動態(tài)網(wǎng)頁防篡改系統(tǒng)的研究與實現(xiàn).pdf

1、20世紀90年代以來，隨著我國持續(xù)不斷增長的網(wǎng)絡(luò)規(guī)模、不斷豐富的各類應(yīng)用，互聯(lián)網(wǎng)的價值和重要性也進一步突出，計算機進入到網(wǎng)絡(luò)應(yīng)用階段，呈現(xiàn)出前所未有的社會化趨勢。然而，由于各式Web應(yīng)用系統(tǒng)的復(fù)雜性以及多樣性致使漏洞層出不窮，各種計算機病毒頻繁發(fā)作、黑客頻繁攻擊，黑客入侵和篡改網(wǎng)站的安全事件也接踵而至。面對Web應(yīng)用面臨的越來越嚴重的安全威脅，如何保障網(wǎng)站安全成為當前信息安全領(lǐng)域中一個重要的研究課題。
　　通過對目前網(wǎng)站篡改的現(xiàn)狀

2、及原因的分析，以及對各種網(wǎng)頁防篡改軟件的研究，在綜合與比較現(xiàn)在網(wǎng)頁安全保護模型的基礎(chǔ)上，本文提出一種新的動態(tài)網(wǎng)頁防篡改模型，實現(xiàn)對靜態(tài)腳本文件以及動態(tài)數(shù)據(jù)有效防護。區(qū)別已有的網(wǎng)頁防篡改產(chǎn)品防護方法，本文對靜態(tài)腳本文件采用與操作系統(tǒng)緊密結(jié)合的文件底層驅(qū)動防篡改方法進行實時監(jiān)控，實時發(fā)現(xiàn)非法更改、添加、刪除以及重命名文件動作，及時對非法篡改文件進行恢復(fù)；而動態(tài)數(shù)據(jù)則采用基于二次哈希算法的安全上傳機制，在客戶端準確截獲網(wǎng)站管理員向瀏覽器提交的

3、信息，然后對截獲到的信息通過二次哈希算法處理得到水印轉(zhuǎn)發(fā)給服務(wù)端，在服務(wù)器端觸發(fā)式輪詢檢測，這種方法有效的防止了sql注入攻擊和盜取管理員賬號密碼的攻擊，因為凡是沒有通過客戶端發(fā)布的信息在水印庫中就沒有記錄，也就是在檢測時會被視為非法數(shù)據(jù)，進一步提高安全性。
　　基于上述原理，本文以客戶端、服務(wù)器端為基本框架，從客戶端水印提取、網(wǎng)頁腳本文件監(jiān)控、動態(tài)數(shù)據(jù)檢測、數(shù)據(jù)備份、報警恢復(fù)五大模塊進行了詳細的設(shè)計，并基于Windows平臺，以