CN105184159B - 网页篡改的识别方法和装置 - Google Patents
网页篡改的识别方法和装置 Download PDFInfo
- Publication number
- CN105184159B CN105184159B CN201510537463.6A CN201510537463A CN105184159B CN 105184159 B CN105184159 B CN 105184159B CN 201510537463 A CN201510537463 A CN 201510537463A CN 105184159 B CN105184159 B CN 105184159B
- Authority
- CN
- China
- Prior art keywords
- http request
- response
- webpage
- message header
- homepage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种网页篡改的识别方法和装置。其方法包括:接收http请求;判断http请求是否是对配置的web服务器的首页进行访问的请求;如果http访问请求是对首页进行访问的请求,则对首页进行检测以识别网页是否被篡改,否则判断http请求是否携带来自搜索引擎的消息报头;如果http请求携带来自搜索引擎的消息报头,则对http请求及其响应进行处理以识别网页是否被篡改,否则,检测响应是否被植入暗链;如果响应被植入暗链,则判定网页被篡改,否则,检测响应是否包含木马;如果响应包含木马,则判定网页被篡改,否则返回响应。上述的网页篡改的识别方法和装置,能够提高网页篡改识别的效率和准确度。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种网页篡改的识别方法和装置。
背景技术
近些年web安全类事件呈现逐年增加的趋势,基于此,就要求web服务器前端的防护装置,如二代防火墙,必须具备网页防篡改的功能,网页防篡改是整个防护装置完整安全防护能力的必要一环。
现有的网页防篡改技术主要有如下四种:定时循环扫描技术、事件触发技术、数字水印或数字指纹、文件过滤驱动技术。
定时循环扫描技术按用户设定的间隔对网站目录进行定时扫描,如果发现篡改,就用备份的网页目录进行恢复。事件触发技术可以对网站目录进行实时监控,如果发现目录被篡改,监控程序就能得到系统通知事件,随后程序根据相关规则判定是否为非法篡改,如果是,则恢复。数字水印技术使用MD5(Message Digest Algorithm 5)散列算法或其他散列算法对每一个流出的网页计算数字水印值,并与之前备份的水印值比较,如果不同,则可判定网页被篡改,同时阻止其继续流出,并传唤恢复程序进行恢复。文件过滤驱动技术采用底层操作系统文件过滤驱动技术,拦截和分析文件操作,对所有受保护的网站目录的写操作都立即截断。
上述四种技术方案都可以直接访问网站目录,只有定时循环扫描技术和数字水印技术可以应用到防护装置中,而且要衍变结合才能使用。现有防护装置的网页防篡改技术步骤如下:
防护装置配置防护主机站点后,预先对网站进行爬取并缓存爬取的所有页面;
当用户请求访问网页时,将请求的响应页面与预先已缓存的页面进行水印匹配;
如果水印比对不相同,则可判定网页被篡改,阻止响应页面流出,同时恢复网页或记录日志或通知管理员等。
然而,目前的网页防篡改技术的主要缺陷如下:
(1)网站网页数量级巨大,网页爬取不仅需要耗费大量的时间,严重时甚至会导致防护装置崩溃,而且会大大影响web服务器的性能;
(2)网页的细微改变会导致数字水印的改变,这样将会产生很多误报。
发明内容
基于此,有必要针对上述技术问题,提供一种网页篡改的识别方法和装置。其能够提高网页篡改识别的效率和准确度。
一种网页篡改的识别方法,该方法包括:
接收http请求;
判断所述http请求是否是对配置的web服务器的首页进行访问的请求;
如果所述http访问请求是对所述首页进行访问的请求,则对所述首页进行检测以识别网页是否被篡改,否则判断所述http请求是否携带来自搜索引擎的消息报头;
如果所述http请求携带来自搜索引擎的消息报头,则对所述http请求及其响应进行处理以识别网页是否被篡改,否则,检测所述响应是否被植入暗链;
如果所述响应被植入暗链,则判定网页被篡改,否则,检测所述响应是否包含木马;
如果所述响应包含木马,则判定网页被篡改,否则返回所述响应。
在其中一个实施例中,所述对所述首页进行检测以识别网页是否被篡改的步骤包括:
获取所述http请求的响应页面的水印值;
判断所述水印值与缓存的所述web服务器的首页的水印值是否匹配;
