CN103929440B - 基于web服务器缓存匹配的网页防篡改装置及其方法 - Google Patents

Abstract

本发明涉及电力行业信息网页篡改防护技术领域，是一种基于web服务器缓存匹配的网页防篡改装置及其方法，该基于web服务器缓存匹配的网页防篡改装置通过提取IP响应报文中的疑似木马进程的特征值，通过模糊匹配判断该特征值与黑名单数据库是否匹配，之后提取被访问网页所有信息的特征值与web服务器缓存数据进行精确匹配，判定客户端访问的网页是否被篡改。本发明通过第一检测模块进行模糊匹配处理，检测网页中的木马等恶意进程，通过第二检测模块进行精确匹配处理，将被访问网页所有信息的特征值与web服务器缓存数据进行比对，克服了现有网页篡改检测效率低下问题，其能够有效防止黑客篡改网页，极大地提高了网站安全性。

Description

基于web服务器缓存匹配的网页防篡改装置及其方法

技术领域

本发明涉及电力行业信息网页篡改防护技术领域，是一种基于web服务器缓存匹配的网页防篡改装置及其方法。

背景技术

近年来，网站安全事件不断攀升，篡改网页文件是黑客攻击的普遍手法。目前网页篡改的途径有SQL注入后获取Webshell、XSS漏洞引入恶意HTML界面、控制DNS服务器、ARP攻击等，用户在访问web服务器时，黑客通常会在中途截断用户的http请求报文，在报文中添加有风险的信息，例如：替换整个网页、插入新/黑链接、替换网站图片文件、小规模编辑网页等，这样的篡改网页方式会导致网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。

其中，对于电力行业网页有如下特点：一、电力公司办公内网与信息外网采用隔离方式；二、电力行业信息系统相对于internet的网站数量是很有限的；三、电力行业对外访问网页更新内容不多，页面框架变动频率很小。由于电力信息网站是企业对外发布重要新闻、电力客户了解电力公司的重要途径，也包含了公司财务等信息的安全问题，因此一旦被篡改，将会严重的损害企业形象和利益。为了避免网络安全问题的侵扰，人们已经广泛的使用了杀毒软件、防垃圾邮件系统、入侵检测系统、防火墙等措施，现有技术中，通常由专门的网页防篡改系统或搜索引擎对网页篡改进行检测，其将先将从源站下载用户请求的网页，并利用篡改特征库中的篡改特征规则匹配所述网页内容，如果发现与所述篡改特征规则相匹配的内容，则认为该网页被篡改，否则将其发送给用户。所述篡改特征规则通常由正则表达式表示，而使用正则表达式匹配网页内容比较耗时，效率低下，实时性比较差。目前网页篡改方式层出不穷，日益变化，篡改特征规则库中的篡改特征规则也将随之增加，这就意味着每一次检测都将耗费大量资源，且用户体验不佳，网页篡改事件的发生数量正在迅速增长。

