本發(fā)明涉及信息安全技術(shù)領(lǐng)域，具體涉及一種防篡改方法和防篡改終端。

背景技術(shù)：

本部分向讀者介紹可能與本發(fā)明的各個方面相關(guān)的背景技術(shù)，相信能夠向讀者提供有用的背景信息，從而有助于讀者更好地理解本發(fā)明的各個方面。因此，可以理解，本部分的說明是用于上述目的，而并非構(gòu)成對現(xiàn)有技術(shù)的承認。

Internet已經(jīng)成為一個方便快捷的基礎(chǔ)平臺，很多組織都將應用和服務以網(wǎng)站(Web)的形式架設(shè)在該平臺上，為用戶提供更為方便、快捷的服務體驗。隨著這些Web應用及服務在功能和性能上不斷的完善和提高，Web越來越多地承載了核心業(yè)務，如電子政務、電子商務、運營商的增值業(yè)務等。然而在其安全性上，卻沒有得到足夠的重視。據(jù)Gartner的數(shù)據(jù)統(tǒng)計，75％的攻擊發(fā)生在Web應用安全層面，而大部分的Web應用是脆弱的，存在的安全漏洞也使各種組織機構(gòu)很容易受到病毒與黑客的攻擊。這些攻擊可能導致網(wǎng)站遭受聲譽損失、經(jīng)濟損失甚至政治影響。

在大多數(shù)的安全評估報告中，Web安全風險都占據(jù)了大量的版面，SQL注入漏洞、XSS跨站腳本漏洞等Web應用安全隱患已經(jīng)成為報告中的?？?。面對如此嚴峻的安全形勢，雖然IT管理人員已意識到Web安全問題的重要性，但傳統(tǒng)安全防護設(shè)備(防火墻系統(tǒng)、入侵檢測系統(tǒng)等)由于設(shè)計目標的不同，主要針對網(wǎng)絡(luò)層安全防護，在針對Web系統(tǒng)應用層攻擊進行防護時往往力不從心。

現(xiàn)有的防篡改方案中采用操作系統(tǒng)底層文件過濾驅(qū)動技術(shù)，攔截與分析IRP流，對受保護的網(wǎng)站目錄、文件的寫操作都立即截斷，該技術(shù)是典型的“先發(fā)制人”，在篡改寫入文件之前就阻止。通過底層文件驅(qū)動技術(shù)，文件將不能被篡改、刪除，使得公眾無法看到被篡改頁面。由于現(xiàn)有的防篡改方法取主動阻斷式機制，無事后恢復數(shù)據(jù)的處理機制。

技術(shù)實現(xiàn)要素：

要解決的技術(shù)問題是如何提供一種防篡改方法和防篡改終端。

針對現(xiàn)有技術(shù)中的缺陷，本發(fā)明提供一種防篡改方法和防篡改終端，可以有效防止篡改行為。

第一方面，本發(fā)明提供了一種防篡改方法，包括：

加載預先設(shè)置的防篡改監(jiān)控策略；

監(jiān)控并按所述防篡改監(jiān)控策略對訪問行為進行合法性判斷；

根據(jù)所述判斷結(jié)果對訪問行為執(zhí)行放行或拒絕的防篡改操作；

保存對訪問行為的防篡改操作結(jié)果。

可選地，還包括按照編譯器的版本號將訪問行為定向到相應版本的庫文件的步驟。

可選地，所述按所述防篡改監(jiān)控策略對訪問行為進行合法性判斷包括：

依次判斷當前的訪問行為是否是篡改行為；

其中所述篡改行為包括：非例外進程、訪問非例外目錄、訪問防護路徑；

如果所述訪問行為是上述全部篡改行為，則判定為非法操作；

如果所述訪問行為不是上述篡改行為之一，則判定為合法操作。

可選地，還包括：按照所述防篡改監(jiān)控策略加載防篡改配置信息步驟：

所述防篡改配置信息包括：非監(jiān)控服務或系統(tǒng)進程、防護路徑、例外路徑、例外進程。

可選地，還包括發(fā)送防篡改操作結(jié)果。

另一方面，本發(fā)明還提供一種防篡改終端，包括：

防篡改監(jiān)控策略獲取單元，用于加載預先設(shè)置的防篡改監(jiān)控策略；

防篡改監(jiān)控單元，用于監(jiān)控并按所述防篡改監(jiān)控策略對訪問行為進行合法性判斷；

防篡改操作執(zhí)行單元，用于根據(jù)所述判斷結(jié)果對訪問行為執(zhí)行放行或拒絕的防篡改操作；

防篡改操作結(jié)果存儲單元，用于保存對訪問行為的防篡改操作結(jié)果。

可選地，還包括：

庫定位單元，用于按照編譯器的版本號將訪問行為定向到相應版本的庫文件。

可選地，所述防篡改監(jiān)控單元包括：

判斷單元用于，依次判斷當前的訪問行為是否是篡改行為；

如果所述訪問行為是所述全部篡改行為，則判定為非法操作；

如果所述訪問行為不是所述篡改行為之一，則判定為合法操作；

其中所述篡改行為包括：非例外進程、訪問非例外目錄、訪問防護路徑。

可選地，還包括：防篡改信息配置單元，用于按照所述防篡改監(jiān)控策略加載防篡改配置信息；

所述防篡改配置信息包括：非監(jiān)控服務或系統(tǒng)進程、防護路徑、例外路徑、例外進程。

可選地，還包括防篡改結(jié)果發(fā)送單元，用于發(fā)送防篡改操作結(jié)果。

由上述技術(shù)方案可知，本發(fā)明供的防篡改方法和防篡改終端，通過王篡改防護策略，具有修改屬性的命令對指定對象的訪問行為，執(zhí)行放行或者拒絕的操作，以實現(xiàn)對文件訪問的過濾，主要應用在網(wǎng)頁防篡改的文件保護。用戶可設(shè)置被監(jiān)控狀態(tài)和監(jiān)控范圍，以列表方式顯示客戶端的執(zhí)行結(jié)果，方便管理者分析訪問行為。本發(fā)明針對Web站點，在遭到黑客或病毒的攻擊下，保護站點中的網(wǎng)頁、電子文檔、圖片、數(shù)據(jù)庫等任何類型的文件不會受到非授權(quán)修改和破壞。對通過Web實現(xiàn)的Root提權(quán)，SQL注入,掛馬和破壞整個網(wǎng)站數(shù)據(jù)等重大事件斷絕其先決條件。相對于現(xiàn)有技術(shù)，本發(fā)明完全杜絕了輪詢掃描式頁面防篡改軟件的掃描間隔中被篡改內(nèi)容被用戶訪問的可能，其所消耗的內(nèi)存和CPU占用率也遠遠現(xiàn)有的低于文件輪詢掃描式或核心內(nèi)嵌式的防篡改方法。。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單的介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明一個實施例中一種防篡改方法流程示意圖；

圖2為本發(fā)明另一個實施例中一種防篡改方法流程示意圖；

圖3為本發(fā)明另一個實施例中一種防篡改方法流程示意圖；

圖4為本發(fā)明一個實施例中一種防篡改終端結(jié)構(gòu)示意圖。

具體實施方式

為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

如圖1所示，本發(fā)明提供一種防篡改方法，其特征在于，包括：加載預先設(shè)置的防篡改監(jiān)控策略；監(jiān)控并按所述防篡改監(jiān)控策略對訪問行為進行合法性判斷；根據(jù)所述判斷結(jié)果對訪問行為執(zhí)行放行或拒絕的防篡改操作；保存對訪問行為的防篡改操作結(jié)果。下面對本發(fā)明和提供的防篡改方法展開詳細的說明。

如圖2所示，在本發(fā)明中，啟動防篡改功能后，可以從服務端或本地加載預先設(shè)置的防篡改監(jiān)控策略，該防篡改監(jiān)控策略存儲在防篡改動態(tài)鏈接庫中。加載完成后進入監(jiān)控模式，監(jiān)控系統(tǒng)和進程的每一個訪問行為。如果監(jiān)控到系統(tǒng)和進程的訪問行為則進一步進行防篡改防護，如果沒有監(jiān)控到則結(jié)束監(jiān)控。

如圖2所示，由于編譯環(huán)境的不同，與之對應的動態(tài)鏈接庫也不同。在執(zhí)行防篡改防護時，還需要按照編譯器的版本號將訪問行為定向到相應版本的庫文件。具體地，例如，GCC編譯環(huán)境版本，將訪問命令重定向到指定的庫文件。如果當前編譯環(huán)境版本低于3.0，則將訪問命令定向到默認的動態(tài)鏈接庫。反之，則將則將訪問命令定向到默認的動態(tài)鏈接庫/lib/lib.so.6。

如圖3所示，將當前的訪問命令定向到相應的動態(tài)鏈接庫后，進一步對當前的反問進行防篡改防護。由于每個用戶的習慣和文件也不同，相應的防篡改防護需求也不同，用戶需要預先配置防篡改配置信息，該防篡改配置信息存儲在防篡改動態(tài)鏈接庫中。具體地，在執(zhí)行防篡改防護時，按照所述防篡改監(jiān)控策略加載防篡改配置信息：所述防篡改配置信息包括：非監(jiān)控服務或系統(tǒng)進程、防護路徑、例外路徑、例外進程。例如可以按順序執(zhí)行排除非監(jiān)控服務或系統(tǒng)進程、加載防護路徑、加載例外路徑、加載例外進程。

如圖3所示，加載防篡改監(jiān)控策略加載防篡改配置信息后，根據(jù)預先加載的防篡改監(jiān)控策略對訪問行為進行合法性判斷并過濾。具體包括依次判斷當前的訪問行為是否是篡改行為；其中所述篡改行為包括：非例外進程、訪問非例外目錄、訪問防護路徑；如果所述訪問行為是上述全部篡改行為，則判定為非法操作；如果所述訪問行為不是上述篡改行為之一，則判定為合法操作。例如，依序判斷當前執(zhí)行的訪問操作是否符合例外進程、例外目錄、非防護路徑。

如圖3所示，在執(zhí)行相應的監(jiān)控判斷操作后根據(jù)所述判斷結(jié)果對訪問行為執(zhí)行放行或拒絕的防篡改操作；放行或者拒絕操作后，客戶端將防篡改執(zhí)行結(jié)果寫入日志中，例如可以將該日志通過郵件方式發(fā)送至管理中心，提供管理員對該行為的匯總和分析。執(zhí)行結(jié)果和日志可以通過UDP協(xié)議發(fā)送至管理中心。

為了進一步體現(xiàn)本發(fā)提供的防篡改方法的優(yōu)越性，本發(fā)明還提供一種應用上述方法的防篡改終端，如圖4所示，該終端包括：防篡改監(jiān)控策略獲取單元，用于加載預先設(shè)置的防篡改監(jiān)控策略；防篡改監(jiān)控單元，用于監(jiān)控并按所述防篡改監(jiān)控策略對訪問行為進行合法性判斷；防篡改操作執(zhí)行單元，用于根據(jù)所述判斷結(jié)果對訪問行為執(zhí)行放行或拒絕的防篡改操作；防篡改操作結(jié)果存儲單元，用于保存對訪問行為的防篡改操作結(jié)果。下面對本發(fā)明和提供的防篡改終端展開詳細的說明。

在本發(fā)明中，所示防篡改終端還包括庫定位單元，用于按照編譯器的版本號將訪問行為定向到相應版本的庫文件。具體地，如圖2所示，由于編譯環(huán)境的不同，與之對應的動態(tài)鏈接庫也不同。在執(zhí)行防篡改防護時，還需要按照編譯器的版本號將訪問行為定向到相應版本的庫文件。具體地，例如，GCC編譯環(huán)境版本，將訪問命令重定向到指定的庫文件。如果當前編譯環(huán)境版本低于3.0，則將訪問命令定向到默認的動態(tài)鏈接庫。反之，則將則將訪問命令定向到默認的動態(tài)鏈接庫/lib/lib.so.6。

在本發(fā)明中，所述防篡改監(jiān)控單元包括：判斷單元用于，依次判斷當前的訪問行為是否是篡改行為；如果所述訪問行為是所述全部篡改行為，則判定為非法操作；如果所述訪問行為不是所述篡改行為之一，則判定為合法操作；其中所述篡改行為包括：非例外進程、訪問非例外目錄、訪問防護路徑。具體地，如圖3所示，加載防篡改監(jiān)控策略加載防篡改配置信息后，根據(jù)預先加載的防篡改監(jiān)控策略對訪問行為進行合法性判斷并過濾。具體包括依次判斷當前的訪問行為是否是篡改行為；其中所述篡改行為包括：非例外進程、訪問非例外目錄、訪問防護路徑；如果所述訪問行為是上述全部篡改行為，則判定為非法操作；如果所述訪問行為不是上述篡改行為之一，則判定為合法操作。例如，依序判斷當前執(zhí)行的訪問操作是否符合例外進程、例外目錄、非防護路徑。

本發(fā)明中防篡改終端還包括：防篡改信息配置單元，用于按照所述防篡改監(jiān)控策略加載防篡改配置信息；所述防篡改配置信息包括：非監(jiān)控服務或系統(tǒng)進程、防護路徑、例外路徑、例外進程。具體地，如圖3所示，將當前的訪問命令定向到相應的動態(tài)鏈接庫后，進一步對當前的反問進行防篡改防護。由于每個用戶的習慣和文件也不同，相應的防篡改防護需求也不同，用戶需要預先配置防篡改配置信息，該防篡改配置信息存儲在防篡改動態(tài)鏈接庫中。具體地，在執(zhí)行防篡改防護時，按照所述防篡改監(jiān)控策略加載防篡改配置信息：所述防篡改配置信息包括：非監(jiān)控服務或系統(tǒng)進程、防護路徑、例外路徑、例外進程。例如可以按順序執(zhí)行排除非監(jiān)控服務或系統(tǒng)進程、加載防護路徑、加載例外路徑、加載例外進程。

本發(fā)明中防篡改終端還包括：防篡改結(jié)果發(fā)送單元，用于發(fā)送防篡改操作結(jié)果。具體地，如圖3所示，在執(zhí)行相應的監(jiān)控判斷操作后根據(jù)所述判斷結(jié)果對訪問行為執(zhí)行放行或拒絕的防篡改操作；放行或者拒絕操作后，客戶端將防篡改執(zhí)行結(jié)果寫入日志中，例如可以將該日志通過郵件方式發(fā)送至管理中心，提供管理員對該行為的匯總和分析。

綜上所述，本發(fā)明提供的一種防篡改方法和防篡改終端，通過王篡改防護策略，具有修改屬性的命令對指定對象的訪問行為，執(zhí)行放行或者拒絕的操作，以實現(xiàn)對文件訪問的過濾，主要應用在網(wǎng)頁防篡改的文件保護。用戶可設(shè)置被監(jiān)控狀態(tài)和監(jiān)控范圍，以列表方式顯示客戶端的執(zhí)行結(jié)果，方便管理者分析訪問行為。本發(fā)明針對Web站點，在遭到黑客或病毒的攻擊下，保護站點中的網(wǎng)頁、電子文檔、圖片、數(shù)據(jù)庫等任何類型的文件不會受到非授權(quán)修改和破壞。對通過Web實現(xiàn)的Root提權(quán)，SQL注入,掛馬和破壞整個網(wǎng)站數(shù)據(jù)等重大事件斷絕其先決條件。相對于現(xiàn)有技術(shù)，本發(fā)明完全杜絕了輪詢掃描式頁面防篡改軟件的掃描間隔中被篡改內(nèi)容被用戶訪問的可能，其所消耗的內(nèi)存和CPU占用率也遠遠現(xiàn)有的低于文件輪詢掃描式或核心內(nèi)嵌式的防篡改方法。

本領(lǐng)域內(nèi)的技術(shù)人員應明白，本申請的實施例可提供為方法、系統(tǒng)、或計算機程序產(chǎn)品。因此，本申請可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且，本申請可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。

本申請是參照根據(jù)本申請實施例的方法、設(shè)備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合。可提供這些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機器，使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計算機或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理，從而在計算機或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

需要說明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序。而且，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。術(shù)語“上”、“下”等指示的方位或位置關(guān)系為基于附圖所示的方位或位置關(guān)系，僅是為了便于描述本發(fā)明和簡化描述，而不是指示或暗示所指的裝置或元件必須具有特定的方位、以特定的方位構(gòu)造和操作，因此不能理解為對本發(fā)明的限制。除非另有明確的規(guī)定和限定，術(shù)語“安裝”、“相連”、“連接”應做廣義理解，例如，可以是固定連接，也可以是可拆卸連接，或一體地連接；可以是機械連接，也可以是電連接；可以是直接相連，也可以通過中間媒介間接相連，可以是兩個元件內(nèi)部的連通。對于本領(lǐng)域的普通技術(shù)人員而言，可以根據(jù)具體情況理解上述術(shù)語在本發(fā)明中的具體含義。

本發(fā)明的說明書中，說明了大量具體細節(jié)。然而能夠理解的是，本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐。在一些實例中，并未詳細示出公知的方法、結(jié)構(gòu)和技術(shù)，以便不模糊對本說明書的理解。類似地，應當理解，為了精簡本發(fā)明公開并幫助理解各個發(fā)明方面中的一個或多個，在上面對本發(fā)明的示例性實施例的描述中，本發(fā)明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而，并不應將該公開的方法解釋呈反映如下意圖：即所要求保護的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征。更確切地說，如權(quán)利要求書所反映的那樣，發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此，遵循具體實施方式的權(quán)利要求書由此明確地并入該具體實施方式，其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例。需要說明的是，在不沖突的情況下，本申請中的實施例及實施例中的特征可以相互組合。本發(fā)明并不局限于任何單一的方面，也不局限于任何單一的實施例，也不局限于這些方面和/或?qū)嵤├娜我饨M合和/或置換。而且，可以單獨使用本發(fā)明的每個方面和/或?qū)嵤├蛘吲c一個或更多其他方面和/或其實施例結(jié)合使用。

最后應說明的是：以上各實施例僅用以說明本發(fā)明的技術(shù)方案，而非對其限制；盡管參照前述各實施例對本發(fā)明進行了詳細的說明，本領(lǐng)域的普通技術(shù)人員應當理解：其依然可以對前述各實施例所記載的技術(shù)方案進行修改，或者對其中部分或者全部技術(shù)特征進行等同替換；而這些修改或者替換，并不使相應技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的范圍，其均應涵蓋在本發(fā)明的權(quán)利要求和說明書的范圍當中。