一种基于操作系统底层防网页文件篡改的系统

摘要

本发明涉及网络信息安全领域，旨在提供一种基于操作系统底层防网页文件篡改的系统。该种基于操作系统底层防网页文件篡改的系统包括管理端和监控端，管理端包括监控端管理模块、篡改规则库管理模块、篡改规则设置模块、日志管理模块，监控端包括驱动管理模块、篡改规则配置文件读取模块、防篡改模块、文件篡改日志获取模块。本发明对于网页文件的防篡改具有很强的时效性，把对文件篡改攻击予以事前阻止，实现了在windows和linux两个平台上阻止文件的篡改行为，杜绝了网页文件被篡改以后所造成的种种不利影响，减少进行恢复所需要的成本以及时间。

说明书

技术领域

本发明是关于网络信息安全领域，特别涉及一种基于操作系统底层防网页文件篡改 的系统。

背景技术

传统的网页文件防篡改技术有以下3种：

1.定时循环扫描技术(外挂轮询)：使用程序按用户设定的间隔，对网站目录进行定 时扫描比对，如果发现篡改，就用备份进行恢复。

2.事件触发技术:使用程序对网站目录进行实时监控,稍有“风吹草动”就进行检查 是否是非法篡改。

3.核心内嵌技术(数字水印+数字指纹)：在用户请求访问网页之后，在系统正式提 交网页内容给用户之前，对网页进行完整性检查。

第一种，定时循环扫描技术：这是早期使用的技术,比较落后,已经被淘汰了,原因是： 现在的网站少则几千个文件,大则几万,几十万个文件,如果采用定时循环扫描,从头扫 到尾,不仅需要耗费大量的时间,还会大大影响服务器性能。在扫描的间隙或者扫描过程 中，如果有文件被二次篡改，那么在下次循环扫描到该文件之前，文件就一直是被篡改 的，公众访问到的也将是被篡改的网页，这是一段“盲区”，“盲区”的时长由网站文 件数量、磁盘性能、CPU性能等众多客观因素来决定。该技术由于过于简单，其安全隐 患相信读者看完上面的说明就能完全领会明白，故而在此不给出POC程序。

第二种，事件触发技术：这是目前主流的防篡改技术之一，该技术以稳定、可靠、 占用资源极少著称，其原理是监控网站目录，如果目录中有篡改发生，监控程序就能得 到系统通知事件，随后程序根据相关规则判定是否是非法篡改，如果是非法篡改就立即 给予恢复。可以看出，该技术是典型的“后发制人”,即非法篡改已经发生后才可进行 恢复，其安全隐患有三：其一，如果黑客采取“连续篡改”的攻击方式,则很有可能永 远也无法恢复,公众看到的一直是被篡改的网页。因为：篡改发生后，防篡改程序才尝 试进行恢复，这有一个系统延迟的时间间隔，而“连续篡改”攻击则是对一个文件进行 每秒上千次的篡改，如此一来，“后发制人”的方式永远也赶不上“连续篡改”的速度。 其二，如果文件被非法篡改后，立即被恶意劫持，则防篡改进程将无法对该文件进行恢 复。其三，目录监控的安全性受制于防篡改监控进程的安全性，如果监控进程被强行终 止，则防篡改功能就立刻消失，网站目录就又面临被篡改的危险。有关强行终止进程的 方式,在Windows系统中,自带的就有任务管理器、taskkill.exe命令,tskill.exe命 令,ntsd.exe命令，这四种方式几乎可以结束任何进程。

第三种，核心内嵌技术(即“数字水印”或“数字指纹”)：这也是目前的主流技 术之一，该技术以无进程、篡改网页无法流出、使用密码学算法作支撑而著称，其原理 是：对每一个流出的网页进行数字水印(数字指纹)检查，如果发现相关水印和之前备份 的水印不同，则可断定该文件被篡改,并且阻止其继续流出，并传唤恢复程序进行恢复。 该技术的特点是：即使黑客通过各种各样未知的手段篡改了网页文件,被篡改的网页文 件也无法流出被公众访问到。该技术的安全隐患有二:

其一：市面上“数字水印”的密码学算法，无一例外地使用MD5(Message-Digest  algorithm 5)散列算法，该散列算法由于网上到处都有现成的代码可以直接拷贝，而 且在计算100KB以内的小文件时速度可以忍受，因而之前在密码存储和文件完整性校验 方面广为运用。不过，在2004年我国密码学家，山东大学王小云教授攻破了包括 这一算法在内的多种密码学算法，使得伪造出具有相同数字水印而内容截然不同的文件 立刻成为了现实。