如果不匹配,则判定网页被篡改,否则进入所述判断所述http请求中是否携带来自搜索引擎的消息报头的步骤。
在其中一个实施例中,所述消息报头包括:UA消息报头和/或referer消息报头;所述对所述http请求及其响应进行处理以识别网页是否被篡改的步骤包括:
缓存所述http请求及其响应;
修改已缓存的http请求中的UA消息报头和/或referer消息报头,生成新的http请求,并发送所述新的http请求;
判断所述新的http请求的响应与已缓存的响应是否匹配;
如果不匹配,则判定网页被篡改,否则进入所述判断所述响应是否被植入暗链的步骤。
在其中一个实施例中,所述修改已缓存的http访问请求中的UA消息报头和/或referer消息报头的步骤包括:
将所述已缓存的http请求中的UA的浏览器类型值修改为主流浏览器类型值;和/或,
去除所述已缓存的http请求中的referer消息报头或者将所述已缓存的http请求中的referer消息报头修改为当前网站的域名或者包含当前域名的链接。
在其中一个实施例中,所述检测所述响应是否被植入暗链的步骤包括:
将所述响应与暗链特征库进行匹配,如果匹配成功,则判定网页被篡改,否则,将所述响应与恶意网址库进行匹配;
如果匹配成功,则判定网页被篡改,否则,进入所述检测所述响应是否包含木马的步骤。
一种网页篡改的识别装置,所述装置包括:
接收模块,用于接收http请求;
首页判断模块,用于判断所述http请求是否是对配置的web服务器的首页进行的请求;
首页检测模块,用于当判定所述http请求是对所述首页进行的请求时,对所述首页进行检测以识别网页是否被篡改;
消息报头判断模块,用于判断所述http请求是否携带来自搜索引擎的消息报头;
消息报头检测模块,用于当判定所述http请求携带来自搜索引擎的消息报头时,对所述http请求及其响应进行处理以识别网页是否被篡改;
暗链检测模块,用于当判定所述http请求未携带来自搜索引擎的消息报头时,判断所述响应是否被植入暗链;
木马检测模块,用于当判定所述响应未被植入木马时,检测所述响应是否包含木马;
响应模块,用于当判定所述响应未包含木马时,返回所述响应。
在其中一个实施例中,所述首页检测模块具体用于获取所述http请求的响应页面的水印值;判断所述水印值与缓存的所述web服务器的首页的水印值是否匹配;如果不匹配,则判定所述首页被篡改。
在其中一个实施例中,所述消息报头包括:UA消息报头和/或referer消息报头;
所述消息报头检测模块具体用于缓存所述http请求及其响应;修改已缓存的http请求中的UA消息报头和/或referer消息报头,生成新的http请求,并发送所述新的http请求;判断所述新的http请求的响应与已缓存的响应是否匹配;如果不匹配,则判定网页被篡改。
在其中一个实施例中,所述消息报头检测模块具体用于将所述已缓存的http请求中的UA的浏览器类型值修改为主流浏览器类型值;和/或,去除所述已缓存的http请求中的referer消息报头或者将所述已缓存的http请求中的referer消息报头修改为当前网站的域名或者包含当前域名的链接。
在其中一个实施例中,所述暗链检测模块具体用于将所述响应与暗链特征库进行匹配;如果匹配成功,则判定网页被篡改,否则,将所述响应与恶意网址库进行匹配;如果匹配成功,则判定网页被篡改。
上述网页篡改的识别方法和装置,通过判断是否是对配置的web服务器的首页的访问实现了对首页的监控,减少了网页爬取的工作量,提高了识别效率。另外,通过判断请求中是否携带来自搜索引擎的消息报头、以及对暗链和网马进行检测,不仅提高了识别的准确度,而且可以对动态网页进行监控。
附图说明
图1为一个实施例的网页篡改的识别方法的应用场景示意图;
图2为一个实施例的网页篡改的识别方法的流程图;
图3为另一个实施例的网页篡改的识别方法的流程图;
图4为一个实施例的网页篡改的识别装置的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
用户可以通过客户端的web浏览器访问因特网上的各个网站,查看网站中的网页内容。web浏览器和web服务器之间通过http(HyperText Transfer Protocol,超文本传输协议)相互响应,web浏览器则通过TCP/IP(Transmission Control Protocol/InternetProtocol,传输控制协议)与web服务器建立连接,web服务器通常在80端口等待web浏览器发送的访问请求。为了防御攻击,保证web服务器的安全,需要在web浏览器和web服务器之间设立防护装置,以解决网页防篡改的问题。
图1为在一个实施例中运行本网页篡改的识别方法的应用场景示意图,客户端、网页篡改识别装置以及web服务器两两之间通过网络连接。
