[发明专利]基于web服务器缓存匹配的网页防篡改装置及其方法

说明书

技术领域

本发明涉及电力行业信息网页篡改防护技术领域，是一种基于web服务器缓存匹配的网页防篡改装置及其方法。

背景技术

近年来，网站安全事件不断攀升，篡改网页文件是黑客攻击的普遍手法。目前网页篡改的途径有SQL注入后获取Webshell、XSS漏洞引入恶意HTML界面、控制DNS服务器、ARP攻击等，用户在访问web服务器时，黑客通常会在中途截断用户的http请求报文，在报文中添加有风险的信息，例如：替换整个网页、插入新/黑链接、替换网站图片文件、小规模编辑网页等，这样的篡改网页方式会导致网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。

其中，对于电力行业网页有如下特点：一、电力公司办公内网与信息外网采用隔离方式；二、电力行业信息系统相对于internet的网站数量是很有限的；三、电力行业对外访问网页更新内容不多，页面框架变动频率很小。由于电力信息网站是企业对外发布重要新闻、电力客户了解电力公司的重要途径，也包含了公司财务等信息的安全问题，因此一旦被篡改，将会严重的损害企业形象和利益。为了避免网络安全问题的侵扰，人们已经广泛的使用了杀毒软件、防垃圾邮件系统、入侵检测系统、防火墙等措施，现有技术中，通常由专门的网页防篡改系统或搜索引擎对网页篡改进行检测，其将先将从源站下载用户请求的网页，并利用篡改特征库中的篡改特征规则匹配所述网页内容，如果发现与所述篡改特征规则相匹配的内容，则认为该网页被篡改，否则将其发送给用户。所述篡改特征规则通常由正则表达式表示，而使用正则表达式匹配网页内容比较耗时，效率低下，实时性比较差。目前网页篡改方式层出不穷，日益变化，篡改特征规则库中的篡改特征规则也将随之增加，这就意味着每一次检测都将耗费大量资源，且用户体验不佳，网页篡改事件的发生数量正在迅速增长。

发明内容

本发明提供了一种基于web服务器缓存匹配的网页防篡改装置及其方法，克服了上述现有技术之不足，其能有效解决因电力行业网页被篡改而严重损害企业形象和利益的问题。

本发明的技术方案之一是通过以下措施来实现的：一种基于web服务器缓存匹配的网页防篡改装置，包括：

报文获取单元，用于获取web服务器向客户端发送的IP响应报文；

第一特征提取单元，用于对所述IP 响应报文中的易于注入木马进程及篡改进程处的数据进行特征值提取，得到第一特征值；

第一检测模块，其进行模糊匹配处理，检测第一特征提取单元所发送的第一特征值与黑名单数据库特征值是否相符；

报文阻断单元，用于当所述模糊匹配处理结果为第一特征值与黑名单数据库特征值相符时，阻断所述IP 响应报文；

第二特征提取单元，用于对所述IP 响应报文中的所有网页信息进行特征值提取，得到第二特征值；

第二检测模块，其进行精确匹配处理，检测第二特征提取单元所发送的第二特征值与web服务器缓存数据的特征值是否相符；

报文发送单元，用于当所述精确匹配处理结果为第二特征值与web服务器缓存数据的特征值相符时，将所述IP 响应报文发送到客户端；

黑名单数据库，其用于存储现有公知网页篡改木马进程的特征值数据及历史恶意篡改进程的特征值数据。

本发明的技术方案之二是通过以下措施来实现的：一种使用上述的网页防篡改装置的网页防篡改方法，包括以下步骤：

第一步：读取web服务器向客户端反馈的IP响应报文，获取web服务器的网页特征数据；

第二步：提取对所述IP 响应报文中的易于注入木马进程及篡改进程处的数据的特征值作为第一特征值；

第三步：将所述第一特征值与黑名单数据库进行模糊匹配处理；

若模糊匹配处理的结果为该第一特征单元与所述黑名单数据库相匹配，则判定客户端网页存在恶意进程并终止该进程，反馈给客户端提示该网页已被恶意篡改，同时反馈给web服务器该网页已被恶意篡改；

若模糊匹配处理的结果为该第一特征单元与所述黑名单数据库不匹配，则将该IP响应报文发送到下一步；

第四步：提取上述IP 响应报文中的所有网页信息的特征值作为第二特征值；