CN105306467A - 网页数据篡改的分析方法及装置 - Google Patents
网页数据篡改的分析方法及装置 Download PDFInfo
- Publication number
- CN105306467A CN105306467A CN201510729803.5A CN201510729803A CN105306467A CN 105306467 A CN105306467 A CN 105306467A CN 201510729803 A CN201510729803 A CN 201510729803A CN 105306467 A CN105306467 A CN 105306467A
- Authority
- CN
- China
- Prior art keywords
- data
- log information
- web data
- information
- program identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种网页数据篡改的分析方法及装置,涉及信息技术领域,提供了对发生篡改的网页数据进行分析的机制,进而可以实现对网页数据的安全防护。所述方法包括:当检测出网页数据发生篡改时,首先获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息;然后根据所述程序标识信息确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别;最后根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。本发明适用于网页数据篡改行为的分析。
Description
技术领域
本发明涉及一种信息技术领域,特别是涉及一种网页数据篡改的分析方法及装置。
背景技术
随着互联网建设的飞速发展,使用互联网的用户日益倍增,用户在体验互联网带来无尽的共享资源的同时,网络威胁也随之而来,病毒感染,木马入侵,黑客攻击等威胁比比皆是。对于网站来说,也存在着同样的问题,一些具有不良企图的组织或个人利用网站系统漏洞入侵网站服务器,以篡改网页当中的内容,例如,在网页当中加入一些敏感词、黑链或是后门等,进而会引起安全隐患。
目前可以通过监控服务器中的监控程序检测网页数据是否被篡改,当该监控程序检测出网页数据被篡改时,会输出提示信息,用于提示网页数据发生篡改,然而,为了防止网页数据被篡改,目前还没有对发生篡改的网页数据进行分析的机制,进而无法实现对网页数据的安全防护。
发明内容
有鉴于此,本发明提供一种网页数据篡改的分析方法及装置,主要目的在于提供了对发生篡改的网页数据进行分析的机制,进而可以实现对网页数据的安全防护。
依据本发明一个方面,提供了一种网页数据篡改的分析方法,该方法包括:
当检测出网页数据发生篡改时,获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息;
根据所述程序标识信息确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别;
根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。
依据本发明另一个方面,提供了一种网页数据篡改的分析装置,该装置包括:
获取单元,用于当检测出网页数据发生篡改时,获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息;
确定单元,用于根据所述获取单元获取的程序标识信息,确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别;
所述确定单元,还用于根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。
借由上述技术方案,本发明实施例提供的技术方案至少具有下列优点:
本发明提供的一种网页数据篡改的分析方法及装置,当检测出网页数据发生篡改时,首先获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息;然后根据所述程序标识信息确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别;最后根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。与现有技术中只能监测网页数据是否被篡改相比,本发明通过根据不同的程序标识确定不同的日志信息类别,进而根据不同日志信息类别的日志信息,可以进行篡改数据行为的分析,确定了篡改数据对应的篡改路径,提供了对发生篡改的网页数据进行分析的机制,进而可以实现对网页数据的安全防护。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种网页数据篡改的分析方法流程示意图;
图2示出了本发明实施例提供的另一种网页数据篡改的分析方法流程示意图;
图3示出了本发明实施例提供的一种网页数据篡改的分析装置结构示意图;
图4示出了本发明实施例提供的另一种网页数据篡改的分析装置结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种网页数据篡改的分析方法,如图1所示,所述方法包括:
101、当检测出网页数据发生篡改时,获取网页数据对应的文件修改日志信息。
其中,所述文件修改日志信息可以为记录网页数据修改的日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息。所述程序标识信息可以为程序的名称信息、ID(Identity,身份标识号码)号等。
需要说明的是,对于本发明实施例的执行主体可以为监控服务器中的数据分析模块,也可以为用于分析网页数据篡改行为的云服务器。当执行主体为监控服务器中的数据分析模块时,在监控服务器中进行网页数据篡改行为的分析;当执行主体为云服务器时,在监控服务器检测出网页数据内容发生篡改之后,将该网页数据对应的不同日志信息类别的日志信息发送给云服务器,进而在云服务器中进行网页数据篡改行为的分析。
102、根据文件修改日志信息中包含的篡改网页数据对应的程序标识信息,确定网页数据对应的日志信息类别。
其中,不同的程序标识信息对应不同日志信息类别。所述日志信息类别可以为系统日志类别、WEB(WorldWideWeb,万维网)日志类别等。所述系统日志类别可以对应系统日志信息,系统日志信息中记载了服务器登录信息以及程序运行信息等。所述WEB日志类别可以对应WEB日志信息,WEB日志信息中记载了用户访问信息,如用户访问对应的URL(UniformResourceLocator,统一资源定位符)以及用户的IP地址等。
例如,当篡改网页数据对应的程序标识信息为VIM的程序标识,或者为CP的程序标识时,可以确定攻击者已经入侵了内网服务器,通过内网服务器进行网页数据篡改操作,该程序标识对应的是系统日志类别,进而可以在系统日志信息中,找到攻击者的信息。
再例如,当篡改网页数据对应的程序标识信息为阿帕奇的程序标识时,可以确定攻击者是通过后门漏洞,利用远程连接工具进行网页数据篡改操作,该程序标识对应的是WEB日志类别,进而可以在WEB日志信息中,找到攻击者的信息。
103、根据与日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。
其中,所述篡改路径可以为攻击者入侵时的攻击路径。
例如,根据与日志信息类别对应的日志信息,可以确定攻击者入侵时的攻击过程,可以针对攻击路径进行安全防护,避免该攻击路径被攻击者重复利用;进一步地,根据攻击路径,可以确定具体哪一台服务器登录到了内网服务器进行网页数据篡改,可以对该服务器进行屏蔽操作,避免该服务器再次登录到内网服务器上进行网页数据篡改。
本发明实施例提供的一种网页数据篡改的分析方法,当检测出网页数据发生篡改时,首先获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息;然后根据所述程序标识信息确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别;最后根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。与现有技术中只能监测网页数据是否被篡改相比,本发明通过根据不同的程序标识确定不同的日志信息类别,进而根据不同日志信息类别的日志信息,可以进行篡改数据行为的分析,确定了篡改数据对应的篡改路径,提供了对发生篡改的网页数据进行分析的机制,进而可以实现对网页数据的安全防护。
本发明实施例提供了另一种网页数据篡改的分析方法,如图2所示,所述方法包括:
201、提取网页数据中的特征数据。
其中,所述特征数据可以为关键词信息、链接地址信息、文件MD5(Message-DigestAlgorithm5,信息摘要算法5)值、字符串信息等。
需要说明的是,对于本发明实施例的执行主体可以为监控服务器中的数据分析模块。所述数据分析模块可以调取预置存储位置中保存的不同日志信息类别的日志信息,进而实现网页数据篡改行为的分析。
202、判断特征数据中是否存在与预置数据匹配的数据。
其中,所述预置数据中包含有预置关键词信息、预置链接地址信息、预置MD5值信息、预置字符串信息中的一个或多个。预置关键词信息具体可以配置为色情、暴力、广告等相关的敏感词,预置链接地址信息具体可以配置为黑链接等,预置MD5值信息具体可以配置为黑客常用的木马文件的MD5值,预置字符串信息具体可以配置为木马特征字符串等。
对于本发明实施例,所述步骤202具体包括:判断所述特征数据中是否存在与所述预置关键词信息匹配的数据;和/或判断所述特征数据中是否存在与所述预置链接地址信息匹配的数据;和/或判断所述特征数据中是否存在与所述预置MD5值信息匹配的数据;和/或判断所述特征数据中是否存在与所述预置字符串信息匹配的数据。当判断出所述特征数据中存在与所述预置关键词信息匹配的数据,和/或判断出所述特征数据中存在与所述预置链接地址信息匹配的数据,和/或判断出所述特征数据中存在与所述预置MD5值信息匹配的数据,和/或判断出所述特征数据中存在与所述预置字符串信息匹配的数据,确定特征数据中存在与预置数据匹配的数据;否则,确定特征数据中不存在与预置数据匹配的数据。
具体地,可以从云服务器中获取预置关键词信息、预置链接地址信息、预置MD5值信息、预置字符串信息等预置数据;并将所述预置数据保存在预置数据库中,当需要进行所述步骤202中的判断操作时,对预置数据库中保存的预置关键词信息和/或预置链接地址信息进行调取,以进行特征数据的数据匹配。
需要说明的是,通过判断所述特征数据中是否存在如广告、色情、暴力相关的敏感词,或者是否存在黑链接等数据,或者文件MD5值是否与木马文件MD5值匹配,或者是否存在木马特征字符串等,可以确定网页数据是否发生篡改操作,并且该篡改操作是否存在异常,若确定网页数据发生篡改操作,并且该篡改操作存在异常,可以执行步骤203,以进行篡改数据行为的分析,进而可以实现对网页数据的安全防护。
进一步地,所述预置数据还可以为原始网页数据的备份数据,即与原始网页数据具有相同的关键词、链接地址等。当特征数据与预置数据完全匹配时,可以确定网页数据没有发生篡改行为;当特征数据中存在与预置数据不匹配的数据时,可以确定网页数据发生了篡改行为,进而可以执行步骤203。
203、若特征数据中存在与预置数据匹配的数据,获取网页数据对应的文件修改日志信息。
其中,所述文件修改日志信息可以为记录网页数据修改的日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息。所述程序标识信息可以为程序的名称信息、ID号等。
204、根据文件修改日志信息中包含的篡改网页数据对应的程序标识信息,确定网页数据对应的日志信息类别。
其中,所述不同的程序标识信息对应不同日志信息类别。所述日志信息类别可以为WEB日志类别、系统日志类别等。所述WEB日志类别可以对应WEB日志信息,WEB日志信息中记载了用户访问信息,如用户访问对应的URL以及用户的IP地址等。所述系统日志类别可以对应系统日志信息,系统日志信息中记载了服务器登录信息以及程序的运行信息等。
进一步地,所述方法还可以包括:为不同的程序标识信息配置不同的日志信息类别。例如,对于VIM的程序标识或者CP的程序标识,可以确定攻击者已经入侵了网页数据对应的内网服务器,通过内网服务器进行网页数据篡改操作,所以可以配置为系统日志类别,主要针对系统日志信息,进行网页数据篡改行为的分析。对于阿帕奇的程序标识,可以确定攻击者是通过后门漏洞,并利用远程连接工具进行网页数据篡改操作,所以可以配置为WEB日志类别,主要针对WEB日志信息,进行网页数据篡改行为的分析。
205、根据与日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。
其中,所述篡改路径可以为攻击者入侵时的攻击路径。
需要说明的是,通过确定所述篡改数据对应的篡改路径,可以实现对网站数据的安全防护,例如,根据篡改路径可以确定攻击者入侵时的攻击过程,可以针对该路径进行安全防护,以免该攻击路径被攻击者重复利用。
进一步地,根据与所述篡改路径,可以确定所述篡改数据对应的篡改服务器信息。例如,可以确定登录到内网服务器进行网页数据篡改的服务器信息,进而可以对该服务器进行屏蔽操作,以免该服务器再次登录到内网服务器上进行网页数据篡改。
进一步地,所述方法还可以包括:为不同的程序标识信息配置不同的数据篡改危险级别;根据所述程序标识信息确定所述网页数据对应的数据篡改危险级别。具体地,当确定篡改网页数据对应的程序标识信息时,可以确定数据篡改危险级别,在对存在异常的篡改数据进行分析时,可以根据不同的数据篡改危险级别,输出不同危险级别的分析结果,以便运维人员可以根据不同危险级别的分析结果,按照安全隐患的严重程度,进行网页数据安全防护。
进一步地,所述方法还可以包括:结合不同日志信息类别的日志信息,综合分析网页数据的篡改行为,例如,结合系统日志信息与WEB日志信息,综合分析网页数据的篡改行为,可以得到更加准确的篡改行为分析结果,进而可以更好的实现对网页数据的安全防护。
对于本发明实施例的具体应用场景可以如下所示,但不限于此,包括:
首先提取网页数据中的特征数据,具体可以为关键词、链接地址、文件MD5值、字符串等。调取预置数据库中的预置数据,预置数据可以为如敏感词、黑链接、黑客常用的木马文件的MD5值、木马特征字符串等数据,判断该特征数据中是否存在与预置数据匹配的数据,当判定该特征数据中存在与预置数据匹配的数据时,从预置存储位置中获取网页数据对应的文件修改日志信息,文件修改日志信息中保存有网页数据修改的历史记录,并且可以在文件修改日志信息中确定篡改网页数据对应的程序标识信息,当篡改网页数据对应的程序标识信息为VIM的程序标识,或者为CP的程序标识时,可以确定攻击者已经入侵了网页数据对应的内网服务器,并通过内网服务器进行网页数据篡改操作,该程序标识对应的是系统日志类别,可以根据系统日志信息,对存在异常的篡改数据行为进行分析。当篡改网页数据对应的程序标识信息为阿帕奇的程序标识时,可以确定攻击者是通过后门漏洞,利用远程连接工具进行网页数据篡改操作,该程序标识对应的是WEB日志类别,可以根据WEB日志信息,对存在异常的篡改数据行为进行分析。
具体地,根据不同类别的日志信息可以确定篡改数据对应的篡改路径,根据篡改路径可以确定攻击者入侵时的攻击过程,可以针对该路径进行安全防护,避免该攻击路径被攻击者重复利用;进一步地,根据该路径可以确定篡改数据对应的篡改服务器信息,进而可以确定具体哪一台服务器登录到了内网服务器进行网页数据篡改,可以对该服务器进行屏蔽操作,避免该服务器再次登录到内网服务器上进行网页数据篡改。
本发明实施例提供的另一种网页数据篡改的分析方法,当检测出网页数据发生篡改时,首先获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息;然后根据所述程序标识信息确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别;最后根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。与现有技术中只能监测网页数据是否被篡改相比,本发明通过根据不同的程序标识确定不同的日志信息类别,进而根据不同日志信息类别的日志信息,可以进行篡改数据行为的分析,确定了篡改数据对应的篡改路径,提供了对发生篡改的网页数据进行分析的机制,进而可以实现对网页数据的安全防护。
进一步地,作为图1所述方法的具体实现,本发明实施例提供了一种网页数据篡改的分析装置,如图3所示,所述装置包括:获取单元31、确定单元32。
所述获取单元31,可以用于当检测出网页数据发生篡改时,获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息。
所述确定单元32,可以用于根据所述获取单元31获取的程序标识信息,确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别。
所述确定单元32,还可以用于根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。
本发明的实施例公开了:
A1、一种网页数据篡改的分析方法,其特征在于,包括:
当检测出网页数据发生篡改时,获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息;
根据所述程序标识信息确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别;
根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。
A2、根据A1所述的网页数据篡改的分析方法,其特征在于,所述方法还包括:
根据所述篡改路径,确定所述篡改数据对应的篡改服务器信息。
A3、根据A1所述的网页数据篡改的分析方法,其特征在于,所述方法还包括:
为不同的程序标识信息配置不同的日志信息类别。
A4、根据A1所述的网页数据篡改的分析方法,其特征在于,所述方法还包括:
为不同的程序标识信息配置不同的数据篡改危险级别;
根据所述程序标识信息,确定所述网页数据对应的数据篡改危险级别。
A5、根据A1所述的网页数据篡改的分析方法,其特征在于,所述获取网页数据对应的文件修改日志信息之前,所述方法还包括:
提取所述网页数据中的特征数据;
判断所述特征数据中是否存在与预置数据匹配的数据;
所述获取网页数据对应的文件修改日志信息包括:
若存在,则获取网页数据对应的文件修改日志信息。
A6、根据A5所述的网页数据篡改的分析方法,其特征在于,所述预置数据中包含有预置关键词信息、预置链接地址信息、预置MD5值信息、预置字符串信息中的一个或多个。
A7、根据A6所述的网页数据篡改的分析方法,其特征在于,所述判断所述特征数据中是否存在与预置数据匹配的数据包括:
判断所述特征数据中是否存在与所述预置关键词信息匹配的数据;和/或
判断所述特征数据中是否存在与所述预置链接地址信息匹配的数据;和/或
判断所述特征数据中是否存在与所述预置MD5值信息匹配的数据;和/或
判断所述特征数据中是否存在与所述预置字符串信息匹配的数据。
B8、一种网页数据篡改的分析装置,其特征在于,包括:
获取单元,用于当检测出网页数据发生篡改时,获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息;
确定单元,用于根据所述获取单元获取的程序标识信息,确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别;
所述确定单元,还用于根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。
B9、根据B8所述的网页数据篡改的分析装置,其特征在于,
所述确定单元,还用于根据所述篡改路径,确定所述篡改数据对应的篡改服务器信息。
B10、根据B8所述的网页数据篡改的分析装置,其特征在于,所述装置还包括:
配置单元,用于为不同的程序标识信息配置不同的日志信息类别。
B11、根据B8所述的网页数据篡改的分析装置,其特征在于,
所述配置单元,还用于为不同的程序标识信息配置不同的数据篡改危险级别;
所述确定单元,还用于根据所述程序标识信息,确定所述网页数据对应的数据篡改危险级别。
B12、根据B8所述的网页数据篡改的分析装置,其特征在于,所述装置还包括:提取单元和判断单元;
所述提取单元,用于提取所述网页数据中的特征数据;
所述判断单元,用于判断所述提取单元提取的特征数据中是否存在与预置数据匹配的数据;
所述获取单元,具体用于若所述判断单元判断出所述特征数据中存在与预置数据匹配的数据,则获取网页数据对应的文件修改日志信息。
B13、根据B12所述的网页数据篡改的分析装置,其特征在于,所述预置数据中包含有预置关键词信息、预置链接地址信息、预置MD5值信息、预置字符串信息中的一个或多个。
B14、根据B13所述的网页数据篡改的分析装置,其特征在于,
所述判断单元,具体用于判断所述特征数据中是否存在与所述预置关键词信息匹配的数据;
所述判断单元,具体还用于判断所述特征数据中是否存在与所述预置链接地址信息匹配的数据;
所述判断单元,具体还用于判断所述特征数据中是否存在与所述预置MD5值信息匹配的数据;
所述判断单元,具体还用于判断所述特征数据中是否存在与所述预置字符串信息匹配的数据。
需要说明的是,本发明实施例提供的一种网页数据篡改的分析装置所涉及各功能单元的其他相应描述,可以参考图1中的对应描述,在此不再赘述。
本发明实施例提供的一种网页数据篡改的分析装置,当检测出网页数据发生篡改时,首先获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息;然后根据所述程序标识信息确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别;最后根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。与现有技术中只能监测网页数据是否被篡改相比,本发明通过根据不同的程序标识确定不同的日志信息类别,进而根据不同日志信息类别的日志信息,可以进行篡改数据行为的分析,确定了篡改数据对应的篡改路径,提供了对发生篡改的网页数据进行分析的机制,进而可以实现对网页数据的安全防护。
进一步地,作为图2所述方法的具体实现,本发明实施例提供了另一种网页数据篡改的分析装置,如图4所示,所述装置包括:获取单元41、确定单元42。
所述获取单元41,可以用于当检测出网页数据发生篡改时,获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息。
所述确定单元42,可以用于根据所述获取单元41获取的程序标识信息,确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别。
所述确定单元42,可以用于根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。
所述确定单元42,还可以用于根据所述篡改路径,确定所述篡改数据对应的篡改服务器信息。
进一步地,所述装置还包括:配置单元43。
所述配置单元43,可以用于为不同的程序标识信息配置不同的日志信息类别。
所述配置单元43,还可以用于为不同的程序标识信息配置不同的数据篡改危险级别。
所述确定单元42,还可以用于根据所述程序标识信息,确定所述网页数据对应的数据篡改危险级别。
进一步地,所述装置还包括:提取单元44、判断单元45。
所述提取单元44,可以用于提取所述网页数据中的特征数据。
所述判断单元45,可以用于判断所述提取单元44提取的特征数据中是否存在与预置数据匹配的数据。
所述获取单元41,具体可以用于若所述判断单元45判断出所述特征数据中存在与预置数据匹配的数据,则获取网页数据对应的文件修改日志信息。
可选地,所述预置数据中包含有预置关键词信息、预置链接地址信息、预置MD5值信息、预置字符串信息中的一个或多个。
所述判断单元45,具体可以用于判断所述特征数据中是否存在与所述预置关键词信息匹配的数据。
所述判断单元45,具体还可以用于判断所述特征数据中是否存在与所述预置链接地址信息匹配的数据。
所述判断单元45,具体还可以用于判断所述特征数据中是否存在与所述预置MD5值信息匹配的数据。
所述判断单元45,具体还可以用于判断所述特征数据中是否存在与所述预置字符串信息匹配的数据。
需要说明的是,本发明实施例提供的另一种网页数据篡改的分析装置所涉及各功能单元的其他相应描述,可以参考图2中的对应描述,在此不再赘述。
本发明实施例提供的另一种网页数据篡改的分析装置,当检测出网页数据发生篡改时,首先获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息;然后根据所述程序标识信息确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别;最后根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。与现有技术中只能监测网页数据是否被篡改相比,本发明通过根据不同的程序标识确定不同的日志信息类别,进而根据不同日志信息类别的日志信息,可以进行篡改数据行为的分析,确定了篡改数据对应的篡改路径,提供了对发生篡改的网页数据进行分析的机制,进而可以实现对网页数据的安全防护。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一种网页数据篡改的分析方法及装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种网页数据篡改的分析方法,其特征在于,包括:
当检测出网页数据发生篡改时,获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息;
根据所述程序标识信息确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别;
根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。
2.根据权利要求1所述的网页数据篡改的分析方法,其特征在于,所述方法还包括:
根据所述篡改路径,确定所述篡改数据对应的篡改服务器信息。
3.根据权利要求1所述的网页数据篡改的分析方法,其特征在于,所述方法还包括:
为不同的程序标识信息配置不同的日志信息类别。
4.根据权利要求1所述的网页数据篡改的分析方法,其特征在于,所述方法还包括:
为不同的程序标识信息配置不同的数据篡改危险级别;
根据所述程序标识信息,确定所述网页数据对应的数据篡改危险级别。
5.根据权利要求1所述的网页数据篡改的分析方法,其特征在于,所述获取网页数据对应的文件修改日志信息之前,所述方法还包括:
提取所述网页数据中的特征数据;
判断所述特征数据中是否存在与预置数据匹配的数据;
所述获取网页数据对应的文件修改日志信息包括:
若存在,则获取网页数据对应的文件修改日志信息。
6.根据权利要求5所述的网页数据篡改的分析方法,其特征在于,所述预置数据中包含有预置关键词信息、预置链接地址信息、预置MD5值信息、预置字符串信息中的一个或多个。
7.根据权利要求6所述的网页数据篡改的分析方法,其特征在于,所述判断所述特征数据中是否存在与预置数据匹配的数据包括:
判断所述特征数据中是否存在与所述预置关键词信息匹配的数据;和/或
判断所述特征数据中是否存在与所述预置链接地址信息匹配的数据;和/或
判断所述特征数据中是否存在与所述预置MD5值信息匹配的数据;和/或
判断所述特征数据中是否存在与所述预置字符串信息匹配的数据。
8.一种网页数据篡改的分析装置,其特征在于,包括:
获取单元,用于当检测出网页数据发生篡改时,获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息;
确定单元,用于根据所述获取单元获取的程序标识信息,确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别;
所述确定单元,还用于根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。
9.根据权利要求8所述的网页数据篡改的分析装置,其特征在于,
所述确定单元,还用于根据所述篡改路径,确定所述篡改数据对应的篡改服务器信息。
10.根据权利要求8所述的网页数据篡改的分析装置,其特征在于,所述装置还包括:
配置单元,用于为不同的程序标识信息配置不同的日志信息类别。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510729803.5A CN105306467B (zh) | 2015-10-30 | 2015-10-30 | 网页数据篡改的分析方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510729803.5A CN105306467B (zh) | 2015-10-30 | 2015-10-30 | 网页数据篡改的分析方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105306467A true CN105306467A (zh) | 2016-02-03 |
| CN105306467B CN105306467B (zh) | 2018-05-04 |
Family
ID=55203218
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510729803.5A Active CN105306467B (zh) | 2015-10-30 | 2015-10-30 | 网页数据篡改的分析方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105306467B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107229865A (zh) * | 2016-03-25 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 一种解析Webshell入侵原因的方法及装置 |
| CN107341375A (zh) * | 2016-12-09 | 2017-11-10 | 北京安天网络安全技术有限公司 | 一种基于网页图片暗记溯源攻击者的方法及系统 |
| CN107547610A (zh) * | 2016-06-29 | 2018-01-05 | 腾讯科技(深圳)有限公司 | 一种字符信息处理方法、服务器及终端 |
| CN108073631A (zh) * | 2016-11-16 | 2018-05-25 | 方正国际软件(北京)有限公司 | 一种防止广告页面修改的方法及装置 |
| CN109635592A (zh) * | 2018-11-22 | 2019-04-16 | 山东中创软件商用中间件股份有限公司 | 一种文件防护方法、装置、设备、系统及存储介质 |
| CN111488623A (zh) * | 2019-01-25 | 2020-08-04 | 深信服科技股份有限公司 | 一种网页篡改检测方法及相关装置 |
| CN115688071A (zh) * | 2022-12-29 | 2023-02-03 | 深圳市光速时代科技有限公司 | 一种防止智能手表信息篡改的处理方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003050732A (ja) * | 2001-08-06 | 2003-02-21 | Isa Co Ltd | 公開コンテンツ改竄対処方法、公開コンテンツ提供システム、公開コンテンツサーバ,ネットワーク接続装置,不正アクセス防止装置および切換装置、並びに公開コンテンツサーバ用プログラム,ネットワーク接続装置用プログラム,不正アクセス防止装置用プログラムおよび切換装置用プログラム |
| CN102902928A (zh) * | 2012-09-21 | 2013-01-30 | 杭州迪普科技有限公司 | 一种网页防篡改方法及装置 |
| CN103595732A (zh) * | 2013-11-29 | 2014-02-19 | 北京奇虎科技有限公司 | 一种网络攻击取证的方法及装置 |
| US20140380477A1 (en) * | 2011-12-30 | 2014-12-25 | Beijing Qihoo Technology Company Limited | Methods and devices for identifying tampered webpage and inentifying hijacked web address |
-
2015
- 2015-10-30 CN CN201510729803.5A patent/CN105306467B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003050732A (ja) * | 2001-08-06 | 2003-02-21 | Isa Co Ltd | 公開コンテンツ改竄対処方法、公開コンテンツ提供システム、公開コンテンツサーバ,ネットワーク接続装置,不正アクセス防止装置および切換装置、並びに公開コンテンツサーバ用プログラム,ネットワーク接続装置用プログラム,不正アクセス防止装置用プログラムおよび切換装置用プログラム |
| US20140380477A1 (en) * | 2011-12-30 | 2014-12-25 | Beijing Qihoo Technology Company Limited | Methods and devices for identifying tampered webpage and inentifying hijacked web address |
| CN102902928A (zh) * | 2012-09-21 | 2013-01-30 | 杭州迪普科技有限公司 | 一种网页防篡改方法及装置 |
| CN103595732A (zh) * | 2013-11-29 | 2014-02-19 | 北京奇虎科技有限公司 | 一种网络攻击取证的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 张振华: "基于LAMP平台架构的网页防篡改系统设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107229865A (zh) * | 2016-03-25 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 一种解析Webshell入侵原因的方法及装置 |
| CN107229865B (zh) * | 2016-03-25 | 2020-06-05 | 阿里巴巴集团控股有限公司 | 一种解析Webshell入侵原因的方法及装置 |
| CN107547610A (zh) * | 2016-06-29 | 2018-01-05 | 腾讯科技(深圳)有限公司 | 一种字符信息处理方法、服务器及终端 |
| CN107547610B (zh) * | 2016-06-29 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 一种字符信息处理方法、服务器及终端 |
| CN108073631A (zh) * | 2016-11-16 | 2018-05-25 | 方正国际软件(北京)有限公司 | 一种防止广告页面修改的方法及装置 |
| CN107341375A (zh) * | 2016-12-09 | 2017-11-10 | 北京安天网络安全技术有限公司 | 一种基于网页图片暗记溯源攻击者的方法及系统 |
| CN109635592A (zh) * | 2018-11-22 | 2019-04-16 | 山东中创软件商用中间件股份有限公司 | 一种文件防护方法、装置、设备、系统及存储介质 |
| CN111488623A (zh) * | 2019-01-25 | 2020-08-04 | 深信服科技股份有限公司 | 一种网页篡改检测方法及相关装置 |
| CN115688071A (zh) * | 2022-12-29 | 2023-02-03 | 深圳市光速时代科技有限公司 | 一种防止智能手表信息篡改的处理方法及系统 |
| CN115688071B (zh) * | 2022-12-29 | 2023-03-17 | 深圳市光速时代科技有限公司 | 一种防止智能手表信息篡改的处理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105306467B (zh) | 2018-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105306467A (zh) | 网页数据篡改的分析方法及装置 | |
| CN104767757B (zh) | 基于web业务的多维度安全监测方法和系统 | |
| Kharraz et al. | Surveylance: Automatically detecting online survey scams | |
| CN110233849B (zh) | 网络安全态势分析的方法及系统 | |
| CN105354494A (zh) | 网页数据篡改的检测方法及装置 | |
| Catakoglu et al. | Automatic extraction of indicators of compromise for web applications | |
| US11848913B2 (en) | Pattern-based malicious URL detection | |
| CA2840992C (en) | Syntactical fingerprinting | |
| CN101964025B (zh) | Xss检测方法和设备 | |
| CN110177114B (zh) | 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质 | |
| CN103685307A (zh) | 基于特征库检测钓鱼欺诈网页的方法及系统、客户端、服务器 | |
| KR20070008611A (ko) | 컴퓨터 보안 위협 상황을 판정하는 방법, 장치, 컴퓨터프로그램 제품 및 프로세서 | |
| CN114021040B (zh) | 基于业务访问的恶意事件的告警及防护方法和系统 | |
| CN104158828B (zh) | 基于云端内容规则库识别可疑钓鱼网页的方法及系统 | |
| Rizzo et al. | Unveiling web fingerprinting in the wild via code mining and machine learning | |
| CN111800404B (zh) | 一种对恶意域名的识别方法、装置以及存储介质 | |
| CN103647767A (zh) | 一种网站信息的展示方法和装置 | |
| Ramesh et al. | Identification of phishing webpages and its target domains by analyzing the feign relationship | |
| CN105138907A (zh) | 一种主动探测被攻击网站的方法和系统 | |
| CN110290114A (zh) | 一种基于预警信息的漏洞自动化防护方法及系统 | |
| CN103220277B (zh) | 监控跨站脚本攻击的方法、装置及系统 | |
| EP3671512B1 (en) | Automated software vulnerability determination | |
| Han et al. | Cbr-based decision support methodology for cybercrime investigation: Focused on the data-driven website defacement analysis | |
| US11258806B1 (en) | System and method for automatically associating cybersecurity intelligence to cyberthreat actors | |
| CN114070642A (zh) | 网络安全检测方法、系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee after: Beijing Qizhi Business Consulting Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220402 Address after: 100016 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee after: Sanliu0 Digital Security Technology Group Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Beijing Qizhi Business Consulting Co.,Ltd. |
|
| TR01 | Transfer of patent right |