如图2所示,在一个实施例中,提供一种网页篡改的识别方法,该方法包括:
步骤202,接收http请求。
用户可以通过客户端的web浏览器发送http请求。http请求可以为页面请求或者图片请求。http请求信息由请求方法URL(Uniform Resource Locator,统一资源定位符)协议/版本、请求头和请求正文组成。
步骤204,判断http请求是否是对配置的web服务器的首页进行访问的请求,如果是,则执行步骤206,如果否,则执行步骤208。
在本实施例中,配置的web服务器是指用户想要防护的web服务器,首页是指在该配置的web服务器上运行的网站的首页。一般情况下,网站攻击者,如黑客为了炫耀技术或报复宣传一些东西,通常会篡改首页。通过对首页的检测可以减少大量的与首页关联的网页的爬取工作。
步骤206,对首页进行检测以识别网页是否被篡改。
在本实施例中,首先获取该http请求的响应页面,然后将该http请求的响应页面的水印值与已缓存的首页的水印值匹配,如果匹配不成功则判定网页被篡改。
步骤208,判断http请求中是否携带来自搜索引擎的消息报头,如果是,则执行步骤210,如果否,则执行步骤212。
http请求的消息报头主要包括:用于指定请求资源的Internet主机和端口号的host消息报头、用于允许客户端指定请求URL的源资源地址的Referer消息报头、包含发出请求的用户信息的Useragent消息报头和Range消息报头。
在本实施例中,用户通过客户端的web浏览器,如IE、Firefox或Chrome等访问网站时,消息报头的值是web浏览器自动携带的。但当用户通过搜索引擎访问网站,消息报头则带有搜索引擎自身的标识。常用的搜索引擎例如Google、Baidu、Bing等。
步骤210,对http请求及其响应进行处理以识别网页是否被篡改。
在本实施例中,首先缓存http请求及其响应;然后按照修改http请求以获取新的http请求,并将新的http请求发送至web服务器获取新的http请求的响应;最后将获取的响应与已缓存的响应匹配,如果匹配不成功,则可以判定网页被篡改。
步骤212,检测响应是否被植入暗链,如果是,则执行步骤214,如果否,则执行步骤216。
暗链是指看不见的网站链接,一般情况下,暗链在存在于网站的首页且位置非常隐蔽。暗链不会影响页面的显示,也不会破坏页面的布局,更不会跳转到其他页面。网站攻击者,如黑客通过设置使得暗链隐藏在网页页面,以达到提高链接SEO(Search EngineOptimization,搜索引擎优化)排名的目的。暗链一般位于源代码的底部或顶部。
在本实施例中,将响应与预先存储的暗链特征库进行匹配,如果匹配到暗链特征,则可以判定网页被篡改。
步骤214,判定网页被篡改。
判定网页被篡改后,则可以重定向到篡改前首页、显示提示页、阻断访问、记录日志、短信或邮件通知管理员等,对篡改的网页进行修复或提示。
步骤216,检测响应是否包含木马,如果是,则执行步骤214,如果否,则执行步骤218。
木马程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。
目前检测网络木马的方法已经很成熟,具体的如基于操作行为的隧道木马检测等,在此不再具体列出。
步骤218,返回响应。
如果未检测到木马,则返回响应至客户端,结束本次检测。
需要说明的是,上述网页篡改的识别方法步骤204、步骤208、步骤212和步骤216的判断检测过程同样可以并发执行,不限于上述实施例的顺序执行过程。
上述网页篡改的识别方法,通过判断是否是对配置的web服务器的首页的访问实现了对首页的监控,减少了网页爬取的工作量,提高了识别效率。另外,通过检测请求中是否携带来自搜索引擎的UA和/或referer消息报头、以及对暗链和网马进行检测,不仅提高了识别精确性,而且可以对动态网页进行监控。
如图3所示,在一个实施例中,对首页进行检测以识别网页是否被篡改的步骤包括:
步骤226,获取http请求的响应页面的水印值。
在本实施例中,利用MD5(Message Digest Algorithm,消息摘要算法第5版)计算http请求的响应页面的水印值。
步骤246,判断水印值与缓存的web服务器的首页的水印值是否匹配,如果是,则执行步骤208,如果否,则执行步骤214。
将上述步骤224获取的水印值与已缓存的首页的水印值比较,如果不同,则判定网页被篡改,否则进入判断http请求中是否携带来自搜索引擎的消息报头的步骤。
在一个实施例中,消息报头包括:UA(Useragent,用户代理)消息报头和/或referer消息报头。
