CN103685575B - 一种基于云架构的网站安全监控方法 - Google Patents
一种基于云架构的网站安全监控方法 Download PDFInfo
- Publication number
- CN103685575B CN103685575B CN201410003885.0A CN201410003885A CN103685575B CN 103685575 B CN103685575 B CN 103685575B CN 201410003885 A CN201410003885 A CN 201410003885A CN 103685575 B CN103685575 B CN 103685575B
- Authority
- CN
- China
- Prior art keywords
- monitoring
- website
- engine
- cloud
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于云架构的网站安全监控方法,所述以事件为驱动,以云架构为支撑,可支持海量网站的集中监控预警和每起事件的快速响应处理,通过对各类网站进行24小时安全事件自动监控和报警,配合运维监控人员进行安全事件的人工分析和事件处理。通过网站安全监控和事件监控运维人员的24小时配合下,及时监测到网站出现的最新真实安全事件,使得用户及时处理发生的各种重大安全事件,降低各种安全事件带来的损失和风险。
Description
技术领域
本发明涉及网站安全监控技术领域,特别涉及一种基于云架构的网站安全监控方法。
背景技术
目前,互联网网站已经成为信息传播、流通、交换及存储的重要手段,由于互联网网站处于全天候的开放状态,而承载网站的应用程序具有自身无法完全克服的漏洞问题,这就为黑客的入侵提供了可乘之机,如页面篡改、网站挂马、注入类攻击、DDoS攻击等,极大地困扰着网站提供者,给企业形象、信息网络甚至核心业务造成严重的破坏。随着政务信息化水平的不断提升,电子政务信息安全形势也日益严峻。政务网站是提供政府行政效能的信息化手段,为公众在互联网上提供相关服务,近些年国家和我市发现多起针对各级政务网站的有组织攻击,造成了严重的后果和较大的损失。为进一步提升各类网站和业务系统的安全防护水平,应加快提高对网站信息安全保障能力。
为保障网络安全,我国已经发布了多项政策:
1.中办发[2003]27号文
根据目前我国信息化建设的现状和要求,中共中央办公厅和国务院办公厅转发了国家信息化领导小组制定的《国家信息化领导小组关于加强信息安全保障工作意见》(中办发[2003]27号)。中办发[2003]27号文明确提出了要“建设信息安全监控体系,及时发现和处置网络攻击,防止有害信息传播,对网络和系统实施保护。基础信息网络的运营单位和各重要信息系统的主管部门或运营单位要根据实际情况建立和完善信息安全监控系统,提高对网络攻击、病毒入侵、网络失窃密的防范能力,防止有害信息传播”。
2.京办发[2004]3号文
为贯彻落实中办发[2003]27号文,中共北京市委办公厅和北京市人民政府办公厅转发了由北京市信息化工作领导小组组织制定的《信息化工作领导小组关于加强信息安全保障工作的实施意见》(京办发[2004]3号),针对北京的具体情况进一步完善信息安全相关工作的部署,明确指出了“基础信息网络和各重要信息系统的运营单位和主管部门要根据实际情况建立和完善信息安全监控系统,提高对网络攻击、病毒入侵、网络失窃密的防范能力,防止有害信息传播,市信息办等单位根据各自的职责对基础信息网络和重要信息系统实施安全监管。其中,电子政务外网的安全监控和保障由市信息办牵头,各单位配合实施”。
3.国办函〔2011〕40号文
2011年《国务院办公厅关于进一步加强政府网站管理工作的通知》提出,高度重视,进一步加强对政府网站管理工作的领导;规范管理,不断提升政府网站工作水平。
4.2013年北京市网络与信息安全保障工作要点
2013年北京市网络与信息安全保障工作要点提出,加快网络安全监测能力建设,结合信息安全应急指挥平台投入使用,扩大监测范围,假期对重要公共服务网站信息安全的保障力度,提高风险隐患发现和应急处置能力。
5.北京“十二五”时期城市信息化建设规划
北京“十二五”时期城市信息化建设规划提出规范信息安全监管工作,建立信息安全长效监管制度,完善信息安全监控体系;加强监督、检查和考核,保障基础网络与重要信息系统的安全和正常运行。
6.《关于大力推进信息化发展和切实保障信息安全的若干意见》
2012年6月28日国务院发布的《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号)确定的重点工作:健全安全防护和管理,保障重点领域信息安全;加快能力建设,提升网络与信息安全保障水平。
7.《国务院办公厅关于进一步加强政府网站管理工作的通知》国办函[2011]40号
国务院办公厅关于进一步加强政府网站管理工作的通知函[2011]40号要求“确保网站内容和链接准确无误,并定期对网站内容和链接进行全面检查。要加强防攻击、防篡改、防病毒等安全防护措施,做好日常监测和定期安全检查,建立网站突发事件应急响应机制。要将网站管理和业务培训经常化、常态化,通过培训不断提高办网、管网能力。”
8.北京市经信委重点工作折子任务
扩大监测范围,提高对重要公共服务网站信息安全保障力度,提高预警预报水平。
网站是否存在WEB应用程序漏洞,往往是被入侵后才能察觉;而网站是否已经被挂马,通常是在被访问者投诉或被监管部门查处才能察觉,但这个时候损失已经发生;如何在攻击发动之前主动发现WEB应用程序漏洞以及网站在挂马发生之后迅速获悉,已成为构筑Web安全的上上策。目前解决这一问题的通常方式就是网站的运维管理人员购买专业的Web扫描工具,同时学习专业的安全知识,并对网站进行常规扫描、高频度检测。现有技术中的网站安全监控技术主要存在以下问题:
(1)专业的扫描工具往往不能解决木马问题,并且开销巨大,同时面对Web网站复杂的安全需求,也有自身的一些局限性;
(2)以往的防篡改技术,只能检测文件,无法对数据库内容,跨站数据进行有效监控,从而导致很多被黑、篡改、挂马事件的产生;
(3)目前传统安全设备对应用安全这块防护不够严密,很多网站往往被黑,篡改,挂马很长时间了仍没有发觉,而这段时间内会造成不少访问者成了受害人,或者相关被黑,篡改,挂马新闻到处传播,这对网站负责人或单位造成了很恶劣的声誉名誉损失;
(4)随着信息化水平的不断提升,各类信息系统的不断增长,旧的集中监控系统越来越无法承受超过极限的监控范围,导致很多新增的信息系统无法纳入的集中监控保护范围内。
发明内容
本发明所要解决的技术问题是:如何借助网站安全监控技术,对网站进行全面深入的监控,从而提高监控网站的可用性、安全性和完整性。为此,本发明提出一种基于云架构的网站安全监控方法,可充分地消除由于现有技术的限制和缺陷导致的一个或多个问题。
本发明所提供的“基于云架构的网站安全监控方法”以事件为驱动,云架构为支撑,可支持海量网站的集中监控预警和每起事件的快速响应处理,通过对各类网站进行24小时安全事件自动监控和报警,配合运维监控人员进行安全事件的人工分析和事件处理。建设网站群统一主动安全监控和快速应急响应处理的安全运维工作流程,全方位提高网站信息安全保障能力。该网站安全监控技术采用模拟浏览器用户端访问技术来获取网站数据分析,完全旁路部署,对网络架构无任务影响,属于远程绿色无风险的技术手段,通过主动去监控远程的用户网站和应用系统.对B/S架构的WEB系统提供网站服务中断监控,篡改事件监控,网站挂马检测,敏感词监控,应用漏洞监控,性能故障监控,入侵进程监控,安全资讯跟踪预警,被黑网站资讯跟踪预警,钓鱼网站资讯跟踪预警等十项安全事件的主动监控服务,通过网站安全监控和事件监控运维人员的24小时配合下,及时监测到网站出现的最新真实安全事件,使得用户及时处理发生的各种重大安全事件,降低各种安全事件带来的损失和风险。
本发明另外的优点、目的和特性,一部分将在下面的说明书中得到阐明,而另一部分对于本领域的普通技术人员通过对下面的说明的考察将是明显的或从本发明的实施中学到。通过在文字的说明书和权利要求书及附图中特别地指出的结构可实现和获得本发明目的和优点。
本发明提供了一种基于云架构的网站安全监控方法,其特征在于,所述方法具体包括以下步骤:
步骤(一),建立分布式任务分发系统,所述分布式任务分发系统包括分布式任务分发中心和节点任务监控引擎;
步骤(二),所述分布式任务分发中心根据前台配置的监控网站的任务检测周期,定期生成网站的各种网站监控任务和策略,并将所述网站监控任务和策略动态地分配到各个节点任务监控引擎;
步骤(三),所述各个节点任务监控引擎运行和分析所述分布式任务分发中心分配过来的各种网站监控任务,所述监控任务包括服务中断监控、篡改事件监控、网站挂马检测、敏感词监控、应用漏洞监控、性能故障监控、入侵进程监控、安全资讯跟踪预警、被黑网站资讯跟踪预警和钓鱼网站跟踪预警;
其中,所述步骤(三)所进行的各项网站监控任务具体为:
(1),服务中断监控
具体包括:
1.1进行多节点分析,在所述节点任务监控引擎收到服务中断监控任务后,同时对两个以上不同节点的服务中断分析接口进行分析;
1.2对网址域名进行DNS解析,对分析接口进行检测后,首先提取该监控任务的网址域名,使用DNS对所述网址域名进行解析,并判断是否解析成功,成功则进行到步骤1.3,否则返回DNS错误并发出“服务中断”的提示消息;
1.3进行DNS劫持判断,获取解析成功的ip地址,检测历史解析白名单记录,如果存在则进行步骤1.4,否则返回DNS劫持并发出“服务中断”的提示消息;
1.4进行端口检测,对进行监控网站的端口的ip进行端口访问测试,成功则进行步骤1.5,否则返回端口错误并发出“服务中断”的提示消息;
1.5进行网页状态码检测,获取监控网站的网址的网页内容,对所述网页内容进行检测并返回网页状态码,如果网页状态码为400以上,则返回网页发生错误信息并发出“服务中断”的提示消息;
(2),篡改事件监控
具体包括:
2.1结构化分析,具体为,获取任务网址的最新网页内容和上次网页内容,对其进行结构化分析,并预处理成文本、图片、链接或者脚本;
2.2变更内容对比,具体为,把任务网址的两次网页内容,通过冒泡排序法,计算最大共同集,提取出不同的地方,并且加入智能化忽略处理,还根据人工设置的变更关键字忽略、变更行数忽略或者更新时间忽略进行人工忽略处理;最终分析计算出最新变化内容,并根据可视化、不可视化、变化行数或者变化时间来生成不同等级报警级别;
(3),网站挂马监控
具体包括:
3.1黑白名单检测,具体为,通过黑名单地址库,来检测任务网址是否为黑名单网址,是则发出挂马告警,否则进行步骤3.2:
3.2特征字检测,具体为,检测网页内容是否存在相关挂马特征字,如果有则发出挂马告警,否则进行步骤3.3;
3.3病毒引擎检测,具体为,通过第三方单机病毒扫描引擎对网页进行扫描检测,如果发现挂马病毒则发出挂马告警,否则进行步骤3.4;
3.4第三方云引擎检测,具体为,通过第三方云引擎接口对网页进行扫描检测,如果发现挂马病毒则发出挂马告警,否则返回到步骤3.1;
(4),敏感词监控
具体包括:
4.1关键字检测,具体为,检测网页内容是否存在相关的关键字,如果关键字包含正则表达式,则在检测中使用正则表达式进行检测,并进行到步骤4.2,如果关键字不包含正则表达式则终止所述敏感词监控;
4.2关键字忽略检测,具体为,对发现关键字的内容进行忽略关键字的检测,通过自定义的加长关键字来忽略所述关键字,如果最终检测后,还是发现有关键字,则进行敏感词告警;
(5),应用漏洞监控
具体包括:
采用漏洞验证技术,在检测到“SQL注入”和“跨站脚本”漏洞后,对发现的上述两个漏洞进行自动验证,以减少应用漏洞误报情况;
(6),性能故障监控
具体为,通过简单网络管理协议(snmp)从远程网站获取最新的cpu、内存、硬盘值,计算出目前的使用量、剩余量和总量,如果使用量超过人工设定的阀值则发出性能故障告警;
(7),入侵进程监控
具体包括:
7.1采用对比检测技术,通过snmp对远程网站获取最新和上次获取的进程列表,将两次进程列表进行对比,提取出最新增加的进程,如果有最新增加的进程则进行到步骤7.2,否则终止;
7.2采用白名单进程忽略技术,将提取到的新增进程列表跟白名单进程关键字进行忽略处理,如果还存在未知新进程,则发出入侵进程告警。
(8),安全资讯跟踪监控
具体包括:
采用安全资讯跟踪检测技术,收集互联网安全资讯内容,通过自定义的应用程序版本、中间件版本和操作系统版本对最新收集到的安全资讯内容进行检索,如果发现相关漏洞、补丁,则进行安全资讯跟踪告警:
(9),被黑网站跟踪监控
具体包括:
采用被黑网站跟踪检测技术,收集互联网被黑网站内容,提取监控任务网址的域名,通过该域名对最新收集到的被黑网站内容进行检索,如果发现相关被黑网站,则进行被黑网站跟踪告警;
(10),钓鱼网站跟踪预警
具体包括:
采用钓鱼网站跟踪检测技术,收集互联网钓鱼网站内容,提取监控任务网址的域名、标题和自定义名称,通过所述域名、标题和自定义名称对最新收集到的钓鱼网站内容进行检索,如果发现相关钓鱼网站,则进行钓鱼网站跟踪告警。
优选的,多个节点任务监控引擎集中进行部署和运算。
优选的,篡改事件监控中的所述智能化忽略处理包含纯数字忽略、大小写忽略、空格忽略、天气预报忽略或者计数器忽略。
优选的,所述第三方单机病毒扫描引擎为瑞星单机病毒扫描引擎、金山毒霸单机病毒扫描引擎、小红伞单机病毒扫描引擎、赛门铁克单机病毒扫描引擎、卡巴斯基单机病毒扫描引擎。
优选的,所述第三方云引擎为谷歌云引擎、腾讯云引擎、金山云引擎、百度云引擎、瑞星云引擎。
优选的,所述云架构包括前端应用系统、混合数据库系统和后台引擎节点。
优选的,所述前端应用系统采用了分布式Nginx中间件集群、三层分离技术和分布式缓存集群Memcached。
优选的,所述混合数据库系统采用了分布式文件系统集群Mogilfs和分布式关系数据库集群Mysql。
优选的,所述后台引擎节点采用了分布式任务分发中心系统Gearmand和节点任务监控引擎。
本发明具有以下优点:
首先,本发明的网站安全监控是基于云架构的,通过分布式的系统,可以快速有效地监控网站的各类安全事件,实现海量网站的集中监控和事件的快速处理;
其次,本发明的网站安全监控融合了10项功能的监控,即,通过网站服务中断监控,篡改事件监控,网站挂马检测,敏感词监控,应用漏洞监控,性能故障监控,入侵进程监控,安全资讯跟踪预警,被黑网站资讯跟踪预警,钓鱼网站资讯跟踪预警等十项安全事件对网站系统进行24小时的不间断监控,并且以事件为驱动,每次事件都会得到快速的分析和处理,避免了网站系统长时间被黑、篡改、挂马而无人发现的局面。这些事件通过短信和邮件方式快速通知网站负责人,使网站负责人可以有效的快速恢复和处理,降低各种安全事件带来的损失和风险。
附图说明
图1为根据本发明实施例的、基于云架构的网站安全监控方法的流程图。
具体实施方式
下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。
云计算是分布式处理(Di stributed Computing)、并行处理(ParallelComputing)和网格计算(Grid Computing)的发展,是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序,再交由多部服务器所组成的庞大系统经计算分析之后将处理结果回传给用户。通过云计算技术,网络服务提供者可以在数秒之内,处理数以千万计甚至亿计的信息,达到和”超级计算机”同样强大的网络服务。
作为一种新兴的计算模式,云计算能够将各种各样的IT资源和功能以服务的方式通过网络交付给用户。这些服务包括种类繁多的互联网应用、运行应用的平台以及虚拟的IT资源。当云计算环境将硬件、软件和各种相关技术有效地组织存一起并提供各式各样云计算服务时,还应当保证所提供服务的可伸缩性、可用性与安全性。云计算系统的组织方式即为云计算架构(云架构)。
本发明所采用的云架构包括前端应用系统、混合数据库系统和后台引擎节点,其中:
前端应用系统采用了分布式Nginx中间件集群、三层分离技术(HTML+AJAX+CGI)和分布式缓存集群Memcached;
混合数据库系统采用了分布式文件系统集群Mogilfs和分布式关系数据库集群Mysql;
后台引擎节点采用了分布式任务分发系统Gearmand和10项功能的监控采集引擎。
需要说明的是,本发明的所指的“10项功能监控”是指:网站服务中断监控,篡改事件监控,网站挂马检测,敏感词监控,应用漏洞监控,性能故障监控,入侵进程监控,安全资讯跟踪预警,被黑网站资讯跟踪预警和钓鱼网站资讯跟踪预警。
下面对本发明所提出的云架构进行详细的说明
一、前端应用的详细设计说明:
1、分布式Nginx中间件集群
Nginx是一款web应用服务器,在云架构支撑体系中做为前端界面和应用的展示平台。在以往web应用服务器部署中,往往使用单点部署或通过设备进行双机负载,这样的部署无法承受海量用户访问,并且以往的apache,tomcat,iis等主流中间件也无法承受高并发的访问处理,在云架构支撑体系中采用Nginx集群作为海量用户的高并发访问的基础平台,Nginx专为性能优化而开发,性能是其最重要的考量,实现上非常注重效率。它支持内核Poll模型,能经受高负载的考验,能支持高达50,000个并发连接数。Nginx具有很高的稳定性。其它HTTP服务器,当遇到访问的峰值,或者有人恶意发起慢速连接时,也很可能会导致服务器物理内存耗尽频繁交换,失去响应,只能重启服务器。例如当前apache一旦上到200个以上进程,web响应速度就明显非常缓慢了。而Nginx采取了分阶段资源分配技术,使得它的CPU与内存占用率非常低。nginx官方表示保持10,000个没有活动的连接,它只占2.5M内存,所以类似DOS这样的攻击对nginx来说基本上是毫无用处的。Nginx还支持非常高效的反向代理、负载平衡。通过Nginx可以组建一个支撑海量用户访问的web应用服务器集群,也是云架构支撑体系的基础。
1.1Nginx安装部署方式
到Nginx官方网站nginx.org下载Nginx安装包并安装。
1.2分布式Nginx负载均衡配置部署方式
部署一台Nginx负载均衡服务器+多台Nginx应用服务器,安装完Nginx后在nginx.conf配置文件中增加负载均衡配置。
2、三层分离技术
三层分离技术目的是提高云架构支撑体系的网站应用快速访问和减轻访问负载的优化方式。可以有效提高海量用户访问速度和访问流量。在以往的网站应用实现方式是由一个应用动态生成完整的网站访问内容,并把这些内容返回给用户。在这过程中每次刷新应用都会出现大量的重复内容。这些重复内容会降低用户的访问速度,增加用户的访问流量。在海量用户的访问下还会增加服务器和网络的负担。在云架构支撑体系中采用了三层分离技术,将重复静态内容分离出来,有效提高海量用户访问速度和访问流量,降低服务器和网络的负担。
2.1三层分离部署方式
HTML:网站访问内容中,有很多一部分数据是不会变更的。将这部分的网页框架,格式,定制内容等不会变动的静态数据分离成HTML格式文件进行分离展示,分离后这部分数据可以进行缓存存储,不会频繁从应用服务器获取,有效降低用户访问流量。
AJAX:网站访问内容中,还有部分是需要动态变化的数据。这部分数据由JavaScript的AJAX技术实现,通过AJAX远程定时去获取CGI的内容,并将内容添加到HTML中,展示给用户。使用户无需再获取整页完整内容,而只需获取动态变更内容。
CGI:前端应用程序,通过分离技术优化,仅生成所需的各种动态数据,并通过json格式返回给AJAX。应用程序仅需生成动态数据,也提高了应用程序响应能力。
3、分布式缓存集群Memcached
Memcached是一款缓存服务器,在云架构支撑体系中作为分布式缓存层部署。以往的架构体系是没有缓存层的,以前架构体系实现流程,应用程序直接访问数据库进行检索,在用户验证技术Session中,是直接对临时文件进行操作。直接访问数据库进行检索,每次访问都会造成数据库检索工作,提高数据库的负担。在海量用户访问下,数据库往往无法承受高并发的访问。这样会同时降低数据库和应用程序的响应时间。验证Session直接对临时文件操作,由于临时文件是生成在各web应用服务器中,也会造成无法进行负载均衡。如果需要负载均衡,也被迫修改为cookie,url等较为危险的验证方式。在云架构支撑体系中增加了分布式缓存层进行优化处理,通过缓存数据库的查询结果,有效降低了数据库的检索查询次数。并且由于大部分查询无需访问数据库和数据库检索计算。有效提高了应用程序的响应速度。通过缓存Session数据内容,也使负载均衡的web应用服务器可以通过分布式缓存进行存储验证。而无需更换成cookie,url等验证方式。提高了验证技术的安全系数。分布式缓存层是云架构支撑体系海量用户访问的基础之一。也是云架构支撑体系和普通架构的重要区别。
3.1Memcached安装部署方式
3.2分布式缓存集群Memcached配置部署方式
3.2.1Memcached服务器配置
3.2.2分布式负载均衡配置
设置统一缓存应用模块,其它应用调用统一缓存应用模块,在模块中配置分布式缓存服务器达到负载均衡效果。
二、混合数据库详细设计说明:
1、分布式文件系统集群Mogilfs
Mogilfs是一款文件服务器,在云架构支撑体系中作为大容量数据和文件的存储和展示。在以往的架构设计中,往往直接把一些大容量的数据和文件放置到数据库中,这导致在从数据库检索和获取这些大容量的数据和文件时,会造成数据库很大的负担,响应速度很慢。从而导致应用程序响应速度也很慢。更无法承受海量用户的大容量数据和文件的检索和获取。在云架构支撑体系中构建了分布式文件系统,将这些大容量数据和文件转化成分布式文件存储。提高了应用程序对大容量数据和文件的获取响应速度,同时还支持了web应用服务器负载均衡的分布式获取,有效支撑海量用户对大容量数据和文件的检索和获取能力。
1.1Mogilfs安装部署方式
cpanm MoglieFS::Server
cpanm MoglieFS::Utils
1.2分布式Mogilfs配置部署方
1.2.1分布式负载均衡配置
2、分布式关系数据库集群Mysql
Mysql是一款关系数据库,在云架构支撑体系中作为常规数据的分布式存储和查询。在以往的架构设计中,由于关系数据库的数据存储和检索方式复杂,关系数据库通常作为单点,双机负载使用,存在数据库并发访问性能瓶颈,无法适用于海量用户的访问。在云架构支撑体系中对关系数据库进行优化,使其支持分布式部署方式。有效提高数据库的并发访问性能,并支撑海量用户的访问。是本云架构支撑体系的技术特点之一。
2.1Mysql安装部署方式
yum-y install mysql-server
yum-y install mysql-1ibs
2.2分布式Mysql配置部署方式
2.2.1分布式负载均衡数据库配置
在用户登录后,会在session中生成serverid。统一数据接口会根据serverid选择对应的分布式数据库接口,前端应用程序和后台应用程序会根据统一数据接口进行查询和存储。
三、后台引擎节点详细设计说明:
1、分布式任务分发系统Gearmand
Gearmand是一款任务分发系统,在云架构支撑体系中作为后台引擎任务的分布式分发。在以往的架构中,任务分发通常是不同服务器做各自分配好的固定任务,往往导致了有些服务器资源很紧张,有些服务器却很空闲的情况。由于各个任务都是固定分配好的,也很难去扩展,无法满足日益增长的新任务需求。在云架构支撑体系中构建了分布式任务分发系统,使不同的服务器可以根据自己的空闲状态动态去获取最新任务,使服务器始终保持在满负载运行情况下。最大减少服务器资源空闲浪费,有效提高了服务器资源的利用率。并且由于是分布式的主动获取任务,可以根据最新任务需求,动态扩展新的任务服务器,以满足扩大的任务范围。
1.1Gearmand安装部署方式
yum-y instal1 gearmand
cpanm Gearman::C1ient
cpanm Gearman::Worker
1.2分布式Gearmand配置部署方式
2.2.1分布式任务分发配置
2、10项功能的监控采集引擎
10项功能的监控采集引擎是本次网站安全监控技术的核心内容,也是分布式任务分发系统中需要运行的检测任务工作模块。在云架构支撑体系中作为分布式监控采集引擎。在以往的安全设备或防护技术中只能对已知的安全隐患进行检测和防护,对未知的安全隐患无法发觉,导致了很多网站发生了被黑,篡改,挂马、瘫痪等安全事件都无法发现。云架构支撑体系构建了新的网站安全监控技术,主动去监控发现由于未知安全隐患造成的被黑、篡改、挂马、瘫痪等最新安全事件。使用户最短时间获得网站安全事件信息,及时响应和处理相关安全事件,降低安全风险和损失。
2.1监控采集引擎安装部署方式
网站大量页面信息实时都有可能发生各种变化情况,这些更新可能是页面框架结构也可能是细微的HTML代码不易察觉。页面发生变化的情况多种多样,为了提高篡改精准度,将对各种变化情况进行归类处理,根据不同种类变化等级生成事件。
页面变动分层分析模块具备如下功能:
链接分析;把页面的所有链接单独提取出来进行变化对比,并根据变化情况生成事件内容。
内嵌导航分析;把页面的所有内置导航单独提取出来进行变化对比,并根据变化情况生成事件内容。
脚本分析;把页面的脚本内容提取出来进行变化对比,并根据变化情况生成事件内容。
图片分析;把页面的所有图片提取出来进行变化对比,并根据变化情况生成事件内容。
文本分析;把页面的所有文本提取出来进行变化对比,并根据变化情况生成事件内容。
源代码分析;对整个页面的源代码进行变化对比,并根据变化情况生成事件内容。
针对网站攻击破坏技术和网页恶意有害信息的隐藏技术近年来不断升级发展,传统的监测分析手段在面对攻击者不断隐蔽变形的攻击手段也需要进行相应的应对调整。从以往针对网站的监测分析经验来看黑客在攻陷政务网站后,往往上传网页木马或在网站代码中插入恶意代码,使得更多的无辜的浏览者成为僵尸网络的一员,或者为非法有害的黄赌毒站点提升在搜索引擎中的排名。本期针对近年来出现的各种新型攻击进行认真分析整理,结合使用智能判断技术和全新恶意特征库应对不断变化的网站攻击威胁。
多维度恶意代码分析规则库模块包含如下内容:
1.挂马地址库管理模块;通过挂马地址库快速定位恶意代码地址。
2.恶意代码特征库模块;通过恶意代码特征库模块去检测页面恶意代码内容。
3.病毒检测引擎模块;通过病毒检测引擎模块扫描页面是否包含恶意代码内容。
4.模糊判断模块;通过恶意代码常用的多个系统函数组合,模糊判断恶意代码内容。
5.第三方谷歌云查杀引擎接口;通过第三方谷歌云查杀引擎接口对页面进行检测是否包含恶意代码内容。
6.第三方腾讯云查杀引擎接口;通过第三方腾讯云查杀引擎接口对页面进行检测是否包含恶意代码内容。
7.第三方金山云查杀引擎接口;通过第三方金山云查杀引擎接口对页面进行检测是否包含恶意代码内容。
8.第三方百度云查杀引擎接口;通过第三方百度云查杀引擎接口对页面进行检测是否包含恶意代码内容。
9.第三方瑞星云查杀引擎接口;通过第三方瑞星云查杀引擎接口对页面进行检测是否包含恶意代码内容。
下面描述基于以上介绍的本发明所提出的云架构的网站安全监控方法。
本发明能够使网站监控在云架构的环境中进行运用,并配合网站监控的各项监控功能的最新检测技术,快速有效的监控网站的各类安全事件,实现海量网站的集中监控和事件快速相应处理。
基于云架构的网站安全监控方法具体实现步骤如下:
步骤(一),建立分布式任务分发系统,所述分布式任务分发系统包括分布式任务分发中心和节点任务监控引擎;
步骤(二),所述分布式任务分发中心根据前台配置的监控网站的任务检测周期,定期生成网站的各种网站监控任务和策略,并将所述网站监控任务和策略动态地分配到各个节点任务监控引擎;
步骤(三),所述各个节点任务监控引擎运行和分析所述分布式任务分发中心分配过来的各种网站监控任务,所述监控任务包括服务中断监控、篡改事件监控、网站挂马检测、敏感词监控、应用漏洞监控、性能故障监控、入侵进程监控、安全资讯跟踪预警、被黑网站资讯跟踪预警和钓鱼网站跟踪预警。
优选的,多个节点任务监控引擎集中进行部署和运算。
通过所述分布式任务分发系统实现的网站监控的节点监控任务引擎能够自动满负载获取和运行监控任务,实现按需动态递增部署,来满足海量网站集中监控的需求。
下面对步骤(三)所进行的各项网站监控进行具体说明。
(1),服务中断监控
本发明的服务中断监控主要检测网页是否可以访问,采用多节点方式同时探测网页是否可以访问,避免了单点误报的问题,并且可以同时检测多节点到达该网页的速度、DNS是否可以解析、DNS是否被劫持、端口是否可以访问、页面是否存在错误等事件情况,快速定位网站服务中断问题。
具体包括:
1.1进行多节点分析,在所述节点任务监控引擎收到服务中断监控任务后,同时对两个以上不同节点的服务中断分析接口进行分析。
1.2对网址域名进行DNS解析,对分析接口进行检测后,首先提取该监控任务的网址域名,如www.demo.com,使用DNS对所述网址域名进行解析,并判断是否解析成功,成功则进行到步骤1.3,否则返回DNS错误并发出“服务中断”的提示消息。
1.3进行DNS劫持判断,获取解析成功的ip地址,检测历史解析白名单记录,如果存在则进行步骤1.4,否则返回DNS劫持并发出“服务中断”的提示消息。
1.4进行端口检测,对进行监控网站的端口的ip进行端口访问测试,成功则进行步骤1.5,否则返回端口错误并发出“服务中断”的提示消息。
1.5进行网页状态码检测,获取监控网站的网址的网页内容,对所述网页内容进行检测并返回网页状态码,如果网页状态码为400以上,则返回网页发生错误信息并发出“服务中断”的提示消息。
(2),进行篡改事件监控
本发明的篡改事件监控主要检测网页是否被篡改,采用结构化分析,最小单位识别变化内容,并通过智能化忽略处理,快速有效的识别网页篡改事件。
具体包括:
2.1结构化分析,具体为,获取任务网址的最新网页内容和上次网页内容,对其进行结构化分析,并预处理成文本、图片、链接或者脚本。
2.2变更内容对比,具体为,把任务网址的两次网页内容,通过冒泡排序法,计算最大共同集,提取出不同的地方,并且加入智能化忽略处理,忽略处理包含纯数字忽略、大小写忽略、空格忽略、天气预报忽略或者计数器忽略,并且根据人工设置的变更关键字忽略、变更行数忽略或者更新时间忽略进行人工忽略处理。最终分析计算出最新变化内容,并根据可视化、不可视化、变化行数或者变化时间来生成不同等级报警级别。
(3),网站挂马监控
本发明所提出的网站挂马监控,采用多种检测技术集合方式进行检测网页挂马,包括黑白名单检测,特征字检测,病毒引擎检测,第三方云引擎检测,通过多种检测技术的集合准确判断网页是否存在挂马事件。
具体包括:
3.1黑白名单检测,具体为,通过黑名单地址库,检测任务网址是否为黑名单网址,是则返回挂马告警,否则进行步骤3.2,如果是白名单地址则忽略对该任务网址的检测。
3.2特征字检测,具体为,检测网页内容是否存在相关挂马特征字,如果有则返回挂马告警,否则进行步骤3.3。
3.3病毒引擎检测,具体为,通过第三方单机病毒扫描引擎对网页进行扫描检测,如果发现挂马病毒则返回挂马告警,否则进行步骤3.4。
3.4第三方云引擎检测,具体为,通过第三方云引擎接口对网页进行扫描检测,如果发现挂马病毒则返回挂马告警,否则返回到步骤3.1。
优选的,所述第三方单机病毒扫描引擎为瑞星单机病毒扫描引擎、金山毒霸单机病毒扫描引擎、小红伞单机病毒扫描引擎、赛门铁克单机病毒扫描引擎、卡巴斯基单机病毒扫描引擎。
优选的,所述第三方云引擎为谷歌云引擎、腾讯云引擎、金山云引擎、百度云引擎或者瑞星云引擎。
(4),敏感词监控
本发明提供的敏感词监控,采用了关键字检测技术,关键字支持正则表达式的输入,有效检测一些通过特殊字符、空格、错误代码来意图躲避常规关键字检测的敏感内容,并且采用了关键字忽略检测技术,可以自定义加长关键字来忽略一些被误报的内容。准确有效的检测网页敏感词事件。
4.1关键字检测,具体为,检测网页内容是否存在相关的关键字,如果关键字包含正则表达式,则在检测中使用正则表达式进行检测,并进行到步骤4.2,如果关键字不包含正则表达式则终止敏感词监控;
4.2关键字忽略检测,具体为,对发现关键字的内容进行忽略关键字的检测,通过自定义的加长关键字来忽略所述关键字,如果最终检测后,还是发现有关键字,则进行敏感词告警。
(5),应用漏洞监控
采用漏洞验证技术,在检测完应用系统威胁最大的“SQL注入”和“跨站脚本”两个常见应用级漏洞后,会对发现的漏洞进行自动验证,从而减少应用漏洞误报情况,并准确有效的发现网站应用漏洞。
(6),性能故障监控
本发明提供的性能故障监控采用阀值判断技术,通过自定义阀值设置,主动监控网站的性能故障情况,根据阀值生成性能故障标准,如超过%90的硬盘使用量,则自动生成性能故障事件。
具体为,通过简单网络管理协议(snmp)从远程网站获取最新的cpu、内存、硬盘值,计算出目前的使用量、剩余量和总量,如果使用量超过人工设定的阀值则发出性能故障告警。
(7),入侵进程监控
本发明所提供的“入侵进程监控”采用进程对比技术,通过对比每次获取的进程列表,配合进程白名单,监控每次出现的未知新进程,并把每次新进程事件都记录下来,便于后续入侵事件的分析和回溯。有效的监控网站入侵进程事件。
具体包括:
7.1采用对比检测技术,通过snmp对远程网站获取最新和上次获取的进程列表,将两次进程列表进行对比,提取出最新增加的进程,如果有则进行到步骤7.2,否则终止;
7.2采用白名单进程忽略技术,将提取到的新增进程列表跟白名单进程关键字进行忽略处理,如果还存在未知新进程,则发出入侵进程告警。
(8),安全资讯跟踪监控
本发明提供的“安全资讯跟踪监控”采用关键字技术,定期跟踪应用版本,中间件版本,操作系统版本等相关漏洞和补丁信息。
具体包括:
采用安全资讯跟踪检测技术,收集互联网安全资讯内容,通过自定义的应用程序版本、中间件版本和操作系统版本对最新收集到的安全资讯内容进行检索,如果发现相关漏洞、补丁,则进行安全资讯跟踪告警。
(9),被黑网站跟踪监控
本发明提供的“被黑网站跟踪监控”采用关键字技术,定期跟踪相关网站的互联网公开的被黑网站信息。
具体包括:
采用被黑网站跟踪检测技术,收集互联网被黑网站内容,提取监控任务网址的域名,通过该域名对最新收集到的被黑网站内容进行检索,如果发现相关被黑网站,则进行被黑网站跟踪告警。
(10),钓鱼网站跟踪预警
本发明所提供的“钓鱼网站资讯跟踪预警”采用关键字技术,定期跟踪相关网站的互联网公开的钓鱼网站信息。
具体包括:
采用钓鱼网站跟踪检测技术,收集互联网钓鱼网站内容,提取监控任务网址的域名、标题和自定义名称,通过所述域名、标题和自定义名称对最新收集到的钓鱼网站内容进行检索,如果发现相关钓鱼网站,则进行钓鱼网站跟踪告警。
本发明所提供的“基于云架构的网站安全监控方法”以事件为驱动,云架构为支撑,可支持海量网站的集中监控预警和每起事件的快速响应处理,通过对各类网站进行24小时安全事件自动监控和报警,配合运维监控人员进行安全事件的人工分析和事件处理。通过网站安全监控和事件监控运维人员的24小时配合下,及时监测到网站出现的最新真实安全事件,使得用户及时处理发生的各种重大安全事件,降低各种安全事件带来的损失和风险。
以上内容仅为本发明的较佳实施例,对于本领域的普通技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,本说明书内容不应理解为对本发明的限制。
Claims (9)
1.一种基于云架构的网站安全监控方法,其特征在于,所述方法具体包括以下步骤:
步骤(一),建立分布式任务分发系统,所述分布式任务分发系统包括分布式任务分发中心和节点任务监控引擎;
步骤(二),所述分布式任务分发中心根据前台配置的监控网站的任务检测周期,定期生成网站的各种网站监控任务和策略,并将所述网站监控任务和策略动态地分配到各个节点任务监控引擎;
步骤(三),所述各个节点任务监控引擎运行和分析所述分布式任务分发中心分配过来的各种网站监控任务,所述监控任务包括服务中断监控、篡改事件监控、网站挂马检测、敏感词监控、应用漏洞监控、性能故障监控、入侵进程监控、安全资讯跟踪预警、被黑网站资讯跟踪预警和钓鱼网站跟踪预警;
其中,所述步骤(三)所进行的各项网站监控任务具体为:
(1),服务中断监控
具体包括:
1.1进行多节点分析,在所述节点任务监控引擎收到服务中断监控任务后,同时对两个以上不同节点的服务中断分析接口进行分析;
1.2对网址域名进行DNS解析,对分析接口进行检测后,首先提取该监控任务的网址域名,使用DNS对所述网址域名进行解析,并判断是否解析成功,成功则进行到步骤1.3,否则返回DNS错误并发出“服务中断”的提示消息;
1.3进行DNS劫持判断,获取解析成功的ip地址,检测历史解析白名单记录,如果存在则进行步骤1.4,否则返回DNS劫持并发出“服务中断”的提示消息;
1.4进行端口检测,对进行监控网站的端口的ip进行端口访问测试,成功则进行步骤1.5,否则返回端口错误并发出“服务中断”的提示消息;
1.5进行网页状态码检测,获取监控网站的网址的网页内容,对所述网页内容进行检测并返回网页状态码,如果网页状态码为400以上,则返回网页发生错误信息并发出“服务中断”的提示消息;
(2),篡改事件监控
具体包括:
2.1结构化分析,具体为,获取任务网址的最新网页内容和上次网页内容,对其进行结构化分析,并预处理成文本、图片、链接或者脚本;
2.2变更内容对比,具体为,把任务网址的两次网页内容,通过冒泡排序法,计算最大共同集,提取出不同的地方,并且加入智能化忽略处理,还根据人工设置的变更关键字忽略、变更行数忽略或者更新时间忽略进行人工忽略处理;最终分析计算出最新变化内容,并根据可视化、不可视化、变化行数或者变化时间来生成不同等级报警级别;
(3),网站挂马监控
具体包括:
3.1黑白名单检测,具体为,通过黑名单地址库,来检测任务网址是否为黑名单网址,是则发出挂马告警,否则进行步骤3.2;
3.2特征字检测,具体为,检测网页内容是否存在相关挂马特征字,如果有则发出挂马告警,否则进行步骤3.3;
3.3病毒引擎检测,具体为,通过第三方单机病毒扫描引擎对网页进行扫描检测,如果发现挂马病毒则发出挂马告警,否则进行步骤3.4;
3.4第三方云引擎检测,具体为,通过第三方云引擎接口对网页进行扫描检测,如果发现挂马病毒则发出挂马告警,否则返回到步骤3.1;
(4),敏感词监控
具体包括:
4.1关键字检测,具体为,检测网页内容是否存在相关的关键字,如果关键字包含正则表达式,则在检测中使用正则表达式进行检测,以有效检测一些通过特殊字符、空格、错误代码来意图躲避常规关键字检测的敏感内容,并进行到步骤4.2,如果关键字不包含正则表达式则终止所述敏感词监控;
4.2关键字忽略检测,具体为,对发现关键字的内容进行忽略关键字的检测,通过自定义的加长关键字来忽略所述关键字,如果最终检测后,还是发现有关键字,则进行敏感词告警;
(5),应用漏洞监控
具体包括:
采用漏洞验证技术,在检测到“SQL注入”和“跨站脚本”漏洞后,对发现的上述两个漏洞进行自动验证,以减少应用漏洞误报情况;
(6),性能故障监控
具体为,通过简单网络管理协议snmp从远程网站获取最新的cpu、内存、硬盘值,计算出目前的使用量、剩余量和总量,如果使用量超过人工设定的阈值则发出性能故障告警;
(7),入侵进程监控
具体包括:
7.1采用对比检测技术,通过snmp对远程网站获取最新和上次获取的进程列表,将两次进程列表进行对比,提取出最新增加的进程,如果有最新增加的进程则进行到步骤7.2,否则终止;
7.2采用白名单进程忽略技术,将提取到的新增进程列表跟白名单进程关键字进行忽略处理,如果还存在未知新进程,则发出入侵进程告警;
(8),安全资讯跟踪监控
具体包括:
采用安全资讯跟踪检测技术,收集互联网安全资讯内容,通过自定义的应用程序版本、中间件版本和操作系统版本对最新收集到的安全资讯内容进行检索,如果发现相关漏洞、补丁,则进行安全资讯跟踪告警;
(9),被黑网站跟踪监控
具体包括:
采用被黑网站跟踪检测技术,收集互联网被黑网站内容,提取监控任务网址的域名,通过该域名对最新收集到的被黑网站内容进行检索,如果发现相关被黑网站,则进行被黑网站跟踪告警;
(10),钓鱼网站跟踪预警
具体包括:
采用钓鱼网站跟踪检测技术,收集互联网钓鱼网站内容,提取监控任务网址的域名、标题和自定义名称,通过所述域名、标题和自定义名称对最新收集到的钓鱼网站内容进行检索,如果发现相关钓鱼网站,则进行钓鱼网站跟踪告警。
2.根据权利要求1所述的基于云架构的网站安全监控方法,其特征在于,多个节点任务监控引擎集中进行部署和运算。
3.根据权利要求1所述的基于云架构的网站安全监控方法,其特征在于,篡改事件监控中的所述智能化忽略处理包含纯数字忽略、大小写忽略、空格忽略、天气预报忽略或者计数器忽略。
4.根据权利要求1所述的基于云架构的网站安全监控方法,其特征在于,所述第三方单机病毒扫描引擎为瑞星单机病毒扫描引擎、金山毒霸单机病毒扫描引擎、小红伞单机病毒扫描引擎、赛门铁克单机病毒扫描引擎、卡巴斯基单机病毒扫描引擎。
5.根据权利要求1所述的基于云架构的网站安全监控方法,其特征在于,所述第三方云引擎为谷歌云引擎、腾讯云引擎、金山云引擎、百度云引擎、瑞星云引擎。
6.根据权利要求1所述的基于云架构的网站安全监控方法,其特征在于,所述云架构包括前端应用系统、混合数据库系统和后台引擎节点。
7.根据权利要求6所述的基于云架构的网站安全监控方法,其特征在于,所述前端应用系统采用了分布式Nginx中间件集群、三层分离技术和分布式缓存集群Memcached。
8.根据权利要求6所述的基于云架构的网站安全监控方法,其特征在于,所述混合数据库系统采用了分布式文件系统集群Mogilfs和分布式关系数据库集群Mysql。
9.根据权利要求6所述的基于云架构的网站安全监控方法,其特征在于,所述后台引擎节点采用了分布式任务分发中心系统Gearmand和节点任务监控引擎。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410003885.0A CN103685575B (zh) | 2014-01-06 | 2014-01-06 | 一种基于云架构的网站安全监控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410003885.0A CN103685575B (zh) | 2014-01-06 | 2014-01-06 | 一种基于云架构的网站安全监控方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103685575A CN103685575A (zh) | 2014-03-26 |
| CN103685575B true CN103685575B (zh) | 2018-09-07 |
Family
ID=50321849
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410003885.0A Active CN103685575B (zh) | 2014-01-06 | 2014-01-06 | 一种基于云架构的网站安全监控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103685575B (zh) |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103916397B (zh) * | 2014-04-13 | 2017-09-29 | 北京工业大学 | 一种分布式网络环境下安全监控方法 |
| CN105721233B (zh) * | 2014-12-03 | 2020-10-27 | 北京奇虎科技有限公司 | 网站存活检测方法、装置和系统 |
| CN104731871A (zh) * | 2015-03-03 | 2015-06-24 | 北京齐尔布莱特科技有限公司 | 一种网站可用性监控和诊断系统及方法 |
| CN104992113A (zh) * | 2015-05-29 | 2015-10-21 | 北京奇虎科技有限公司 | 检测网站隐私内容是否暴露的方法、装置和云监控系统 |
| CN104866769A (zh) * | 2015-06-01 | 2015-08-26 | 广东电网有限责任公司信息中心 | 一种基于业务系统主机指纹采集的漏洞分析方法及系统 |
| CN105069107B (zh) * | 2015-08-07 | 2019-03-05 | 北京百度网讯科技有限公司 | 监控网站的方法和装置 |
| CN105246077A (zh) * | 2015-08-28 | 2016-01-13 | 厦门大学 | 一种移动终端的云病毒检测方法 |
| CN105049301A (zh) * | 2015-08-31 | 2015-11-11 | 北京奇虎科技有限公司 | 一种提供网站综合评价服务的方法和装置 |
| CN105357061B (zh) * | 2015-12-11 | 2018-11-23 | 普华基础软件股份有限公司 | 一种基于大数据流处理技术的运维监控分析系统 |
| CN106888197A (zh) * | 2015-12-16 | 2017-06-23 | 北京奇虎科技有限公司 | 一种网络风险的处理方法和设备 |
| CN105429804B (zh) * | 2015-12-17 | 2016-12-28 | 福建六壬网安股份有限公司 | 基于nginx的旁路WEB应用预警方法 |
| CN106130810B (zh) * | 2016-06-01 | 2020-12-22 | 北京百度网讯科技有限公司 | 网站监测方法和装置 |
| CN106055482B (zh) * | 2016-06-03 | 2018-10-26 | 中国科学院软件研究所 | 一种安卓应用程序稳定性验证PoC自动生成方法和装置 |
| CN106302712B (zh) * | 2016-08-12 | 2019-08-23 | 北京奇虎科技有限公司 | 处理网页数据的方法及装置 |
| CN106559260A (zh) * | 2016-11-02 | 2017-04-05 | 合肥微梦软件技术有限公司 | 一种基于互联网信息中心网络监管系统 |
| CN106529278B (zh) * | 2016-11-07 | 2019-07-05 | 深圳盛灿科技股份有限公司 | 非侵入式监控方法及装置 |
| CN108121618B (zh) * | 2016-11-28 | 2021-02-12 | 华为技术有限公司 | 一种修复数据的方法和装置 |
| CN108134708B (zh) * | 2016-12-01 | 2021-05-25 | 腾讯科技(深圳)有限公司 | 监控第三方接口的方法和装置 |
| CN107015872B (zh) * | 2016-12-09 | 2018-03-16 | 上海壹账通金融科技有限公司 | 监控数据的处理方法及装置 |
| CN108418697B (zh) * | 2017-02-09 | 2021-09-14 | 南京联成科技发展股份有限公司 | 一种智能化的安全运维服务云平台的实现架构 |
| CN107579873A (zh) * | 2017-08-30 | 2018-01-12 | 杭州安恒信息技术有限公司 | 一种监测网站可用性的方法 |
| CN107888601A (zh) * | 2017-11-21 | 2018-04-06 | 国云科技股份有限公司 | 一种云平台服务器智能检测病毒入侵系统及其方法 |
| CN107888452B (zh) * | 2017-11-24 | 2021-04-02 | 成都知道创宇信息技术有限公司 | 一种24小时分布式网站性能监测和实时告警方法 |
| CN108717408B (zh) * | 2018-05-11 | 2023-08-22 | 杭州排列科技有限公司 | 一种敏感词实时监控方法、电子设备、存储介质及系统 |
| CN108965305A (zh) * | 2018-07-25 | 2018-12-07 | 安徽三实信息技术服务有限公司 | 一种互联网安全监控系统及其监控方法 |
| CN109558526B (zh) * | 2018-11-09 | 2021-08-10 | 杭州安恒信息技术股份有限公司 | 一种基于关键字检测的网站篡改告警方法 |
| US10951496B2 (en) * | 2018-12-24 | 2021-03-16 | Threat Stack, Inc. | System and method for cloud-based control-plane event monitor |
| CN110336790B (zh) * | 2019-05-29 | 2021-05-25 | 网宿科技股份有限公司 | 一种网站检测的方法和系统 |
| CN111447085A (zh) * | 2020-03-20 | 2020-07-24 | 贵阳块数据城市建设有限公司 | 一种处理高并发访问事件服务器部署的方法 |
| CN112199573B (zh) * | 2020-08-05 | 2023-12-08 | 宝付网络科技(上海)有限公司 | 一种非法交易主动探测方法及系统 |
| CN112202643B (zh) * | 2020-10-12 | 2022-03-29 | 成都知道创宇信息技术有限公司 | 网络检测方法、装置、测试主机及存储介质 |
| CN113568841B (zh) * | 2021-08-18 | 2024-06-07 | 支付宝(杭州)信息技术有限公司 | 一种针对小程序的风险检测方法、装置及设备 |
| CN114500106A (zh) * | 2022-04-02 | 2022-05-13 | 北京指掌易科技有限公司 | 一种服务器的安全管理方法、装置、设备和存储介质 |
| CN114510402A (zh) * | 2022-04-19 | 2022-05-17 | 深圳市信润富联数字科技有限公司 | 一种系统应用层面的性能监控系统及方法 |
| CN115883124A (zh) * | 2022-09-08 | 2023-03-31 | 江苏省未来网络创新研究院 | 基于分布式的网站篡改检测系统及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103338128A (zh) * | 2013-02-25 | 2013-10-02 | 中国人民解放军91655部队 | 一种具有一体化安全管控功能的信息安全管理系统 |
| CN103378991A (zh) * | 2012-04-17 | 2013-10-30 | 碁震(上海)云计算科技有限公司 | 一种在线服务异常监测方法及其监测系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6952779B1 (en) * | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
-
2014
- 2014-01-06 CN CN201410003885.0A patent/CN103685575B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103378991A (zh) * | 2012-04-17 | 2013-10-30 | 碁震(上海)云计算科技有限公司 | 一种在线服务异常监测方法及其监测系统 |
| CN103338128A (zh) * | 2013-02-25 | 2013-10-02 | 中国人民解放军91655部队 | 一种具有一体化安全管控功能的信息安全管理系统 |
Non-Patent Citations (3)
| Title |
|---|
| "安全云服务"大幅提升SaaS服务 三大功能保障用户网站安全;人民邮电出版社;《通信世界》;20121231(第47期);第36-37页 * |
| 千来信安网站安全监控系统软件 V1.0 操作手册白皮书;北京千来信安科技有限公司;<www.mra.net.cn/websafe.pdf>;20130617;第6-20页 * |
| 运营商增值业务门户安全预警技术研究;许焱;《第二届全国信息安全等级保护技术大会会议论文集》;20130630;第1.2、3小节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103685575A (zh) | 2014-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103685575B (zh) | 一种基于云架构的网站安全监控方法 | |
| Tian et al. | Real-time lateral movement detection based on evidence reasoning network for edge computing environment | |
| CN111600856B (zh) | 数据中心运维的安全系统 | |
| CN114679338A (zh) | 一种基于网络安全态势感知的网络风险评估方法 | |
| US20200186569A1 (en) | Security Rule Generation Based on Cognitive and Industry Analysis | |
| CN113486351A (zh) | 一种民航空管网络安全检测预警平台 | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| CN106411578A (zh) | 一种适应于电力行业的网站监控系统及方法 | |
| CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
| CN103384888A (zh) | 用于恶意软件的检测和扫描的系统和方法 | |
| CN112822147B (zh) | 一种用于分析攻击链的方法、系统及设备 | |
| Taylor et al. | Detecting malicious exploit kits using tree-based similarity searches | |
| CN103561012A (zh) | 一种基于关联树的web后门检测方法及系统 | |
| CN111510463B (zh) | 异常行为识别系统 | |
| CN105119915A (zh) | 基于情报分析的恶意域名检测方法及装置 | |
| CN107360198B (zh) | 可疑域名检测方法及系统 | |
| Wang et al. | A centralized HIDS framework for private cloud | |
| Zhao et al. | A Classification Detection Algorithm Based on Joint Entropy Vector against Application‐Layer DDoS Attack | |
| CA3150278A1 (en) | THREAT MITIGATION SYSTEM AND METHOD | |
| CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
| Mishra et al. | Efficient approaches for intrusion detection in cloud environment | |
| US20190007439A1 (en) | Analysis method, analysis device, and analysis program | |
| [Retracted] Design of a Network Security Audit System Based on Log Data Mining | ||
| Li et al. | Collaborative intelligence analysis for industrial control systems threat profiling | |
| Asaka et al. | Local attack detection and intrusion route tracing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |