像。瞬间的页面图像也称页面快照或页面图像帧,它根据html语法将页面代码在内存中生成图像。页面图像帧对应了在某时刻页面的可视化外观,它能真实的反映页面的运行状况包括页面内容、页面色调、布局等格式。攻击者往往利用各种攻击手段对网页的文字内容、外观样式等造成影响来达到攻击目的。对网页图像的分析能直接有效的发现网页的异常情况。本发明尤其适用于客户端交互量不大的门户类网站的页面。
在正常情况下,循环采集需要保护页面的图像组成页面图像帧序列,并应用图像差分技术分割出动态区域与静态区域图像。当某一页面被访问时,通过web服务器事件触发机制或轮询技术获取该页面地址并生成该页面图像帧序列处理为动态与静态区域图像。将该页面的动、静态区域图像与正常情况下保存的动静态区域图像进行比较分析:对于静态区域图像,如果该区域发生任何变化则说明该网页出现异常;对于动态区域,若该区域图像的变动在给定的阈值范围内变动则正常,否则异常。当正常操作更改网页时应及时从新采集并更新已保存的动、静态图像。本方法能识别出动态、静态网页内容与格式的不一致,可以避开对数据库的保护。
网页图像的分割,将页面图像分割为静态区域与动态区域图像。由于flash动画、gif图像、页面访问统计、数据库生成内容等页面动态元素在网页中是动态变化的,每次取得的页面图像可能会不一样。该方法根据页面是否动态变化对其划分为静态区域与动态区域。对某一页面循环扫描(每次扫描需清除缓存)获得的图像帧序列为:{f0,f1,f2,f3…,fn}。页面图像的分割可以由(1)、(2)、(3)式表示。
DI(x,y)=∪|ft(x,y)-fi(x,y)| t=1,2,…,n i=0,1…,t-1 (1)
Dk(x,y)=RectSeg{DI(x,y)≠0} k∈N (2)
S(x,y)=RectSeg{DI(X,Y)=0} (3)
DI(x,y)表示所有两帧图像差之并集,由此可以得出最大范围不为零的动态区域。记号RectSeg{·}表示用矩形去分割图像的像素值不为零的区域得到k个动态区域,用Dk(x,y)表示。St(x,y)为静态区域图像。考虑到页面基本元素形状是矩形的,把动态区域分割为矩形是适合的。
页面的一次图像采集其静态区域图像只有一个,动态区域图像有多个。对没有动态元素的纯静态页面,理论上讲只要一次采集。在做匹配验证是否被篡改时,只需做一次差分操作即可。
对于有动态元素的页面,需要循环采集多次页面图像直到页面动态图像中一定的像素阈值内稳定为止,采集次数的多少取决于动态元素本身的复杂性,比如flash动画、gif图像的图像帧数。一般,像素的RGB阈值控制在10以内的范围,像素阈值设置越大采集次数越少,但控制精度会越粗。在检测页面是否被篡改时,该页面的每一个动态区域图像都要与对应的正常情况下保存的动态图像进行比较,当其变化均在给定阈值范围内则页面正常。
在监空初期,如果出现虚报现象可以人工交互方式矫正系统。当由于客服端交互而产生的图像差异被误判为异常时,可以人为的指定为正常,然后自动将该页面图像帧相应的动态图像加入到正常的动态图像中继续训练,从而使该方法更加稳定可靠。
附图说明
图1是获取页面图像与静态、动态区域图像的流程图;
图2是检测某页面是否正常的流程图。
具体实施方式
下面根据附图对本发明进行详细阐述实施过程。
图1说明了获取页面图像并将其分割为动、静态区域的流程图。根据页面地址生成页面图像,如果是首次生成图像则直接保存图像,否则当前图像帧与已经采集的每个图像帧做差分(相减)操作得到差分图像,见公式(1),然后求出所有差分图像的并集。如此循环直到所有差分图像的动态区域的位置、大小、RGB像素值在一定阈值内稳定时停止迭代。然后根据公式(2)(3)将该并集图像分割,分割的具体操作是:依次扫描该图像,检测出连续不为零的区域并标记该区域的最左上角与最右下角坐标以确定矩形大小。这些区域就是flash动画、gif图像、页面访问统计、数据库生成内容等页面动态元素显示的区域,将该页面的静态与各动态区域生成的图像保存。正常情况下,如果对页面有更新操作时(比如管理信息系统中的后台管理程序对数据库的添加、删除等操作等)应重新做一次图像帧序列采集与分割操作,并更新动态静动态区域图像。
图2是检测过程。定时扫描或根据web服务器事件获取页面地址(可以通过ISAPI、Apache-Module等服务器内核模块的相关接口获得)并生成页面图像。用保存的动态区域位置大小的矩形区域去分割采集到的页面图像。将分割后的静、动态区域图像分别与保存的静、动态区域图像做差分操作。对于静态区域图像如果差分操作后结果为零则正常;对于每一个动态区域图像,当其与相应的在正常情况下保存的动态区域图像的差值都在一定阈值内变动时则为正常。在监控中如果出现误报可以人工干预方式矫正系统,这种情况一般出现在监控初期。
Claims (4)
1.一种基于页面图像的网页异常检测方法,其特征在于:利用图像处理技术实现网页是否异常进行检测。
2.根据权利要求1所述的基于图像处理技术的网页异常检测方法,通过采集多帧页面图像差分技术将页面图像分割为静态区域图像与动态区域图像。监控时分别比较静态区域图像是否变化,动态区域图像变化是否在一定阈值内来确定该页面是否异常。
3.根据权利要求1所述的基于图像处理技术的网页异常检测方法,对网页的防篡改是基于客户端的,不必对数据库进行特殊的保护。
4.根据权利要求1所述的基于图像处理技术的网页异常检测方法,人工交互方式矫止系统。当由于客服端交互而产生的图像差异被误判为异常时,人为的指定为正常,从而可以将当前页面图像产生的动态图像序列加入到正常的动态图像序列中,以提高该方法的可靠性与稳定性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011101220999A CN102779245A (zh) | 2011-05-12 | 2011-05-12 | 基于图像处理技术的网页异常检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011101220999A CN102779245A (zh) | 2011-05-12 | 2011-05-12 | 基于图像处理技术的网页异常检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102779245A true CN102779245A (zh) | 2012-11-14 |
Family
ID=47124155
