專利名稱：：一種保護網(wǎng)頁安全的方法和裝置的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及通信領(lǐng)域，尤其涉及一種保護網(wǎng)頁安全的方法及裝置。
背景技術(shù)：
：近年來在我國隨著電子商務(wù)、電子政務(wù)工程的不斷深入，從國家到地方，從政府到公司，基本上都建立起了門戶網(wǎng)站。網(wǎng)站發(fā)布的信息很快就會被閱讀或轉(zhuǎn)載，網(wǎng)站內(nèi)容復(fù)制非常容易，轉(zhuǎn)載速度很快，網(wǎng)站已成為部門和企業(yè)發(fā)布重要新聞、重大方針政策以及法規(guī)等的重要渠道。如何保證網(wǎng)站安全是當前重中之重的頭等大事。網(wǎng)頁被篡改帶來的危害是顯而易見的，而建設(shè)網(wǎng)站的服務(wù)器，大多以Linux為主,輔助以Windows和Unix機器,故在Linux上面的網(wǎng)站安全顯得尤為重要。在現(xiàn)有技術(shù)中，普遍采用輪詢掃描機制的做法，這個做法是使用程序按照一定時間間隔，對網(wǎng)站目錄進行掃描，將每次的掃描結(jié)果與上次的結(jié)果比較，從而發(fā)現(xiàn)網(wǎng)頁是否被篡改。然而，在該現(xiàn)有技術(shù)中，發(fā)現(xiàn)由于網(wǎng)站規(guī)模的擴大，會使篡改網(wǎng)頁的發(fā)現(xiàn)速度大大降低，而且，篡改網(wǎng)頁對用戶可見，當篡改后，網(wǎng)頁的頁面沒有恢復(fù)前，登陸該網(wǎng)站的用戶可以看到篡改后的網(wǎng)頁頁面，從而無法保證網(wǎng)絡(luò)的網(wǎng)頁安全。
發(fā)明內(nèi)容本發(fā)明要解決的技術(shù)問題是提供一種保護網(wǎng)頁安全的方法，以防止網(wǎng)頁或網(wǎng)頁中的文件內(nèi)容被篡改，并確保網(wǎng)頁的安全。本發(fā)明的發(fā)明目的是通過以下技術(shù)方案來實現(xiàn)的—種保護網(wǎng)頁安全的方法，包括獲取用戶發(fā)起的對網(wǎng)頁的操作請求；通過系統(tǒng)調(diào)用表將所述操作請求轉(zhuǎn)送至替換函數(shù)；通過替換函數(shù)接收所述操作請求；判斷所述操作請求的網(wǎng)頁中的操作對象是否處于監(jiān)控目錄或程序安裝目錄下；當判斷所述操作請求的操作對象處于監(jiān)控目錄或程序安裝目錄下時，判斷發(fā)起所述操作請求的進程是否為指定的進程；當判斷發(fā)起所述操作請求的進程為指定的進程時，通過內(nèi)核實現(xiàn)對所述操作請求的執(zhí)行。上述的保護網(wǎng)頁安全的方法，其中所述方法包括當判斷所述操作請求的操作對象沒有處于監(jiān)控目錄或程序安裝目錄下時，通過內(nèi)核實現(xiàn)對所述操作請求的執(zhí)行。上述的保護網(wǎng)頁安全的方法，其中所述方法包括當判斷所述操作請求的進程不為指定的進程時，阻止所述操作請求，禁止對監(jiān)控目錄或程序安裝目錄文件的操作。一種保護網(wǎng)頁安全的裝置，包括獲取模塊、轉(zhuǎn)發(fā)模塊、第一判斷模塊、第二判斷模塊、內(nèi)核模塊，其中，所述獲取模塊用于獲取用戶發(fā)起的對網(wǎng)頁的操作請求；所述轉(zhuǎn)發(fā)模塊用于通過系統(tǒng)調(diào)用表將所述操作請求轉(zhuǎn)送至替換函數(shù)；所述第一判斷模塊用于通過替換函數(shù)接收所述操作請求，判斷所述操作請求的網(wǎng)頁中的操作對象是否處于監(jiān)控目錄或程序安裝目錄下；所述第二判斷模塊用于當所述第一判斷模塊判斷所述操作請求的操作對象處于監(jiān)控目錄或程序安裝目錄下時，判斷發(fā)起所述操作請求的進程是否為指定的進程；所述內(nèi)核模塊用于當所述第二判斷模塊判斷發(fā)起所述操作請求的進程為指定的進程時，通過內(nèi)核實現(xiàn)對所述操作請求的執(zhí)行。上述的裝置，其中所述內(nèi)核模塊還用于當所述第二判斷模塊判斷所述操作請求的操作對象沒有處于監(jiān)控目錄或程序安裝目錄下時，通過內(nèi)核實現(xiàn)對所述操作請求的執(zhí)行。上述的裝置，其中還包括阻止模塊，所述阻止模塊用于當所述第一判斷模塊判斷所述操作請求的進程不為指定的進程時，阻止所述操作請求，禁止對監(jiān)控目錄或程序安裝目錄文件的操作。通過本發(fā)明提供的技術(shù)方案，當獲取到用戶發(fā)起的對網(wǎng)頁的操作請求時，通過替換函數(shù)對該操作請求的操作對象和發(fā)起該操作請求的進程作出判斷，根據(jù)判斷的結(jié)果作出阻止該操作請求的操作或不阻止該操作請求的操作，從而可以防止網(wǎng)頁或網(wǎng)頁中的文件內(nèi)容被篡改，從而確保網(wǎng)頁的安全，進而實現(xiàn)對網(wǎng)站的保護。為了易于說明，本發(fā)明由下述的較佳實施例及附圖作以詳細描述。圖I為本發(fā)明實施例提供的保護網(wǎng)頁安全的方法的流程圖；圖2為本發(fā)明實施例提供的保護網(wǎng)頁安全的裝置的結(jié)構(gòu)圖。具體實施例方式下面將結(jié)合附圖對本發(fā)明的實施例進行詳細說明。圖I為本發(fā)明實施例提供的保護網(wǎng)頁安全的方法的流程圖。在本實施例中，本發(fā)明適用于基于Linux操作系統(tǒng)的開發(fā)的網(wǎng)頁。在本實施例中，當用戶對某一個網(wǎng)站的網(wǎng)頁進行訪問或復(fù)制或剪切或粘貼或讀寫操作時，需要對操作的網(wǎng)頁對象發(fā)起操作請求，網(wǎng)站的系統(tǒng)會根據(jù)操作請求作出相應(yīng)的處理，即響應(yīng)用戶的操作請求。在本實施例中，步驟S100，獲取用戶發(fā)起的對網(wǎng)頁的操作請求。在本實施例中，網(wǎng)頁作為內(nèi)容保存在網(wǎng)站服務(wù)器的磁盤文件上，因而，用戶發(fā)起的對網(wǎng)頁的操作請求，也可以理解為，是用戶發(fā)起的對磁盤文件的操作請求。在本實施例中，該操作請求可以包括操作對象及操作參數(shù)。在本實施例中，當獲取到操作請求時，會將該操作請求傳遞到系統(tǒng)的系統(tǒng)底層的系統(tǒng)調(diào)用表。步驟S102，通過系統(tǒng)調(diào)用表將該操作請求轉(zhuǎn)送至替換函數(shù)。在現(xiàn)有的做法中，在Linux的網(wǎng)站的網(wǎng)頁上面，對文件的所有的操作請求，都是將操作請求先傳遞給系統(tǒng)調(diào)用表，在系統(tǒng)調(diào)用表中查找到該操作請求對應(yīng)的操作的所在的位置，將該操作的操作對象及操作參數(shù)通過該位置傳遞給系統(tǒng)內(nèi)核，由內(nèi)核實現(xiàn)對該操作的執(zhí)行。在具體操作上，可以通過sidt指令獲取中斷向量表的地址，再根據(jù)偏移量找到系統(tǒng)調(diào)用表sys_call_table。在本實施例中，本發(fā)明將系統(tǒng)調(diào)用表sys_call_table里面特定操作的系統(tǒng)函數(shù)更改為替換函數(shù)，當有指定操作要提交給系統(tǒng)內(nèi)核時，則系統(tǒng)調(diào)用表會將該操作請求傳遞給替換函數(shù)，由替換函數(shù)來決定下一步的操作。步驟S104，通過替換函數(shù)接收該操作請求。在本實施例中，替換函數(shù)將對該操作請求進行監(jiān)控判斷。步驟S106，判斷該操作請求的網(wǎng)頁中的操作對象是否處于監(jiān)控目錄或程序安裝目錄下。