CN104778423B - 基于文件驱动的水印对比的网页防篡改方法 - Google Patents
基于文件驱动的水印对比的网页防篡改方法 Download PDFInfo
- Publication number
- CN104778423B CN104778423B CN201510204873.9A CN201510204873A CN104778423B CN 104778423 B CN104778423 B CN 104778423B CN 201510204873 A CN201510204873 A CN 201510204873A CN 104778423 B CN104778423 B CN 104778423B
- Authority
- CN
- China
- Prior art keywords
- watermark
- web page
- page files
- file
- program module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
- Editing Of Facsimile Originals (AREA)
Abstract
本发明涉及一种基于文件驱动的水印对比的网页防篡改方法,包括以下步骤:1、当服务器端安装的驱动程序监听到网页文件被访问时,内核层截获IRP请求;2、判断是否同时满足:发起IRP请求的进程是指定的Web容器进程,且IRP请求的目的是读取文件,且IRP请求读的文件是用户需要保护的文件,同时满足以上三个条件则启动水印对比,并转下一步,只要有一个条件不满足,则正常放行;3、计算网页文件的水印,并将计算出的水印与水印库中备份的水印进行对比;如果水印对比结果为相同,则正常放行IRP请求,否则向用户层请求恢复被篡改的网页文件,并拒绝IRP请求。该方法不仅能有效保护Web网站不被篡改,而且可提高水印对比效率。
Description
技术领域
本发明涉及Web网站安全防护技术领域,特别涉及一种基于文件驱动的水印对比的网页防篡改方法。
背景技术
随着互联网的高速发展,网站作为信息的载体已成为各企事业单位发布信息的重要途径,然而越来越多的黑客利用网站的漏洞肆意地对网站上的信息进行非法篡改,导致恶劣的社会影响及严重的经济损失。针对这种网络篡改威胁,许多软件提供商研发出各式各样的网页防篡改系统。
目前,静态网页防篡改系统的相关技术有以下三种:
1、外挂轮询技术。该技术方案独立工作,与操作系统、Web容器等无关,实现方式是从一台外部机器轮询监测目标网站的网页完整性。主要保护对象为静态网页。外挂轮询技术由于效率低、覆盖检查面小、对目标网站影响大,目前在市场上已很少使用。
2、数字水印技术。作为Web服务器的核心内嵌模块在网页被浏览时进行完整性检查。该技术使用Web服务器核心内嵌技术,将水印对比模块作为插件插入到在不同的Web服务器上,通过对被访问文件水印的对比,实现对网页的防护。主要保护对象为静态文件和脚本。该技术主要缺点是:(1)对服务器访问性能和资源占用有一定影响。(2)并未在篡改时立即进行响应。(3)部署时需要增加独立的发布服务器。(4)不能防范通过Web对数据库攻击。(5)软件模块依赖Web容器,需针对不同的Web容器进行开发。
3、事件触发技术。通过Hook、驱动或其他操作系统专有接口监测文件系统的变化。主要保护对象为文件。该技术基于驱动在内核开发,能对捕捉到的篡改行为能够进行及时报警及拦截,但也存在一些固有缺陷:(1)基于文件系统的检查,可以有多种已知的方法绕过。(2)实现手段过于依赖于操作系统的特性,部分技术使用未载入文档技术,具有不稳定性和不可升级性。(3)检查时机单一,一旦错过捕捉则没有任何防护手段。(4)不能防范通过Web对数据库攻击。
发明内容
本发明的目的在于提供一种基于文件驱动的水印对比的网页防篡改方法,该方法不仅能有效保护Web网站不被篡改,而且可提高水印对比效率。
为实现上述目的,本发明的技术方案是:一种基于文件驱动的水印对比的网页防篡改方法,包括以下步骤:
(1) 当服务器端安装的驱动程序监听到网页文件被访问时,内核层截获IRP请求;
(2) 分析截获的IRP请求,判断是否同时满足:发起所述IRP请求的进程是指定的Web容器进程,且所述IRP请求的目的是读取文件,且所述IRP请求读的文件是用户需要保护的文件,同时满足以上三个条件则启动水印对比,并转下一步,只要有一个条件不满足,则正常放行所述IRP请求;
(3) 计算被访问网页文件的水印,并将计算出的网页文件水印与水印库中备份的水印进行对比;如果水印对比结果为相同,则正常放行所述IRP请求,否则向用户层请求恢复被篡改的网页文件,并拒绝所述IRP请求。
进一步的,该方法在内核层中以驱动程序实现。
进一步的,该方法通过截获Web容器进程的读文件事件来触发水印对比。
进一步的,在步骤(3)中,当网页文件被篡改,按如下步骤恢复被篡改的网页文件:
A1)内核层程序模块经由内核层与用户层的通信接口,向用户层程序模块发起网页文件恢复请求;
A2)用户层程序模块对网页文件恢复请求进行解析,再封装,然后将网页文件恢复请求经由通信通道发送给同步端程序模块;
A3)同步端程序模块接收到网页文件恢复请求后,执行网页文件同步流程,恢复被篡改的网页文件。
