CN101888311B - 一种防止网络内容被篡改的设备、方法和*** - Google Patents
一种防止网络内容被篡改的设备、方法和*** Download PDFInfo
- Publication number
- CN101888311B CN101888311B CN2009100837513A CN200910083751A CN101888311B CN 101888311 B CN101888311 B CN 101888311B CN 2009100837513 A CN2009100837513 A CN 2009100837513A CN 200910083751 A CN200910083751 A CN 200910083751A CN 101888311 B CN101888311 B CN 101888311B
- Authority
- CN
- China
- Prior art keywords
- content
- web content
- webserver
- network
- update
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
- H04L41/083—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability for increasing network speed
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/145—Detection or countermeasures against cache poisoning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用于防止一个或者多个网络服务器上的网络内容被篡改的***,包括:内容缓存和提供设备,用于缓存了所述一个或者多个网络服务器上的网络内容;以及内容监控子***,包括一个或者多个分别并入到所述网络服务器中的内容监控客户端部分和并入到所述内容缓存和提供设备中的内容监控服务器部分。本发明还公开了内容缓存和提供设备、网络内容提供***和其中使用的方法。根据本发明的***、设备和方法,可以在有效防止网络内容被篡改的同时,提高了网络内容访问速度和安全性。
Description
技术领域
本发明涉及网络服务器安全领域,尤其涉及一种防止网络服务器上的网络内容被篡改的设备、方法和***。
背景技术
随着信息时代的到来,在网络上提供各种内容信息服务的网络服务器变得越来越普及。由于各种原因,如网络服务器本身所用的操作***的漏洞、或者网络服务器的网络管理员的错误设定等,黑客们可以未经授权地修改网络服务器所提供的网络内容,将网络内容修改成包含不当信息的内容,从而导致浏览该网络服务器的网络内容的用户获得了错误的信息,这给网络服务器的所有者和内容提供者带来了极大的伤害。
为此,在现有技术中,已经提供了各种方法来防止网络服务器上的网络内容被篡改。
其中的一种方式是在网络服务器上安装专门的软件来实时监视服务器上文件的内容,如果发现文件内容被篡改,则直接采用文件的备份文件来覆盖被篡改的文件。
然而,上述防止网络内容被篡改的方式存在多个不足之处。首先,该方式需要在网络服务器上安装专门的软件,如果该软件本身就具有安全问题,则这会给网络服务器带来潜在的安全隐患。其次,由于该软件是在网络服务器上运行的,如果黑客已经获得了该网络服务器足够高的权限,则黑客完全有可能具有权限来使该软件不起作用,而使该软件仅仅成为一种摆设。再次,由于这种软件需要和网络服务器上提供网络内容服务的应用(如HTTP服务器等)进行协作,因此,网络服务器的管理员需要因此改变其工作流程,这增加了网络管理员的工作量。此外,由于这种防网络内容篡改软件仅仅是对被篡改的文件进行覆盖而没有直接采取措施来查找文件被篡改的原因,因此,已经入侵了该网络服务器的黑客可以再次修改文件,导致网络服务器的不稳定。
另外一种方式是在网络服务器前部署硬件防护设备来防止网络内容被篡改,硬件防护设备会定期从服务器上获取被保护的文件,与保存在硬件防护设备上的标准文件作对比判断是否被篡改。如果发现文件被篡改了,则做出接管和告警动作,一般情况下,接管内容是硬件防护设备自带的统一内容。
然而,这种硬件防护设备来防止网络内容被篡改的方式也存在诸多不足。首先,这种方式对网络内容篡改的判定是通过每隔一定的时间去服务器上获取被保护的网络内容,并将其与存储在硬件防护设备上的标准内容进行比较,因此有一种可能,即在硬件防护设备进行判定之前,被篡改的网络内容已经被请求查看该网络内容的用户看到了,这会导致对提供网络内容服务的内容供应商的极大伤害。其次,硬件设备不间断的轮询服务器上的文件,如果被保护的文件数量巨大,势必会影响硬件设备的性能,造成网络服务器的访问速度降低。再次,如果篡改发生了,用户通常看到的是硬件防护设备自带的、不同于篡改前的内容的接管内容。这从某种意义来说,网络内容还是被篡改了而且已经为用户所察觉。
可以看出现有的各种防止网络内容被篡改的方式都存在或多或少的问题。此外,所有上述方法都仅仅考虑了如何防止网络内容被篡改,而没有考虑用户访问网络内容的速度。一般而言,由于防止网络内容被篡改需要额外的处理,这通常会需要网络服务器额外的开销,导致服务器用于提供网络内容的性能降低,这对于防止网络内容被篡改设备或者***的推广使用是不利的。
为此,本发明力图提供一种新的防止网络内容被篡改的设备、方法和***来避免上述现有技术中存在的问题并且同时可以提高用户访问网络内容的速度。
发明内容