Useragent属性是一个只读的字符串,声明了web浏览器用于http请求的用户代理头的值。http referer是header的一部分,当web浏览器向web服务器发出请求的时候,一般会带上referer,用于告知web服务器用户从那个页面链接过来的,web服务器藉此可以获得一些信息用于处理。
通常UA作弊是指http的Useragent消息报头作弊,又称Cloaked Page。UA作弊是指在web服务器上使用一定的手段,对搜索引擎中的巡回机器人显示出与普通阅览者不同内容的网页。referer作弊是指HTTP的referer消息报头作弊,又叫欺骗性重定向(Deceptiveredirects),是说把用户访问的第一个页面迅速重定向至一个内容完全不同的页面。UA作弊和referer作弊的目的都是为了提高SEO排名。
如图3所示,在一个实施例中,对http请求及其响应进行处理以识别网页是否被篡改的步骤包括:
步骤21a,缓存http请求及其响应。
本实施例中,对http请求及其响应进行缓存处理。
步骤21b,修改已缓存的http请求中的UA消息报头和/或referer消息报头,生成新的http请求,并发送新的http请求。
根据预定的条件对已缓存的http请求中的UA消息报头和/或referer消息报头,以生成新的http请求,并将新的http请求发送至web服务器。
步骤21c,判断新的http请求的响应与已缓存的响应是否匹配,如果是,则执行步骤216,如果否,则执行步骤214。
将步骤21b获取的响应与步骤21a缓存的响应进行匹配,如果不相同,则判定网页被篡改,否则进入判断响应是否被植入暗链的步骤。
当http请求携带有来自搜索引擎的UA消息报头和/或referer消息报头时,通过对http请求及其响应进行处理以识别网页被实施了UA作弊和/或referer作弊,提高了网页篡改识别的准确度。进一步的,在一个实施例中,修改已缓存的http访问请求中的UA消息报头和referer消息报头的步骤分别如以下(1)和(2)所述:
(1)将已缓存的http请求中的UA的浏览器类型值修改为主流浏览器类型值。
在本实施例中,将已缓存请求中的useragent的值修改为IE、chrome、firefox等主流浏览器的值。
(2)去除已缓存的http请求中的referer消息报头或者将已缓存的http访问请求中的referer消息报头修改为当前网站的域名或包含当前域名的链接。
上述的UA作弊或者referer作弊过程中,对TCP/IP协议的同一五元组(源IP、源端口、协议、目的IP、目的端口)确定的会话的同一网页的多次访问不必多次检测,只需检测第一次会话的网页,会话过期后,再重新启动检测过程。
在一个实施例中,检测响应是否被植入暗链的步骤包括:
(1)将响应与暗链特征库进行匹配,如果匹配成功,则判定网页被篡改,否则,将响应与恶意网址库进行匹配。
常见植入暗链的方式有设置css,使div等不可见、设置div的边距为负数使其不可见等等,这些方式都有特征,比如HTML的超链接标签<a>没有内容只有href属性“<a href="色情、博彩等"target="_blank"></a>”、HTML的块元素<div>标签position属性设置为可视范围之外,一般为超大负值或正值“<divstyle="position:absolute;top:-878px;left:-967px;">”等,通过收集以及学习分析上述这些特征以建立暗链特征库。暗链特征库可以存储在本地服务器,也可以存储在云端服务器。
将响应与暗链特征库进行匹配,如果匹配成功,则判定网页被篡改,否则,将响应与恶意网址库进行匹配。例如,在本实施例中,将响应与暗链特征库进行匹配,只要发现任意一个与响应相同的特征,就可判定网页被篡改。
(2)通常恶意网站可以分为盗号钓鱼、仿冒欺诈、黑客入侵、博彩赌球、淫秽色情、非法交易与销售、病毒木马、违法违规等。
恶意网址库就是收集并学习恶意网站分类中每一分类的恶意网址。收集通常可以采取开发检测引擎批量抓取检测,也可以开放人工举报接口等的方式实现。恶意网址库可以存储在本地服务器,也可以存储在云端服务器。
将响应与恶意网址库进行匹配,如果匹配成功,则判定网页被篡改,否则,进入检测响应是否包含木马的步骤。例如,在本实施例中,将响应与恶意网址库进行匹配,只要发现任意一个与响应相同的特征,就可判定网页被篡改。
通过响应进行暗和恶意网站检测,不仅提高了网页篡改识别的准确度,而且还可以实现对动态网页进行监控。
如图4所示,在另一个实施例中,还提供一种网页篡改的识别装置,该装置包括:
接收模块402,用于接收http请求;
首页判断模块404,用于判断http请求是否是对配置的web服务器的首页进行的请求;
首页检测模块406,用于当判定http请求是对首页进行的请求时,对首页进行检测以识别网页是否被篡改;