在本實施例中，由于操作請求的操作對象可以為網(wǎng)頁本身或網(wǎng)頁中的文件內(nèi)容，網(wǎng)頁或網(wǎng)頁中的內(nèi)容都保存在網(wǎng)站服務(wù)器的磁盤文件上。在本實施例中，為時刻保護網(wǎng)頁或網(wǎng)頁中的內(nèi)容，可以將保護的網(wǎng)頁以及網(wǎng)頁中的內(nèi)容存儲在一個監(jiān)控目錄下或程序安裝目錄下。在本實施例中，當判斷該操作請求的操作對象沒有處于監(jiān)控目錄或程序安裝目錄下時，可以理解為，操作對象不是被保護的內(nèi)容，可以交由系統(tǒng)內(nèi)核實現(xiàn)對該操作請求對應(yīng)的操作，執(zhí)行步驟S108；當判斷該操作請求的操作對象處于監(jiān)控目錄或程序安裝目錄下時，可以理解為，操作對象是被保護的內(nèi)容，需要進一步判斷，執(zhí)行步驟SllO；在本實施例中，步驟S108，判斷發(fā)起該操作請求的進程是否為指定的進程。在本實施例中，該指定的進程可以通過網(wǎng)站的管理人員指定或是特權(quán)進程，也可以理解為，是某些不會影響到操作對象的安全的操作進程，即安全操作進程。在本實施例中，當判斷發(fā)起該操作請求的進程為指定的進程時，可以理解為，發(fā)起該操作請求的進程為安全的進程，執(zhí)行步驟SllO；在本實施例中，當判斷該操作請求的進程不為指定的進程時，可以理解為，發(fā)起該操作請求的進程為不安全的進程，執(zhí)行步驟S112;在本實施例中，可以禁止除指定進程外的任何進程進入該目錄或?qū)υ撃夸涍M行任何操作，可以有效保護程序本身不會被篡改。在本實施例中，步驟S110，通過內(nèi)核實現(xiàn)對該操作請求的執(zhí)行。在本實施例中，在系統(tǒng)調(diào)用表中查找到該操作請求對應(yīng)的操作的所在的位置，將該操作的對象及參數(shù)通過該位置傳遞給系統(tǒng)內(nèi)核，由內(nèi)核實現(xiàn)對該操作的執(zhí)行，可以理解為，正常提交給系統(tǒng)內(nèi)核，不再進行干涉。步驟SI14，阻止該操作請求，禁止對監(jiān)控目錄或程序安裝目錄文件的操作。在本實施例中，通過阻止該操作請求，可以將非法操作阻斷在篡改發(fā)生之前，不會讓篡改發(fā)生，從而不會出現(xiàn)篡改頁面，用戶不會訪問到篡改頁面。通過本發(fā)明提供的保住網(wǎng)頁的方法的技術(shù)方案，當獲取到用戶發(fā)起的對網(wǎng)頁的操作請求時，通過替換函數(shù)對該操作請求的操作對象和發(fā)起該操作請求的進程作出判斷，根據(jù)判斷的結(jié)果作出阻止該操作請求的操作或不阻止該操作請求的操作，從而可以防止網(wǎng)頁或網(wǎng)頁中的文件內(nèi)容被篡改，從而確保網(wǎng)頁的安全，進而實現(xiàn)對網(wǎng)站的保護。圖2為本發(fā)明實施例提供的保護網(wǎng)頁安全的裝置的結(jié)構(gòu)圖。在本實施例中，該裝置適用于保護基于Linux操作系統(tǒng)的開發(fā)的網(wǎng)頁。在本實施例中，當用戶對某一個網(wǎng)站的網(wǎng)頁進行訪問或復(fù)制或剪切或粘貼或讀寫操作時，需要對操作的網(wǎng)頁對象發(fā)起操作請求，網(wǎng)站的系統(tǒng)會根據(jù)操作請求作出相應(yīng)的處理，即響應(yīng)用戶的操作請求。可以理解的是，用戶可以在該保護網(wǎng)頁安全的裝置上對該裝置提供的網(wǎng)站的網(wǎng)頁進行訪問或復(fù)制或剪切或粘貼或讀寫操作。在本實施例中，該裝置包括獲取模塊200、轉(zhuǎn)發(fā)模塊202、第一判斷模塊204、第二判斷模塊206、內(nèi)核模塊208、阻止模塊210、顯示模塊212、存儲模塊214。在本實施例中，顯示模塊212用于為用戶顯示網(wǎng)頁。