阅读说明：本技术 一种文件篡改劫持的检测方法、装置及存储介质 (Method and device for detecting file tampering hijacking and storage medium ) 是由 韩志辉 吕志泉 梅瑞 严寒冰 丁丽 李佳 沈元 张帅 李志辉 张腾 陈阳 王适 于 2019-03-19 设计创作，主要内容包括：本发明提出了一种文件篡改劫持的检测方法、装置及存储介质,包括：获取下载的源文件；查看文件属性信息,获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；查询下载源文件的网站的域名信息；获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；判断数字签名信息与网站域名的注册信息是否同源；如果是,则下载的源文件未被篡改,否则判定下载的源文件被篡改或下载地址被劫持。通过识别下载文件与网站信息是否同源,来判定所下载文件是否被篡改或网站是否被劫持。解决了传统方法中,因网站被劫持,放合法签名文件,导致对于这类威胁无法检测的难题。(The invention provides a method, a device and a storage medium for detecting file tampering hijacking, which comprise the following steps: acquiring a downloaded source file; checking the file attribute information to obtain digital signature information; the digital signature information includes: signer information and signature time; inquiring domain name information of a website for downloading a source file; acquiring registration information of a website domain name; the acquiring the registration information of the website domain name comprises the following steps: domain name owner and domain name registrar; judging whether the digital signature information is homologous with the registration information of the website domain name; if so, the downloaded source file is not tampered, otherwise, the downloaded source file is judged to be tampered or the download address is hijacked. And judging whether the downloaded file is tampered or the website is hijacked or not by identifying whether the downloaded file is homologous with the website information or not. The problem that the threat cannot be detected due to hijacking of the website and placement of the legal signature file in the traditional method is solved.)

一种文件篡改劫持的检测方法、装置及存储介质

技术领域

本发明涉及网络安全技术领域，特别涉及一种文件篡改劫持的检测方法、装置及存储介质。

背景技术

传统的文件劫持和篡改通常基于URL跟踪，通过URL跟踪监控发现被篡改和劫持。然而传统的方法对于检测的发现相对滞后，需要特征库的匹配支持。如使用hash验证文件完整性：如果网站被劫持，或者入侵，原始文件的hash被修改那么就不具备识别是否同源的能力。而且劫持的现象往往是有地域的选择性和时间的间歇性，所以难于监控。

发明内容

为了解决上述问题，本发明提出了一种文件篡改劫持的检测方法、装置及存储介质，通过判断所下载文件，与下载文件网站的同源性，来判断文件是否被篡改或网站是否被劫持。解决了现有技术中检测滞后的问题。

首先本发明提出一种文件篡改劫持的检测方法，包括：

获取下载的源文件；

查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；

查询下载源文件的网站的域名信息；

获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；

判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。

所述的方法中，所述查询下载源文件的域名信息，具体为：通过whois域名查询协议进行查询。

所述的方法中，判断数字签名信息与网站域名的注册信息是否同源，具体为：通过收集、爬取各网站域名注册信息与数字签名信息的对应关系，生成同源库，判断数字签名信息与网站域名的注册信息是否同源。

本申请还提出一种文件篡改劫持的检测装置，包括：存储器和处理器；

所述存储器用于存储在处理器上运行的计算机程序；

所述处理器在运行计算机程序时实现如下步骤：

获取下载的源文件；

查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；

查询下载源文件的网站的域名信息；

获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；

判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。

所述的装置中，所述查询下载源文件的域名信息，具体为：通过whois域名查询协议进行查询。

所述的装置中，判断数字签名信息与网站域名的注册信息是否同源，具体为：通过收集、爬取各网站域名注册信息与数字签名信息的对应关系，生成同源库，判断数字签名信息与网站域名的注册信息是否同源。

一种文件篡改劫持的检测装置，包括：

文件获取模块，获取下载的源文件；

属性获取模块，查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；

查询模块，查询下载源文件的网站的域名信息；

注册信息获取模块，获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；

同源判断模块，判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。

一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上任一所述的文件篡改劫持的检测方法。

本发明方法的优势在于，基于网站所有者与所提供下载文件的所有者进行一致性对比，如果发现不一致，则可能发生篡改或劫持。传统方法中，因网站被劫持，放合法签名文件，导致对于这类威胁的检测难题，通过传播源与传播文件的双边确认，可以有效解决这个问题。

本发明提出了一种文件篡改劫持的检测方法、装置及存储介质，包括：获取下载的源文件；查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；查询下载源文件的网站的域名信息；获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。通过识别下载文件与网站信息是否同源，来判定所下载文件是否被篡改或网站是否被劫持。解决了传统方法中，因网站被劫持，放合法签名文件，导致对于这类威胁无法检测的难题。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种文件篡改劫持的检测方法实施例流程图；

图2为本发明一种文件篡改劫持的检测装置结构示意图；

图3为本发明另一种文件篡改劫持的检测装置结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

首先本发明提出一种文件篡改劫持的检测方法，如图1所示，包括：

S101：获取下载的源文件；

S102：查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；如，签名者信息中可以显示签名者名称等；

S103：查询下载源文件的网站的域名信息；

S104：获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；

S105：判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。

所述的方法中，所述查询下载源文件的域名信息，具体为：通过whois域名查询协议进行查询。

所述的方法中，判断数字签名信息与网站域名的注册信息是否同源，具体为：通过收集、爬取各网站域名注册信息与数字签名信息的对应关系，生成同源库，判断数字签名信息与网站域名的注册信息是否同源。

例如：我们在A网站下载一个源文件，通过whois域名查询协议，或信息收集爬取的方式获取A网站的域名所有人，域名注册商等信息。然后通过和下载的源文件属性签名信息比对，如果信息不一致，则判定A网站被劫持或下载的源文件被篡改。

本申请还提出一种文件篡改劫持的检测装置，如图2所示，包括：存储器201和处理器202；

所述存储器用于存储在处理器上运行的计算机程序；

所述处理器在运行计算机程序时实现如下步骤：

获取下载的源文件；

查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；

查询下载源文件的网站的域名信息；

获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；

判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。

所述的装置中，所述查询下载源文件的域名信息，具体为：通过whois域名查询协议进行查询。

所述的装置中，判断数字签名信息与网站域名的注册信息是否同源，具体为：通过收集、爬取各网站域名注册信息与数字签名信息的对应关系，生成同源库，判断数字签名信息与网站域名的注册信息是否同源。

一种文件篡改劫持的检测装置，如图3所示，包括：

文件获取模块301，获取下载的源文件；

属性获取模块302，查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；

查询模块303，查询下载源文件的网站的域名信息；

注册信息获取模块304，获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；

同源判断模块305，判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。

一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上任一所述的文件篡改劫持的检测方法。

本发明方法的优势在于，传统的文件劫持和篡改通常通过URL跟踪监控发现被篡改和劫持，这种检测方法是相对滞后的。我们采取动态比对的方式可以实时有效的检测劫持和篡改。传统的方式通过特征库的匹配支持，如使用hash校验文件完整性，但是如果原始文件的hash被篡改，那么就不具备是否同源的识别能力了。而我们是基于源文件的所有者信息，和网站所有者信息一致性比对，依然可以有效检测。

基于网站所有者与所提供下载文件的所有者进行一致性对比，如果发现不一致，则可能发生篡改或劫持。传统方法中，因网站被劫持，放合法签名文件，导致对于这类威胁的检测难题，我们通过域名信息和下载文件的信息对比识别是否同源，并通过动态识别，有效识别网站被劫持或文件信息被修改的问题。

本发明提出了一种文件篡改劫持的检测方法、装置及存储介质，包括：获取下载的源文件；查看文件属性信息，获取数字签名信息；所述数字签名信息包括：签名者信息及签名时间；查询下载源文件的网站的域名信息；获取网站域名的注册信息；所述获取网站域名的注册信息包括：域名所有人及域名注册商；判断数字签名信息与网站域名的注册信息是否同源；如果是，则下载的源文件未被篡改，否则判定下载的源文件被篡改或下载地址被劫持。通过识别下载文件与网站信息是否同源，来判定所下载文件是否被篡改或网站是否被劫持。解决了传统方法中，因网站被劫持，放合法签名文件，导致对于这类威胁无法检测的难题。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。