[发明专利]基于web服务器缓存匹配的网页防篡改装置及其方法

权利要求书

1.一种基于web服务器缓存匹配的网页防篡改装置，其特征在于包括：

报文获取单元，用于获取web服务器向客户端发送的IP响应报文；

第一特征提取单元，用于对所述IP 响应报文中的易于注入木马进程及篡改进程处的数据进行特征值提取，得到第一特征值；

第一检测模块，其进行模糊匹配处理，检测第一特征提取单元所发送的第一特征值与黑名单数据库特征值是否相符；

报文阻断单元，用于当所述模糊匹配处理结果为第一特征值与黑名单数据库特征值相符时，阻断所述IP 响应报文；

第二特征提取单元，用于对所述IP 响应报文中的所有网页信息进行特征值提取，得到第二特征值；

第二检测模块，其进行精确匹配处理，检测第二特征提取单元所发送的第二特征值与web服务器缓存数据的特征值是否相符；

报文发送单元，用于当所述精确匹配处理结果为第二特征值与web服务器缓存数据的特征值相符时，将所述IP 响应报文发送到客户端；

黑名单数据库，其用于存储现有公知网页篡改木马进程的特征值数据及历史恶意篡改进程的特征值数据。

2.一种使用权利要求1所述的网页防篡改装置的网页防篡改方法，其特征在于包括以下步骤：

第一步：读取web服务器向客户端反馈的IP响应报文，获取web服务器的网页特征数据；

第二步：提取对所述IP 响应报文中的易于注入木马进程及篡改进程处的数据的特征值作为第一特征值；

第三步：将所述第一特征值与黑名单数据库进行模糊匹配处理；

若模糊匹配处理的结果为该第一特征单元与所述黑名单数据库相匹配，则判定客户端网页存在恶意进程并终止该进程，反馈给客户端提示该网页已被恶意篡改，同时反馈给web服务器该网页已被恶意篡改；

若模糊匹配处理的结果为该第一特征单元与所述黑名单数据库不匹配，则将该IP响应报文发送到下一步；

第四步：提取上述IP 响应报文中的所有网页信息的特征值作为第二特征值；

第五步：将所述第二特征值与web服务器中的缓存信息进行精确匹配处理；

若精确匹配处理的结果为第二特征值与缓存信息相匹配，则判定该网页为正常网页，IP响应报文通过检测；

若精确匹配处理的结果为第二特征值与缓存信息不匹配，则判定该网页已被篡改，反馈给客户端提示该网页已被恶意篡改，同时反馈给web服务器该网页已被恶意篡改，并将该第二特征值加入所述黑名单数据库；

第六步：将通过检测的IP响应报文反馈给客户端。

3.根据权利要求2所述的网页篡改检测方法，其特征在于获取web服务器的网页特征数据为定时获取，获取web服务器的网页特征数据的定时更新时间为秒级。

4.根据权利要求2或3所述的网页篡改检测方法，其特征在于所述IP 响应报文中的所有网页信息包括文字、图片及视频信息。

5.根据权利要求2或3或4所述的网页篡改检测方法，其特征在于模糊匹配处理的步骤为：

首先，将黑名单数据库数据定义为源字符串S，将网络响应报文数据定义为目标字符串T，将S和T按分割好的字符串单元存放在字符串数组当中，字符串单元存放的数组从0开始计数，将S分割成0到m个单元，将T分割成0到n个单元，将S的权值定义为Ws，Ws=1/(m+1)，T的权值定义为Wt，Wt=1/(n+1)，其中一个字符串单元对应一个权值；

接着，扫描S和T字符串；

然后，如果遇到字符串单元相同的时候将权值相乘，最后得到一个匹配度sum=ΣWs*Wt，根据二分法将sum值由大到小排序；

最后，将sum值与预定阀值对比；当sum值大于预定阀值时，则判定该第一特征单元与黑名单数据库相匹配；当sum值小于预定阀值时，则判定该第一特征单元与黑名单数据库不匹配。

6.根据权利要求2或3或4或5所述的网页篡改检测方法，其特征在于精确匹配处理为将该第二特征值与web服务器中的缓存信息进行一一比对。