消息报头判断模块408,用于判断http请求是否携带来自搜索引擎的消息报头;
消息报头检测模块410,用于当判定http请求携带来自搜索引擎的消息报头时,对http请求及其响应进行处理以识别网页是否被篡改;
暗链检测模块412,用于当判定http请求未携带来自搜索引擎的消息报头时,判断响应是否被植入暗链;
木马检测模块414,用于当判定响应未被植入木马时,检测响应是否包含木马;
响应模块416,用于当判定响应未包含木马时,返回响应。
在一个实施例中,首页检测模块406具体用于获取所述http请求的响应页面的水印值;判断水印值与缓存的web服务器的首页的水印值是否匹配;如果不匹配,则判定首页被篡改。
在一个实施例中,消息报头包括:UA消息报头和/或referer消息报头。消息报头检测模块410具体用于缓存http请求及其响应;修改已缓存的http请求中的UA消息报头和/或referer消息报头,生成新的http请求,并发送新的http请求;判断新的http请求的响应与已缓存的响应是否匹配;如果不匹配,则判定网页被篡改。
在一个实施例中,消息报头检测模块410具体用于将已缓存的http请求中的UA的浏览器类型值修改为主流浏览器类型值;和/或,去除已缓存的http请求中的referer消息报头或者将所述已缓存的http请求中的referer消息报头修改为当前网站的域名或者包含当前域名的链接。
在一个实施例中,暗链检测模块412具体用于将响应与暗链特征库进行匹配;如果匹配成功,则判定网页被篡改,否则,将响应与恶意网址库进行匹配;如果匹配成功,则判定网页被篡改。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (8)
1.一种网页篡改的识别方法,所述方法包括:
接收http请求;
判断所述http请求是否是对配置的web服务器的首页进行访问的请求,其中,所述首页是指在所述配置的Web服务器上运行的网站的首页;
如果所述http请求是对所述首页进行访问的请求,则对所述首页进行检测以识别网页是否被篡改,否则判断所述http请求是否携带来自搜索引擎的消息报头;
如果所述http请求携带来自搜索引擎的UA消息报头和/或referer消息报头,则缓存所述http请求及其响应;
修改已缓存的http请求中的UA消息报头和/或referer消息报头,生成新的http请求,并发送所述新的http请求;
判断所述新的http请求的响应与已缓存的响应是否匹配;
如果不匹配,则判定网页被篡改,否则,检测所述响应是否被植入暗链;
如果所述响应被植入暗链,则判定网页被篡改,否则,检测所述响应是否包含木马;
如果所述响应包含木马,则判定网页被篡改,否则返回所述响应。
2.根据权利要求1所述的方法,其特征在于,所述对所述首页进行检测以识别网页是否被篡改的步骤包括:
获取所述http请求的响应页面的水印值;
判断所述水印值与缓存的所述web服务器的首页的水印值是否匹配;
如果不匹配,则判定网页被篡改,否则进入所述判断所述http请求中是否携带来自搜索引擎的消息报头的步骤。
3.根据权利要求1所述的方法,其特征在于,所述修改已缓存的http访问请求中的UA消息报头和/或referer消息报头的步骤包括:
将所述已缓存的http请求中的UA的浏览器类型值修改为主流浏览器的类型值;
和/或,
去除所述已缓存的http请求中的referer消息报头或者将所述已缓存的http请求中的referer消息报头修改为当前网站的域名或者包含当前域名的链接。
4.根据权利要求1所述的方法,其特征在于,所述检测所述响应是否被植入暗链的步骤包括:
将所述响应与暗链特征库进行匹配,如果匹配成功,则判定网页被篡改,否则,将所述响应与恶意网址库进行匹配;
如果匹配成功,则判定网页被篡改,否则,进入所述检测所述响应是否包含木马的步骤。
5.一种网页篡改的识别装置,其特征在于,所述装置包括:
接收模块,用于接收http请求;
首页判断模块,用于判断所述http请求是否是对配置的web服务器的首页进行的请求,其中,所述首页是指在所述配置的Web服务器上运行的网站的首页;
首页检测模块,用于当判定所述http请求是对所述首页进行的请求时,对所述首页进行检测以识别网页是否被篡改;
消息报头判断模块,用于判断所述http请求是否携带来自搜索引擎的UA消息报头和/或referer消息报头;
消息报头检测模块,用于当判定所述http请求携带来自搜索引擎的UA消息报头和/或referer消息报头时,对缓存所述http请求及其响应;修改已缓存的http请求中的UA消息报头和/或referer消息报头,生成新的http请求,并发送所述新的http请求;判断所述新的http请求的响应与已缓存的响应是否匹配;如果不匹配,则判定网页被篡改;