发明内容

本发明提供了一种基于web服务器缓存匹配的网页防篡改装置及其方法，克服了上述现有技术之不足，其能有效解决因电力行业网页被篡改而严重损害企业形象和利益的问题。

本发明的技术方案之一是通过以下措施来实现的：一种基于web服务器缓存匹配的网页防篡改装置，包括：

报文获取单元，用于获取web服务器向客户端发送的IP响应报文；

第一特征提取单元，用于对所述IP 响应报文中的易于注入木马进程及篡改进程处的数据进行特征值提取，得到第一特征值；

第一检测模块，其进行模糊匹配处理，检测第一特征提取单元所发送的第一特征值与黑名单数据库特征值是否相符；

报文阻断单元，用于当所述模糊匹配处理结果为第一特征值与黑名单数据库特征值相符时，阻断所述IP 响应报文；

第二特征提取单元，用于对所述IP 响应报文中的所有网页信息进行特征值提取，得到第二特征值；

第二检测模块，其进行精确匹配处理，检测第二特征提取单元所发送的第二特征值与web服务器缓存数据的特征值是否相符；

报文发送单元，用于当所述精确匹配处理结果为第二特征值与web服务器缓存数据的特征值相符时，将所述IP 响应报文发送到客户端；

黑名单数据库，其用于存储现有公知网页篡改木马进程的特征值数据及历史恶意篡改进程的特征值数据。

本发明的技术方案之二是通过以下措施来实现的：一种使用上述的网页防篡改装置的网页防篡改方法，包括以下步骤：

第一步：读取web服务器向客户端反馈的IP响应报文，获取web服务器的网页特征数据；

第二步：提取对所述IP 响应报文中的易于注入木马进程及篡改进程处的数据的特征值作为第一特征值；

第三步：将所述第一特征值与黑名单数据库进行模糊匹配处理；

若模糊匹配处理的结果为该第一特征单元与所述黑名单数据库相匹配，则判定客户端网页存在恶意进程并终止该进程，反馈给客户端提示该网页已被恶意篡改，同时反馈给web服务器该网页已被恶意篡改；

若模糊匹配处理的结果为该第一特征单元与所述黑名单数据库不匹配，则将该IP响应报文发送到下一步；

第四步：提取上述IP 响应报文中的所有网页信息的特征值作为第二特征值；

第五步：将所述第二特征值与web服务器中的缓存信息进行精确匹配处理；

若精确匹配处理的结果为第二特征值与缓存信息相匹配，则判定该网页为正常网页，IP响应报文通过检测；

若精确匹配处理的结果为第二特征值与缓存信息不匹配，则判定该网页已被篡改，反馈给客户端提示该网页已被恶意篡改，同时反馈给web服务器该网页已被恶意篡改，并将该第二特征值加入所述黑名单数据库；

第六步：将通过检测的IP响应报文反馈给客户端。

下面是对上述发明技术方案之二的进一步优化或/和改进：

上述获取web服务器的网页特征数据为定时获取，获取web服务器的网页特征数据的定时更新时间为秒级。

上述IP 响应报文中的所有网页信息可包括文字、图片及视频信息。

上述模糊匹配处理的步骤可为：

首先，将黑名单数据库数据定义为源字符串S，将网络响应报文数据定义为目标字符串T，将S和T按分割好的字符串单元存放在字符串数组当中，字符串单元存放的数组从0开始计数，将S分割成0到m个单元，将T分割成0到n个单元，将S的权值定义为Ws，Ws=1/(m+1)，T的权值定义为Wt，Wt=1/(n+1)，其中一个字符串单元对应一个权值；

接着，扫描S和T字符串；

然后，如果遇到字符串单元相同的时候将权值相乘，最后得到一个匹配度sum=ΣWs*Wt，根据二分法将sum值由大到小排序；

最后，将sum值与预定阀值对比；当sum值大于预定阀值时，则判定该第一特征单元与黑名单数据库相匹配；当sum值小于预定阀值时，则判定该第一特征单元与黑名单数据库不匹配。

上述精确匹配处理可为将该第二特征值与web服务器中的缓存信息进行一一比对。

本发明通过第一检测模块进行模糊匹配处理，检测网页中的木马等恶意进程，通过第二检测模块进行精确匹配处理，将被访问网页所有信息的特征值与web服务器缓存数据进行比对，克服了现有网页篡改检测效率低下问题，其能够有效防止黑客篡改网页，极大地提高了网站安全性。

附图说明

附图1为本发明实施例1的逻辑组成示意图。

附图2为本发明实施例2的工作步骤流程图。

具体实施方式

本发明不受下述实施例的限制，可根据本发明的技术方案与实际情况来确定具体的实施方式。

下面结合实施例及附图对本发明技术方案之一作进一步描述：

实施例1：如附图1所示，该基于web服务器缓存匹配的网页防篡改装置包括：

报文获取单元，用于获取web服务器向客户端发送的IP响应报文；

第一特征提取单元，用于对所述IP 响应报文中的易于注入木马进程及篡改进程处的数据进行特征值提取，得到第一特征值；

第一检测模块，其进行模糊匹配处理，检测第一特征提取单元所发送的第一特征值与黑名单数据库特征值是否相符；若是，判断被检测网页为被篡改网页；若否，发送检测信号至第二检测模块；模糊匹配处理根据木马侵犯特征，提取网页中SQL注入、XSS跨站脚本、CSRF跨站请求伪造等行为特征与黑名单数据库进行快速匹配，模糊匹配处理需要根据电力行业网页特征特性，按照专门制定的字符串匹配度的算法进行匹配处理；

