具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种网页数据篡改的分析方法,如图1所示,所述方法包括:
101、当检测出网页数据发生篡改时,获取网页数据对应的文件修改日志信息。
其中,所述文件修改日志信息可以为记录网页数据修改的日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息。所述程序标识信息可以为程序的名称信息、ID(Identity,身份标识号码)号等。
需要说明的是,对于本发明实施例的执行主体可以为监控服务器中的数据分析模块,也可以为用于分析网页数据篡改行为的云服务器。当执行主体为监控服务器中的数据分析模块时,在监控服务器中进行网页数据篡改行为的分析;当执行主体为云服务器时,在监控服务器检测出网页数据内容发生篡改之后,将该网页数据对应的不同日志信息类别的日志信息发送给云服务器,进而在云服务器中进行网页数据篡改行为的分析。
102、根据文件修改日志信息中包含的篡改网页数据对应的程序标识信息,确定网页数据对应的日志信息类别。
其中,不同的程序标识信息对应不同日志信息类别。所述日志信息类别可以为系统日志类别、WEB(World Wide Web,万维网)日志类别等。所述系统日志类别可以对应系统日志信息,系统日志信息中记载了服务器登录信息以及程序运行信息等。所述WEB日志类别可以对应WEB日志信息,WEB日志信息中记载了用户访问信息,如用户访问对应的URL(Uniform Resource Locator,统一资源定位符)以及用户的IP地址等。
例如,当篡改网页数据对应的程序标识信息为VIM的程序标识,或者为CP的程序标识时,可以确定攻击者已经入侵了内网服务器,通过内网服务器进行网页数据篡改操作,该程序标识对应的是系统日志类别,进而可以在系统日志信息中,找到攻击者的信息。
再例如,当篡改网页数据对应的程序标识信息为阿帕奇的程序标识时,可以确定攻击者是通过后门漏洞,利用远程连接工具进行网页数据篡改操作,该程序标识对应的是WEB日志类别,进而可以在WEB日志信息中,找到攻击者的信息。
103、根据与日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。
其中,所述篡改路径可以为攻击者入侵时的攻击路径。
例如,根据与日志信息类别对应的日志信息,可以确定攻击者入侵时的攻击过程,可以针对攻击路径进行安全防护,避免该攻击路径被攻击者重复利用;进一步地,根据攻击路径,可以确定具体哪一台服务器登录到了内网服务器进行网页数据篡改,可以对该服务器进行屏蔽操作,避免该服务器再次登录到内网服务器上进行网页数据篡改。
本发明实施例提供的一种网页数据篡改的分析方法,当检测出网页数据发生篡改时,首先获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息;然后根据所述程序标识信息确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别;最后根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。与现有技术中只能监测网页数据是否被篡改相比,本发明通过根据不同的程序标识确定不同的日志信息类别,进而根据不同日志信息类别的日志信息,可以进行篡改数据行为的分析,确定了篡改数据对应的篡改路径,提供了对发生篡改的网页数据进行分析的机制,进而可以实现对网页数据的安全防护。
本发明实施例提供了另一种网页数据篡改的分析方法,如图2所示,所述方法包括:
201、提取网页数据中的特征数据。
其中,所述特征数据可以为关键词信息、链接地址信息、文件MD5(Message-DigestAlgorithm 5,信息摘要算法5)值、字符串信息等。
需要说明的是,对于本发明实施例的执行主体可以为监控服务器中的数据分析模块。所述数据分析模块可以调取预置存储位置中保存的不同日志信息类别的日志信息,进而实现网页数据篡改行为的分析。
202、判断特征数据中是否存在与预置数据匹配的数据。
其中,所述预置数据中包含有预置关键词信息、预置链接地址信息、预置MD5值信息、预置字符串信息中的一个或多个。预置关键词信息具体可以配置为色情、暴力、广告等相关的敏感词,预置链接地址信息具体可以配置为黑链接等,预置MD5值信息具体可以配置为黑客常用的木马文件的MD5值,预置字符串信息具体可以配置为木马特征字符串等。
对于本发明实施例,所述步骤202具体包括:判断所述特征数据中是否存在与所述预置关键词信息匹配的数据;和/或判断所述特征数据中是否存在与所述预置链接地址信息匹配的数据;和/或判断所述特征数据中是否存在与所述预置MD5值信息匹配的数据;和/或判断所述特征数据中是否存在与所述预置字符串信息匹配的数据。当判断出所述特征数据中存在与所述预置关键词信息匹配的数据,和/或判断出所述特征数据中存在与所述预置链接地址信息匹配的数据,和/或判断出所述特征数据中存在与所述预置MD5值信息匹配的数据,和/或判断出所述特征数据中存在与所述预置字符串信息匹配的数据,确定特征数据中存在与预置数据匹配的数据;否则,确定特征数据中不存在与预置数据匹配的数据。
具体地,可以从云服务器中获取预置关键词信息、预置链接地址信息、预置MD5值信息、预置字符串信息等预置数据;并将所述预置数据保存在预置数据库中,当需要进行所述步骤202中的判断操作时,对预置数据库中保存的预置关键词信息和/或预置链接地址信息进行调取,以进行特征数据的数据匹配。
需要说明的是,通过判断所述特征数据中是否存在如广告、色情、暴力相关的敏感词,或者是否存在黑链接等数据,或者文件MD5值是否与木马文件MD5值匹配,或者是否存在木马特征字符串等,可以确定网页数据是否发生篡改操作,并且该篡改操作是否存在异常,若确定网页数据发生篡改操作,并且该篡改操作存在异常,可以执行步骤203,以进行篡改数据行为的分析,进而可以实现对网页数据的安全防护。
进一步地,所述预置数据还可以为原始网页数据的备份数据,即与原始网页数据具有相同的关键词、链接地址等。当特征数据与预置数据完全匹配时,可以确定网页数据没有发生篡改行为;当特征数据中存在与预置数据不匹配的数据时,可以确定网页数据发生了篡改行为,进而可以执行步骤203。
203、若特征数据中存在与预置数据匹配的数据,获取网页数据对应的文件修改日志信息。
其中,所述文件修改日志信息可以为记录网页数据修改的日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息。所述程序标识信息可以为程序的名称信息、ID号等。
204、根据文件修改日志信息中包含的篡改网页数据对应的程序标识信息,确定网页数据对应的日志信息类别。
其中,所述不同的程序标识信息对应不同日志信息类别。所述日志信息类别可以为WEB日志类别、系统日志类别等。所述WEB日志类别可以对应WEB日志信息,WEB日志信息中记载了用户访问信息,如用户访问对应的URL以及用户的IP地址等。所述系统日志类别可以对应系统日志信息,系统日志信息中记载了服务器登录信息以及程序的运行信息等。
进一步地,所述方法还可以包括:为不同的程序标识信息配置不同的日志信息类别。例如,对于VIM的程序标识或者CP的程序标识,可以确定攻击者已经入侵了网页数据对应的内网服务器,通过内网服务器进行网页数据篡改操作,所以可以配置为系统日志类别,主要针对系统日志信息,进行网页数据篡改行为的分析。对于阿帕奇的程序标识,可以确定攻击者是通过后门漏洞,并利用远程连接工具进行网页数据篡改操作,所以可以配置为WEB日志类别,主要针对WEB日志信息,进行网页数据篡改行为的分析。
205、根据与日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。
其中,所述篡改路径可以为攻击者入侵时的攻击路径。
需要说明的是,通过确定所述篡改数据对应的篡改路径,可以实现对网站数据的安全防护,例如,根据篡改路径可以确定攻击者入侵时的攻击过程,可以针对该路径进行安全防护,以免该攻击路径被攻击者重复利用。
进一步地,根据与所述篡改路径,可以确定所述篡改数据对应的篡改服务器信息。例如,可以确定登录到内网服务器进行网页数据篡改的服务器信息,进而可以对该服务器进行屏蔽操作,以免该服务器再次登录到内网服务器上进行网页数据篡改。
进一步地,所述方法还可以包括:为不同的程序标识信息配置不同的数据篡改危险级别;根据所述程序标识信息确定所述网页数据对应的数据篡改危险级别。具体地,当确定篡改网页数据对应的程序标识信息时,可以确定数据篡改危险级别,在对存在异常的篡改数据进行分析时,可以根据不同的数据篡改危险级别,输出不同危险级别的分析结果,以便运维人员可以根据不同危险级别的分析结果,按照安全隐患的严重程度,进行网页数据安全防护。
进一步地,所述方法还可以包括:结合不同日志信息类别的日志信息,综合分析网页数据的篡改行为,例如,结合系统日志信息与WEB日志信息,综合分析网页数据的篡改行为,可以得到更加准确的篡改行为分析结果,进而可以更好的实现对网页数据的安全防护。
对于本发明实施例的具体应用场景可以如下所示,但不限于此,包括:
首先提取网页数据中的特征数据,具体可以为关键词、链接地址、文件MD5值、字符串等。调取预置数据库中的预置数据,预置数据可以为如敏感词、黑链接、黑客常用的木马文件的MD5值、木马特征字符串等数据,判断该特征数据中是否存在与预置数据匹配的数据,当判定该特征数据中存在与预置数据匹配的数据时,从预置存储位置中获取网页数据对应的文件修改日志信息,文件修改日志信息中保存有网页数据修改的历史记录,并且可以在文件修改日志信息中确定篡改网页数据对应的程序标识信息,当篡改网页数据对应的程序标识信息为VIM的程序标识,或者为CP的程序标识时,可以确定攻击者已经入侵了网页数据对应的内网服务器,并通过内网服务器进行网页数据篡改操作,该程序标识对应的是系统日志类别,可以根据系统日志信息,对存在异常的篡改数据行为进行分析。当篡改网页数据对应的程序标识信息为阿帕奇的程序标识时,可以确定攻击者是通过后门漏洞,利用远程连接工具进行网页数据篡改操作,该程序标识对应的是WEB日志类别,可以根据WEB日志信息,对存在异常的篡改数据行为进行分析。
具体地,根据不同类别的日志信息可以确定篡改数据对应的篡改路径,根据篡改路径可以确定攻击者入侵时的攻击过程,可以针对该路径进行安全防护,避免该攻击路径被攻击者重复利用;进一步地,根据该路径可以确定篡改数据对应的篡改服务器信息,进而可以确定具体哪一台服务器登录到了内网服务器进行网页数据篡改,可以对该服务器进行屏蔽操作,避免该服务器再次登录到内网服务器上进行网页数据篡改。
本发明实施例提供的另一种网页数据篡改的分析方法,当检测出网页数据发生篡改时,首先获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息;然后根据所述程序标识信息确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别;最后根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。与现有技术中只能监测网页数据是否被篡改相比,本发明通过根据不同的程序标识确定不同的日志信息类别,进而根据不同日志信息类别的日志信息,可以进行篡改数据行为的分析,确定了篡改数据对应的篡改路径,提供了对发生篡改的网页数据进行分析的机制,进而可以实现对网页数据的安全防护。
进一步地,作为图1所述方法的具体实现,本发明实施例提供了一种网页数据篡改的分析装置,如图3所示,所述装置包括:获取单元31、确定单元32。
所述获取单元31,可以用于当检测出网页数据发生篡改时,获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息。
所述确定单元32,可以用于根据所述获取单元31获取的程序标识信息,确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别。
所述确定单元32,还可以用于根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。
需要说明的是,本发明实施例提供的一种网页数据篡改的分析装置所涉及各功能单元的其他相应描述,可以参考图1中的对应描述,在此不再赘述。
本发明实施例提供的一种网页数据篡改的分析装置,当检测出网页数据发生篡改时,首先获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息;然后根据所述程序标识信息确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别;最后根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。与现有技术中只能监测网页数据是否被篡改相比,本发明通过根据不同的程序标识确定不同的日志信息类别,进而根据不同日志信息类别的日志信息,可以进行篡改数据行为的分析,确定了篡改数据对应的篡改路径,提供了对发生篡改的网页数据进行分析的机制,进而可以实现对网页数据的安全防护。
进一步地,作为图2所述方法的具体实现,本发明实施例提供了另一种网页数据篡改的分析装置,如图4所示,所述装置包括:获取单元41、确定单元42。
所述获取单元41,可以用于当检测出网页数据发生篡改时,获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息。
所述确定单元42,可以用于根据所述获取单元41获取的程序标识信息,确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别。
所述确定单元42,可以用于根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。
所述确定单元42,还可以用于根据所述篡改路径,确定所述篡改数据对应的篡改服务器信息。
进一步地,所述装置还包括:配置单元43。
所述配置单元43,可以用于为不同的程序标识信息配置不同的日志信息类别。
所述配置单元43,还可以用于为不同的程序标识信息配置不同的数据篡改危险级别。
所述确定单元42,还可以用于根据所述程序标识信息,确定所述网页数据对应的数据篡改危险级别。
进一步地,所述装置还包括:提取单元44、判断单元45。
所述提取单元44,可以用于提取所述网页数据中的特征数据。
所述判断单元45,可以用于判断所述提取单元44提取的特征数据中是否存在与预置数据匹配的数据。
所述获取单元41,具体可以用于若所述判断单元45判断出所述特征数据中存在与预置数据匹配的数据,则获取网页数据对应的文件修改日志信息。
可选地,所述预置数据中包含有预置关键词信息、预置链接地址信息、预置MD5值信息、预置字符串信息中的一个或多个。
所述判断单元45,具体可以用于判断所述特征数据中是否存在与所述预置关键词信息匹配的数据。
所述判断单元45,具体还可以用于判断所述特征数据中是否存在与所述预置链接地址信息匹配的数据。
所述判断单元45,具体还可以用于判断所述特征数据中是否存在与所述预置MD5值信息匹配的数据。
所述判断单元45,具体还可以用于判断所述特征数据中是否存在与所述预置字符串信息匹配的数据。
需要说明的是,本发明实施例提供的另一种网页数据篡改的分析装置所涉及各功能单元的其他相应描述,可以参考图2中的对应描述,在此不再赘述。
本发明实施例提供的另一种网页数据篡改的分析装置,当检测出网页数据发生篡改时,首先获取网页数据对应的文件修改日志信息,所述文件修改日志信息中包含有篡改网页数据对应的程序标识信息;然后根据所述程序标识信息确定所述网页数据对应的日志信息类别,不同的程序标识信息对应不同日志信息类别;最后根据与所述日志信息类别对应的日志信息,确定篡改数据对应的篡改路径。与现有技术中只能监测网页数据是否被篡改相比,本发明通过根据不同的程序标识确定不同的日志信息类别,进而根据不同日志信息类别的日志信息,可以进行篡改数据行为的分析,确定了篡改数据对应的篡改路径,提供了对发生篡改的网页数据进行分析的机制,进而可以实现对网页数据的安全防护。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一种网页数据篡改的分析方法及装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。