根据本发明的一个方面,提供了一种用于防止一个或者多个网络服务器上的网络内容被篡改的***,包括:内容缓存和提供设备,用于缓存了所述一个或者多个网络服务器上的网络内容,处理来自用户的网络内容访问请求,使用所缓存的网络内容对所述用户的网络内容访问请求进行响应;以及内容监控子***,包括一个或者多个分别并入到所述网络服务器中的内容监控客户端部分和并入到所述内容缓存和提供设备中的内容监控服务器部分;所述一个或者多个内容监控客户端部分分别对所述一个或者多个网络服务器上的网络内容的更新进行监控,并且将所述网络内容的更新发送到所述内容监控服务器部分;所述内容监控服务器部分基于预定的篡改判断规则来判断所述网络内容的更新是否为篡改,当断定所述网络内容的更新为篡改时,不相应更新所述缓存和提供设备中缓存的对应网络内容,以及当断定所述网络内容的更新并非篡改时,指示所述内容缓存和提供设备更新所缓存的所述一个或者多个网络服务器上的网络内容。
根据本发明的另一方面,提供了一种内容缓存和提供设备,包括:网络内容缓存器,其中缓存了一个或者多个网络服务器上的网络内容;网络服务器代理装置,处理来自用户的、对所述一个或者多个网络服务器上的网络内容的访问请求,并使用所述网络内容缓存器中缓存的网络内容对所述用户的访问请求进行响应;内容更新装置,用于获取所述一个或者多个网络服务器上的网络内容,并且将其更新到所述网络内容缓存器中;以及内容监控服务器部分,用于与一个或者多个分别并入到所述一个或者多个网络服务器中的内容监控客户端部分进行通信,以获取所述网络服务器中的网络内容更新信息,并基于预定的篡改判断规则来判断所述网络内容的更新是否为篡改,当断定所述网络内容的更新为篡改时,不相应更新所述网络内容缓存器中缓存的对应网络内容,以及当断定所述网络内容的更新并非篡改时,指示所述内容更新装置更新所缓存的所述一个或者多个网络服务器上的网络内容。
根据本发明的又一方面,提供了一种网络内容提供***,包括:一个或者多个网络服务器,其中存储了要提供的网络内容;以及如上所述的防止一个或者多个网络服务器上的网络内容被篡改的***。
根据本发明的还有一个方面,提供了一种防止一个或者多个网络服务器上的网络内容被篡改的方法,所述方法在防止网络容被篡改的***中运行,该***包括用于缓存一个或者多个网络服务器上的网络内容的内容缓存和更新设备,所述方法包括步骤:监控所述一个或者多个网络服务器上的网络内容;当监控到所述一个或者多个网络服务器上的网络内容的变化时,生成与网络内容的变化相关的信息;根据预定的篡改判断规则来判断所述网络内容的更新事件相对应的网络内容的变化是正常的内容更新还是异常的内容篡改;如果该网络内容更新为正常的内容更新,则更新所缓存的网络内容;以及如果该网络内容更新为异常的内容篡改,则不更新所缓存的网络内容
本发明提议的防止网络内容被篡改的方式包括使用置于网络服务器前端的内容缓存和提供设备。由于内容缓存和提供设备中缓存了网络服务器上的内容,因此,访问网络服务器上的内容的用户直接从内容缓存和提供设备获得网络内容,而不需要经由内容缓存和提供设备去获取网络服务器上的内容,因此,这可以提高用户访问网络内容的速度。另外,内容缓存和提供设备通常是专门设计的硬件设备,其通常为网络存储进行了优化,和网络服务器相比具有更快的用户响应速度,这也进一步提高了用户访问网络内容的速度。
本发明提议的防止网络内容被篡改的方式还包括使用网络内容监控***。网络内容监控***为分布式的***,其包括和网络服务器紧密协作或者并入其中的内容监控客户端部分,以及和内容缓存和提供设备紧密协作或者并入其中的内容监控服务器部分。虽然内容监控客户端部分因为并入到网络服务器中而会存在和网络服务器一起被未经许可侵入和篡改而不起作用的危险,但是内容监控服务器部分因为并入到具有较高安全级别的内容缓存和提供设备中而不容易被未经许可侵入和篡改,而在内容监控服务器部分和内容监控客户端部分之间的专有通信使得能够快速地发现内容监控客户端部分的异常。因此,和仅仅在网络服务器中安装专门软件的方式相比,本发明所提议的方式具有高得多的安全性。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。其中在附图中,参考数字之后的字母标记指示多个相同的部件,当泛指这些部件时,将省略其最后的字母标记。在附图中:
图1示出了通过根据本发明实施例的网络内容提供***100来提供网络内容的布局图;
图2示出了根据本发明实施例的防止网络内容篡改***110的详细框图;以及
图3示出了根据本发明实施例的防止网络内容被篡改的方法300。
具体实施例
下面结合附图和具体的实施方式对本发明作进一步的描述。
图1示出了通过根据本发明实施例的网络内容提供***100来提供网络内容的布局图。
在本发明的网络内容提供***100中,提供了防止网络内容被篡改***110来处理来自客户端的内容访问请求。防止网络内容被篡改***110包括内容缓存和提供设备120和内容监控子***140。内容监控子***140为分布式的***,其包括与内容缓存和提供设备120协作、优选为并入到内容缓存和提供设备120中的内容监控服务器端141,以及与网络服务器130a和130b协作、优选为并入到网络服务器130a和130b中的内容监控客户端143a和143b。内容监控客户端143用于监控网络服务器上的网络内容的变化,并且将该变化通知给内容监控服务器端141,并由内容监控服务器端141来控制内容缓存和提供设备120的操作。本发明的网络内容提供***100可以包括一个或者多个网络服务器130,因此相应也需要数量与网络服务器相对应的内容监控客户端143。内容监控服务器141可以同时和多个内容监控客户端143进行通信,以便对多个网络服务器130处的网络内容进行监控。内容监控服务器141和内容监控客户端143之间可以采用任意方式的通信方式,但是优选为加密的通信方式,以确保二者之间的通信内容不为第三方所知晓。另外内容监控服务器141和内容监控客户端143之间还执行例如基于心跳协议的心跳检测,以检测内容监控服务器141和内容监控客户端143之间的通信是否正常。当然任何其它可以检测内容监控服务器141和内容监控客户端143之间的通信是否正常的检测技术都在本发明的保护范围之内。
内容缓存和提供设备120包括网络服务器代理装置121、网络内容缓存器123和内容更新装置125。网络内容缓存器123中缓存有网络服务器130a和130b中的网络内容。内容更新装置125根据来自内容监控子***140的信息,尤其是内容监控服务器端141的信息,来更新网络内容缓存器123中的内容,以保持网络服务器130上的内容和网络内容缓存器123所缓存的内容的一致性。
在本发明的网络内容提供***100投入使用之前或者之初,或者在新的网络服务器130加入到网络内容提供***100中时,可以利用任何方法将存储在网络服务器130的网络内容存储器131中的网络内容复制到内容缓存和提供设备120的网络内容缓存器123中。这可以例如通过由网络管理员手动地复制来完成。这也可以通过由内容监控客户端143发送更新全部网络内容的消息给内容监控服务器141、随后由内容监控服务器141指示内容更新装置125将网络服务器130上的所有网络内容都更新到网络内容缓存器123中来完成。所有这些用于在初始阶段将网络内容服务器130上的网络内容缓存到网络内容缓存器123中的方法都在本发明的保护范围之内。
在网络内容提供***100中的运行期间,在多个客户端200a,...,200b等处的用户向网络内容提供***100请求网络内容。网络内容最初存储在网络服务器130a和130b的网络内容存储器131a和131b中,而且用户请求访问的是存储在网络服务器130a,...,130b处的网络内容。在本发明的网络内容提供***100中,内容缓存和提供设备120已经将各个网络服务器130处的内容缓存在网络内容缓存器123中了。内容缓存和提供设备120布置在网络服务器130和客户端200之间,因而,所有用户对网络服务器130上的网络内容的请求都必须经由内容缓存和提供设备120。内容缓存和提供设备120中的网络服务器代理装置121处理来自用户的网络内容请求,当所请求的内容是网络服务器130上的网络内容时,就直接使用网络内容缓存器123中缓存的网络内容来响应。
根据上述可以看出,在本发明的网络内容提供***100中,由内容缓存和提供设备120的网络内容缓存器123中缓存的网络内容来响应用户的内容访问请求,并且由内容监控子***140和内容更新装置125的协作来在网络服务器130上的网络内容发生改变时,及时地将该改变的内容更新到网络内容缓存器123中。
但是当网络服务器130的网络内容被未经许可地篡改时,将该被篡改的内容更新到网络内容缓存器123中并且呈现给用户就是不恰当的。本发明的网络内容提供***100可以发现这些未经许可的篡改,并且可以阻止用户察觉到这些被篡改的网络内容。下面结合图2来描述根据本发明的网络内容提供***100是如何防止网络内容被篡改的。
图2是根据本发明实施例、在网络内容提供***100中的防止网络内容被篡改***110的详细框图。
内容监控客户端143包括客户端通信装置1431、监控装置1433和配置装置1435。
客户端通信装置1431与内容监控服务器141中的对应服务器通信装置1411进行通信。如上所述,所述通信可以采用任何方式,但是优选采用二者之间特定的加密方式,以进一步保证通信内容的安全性。
监控装置1433对网络服务器130的网络内容存储器中131存储的网络内容进行实时监控。可以有多种方式来实现对网络内容的实时监控,例如,网络内容通常以文件的形式存储在网络内容存储器131中,而现有计算机操作***通常采用分层设计,监控装置1433可以通过以HOOK方式监视文件存取的底层接口,就可以实时监控到网络内容的修改。当然,上述方式仅仅是示例的,任何可以实时监控网络内容修改的方式都在本发明的保护范围之内。当监控装置1433检测到所监控的网络内容发生改变时,生成网络内容更新事件,并且经由客户端通信装置1431将该事件发送到内容监控服务器141来进行进一步的处理。一般而言,监控装置1433所生成的网络内容更新事件通常包括网络内容标识(如文件名称,文件路径,文件ID等)、更新类型(如新建、修改和删除等)和更新时间等,而客户端通信装置1431在将该事件发送到内容监控服务器141之前通常又在该事件中加入服务器标识。应当注意的是,网络内容更新事件的内容可以取决于内容监控服务器141的需要而包括更多或者不同的内容,如进行内容更新的应用程序、用户、用户级别等,所有这些都是本领域技术人员可以想到的,并且在本发明的保护范围之内。
配置装置1435与***管理员进行交互以接收内容监控客户端143的配置信息,该配置信息的内容包括要进行监控的网络内容设置等。例如,当网络内容以文件形式保存在网络内容存储器131中时,配置信息可以包括网络内容的文件列表或者网络内容的文件目录等。
内容监控服务器141包括服务器通信装置1411、篡改判断装置1413、篡改文件存储装置1415、报警装置1417和监控服务器配置装置1419。
如上所述,服务器通信装置1411负责和客户端通信装置1431进行通信,以接收由内容监控客户端143所发出的网络内容更新事件,并且将该网络内容更新事件发送到篡改判断装置1413进行进一步的处理。另外,服务器通信装置1411还和客户端通信装置1431进行额外的通信,以确保内容监控服务器141和内容监控客户端143之间的通信是正常的。这种额外的通信例如为基于心跳协议的心跳检测。内容监控客户端143驻留在网络服务器130中,当网络服务器130由于各种原因(如被黑客侵入并关闭内容监控客户端)来断开与内容监控服务器的通信时,服务器通信装置1411可以通过这种额外的通信发现该网络断开问题、产生网络服务器断开事件并通过报警装置1417来通知网络管理员。
篡改判断装置1413基于预先配置的篡改判断规则来对所接收的网络内容更新事件进行判断,如果判定该网络内容的更新属于正常,则提取包含在网络内容更新事件中的网络服务器标识、网络内容标识和更新类型,并且将这些信息发送到内容更新装置125。内容更新装置125首先判断更新类型,如果更新类型为删除,则直接删除网络内容缓存器123中的对应内容;否则,则根据网络服务器标识和网络内容标识从相应的网络服务器获取相应的网络内容,并用新获取的网络内容更新网络内容缓存器123中的对应内容。如果篡改判断装置1413判定该网络内容更新为篡改,即未经许可的修改,则篡改判断装置1413不会通知内容更新装置125来更新网络内容,相反地,篡改判断装置1413将该篡改内容加入到篡改文件存储装置1415中,并经由报警装置1417来通知网络管理员相应的网络内容被篡改了。