报文阻断单元，用于当所述模糊匹配处理结果为第一特征值与黑名单数据库特征值相符时，阻断所述IP 响应报文；

第二特征提取单元，用于对所述IP 响应报文中的所有网页信息进行特征值提取，得到第二特征值；

第二检测模块，其进行精确匹配处理，检测第二特征提取单元所发送的第二特征值与web服务器缓存数据的特征值是否相符；若是，判断被检测网页为安全网页；若否，则被检测网页为被篡改网页；精确匹配处理适用于首页或者前几级更新内容较少、用户访问次数最多需要进行严格保障的页面，通过精确匹配处理，网站框架、文字、图片等网站任何一个元素的变化均被判定为被非法篡改，精确匹配是完全的比对，匹配结果只能为匹配或者不匹配；

报文发送单元，用于当所述精确匹配处理结果为第二特征值与web服务器缓存数据的特征值相符时，将所述IP 响应报文发送到客户端；

黑名单数据库，其用于存储现有公知网页篡改木马进程的特征值数据及历史恶意篡改进程的特征值数据；黑名单数据库的基础数据可以来源于现有完善的网页篡改方面木马进程的特征值数据，并且，凡是被第一检测模块和第二检测模块认定为恶意程序的脚本数据的特征值数据会被增加到黑名单数据库中，这样能够显著增加匹配的准确性，高效性。

通过在客户端和web服务器之间设置网页篡改防护装置，该网页篡改防护装置能够充分保护关键页面同时提高网页防篡改检测的效率，保证用户访问的高效性，当设定起始URL后，设备会请求该URL并且缓存该URL页面，如果该URL里有一个URL链接B，那么设备也会请求链接B并且缓存B页面，依此类推，设备也会请求链接B里面的链接并且继续缓存。由于电力行业的web服务器都是自己负责运行，所以可以在服务器上添加网页篡改防护装置，有效的防止黑客的网页篡改行为。该网页篡改防护装置中存储有黑名单数据库，所述黑名单数据库中存储有现有公知网页篡改木马进程的特征值数据及历史恶意篡改进程的特征值数据。

根据实际需要，所述网页防篡改装置可以通过占用web服务器的硬件资源实现。

根据实际需要，所述网页防篡改装置还可以为独立的小型服务器或硬件装置等网络中间设备，其包括CPU，用于运行底层操作系统、提取第一特征值和第二特征值的提取计算以及数据匹配计算；存储器，用于存储黑名单数据库、临时缓存web服务器的缓存信息及安装底层操作系统；网卡模块，用于与客户端和web服务器进行数据交换；和主电路板，用于安装CPU、存储器和网卡模块，及其他相应的电源总线、数据线等。设置独立的小型服务器作为网页防篡改装置，不会给已有web服务器增加额外压力，其硬件配置为：网卡最好为普通千兆网卡，存储器最好为容量不小于200G的存储器，CPU最好为主频不小于的5GHz的CPU。

本发明技术方案之一的基于web服务器缓存匹配的网页防篡改装置具有以下优势：根据电力行业系统特性及制定的模糊匹配算法，执行模糊匹配处理的响应速率会极快，不会占用太多的硬软件资源。如果在模糊匹配中没有发现问题，则再次提取网络响应报文的细节数据，与Web服务的正确数据进行精确匹配。该恶意篡改页面再次出现时，发现已经被列入黑名单数据库了，所以不需要再执行精确匹配就能发现网络被篡改，并将信息及时反馈出去。

