[发明专利]一种网页篡改的检测方法及装置

说明书

技术领域

本发明涉及计算机网站安全领域，特别是涉及一种网页篡改的检测方法及装置。

背景技术

随着互联网的快速发展，互联网上网站数量也越来越多。许多网站都是实体机构及组织在互联网中的形象展示。而一些具有不良企图的组织或个人通过扫描服务器的弱口令、漏洞，然后攻击网站并对其进行恶意篡改。

虽然目前已有防火墙、入侵检测等安全防范手段，但现代操作系统的复杂性和多样性导致系统漏洞层出不穷，防不胜防。黑客入侵和篡改页面的事件时有发生。针对此，网页防篡改系统应运而生。例如，给网页挂黑链和黑词，是网页篡改主要表现形式。

目前的网页防篡改系统对黑链和黑词的检测方法过于简单，而且黑链和黑词嵌入网页的方法层出不穷，日益变化。很多黑链和黑词都能绕过检测系统。目前，国内外主要采用以下两类黑链检测技术：

(1)静态特征匹配方式：

即通过特征串(即大量人工收集的关键字)匹配网页中的HTML正文，以判断其是否被黑链篡改。

(2)在网页发布系统中增加网页内容审核和校验机制：

即在网页发布系统中构建一个网页内容实时检测系统，所有网页发布的内容都经过该系统，经过确认后才能发布，同时还建立了网页内容指纹库，篡改检测系统通过定期扫描网页内容和指纹库内容对比来发现网页是否被黑链篡改。

上述两种检测技术均仅仅依赖于篡改特征库，而篡改特征库一般是固定不变的。但是黑链黑词嵌入网页的方式日益变化，层出不穷。这样很多黑链可以成功绕过固有的篡改特征库，以致即使网页被黑客篡改了，检测程序依然无法检测出来恶意篡改。

因此需要一种新的网页篡改检测方法，提供一种黑词黑链的获取机制，用以在尽可能低成本、高效率获取最新的黑词黑链特征，并根据新获取的黑词黑链特征对网站进行检测，以提高检测页面被恶意篡改的准确率。

发明内容

为解决现有技术中存在的上述技术问题，本发明提供了一种网页篡改的检测方法及其装置，能够低成本、高效率获取最新的黑词黑链特征，并根据新获取的黑词黑链特征对网站进行检测，以提高检测页面被恶意篡改的准确率。

根据本发明一方面，其提供了一种网页篡改的检测方法，其包括：

根据篡改特征库检测网页中的篡改内容，提取所述篡改内容中的黑词-黑链对，所述黑词-黑链对由黑词及其对应的黑链组成；

若所述黑词-黑链对的出现频率高于预定阈值，则将其存入黑词-黑链库中；

若根据篡改特征库未检测到网页中的篡改内容，则根据黑词-黑链库检测网页中的篡改内容。

其中，所述黑词-黑链库中存储有黑词及其对应的由至少一个黑链组成的黑链集。

其中，在根据黑词-黑链库检测网页中的篡改内容时，利用所述黑词及其对应的黑链进行匹配。

其中，若待检测网页中出现的黑词对应的链接存在于所述黑词-黑链库中该黑词对应的黑链集中，则确定该待检测网页被篡改。

其中，若待检测网页中出现的黑词对应的链接存在于所述黑词-黑链库中该黑词对应的黑链集中的预定位之前，则确定该待检测网页被篡改；其中，所述黑链集为根据黑链的出现频率排序后的有序集合。

其中，所述篡改特征库包含黑链的正则表达式。

根据本发明另一方面，其还提供了一种网页篡改的检测装置，其包括：

第一检测模块，其根据篡改特征库检测网页中的篡改内容，提取所述篡改内容中的黑词-黑链对，所述黑词-黑链对由黑词及其对应的黑链组成；

库生成模块，若所述黑词-黑链对的出现频率高于预定阈值，其将所述黑词-黑链对存入黑词-黑链库中；

第二检测模块，若根据篡改特征库未检测到网页中的篡改内容，其根据黑词-黑链库检测网页中的篡改内容。

其中，所述黑词-黑链库中存储有黑词及其对应的由至少一个黑链组成的黑链集。

其中，第二检测模块利用所述黑词及其对应的黑链进行匹配。

其中，第二检测模块检测到待检测网页中出现的黑词对应的链接存在于所述黑词-黑链库中该黑词对应的黑链集中，则确定该待检测网页被篡改。

其中，第二检测模块检测到待检测网页中出现的黑词对应的链接存在于所述黑词-黑链库中该黑词对应的黑链集中的预定位之前，则确定该待检测网页被篡改；其中，所述黑链集为根据黑链的出现频率排序后的有序集合。

其中，所述篡改特征库包含黑链的正则表达式。