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011101220999A Pending CN102779245A (zh) | 2011-05-12 | 2011-05-12 | 基于图像处理技术的网页异常检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102779245A (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103365967A (zh) * | 2013-06-21 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 一种基于爬虫的自动化差异检测方法及装置 |
WO2015012763A1 (en) * | 2013-07-23 | 2015-01-29 | Banff Cyber Technologies Pte Ltd | A method and system for monitoring website defacements |
WO2016082678A1 (zh) * | 2014-11-24 | 2016-06-02 | 阿里巴巴集团控股有限公司 | 一种监测展示劫持的方法和装置 |
CN106446118A (zh) * | 2016-09-19 | 2017-02-22 | 中国南方电网有限责任公司信息中心 | 一种页面变更模版自动生成方法 |
CN106446617A (zh) * | 2016-09-21 | 2017-02-22 | 河南科技大学 | 一种具有源文件保护功能的静态页面访问方法 |
CN106599242A (zh) * | 2016-12-20 | 2017-04-26 | 福建六壬网安股份有限公司 | 一种基于相似度计算的网页变更监测方法和系统 |
CN106874926A (zh) * | 2016-08-04 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 基于图像特征的业务异常检测方法及装置 |
CN107180194A (zh) * | 2017-05-11 | 2017-09-19 | 北京安赛创想科技有限公司 | 基于视觉分析系统进行漏洞检测的方法及装置 |
CN107301355A (zh) * | 2017-06-20 | 2017-10-27 | 深信服科技股份有限公司 | 一种网页篡改监测方法及装置 |
CN107832774A (zh) * | 2017-10-09 | 2018-03-23 | 无线生活(杭州)信息科技有限公司 | 一种页面异常检测方法及装置 |
CN108369647A (zh) * | 2016-01-29 | 2018-08-03 | 微软技术许可有限责任公司 | 基于图像的质量控制 |
CN108369560A (zh) * | 2015-12-18 | 2018-08-03 | 三菱电机株式会社 | 数据处理装置、数据处理方法和数据处理程序 |
WO2023151622A1 (zh) * | 2022-02-09 | 2023-08-17 | 北京罗克维尔斯科技有限公司 | 页面测试方法、装置、设备及存储介质 |
CN117290845A (zh) * | 2023-11-27 | 2023-12-26 | 央视国际网络有限公司 | 网页篡改的检测方法、装置及计算机可读存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080046738A1 (en) * | 2006-08-04 | 2008-02-21 | Yahoo! Inc. | Anti-phishing agent |
-
2011
- 2011-05-12 CN CN2011101220999A patent/CN102779245A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080046738A1 (en) * | 2006-08-04 | 2008-02-21 | Yahoo! Inc. | Anti-phishing agent |
Non-Patent Citations (2)
Title |
---|
李向阳,鲁东明,潘云鹤: "基于色彩的图像数据库检索方法的研究", 《计算机研究与发展》 * |
王文惠,王展,周良柱,万建伟: "一种测量图像相似性的新方法", 《国防科技大学学报》 * |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103365967A (zh) * | 2013-06-21 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 一种基于爬虫的自动化差异检测方法及装置 |
CN103365967B (zh) * | 2013-06-21 | 2017-02-08 | 百度在线网络技术(北京)有限公司 | 一种基于爬虫的自动化差异检测方法及装置 |
WO2015012763A1 (en) * | 2013-07-23 | 2015-01-29 | Banff Cyber Technologies Pte Ltd | A method and system for monitoring website defacements |
WO2016082678A1 (zh) * | 2014-11-24 | 2016-06-02 | 阿里巴巴集团控股有限公司 | 一种监测展示劫持的方法和装置 |
CN108369560A (zh) * | 2015-12-18 | 2018-08-03 | 三菱电机株式会社 | 数据处理装置、数据处理方法和数据处理程序 |
CN108369647B (zh) * | 2016-01-29 | 2022-08-05 | 微软技术许可有限责任公司 | 基于图像的质量控制 |
CN108369647A (zh) * | 2016-01-29 | 2018-08-03 | 微软技术许可有限责任公司 | 基于图像的质量控制 |
CN106874926A (zh) * | 2016-08-04 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 基于图像特征的业务异常检测方法及装置 |
CN106446118A (zh) * | 2016-09-19 | 2017-02-22 | 中国南方电网有限责任公司信息中心 | 一种页面变更模版自动生成方法 |
CN106446617A (zh) * | 2016-09-21 | 2017-02-22 | 河南科技大学 | 一种具有源文件保护功能的静态页面访问方法 |