实施例2：如附图2所示，该使用上述的网页防篡改装置的网页防篡改方法包括以下步骤：

第一步：读取web服务器向客户端反馈的IP响应报文，获取web服务器的网页特征数据；

第二步：提取对所述IP 响应报文中的易于注入木马进程及篡改进程处的数据的特征值作为第一特征值；

第三步：将所述第一特征值与黑名单数据库进行模糊匹配处理；

若模糊匹配处理的结果为该第一特征单元与所述黑名单数据库相匹配，则判定客户端网页存在恶意进程并终止该进程，反馈给客户端提示该网页已被恶意篡改，同时反馈给web服务器该网页已被恶意篡改；

若模糊匹配处理的结果为该第一特征单元与所述黑名单数据库不匹配，则将该IP响应报文发送到下一步；

第四步：提取上述IP 响应报文中的所有网页信息的特征值作为第二特征值；

第五步：将所述第二特征值与web服务器中的缓存信息进行精确匹配处理；

若精确匹配处理的结果为第二特征值与缓存信息相匹配，则判定该网页为正常网页，IP响应报文通过检测；

若精确匹配处理的结果为第二特征值与缓存信息不匹配，则判定该网页已被篡改，反馈给客户端提示该网页已被恶意篡改，同时反馈给web服务器该网页已被恶意篡改，并将该第二特征值加入所述黑名单数据库；

第六步：将通过检测的IP响应报文反馈给客户端。

可根据实际需要，对上述本发明技术方案之二作进一步优化或/和改进：

根据实际需要，获取web服务器的网页特征数据为定时获取，获取web服务器的网页特征数据的定时更新时间为秒级。网页篡改防护装置进行定时获取Web服务器的网页特征数据，由于电力行业网页不多，遍历获取一次网页特征数据需要的时间很短，不会给服务器造成压力，而这点是开放式的internet外网网站服务器无法做到的。电力行业网站更新速度不是很频繁，一分钟以内获取的网页特征数据不会导致因访问和网页更新频繁而带来的缓存数据过时的情况。

根据实际需要，IP 响应报文中的所有网页信息包括文字、图片及视频信息。

根据实际需要，模糊匹配处理的步骤为：

首先，将黑名单数据库数据定义为源字符串S，将网络响应报文数据定义为目标字符串T，将S和T按分割好的字符串单元存放在字符串数组当中，字符串单元存放的数组从0开始计数，将S分割成0到m个单元，将T分割成0到n个单元，将S的权值定义为Ws，Ws=1/(m+1)，T的权值定义为Wt，Wt=1/(n+1)，其中一个字符串单元对应一个权值；

接着，扫描S和T字符串；

然后，如果遇到字符串单元相同的时候将权值相乘，最后得到一个匹配度sum=ΣWs*Wt，根据二分法将sum值由大到小排序；

最后，将sum值与预定阀值对比；当sum值大于预定阀值时，则判定该第一特征单元与黑名单数据库相匹配；当sum值小于预定阀值时，则判定该第一特征单元与黑名单数据库不匹配。

根据实际需要，精确匹配处理为将该第二特征值与web服务器中的缓存信息进行一一比对。

本发明技术方案之二的网页防篡改方法，通过该技术可以解析用户端到服务端完整的http请求，可解析在网站交互流量中隐藏的威胁并予以防御。相对于纯软件的防篡改系统，本发明具有防攻击特性的优势，能够防止黑客入侵服务器获取服务器权限之后关闭防篡改软件或者修改服务器权限的风险。深度内容检测技术实现对HTTP/HTTPS协议的深入解析，精确识别出协议中的各种要素，如cookie、Get参数、Post表单等，并对这些数据进行快速的解析，以还原其原始通信的信息，根据这些解析后的原始信息，可以精确的检测其是否包含威胁内容。而传统的IPS基于DPI深度数据包解析技术，只能实现在网络层数据包层面进行重组还原及特征匹配，无法解析基于HTTP协议的内容分析，很难有效检测针对web应用的攻击。

Claims (5)