獲取模塊200用于獲取用戶發(fā)起的對顯示模塊212上顯示的網(wǎng)頁的操作請求。在本實施例中，網(wǎng)頁作為內(nèi)容保存在網(wǎng)站服務(wù)器的存儲模塊214中的磁盤文件上，因而，用戶發(fā)起的對網(wǎng)頁的操作請求，也可以理解為，是用戶發(fā)起的對存儲模塊214中磁盤文件的操作請求。轉(zhuǎn)發(fā)模塊202用于通過系統(tǒng)調(diào)用表將該操作請求轉(zhuǎn)送至替換函數(shù)。第一判斷模塊204用于通過替換函數(shù)接收該操作請求，并判斷該操作請求的網(wǎng)頁中的操作對象是否處于監(jiān)控目錄或程序安裝目錄下。在本實施例中，在現(xiàn)有的做法中，在Linux的網(wǎng)站的網(wǎng)頁上面，對文件的所有的操作請求，都是將操作請求先傳遞給系統(tǒng)調(diào)用表，在系統(tǒng)調(diào)用表中查找到該操作請求對應(yīng)的操作的所在的位置，將該操作的對象及參數(shù)通過該位置傳遞給系統(tǒng)內(nèi)核，由內(nèi)核實現(xiàn)對該操作的執(zhí)行。在具體操作上，可以通過sidt指令獲取中斷向量表的地址，再根據(jù)偏移量找到系統(tǒng)調(diào)用表sys_call_table。在本實施例中，本發(fā)明將系統(tǒng)調(diào)用表sys_call_table里面特定操作的系統(tǒng)函數(shù)更改為替換函數(shù)，當有指定操作要提交給系統(tǒng)內(nèi)核時，則系統(tǒng)調(diào)用表會將該操作請求傳遞給替換函數(shù)，由替換函數(shù)來決定下一步的操作。在本實施例中，由于操作請求的操作對象可以為網(wǎng)頁本身或網(wǎng)頁中的文件內(nèi)容，網(wǎng)頁或網(wǎng)頁中的內(nèi)容都保存在網(wǎng)站服務(wù)器的磁盤文件上。在本實施例中，為時刻保護網(wǎng)頁或網(wǎng)頁中的內(nèi)容，可以將保護的網(wǎng)頁以及網(wǎng)頁中的內(nèi)容存儲在一個監(jiān)控目錄下或程序安裝目錄下。第二判斷模塊206用于當?shù)谝慌袛嗄K204判斷該操作請求的操作對象處于監(jiān)控目錄或程序安裝目錄下時，判斷發(fā)起該操作請求的進程是否為指定的進程。當?shù)谝慌袛嗄K204判斷該操作請求的操作對象沒有處于監(jiān)控目錄或程序安裝目錄下時，或第二判斷模塊206判斷發(fā)起該操作請求的進程為指定的進程時，內(nèi)核模塊208用于接收第一判斷模塊204或第二判斷模塊206轉(zhuǎn)發(fā)的操作請求，并實現(xiàn)對該操作請求的執(zhí)行。在本實施例中，在系統(tǒng)調(diào)用表中查找到該操作請求對應(yīng)的操作的所在的位置，將該操作的對象及參數(shù)通過該位置傳遞給系統(tǒng)內(nèi)核，由內(nèi)核實現(xiàn)對該操作的執(zhí)行，可以理解為，正常提交給系統(tǒng)內(nèi)核，不再進行干涉。當?shù)诙袛嗄K206判斷發(fā)起該操作請求的進程不為指定的進程時，中阻模塊210用于接收第二判斷模塊206發(fā)送的該操作請求，阻止該操作請求，禁止對監(jiān)控目錄或程序安裝目錄文件的操作。通過本發(fā)明提供的保住網(wǎng)頁的裝置的技術(shù)方案，當獲取到用戶發(fā)起的對網(wǎng)頁的操作請求時，通過替換函數(shù)對該操作請求的操作對象和發(fā)起該操作請求的進程作出判斷，根據(jù)判斷的結(jié)果作出阻止該操作請求的操作或不阻止該操作請求的操作，從而可以防止網(wǎng)頁或網(wǎng)頁中的文件內(nèi)容被篡改，從而確保網(wǎng)頁的安全，進而實現(xiàn)對網(wǎng)站的保護。以上所述之具體實施方式為本發(fā)明的較佳實施方式，并非以此限定本發(fā)明的具體實施范圍，本發(fā)明的范圍包括并不限于本具體實施方式。凡依照本發(fā)明之形狀、結(jié)構(gòu)所作的等效變化均包含本發(fā)明的保護范圍內(nèi)。權(quán)利要求1.一種保護網(wǎng)頁安全的方法，其特征在于，包括獲取用戶發(fā)起的對網(wǎng)頁的操作請求；通過系統(tǒng)調(diào)用表將所述操作請求轉(zhuǎn)送至替換函數(shù)；通過替換函數(shù)接收所述操作請求；判斷所述操作請求的網(wǎng)頁中的操作對象是否處于監(jiān)控目錄或程序安裝目錄下；當判斷所述操作請求的操作對象處于監(jiān)控目錄或程序安裝目錄下時，判斷發(fā)起所述操作請求的進程是否為指定的進程；當判斷發(fā)起所述操作請求的進程為指定的進程時，通過內(nèi)核實現(xiàn)對所述操作請求的執(zhí)行。2.根據(jù)權(quán)利要求I所述的方法，其特征在于，所述方法包括當判斷所述操作請求的操作對象沒有處于監(jiān)控目錄或程序安裝目錄下時，通過內(nèi)核實現(xiàn)對所述操作請求的執(zhí)行。3.根據(jù)權(quán)利要求I所述的方法，其特征在于，所述方法包括當判斷所述操作請求的進程不為指定的進程時，阻止所述操作請求，禁止對監(jiān)控目錄或程序安裝目錄文件的操作。4.一種保護網(wǎng)頁安全的裝置，其特征在于，所述裝置包括獲取模塊、轉(zhuǎn)發(fā)模塊、第一判斷模塊、第二判斷模塊、內(nèi)核模塊，其中，所述獲取模塊用于獲取用戶發(fā)起的對網(wǎng)頁的操作請求；所述轉(zhuǎn)發(fā)模塊用于通過系統(tǒng)調(diào)用表將所述操作請求轉(zhuǎn)送至替換函數(shù)；所述第一判斷模塊用于通過替換函數(shù)接收所述操作請求，判斷所述操作請求的網(wǎng)頁中的操作對象是否處于監(jiān)控目錄或程序安裝目錄下；所述第二判斷模塊用于當所述第一判斷模塊判斷所述操作請求的操作對象處于監(jiān)控目錄或程序安裝目錄下時，判斷發(fā)起所述操作請求的進程是否為指定的進程；所述內(nèi)核模塊用于當所述第二判斷模塊判斷發(fā)起所述操作請求的進程為指定的進程時,通過內(nèi)核實現(xiàn)對所述操作請求的執(zhí)行。5.根據(jù)權(quán)利要求4所述的裝置，其特征在于，所述內(nèi)核模塊還用于當所述第二判斷模塊判斷所述操作請求的操作對象沒有處于監(jiān)控目錄或程序安裝目錄下時，通過內(nèi)核實現(xiàn)對所述操作請求的執(zhí)行。6.根據(jù)權(quán)利要求4所述的的裝置，其特征在于，所述裝置還包括阻止模塊，所述阻止模塊用于當所述第一判斷模塊判斷所述操作請求的進程不為指定的進程時，阻止所述操作請求，禁止對監(jiān)控目錄或程序安裝目錄文件的操作。全文摘要本發(fā)明涉及一種保護網(wǎng)頁安全的方法和裝置，包括獲取用戶發(fā)起的對網(wǎng)頁的操作請求；通過系統(tǒng)調(diào)用表將所述操作請求轉(zhuǎn)送至替換函數(shù)；通過替換函數(shù)接收所述操作請求；判斷所述操作請求的網(wǎng)頁中的操作對象是否處于監(jiān)控目錄或程序安裝目錄下；當判斷所述操作請求的操作對象處于監(jiān)控目錄或程序安裝目錄下時，判斷發(fā)起所述操作請求的進程是否為指定的進程；當判斷發(fā)起所述操作請求的進程為指定的進程時，通過內(nèi)核實現(xiàn)對所述操作請求的執(zhí)行。文檔編號H04L29/08GK102833267SQ20121034263公開日2012年12月19日申請日期2012年9月14日優(yōu)先權(quán)日2012年9月14日發(fā)明者張濤,戴海燕,張權(quán),張青,徐建一申請人:山東中創(chuàng)軟件商用中間件股份有限公司