網(wǎng)頁篡改檢測系統(tǒng)的研究與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)的發(fā)展和網(wǎng)民數(shù)量的快速增長，越來越多政府、學(xué)校、企事業(yè)單位的業(yè)務(wù)都依托于網(wǎng)站。與此同時，由于各類Web應(yīng)用系統(tǒng)的復(fù)雜性和多樣性，特別是缺乏必要的安全性維護，網(wǎng)頁篡改事件時有發(fā)生。這樣不僅破壞了網(wǎng)站所有者的聲譽，也可能直接造成財產(chǎn)上的損失，甚至上升為政治事件。因此，如何實時監(jiān)測網(wǎng)頁篡改以減少危害蔓延成為互聯(lián)網(wǎng)安全領(lǐng)域的一個重要研究課題。
　　目前面向Web服務(wù)器端的篡改檢測研究較為成熟，已經(jīng)出現(xiàn)不少實用系統(tǒng)。但面向服務(wù)端的

2、檢測系統(tǒng)僅適于單機部署，不僅部署復(fù)雜、應(yīng)用成本高，而且降低網(wǎng)站性能，在大量且類型眾多管理分散的網(wǎng)站并不適合實現(xiàn)。而面向整個客戶端的傳統(tǒng)輪詢方案局限于靜態(tài)網(wǎng)頁，無法對動態(tài)網(wǎng)頁進行監(jiān)測。因此，本文提出了適用于動態(tài)網(wǎng)頁篡改檢測的技術(shù)方案，并實現(xiàn)了一個實時監(jiān)測的原型系統(tǒng)。該系統(tǒng)輸入域名即可對網(wǎng)頁進行安全掃描，適合于大規(guī)模檢測。
　　本文的研究工作主要包含以下幾點：
　?、偬岢隽艘环N檢測篡改網(wǎng)頁中惡意腳本的方法，該方法不同于以往文本字

3、符串特征匹配和Hook相關(guān)漏洞函數(shù)序列等方法，而是深入研究JavaScript字節(jié)碼的運行機理，通過對腳本解釋器進行代碼插裝，并且借助于CPU模擬器，能快速識別經(jīng)過混淆加密過的惡意代碼。
　　②通過網(wǎng)頁更新周期的研究，提出了網(wǎng)站存在局部變化的特性，并將這種特性引入到網(wǎng)頁結(jié)構(gòu)變化的分析中，結(jié)合網(wǎng)頁的相似度計算，提出了一種識別網(wǎng)頁靜態(tài)區(qū)域和動態(tài)區(qū)域的算法。該算法融合動態(tài)傳播的思想，能在較短的訓(xùn)練期內(nèi)比較好地分離出網(wǎng)頁的動態(tài)區(qū)域和靜態(tài)區(qū)