CN106446617B (zh) * | 2016-09-21 | 2018-11-27 | 河南科技大学 | 一种具有源文件保护功能的静态页面访问方法 |
CN106599242A (zh) * | 2016-12-20 | 2017-04-26 | 福建六壬网安股份有限公司 | 一种基于相似度计算的网页变更监测方法和系统 |
CN106599242B (zh) * | 2016-12-20 | 2019-03-26 | 福建六壬网安股份有限公司 | 一种基于相似度计算的网页变更监测方法和系统 |
CN107180194B (zh) * | 2017-05-11 | 2020-05-05 | 北京安赛创想科技有限公司 | 基于视觉分析系统进行漏洞检测的方法及装置 |
CN107180194A (zh) * | 2017-05-11 | 2017-09-19 | 北京安赛创想科技有限公司 | 基于视觉分析系统进行漏洞检测的方法及装置 |
CN107301355A (zh) * | 2017-06-20 | 2017-10-27 | 深信服科技股份有限公司 | 一种网页篡改监测方法及装置 |
CN107301355B (zh) * | 2017-06-20 | 2021-07-02 | 深信服科技股份有限公司 | 一种网页篡改监测方法及装置 |
CN107832774A (zh) * | 2017-10-09 | 2018-03-23 | 无线生活(杭州)信息科技有限公司 | 一种页面异常检测方法及装置 |
WO2023151622A1 (zh) * | 2022-02-09 | 2023-08-17 | 北京罗克维尔斯科技有限公司 | 页面测试方法、装置、设备及存储介质 |
CN117290845A (zh) * | 2023-11-27 | 2023-12-26 | 央视国际网络有限公司 | 网页篡改的检测方法、装置及计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102779245A (zh) | 基于图像处理技术的网页异常检测方法 | |
US10867034B2 (en) | Method for detecting a cyber attack | |
CN100583738C (zh) | 基于图像处理的钓鱼网页检测方法 | |
US9838419B1 (en) | Detection and remediation of watering hole attacks directed against an enterprise | |
CN110830470B (zh) | 一种失陷主机检测方法、装置、设备及可读存储介质 | |
CN103179132B (zh) | 一种检测和防御cc攻击的方法及装置 | |
CN103428196B (zh) | 一种基于url白名单的web应用入侵检测方法 | |
US8549637B2 (en) | Website defacement incident handling system, method, and computer program storage device | |
EP3190765A1 (en) | Sensitive information processing method, device, server and security determination system | |
CN103001817B (zh) | 一种实时检测网页跨域请求的方法和装置 | |
CN103929440A (zh) | 基于web服务器缓存匹配的网页防篡改装置及其方法 | |
CN105072089A (zh) | 一种web恶意扫描行为异常检测方法与系统 | |
CN104462152A (zh) | 一种网页的识别方法及装置 | |
US11960604B2 (en) | Online assets continuous monitoring and protection | |
US20150026813A1 (en) | Method and system for detecting network link | |
CN107016298B (zh) | 一种网页篡改监测方法及装置 | |
CN101902349A (zh) | 一种检测端口扫描行为的方法和系统 | |
CN109344661A (zh) | 一种基于机器学习的微代理的网页防篡改方法 | |
CN102902926A (zh) | 基于分布式文件同步技术的网站文件防篡改方法 | |
CN102185859A (zh) | 计算机系统和数据交互方法 | |
CN109684878B (zh) | 一种基于区块链技术隐私信息防篡改方法及系统 | |
CN110008392A (zh) | 一种基于网络爬虫技术的网页篡改检测方法 | |
CN103220277B (zh) | 监控跨站脚本攻击的方法、装置及系统 | |
CN107135199B (zh) | 网页后门的检测方法和装置 | |
CN109284636B (zh) | 一种网页防篡改系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C53 | Correction of patent of invention or patent application | ||
CB02 | Change of applicant information |
Address after: School of computer and Information Engineering Yibin University No. 8 Yibin City, Sichuan province 644000 Wuliangye Avenue Jiusheng Road Applicant after: Li Chaorong Address before: 611731 main building of computer college, University of Electronic Science and technology, West West Road, Chengdu high tech Zone, Sichuan, B1-301 Applicant before: Li Chaorong |
|
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20121114 |