暗链检测模块,用于当判定所述http请求未携带来自搜索引擎的UA消息报头和/或referer消息报头时,判断所述响应是否被植入暗链;
木马检测模块,用于当判定所述响应未被植入木马时,检测所述响应是否包含木马;
响应模块,用于当判定所述响应未包含木马时,返回所述响应。
6.根据权利要求5所述的装置,其特征在于,所述首页检测模块具体用于:获取所述http请求的响应页面的水印值;判断所述水印值与缓存的所述web服务器的首页的水印值是否匹配;如果不匹配,则判定所述网页被篡改。
7.根据权利要求5所述的装置,其特征在于,所述消息报头检测模块具体用于:将所述已缓存的http请求中的UA的浏览器类型值修改为主流浏览器类型值;和/或,去除所述已缓存的http请求中的referer消息报头或者将所述已缓存的http请求中的referer消息报头修改为当前网站的域名或者包含当前域名的链接。
8.根据权利要求5所述的装置,其特征在于,所述暗链检测模块具体用于:将所述响应与暗链特征库进行匹配;如果匹配成功,则判定网页被篡改,否则,将所述响应与恶意网址库进行匹配;如果匹配成功,则判定网页被篡改。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510537463.6A CN105184159B (zh) | 2015-08-27 | 2015-08-27 | 网页篡改的识别方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510537463.6A CN105184159B (zh) | 2015-08-27 | 2015-08-27 | 网页篡改的识别方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105184159A CN105184159A (zh) | 2015-12-23 |
| CN105184159B true CN105184159B (zh) | 2018-11-27 |
Family
ID=54906233
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510537463.6A Active CN105184159B (zh) | 2015-08-27 | 2015-08-27 | 网页篡改的识别方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105184159B (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107436873B (zh) * | 2016-05-25 | 2021-05-07 | 北京奇虎科技有限公司 | 一种网址跳转方法、装置及中转装置 |
| CN106911693B (zh) * | 2017-02-27 | 2020-11-10 | 百度在线网络技术(北京)有限公司 | 用于检测网页内容劫持的方法、装置和终端设备 |
| CN106878345A (zh) * | 2017-04-25 | 2017-06-20 | 杭州迪普科技股份有限公司 | 一种篡改防护的方法及装置 |
| CN109391584A (zh) * | 2017-08-03 | 2019-02-26 | 武汉安天信息技术有限责任公司 | 一种疑似恶意网站的识别方法及装置 |
| US10693893B2 (en) * | 2018-01-16 | 2020-06-23 | International Business Machines Corporation | Detection of man-in-the-middle in HTTPS transactions independent of certificate trust chain |
| CN108650527B (zh) * | 2018-03-12 | 2020-12-15 | 百途新媒体技术(北京)有限公司 | 一种基于iptv的epg安全监控方法及系统 |
| CN108595957B (zh) * | 2018-05-02 | 2023-04-14 | 腾讯科技(深圳)有限公司 | 浏览器主页篡改检测方法、装置及存储介质 |
| JP6716051B2 (ja) * | 2018-07-26 | 2020-07-01 | デジタルア−ツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
