技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全。具體來說，涉及到基于前置網(wǎng)關(guān)實(shí)現(xiàn)對(duì)網(wǎng)站頁面篡改檢測(cè)和篡改保護(hù)的方法及系統(tǒng)，屬于信息安全技術(shù)領(lǐng)域。

背景技術(shù)

網(wǎng)站(website)是因特網(wǎng)上，根據(jù)一定的規(guī)則，使用HTML等工具制作的用于展示特定內(nèi)容的相關(guān)頁面的集合。簡單說來，網(wǎng)站是一種通訊工具，用來發(fā)布想要公開的信息。頁面(webpage)是構(gòu)成網(wǎng)站的基本元素，是承載各種網(wǎng)站應(yīng)用的平臺(tái)。用戶通過訪問網(wǎng)站的頁面獲得網(wǎng)站提供的服務(wù)，頁面是網(wǎng)站向用戶傳遞網(wǎng)站內(nèi)容的載體。現(xiàn)在大多數(shù)政府和企業(yè)均建立了自己的網(wǎng)站，用戶不但能夠通過登錄網(wǎng)站瀏覽頁面掌握資訊，而且能夠通過提交修改頁面完成更復(fù)雜的操作。

頁面是網(wǎng)站提供多樣化服務(wù)的基礎(chǔ)，一旦頁面被篡改，將會(huì)對(duì)整個(gè)網(wǎng)站的形象造成嚴(yán)重的影響甚至對(duì)網(wǎng)站造成重大的經(jīng)濟(jì)損失。現(xiàn)階段頁面篡改已成為網(wǎng)站攻擊的主要方式和手段，其具有傳播速度快，影響范圍廣，預(yù)先防范難等特點(diǎn)，受到攻擊的網(wǎng)站將無法向用戶提供正常的頁面。

目前，頁面篡改保護(hù)的技術(shù)主要有外掛輪詢技術(shù)、核心內(nèi)嵌技術(shù)和事件觸發(fā)技術(shù)。這些篡改防護(hù)手段都是將篡改防護(hù)軟件與網(wǎng)站W(wǎng)eb服務(wù)器緊密耦合在一起，并且要求用戶通過專用的頁面管理接口進(jìn)行頁面管理，從而造成篡改防護(hù)軟件嚴(yán)重依賴于Web系統(tǒng)平臺(tái)而缺乏通用性，而且干擾網(wǎng)站原有的管理模式。例如基于事件觸發(fā)技術(shù)的頁面篡改保護(hù)方法通常將篡改檢測(cè)程序通過微軟文件過濾驅(qū)動(dòng)技術(shù)嵌入到網(wǎng)站服務(wù)器中，對(duì)受保護(hù)的Web頁面進(jìn)行屬性變化監(jiān)測(cè)。這種方法的問題在于：第一，文件過濾驅(qū)動(dòng)技術(shù)嚴(yán)重依賴于網(wǎng)站W(wǎng)eb服務(wù)器和操作系統(tǒng)，而缺乏基本的通用性；第二，該方法從本質(zhì)無法區(qū)分該文件屬性的變化是否屬于正常修改，只是粗略的認(rèn)為只有通過篡改防護(hù)系統(tǒng)提供的專有管理接口進(jìn)行的文件修改才是正常的，這在事實(shí)上排除了網(wǎng)站頁面原有管理模式的合法性，干擾了網(wǎng)站頁面管理。

發(fā)明內(nèi)容

本發(fā)明的目的在于克服現(xiàn)有技術(shù)中存在的問題，提出一種基于前置網(wǎng)關(guān)的頁面防篡改方法和系統(tǒng)。本發(fā)明提出的基于前置網(wǎng)關(guān)的頁面防篡改技術(shù)，通過網(wǎng)站服務(wù)器的前置代理網(wǎng)關(guān)實(shí)現(xiàn)對(duì)網(wǎng)站的頁面的篡改防護(hù)，而不依賴于網(wǎng)站的Web服務(wù)器和操作系統(tǒng)，也不干擾網(wǎng)站現(xiàn)有的頁面管理模式。

為了實(shí)現(xiàn)本發(fā)明的目的，本發(fā)明采用如下技術(shù)方案：

一種基于前置網(wǎng)關(guān)的頁面防篡改方法，所述網(wǎng)關(guān)位于網(wǎng)站和客戶端之間，其特征在于，所述方法包括：a)所述網(wǎng)關(guān)建立目標(biāo)網(wǎng)站的鏡像網(wǎng)站，并儲(chǔ)存目標(biāo)網(wǎng)站各個(gè)頁面的校驗(yàn)值；b)所述網(wǎng)關(guān)按設(shè)定的周期對(duì)目標(biāo)網(wǎng)站頁面和鏡像網(wǎng)站頁面的校驗(yàn)值進(jìn)行比較，當(dāng)發(fā)現(xiàn)不同時(shí)，將校驗(yàn)值不同的目標(biāo)網(wǎng)站頁面的訪問請(qǐng)求重定向至鏡像網(wǎng)站中的相應(yīng)頁面。所述方法還可包括：c)管理員對(duì)目標(biāo)網(wǎng)站進(jìn)行修改期間，所述網(wǎng)關(guān)將目標(biāo)網(wǎng)站的頁面的訪問請(qǐng)求重定向至鏡像網(wǎng)站中的相應(yīng)頁面；所述修改完成后，所述網(wǎng)關(guān)對(duì)目標(biāo)網(wǎng)站的鏡像網(wǎng)站和校驗(yàn)值進(jìn)行更新。

一種基于前置網(wǎng)關(guān)的頁面防篡改系統(tǒng)，所述系統(tǒng)包括位于網(wǎng)站和客戶端之間的網(wǎng)關(guān)，其特征在于，所述網(wǎng)關(guān)包括初始化模塊、篡改檢測(cè)模塊和請(qǐng)求重定向模塊：所述初始化模塊用于建立目標(biāo)網(wǎng)站的鏡像網(wǎng)站，并儲(chǔ)存所述網(wǎng)站中的各個(gè)頁面的校驗(yàn)值；所述篡改檢測(cè)模塊用于按設(shè)定的周期對(duì)目標(biāo)網(wǎng)站頁面和鏡像網(wǎng)站頁面的校驗(yàn)值進(jìn)行比較；所述請(qǐng)求重定向模塊用于將校驗(yàn)值不同的目標(biāo)網(wǎng)站頁面的訪問請(qǐng)求重定向至鏡像網(wǎng)站中的相應(yīng)頁面。所述網(wǎng)關(guān)還可包括鏡像同步模塊，所述鏡像同步模塊用于根據(jù)目標(biāo)網(wǎng)站對(duì)鏡像網(wǎng)站進(jìn)行同步。

下面對(duì)本發(fā)明進(jìn)行更為具體的說明。

一.頁面防篡改方法

在本發(fā)明的技術(shù)方案中，前置網(wǎng)關(guān)全面代理受保護(hù)的Web網(wǎng)站，來自客戶端的HTTP請(qǐng)求被先提交到網(wǎng)關(guān)然后再轉(zhuǎn)發(fā)給Web網(wǎng)站，Web網(wǎng)站返回的HTTP應(yīng)答先到達(dá)網(wǎng)關(guān)然后再轉(zhuǎn)發(fā)給客戶端。在Web網(wǎng)站初次受保護(hù)或者每次內(nèi)容修改時(shí)，網(wǎng)關(guān)通過同步方案在本地建立對(duì)受保護(hù)的Web網(wǎng)站的頁面鏡像，作為后繼篡改檢測(cè)正確性參照和篡改發(fā)生情況下的重定向目標(biāo)。網(wǎng)關(guān)周期性的提取Web網(wǎng)站中的頁面內(nèi)容，然后與前述建立的本地鏡像進(jìn)行比對(duì)，以檢測(cè)頁面篡改的發(fā)生。在發(fā)生頁面篡改的情況下，網(wǎng)關(guān)對(duì)客戶端HTTP請(qǐng)求重定向到本地鏡像中保存的正確頁面，避免篡改內(nèi)容流向客戶端，實(shí)現(xiàn)篡改保護(hù)。

概括地說，本發(fā)明的頁面防篡改方法主要包括：鏡像建立與同步、篡改檢測(cè)和篡改保護(hù)。

·鏡像建立與同步