1.一种基于web服务器缓存匹配的网页防篡改装置，其特征在于包括：

报文获取单元，用于获取web服务器向客户端发送的IP响应报文；

第一特征提取单元，用于对所述IP 响应报文中的易于注入木马进程及篡改进程处的数据进行特征值提取，得到第一特征值；

第一检测模块，其进行模糊匹配处理，检测第一特征提取单元所发送的第一特征值与黑名单数据库特征值是否相符；

报文阻断单元，用于当所述模糊匹配处理结果为第一特征值与黑名单数据库特征值相符时，阻断所述IP 响应报文；

第二特征提取单元，用于对所述IP 响应报文中的所有网页信息进行特征值提取，得到第二特征值；

第二检测模块，其进行精确匹配处理，检测第二特征提取单元所发送的第二特征值与web服务器缓存数据的特征值是否相符；

报文发送单元，用于当所述精确匹配处理结果为第二特征值与web服务器缓存数据的特征值相符时，将所述IP 响应报文发送到客户端；

黑名单数据库，其用于存储现有公知网页篡改木马进程的特征值数据及历史恶意篡改进程的特征值数据；

其中：

包括以下步骤：

第一步：读取web服务器向客户端反馈的IP响应报文，获取web服务器的网页特征数据；

第二步：提取对所述IP 响应报文中的易于注入木马进程及篡改进程处的数据的特征值作为第一特征值；

第三步：将所述第一特征值与黑名单数据库进行模糊匹配处理；

若模糊匹配处理的结果为该第一特征值与所述黑名单数据库相匹配，则判定客户端网页存在恶意进程并终止该进程，反馈给客户端提示该网页已被恶意篡改，同时反馈给web服务器该网页已被恶意篡改；

若模糊匹配处理的结果为该第一特征值与所述黑名单数据库不匹配，则将该IP响应报文发送到下一步；

第四步：提取上述IP 响应报文中的所有网页信息的特征值作为第二特征值；

第五步：将所述第二特征值与web服务器中的缓存信息进行精确匹配处理；

若精确匹配处理的结果为第二特征值与缓存信息相匹配，则判定该网页为正常网页，IP响应报文通过检测；

若精确匹配处理的结果为第二特征值与缓存信息不匹配，则判定该网页已被篡改，反馈给客户端提示该网页已被恶意篡改，同时反馈给web服务器该网页已被恶意篡改，并将该第二特征值加入所述黑名单数据库；

第六步：将通过检测的IP响应报文反馈给客户端；

模糊匹配处理的步骤为：

首先，将黑名单数据库数据定义为源字符串S，将网络响应报文数据定义为目标字符串T，将S和T按分割好的字符串单元存放在字符串数组当中，字符串单元存放的数组从0开始计数，将S分割成0到m个单元，将T分割成0到n个单元，将S的权值定义为Ws，Ws=1/(m+1)，T的权值定义为Wt，Wt=1/(n+1)，其中一个字符串单元对应一个权值；

接着，扫描S和T字符串；

然后，如果遇到字符串单元相同的时候将权值相乘，最后得到一个匹配度sum=ΣWs*Wt，根据二分法将sum值由大到小排序；

最后，将sum值与预定阀值对比；当sum值大于预定阀值时，则判定该第一特征值与黑名单数据库相匹配；当sum值小于预定阀值时，则判定该第一特征值与黑名单数据库不匹配。

2.根据权利要求1所述的基于web服务器缓存匹配的网页防篡改装置，其特征在于获取web服务器的网页特征数据为定时获取，获取web服务器的网页特征数据的定时更新时间为秒级。

3.根据权利要求1或2所述的基于web服务器缓存匹配的网页防篡改装置，其特征在于所述IP 响应报文中的所有网页信息包括文字、图片及视频信息。

4.根据权利要求1或2所述的基于web服务器缓存匹配的网页防篡改装置，其特征在于精确匹配处理为将该第二特征值与web服务器中的缓存信息进行一一比对。

5.根据权利要求3所述的基于web服务器缓存匹配的网页防篡改装置，其特征在于精确匹配处理为将该第二特征值与web服务器中的缓存信息进行一一比对。