进一步的,在步骤A3中,按如下方法进行网页文件同步流程:
B1)同步端程序模块接收到网页文件恢复请求后,计算相应网页文件的水印,并将相应网页文件加密,然后将加密的网页文件和水印一起发给用户层程序模块;
B2)用户层程序模块接收到加密的网页文件和水印后,进行合法性校验,如果是合法用户,则转下一步,否则拒绝本次通信;
B3)对网页文件进行解密,并进行完整性校验,然后计算水印,并对比水印,如果水印相同,则采用接收到的网页文件覆盖被篡改的网页文件,如果水印不同,则重新向同步端程序模块发送网页文件恢复请求。
本发明的有益效果是采用文件驱动方法,捕获web容器进程对文件的读操作,在内核实现水印的快速对比,有效阻止非法篡改的网页的流出,并及时快速对被篡改文件进行恢复,不仅有效保护了Web网站不被篡改,而且提高了水印对比效率,主要体现在:
1)内核触发水印对比,避免在web容器中植入插件,降低对外部环境要求;
2)水印对比程序运行于内核,效率高于用户层应用程序。
3)水印对比模块运行于内核,可对多web容器环境进行防护,减少配置量,降低对系统资源要求。
附图说明
图1是本发明实施例的实现流程图。
图2是本发明实施例中恢复网页文件的实现流程图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步的详细说明。
本发明基于文件驱动的水印对比的网页防篡改方法,如图1所示,包括以下步骤:
(1) 当服务器端安装的驱动程序监听到网页文件被访问时,内核层截获IRP请求。
(2) 分析截获的IRP请求,判断是否同时满足:发起所述IRP请求的进程是指定的Web容器进程,且所述IRP请求的目的是读取文件,且所述IRP请求读的文件是用户需要保护的文件,同时满足以上三个条件则启动水印对比,并转下一步,只要有一个条件不满足,则正常放行所述IRP请求。
(3) 计算被访问网页文件的水印,并将计算出的网页文件水印与水印库中备份的水印进行对比;如果水印对比结果为相同,则正常放行所述IRP请求,否则向用户层请求恢复被篡改的网页文件,并拒绝所述IRP请求。如图2所示,当网页文件被篡改,按如下步骤恢复被篡改的网页文件:
A1)内核层程序模块经由内核层与用户层的通信接口,向用户层程序模块发起网页文件恢复请求;
A2)用户层程序模块对网页文件恢复请求进行解析,再封装,然后将网页文件恢复请求经由通信通道发送给同步端程序模块;
A3)同步端程序模块接收到网页文件恢复请求后,执行网页文件同步流程,恢复被篡改的网页文件。具体方法为:
B1)同步端程序模块接收到网页文件恢复请求后,计算相应网页文件的水印,并将相应网页文件加密,然后将加密的网页文件和水印一起发给用户层程序模块;
B2)用户层程序模块接收到加密的网页文件和水印后,进行合法性校验,如果是合法用户,则转下一步,否则拒绝本次通信;
B3)对网页文件进行解密,并进行完整性校验,然后计算水印,并对比水印,如果水印相同,则采用接收到的网页文件覆盖被篡改的网页文件,如果水印不同,则重新向同步端程序模块发送网页文件恢复请求。
本发明方法在在内核中以驱动程序实现。
本发明方法通过截获Web容器进程的读文件事件来触发水印对比。
以上是本发明的较佳实施例,凡依本发明技术方案所作的改变,所产生的功能作用未超出本发明技术方案的范围时,均属于本发明的保护范围。
Claims (3)
1.一种基于文件驱动的水印对比的网页防篡改方法,其特征在于,包括以下步骤:
(1) 当服务器端安装的驱动程序监听到网页文件被访问时,内核层截获IRP请求;
(2) 分析截获的IRP请求,判断是否同时满足:发起所述IRP请求的进程是指定的Web容器进程,且所述IRP请求的目的是读取文件,且所述IRP请求读的文件是用户需要保护的文件,同时满足以上三个条件则启动水印对比,并转下一步,只要有一个条件不满足,则正常放行所述IRP请求;
(3) 计算被访问网页文件的水印,并将计算出的网页文件水印与水印库中备份的水印进行对比;如果水印对比结果为相同,则正常放行所述IRP请求,否则向用户层请求恢复被篡改的网页文件,并拒绝所述IRP请求;
在步骤(3)中,当网页文件被篡改,按如下步骤恢复被篡改的网页文件:
A1)内核层程序模块经由内核层与用户层的通信接口,向用户层程序模块发起网页文件恢复请求;
A2)用户层程序模块对网页文件恢复请求进行解析,再封装,然后将网页文件恢复请求经由通信通道发送给同步端程序模块;
A3)同步端程序模块接收到网页文件恢复请求后,执行网页文件同步流程,恢复被篡改的网页文件;其中,网页文件同步流程按如下方法进行:
B1)同步端程序模块接收到网页文件恢复请求后,计算相应网页文件的水印,并将相应网页文件加密,然后将加密的网页文件和水印一起发给用户层程序模块;
B2)用户层程序模块接收到加密的网页文件和水印后,进行合法性校验,如果是合法用户,则转下一步,否则拒绝本次通信;
B3)对网页文件进行解密,并进行完整性校验,然后计算水印,并对比水印,如果水印相同,则采用接收到的网页文件覆盖被篡改的网页文件,如果水印不同,则重新向同步端程序模块发送网页文件恢复请求。
2.根据权利要求1所述的基于文件驱动的水印对比的网页防篡改方法,其特征在于,该方法在内核层中以驱动程序实现。
3.根据权利要求1所述的基于文件驱动的水印对比的网页防篡改方法,其特征在于,该方法通过截获Web容器进程的读文件事件来触发水印对比。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510204873.9A CN104778423B (zh) | 2015-04-28 | 2015-04-28 | 基于文件驱动的水印对比的网页防篡改方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510204873.9A CN104778423B (zh) | 2015-04-28 | 2015-04-28 | 基于文件驱动的水印对比的网页防篡改方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104778423A CN104778423A (zh) | 2015-07-15 |
| CN104778423B true CN104778423B (zh) | 2017-10-17 |
Family
ID=53619878
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510204873.9A Active CN104778423B (zh) | 2015-04-28 | 2015-04-28 | 基于文件驱动的水印对比的网页防篡改方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104778423B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109145536B (zh) * | 2017-06-19 | 2021-03-26 | 北京金山云网络技术有限公司 | 一种网页防篡改方法及装置 |
| CN108446565B (zh) * | 2018-03-08 | 2022-05-31 | 福建深空信息技术有限公司 | 一种信息安全软件的命令下发方法 |
| CN108650527B (zh) * | 2018-03-12 | 2020-12-15 | 百途新媒体技术(北京)有限公司 | 一种基于iptv的epg安全监控方法及系统 |
| CN110489943B (zh) * | 2019-07-15 | 2020-07-28 | 贝壳找房(北京)科技有限公司 | 页面水印防篡改方法和系统 |
| CN112966232B (zh) * | 2021-03-12 | 2024-03-29 | 恩亿科(北京)数据科技有限公司 | 页面水印防篡改方法、系统、电子设备和可读存储介质 |
| CN113221194B (zh) * | 2021-06-07 | 2024-03-08 | 云尖(北京)软件有限公司 | 篡改网页混合检测技术 |
| CN115081028A (zh) * | 2022-06-07 | 2022-09-20 | 云尖(北京)软件有限公司 | 一种网页防篡改安全防护系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101626368A (zh) * | 2008-07-11 | 2010-01-13 | 中联绿盟信息技术(北京)有限公司 | 一种防止网页被篡改的设备、方法和系统 |
| CN102833267A (zh) * | 2012-09-14 | 2012-12-19 | 山东中创软件商用中间件股份有限公司 | 一种保护网页安全的方法和装置 |
| CN102902928A (zh) * | 2012-09-21 | 2013-01-30 | 杭州迪普科技有限公司 | 一种网页防篡改方法及装置 |
| CN104036197A (zh) * | 2014-06-05 | 2014-09-10 | 哈尔滨工程大学 | 一种基于文件过滤驱动的矢量地图数据保护及访问控制方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11386181B2 (en) * | 2013-03-15 | 2022-07-12 | Webroot, Inc. | Detecting a change to the content of information displayed to a user of a website |
-
2015
- 2015-04-28 CN CN201510204873.9A patent/CN104778423B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101626368A (zh) * | 2008-07-11 | 2010-01-13 | 中联绿盟信息技术(北京)有限公司 | 一种防止网页被篡改的设备、方法和系统 |
| CN102833267A (zh) * | 2012-09-14 | 2012-12-19 | 山东中创软件商用中间件股份有限公司 | 一种保护网页安全的方法和装置 |
| CN102902928A (zh) * | 2012-09-21 | 2013-01-30 | 杭州迪普科技有限公司 | 一种网页防篡改方法及装置 |