| CN109190412A (zh) * | 2018-09-17 | 2019-01-11 | 杭州安恒信息技术股份有限公司 | 网页篡改的检测方法和装置 |
| CN110011964B (zh) * | 2019-02-27 | 2021-09-24 | 同盾控股有限公司 | 一种网页环境检测方法和装置 |
| CN110309667B (zh) * | 2019-04-16 | 2022-08-30 | 网宿科技股份有限公司 | 一种网站暗链检测方法和装置 |
| CN110457900B (zh) * | 2019-08-19 | 2021-05-28 | 杭州安恒信息技术股份有限公司 | 一种网站监测方法、装置、设备及可读存储介质 |
| CN110929257B (zh) * | 2019-10-30 | 2022-02-01 | 武汉绿色网络信息服务有限责任公司 | 一种网页中携带恶意代码的检测方法和装置 |
| CN111191414B (zh) * | 2019-11-11 | 2021-02-02 | 苏州亿歌网络科技有限公司 | 一种页面水印生成方法、识别方法、装置、设备及存储介质 |
| CN110912918A (zh) * | 2019-12-02 | 2020-03-24 | 泰康保险集团股份有限公司 | 页面修复方法及装置 |
| CN111143722A (zh) * | 2019-12-23 | 2020-05-12 | 杭州安恒信息技术股份有限公司 | 一种网页暗链检测方法、装置、设备及介质 |
| CN111262842B (zh) * | 2020-01-10 | 2022-09-06 | 恒安嘉新(北京)科技股份公司 | 网页防篡改方法、装置、电子设备、及存储介质 |
| CN111586037B (zh) * | 2020-05-06 | 2022-05-06 | 全知科技(杭州)有限责任公司 | 一种参数篡改网络请求异常的检测方法 |
| CN112003873B (zh) * | 2020-08-31 | 2022-04-19 | 成都安恒信息技术有限公司 | 一种抗DDoS攻击的http流量防御方法及系统 |
| CN114401115B (zh) * | 2021-12-20 | 2024-04-05 | 浙江乾冠信息安全研究院有限公司 | 对反检测的网页篡改进行检测的方法、系统、装置和介质 |
| CN115174164A (zh) * | 2022-06-21 | 2022-10-11 | 南京赛宁信息技术有限公司 | 基于浏览器缓存的防页面篡改方法、系统与设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102436564A (zh) * | 2011-12-30 | 2012-05-02 | 奇智软件(北京)有限公司 | 一种识别被篡改网页的方法及装置 |
| CN102622435A (zh) * | 2012-02-29 | 2012-08-01 | 百度在线网络技术(北京)有限公司 | 一种检测黑链的方法和装置 |
| CN102831570A (zh) * | 2012-08-21 | 2012-12-19 | 西南交通大学 | 可在浏览器上定位篡改位置的网页水印生成与认证方法 |
| CN103065089A (zh) * | 2012-12-11 | 2013-04-24 | 深信服网络科技(深圳)有限公司 | 网页木马的检测方法和装置 |
-
2015
- 2015-08-27 CN CN201510537463.6A patent/CN105184159B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102436564A (zh) * | 2011-12-30 | 2012-05-02 | 奇智软件(北京)有限公司 | 一种识别被篡改网页的方法及装置 |
| CN102622435A (zh) * | 2012-02-29 | 2012-08-01 | 百度在线网络技术(北京)有限公司 | 一种检测黑链的方法和装置 |
| CN102831570A (zh) * | 2012-08-21 | 2012-12-19 | 西南交通大学 | 可在浏览器上定位篡改位置的网页水印生成与认证方法 |
| CN103065089A (zh) * | 2012-12-11 | 2013-04-24 | 深信服网络科技(深圳)有限公司 | 网页木马的检测方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105184159A (zh) | 2015-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105184159B (zh) | 网页篡改的识别方法和装置 | |
| Zhang et al. | Crawlphish: Large-scale analysis of client-side cloaking techniques in phishing | |
| US9509714B2 (en) | Web page and web browser protection against malicious injections | |
| US9712560B2 (en) | Web page and web browser protection against malicious injections | |
| US10469531B2 (en) | Fraud detection network system and fraud detection method | |
| US9621566B2 (en) | System and method for detecting phishing webpages | |
| JP6624771B2 (ja) | クライアントベースローカルマルウェア検出方法 | |
| CN105871850B (zh) | 爬虫检测方法和系统 | |
| EP2513800B1 (en) | Methods and systems of detecting and analyzing correlated operations in a common storage | |
| CN110912889B (zh) | 一种基于智能化威胁情报的网络攻击检测系统和方法 | |
| Liu et al. | A novel approach for detecting browser-based silent miner | |
| CN101895516B (zh) | 一种跨站脚本攻击源的定位方法及装置 | |
| CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
| CN106453438B (zh) | 一种网络攻击的识别方法及装置 | |
| CN107612924A (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN107579997A (zh) | 无线网络入侵检测系统 | |
| CN103914655A (zh) | 一种检测下载文件安全性的方法及装置 | |
| CN106230835B (zh) | 基于Nginx日志分析和IPTABLES转发的反恶意访问的方法 | |
| CN105635064B (zh) | Csrf攻击检测方法及装置 | |
| WO2017063274A1 (zh) | 一种恶意跳转及恶意嵌套类不良网站的自动判定方法 | |
| CN107465702A (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN107800686A (zh) | 一种钓鱼网站识别方法和装置 | |
| Singh et al. | Malcrawler: A crawler for seeking and crawling malicious websites | |
| CN107566401A (zh) | 虚拟化环境的防护方法及装置 | |
| WO2020211130A1 (zh) | 一种网站暗链检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 518000 the first floor of A1 building, Nanshan Zhiyuan 1001, Nanshan District Xue Yuan Avenue, Shenzhen, Guangdong. Applicant after: SINFOR Polytron Technologies Inc Address before: 518000 the first floor of A1 building, Nanshan Zhiyuan 1001, Nanshan District Xue Yuan Avenue, Shenzhen, Guangdong. Applicant before: Shenxinfu Electronics Science and Technology Co., Ltd., Shenzhen |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |