[發(fā)明專利]一種追溯網頁篡改行為源的方法在審
| 申請?zhí)枺?/td> | 201710223468.0 | 申請日: | 2017-04-07 |
| 公開(公告)號: | CN107423325A | 公開(公告)日: | 2017-12-01 |
| 發(fā)明(設計)人: | 寇石壘;范淵;龍文潔 | 申請(專利權)人: | 杭州安恒信息技術有限公司 |
| 主分類號: | G06F17/30 | 分類號: | G06F17/30 |
| 代理公司: | 杭州中成專利事務所有限公司33212 | 代理人: | 周世駿 |
| 地址: | 310051 浙江省杭州*** | 國省代碼: | 浙江;33 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 追溯 網頁 篡改 行為 方法 | ||
技術領域
本發(fā)明是關于網絡信息安全領域,特別涉及一種追溯網頁篡改行為源的方法。
背景技術
以計算機、信息技術與通訊技術、云技術為支撐的信息網絡的高速發(fā)展,正在以前所未有的規(guī)模與速度改變著人類的生活。網絡化給我們送來巨大利益的同時,也搭配了形形色色的網絡安全問題。為了避免網絡安全問題的侵擾,人們已經廣泛地使用了殺毒軟件、防火墻等網絡安全措施。這使病毒、主機入侵等網絡安全事件發(fā)生數(shù)量大幅度下降。然而,在我們自認為已經做了足夠網絡防護的同時,我們卻發(fā)現(xiàn)網頁篡改事件的發(fā)生數(shù)量正在迅速增長。為了防止網頁被篡改,非常有必要部署網頁防篡改保護系統(tǒng)。
目前網頁防篡改保護系統(tǒng)基本采用兩種模式:一種是通過配置規(guī)則文件,阻斷篡改;另一種是被篡改后,用備份文件進行及時恢復。這兩種方法雖然能夠有效防止網頁被篡改,保證網站網頁安全,但并沒有對篡改行為進行追蹤。當篡改行為發(fā)生后,無法有效的追蹤網頁篡改的行為過程從而追溯到篡改行為源。
發(fā)明內容
本發(fā)明的主要目的在于克服現(xiàn)有技術中的不足,提供一種高效、精準、智能追溯網頁篡改行為源的方法。為解決上述技術問題,本發(fā)明的解決方案是:
提供一種追溯網頁篡改行為源的方法,用于對待偵測的文件或目錄受到篡改時的篡改行為源進行追溯,所述追溯網頁篡改行為源的方法具體包括下述步驟:
(1)篡改進程偵測:在操作系統(tǒng)的文件系統(tǒng)驅動層添加鉤子函數(shù),在鉤子函數(shù)中能配置待偵測的文件或目錄;當待偵測的文件或目錄有任何操作行為時,能夠觸發(fā)鉤子函數(shù),鉤子函數(shù)能夠獲取到篡改進程;
(2)篡改行為關聯(lián):步驟(1)獲取到篡改進程后,鉤子函數(shù)能夠進一步追查到調用篡改進程的所有進程,形成調用篡改進程行為的進程列表;
(3)進程PID對應:鉤子函數(shù)能夠進一步追查到步驟(1)中篡改進程的進程PID、步驟(2)中進程列表的進程PID(特別指出,步驟(1)的進程PID和步驟(2)的進程PID是同一個,對應一個用戶請求);
(4)進程行為分析:對步驟(3)得到的進程PID行為進行分析,得到進程分析結果;
所述進程分析結果包括但不限于:登陸用戶、登陸IP、登陸時間、行為;
(5)篡改行為源追溯:總結步驟(1)至步驟(4),追溯到篡改行為源:篡改用戶、篡改頁面;
所述篡改用戶是指步驟(4)中的進程分析結果;
所述篡改頁面是指步驟(1)中鉤子函數(shù)監(jiān)測到被篡改的文件。
在本發(fā)明中,所述鉤子(HOOK)函數(shù)能對文件操作函數(shù)及由文件操作所觸發(fā)的消息進行HOOK;鉤子函數(shù)能實現(xiàn):首先偵測篡改進程,再偵測調用篡改進程的進程列表,然后獲取篡改進程PID及調用篡改進程的進程列表的進程PID,并對進程PID行為進行分析,完成對網頁篡改行為源的精準追溯。
在本發(fā)明中,所述待偵測的文件或目錄是指網頁目錄。
與現(xiàn)有技術相比,本發(fā)明的有益效果是:
本發(fā)明能夠高效、精準、智能追溯網頁篡改行為源,是在網絡信息安全領域特別涉及網頁防篡改技術方案中的創(chuàng)新,對于網絡安全的意義很大,且市場前景看好。
附圖說明
圖1為本發(fā)明的網頁篡改行為源追溯流程圖。
具體實施方式
首先需要說明的是,本發(fā)明是計算機技術在信息安全技術領域的一種應用。在本發(fā)明的實現(xiàn)過程中,會涉及到多個軟件功能模塊的應用。申請人認為,如在仔細閱讀申請文件、準確理解本發(fā)明的實現(xiàn)原理和發(fā)明目的以后,在結合現(xiàn)有公知技術的情況下,本領域技術人員完全可以運用其掌握的軟件編程技能實現(xiàn)本發(fā)明。
下面結合附圖與具體實施方式對本發(fā)明作進一步詳細描述:
如圖1所示的一種追溯網頁篡改行為源的方法,通過操作系統(tǒng)底層驅動技術偵測到篡改文件進程,對調用篡改進程的進程列表進行分析。該追溯網頁篡改行為源的方法具體包括下述步驟:
步驟1:篡改進程偵測開啟:首先在操作系統(tǒng)的文件系統(tǒng)的驅動層添加鉤子函數(shù),將web網頁發(fā)布目錄配置為偵測對象。當偵測目錄中的文件有任何操作行為時觸發(fā)鉤子函數(shù)處理,獲取到篡改進程。
步驟2:與篡改進程關聯(lián)的進程列表獲取:鉤子函數(shù)得到篡改進程后,進一步處理,搜集與篡改進程關聯(lián)的進程列表信息。
步驟3:進程PID對應:鉤子函數(shù)對步驟1的篡改進程和步驟2的進程列表,進行進一步處理,得到對應的進程PID。
步驟4:進程列表行為分析:鉤子函數(shù)對步驟3中的進程PID,進一步處理,追查和分析這些進程PID行為:登陸行為、登陸時間、登陸用戶、登陸IP、篡改頁面等。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于杭州安恒信息技術有限公司,未經杭州安恒信息技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710223468.0/2.html,轉載請聲明來源鉆瓜專利網。