| CN104036197A (zh) * | 2014-06-05 | 2014-09-10 | 哈尔滨工程大学 | 一种基于文件过滤驱动的矢量地图数据保护及访问控制方法 |
Non-Patent Citations (1)
| Title |
|---|
| "网站安全防篡改系统的研究与实现";丁胜;《中国优秀硕士学位论文全文数据库 信息科技辑》;20111215(第S2期);5.2.3节-5.4节,图6-5 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104778423A (zh) | 2015-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104778423B (zh) | 基于文件驱动的水印对比的网页防篡改方法 | |
| CN102902928B (zh) | 一种网页防篡改方法及装置 | |
| CN102110198B (zh) | 一种网页防伪的方法 | |
| CN103685277B (zh) | 一种浏览器访问网页安全保护方法 | |
| CN112217835B (zh) | 报文数据的处理方法、装置、服务器和终端设备 | |
| CN102957705B (zh) | 一种网页篡改防护的方法及装置 | |
| US20100058479A1 (en) | Method and system for combating malware with keystroke logging functionality | |
| CN103856471B (zh) | 跨站脚本攻击监控系统及方法 | |
| CN103391216A (zh) | 一种违规外联报警及阻断方法 | |
| CN103746992B (zh) | 基于逆向的入侵检测系统及其方法 | |
| GB2485622A (en) | Server detecting malware in user device. | |
| US20150026813A1 (en) | Method and system for detecting network link | |
| CN105260654A (zh) | 一种软件系统自身完整性的验证方法 | |
| CN103778352B (zh) | 电子证据生成、验证方法及其装置与系统 | |
| Axelsson et al. | An approach to UNIX security logging | |
| US10007785B2 (en) | Method and apparatus for implementing virtual machine introspection | |
| CN110022305A (zh) | 网站安全防护系统和方法 | |
| US9774627B2 (en) | Detecting memory-scraping malware | |
| CN107608758A (zh) | 一种虚拟机文件完整性监控方法及系统 | |
| CN105550574B (zh) | 基于内存活动的边信道攻击取证系统及方法 | |
| CN109583204B (zh) | 一种混合环境下静态对象篡改的监测方法 | |
| Wu et al. | POSTER: biTheft: stealing your secrets by bidirectional covert channel communication with zero-permission android application | |
| Xu et al. | Gemini: An emergency line of defense against phishing attacks | |
| JP5835022B2 (ja) | 配信装置、配信処理方法及びプログラム、並びに情報処理装置、情報処理方法及びプログラム | |
| CN103379110A (zh) | 一种网络钓鱼主动防御系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Fourth Mawei District, Fujian, Mawei District, the library of the second floor (FTA test area), 350000, Fuzhou Applicant after: FUJIAN LIUREN NETWORK SECURITY CO., LTD. Address before: No. 188 Taiwan AD Creative Park in Fuzhou city of Fujian Province, Xiufeng road 350012 4 Building 3 layer Applicant before: FUJIAN LIUREN NETWORK SECURITY CO., LTD. |
|
| COR | Change of bibliographic data | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |