CN113438217B - 一种基于两级防护体系的网页防篡改方法及装置 - Google Patents
一种基于两级防护体系的网页防篡改方法及装置 Download PDFInfo
- Publication number
- CN113438217B CN113438217B CN202110676478.6A CN202110676478A CN113438217B CN 113438217 B CN113438217 B CN 113438217B CN 202110676478 A CN202110676478 A CN 202110676478A CN 113438217 B CN113438217 B CN 113438217B
- Authority
- CN
- China
- Prior art keywords
- file
- webpage
- edge
- web page
- changed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 230000001360 synchronised effect Effects 0.000 claims abstract description 21
- 230000008859 change Effects 0.000 claims abstract description 20
- 230000008569 process Effects 0.000 claims abstract description 7
- 238000012544 monitoring process Methods 0.000 claims description 33
- 230000009467 reduction Effects 0.000 claims description 12
- 238000005516 engineering process Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种基于两级防护体系的网页防篡改方法及装置,方法包括:将网页文件存放于用户无法直接访问的局域网内中心服务器中,中心服务器中的网页文件称为中心网页源文件;将中心网页源文件同步给对用户提供服务的边缘服务器,由中心服务器同步给边缘服务器的网页文件为边缘网页源文件;将边缘网页源文件同步给应用服务器上供实际用户访问使用的网页文件;对边缘网页源文件和实际用户访问的网页文件进行检测;文件在发生变化的过程中,不干预文件变化的行为,而是在文件变化结束后,如果是实际用户访问的网页文件发生了变化,则立刻从边缘网页源文件进行同步,如果是边缘网页源文件发生了变化,则立刻从中心网页源文件进行同步。
Description
技术领域
本发明属于计算机技术领域,尤其是涉及一种基于两级防护体系的网页防篡改方法及装置。
背景技术
网络是目前使用最广泛的访问方式,让未授权用户不能篡改网页内容,已经成为网络应用提供商的必要诉求。目前常见的网页防篡改技术有:(a) 去除全部文件和目录的可编辑权限;(b) 监测指定目录的文件变更,将变更的文件路径、变更方法同自定义规则进行匹配,匹配通过则放行,匹配失败则阻断。
(a)方法弊端是任何人无法修改文件,除非用最高权限账号(如root)先对目录和文件的权限调整成可读写,然后再进行文件更新。这样的方案的网页更新效率低,而且最高权限账号频繁使用更容易导致安全漏洞,不具备实用性。
(b)方法的弊端是适用性差。第一,这套技术需要进行系统层面的调整,难度高,有风险;第二,这套技术不能直接适用于市面上在用的系统,对不同的系统以及系统版本,可能都要进行不同程度的调整,甚至完全不同的调整方法;第三,不同业务网页结构不同,一套规则不一定能完全适用所有网页结构,因此需要为不同的结构指定不同的规则。
发明内容
本发明旨在解决上述技术问题,提供一种基于两级防护体系的网页防篡改方法及装置。
为了达到上述目的,本发明采用如下技术方案:
一种基于两级防护体系的网页防篡改方法,所述方法包括:
(1)首先将网页文件存放于用户无法直接访问的局域网内中心服务器中,将存放于中心服务器中的网页文件称为中心网页源文件;
(2)接着将中心网页源文件同步给对用户提供服务的边缘服务器,将由中心服务器同步给边缘服务器的网页文件称为边缘网页源文件;
(3)接着将边缘服务器中的边缘网页源文件同步给实际提供用户服务使用的网页文件;
(4)再对边缘网页源文件和实际提供用户服务的网页文件进行检测;
(5) 文件在发生变化的过程中,不干预文件变化的行为,而是在文件变化结束后,如果是实际用户访问的网页文件发生了变化,则立刻从边缘服务器的边缘网页源文件进行同步,将发生变化的文件复制以覆盖变化的文件,如果是边缘网页源文件发生了变化,则立刻从中心服务器的中心网页源文件进行同步,将发生变化的文件复制以覆盖变化的文件。
作为优选,步骤(2)中的同步方式采用本地同步方式,当实际用户服务的网页文件被篡改时,向边缘网页源文件同步。
作为优选,步骤(2)和步骤(3)中所同步的文件不涉及任意视频文件。
作为优选,如果要变更文件,则对中心网页源文件进行变更,变更后的文件同步给边缘网页源文件,再同步给提供用户服务的网页文件,以此支持实时更新。
作为优选,网页受到攻击后,网页源文件的监测还原方法包括:
(1)攻击者通过公网线路篡改源文件;
(2)监测工具监测文件是否发生了变化,如果发现了文件变更,则请求还原;
(3)监测工具将发生变化的文件路径提供给还原工具;
(4)还原工具根据监测工具的请求,决定采用本地还原还是中心还原;
(5)最后被篡改的文件被快速覆盖,用户感知不到覆盖的操作;
其中本地还原为将边缘网页源文件同步给实际用户服务的网页文件,中心还原为将中心网页源文件同步给边缘网页源文件。
本发明还提供一种基于上述的网页防篡改方法的网页防篡改装置,包括一个边缘服务器和一个中心服务器,其中,
边缘服务器:
(1)边缘服务器对因特网用户提供服务,用户可以通过互联网线路访问该边缘服务器网页文件;
(2)边缘服务器至少有双网口,其一配置因特网地址,用户可以通过因特网路线访问此边缘服务器;
(3)边缘服务器另一个网口配置局域网地址,只有企业内部网络可以访问;
中心服务器:
(1)中心服务器不对因特网提供服务,因特网用户无法通过因特网感知到此中心服务器的存在;
(2)中心服务器处于局域网中,只有企业内部网络可以访问;
(3)中心服务器至少有一个网口可以通过局域网线路与边缘服务器交互。
作为优选,所述网页防篡改装置还包括监测工具和还原工具,监测工具监测文件是否发生了变化,如果发现了文件变更,则请求还原;监测工具将发生变化的文件路径提供给还原工具;还原工具根据监测工具的请求,决定采用本地还原还是中心还原;其中本地还原为将边缘网页源文件同步给实际服务的网页文件,中心还原为将中心网页源文件同步给边缘网页源文件。
采用上述技术方案后,本发明具有如下优点:
采用本网页防篡改方法后,如果攻击者要想变更文件,他需要先破解边缘网页源文件向实际服务的网页文件同步的逻辑,但破解后页面依旧不会显示攻击者们变更后的文件,他需要再破解中心网页源文件向边缘网页源文件同步的逻辑。因此黑客必须破解两层防护,才能修改文件。而且在第二层防御中,由于中心服务器不对外提供服务,攻击者们无法直接接触到中心服务器,因此安全性相对更高。
通过引入边缘网页源文件提高同步速度,本网页防篡改方法同步速度可以达到毫秒甚至微秒级别,用户无感知;由于本方法不需要干预文件变更的过程,因此不需要对系统层进行调整,因此适用于任何操作系统;本方法是从系统底层对任意文件的变化进行实时监控,拥有对所有被监控文件的最高操作权限,因此不需要考虑网页、网站的逻辑结构,不需要编写针对性的规则,维护轻便;可同时监测多个服务,在发现有异常篡改时可立刻断开服务,工程的可实现性高。
附图说明
图1为本发明的一种基于两级防护体系的网页防篡改方法的流程图;
图2为正常业务发布后网页文件更新的流程图;
图3为网页受到攻击后网页源文件的监测还原方法的流程图。
具体实施方式
以下结合附图及具体实施例,对本发明作进一步的详细说明。
如图1所示,一种基于两级防护体系的网页防篡改方法,所述方法包括步骤:
(1)首先将网页文件存放于用户无法直接访问的局域网内中心服务器中,将存放于中心服务器中的网页文件称为中心网页源文件;
(2)接着将中心网页源文件同步给对用户提供服务的边缘服务器,将由中心服务器同步给边缘服务器的网页文件称为边缘网页源文件;
(3)接着将边缘服务器中的边缘网页源文件同步给实际应用服务器使用的网页文件;
(4)再对边缘网页源文件和实际应用服务的网页文件进行检测;
(5) 文件在发生变化的过程中,不干预文件变化的行为,而是在文件变化结束后,如果是实际用户访问的网页文件发生了变化,则立刻从边缘服务器的边缘网页源文件进行同步,将发生变化的文件复制以覆盖变化的文件,如果是边缘网页源文件发生了变化,则立刻从中心服务器的中心网页源文件进行同步,将发生变化的文件复制以覆盖变化的文件。
步骤(2)中的同步方式采用本地同步方式,当实际服务的网页文件被篡改时,向边缘网页源文件同步。
步骤(2)和步骤(3)中所同步的文件不涉及任意视频文件。
如图2所示,如果要变更发布文件,则对中心网页源文件进行发布变更,发布后的文件同步给边缘网页源文件,再同步给提供用户服务的网页文件,以此支持实时更新。
(1)首先运营人员通过正常的运营发布流程将需要更新的网页文件发布并存放于用户无法直接访问的局域网内中心服务器中;
(2)监控工具检测到中心网页源文件发生变化 ,立刻将中心网页源文件同步覆盖更新给对用户提供服务的边缘服务器;
(3)边缘服务器中的监控工具能立即检测到边缘网页源文件也发生了变化,立刻同步覆盖更新给实际用户服务使用的网页文件;
本发明还提供一种基于上述的网页防篡改方法的网页防篡改装置,包括一个边缘服务器和一个中心服务器,其中,
边缘服务器:
(1)边缘服务器对因特网用户提供服务,用户可以通过互联网线路访问该边缘服务器网页文件;
(2)边缘服务器至少有双网口,其一配置因特网地址,用户可以通过因特网路线访问此边缘服务器;
(3)边缘服务器另一个网口配置局域网地址,只有企业内部网络可以访问;
中心服务器:
(1)中心服务器不对因特网提供服务,因特网用户无法通过因特网感知到此中心服务器的存在;
(2)中心服务器处于局域网中,只有企业内部网络可以访问;
(3)中心服务器至少有一个网口可以通过局域网线路与边缘服务器交互。
所述网页防篡改装置还包括监测工具和还原工具,监测工具监测文件是否发生了变化,如果发现了文件变更,则请求还原;监测工具将发生变化的文件路径提供给还原工具;还原工具根据监测工具的请求,决定采用本地还原还是中心还原;其中本地还原为将边缘网页源文件同步给实际服务的网页文件,中心还原为将中心网页源文件同步给边缘网页源文件。
监测工具在实际工程部署中可以是INotify等开源软件,或基于相同机制的应用软件,用Java或C开发均可实现,还可以是操作系统级别的服务,如Linux的安全审计服务Audit;还原工具可以是Rsync等开源软件,也可以是基于相同交互协议的应用软件,用Java或C开发均可实现。
如图3所示,网页受到攻击后,网页源文件的监测还原方法包括:
(1)攻击者通过公网线路篡改源文件;
(2)监测工具监测文件是否发生了变化,如果发现了文件变更,则请求还原;
(3)监测工具将发生变化的文件路径提供给还原工具;
(4)还原工具根据监测工具的请求,决定采用本地还原还是中心还原;
(5)最后被篡改的文件被快速覆盖,用户感知不到覆盖的操作;
其中本地还原为将边缘网页源文件同步给实际用户服务的网页文件,中心还原为将中心网页源文件同步给边缘网页源文件。
采用本网页防篡改方法后,如果攻击者要想变更文件,他需要先破解边缘网页源文件向实际服务的网页文件同步的逻辑,但破解后页面依旧不会显示攻击者们变更后的文件,他需要再破解中心网页源文件向边缘网页源文件同步的逻辑。因此黑客必须破解两层防护,才能修改文件。而且在第二层防御中,由于中心服务器不对外提供服务,攻击者们无法直接接触到中心服务器,因此安全性相对更高。
通过引入边缘网页源文件提高同步速度,本网页防篡改方法同步速度可以达到毫秒甚至微秒级别,用户无感知,且采用本地和远程两级源文件的机制,可以规避边缘服务器与中心服务器中间因为网络异常如抖动、短时中断等情况而影响还原的有效性;由于本方法不需要干预文件变更的过程,因此不需要对系统层进行调整,因此适用于任何操作系统;本方法是从系统底层对任意文件的变化进行实时监控,拥有对所有被监控文件的最高操作权限,因此不需要考虑网页、网站的逻辑结构,不需要编写针对性的规则,维护轻便;可同时监测多个服务,在发现有异常篡改时可立刻断开服务,工程的可实现性高。
除上述优选实施例外,本发明还有其他的实施方式,本领域技术人员可以根据本发明作出各种改变和变形,只要不脱离本发明的精神,均应属于本发明所附权利要求所定义的范围。
Claims (5)
1.一种基于两级防护体系的网页防篡改方法,应用于网页防篡改方法的网页防篡改装置,其特征在于,所述方法包括:
(1)首先将网页文件存放于用户无法直接访问的局域网内中心服务器中,将存放于中心服务器中的网页文件称为中心网页源文件;
(2)接着将中心网页源文件同步给对用户提供服务的边缘服务器,将由中心服务器同步给边缘服务器的网页文件称为边缘网页源文件;
(3)接着将边缘服务器中的边缘网页源文件同步给实际用户访问使用的网页文件;
(4)再对边缘网页源文件和实际用户访问的网页文件进行检测;
(5) 文件在发生变化的过程中,不干预文件变化的行为,而是在文件变化结束后,如果是实际用户访问的网页文件发生了变化,则立刻从边缘服务器的边缘网页源文件进行同步,将发生变化的文件复制以覆盖变化的文件,如果是边缘网页源文件发生了变化,则立刻从中心服务器的中心网页源文件进行同步,将发生变化的文件复制以覆盖变化的文件;
所述网页防篡改装置,包括一个边缘服务器和一个中心服务器,其中,
边缘服务器对企业专用网或因特网用户提供服务,用户可以通过企业专用网线路或因特网线路访问该边缘服务器网页文件;
边缘服务器至少有双网口,其一配置企业专用网或因特网地址,用户可以通过企业专用网或因特网路线访问此边缘服务器;
边缘服务器另一个网口配置局域网地址,只有企业内部网络可以访问;
中心服务器不对企业专用网或因特网提供服务,企业专用网或因特网用户无法通过企业专用网或因特网感知到此中心服务器的存在;
中心服务器处于局域网中,只有企业内部网络可以访问;
中心服务器至少有一个网口可以通过局域网线路与边缘服务器交互;
所述网页防篡改装置还包括监测工具和还原工具,监测工具监测文件是否发生了变化,如果发现了文件变更,则请求还原;监测工具将发生变化的文件路径提供给还原工具;还原工具根据监测工具的请求,决定采用本地还原还是中心还原;其中本地还原为将边缘网页源文件同步给实际服务的网页文件,中心还原为将中心网页源文件同步给边缘网页源文件。
2.如权利要求1所述的基于两级防护体系的网页防篡改方法,其特征在于,步骤(2)中的同步方式采用本地同步方式,当实际用户访问的网页文件被篡改时,向边缘网页源文件同步。
3.如权利要求1所述的基于两级防护体系的网页防篡改方法,其特征在于,步骤(2)和步骤(3)中所同步的文件不涉及任意视频文件。
4.如权利要求1所述的基于两级防护体系的网页防篡改方法,其特征在于,
网页受到攻击后,网页源文件的监测还原方法包括:
(1)攻击者通过因特网线路篡改源文件;
(2)监测工具监测文件是否发生了变化,如果发现了文件变更,则请求还原;
(3)监测工具将发生变化的文件路径提供给还原工具;
(4)还原工具根据监测工具的请求,决定采用本地还原还是中心还原;
(5)最后被篡改的文件被快速覆盖,用户感知不到覆盖的操作;
其中本地还原为将边缘网页源文件同步给实际用户服务的网页文件,中心还原为将中心网页源文件同步给边缘网页源文件。
5.如权利要求1所述的基于两级防护体系的网页防篡改方法,其特征在于,如果要变更文件,则对中心服务器的网页源文件进行变更,中心服务器上的监控工具检测到变更后,通过内网链路对边缘网页源文件进行覆盖更新,成功后再对用户服务的网页文件进行覆盖更新,从而完成日常的网页发布更新。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110676478.6A CN113438217B (zh) | 2021-06-18 | 2021-06-18 | 一种基于两级防护体系的网页防篡改方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110676478.6A CN113438217B (zh) | 2021-06-18 | 2021-06-18 | 一种基于两级防护体系的网页防篡改方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113438217A CN113438217A (zh) | 2021-09-24 |
CN113438217B true CN113438217B (zh) | 2022-08-23 |
Family
ID=77756547
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110676478.6A Active CN113438217B (zh) | 2021-06-18 | 2021-06-18 | 一种基于两级防护体系的网页防篡改方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113438217B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010003317A1 (zh) * | 2008-07-11 | 2010-01-14 | 中联绿盟信息技术(北京)有限公司 | 一种防止网页被篡改的设备、方法和系统 |
CN102546253A (zh) * | 2012-01-05 | 2012-07-04 | 中国联合网络通信集团有限公司 | 网页防篡改方法、系统和管理服务器 |
CN103685297A (zh) * | 2013-12-24 | 2014-03-26 | 朱筱华 | 网页监控防篡改报警系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002175010A (ja) * | 2000-09-29 | 2002-06-21 | Shinu Ko | ホームページ改竄防止システム |
CN102710652A (zh) * | 2012-06-12 | 2012-10-03 | 北京星网锐捷网络技术有限公司 | 一种Web应用入侵防御方法、装置、网络设备及系统 |
CN103236932A (zh) * | 2013-05-07 | 2013-08-07 | 安徽海加网络科技有限公司 | 一种基于访问控制和目录保护的网页防篡改装置及方法 |
CN107580075B (zh) * | 2017-10-25 | 2021-07-20 | 国家电网公司 | 主页推送方法与系统 |
-
2021
- 2021-06-18 CN CN202110676478.6A patent/CN113438217B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010003317A1 (zh) * | 2008-07-11 | 2010-01-14 | 中联绿盟信息技术(北京)有限公司 | 一种防止网页被篡改的设备、方法和系统 |
CN102546253A (zh) * | 2012-01-05 | 2012-07-04 | 中国联合网络通信集团有限公司 | 网页防篡改方法、系统和管理服务器 |
CN103685297A (zh) * | 2013-12-24 | 2014-03-26 | 朱筱华 | 网页监控防篡改报警系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113438217A (zh) | 2021-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Li et al. | A blockchain based new secure multi-layer network model for internet of things | |
JP5517267B2 (ja) | ウェブページ改竄防止設備、ウェブページ改竄防止方法及びそのシステム | |
US7353511B1 (en) | Method and system for dynamically distributing updates in a network | |
JP2008537203A (ja) | 障害復旧フレームワーク | |
JP2010530562A (ja) | 固定コンテンツ分散型データ記憶システムにおけるデータ機密保持方法 | |
JP2002540540A (ja) | ファイルの保全性を保証するサーバコンピュータ | |
JP2012526501A (ja) | ネットワーク内容改竄防止設備、方法及びそのシステム | |
CN106385455A (zh) | 一种基于cdn镜像的整站锁设置方法 | |
CN104348914A (zh) | 一种防篡改系统文件同步系统及其方法 | |
CN113498589A (zh) | Api和加密密钥机密管理系统和方法 | |
US9231827B2 (en) | Formalizing, diffusing and enforcing policy advisories and monitoring policy compliance in the management of networks | |
EP2013771B1 (en) | Method for managing domain using multi domain manager and domain system | |
CN113438217B (zh) | 一种基于两级防护体系的网页防篡改方法及装置 | |
CN102480521B (zh) | web应用安全综合防御保障系统 | |
US11341245B1 (en) | Secure delivery of software updates to an isolated recovery environment | |
US20020066044A1 (en) | Information distributing system and method thereof | |
CN113114676B (zh) | 一种Web安全防护与监控系统 | |
JP2005011061A (ja) | ホームページ改ざん攻撃からWebサーバを守る監視/運用システム,方法およびプログラム | |
CN110602092B (zh) | 一种基于进程转发的仅允许指定ip更新网站的方法 | |
JP2004021873A (ja) | インターネットシステム監視装置 | |
US7607572B2 (en) | Formalizing, diffusing, and enforcing policy advisories and monitoring policy compliance in the management of networks | |
CN113938477A (zh) | 一种基于区块链的跨域图片传播访问控制方法及系统 | |
JP2003167786A (ja) | ネットワーク監視システム | |
KR101044291B1 (ko) | 실시간 웹페이지 위변조 탐지 및 복구시스템 | |
CN110602091A (zh) | 一种通过修改网络数据包实现网站更新的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |