| 发明名称 |
一种基于云架构的网站安全监控方法 |
| 摘要 |
本发明公开了一种基于云架构的网站安全监控方法,所述以事件为驱动,以云架构为支撑,可支持海量网站的集中监控预警和每起事件的快速响应处理,通过对各类网站进行24小时安全事件自动监控和报警,配合运维监控人员进行安全事件的人工分析和事件处理。通过网站安全监控和事件监控运维人员的24小时配合下,及时监测到网站出现的最新真实安全事件,使得用户及时处理发生的各种重大安全事件,降低各种安全事件带来的损失和风险。 |
| 申请公布号 |
CN103685575A |
申请公布日期 |
2014.03.26 |
| 申请号 |
CN201410003885.0 |
申请日期 |
2014.01.06 |
| 申请人 |
洪高颖 |
发明人 |
洪高颖 |
| 分类号 |
H04L29/08(2006.01)I;H04L12/24(2006.01)I;H04L29/06(2006.01)I |
主分类号 |
H04L29/08(2006.01)I |
| 代理机构 |
|
代理人 |
|
| 主权项 |
一种基于云架构的网站安全监控方法,其特征在于,所述方法具体包括以下步骤:步骤(一),建立分布式任务分发系统,所述分布式任务分发系统包括分布式任务分发中心和节点任务监控引擎;步骤(二),所述分布式任务分发中心根据前台配置的监控网站的任务检测周期,定期生成网站的各种网站监控任务和策略,并将所述网站监控任务和策略动态地分配到各个节点任务监控引擎;步骤(三),所述各个节点任务监控引擎运行和分析所述分布式任务分发中心分配过来的各种网站监控任务,所述监控任务包括服务中断监控、篡改事件监控、网站挂马检测、敏感词监控、应用漏洞监控、性能故障监控、入侵进程监控、安全资讯跟踪预警、被黑网站资讯跟踪预警和钓鱼网站跟踪预警;其中,所述步骤(三)所进行的各项网站监控任务具体为:(1),服务中断监控具体包括:1.1进行多节点分析,在所述节点任务监控引擎收到服务中断监控任务后,同时对两个以上不同节点的服务中断分析接口进行分析;1.2对网址域名进行DNS解析,对分析接口进行检测后,首先提取该监控任务的网址域名,使用DNS对所述网址域名进行解析,并判断是否解析成功,成功则进行到步骤1.3,否则返回DNS错误并发出“服务中断”的提示消息;1.3进行DNS劫持判断,获取解析成功的ip地址,检测历史解析白名单记录,如果存在则进行步骤1.4,否则返回DNS劫持并发出“服务中断”的提示消息;1.4进行端口检测,对进行监控网站的端口的ip进行端口访问测试,成功则进行步骤1.5,否则返回端口错误并发出“服务中断”的提示消息;1.5进行网页状态码检测,获取监控网站的网址的网页内容,对所述网页内容进行检测并返回网页状态码,如果网页状态码为400以上,则返回网页发生错误信息并发出“服务中断”的提示消息;(2),篡改事件监控具体包括:2.1结构化分析,具体为,获取任务网址的最新网页内容和上次网页内容,对其进行结构化分析,并预处理成文本、图片、链接或者脚本;2.2变更内容对比,具体为,把任务网址的两次网页内容,通过冒泡排序法,计算最大共同集,提取出不同的地方,并且加入智能化忽略处理,还根据人工设置的变更关键字忽略、变更行数忽略或者更新时间忽略进行人工忽略处理;最终分析计算出最新变化内容,并根据可视化、不可视化、变化行数或者变化时间来生成不同等级报警级别;(3),网站挂马监控具体包括:3.1黑白名单检测,具体为,通过黑名单地址库,来检测任务网址是否为黑名单网址,是则发出挂马告警,否则进行步骤3.2;3.2特征字检测,具体为,检测网页内容是否存在相关挂马特征字,如果有则发出挂马告警,否则进行步骤3.3;3.3病毒引擎检测,具体为,通过第三方单机病毒扫描引擎对网页进行扫描检测,如果发现挂马病毒则发出挂马告警,否则进行步骤3.4;3.4第三方云引擎检测,具体为,通过第三方云引擎接口对网页进行扫描 检测,如果发现挂马病毒则发出挂马告警,否则返回到步骤3.1;(4),敏感词监控具体包括:4.1关键字检测,具体为,检测网页内容是否存在相关的关键字,如果关键字包含正则表达式,则在检测中使用正则表达式进行检测,并进行到步骤4.2,如果关键字不包含正则表达式则终止所述敏感词监控;4.2关键字忽略检测,具体为,对发现关键字的内容进行忽略关键字的检测,通过自定义的加长关键字来忽略所述关键字,如果最终检测后,还是发现有关键字,则进行敏感词告警;(5),应用漏洞监控具体包括:采用漏洞验证技术,在检测到“SQL注入”和“跨站脚本”漏洞后,对发现的上述两个漏洞进行自动验证,以减少应用漏洞误报情况;(6),性能故障监控具体为,通过简单网络管理协议(snmp)从远程网站获取最新的cpu、内存、硬盘值,计算出目前的使用量、剩余量和总量,如果使用量超过人工设定的阀值则发出性能故障告警;(7),入侵进程监控具体包括:7.1采用对比检测技术,通过snmp对远程网站获取最新和上次获取的进程列表,将两次进程列表进行对比,提取出最新增加的进程,如果有最新增加的进程则进行到步骤7.2,否则终止;7.2采用白名单进程忽略技术,将提取到的新增进程列表跟白名单进程关 键字进行忽略处理,如果还存在未知新进程,则发出入侵进程告警。(8),安全资讯跟踪监控具体包括:采用安全资讯跟踪检测技术,收集互联网安全资讯内容,通过自定义的应用程序版本、中间件版本和操作系统版本对最新收集到的安全资讯内容进行检索,如果发现相关漏洞、补丁,则进行安全资讯跟踪告警;(9),被黑网站跟踪监控具体包括:采用被黑网站跟踪检测技术,收集互联网被黑网站内容,提取监控任务网址的域名,通过该域名对最新收集到的被黑网站内容进行检索,如果发现相关被黑网站,则进行被黑网站跟踪告警;(10),钓鱼网站跟踪预警具体包括:采用钓鱼网站跟踪检测技术,收集互联网钓鱼网站内容,提取监控任务网址的域名、标题和自定义名称,通过所述域名、标题和自定义名称对最新收集到的钓鱼网站内容进行检索,如果发现相关钓鱼网站,则进行钓鱼网站跟踪告警。 |
| 地址 |
100083 北京市海淀区知春路49号希格玛公寓A205室 |
