本發(fā)明公開了一種互聯(lián)網(wǎng)托管網(wǎng)站的排查方法，包括對網(wǎng)站內(nèi)容進(jìn)行數(shù)據(jù)采集；對數(shù)據(jù)進(jìn)行關(guān)鍵字識別和圖像識別；進(jìn)行互聯(lián)網(wǎng)托管網(wǎng)站排查。本發(fā)明還公開了一種實(shí)現(xiàn)所述互聯(lián)網(wǎng)托管網(wǎng)站的排查方法的排查系統(tǒng)。本發(fā)明利用網(wǎng)絡(luò)爬蟲技術(shù)采集互聯(lián)網(wǎng)業(yè)務(wù)內(nèi)容信息，利用關(guān)鍵字識別和圖像識別，實(shí)現(xiàn)了互聯(lián)網(wǎng)違規(guī)托管業(yè)務(wù)的有效排查，并提出了相關(guān)裝置實(shí)現(xiàn)方式，有效解決了企業(yè)安全防護(hù)工作中面臨的重要數(shù)據(jù)及涉密數(shù)據(jù)泄露難以發(fā)現(xiàn)等問題，增強(qiáng)安全防護(hù)水平，而且可靠性高、效率高且穩(wěn)定性好。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種互聯(lián)網(wǎng)托管網(wǎng)站的排查方法及排查系統(tǒng)。

背景技術(shù)

隨著經(jīng)濟(jì)技術(shù)的發(fā)展和人們生活水平的提高，企業(yè)信息化建設(shè)需求不斷提升，企業(yè)網(wǎng)站應(yīng)用開發(fā)不斷提升。互聯(lián)網(wǎng)托管網(wǎng)站即托管于公有云等互聯(lián)網(wǎng)上的網(wǎng)站，這類網(wǎng)站未納入企業(yè)網(wǎng)絡(luò)安全防護(hù)體系，易被攻擊者入侵獲取控制權(quán)限，引發(fā)核心數(shù)據(jù)被竊取、網(wǎng)頁被篡改等重大網(wǎng)絡(luò)安全事件。對于關(guān)鍵信息基礎(chǔ)設(shè)施及網(wǎng)絡(luò)安全防護(hù)要求高的單位、企業(yè)，網(wǎng)站業(yè)務(wù)一般部署于企業(yè)內(nèi)部網(wǎng)絡(luò)，不允許托管于互聯(lián)網(wǎng)，互聯(lián)網(wǎng)托管網(wǎng)站排查的需求迫切。而當(dāng)前互聯(lián)網(wǎng)托管網(wǎng)站排查的主要手段以互聯(lián)網(wǎng)資產(chǎn)掃描，結(jié)合對掃描的疑似網(wǎng)站人工識別排查為主，互聯(lián)網(wǎng)資產(chǎn)掃描主要通過IP及端口掃描工具，對互聯(lián)網(wǎng)進(jìn)行全網(wǎng)掃描，存在掃描范圍過大、排查耗時(shí)太長的問題；人工識別存在工作量過大、效率低、識別不精準(zhǔn)的問題。

發(fā)明內(nèi)容

本發(fā)明的目的之一在于提供一種可靠性高、效率高且穩(wěn)定性好的互聯(lián)網(wǎng)托管網(wǎng)站的排查方法。

本發(fā)明的目的之二在于提供一種實(shí)現(xiàn)所述互聯(lián)網(wǎng)托管網(wǎng)站的排查方法的排查系統(tǒng)。

本發(fā)明提供的這種互聯(lián)網(wǎng)托管網(wǎng)站的排查方法，包括如下步驟：

S1. 對網(wǎng)站內(nèi)容進(jìn)行數(shù)據(jù)采集；

S2. 對步驟S1采集的數(shù)據(jù)進(jìn)行關(guān)鍵字識別和圖像識別；

S3. 根據(jù)步驟S2得到的關(guān)鍵字和圖像識別結(jié)果，進(jìn)行互聯(lián)網(wǎng)托管網(wǎng)站排查。

步驟S1所述的對網(wǎng)站內(nèi)容進(jìn)行數(shù)據(jù)采集，具體為采用網(wǎng)絡(luò)爬蟲的方式，對疑似為互聯(lián)網(wǎng)托管網(wǎng)站的內(nèi)容進(jìn)行采集，包括主動爬取和流量復(fù)現(xiàn)的方式進(jìn)行收集。

所述的主動爬取，具體為利用網(wǎng)絡(luò)空間引擎，搜索企業(yè)網(wǎng)站關(guān)鍵字，通過對搜索查詢結(jié)果進(jìn)行解析，獲取疑似為互聯(lián)網(wǎng)托管網(wǎng)站的域名和IP信息，再通過模擬瀏覽器訪問所收集到的域名和IP信息，從而進(jìn)行內(nèi)容采集；搜索的網(wǎng)絡(luò)空間引擎主要包括FOFA、Shodan和ZoomEye，其中FOFA通過解析頁面dom信息獲取關(guān)鍵字識別結(jié)果內(nèi)容；Shodan通過引擎的查詢插件獲取關(guān)鍵字查詢到的內(nèi)容信息；ZoomEye通過注冊賬號，模擬瀏覽器登錄并獲取登錄后的token信息，在關(guān)鍵字查詢中附加token執(zhí)行內(nèi)容進(jìn)行查詢；最后，將搜索結(jié)果批量保存到數(shù)據(jù)庫中。

所述的主動爬取，具體為采用多線程執(zhí)行，提高執(zhí)行速度，在獲取到所有關(guān)鍵字相關(guān)域名和IP信息后，多線程執(zhí)行首頁圖片下載，并返回搜索結(jié)果，從而保證查詢的時(shí)效性。

所述的流量復(fù)現(xiàn)，具體包括訪問疑似互聯(lián)網(wǎng)托管網(wǎng)站的日志信息獲取流程和流量復(fù)現(xiàn)流程：

日志信息獲取流程：通過對企業(yè)訪問互聯(lián)網(wǎng)流量日志獲取完整的日志數(shù)據(jù)，并對獲取的日志數(shù)據(jù)中的五元組信息進(jìn)行過濾，所述的五元組信息包括訪問源IP，源端口，目的IP，目的端口和訪問內(nèi)容；過濾規(guī)則為建立訪問疑似互聯(lián)網(wǎng)托管網(wǎng)站的流量特征，根據(jù)登錄行為、cookie變化、返回狀態(tài)碼等進(jìn)行過濾，再刪除重復(fù)信息，從而得到需要復(fù)現(xiàn)的疑似互聯(lián)網(wǎng)托管網(wǎng)站域名和IP信息；

流量復(fù)現(xiàn)流程：模擬瀏覽器訪問需要復(fù)現(xiàn)的疑似互聯(lián)網(wǎng)托管網(wǎng)站域名和IP信息，利用多線程方式對訪問操作進(jìn)行并發(fā)處理，提高處理效率和速度；將多線程處理加入到后臺任務(wù)框架中運(yùn)行，保證程序執(zhí)行的完整性；同時(shí)，對疑似互聯(lián)網(wǎng)托管網(wǎng)站的文本內(nèi)容和圖片內(nèi)容進(jìn)行下載。