[發明專利]一種基于云架構的網站安全監控方法有效
| 申請號: | 201410003885.0 | 申請日: | 2014-01-06 |
| 公開(公告)號: | CN103685575B | 公開(公告)日: | 2018-09-07 |
| 發明(設計)人: | 洪高穎 | 申請(專利權)人: | 洪高穎 |
| 主分類號: | H04L29/08 | 分類號: | H04L29/08;H04L12/24;H04L29/06 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 100083 北京市海*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 架構 網站 安全 監控 方法 | ||
1.一種基于云架構的網站安全監控方法,其特征在于,所述方法具體包括以下步驟:
步驟(一),建立分布式任務分發系統,所述分布式任務分發系統包括分布式任務分發中心和節點任務監控引擎;
步驟(二),所述分布式任務分發中心根據前臺配置的監控網站的任務檢測周期,定期生成網站的各種網站監控任務和策略,并將所述網站監控任務和策略動態地分配到各個節點任務監控引擎;
步驟(三),所述各個節點任務監控引擎運行和分析所述分布式任務分發中心分配過來的各種網站監控任務,所述監控任務包括服務中斷監控、篡改事件監控、網站掛馬檢測、敏感詞監控、應用漏洞監控、性能故障監控、入侵進程監控、安全資訊跟蹤預警、被黑網站資訊跟蹤預警和釣魚網站跟蹤預警;
其中,所述步驟(三)所進行的各項網站監控任務具體為:
(1),服務中斷監控
具體包括:
1.1進行多節點分析,在所述節點任務監控引擎收到服務中斷監控任務后,同時對兩個以上不同節點的服務中斷分析接口進行分析;
1.2對網址域名進行DNS解析,對分析接口進行檢測后,首先提取該監控任務的網址域名,使用DNS對所述網址域名進行解析,并判斷是否解析成功,成功則進行到步驟1.3,否則返回DNS錯誤并發出“服務中斷”的提示消息;
1.3進行DNS劫持判斷,獲取解析成功的ip地址,檢測歷史解析白名單記錄,如果存在則進行步驟1.4,否則返回DNS劫持并發出“服務中斷”的提示消息;
1.4進行端口檢測,對進行監控網站的端口的ip進行端口訪問測試,成功則進行步驟1.5,否則返回端口錯誤并發出“服務中斷”的提示消息;
1.5進行網頁狀態碼檢測,獲取監控網站的網址的網頁內容,對所述網頁內容進行檢測并返回網頁狀態碼,如果網頁狀態碼為400以上,則返回網頁發生錯誤信息并發出“服務中斷”的提示消息;
(2),篡改事件監控
具體包括:
2.1結構化分析,具體為,獲取任務網址的最新網頁內容和上次網頁內容,對其進行結構化分析,并預處理成文本、圖片、鏈接或者腳本;
2.2變更內容對比,具體為,把任務網址的兩次網頁內容,通過冒泡排序法,計算最大共同集,提取出不同的地方,并且加入智能化忽略處理,還根據人工設置的變更關鍵字忽略、變更行數忽略或者更新時間忽略進行人工忽略處理;最終分析計算出最新變化內容,并根據可視化、不可視化、變化行數或者變化時間來生成不同等級報警級別;
(3),網站掛馬監控
具體包括:
3.1黑白名單檢測,具體為,通過黑名單地址庫,來檢測任務網址是否為黑名單網址,是則發出掛馬告警,否則進行步驟3.2;
3.2特征字檢測,具體為,檢測網頁內容是否存在相關掛馬特征字,如果有則發出掛馬告警,否則進行步驟3.3;
3.3病毒引擎檢測,具體為,通過第三方單機病毒掃描引擎對網頁進行掃描檢測,如果發現掛馬病毒則發出掛馬告警,否則進行步驟3.4;
3.4第三方云引擎檢測,具體為,通過第三方云引擎接口對網頁進行掃描檢測,如果發現掛馬病毒則發出掛馬告警,否則返回到步驟3.1;
(4),敏感詞監控
具體包括:
4.1關鍵字檢測,具體為,檢測網頁內容是否存在相關的關鍵字,如果關鍵字包含正則表達式,則在檢測中使用正則表達式進行檢測,以有效檢測一些通過特殊字符、空格、錯誤代碼來意圖躲避常規關鍵字檢測的敏感內容,并進行到步驟4.2,如果關鍵字不包含正則表達式則終止所述敏感詞監控;
4.2關鍵字忽略檢測,具體為,對發現關鍵字的內容進行忽略關鍵字的檢測,通過自定義的加長關鍵字來忽略所述關鍵字,如果最終檢測后,還是發現有關鍵字,則進行敏感詞告警;
(5),應用漏洞監控
具體包括:
采用漏洞驗證技術,在檢測到“SQL注入”和“跨站腳本”漏洞后,對發現的上述兩個漏洞進行自動驗證,以減少應用漏洞誤報情況;
(6),性能故障監控
具體為,通過簡單網絡管理協議snmp從遠程網站獲取最新的cpu、內存、硬盤值,計算出目前的使用量、剩余量和總量,如果使用量超過人工設定的閾值則發出性能故障告警;
(7),入侵進程監控
具體包括:
7.1采用對比檢測技術,通過snmp對遠程網站獲取最新和上次獲取的進程列表,將兩次進程列表進行對比,提取出最新增加的進程,如果有最新增加的進程則進行到步驟7.2,否則終止;
7.2采用白名單進程忽略技術,將提取到的新增進程列表跟白名單進程關鍵字進行忽略處理,如果還存在未知新進程,則發出入侵進程告警;
(8),安全資訊跟蹤監控
具體包括:
采用安全資訊跟蹤檢測技術,收集互聯網安全資訊內容,通過自定義的應用程序版本、中間件版本和操作系統版本對最新收集到的安全資訊內容進行檢索,如果發現相關漏洞、補丁,則進行安全資訊跟蹤告警;
(9),被黑網站跟蹤監控
具體包括:
采用被黑網站跟蹤檢測技術,收集互聯網被黑網站內容,提取監控任務網址的域名,通過該域名對最新收集到的被黑網站內容進行檢索,如果發現相關被黑網站,則進行被黑網站跟蹤告警;
(10),釣魚網站跟蹤預警
具體包括:
采用釣魚網站跟蹤檢測技術,收集互聯網釣魚網站內容,提取監控任務網址的域名、標題和自定義名稱,通過所述域名、標題和自定義名稱對最新收集到的釣魚網站內容進行檢索,如果發現相關釣魚網站,則進行釣魚網站跟蹤告警。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于洪高穎,未經洪高穎許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201410003885.0/1.html,轉載請聲明來源鉆瓜專利網。