其二：“数字水印”技术在计算大于100KB大小的文件“指纹”时，其速度将随着 文件的增大而逐步下降到让人无法忍受的地步,因此大多数产品都会默认设置一个超过 xxx KB的文件不进行数字水印检查规则。如此一来，黑客只要把非法篡改文件的大小调 整到xxx KB以上，就可以让非法文件自由流出了,这又是一个潜在的巨大安全隐患。关 于这项安全隐患，读者可以随便找个10MB以上的文件放入网站目录中，然后再访问该 文件，如果发现文件可以访问或者下载，即可证明当前使用的防篡改产品存在该安全隐 患。“数字水印”技术安全隐患的根本成因是密码学水印算法的安全性，以及水印算法 速度与公众访问网页速度的矛盾。由于目前MD4、MD5、SHA-1、RIPEMD等相对快速的水 印算法均被破解，其安全性都已经荡然无存。因而，在新的又快速又安全的新水印算法 发明之前，上述两种安全隐患将永远是“数字水印”技术的梦魇。

综上，在现有的网页文件防篡改技术手段，都存在安全性和性能上的问题。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种能把对文件的篡改攻击予 以事前阻止，减少进行恢复所需要的成本和时间的系统。为解决上述技术问题，本发明 的解决方案是：

提供一种基于操作系统底层防网页文件篡改的系统，包括管理端和监控端，管理端、 监控端采用C/S架构；

管理端包括监控端管理模块、篡改规则库管理模块、篡改规则设置模块、日志管理 模块；

所述监控端管理模块，用于配置监控端，并将配置信息保存在数据库内；

所述篡改规则库管理模块，用于搜集并整理所有篡改规则并保存在数据库中；其中， 篡改规则包括被保护的路径、程序进程名、触发日志等级和开关字段，篡改规则保存在 篡改规则库中；

所述篡改规则设置模块，用于将篡改规则库中存储的篡改规则组成二进制的篡改规 则配置文件，并通过管道通知监控端的文件系统过滤驱动重新读取篡改规则配置文件；

所述日志管理模块，用于接收监控端发回的日志信息，并对日志信息进行展示、统 计；

监控端包括驱动管理模块、篡改规则配置文件读取模块、防篡改模块、文件篡改日 志获取模块；

所述驱动管理模块，用于对文件系统过滤驱动进行管理，管理操作包括：安装、启 动、停止、卸载；

所述篡改规则配置文件读取模块，用于接收管理端发来的篡改规则配置文件读取通 知，并读取篡改规则配置文件中的篡改规则信息；

所述防篡改模块，通过在操作系统的文件系统过滤驱动的应用层添加钩子函数，当 操作系统中的文件有任何操作行为时触发钩子函数；其中，所述钩子函数能在获得文件 的行为和操作文件的进程后，根据篡改规则配置文件读取模块读取到的篡改规则信息， 进行阻止或者放行进程的操作，达到防篡改的目的；

所述文件篡改日志获取模块，用于通过管道跟底层的文件系统过滤驱动通信，定期 获取篡改文件日志并保存在数据库内。

在本发明中，所述管理端和监控端通过使用SSL的HTTP协议进行通信，通信的数 据采用RC4加密。

在本发明中，所述数据库为sqlite数据库。

在本发明中，所述防篡改模块能采用windows或者linux两种平台实现：

采用windows平台实现时，当文件被进程操作时，都会产生一个IRP请求，通过文 件系统过滤驱动拦截IRP请求后，根据篡改规则信息进行阻止或者放行进程的操作，达 到防篡改的目的；

采用linux平台实现时，文件系统过滤驱动是基于虚拟文件系统(VFS)基础上的， 当文件变化时，虚拟文件系统(VFS)把所有的操作信息存储在一个单独的数据结构INODE (索引节点)中，操作信息包括文件的访问控制权限、大小、拥有者和创建时间，文件 系统过滤驱动在拦截到这个操作后，根据篡改规则信息进行阻止或者放行进程的操作， 达到防篡改的目的。

本发明的工作原理：将篡改恢复机制改为文件防篡改模块，由其全面接管文件系统 的读写操作，达到从根源防止文件被篡改。

与现有技术相比，本发明的有益效果是：

本发明对于网页文件的防篡改具有很强的时效性，把对文件篡改攻击予以事前阻 止，实现了在windows和linux两个平台上阻止文件的篡改行为，杜绝了网页文件被篡 改以后所造成的种种不利影响，减少进行恢复所需要的成本以及时间。

附图说明

图1为本发明的防篡改驱动内核工作原理图。

图2为本发明的防篡改驱动工作流程图。

具体实施方式

首先需要说明的是，本发明涉及数据库技术，是计算机技术在信息安全技术领域的 一种应用。在本发明的实现过程中，会涉及到多个软件功能模块的应用。申请人认为， 如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后，在结合现有公知 技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。前述 软件功能模块包括但不限于：监控端管理模块、篡改规则库管理模块、篡改规则设置模 块等，凡本发明申请文件提及的均属此范畴，申请人不再一一列举。

下面结合附图与具体实施方式对本发明作进一步详细描述：

如图1、图2所示，一种基于操作系统底层防网页文件篡改的系统包括管理端和监 控端，管理端、监控端采用C/S架构，且管理端和监控端使用SSL的HTTP协议进行通 信，通信的数据采用RC4加密。本系统中的数据库采用sqlite数据库。

管理端包括监控端管理模块、篡改规则库管理模块、篡改规则设置模块、日志管理 模块。

所述监控端管理模块，用于配置监控端，并将配置信息保存在数据库内。

所述篡改规则库管理模块，用于搜集并整理所有篡改规则并保存在数据库中；其中， 篡改规则包括被保护的路径、程序进程名、触发日志等级和开关字段，篡改规则保存在 篡改规则库中。

所述篡改规则设置模块，用于将篡改规则库中存储的篡改规则组成二进制的篡改规 则配置文件，并通过管道通知监控端的文件系统过滤驱动重新读取篡改规则配置文件。

所述日志管理模块，用于接收监控端发回的日志信息，并对日志信息进行展示、统 计。

监控端包括驱动管理模块、篡改规则配置文件读取模块、防篡改模块、文件篡改日 志获取模块。

所述驱动管理模块，用于对文件系统过滤驱动进行管理，管理操作包括：安装、启 动、停止、卸载。

所述篡改规则配置文件读取模块，用于接收管理端发来的篡改规则配置文件读取通 知，并读取篡改规则配置文件中的篡改规则信息。

所述防篡改模块，通过在操作系统的文件系统过滤驱动的应用层添加钩子函数，当 操作系统中的文件有任何操作行为时触发钩子函数；其中，所述钩子函数能在获得文件 的行为和操作文件的进程后，根据篡改规则配置文件读取模块读取到的篡改规则信息， 进行阻止或者放行进程的操作，达到防篡改的目的。防篡改模块能采用windows或者 linux两种平台实现：

采用windows平台实现时，当文件被进程操作时，都会产生一个IRP请求，通过文 件系统过滤驱动拦截IRP请求后，根据篡改规则信息进行阻止或者放行进程的操作，达 到防篡改的目的；

采用linux平台实现时，文件系统过滤驱动是基于虚拟文件系统(VFS)基础上的， 当文件变化时，虚拟文件系统(VFS)把所有的操作信息存储在一个单独的数据结构INODE (索引节点)中，操作信息包括文件的访问控制权限、大小、拥有者和创建时间，文件 系统过滤驱动在拦截到这个操作后，根据篡改规则信息进行阻止或者放行进程的操作， 达到防篡改的目的。

所述文件篡改日志获取模块，用于通过管道跟底层的文件系统过滤驱动通信，定期 获取篡改文件日志并保存在数据库内。

下面的实施例可以使本专业的专业技术人员更全面地理解本发明，但不以任何方式 限制本发明。假设要对一个网站目录进行防篡改的阻断。

首先安装管理端，安装好后建立监控端的账号，然后安装监控端并输入账号与管理 端建立连接，安装成功后驱动会自动启动，在管理端建立一条策略阻止所有进程对网站 目录的修改。

阻断过程主要执行以下步骤：

一、网站目录文件变更，驱动收到变更通知。

二、根据管理端配置的规则匹配，匹配到阻止动作。

三、在驱动层阻止进程对文件的变更操作。

四、系统界面提示文件无法被修改类似的提示。

在管理端篡改日志中可以看到被修改的文件，进程名称等日志信息。

最后，需要注意的是，以上列举的仅是本发明的具体实施例。显然，本发明不限于 以上实施例，还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接 导出或联想到的所有变形，均应认为是本发明的保护范围。