專(zhuān)利名稱(chēng):一種頁(yè)面篡改的綜合檢測(cè)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域,尤其涉及一種頁(yè)面篡改的綜合檢測(cè)方法及系統(tǒng)���。
背景技術(shù):
隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展�,互聯(lián)網(wǎng)已經(jīng)成為人們信息獲取和信息交流不可或缺的工具�����,從而為人們的工作、生活帶來(lái)了很多便捷�����。但如此同時(shí)�,互聯(lián)網(wǎng)網(wǎng)站也容易成為黑客攻擊的目標(biāo),網(wǎng)站頁(yè)面被黑客篡改的事件時(shí)有發(fā)生����,一旦打開(kāi)被篡改的頁(yè)面就很容易感染網(wǎng)站上的病毒。
目前對(duì)頁(yè)面篡改的監(jiān)測(cè)技術(shù)通常采用文本相似度檢測(cè)�,而文本相似度檢測(cè)主要是將待檢測(cè)頁(yè)面的文本與預(yù)存的正常頁(yè)面的文本進(jìn)行對(duì)比,通過(guò)設(shè)置的閾值判斷待檢測(cè)頁(yè)面是否為篡改頁(yè)面��,例如�����,當(dāng)相似度低于某個(gè)閾值時(shí)��,就認(rèn)為待檢測(cè)頁(yè)面是篡改頁(yè)面��,而超過(guò)某個(gè)閾值時(shí)���,則認(rèn)為是非篡改頁(yè)面���。但是�,由于文本相似度檢測(cè)主要是通過(guò)預(yù)設(shè)的閾值判斷兩個(gè)頁(yè)面之間的相似度�,若閾值設(shè)置過(guò)高則容易造成誤報(bào),若閾值設(shè)置過(guò)低又容易產(chǎn)生漏報(bào)�����;另外����,若一個(gè)網(wǎng)站的某個(gè)頁(yè)面是發(fā)布新聞的頁(yè)面��,因此該頁(yè)面的頁(yè)面內(nèi)容會(huì)實(shí)時(shí)變化���,當(dāng)將該頁(yè)面的文本與預(yù)存頁(yè)面的文本進(jìn)行比較時(shí)�,該頁(yè)面與預(yù)存頁(yè)面的相似度會(huì)極低����,而這種相似度低的頁(yè)面卻不屬于篡改頁(yè)面的范疇,但是如果采用現(xiàn)有的文本相似度檢測(cè)卻會(huì)被誤認(rèn)為是篡改頁(yè)面�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種頁(yè)面篡改的綜合檢測(cè)方法及系統(tǒng),以解決現(xiàn)有技術(shù)中頁(yè)面篡改的誤報(bào)漏報(bào)問(wèn)題��。本發(fā)明的第一個(gè)方面是提供一種頁(yè)面篡改的綜合檢測(cè)方法��,包括獲取當(dāng)前檢測(cè)頁(yè)面的屬性信息�����;確定當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)先存儲(chǔ)的惡意屬性規(guī)則是否匹配��,若所述當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)設(shè)的惡意屬性規(guī)則不匹配�,則分別對(duì)所述當(dāng)前檢測(cè)頁(yè)面進(jìn)行頁(yè)面元素匹配、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)�����,并分別根據(jù)所述頁(yè)面元素匹配����、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是否為疑似篡改頁(yè)面;若根據(jù)至少兩項(xiàng)檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是疑似篡改頁(yè)面����,則確定當(dāng)前檢測(cè)頁(yè)面為篡改頁(yè)面�����。本發(fā)明的另一個(gè)方面是提供一種頁(yè)面篡改的綜合檢測(cè)系統(tǒng)����,包括獲取模塊����,用于獲取當(dāng)前檢測(cè)頁(yè)面的屬性信息,所述當(dāng)前檢測(cè)頁(yè)面的屬性信息包括頁(yè)面內(nèi)容的長(zhǎng)度�����、頁(yè)面的返回碼信息��;檢測(cè)模塊�,用于若所述當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)設(shè)的惡意屬性規(guī)則不匹配�����,則分別對(duì)所述當(dāng)前檢測(cè)頁(yè)面進(jìn)行頁(yè)面元素匹配�、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè),并分別根據(jù)所述頁(yè)面元素匹配��、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是否為疑似篡改頁(yè)面;判定模塊��,用于若根據(jù)至少兩項(xiàng)檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是疑似篡改頁(yè)面�,則確定當(dāng)前檢測(cè)頁(yè)面為篡改頁(yè)面。采用上述本發(fā)明技術(shù)方案的有益效果是本發(fā)明通過(guò)預(yù)設(shè)的惡意屬性規(guī)則與當(dāng)前檢測(cè)頁(yè)面的屬性信息進(jìn)行匹配����,并在當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)設(shè)的惡意屬性規(guī)則不匹配時(shí),進(jìn)一步對(duì)當(dāng)前檢測(cè)頁(yè)面進(jìn)行頁(yè)面元素匹配�����、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)����,并分別根據(jù)頁(yè)面元素匹配、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是否為疑似篡改頁(yè)面��,當(dāng)至少有兩項(xiàng)檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是疑似篡改頁(yè)面時(shí)����,則確定當(dāng)前檢測(cè)頁(yè)面為篡改頁(yè)面。因本發(fā)明的方法能夠?qū)崿F(xiàn)從多方位多角度對(duì)頁(yè)面進(jìn)行檢測(cè)�,從而減少了頁(yè)面篡改的誤報(bào)和漏報(bào)問(wèn)題,使得對(duì)頁(yè)面篡改的檢測(cè)結(jié)果更加精準(zhǔn)����。
圖I為本發(fā)明實(shí)施例一提供的一種頁(yè)面篡改的綜合檢測(cè)方法的流程示意圖���;圖2為本發(fā)明實(shí)施例二提供的一種頁(yè)面篡改的綜合檢測(cè)系統(tǒng)的結(jié)構(gòu)示意圖。
具體實(shí)施例方式圖I為本發(fā)明實(shí)施例一提供的一種頁(yè)面篡改的綜合檢測(cè)方法的流程示意圖��,如圖I所述���,所述頁(yè)面篡改的綜合檢測(cè)方法可以包括如下步驟步驟101�����,獲取當(dāng)前檢測(cè)頁(yè)面的屬性信息��;步驟102��,若所述當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)設(shè)的惡意屬性規(guī)則不匹配�,則分別對(duì)所述當(dāng)前檢測(cè)頁(yè)面進(jìn)行頁(yè)面元素匹配�����、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)���,并分別根據(jù)所述頁(yè)面元素匹配���、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是否為疑似篡改頁(yè)面;步驟103�,若至少兩項(xiàng)檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是疑似篡改頁(yè)面,則確定當(dāng)前檢測(cè)頁(yè)面為篡改頁(yè)面��。在本實(shí)施例中�����,執(zhí)行主體可以是頁(yè)面篡改的綜合檢測(cè)系統(tǒng)��,該系統(tǒng)首先截獲需要進(jìn)行檢測(cè)的檢測(cè)頁(yè)面����,從而獲取當(dāng)前檢測(cè)頁(yè)面的屬性信息,所述當(dāng)前檢測(cè)頁(yè)面的屬性信息包括頁(yè)面內(nèi)容的長(zhǎng)度�����、頁(yè)面的返回碼信息等����。在該系統(tǒng)中,預(yù)先存儲(chǔ)了一系列的惡意屬性規(guī)貝U����,例如頁(yè)面內(nèi)容的長(zhǎng)度閾值��、頁(yè)面的錯(cuò)誤返回碼的集合等��。系統(tǒng)則根據(jù)獲取的當(dāng)前檢測(cè)頁(yè)面的頁(yè)面內(nèi)容的長(zhǎng)度����、頁(yè)面的返回碼信息在預(yù)先存儲(chǔ)的惡意屬性規(guī)則中進(jìn)行查找�,并判斷當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)先存儲(chǔ)的惡意屬性規(guī)則是否匹配,例如��,若系統(tǒng)獲取的當(dāng)前檢測(cè)頁(yè)面的頁(yè)面返回碼不屬于預(yù)先設(shè)置的頁(yè)面的錯(cuò)誤返回碼的集合中的任一個(gè)���、系統(tǒng)獲取的當(dāng)前檢測(cè)頁(yè)面的頁(yè)面內(nèi)容的長(zhǎng)度未達(dá)到預(yù)先設(shè)置的頁(yè)面內(nèi)容的長(zhǎng)度閾值����,則可以確定當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)先存儲(chǔ)的惡意屬性規(guī)則不匹配����。此時(shí),系統(tǒng)進(jìn)一步對(duì)當(dāng)前檢測(cè)頁(yè)面分別進(jìn)行頁(yè)面元素匹配���、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)�����,并分別根據(jù)頁(yè)面元素匹配��、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是否為疑似篡改頁(yè)面���。例如,在本實(shí)施例中��,如對(duì)當(dāng)前檢測(cè)頁(yè)面進(jìn)行頁(yè)面元素匹配的檢測(cè)時(shí)���,若檢測(cè)結(jié)果為匹配�����,則可以確定當(dāng)前檢測(cè)頁(yè)面為疑似篡改頁(yè)面�����;如對(duì)當(dāng)前檢測(cè)頁(yè)面進(jìn)行頁(yè)面變化率的檢測(cè)時(shí)�,若頁(yè)面變化率大于預(yù)設(shè)的變化率閾值�,則可以確定當(dāng)前檢測(cè)頁(yè)面為疑似篡改頁(yè)面;如對(duì)當(dāng)前檢測(cè)頁(yè)面進(jìn)行頁(yè)面內(nèi)容的檢測(cè)時(shí),若當(dāng)前檢測(cè)頁(yè)面的頁(yè)面內(nèi)容為惡意頁(yè)面的概率大于當(dāng)前檢測(cè)頁(yè)面的頁(yè)面內(nèi)容為非惡意頁(yè)面的概率�����,則可以確定當(dāng)前檢測(cè)頁(yè)面為疑似篡改頁(yè)面����。系統(tǒng)則根據(jù)上述三項(xiàng)檢測(cè)結(jié)果綜合確定當(dāng)前檢測(cè)頁(yè)面是否為篡改頁(yè)面,若在上述三項(xiàng)檢測(cè)結(jié)果中至少有兩項(xiàng)檢測(cè)結(jié)果可以確定當(dāng)前檢測(cè)頁(yè)面是疑似篡改頁(yè)面�����,則系統(tǒng)可以確定當(dāng)前檢測(cè)頁(yè)面為篡改頁(yè)面�����。本實(shí)施例提供的頁(yè)面篡改的綜合檢測(cè)方法��,通過(guò)預(yù)設(shè)的惡意屬性規(guī)則與當(dāng)前檢測(cè)頁(yè)面的屬性信息進(jìn)行匹配�,并在當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)設(shè)的惡意屬性規(guī)則不匹配時(shí),進(jìn)一步對(duì)當(dāng)前檢測(cè)頁(yè)面進(jìn)行頁(yè)面元素匹配�����、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)���,并分別根據(jù)頁(yè)面元素匹配、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是否為疑似篡改頁(yè)面,當(dāng)至少有兩項(xiàng)檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是疑似篡改頁(yè)面時(shí)��,則確定當(dāng)前檢測(cè)頁(yè)面為篡改頁(yè)面�����。因本發(fā)明的方法能夠?qū)崿F(xiàn)從多方位多角度對(duì)頁(yè)面進(jìn)行檢測(cè)���,從而減少了頁(yè)面篡改的誤報(bào)和漏報(bào)問(wèn)題�����,使得對(duì)頁(yè)面篡改的檢測(cè)結(jié)果更加精準(zhǔn)��。進(jìn)一步的����,在上述實(shí)施例中�,系統(tǒng)判斷當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)先存儲(chǔ)的惡 意屬性規(guī)則是否匹配�����,具體為,例如�����,若系統(tǒng)獲取的當(dāng)前檢測(cè)頁(yè)面的頁(yè)面返回碼屬于預(yù)先設(shè)置的頁(yè)面的錯(cuò)誤返回碼的集合中的一個(gè)或系統(tǒng)獲取的當(dāng)前檢測(cè)頁(yè)面的頁(yè)面內(nèi)容的長(zhǎng)度達(dá)到預(yù)先設(shè)置的頁(yè)面內(nèi)容的長(zhǎng)度閾值����,則可以確定當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)先存儲(chǔ)的惡意屬性規(guī)則匹配���,此時(shí),系統(tǒng)則可以直接確定當(dāng)前檢測(cè)頁(yè)面為篡改頁(yè)面���。具體地,在上述實(shí)施例中,系統(tǒng)對(duì)當(dāng)前檢測(cè)頁(yè)面進(jìn)行頁(yè)面變化率的檢測(cè),并根據(jù)所述頁(yè)面變化率的檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是否為疑似篡改頁(yè)面的檢測(cè)結(jié)果����,具體為系統(tǒng)獲取當(dāng)前檢測(cè)頁(yè)面的頁(yè)面內(nèi)容和預(yù)先設(shè)置的參照頁(yè)面的頁(yè)面內(nèi)容����;根據(jù)預(yù)設(shè)的惡意語(yǔ)料庫(kù)并通過(guò)算法分別將當(dāng)前檢測(cè)頁(yè)面的頁(yè)面內(nèi)容和預(yù)先設(shè)置的參照頁(yè)面的頁(yè)面內(nèi)容轉(zhuǎn)換為詞語(yǔ)組文檔SI和S2��,并根據(jù)詞語(yǔ)組文檔SI和S2確定所述當(dāng)前檢測(cè)頁(yè)面和預(yù)先設(shè)置的參照頁(yè)面之間的相似度R����,通過(guò)T=I-R得到頁(yè)面變化率T的值�,若頁(yè)面變化率T大于預(yù)設(shè)的變化率閾值,則可以確定當(dāng)前檢測(cè)頁(yè)面為疑似篡改頁(yè)面,否則確定當(dāng)前檢測(cè)頁(yè)面為非疑似篡改頁(yè)面�����。在本實(shí)施例中�,所述惡意語(yǔ)料庫(kù)可以包括預(yù)先收集的惡意頁(yè)面中的至少一個(gè)惡意詞語(yǔ)以及所述至少一個(gè)惡意詞語(yǔ)在所述惡意頁(yè)面中出現(xiàn)的次數(shù)��。具體的����,在本實(shí)施例中,頁(yè)面篡改的綜合檢測(cè)系統(tǒng)中預(yù)先存儲(chǔ)有惡意語(yǔ)料庫(kù)���,其包括預(yù)先收集的惡意頁(yè)面中的至少一個(gè)惡意詞語(yǔ)以及該至少一個(gè)惡意詞語(yǔ)在惡意頁(yè)面中出現(xiàn)的次數(shù)�����。而本實(shí)施例中所指的算法是指在生成詞語(yǔ)組文檔的同時(shí),會(huì)考慮文檔中詞語(yǔ)��、句子的上下文關(guān)系��,并根據(jù)詞語(yǔ)在惡意語(yǔ)料庫(kù)中查找該詞語(yǔ)對(duì)應(yīng)的出現(xiàn)次數(shù)來(lái)將一個(gè)文檔的上下文進(jìn)行詞語(yǔ)的切分�,從而生成文檔中詞語(yǔ)長(zhǎng)度K值可變的詞語(yǔ)組文檔,其具體過(guò)程舉例說(shuō)明如下例如���,給定一個(gè)文檔B= “解釋器是比較深入的辦理假證內(nèi)容”����,按照上述方法對(duì)其生成詞語(yǔ)組文檔b���,若預(yù)設(shè)的惡意語(yǔ)料庫(kù)如下表I所示���,且給定的詞語(yǔ)長(zhǎng)度K的最大值為4�,則首先從文檔B的第一個(gè)字符開(kāi)始�����,截取第一組K=f 4的詞語(yǔ)組bl=(解����、解釋、解釋器�����、解釋器是)�����,然后分別在惡意語(yǔ)料庫(kù)中查找bl中的各詞語(yǔ)對(duì)應(yīng)的出現(xiàn)次數(shù)�����,并將出現(xiàn)次數(shù)較高的詞語(yǔ)放入文檔b中���。例如����,通過(guò)上述方法查找可知�����,bl中出現(xiàn)次數(shù)較高的詞語(yǔ)為“解釋器”�����,因此��,將“解釋器”放入文檔b中����;然后按照上述方法繼續(xù)解析文檔B中剩下的內(nèi)容,從“解釋器”后的第一個(gè)字符開(kāi)始�,即生成詞語(yǔ)組b2=(是、是比��、是比較��、是比較深)��,通過(guò)查找表I可知,“是”的出現(xiàn)的次數(shù)最高����,因此,將“是”依次放入文檔b中��;根據(jù)上述方法對(duì)文檔B完成解析�,最后生成的文檔b=(解釋器、是��、比較��、深入�����、的�、辦理、假證���、內(nèi)容)����。如果根據(jù)上述方法生成的方檔b中有重復(fù)的詞語(yǔ)出現(xiàn)�����,則只保留其中的一個(gè)詞語(yǔ)�,并刪除其余重復(fù)的詞語(yǔ)。表I :
權(quán)利要求
1.一種頁(yè)面篡改的綜合檢測(cè)方法�,其特征在于,包括 獲取當(dāng)前檢測(cè)頁(yè)面的屬性信息�����; 確定當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)先存儲(chǔ)的惡意屬性規(guī)則是否匹配�,若所述當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)設(shè)的惡意屬性規(guī)則不匹配,則分別對(duì)所述當(dāng)前檢測(cè)頁(yè)面進(jìn)行頁(yè)面元素匹配�����、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)�,并分別根據(jù)所述頁(yè)面元素匹配、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是否為疑似篡改頁(yè)面�; 若根據(jù)至少兩項(xiàng)檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是疑似篡改頁(yè)面,則確定當(dāng)前檢測(cè)頁(yè)面為篡改頁(yè)面��。
2.根據(jù)權(quán)利要求I所述的方法�����,其特征在于,還包括 若所述當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)設(shè)的惡意屬性規(guī)則匹配����,則確定當(dāng)前檢測(cè)頁(yè)面為 篡改頁(yè)面。
3.根據(jù)權(quán)利要求I或2所述的方法�����,其特征在于�,所述惡意屬性規(guī)則包括錯(cuò)誤返回碼集合和頁(yè)面內(nèi)容長(zhǎng)度閾值;所述確定當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)先存儲(chǔ)的惡意屬性規(guī)則是否匹配���,具體包括 獲取當(dāng)前檢測(cè)頁(yè)面的頁(yè)面內(nèi)容的長(zhǎng)度���、頁(yè)面的返回碼; 若所述頁(yè)面返回碼屬于所述錯(cuò)誤返回碼集合中的一個(gè)或所述頁(yè)面內(nèi)容的長(zhǎng)度達(dá)到所述頁(yè)面內(nèi)容的長(zhǎng)度閾值���,則確定當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)先存儲(chǔ)的惡意屬性規(guī)則匹配�����,否則確定當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)先存儲(chǔ)的惡意屬性規(guī)則不匹配�。
4.根據(jù)權(quán)利要求I或2所述的方法���,其特征在于�����,所述對(duì)所述當(dāng)前檢測(cè)頁(yè)面進(jìn)行頁(yè)面變化率的檢測(cè)����,并根據(jù)所述頁(yè)面變化率的檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是否為疑似篡改頁(yè)面的檢測(cè)結(jié)果����,具體包括 獲取當(dāng)前檢測(cè)頁(yè)面的頁(yè)面內(nèi)容和預(yù)先設(shè)置的參照頁(yè)面的頁(yè)面內(nèi)容; 根據(jù)預(yù)設(shè)的惡意語(yǔ)料庫(kù)并通過(guò)算法分別將所述當(dāng)前檢測(cè)頁(yè)面的頁(yè)面內(nèi)容和預(yù)先設(shè)置的參照頁(yè)面的頁(yè)面內(nèi)容轉(zhuǎn)換為詞語(yǔ)組文檔SI和S2�����,所述惡意語(yǔ)料庫(kù)包括預(yù)先收集的惡意頁(yè)面中的至少一個(gè)惡意詞語(yǔ)以及所述至少一個(gè)惡意詞語(yǔ)在所述惡意頁(yè)面中出現(xiàn)的次數(shù)�; 根據(jù)所述詞語(yǔ)組文檔SI和S2確定所述當(dāng)前檢測(cè)頁(yè)面和預(yù)先設(shè)置的參照頁(yè)面之間的相似度R; 若頁(yè)面變化率T大于變化率閾值,則確定當(dāng)前檢測(cè)頁(yè)面為疑似篡改頁(yè)面��,否則確定當(dāng)前檢測(cè)頁(yè)面為非疑似篡改頁(yè)面�,其中T=l-R。
5.根據(jù)權(quán)利要求4所述的方法�����,其特征在于,所述對(duì)所述當(dāng)前檢測(cè)頁(yè)面進(jìn)行頁(yè)面元素匹配的檢測(cè)��,并根據(jù)所述頁(yè)面元素匹配的檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是否為疑似篡改頁(yè)面����,具體包括 獲取當(dāng)前檢測(cè)頁(yè)面的頁(yè)面標(biāo)簽; 根據(jù)所述頁(yè)面標(biāo)簽獲取與所述頁(yè)面標(biāo)簽相對(duì)應(yīng)的標(biāo)簽內(nèi)容��; 對(duì)所述標(biāo)簽內(nèi)容進(jìn)行消息摘要算法第五版MD5計(jì)算�,獲得與所述標(biāo)簽內(nèi)容相對(duì)應(yīng)的MD5 碼; 若預(yù)設(shè)的惡意特征碼集合中存在與所述MD5碼相同的惡意特征碼�����,則確定當(dāng)前檢測(cè)頁(yè)面為疑似篡改頁(yè)面���,否則確定當(dāng)前檢測(cè)頁(yè)面為非疑似篡改頁(yè)面��。
6.根據(jù)權(quán)利要求4所述的方法�,其特征在于����,所述對(duì)所述當(dāng)前檢測(cè)頁(yè)面進(jìn)行頁(yè)面內(nèi)容的檢測(cè),并根據(jù)所述頁(yè)面內(nèi)容的檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是否為疑似篡改頁(yè)面�,具體包括 獲取當(dāng)前檢測(cè)頁(yè)面的頁(yè)面內(nèi)容�����,所述頁(yè)面內(nèi)容包括詞語(yǔ)Wi�,其中I < i < η����,η為所述頁(yè)面內(nèi)容包括的詞語(yǔ)總數(shù)�����; 通過(guò)以下公式分別計(jì)算所述當(dāng)前檢測(cè)頁(yè)面為惡意頁(yè)面的概率和為非惡意頁(yè)面的概率
7.一種頁(yè)面篡改的綜合檢測(cè)系統(tǒng)���,其特征在于�,包括 獲取模塊���,用于獲取當(dāng)前檢測(cè)頁(yè)面的屬性信息����,所述當(dāng)前檢測(cè)頁(yè)面的屬性信息包括頁(yè)面內(nèi)容的長(zhǎng)度�����、頁(yè)面的返回碼信息; 檢測(cè)模塊����,用于若所述當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)設(shè)的惡意屬性規(guī)則不匹配,則分別對(duì)所述當(dāng)前檢測(cè)頁(yè)面進(jìn)行頁(yè)面元素匹配���、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)����,并分別根據(jù)所述頁(yè)面元素匹配�����、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是否為疑似篡改頁(yè)面�; 判定模塊,用于若根據(jù)至少兩項(xiàng)檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是疑似篡改頁(yè)面�,則確定當(dāng)前檢測(cè)頁(yè)面為篡改頁(yè)面。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)����,其特征在于,所述判定模塊還用于 若所述當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)設(shè)的惡意屬性規(guī)則匹配���,則確定當(dāng)前檢測(cè)頁(yè)面為篡改頁(yè)面����。
9.根據(jù)權(quán)利要求7或8所述的系統(tǒng),其特征在于���,所述惡意屬性規(guī)則包括錯(cuò)誤返回碼集合和頁(yè)面內(nèi)容長(zhǎng)度閾值���;所述檢測(cè)模塊具體用于 獲取當(dāng)前檢測(cè)頁(yè)面的頁(yè)面內(nèi)容的長(zhǎng)度、頁(yè)面的返回碼�; 若所述頁(yè)面返回碼屬于所述錯(cuò)誤返回碼集合中的一個(gè)或所述頁(yè)面內(nèi)容的長(zhǎng)度達(dá)到所述頁(yè)面內(nèi)容的長(zhǎng)度閾值���,則確定當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)先存儲(chǔ)的惡意屬性規(guī)則匹配�,否則確定當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)先存儲(chǔ)的惡意屬性規(guī)則不匹配�����。
10.根據(jù)權(quán)利要求7或8所述的系統(tǒng)���,其特征在于��,所述檢測(cè)模塊具體用于 獲取當(dāng)前檢測(cè)頁(yè)面的頁(yè)面內(nèi)容和預(yù)先設(shè)置的參照頁(yè)面的頁(yè)面內(nèi)容����; 根據(jù)預(yù)設(shè)的惡意語(yǔ)料庫(kù)并通過(guò)算法分別將所述當(dāng)前檢測(cè)頁(yè)面的頁(yè)面內(nèi)容和預(yù)先設(shè)置的參照頁(yè)面的頁(yè)面內(nèi)容轉(zhuǎn)換為詞語(yǔ)組文檔SI和S2,所述惡意語(yǔ)料庫(kù)包括預(yù)先收集的惡意頁(yè)面中的至少一個(gè)惡意詞語(yǔ)以及所述至少一個(gè)惡意詞語(yǔ)在所述惡意頁(yè)面中出現(xiàn)的次數(shù)���;根據(jù)所述詞語(yǔ)組文檔SI和S2確定所述當(dāng)前檢測(cè)頁(yè)面和預(yù)先設(shè)置的參照頁(yè)面之間的相似度R; 若頁(yè)面變化率T大于變化率閾值�,則確定當(dāng)前檢測(cè)頁(yè)面為疑似篡改頁(yè)面����,否則確定當(dāng)前檢測(cè)頁(yè)面為非疑似篡改頁(yè)面,其中T=l-R�����。
11.根據(jù)權(quán)利要求10所述的系統(tǒng)�,其特征在于,所述檢測(cè)模塊具體還用于 獲取當(dāng)前檢測(cè)頁(yè)面的頁(yè)面標(biāo)簽����; 根據(jù)所述頁(yè)面標(biāo)簽獲取與所述頁(yè)面標(biāo)簽相對(duì)應(yīng)的標(biāo)簽內(nèi)容; 對(duì)所述標(biāo)簽內(nèi)容進(jìn)行消息摘要算法第五版MD5計(jì)算��,獲得與所述標(biāo)簽內(nèi)容相對(duì)應(yīng)的MD5 碼�; 若預(yù)設(shè)的惡意特征碼集合中存在與所述MD5碼相同的惡意特征碼,則確定當(dāng)前檢測(cè)頁(yè)面為疑似篡改頁(yè)面����,否則確定當(dāng)前檢測(cè)頁(yè)面為非疑似篡改頁(yè)面����。
12.根據(jù)權(quán)利要求10所述的系統(tǒng)��,其特征在于�,所述檢測(cè)模塊具體還用于 獲取當(dāng)前檢測(cè)頁(yè)面的頁(yè)面內(nèi)容,所述頁(yè)面內(nèi)容包括詞語(yǔ)Wi��,其中I < i <η����,η為所述頁(yè)面內(nèi)容包括的詞語(yǔ)總數(shù); 通過(guò)以下公式分別計(jì)算所述當(dāng)前檢測(cè)頁(yè)面為惡意頁(yè)面的概率和為非惡意頁(yè)面的概率
全文摘要
本發(fā)明提供一種頁(yè)面篡改的綜合檢測(cè)方法及系統(tǒng)�,所述方法包括獲取當(dāng)前檢測(cè)頁(yè)面的屬性信息�;確定當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)先存儲(chǔ)的惡意屬性規(guī)則是否匹配,若所述當(dāng)前檢測(cè)頁(yè)面的屬性信息與預(yù)設(shè)的惡意屬性規(guī)則不匹配�,則分別對(duì)所述當(dāng)前檢測(cè)頁(yè)面進(jìn)行頁(yè)面元素匹配、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)��,并分別根據(jù)所述頁(yè)面元素匹配����、頁(yè)面變化率和頁(yè)面內(nèi)容的檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是否為疑似篡改頁(yè)面;若根據(jù)至少兩項(xiàng)檢測(cè)結(jié)果確定當(dāng)前檢測(cè)頁(yè)面是疑似篡改頁(yè)面,則確定當(dāng)前檢測(cè)頁(yè)面為篡改頁(yè)面��。本發(fā)明的方法能夠?qū)崿F(xiàn)從多方位多角度對(duì)頁(yè)面進(jìn)行檢測(cè)�����,從而減少了頁(yè)面篡改的誤報(bào)和漏報(bào)問(wèn)題����,使得對(duì)頁(yè)面篡改的檢測(cè)結(jié)果更加精準(zhǔn)。
文檔編號(hào)G06F17/30GK102938041SQ201210424499
公開(kāi)日2013年2月20日 申請(qǐng)日期2012年10月30日 優(yōu)先權(quán)日2012年10月30日
發(fā)明者張鴻勛, 王帥, 盧梁 申請(qǐng)人:北京神州綠盟信息安全科技股份有限公司, 北京神州綠盟科技有限公司