本發明提供一種網頁篡改識別方法、掃描器、裝置及系統，該方法包括：接收網站側通過第一頁面響應發送的被監測頁面的期望頁面元素集合；接收網站側通過第二頁面響應發送的真實頁面元素集合以及刷新頁面元素集合；根據期望頁面元素集合、真實頁面元素集合以及刷新頁面元素集合，計算基準頁面元素集合；根據基準頁面元素集合、真實頁面元素集合以及期望頁面元素集合，判斷被監測頁面是否被篡改。本發明能夠實現在掃描器側判斷被監測頁面是否被篡改，即站在客戶端的角度對網頁篡改進行識別，避免了現有技術的網頁篡改識別方法無法準確判斷網頁是否被篡改的情況。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種網頁篡改識別方法、掃描器、裝置及系統。

背景技術

保證用戶正常瀏覽網頁的一項關鍵內容是防止網站側發布的網頁(頁面)被黑客篡改。所謂篡改，區別于合法的網頁內容修改(刷新)，是指網頁內容的變化不符合網站管理員或者用戶所請求網頁的預期。

網頁被黑客篡改的方式有多種，方式1：黑客可能攻破網站，直接對該發布的網頁內容進行修改；

方式二，黑客攻擊DNS(Domain Name System，域名系統)系統，通過修改DNS系統的數據，修改網頁內容，從而達到篡改網頁的目的。

現有技術中，檢測網頁被篡改的方案為：

方案1：利用掃描器對網站進行周期性監測，具體為：

在移動終端用戶安裝掃面器軟件，周期性獲取訪問被監測網頁的URL(UniformResoure Locator，統一資源定位器)，按照某種算法設置基準頁面(群)，并將被監測網頁的頁面(群)與基準頁面(群)相比較，得出被監測網頁中被修改的頁面元素占該網頁所有頁面元素的比例，并根據該比例與預先設置的比例閾值判斷頁面是否被修改，該比例小于比例閾值認為被監測網站未被篡改，否則認為被監測網頁被篡改。或者，預先設置某些敏感詞，判斷被監測網頁中包括此類敏感詞時，則認為頁面被黑客篡改。

方案2：在網站側預先建立基準頁面標識庫，其中每個預發布的頁面對應一個頁面標識。在網站對外發布頁面前，將待發布頁面內容與基準頁面庫中相應頁面內容進行比對，如發現兩個頁面有不一致的內容，則認為該待發布頁面在存儲、處理的某環節被(黑客)篡改，不予發布。

上述兩個方案存在一下缺陷：由于現有網站動態網頁技術很多，因此方案1很難準確識別網頁是被篡改還是正常內容刷新，不可避免地存在誤檢和漏檢。對于方案2，對于大規模網站站點，由于頁面數量十分龐大，該方案存在性能瓶頸，而且該方案是在網站服務器側檢測網頁是否被篡改，無法識別黑客在網頁從網站服務器側發出后所篡改的網頁，比如黑客通過攻擊DNS系統篡改網頁就是在網頁從網站側發出后所進行的篡改，這種情況下方案2無法準確判斷到達客戶端的網頁是否被篡改的。

發明內容

本發明提供一種網頁篡改識別方法、掃描器、裝置及系統，用以解決現有技術中網頁篡改識別存在漏檢和誤檢以及無法準確判斷到達客戶端的網頁是否被篡改的技術問題。

一種網頁篡改識別方法，包括：

接收網站側通過第一頁面響應發送的被監測頁面的期望頁面元素集合，所述被監測頁面的期望頁面元素集合為網站側預計在第二掃描周期發送給所述掃描器的所述被監測頁面的頁面元素集合；

接收網站側通過第二頁面響應發送的真實頁面元素集合以及刷新頁面元素集合，所述真實頁面元素集合為網站側在第二掃描周期內真實響應給所述掃描器的所述被監測頁面的頁面元素集合，所述刷新頁面元素集合為在設定時間段內所述網站側保存的頁面元素庫中所有被合法修改的頁面元素對應的頁面元素集合，所述設定時間段為：網站側響應所述第一頁面請求的時刻到響應所述第二頁面請求的時刻對應的時間段，所述第一掃描周期早于所述第二掃描周期；

根據所述期望頁面元素集合、所述真實頁面元素集合以及所述刷新頁面元素集合，計算基準頁面元素集合；