本發明公開了一種基于流量分析的多鏈路網頁篡改判定方法，所述方法包括如下步驟：步驟一、配置網站規則；步驟二、在多個鏈路節點中，捕獲網頁，并且使用相似度比對算法將歷史網頁與當前網頁進行對比，得出網頁是否被篡改的結論；步驟三、將多個鏈路節點的結論進行匯總，并綜合分析，得出網頁是被流量篡改還是源篡改。本發明充分考慮網頁結構的特性，提出層權重概念；結合網頁結構和網站更新及篡改特征，提出元素分類概念、元素影響因子概念和重要屬性概念；結合網頁內容和網站更新及篡改特征，提出內容集合的異常評判標準概念。本發明方法的誤報率遠小于其他方式的網頁篡改判定技術，并且能夠檢測網頁是否被流量劫持。

技術領域

本發明涉及一種網頁篡改判定技術，具體涉及一種基于流量分析的多鏈路網頁篡改判定方法。

背景技術

根據部署的位置，可以將現有的網頁篡改判定技術分為兩大類：網頁篡改本地判定技術和網頁篡改遠程判定技術。目前的網頁防篡改軟件大多使用本地篡改判定技術，現有的篡改判定軟件中，天津銳捷網絡的WebGuard、中創軟件中間件公司的InforGuard、上海天存的iGuard、博威特公司的梭子魚、E-lock公司的Tripwire?webalarm均采取了本地篡改判定技術，而目前使用遠程篡改判定技術并且成熟的軟件較少。

在基于網頁相似度的網頁篡改判定技術中，基于編輯距離的相似度比對方法對于靜態網頁來說，能夠簡單并且快速的得出網頁的相似度，并根據相似度判斷出網頁是否被篡改；但是對于動態網頁來說，該方法也可以得出相似度，但是相似度的值卻不具有參考價值，無法準確推斷出是正常的網站更新還是網頁被篡改。基于網頁結構的相似度比對方法可以對網頁結構的改變做出準確的判斷，相似度算法主要針對網頁結構，即：從與歷史網頁的相似度判斷兩個網頁在結構上是否相同，也即網頁是否被篡改。若將該方法應用在篡改判定技術上，則顯得該方法對篡改行為的考量不完全，若惡意程序只對網頁上顯示的文字進行篡改，那么該方法將得不到正確的結論。基于語義分析的相似度比對方法適用于主題分明的網頁，若將該方法應用于網頁篡改判定技術上，那么對于主題不夠分明的網站例如新聞或通知類型的，該判定方法將得不到正確結論。即使是主題分明的網頁，若篡改后的內容與篡改前的內容主題一致，那么該篡改行為也不會被發現。

發明內容

針對現有網頁篡改判定方法存在的上述問題，本發明提供了一種誤報率低并且能夠檢測網頁是否被流量劫持的基于流量分析的多鏈路網頁篡改判定方法。

本發明的目的是通過以下技術方案實現的：

一種基于流量分析的多鏈路網頁篡改判定方法，包括如下步驟：

步驟一、配置網站規則；

步驟二、在多個鏈路節點中捕獲網頁，并且使用相似度比對算法將歷史網頁與當前網頁進行對比，得出網頁是否被篡改的結論；

步驟三、將多個鏈路節點的結論進行匯總，并綜合分析，得出網頁是被流量篡改還是源篡改。

相比于現有技術，本發明具有如下優點：

1、充分考慮網頁結構的特性，網頁結構是一個倒置的樹結構，越靠近根結點的元素，對整個網頁結構的影響越大，若父結點變化，兒子結點有極大的可能性會變化，也可以說是兒子結點會隨著父結點而變化，所以對處于網頁樹結構中不同的層賦予不同權重，從而提出層權重概念，即這一層對整個網頁結構的影響程度。

2、結合網頁結構和網站更新及篡改特征，提出元素分類概念，即某幾個元素屬于同一類，表達同一個意思；提出元素影響因子概念，即某個元素的改變對結構的影響程度；提出重要屬性概念，即元素的某些屬性是常被篡改的屬性，對篡改的判定有重要意義。

3、結合網頁內容和網站更新及篡改特征，提出內容集合的異常評判標準概念，即針對內容集合改變，說明哪些屬于網站正常更新時的改變，哪些屬于網頁篡改時的改變，并且誤報率遠小于其他方式的網頁篡改判定技術。

附圖說明