篡改文件存储装置1415中存储被篡改文件的列表,其中列表中的每一项都记录了与被篡改文件的信息,诸如文件标识、网络服务器标识、篡改类型(通常与更新类型相同,包括新建、修改和删除等)、篡改时间等。所以这些信息都可以从网络内容更新事件中提取。另外如先前所述,还可以记录进行内容篡改的应用程序、用户、用户等级等。
报警装置1417接收各种其它装置发送过来的信息,并且以电子邮件、短消息等方式来将该信息通知给网络管理员。如本领域技术人员所理解的那样,所有其他用于将信息通知给网络管理员的方式都可以在报警装置1417中实现,并且在本发明的保护范围之内。
监控服务器配置装置1419用于对内容监控服务器141进行配置和管理,例如,网络管理员可以通过该配置装置1419来配置篡改判断规则、查看被篡改文件列表等。
需要指出的是,篡改判断规则可以是各种各样的规则以及这些规则的任意组合。例如,一种常见的篡改判断规则为基于网络内容修改时间的规则,即如果对网络内容的修改在预定时间范围之内,则认为该修改是正常的修改,而在预定时间范围之外的修改则被认为是对网络内容的篡改。另一种篡改判断规则可以为只有经由某个应用程序对网络内容的修改才是正常的修改,否则为篡改。还有一种篡改判断规则可以为只有某个用户或者某个级别的用户对网络内容的修改才是正常的,否则为篡改。本领域的技术人员可以根据需要设想出各种其他的篡改判断规则,所有这些篡改判断规则都在本发明的保护范围之内。
还需要指出的是,从内容监控客户端143发送到内容监控服务器141的网络内容更新事件可以根据篡改判断规则的需要而添加相应的内容。例如当篡改判断规则涉及进行网络内容修改的应用程序或者用户时,则需要在网络内容更新事件中添加相关的应用程序或者用户信息。
可选地,内容缓存和提供设备120还可以包括非法字符处理装置127,用于对内容更新装置125所获取的网络内容进行内容检测,当发现所获取的网络内容中包含有非法字符时,可以阻止将该网络内容更新到网络内容缓存器123中,并且可以记录该事件并且通过各种方式来通知网络管理员。这里,非法字符处理装置127可以将相关事件记录到篡改文件存储装置1415中,并且利用报警装置1417来向网络管理员通知该事件。
可以看出,本发明中的防止网络内容被篡改***110可以实时监控网络服务器130上的网络内容更新,并且将其更新到内容缓存器123中,从而使得用户可以及时看见更新后的网络内容。此外,当网络服务器上的网络内容被篡改时,内容监控子***140可以监控到该篡改,并且不会将被篡改的网络内容更新到内容缓存器123中,因此对于用户而言,网络内容保持未被篡改的状态。这样,防止网络内容被篡改***110可以对用户完全透明的方式来保护网络内容以防止被篡改。
图3示出了根据本发明一个实施例的、使用防止网络内容被篡改***110来防止网络内容被篡改的方法300。
在步骤S310处,对网络服务器上的网络内容进行实时监控,以发现网络内容的任何变化,这通常由内容监控客户端143来执行。在步骤S320处,当监控到网络服务器上的网络内容的任何变化(包括网络内容的删除、修改和新增)时,由内容监控客户端143生成网络内容更新事件,并将该事件传送到内容监控服务器141来进行进一步的处理。在步骤S330处,内容监控服务器141根据篡改判断规则来判断与网络内容更新事件相对应的网络内容更新是正常的内容更新还是异常的内容篡改。如果该内容更新为正常的内容更新,则在步骤S340处,由内容更新装置125根据网络内容更新事件来更新缓存在内容缓存器123中的网络内容。如果该内容更新为异常的内容篡改,则在步骤S350处,将被篡改的文件的信息添加到篡改文件存储装置1415中,然后在步骤S360处,将该篡改事件通知给网络管理员。
另外,可选择地,方法300还包括步骤S370,用于在由内容更新装置125更新网络内容之前,判断所更新的网络内容中是否具有非法字符,如果存在非法字符则阻止更新网络内容,否则允许更新网络内容。
随后,方法300中的处理返回到步骤S310以继续监控网络内容的更新。在上述方法300的描述中,为了简洁起见,省略了一些与上述对防止网络内容被篡改***110的描述相同的部分。
应当注意的是,在本发明中,网络内容是指可以向网络用户提供的任何内容,其例如包括网页、图片、脚本文件以及可下载文件等等。网络内容通常以文件形式存储在网络内容服务器130中。
综上所述,可知本发明通过内容监控子***和内容缓存和提供设备的联合使用来防止网络服务器上的网络内容的篡改被用户所知,并且可以在网络服务器上的网络内容被篡改时及时通知网络管理员,以便可以及时查找网络内容被篡改的原因并进行修复。在本发明中,内容监控子***作为分布式***,其客户端部分嵌入到网络服务器中,而服务器端部分嵌入到内容缓存和提供设备中。由于内容缓存和提供设备通常为专用的设备而具有更高的安全性,因而与网络服务器相比,其更难以被非法侵入。例如,内容缓存和提供设备甚至可以透明模式连接在用户和网络服务器之间,因而外部用户甚至不会察觉到内容缓存和提供设备的存在,这也大大降低了内容缓存和提供设备被非法侵入的几率。而内容监控客户端虽然嵌入在网络服务器中,但是在内容监控服务器和内容监控客户端之间的专用连接也可以使得内容监控服务器能够即时发现内容监控客户端的异常,因此当内容监控客户端因为网络服务器被非法侵入而无法正常工作时,网络管理员也可以利用本发明的防止网络内容被篡改***即时发现该问题并着手解决。
应该注意的是,上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (15)
1.一种用于防止一个或者多个网络服务器上的网络内容被篡改的***,包括:
内容缓存和提供设备,其中缓存了所述一个或者多个网络服务器上的网络内容,处理来自用户的网络内容访问请求,使用所缓存的网络内容对所述用户的网络内容访问请求进行响应;以及
内容监控子***,包括一个或者多个分别并入到所述网络服务器中的内容监控客户端部分和并入到所述内容缓存和提供设备中的内容监控服务器部分;
所述一个或者多个内容监控客户端部分分别对所述一个或者多个网络服务器上的网络内容的更新进行监控,并且将所述网络内容的更新发送到所述内容监控服务器部分;
所述内容监控服务器部分基于预定的篡改判断规则来判断所述网络内容的更新是否为篡改,当断定所述网络内容的更新为篡改时,不相应更新所述内容缓存和提供设备中缓存的对应网络内容,以及当断定所述网络内容的更新并非篡改时,指示所述内容缓存和提供设备更新所缓存的所述一个或者多个网络服务器上的网络内容。
2.如权利要求1所述的***,其中所述内容缓存和提供设备包括:
网络内容缓存器,其中缓存了所述一个或者多个网络服务器上的网络内容;
网络服务器代理装置,处理来自所述用户的网络内容访问请求,并使用所述网络内容缓存器中缓存的网络内容对所述用户的网络内容访问请求进行响应;以及
内容更新装置,根据所述内容监控服务器部分的指示获取所述一个或者多个网络服务器上的网络内容,并且将其更新到所述网络内容缓存器中。
3.如权利要求1或者2所述的***,其中每个并入到所述一个或者多个网络服务器之一中的内容监控客户端部分包括:
客户端通信装置,用于和所述内容监控服务器部分进行通信;
监控装置,用于对所述一个或者多个网络服务器之一中的存储的网络内容进行实时监控,并且在所存储的网络内容被更新时,生成网络内容更新事件,并经由所述客户端通信装置将所述网络内容更新事件发送到所述内容监控服务器部分,其中所述网络内容更新事件包括所述网络内容的标识、所述网络服务器的标识、更新时间以及更新类型。
4.如权利要求3中所述的***,其中所述内容监控服务器部分包括:
服务器通信装置,用于和所述内容监控客户端部分进行通信;
篡改判断装置,用于基于所述预定的篡改判断规则和所述网络内容更新事件来判断所述网络内容更新事件中所包括的网络内容更新是否为篡改,当所述网络内容更新为正常更新时,指示所述内容缓存和提供设备更新所缓存的相对应网络内容,以及当所述网络内容更新为篡改时,提取所述网络内容更新事件中的信息,并将其加入到篡改文件存储装置中;以及
篡改文件存储装置,用于存储与被篡改的网络内容相关的信息。
5.如权利要求4所述的***,其中所述客户端通信装置和所述服务器通信装置之间以加密方式进行通信。
6.如权利要求1-2中的任一个所述的***,其中所述预定的篡改判断规则包括以下中的任何一个或者多个:
对网络内容更新的时候在预定的时间范围之内;
由特定的应用程序进行网络内容更新;以及
由特定的网络服务器用户或者用户等级进行网络内容更新。
7.如权利要求2所述的***,其中所述内容缓存和提供设备还包括非法字符处理装置,用于所获取的要更新的网络内容中包含有非法字符时,阻止对所述网络内容缓存器中相应网络内容的更新。
8.一种内容缓存和提供设备,包括:
网络内容缓存器,其中缓存了一个或者多个网络服务器上的网络内容;
网络服务器代理装置,处理来自用户的、对所述一个或者多个网络服务器上的网络内容的访问请求,并使用所述网络内容缓存器中缓存的网络内容对所述用户的访问请求进行响应;
内容更新装置,用于获取所述一个或者多个网络服务器上的网络内容,并且将其更新到所述网络内容缓存器中;以及
内容监控服务器部分,用于与一个或者多个分别并入到所述一个或者多个网络服务器中的内容监控客户端部分进行通信,以获取所述网络服务器中的网络内容更新信息,并基于预定的篡改判断规则来判断所述网络内容的更新是否为篡改,当断定所述网络内容的更新为篡改时,不相应更新所述网络内容缓存器中缓存的对应网络内容,以及当断定所述网络内容的更新并非篡改时,指示所述内容更新装置更新所缓存的所述一个或者多个网络服务器上的网络内容。
9.如权利要求8所述的内容缓存和提供设备,还包括:
非法字符处理装置,用于所获取的要更新的网络内容中包含有非法字符时,阻止对所述网络内容缓存器中相应网络内容的更新。
10.如权利要求8或者9所述的内容缓存和提供设备,其中所述内容监控服务器部分包括:
服务器通信装置,用于和所述内容监控客户端部分进行通信;
篡改判断装置,用于基于所述预定的篡改判断规则和所述网络内容更新事件来判断所述网络内容更新事件中所包括的网络内容更新是否为篡改,当所述网络内容更新为正常更新时,指示所述内容缓存和提供设备更新所缓存的相对应网络内容,以及当所述网络内容更新为篡改时,提取所述网络内容更新事件中的信息,并将其加入到篡改文件存储装置中;以及
篡改文件存储装置,用于存储与被篡改的网络内容相关的信息。
11.如权利要求8所述的内容缓存和提供设备,其中所述预定的篡改判断规则包括以下中的任何一个或者多个:
对网络内容更新的时候在预定的时间范围之内;
由特定的应用程序进行网络内容更新;以及
由特定的网络服务器用户或者用户等级进行网络内容更新。
12.一种网络内容提供***,包括:
一个或者多个网络服务器,其中存储了要提供的网络内容;以及
如权利要求1-7中任一个所述的防止所述一个或者多个网络服务器上的网络内容被篡改的***。
13.一种防止一个或者多个网络服务器上的网络内容被篡改的方法,所述方法在防止网络内容被篡改的***中运行,该防止网络内容被篡改***包括用于缓存一个或者多个网络服务器上的网络内容的内容缓存和提供设备、一个或者多个内容监控客户端部分和并入到所述内容缓存和提供设备中的内容监控服务器部分,其中每个内容监控客户端部分并入到所述一个或者多个网络服务器之一中,所述方法包括步骤:
由内容监控客户端部分监控相应网络服务器上的网络内容;
当内容监控客户端部分监控到相应网络服务器上的网络内容的变化时,生成与网络内容的变化相关的更新事件;
内容监控服务器部分根据预定的篡改判断规则来判断所述网络内容的更新事件相对应的网络内容的变化是正常的内容更新还是异常的内容篡改;
如果该网络内容更新为正常的内容更新,则指示所述内容缓存和提供设备更新所缓存的网络内容;以及
如果该网络内容更新为异常的内容篡改,则不更新所述内容缓存和提供设备所缓存的对应网络内容,
其中当接收到用户对存储在所述一个或者多个网络服务器上的网络内容的网络内容访问请求时,使用所述内容缓存和提供设备所缓存的网络内容对所述用户的网络内容访问请求进行响应。
14.如权利要求13所述的方法,还包括步骤:
如果该网络内容更新为异常的内容篡改,则记录被篡改的网络内容,并且发出报警信息。
15.如权利要求13所述的方法,其中所述预定的篡改判断规则包括以下中的任何一个或者多个:
对网络内容更新的时候在预定的时间范围之内;
由特定的应用程序进行网络内容更新;以及
由特定的网络服务器用户或者用户等级进行网络内容更新。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100837513A CN101888311B (zh) | 2009-05-11 | 2009-05-11 | 一种防止网络内容被篡改的设备、方法和*** |
| PCT/CN2010/000674 WO2010130154A1 (zh) | 2009-05-11 | 2010-05-11 | 一种防止网络内容被篡改的设备、方法和*** |
| US13/319,545 US20120096565A1 (en) | 2009-05-11 | 2010-05-11 | Device, method and system to prevent tampering with network content |
| JP2012510095A JP5430747B2 (ja) | 2009-05-11 | 2010-05-11 | ネットワーク内容改竄防止設備、方法及びそのシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100837513A CN101888311B (zh) | 2009-05-11 | 2009-05-11 | 一种防止网络内容被篡改的设备、方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101888311A CN101888311A (zh) | 2010-11-17 |
| CN101888311B true CN101888311B (zh) | 2013-02-06 |
Family
ID=43074045
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100837513A Active CN101888311B (zh) | 2009-05-11 | 2009-05-11 | 一种防止网络内容被篡改的设备、方法和*** |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20120096565A1 (zh) |
| JP (1) | JP5430747B2 (zh) |
| CN (1) | CN101888311B (zh) |
| WO (1) | WO2010130154A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5681028B2 (ja) * | 2010-04-26 | 2015-03-04 | パナソニック株式会社 | 改ざん監視システム、管理装置及び管理方法 |
| CN102571924B (zh) * | 2011-12-16 | 2015-09-23 | 上海合合信息科技发展有限公司 | 互换信息的方法及*** |
| CN102571791B (zh) * | 2011-12-31 | 2015-03-25 | 奇智软件(北京)有限公司 | 一种分析网页内容是否被篡改的方法及*** |
| CN102902926A (zh) * | 2012-10-11 | 2013-01-30 | 长春理工大学 | 基于分布式文件同步技术的网站文件防篡改方法 |
| US9378370B2 (en) * | 2013-06-17 | 2016-06-28 | Microsoft Technology Licensing, Llc | Scanning files for inappropriate content during synchronization |
| CN103346907A (zh) * | 2013-06-25 | 2013-10-09 | 宁夏新航信息科技有限公司 | 一种网站安全监测管理的方法 |
| GB2516050A (en) * | 2013-07-09 | 2015-01-14 | Ibm | A Network Security System |
| CN105678193B (zh) * | 2016-01-06 | 2018-08-14 | 杭州数梦工场科技有限公司 | 一种防篡改的处理方法和装置 |
| CN105721249A (zh) * | 2016-03-01 | 2016-06-29 | 浪潮软件集团有限公司 | 恢复外网网页篡改及发送短信通知的监控***及监控方法 |
| CN106682529A (zh) * | 2017-01-04 | 2017-05-17 | 北京国舜科技股份有限公司 | 一种防篡改方法和防篡改终端 |
| TWI649672B (zh) * | 2017-04-14 | 2019-02-01 | 精品科技股份有限公司 | 用於固定環境的更新防護系統及其更新防護方法 |
| TWI649671B (zh) * | 2017-04-14 | 2019-02-01 | 精品科技股份有限公司 | 用於固定環境的資安防護系統及其資安防護方法 |
| CN110278123B (zh) * | 2019-05-10 | 2021-04-06 | 新华三技术有限公司 | 检查方法、装置、电子设备及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466078A (zh) * | 2002-07-02 | 2004-01-07 | 英业达股份有限公司 | 一种更新网页内容及表格的网页服务器***及方法 |
| CN101056187A (zh) * | 2006-04-14 | 2007-10-17 | 王伟珣 | 一种网络内容定位定向定制发布的***和方法 |
| CN101292252A (zh) * | 2005-10-18 | 2008-10-22 | 松下电器产业株式会社 | 信息处理装置及其方法 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002207623A (ja) * | 2001-01-09 | 2002-07-26 | Gia:Kk | ホームページ改竄防止システム |
| JP2003140969A (ja) * | 2001-10-31 | 2003-05-16 | Hitachi Ltd | コンテンツチェックシステムならびに同システムにおけるコンテンツの改竄検知方法、およびコンテンツチェックプログラム、記録媒体 |
| JP3980327B2 (ja) * | 2001-11-01 | 2007-09-26 | 富士通株式会社 | 改ざん検出システム、改ざん検出方法、およびプログラム |
| US20040243820A1 (en) * | 2003-05-14 | 2004-12-02 | Kenichi Noridomi | Information-embedding apparatus and method, tampering-detecting apparatus and method, and recording medium |
| WO2006009032A1 (ja) * | 2004-07-20 | 2006-01-26 | Matsushita Electric Industrial Co., Ltd. | コンテンツ管理システム及びコンテンツ管理装置 |
| JP4750497B2 (ja) * | 2005-07-27 | 2011-08-17 | 技研商事インターナショナル株式会社 | コンテンツ改竄対処システム |
| US7757269B1 (en) * | 2006-02-02 | 2010-07-13 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
| KR20090010204A (ko) * | 2006-05-18 | 2009-01-29 | 파나소닉 주식회사 | 전자기기, 콘텐츠 재생제어방법, 프로그램, 기억매체, 집적회로 |
| US7934253B2 (en) * | 2006-07-20 | 2011-04-26 | Trustwave Holdings, Inc. | System and method of securing web applications across an enterprise |
| US8307425B2 (en) * | 2006-08-04 | 2012-11-06 | Apple Inc. | Portable computer accounts |
| US8375455B2 (en) * | 2006-08-10 | 2013-02-12 | Wayne Odom | System, method, and device for storing and delivering data |
| CN201054604Y (zh) * | 2007-07-04 | 2008-04-30 | 福建伊时代信息科技有限公司 | 驱动级网站防篡改架构 |
| JP5341761B2 (ja) * | 2007-08-09 | 2013-11-13 | パナソニック株式会社 | 端末装置、サーバ及びそのシステム |
| US8464347B2 (en) * | 2008-03-28 | 2013-06-11 | Panasonic Corporation | Software updating apparatus, software updating system, alteration verification method and alteration verification program |
| US8082576B2 (en) * | 2008-09-12 | 2011-12-20 | At&T Mobility Ii Llc | Network-agnostic content management |
| WO2010061561A1 (ja) * | 2008-11-26 | 2010-06-03 | パナソニック株式会社 | 監視システム、プログラム実行装置、監視プログラム、記録媒体及び集積回路 |
| US8544093B2 (en) * | 2009-02-16 | 2013-09-24 | Panasonic Corporation | Illegal module identifying device, information processing device, illegal module identifying method, illegal module identifying program, integrated circuit, illegal module disabling system, and illegal module disabling method |
-
2009
- 2009-05-11 CN CN2009100837513A patent/CN101888311B/zh active Active
-
2010
- 2010-05-11 US US13/319,545 patent/US20120096565A1/en not_active Abandoned
- 2010-05-11 JP JP2012510095A patent/JP5430747B2/ja active Active
- 2010-05-11 WO PCT/CN2010/000674 patent/WO2010130154A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466078A (zh) * | 2002-07-02 | 2004-01-07 | 英业达股份有限公司 | 一种更新网页内容及表格的网页服务器***及方法 |
| CN101292252A (zh) * | 2005-10-18 | 2008-10-22 | 松下电器产业株式会社 | 信息处理装置及其方法 |
| CN101056187A (zh) * | 2006-04-14 | 2007-10-17 | 王伟珣 | 一种网络内容定位定向定制发布的***和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120096565A1 (en) | 2012-04-19 |
| CN101888311A (zh) | 2010-11-17 |
| JP2012526501A (ja) | 2012-10-25 |
| JP5430747B2 (ja) | 2014-03-05 |
| WO2010130154A1 (zh) | 2010-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101888311B (zh) | 一种防止网络内容被篡改的设备、方法和*** | |
| CN110263585B (zh) | 测试监管方法、装置、设备及存储介质 | |
| CN101632085B (zh) | 企业安全评估共享 | |
| CN101520831B (zh) | 安全终端***及终端安全方法 | |
| JP5586660B2 (ja) | 情報をロックする方法、システムおよび装置 | |
| EP3404948A1 (en) | Centralized selective application approval for mobile devices | |
| CN103632080A (zh) | 一种基于USBKey的移动数据应用安全保护***及其方法 | |
| AU2010292939A1 (en) | Alert for real-time risk of theft or loss | |
| CN102110220A (zh) | 一种应用程序监控方法及装置 | |
| US20160292441A1 (en) | Redacting restricted content in files | |
| WO2016145849A1 (zh) | 一种短信安全管理方法、装置及终端 | |
| CN111212055A (zh) | 非侵入式网站远程检测***及检测方法 | |
| CN114144761A (zh) | 发布***、推送方法、应用设备、接收装置及服务管理设备 | |
| US8117181B2 (en) | System for notification of group membership changes in directory service | |
| CN111782481B (zh) | 一种通用数据接口监控***和监控方法 | |
| CN102158347A (zh) | 数据保护方法、装置和服务器 | |
| CN115794469A (zh) | 数据资产处理方法及装置 | |
| CN115567218A (zh) | 基于区块链的安全证书的数据处理方法、装置和服务器 | |
| Cisco | Appendix A: Error and Event Messages | |
| CN114491661A (zh) | 基于区块链的日志防篡改方法及*** | |
| KR101044291B1 (ko) | 실시간 웹페이지 위변조 탐지 및 복구시스템 | |
| JP2005063276A (ja) | 機密情報漏洩抑止システム | |
| CN117473565A (zh) | 服务集群的节点操作方法和装置、存储介质及电子设备 | |
| CN118282705A (zh) | 一种服务调度集约化平台的安全防护方法及装置 | |
| CN117290899A (zh) | 一种数据销毁方法、***、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: NSFOCUS TECHNOLOGY CO., LTD. Effective date: 20130926 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20130926 Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai five storey building Patentee after: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai five storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai five storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |