[发明专利]一种检测网页恶意篡改的方法和装置

说明书

技术领域

本发明涉及网页安全领域，具体而言，涉及一种检测网页恶意篡改的方法。

背景技术

网页篡改是一种常见的网络攻击行为。攻击者在攻击网站后，往往会修改现有的网页，向现有的页面中写入恶意代码或垃圾信息等。被篡改的网页不仅影响了网站的正常运行，还向浏览网页的用户传播了恶意代码和非法信息等，危害十分严重。

目前常用的检测网页篡改的方法为网页指纹比对法。该方法通过散列函数预先计算网站下每个网页的数字指纹，收集数字指纹建立指纹库，相隔一定时间后再重新计算每个网页的指纹，并与指纹库中的指纹进行比对。若同一网页的数字指纹不同则说明该网页被篡改。然而这种方法需要在网站未被篡改前建立指纹库，且每次新建或修改网页时也必须更新指纹库，操作繁琐且效率低下。

发明内容

本发明是针对现有技术的不足，提出了一种检测网页恶意篡改的方法，该方法的应用可以有效快速的检测网页是否被修改，具有较高的安全性。

一种检测网页篡改的方法，包括：

对网站的根目录进行扫描，采用相似哈希算法计算每个网页的哈希值，并收集生成的哈希值建立基础哈希库；

监测网站目录的写入操作，针对被修改的页面，使用相似哈希算法重新计算被修改页面的哈希值，并从基础哈希库中提取出相应文件的哈希值；

对比前后两次生成的哈希值，若比对结果的相似度小于一个阈值，则可视为该网页被修改；

对被修改的网页进行特征检测，并判断网页是否被恶意篡改。

所述的相似哈希算法为：相似哈希算法同其他哈希算法一致，区别是相似哈希算法对于指定对象生成唯一且定长的哈希值；对于两个对象，若两个对象越相似，则生成的哈希值相差越小。

同时，本发明还提出了一种检测网页篡改的装置，该装置包括网页爬取单元、计算单元和检测单元；

所述网页爬取单元，用于遍历站点目录，获取站点下的所有网页，同时监测站点目录的写入操作，记录被修改的网页；

所述计算单元，利用相似哈希算法计算网页爬取单元获取的网页的哈希值并存储至基础哈希库中；同时对于网页爬取单元监测到的被修改的网页，重新计算被修改网页的哈希值，并与基础哈希库中的相应哈希值进行比对，计算修改前后网页的相似度；

所述检测单元，获取计算单元中计算出相似度小于设定阈值的被修改的网页，采用特征检测法检测被修改的网页是否含有恶意代码或有害信息。

进一步的，所述网页爬取单元可在爬取网页时去除网页包含的HTML标签，以获得网页的文本内容。

本发明所述技术方案的有益效果在于：本发明所提出的检测法采用相似哈希算法计算网页的相似度，以此判断网页是否被篡改。与已有的网页指纹比对法相比，本发明所提出的检测法不需要定期计算站点目录下网页的指纹，且能在站点发生修改操作时实时进行检测，简化了操作步骤，提高了检测网页篡改的效率。

具体实施方式

为了使本领域技术人员更好地理解本发明的技术方案，下面结合具体实施例对本发明作进一步的详细说明。

一种检测网页篡改的方法，包括：

对网站的根目录进行扫描，采用相似哈希算法计算每个网页的哈希值，并收集生成的哈希值建立基础哈希库；

监测网站目录的写入操作，针对被修改的页面，使用相似哈希算法重新计算被修改页面的哈希值，并从基础哈希库中提取出相应文件的哈希值；

对比前后两次生成的哈希值，若比对结果的相似度小于一个阈值，则可视为该网页被修改；

对被修改的网页进行特征检测，并判断网页是否被恶意篡改。

所述的相似哈希算法为：相似哈希算法同其他哈希算法一致，区别是相似哈希算法对于指定对象生成唯一且定长的哈希值；对于两个对象，若两个对象越相似，则生成的哈希值相差越小。因此，该算法可以用于快速比对两个对象的相似度。

同时，本发明还提出了一种检测网页篡改的装置，该装置包括网页爬取单元、计算单元和检测单元；

所述网页爬取单元，用于遍历站点目录，获取站点下的所有网页，同时监测站点目录的写入操作，记录被修改的网页；

所述计算单元，利用相似哈希算法计算网页爬取单元获取的网页的哈希值并存储至基础哈希库中；同时对于网页爬取单元监测到的被修改的网页，重新计算被修改网页的哈希值，并与基础哈希库中的相应哈希值进行比对，计算修改前后网页的相似度；

所述检测单元，获取计算单元中计算出相似度小于设定阈值的被修改的网页，采用特征检测法检测被修改的网页是否含有恶意代码或有害信息。