针对网站的行为识别方法、装置、设备及可读存储介质
技术领域
本发明涉及互联网技术领域,特别是涉及一种针对网站的行为识别方法、装置、设备及可读存储介质。
背景技术
随着互联网技术的飞速发展以及终端的日益普及,越来越多的用户选择使用终端提供的各种网站执行日常生活中的各项活动,例如社交、通讯、拍照、游戏、购物等。用户在网站中进行各项活动时,通常是基于网站提供的不同进程实现的,为了保证进程的正常运行,终端中搭载了操作系统,进程是操作系统中最基本的执行单元。在日常运行的过程中,网站接收用户下发的各种指令,根据接收到的指令,进行行为操作。其中,在进行行为操作时,首先需要识别行为操作需要依赖的相关文件;随后,通过对该相关文件执行行为操作来为用户提供服务。
相关技术中,每个网站都具有很大的权限,这种权限很容易被攻击者利用,攻击者可以利用网站的权限对网站进行账户创建、资源上传、资源下载等攻击。由于服务器提供的资源是强大的,而一个网站所使用的资源相对于服务器来说是很小的,因此,同一个服务器通常架设有多个网站,这样,如果有一个网站被攻击者攻击,则同属于同一个服务器的其他网站也很容易被攻击,因此,亟需一种针对网站进行的行为识别的方法。
发明内容
有鉴于此,本发明提供了一种针对网站的行为识别方法、装置、设备及可读存储介质,主要目的在于解决目前如果有一个网站被攻击者攻击,则同属于同一个服务器的其他网站也很容易被攻击的问题。
依据本发明第一方面,提供了一种针对网站的行为识别方法,该方法包括:
当接收到网站运行指令时,获取所述网站运行指令指示的目标网站的目标网站权限集,所述目标网站权限集包括了允许所述目标网站进行的至少一个目标系统行为;
基于采集进程,采集所述目标网站的主进程在运行过程中的待识别系统行为,将所述待识别系统行为与所述目标网站权限集进行比对,所述采集进程至少为钩子Hook进程;
如果所述目标网站权限集不包括所述待识别系统行为,则对所述待识别系统行为进行拦截,禁止所述目标网站执行所述待识别系统行为。
在另一个实施例中,所述当接收到网站运行指令时,获取所述网站运行指令指示的目标网站的网站权限集之前,包括:
确定接入的多个网站,分别对所述多个网站中的每个网站进行识别,获取所述多个网站的多个网站信息,所述网站信息至少包括网站进程信息、网站端口信息以及网站路径信息;
启动运行所述多个网站,监控所述多个网站中每个网站的主进程在运行过程中的至少一个系统行为;
对于所述多个网站中的任一网站,基于所述网站的至少一个系统行为,生成所述网站的网站权限集;
将所述网站的网站信息与所述网站权限集对应存储。
在另一个实施例中,所述当接收到网站运行指令时,获取所述网站运行指令指示的目标网站的目标网站权限集,包括:
当接收到网站运行指令时,在网站运行指令中提取目标网站标识;
根据所述目标网站标识,确定所述目标网站,采集所述目标网站的待识别网站信息;
获取所述多个网站信息,确定所述多个网站信息中与所述待识别网站信息一致的网站信息对应的目标网站权限集,并获取所述目标网站权限集。
在另一个实施例中,所述基于采集进程,采集所述目标网站的主进程在运行过程中的待识别系统行为,将所述待识别系统行为与所述目标网站权限集进行比对,包括:
启动所述采集进程,基于所述采集进程,对所述目标网站的运行过程进行监控,采集所述待识别系统行为;
将所述待识别系统行为与所述目标网站权限集中的至少一个目标系统行为进行比对,确定所述至少一个目标系统行为中是否存在与所述待识别系统行为一致的目标系统行为;
相应地,当所述至少一个目标系统行为中不存在与所述待识别系统行为一致的目标系统行为时,确定所述目标网站权限集不包括所述待识别系统行为。
在另一个实施例中,所述方法还包括:
如果所述目标网站权限集包括所述待识别系统行为,则对所述待识别系统行为进行放行,允许所述目标网站执行所述待识别系统行为。
依据本发明第二方面,提供了一种针对网站的行为识别装置,该装置包括:
获取模块,用于当接收到网站运行指令时,获取所述网站运行指令指示的目标网站的目标网站权限集,所述目标网站权限集包括了允许所述目标网站进行的至少一个目标系统行为;
比对模块,用于基于采集进程,采集所述目标网站的主进程在运行过程中的待识别系统行为,将所述待识别系统行为与所述目标网站权限集进行比对,所述采集进程至少为钩子Hook进程;
拦截模块,用于如果所述目标网站权限集不包括所述待识别系统行为,则对所述待识别系统行为进行拦截,禁止所述目标网站执行所述待识别系统行为。
在另一个实施例中,所述装置还包括:
识别模块,用于确定接入的多个网站,分别对所述多个网站中的每个网站进行识别,获取所述多个网站的多个网站信息,所述网站信息至少包括网站进程信息、网站端口信息以及网站路径信息;
监控模块,用于启动运行所述多个网站,监控所述多个网站中每个网站的主进程在运行过程中的至少一个系统行为;
生成模块,用于对于所述多个网站中的任一网站,基于所述网站的至少一个系统行为,生成所述网站的网站权限集;
存储模块,用于将所述网站的网站信息与所述网站权限集对应存储。
在另一个实施例中,所述获取模块,包括:
提取子模块,用于当接收到网站运行指令时,在网站运行指令中提取目标网站标识;
采集子模块,用于根据所述目标网站标识,确定所述目标网站,采集所述目标网站的待识别网站信息;
获取子模块,用于获取所述多个网站信息,确定所述多个网站信息中与所述待识别网站信息一致的网站信息对应的目标网站权限集,并获取所述目标网站权限集。
在另一个实施例中,所述比对模块,用于启动所述采集进程,基于所述采集进程,对所述目标网站的运行过程进行监控,采集所述待识别系统行为;将所述待识别系统行为与所述目标网站权限集中的至少一个目标系统行为进行比对,确定所述至少一个目标系统行为中是否存在与所述待识别系统行为一致的目标系统行为;
相应地,所述拦截模块,用于当所述至少一个目标系统行为中不存在与所述待识别系统行为一致的目标系统行为时,确定所述目标网站权限集不包括所述待识别系统行为。
在另一个实施例中,所述装置还包括:
放行模块,用于如果所述目标网站权限集包括所述待识别系统行为,则对所述待识别系统行为进行放行,允许所述目标网站执行所述待识别系统行为。
依据本发明第三方面,提供了一种设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述方法的步骤。
依据本发明第四方面,提供了一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的方法的步骤。
借由上述技术方案,本发明提供的一种针对网站的行为识别方法、装置、设备及可读存储介质,与目前如果有一个网站被攻击者攻击,则同属于同一个服务器的其他网站也很容易被攻击的方式相比,本发明当接收到网站运行指令时,获取所述网站运行指令指示的目标网站的目标网站权限集,基于采集进程,采集所述目标网站在运行过程中的待识别系统行为,将所述待识别系统行为与所述目标网站权限集进行比对,如果所述目标网站权限集不包括所述待识别系统行为,则对所述待识别系统行为进行拦截,禁止所述目标网站执行所述待识别系统行为,使得为每一个网站均设置了一个根据其实际的系统行为生成的网站权限集,并采用该网站权限集对网站的系统行为进行限制,降低了网站被攻击的可能性,安全性较好。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种针对网站的行为识别方法流程示意图;
图2A示出了本发明实施例提供的一种针对网站的行为识别方法流程示意图;
图2B示出了本发明实施例提供的一种针对网站的行为识别方法流程示意图;
图3A示出了本发明实施例提供的一种针对网站的行为识别装置的结构示意图;
图3B示出了本发明实施例提供的一种针对网站的行为识别装置的结构示意图;
图3C示出了本发明实施例提供的一种针对网站的行为识别装置的结构示意图;
图3D示出了本发明实施例提供的一种针对网站的行为识别装置的结构示意图;
图4示出了本发明实施例提供的一种设备的装置结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种针对网站的行为识别方法,当接收到网站运行指令时,获取所述网站运行指令指示的目标网站的目标网站权限集,基于采集进程,采集所述目标网站在运行过程中的待识别系统行为,将所述待识别系统行为与所述目标网站权限集进行比对,如果所述目标网站权限集不包括所述待识别系统行为,则对所述待识别系统行为进行拦截,禁止所述目标网站执行所述待识别系统行为,使得为每一个网站均设置了一个根据其实际的系统行为生成的网站权限集,并采用该网站权限集对网站的系统行为进行限制,达到了降低网站被攻击的可能,安全性较好的目的,如图1所示,该方法包括:
101、当接收到网站运行指令时,获取网站运行指令指示的目标网站的目标网站权限集,目标网站权限集包括了允许目标网站进行的至少一个目标系统行为。
在本发明实施例中,由于每一个网站都会对应一个网站权限集,为了可以基于网站对应的网站权限集对网站的系统行为进行限制,当接收到网站运行指令时,需要获取网站运行指令指示的目标网站的目标网站权限集,以便基于目标网站权限集对目标网站的系统行为进行限制。
102、基于采集进程,采集目标网站的主进程在运行过程中的待识别系统行为,将待识别系统行为与目标网站权限集进行比对,采集进程至少为钩子Hook进程。
在本发明实施例中,为了对目标网站的系统行为进行识别,需要基于采集进程,采集该目标网站的主进程在运行过程中的待识别系统行为,通通过将待识别系统行为与目标网站权限集进行比对,实现对待识别系统行为的识别。
103、如果目标网站权限集不包括待识别系统行为,则对待识别系统行为进行拦截,禁止目标网站执行待识别系统行为。
在本发明实施例中,如果目标网站权限集中不包括该待识别系统行为,则表示该待识别系统行为不在目标网站权限集规定的范围内,该待识别系统行为是不允许执行的,因此,对该待识别系统行为进行拦截,禁止目标网站执行该待识别系统行为。
在另一个实施例中,当接收到网站运行指令时,获取网站运行指令指示的目标网站的网站权限集之前,包括:
确定接入的多个网站,分别对多个网站中的每个网站进行识别,获取多个网站的多个网站信息,网站信息至少包括网站进程信息、网站端口信息以及网站路径信息;
启动运行多个网站,监控多个网站中每个网站的主进程在运行过程中的至少一个系统行为;
对于多个网站中的任一网站,基于网站的至少一个系统行为,生成网站的网站权限集;
将网站的网站信息与网站权限集对应存储。
在另一个实施例中,当接收到网站运行指令时,获取网站运行指令指示的目标网站的目标网站权限集,包括:
当接收到网站运行指令时,在网站运行指令中提取目标网站标识;
根据目标网站标识,确定目标网站,采集目标网站的待识别网站信息;
获取多个网站信息,确定多个网站信息中与待识别网站信息一致的网站信息对应的目标网站权限集,并获取目标网站权限集。
在另一个实施例中,基于采集进程,采集目标网站的主进程在运行过程中的待识别系统行为,将待识别系统行为与目标网站权限集进行比对,包括:
启动采集进程,基于采集进程,对目标网站的运行过程进行监控,采集待识别系统行为;
将待识别系统行为与目标网站权限集中的至少一个目标系统行为进行比对,确定至少一个目标系统行为中是否存在与待识别系统行为一致的目标系统行为;
相应地,当至少一个目标系统行为中不存在与待识别系统行为一致的目标系统行为时,确定目标网站权限集不包括待识别系统行为。
在另一个实施例中,方法还包括:
如果目标网站权限集包括待识别系统行为,则对待识别系统行为进行放行,允许目标网站执行待识别系统行为。
本发明实施例提供的方法,可以当接收到网站运行指令时,获取所述网站运行指令指示的目标网站的目标网站权限集,基于采集进程,采集所述目标网站在运行过程中的待识别系统行为,将所述待识别系统行为与所述目标网站权限集进行比对,如果所述目标网站权限集不包括所述待识别系统行为,则对所述待识别系统行为进行拦截,禁止所述目标网站执行所述待识别系统行为,使得为每一个网站均设置了一个根据其实际的系统行为生成的网站权限集,并采用该网站权限集对网站的系统行为进行限制,降低了网站被攻击的可能性,安全性较好。
本发明实施例提供了一种针对网站的行为识别方法,当接收到网站运行指令时,获取所述网站运行指令指示的目标网站的目标网站权限集,基于采集进程,采集所述目标网站在运行过程中的待识别系统行为,将所述待识别系统行为与所述目标网站权限集进行比对,如果所述目标网站权限集不包括所述待识别系统行为,则对所述待识别系统行为进行拦截,禁止所述目标网站执行所述待识别系统行为,使得为每一个网站均设置了一个根据其实际的系统行为生成的网站权限集,并采用该网站权限集对网站的系统行为进行限制,达到了降低网站被攻击的可能,安全性较好的目的,如图2A所示,该方法包括:
201、确定接入的多个网站,分别对多个网站中的每个网站进行识别,获取多个网站的多个网站信息。
网站是指在因特网上根据一定的规则,使用HTML(Hyper Text Markup Language,超文本标记语言)等工具制作的用于展示特定内容相关网页的集合。简单地说,网站是一种沟通工具,人们可以通过网站来发布自己想要公开的资讯,或者利用网站来提供相关的网络服务。人们可以通过网页浏览器来访问网站,获取自己需要的资讯或者享受网络服务。发明人认识到,服务器中接入的网站具有的权限通常都是很大的,也即网站接收到任何指令均会信任该指令,并执行该指令涉及的系统行为,这样,就很容易导致攻击者向网站下发恶意指令,从而控制网站执行一些违法的系统行为。在实际应用的过程中,服务器中接入的网站数量较多,每个网站可以执行的系统行为都是不同的,如果采用统一的权限集对全部的网站进行行为的限制,很有可能会造成一些网站不能够正常运行,因此,为了在保证网站不受到攻击者的攻击的同时,还可以保证网站的正常运行,本发明根据网站实际执行的系统行为,为网站生成网站权限集,以便基于每个网站的网站权限集对网站进行管理。
其中,考虑到服务器中接入的网站数量较多,如果为每一个网站都生成一个与其对应的网站权限集,则生成的网站权限集的数据量也是很大的,为了使每个网站都可以与自身的网站权限集一一对应,避免将网站与网站权限集之间的对应关系混淆,需要获取每个网站的网站信息,以便后续将网站信息与网站权限集绑定,实现对网站权限集的区分。在获取网站信息时,由于服务器中接入的网站不止一个,且为每一个网站都要生成网站权限集,因此,首先需要确定接入的多个网站;随后,分别对多个网站中的每个网站进行识别,从而获取到多个网站的多个网站信息。
需要说明的是,考虑到网站中的数据是不断变化的,且名称也是会发生变化的,唯独不会变的是网站的自身属性,例如,网站的网站进程信息、网站端口信息和网站路径信息,因此,为了保证可以基于网站信息确定具体的网站,在获取网站的网站信息时,可以将网站进程信息、网站端口信息以及网站路径信息作为网站信息。
202、启动运行多个网站,监控多个网站中每个网站的主进程在运行过程中的至少一个系统行为。
在本发明实施例中,当确定了每个网站的网站信息后,便可以分别为每个网站生成与其对应的网站权限集。由于网站权限集是根据网站的实际运行情况生成的,因此,需要将网站实际运行起来,进而生成网站的网站权限集。具体地,网站的运行是依靠网站的主进程,因此,首先,启动运行多个网站;随后,监控多个网站中每个网站的主进程在运行过程中的系统行为,从而得到至少一个系统行为。
需要说明的是,在对网站的系统行为进行监控时,可以基于监控进程进行监控,监控进程可为Hook(钩子)进程。Hook进程是计算机安全领域常用的一种安全监控技术方法,可以对一些关键的系统API(Application Programming Interface,应用程序编程接口)进行挂钩,当系统执行某一任务时,就会进入到HOOK处理流程中,可以在HOOK处理代码中对任务的正当性进行检测。这样,在启动运行多个网站的同时,还需要启动监控进程,以便监控进程对网站的运行过程进行监控。在实际应用的过程中,考虑到网站启动可能有延迟,为了避免将某一个网站的系统行为遗漏,在对网站进行监控时,可以在网站启动之前便启动该监控进程,也可以一直保持监控进程的开启状态。本发明实施例对启动监控进程对网站的运行进行监控的时机不进行具体限定。
在实际应用的过程中,由于对网站进行监控的时长是有限的,不能一直持续对网站的系统行为进行采集,采集到的系统行为的数量足以证明网站的运行过程即可,因此,可以设置采集周期,当对网站的监控时间满足了采集周期的要求时,便停止对网站进行监控,将在采集周期获取到的全部系统行为作为该网站的至少一个系统行为。例如,采集周期可为5天、7天等,本发明对监控网站的具体时长不进行限定。
203、对于多个网站中的任一网站,基于网站的至少一个系统行为,生成网站的网站权限集,将网站的网站信息与网站权限集对应存储。
在本发明实施例中,当获取到多个网站中每一个网站的至少一个系统行为后,便可以为分别为每一个网站设置与其对应的网站权限集。其中,为了使针对每一个网站生成的网站权限集的格式是一致的,便于管理,可以设置权限集模板。这样,对于多个网站中的每一个网站,在生成网站的网站权限集时,按照权限集模板,对至少一个系统行为进行整理,从而生成满足权限集模板要求的网站权限集。
通过上述过程便可以为每一个网站均生成一个与其实际的系统行为相关的网站权限集。考虑到接入服务器的网站数量较大,使得生成的网站权限集的数量也较大,为了对不同的网站权限集进行区分,在存储网站权限集时,将网站的网站信息与网站权限集对应存储,从而将网站信息与网站权限集一一对应,使得后续可以直接根据网站信息获取网站权限集。在实际应用的过程中,在存储网站权限集时,还可以采用网站信息对网站权限集进行标记,本发明实施例对存储网站权限集的方式不进行具体限定。
通过上述步骤201至步骤203中所示的过程,便可以为每一个接入服务器的网站生成一个与其实际的运行过程匹配的网站权限集,这样,当检测到有网站接收到网站运行指令时,根据该网站的网站权限集来限制网站的系统行为,参见图2B,该方法包括:
204、当接收到网站运行指令时,在网站运行指令中提取目标网站标识,根据目标网站标识,确定目标网站,采集目标网站的待识别网站信息。
在本发明实施例中,网站在请求运行时,会向服务传输网站运行指令,以便服务器在接收到网站运行指令时,可以给网站提供资源以及技术的支持。这样,在网站请求运行时,服务器便会接收到网站运行指令。为了使服务器在接收到网站运行指令时,确定具体是哪一个网站正在请求运行,网站运行指令中需要携带目标网站标识,目标网站标识可为网站名称、网站网址等。具体地,当接收到网站运行指令时,首先,在网站运行指令中提取目标网站标识;随后,根据目标网站标识,在接入服务器的全部网站中进行查询,查询该目标网站标识指示的网站作为目标网站。其中,由于在存储网站权限集时,是按照网站信息存储的,也即只有通过目标网站的网站信息才能查询得到目标网站对应的网站权限集,因此,在确定了目标网站后,采集该目标网站的待识别网站信息,以便在后续基于该待识别网站信息确定目标网站的网站权限集。待识别网站信息需要与网站权限集对应的网站信息包括的种类是一致的,也即可以包括目标网站的网站进程信息、网站端口信息以及网站路径信息作为网站信息。
205、获取多个网站信息,确定多个网站信息中与待识别网站信息一致的网站信息对应的目标网站权限集,并获取目标网站权限集。
在本发明实施例中,在采集到目标网站的待识别网站信息后,便可以根据待识别网站信息确定目标网站的目标网站权限集。由于存储有每一个网站的网站权限集,因此,在确定目标网站权限集时,首先,获取存储的全部网站权限集对应的全部网站信息,将目标网站的待识别网站信息与全部网站信息进行比对,也即将待识别网站信息中的每一项与全部网站信息中对应的项目一一比对,在全部的网站信息中确定与待识别网站信息完全一致的网站信息;随后,获取该网站信息对应的网站权限集,该网站权限集即为目标网站权限集,目标网站权限集包括了允许目标网站进行的至少一个目标系统行为,并获取该目标网站权限集,以便在后续基于该目标网站权限集对目标网站的行为进行识别。需要说明的是,在将待识别网站信息与全部的网站信息进行比对时,只能获取与待识别网站信息完全一致的网站信息对应的网站权限集,如果有任一项信息是不同的,则不能够获取该网站信息对应的网站权限集。
206、启动采集进程,基于采集进程,对目标网站的运行过程进行监控,采集目标网站的待识别系统行为。
在本发明实施例中,当获取到目标网站的目标网站权限集后,便可以基于该目标网站权限集对目标网站的系统行为进行识别。其中,为了获取到目标网站的系统行为,需要启动采集设备,并基于采集设备,对目标网站的运行过程进行监控,从而采集该目标网站的待识别系统行为,进而对该待识别系统行为进行识别。其中,采集进程可为与步骤202中所示的一致的采集进程,也即采集进程可为Hook进程。在启动采集进程时,可以在接收到网站运行指令时即刻启动,也可以在获取到目标网站权限集时启动,还可以从服务器开始工作时便一直保持启动的状态,本发明实施例对启动采集进程的时机不进行具体限定。
207、将待识别系统行为与目标网站权限集进行比对,如果目标网站权限集不包括待识别系统行为,则执行下述步骤208;如果目标网站权限集包括待识别系统行为,则执行下述步骤209。
在本发明实施例中,由于目标网站权限集中包括了允许目标网站执行的系统行为,因此,在获取到目标网站的待识别系统行为时,便可以将该待识别系统行为与目标网站权限集进行比对,通过判断目标网站权限集中是否包括待识别系统行为,来确定该待识别系统行为是否可以执行。具体地,在将待识别系统行为与目标网站权限集进行比对时,首先,将待识别系统行为与目标网站权限集中的至少一个目标系统行为进行比对;随后,确定至少一个目标系统行为中是否存在与待识别系统行为一致的目标系统行为。相应地,当至少一个目标系统行为中不存在与待识别系统行为一致的目标系统行为时,确定目标网站权限集不包括待识别系统行为,这样,便表明该待识别系统行为是不允许执行的,也即执行下述步骤208;当至少一个目标系统行为中存在与待识别系统行为一致的目标系统行为时,确定目标网站权限集包括待识别系统行为,这样,便表明该待识别系统行为是允许执行的,也即执行下述步骤209。
208、如果目标网站权限集不包括待识别系统行为,则对待识别系统行为进行拦截,禁止目标网站执行待识别系统行为。
在本发明实施例中,如果目标网站权限集中不包括待识别系统行为,则表示该待识别系统行为是不允许该网站执行的,该待识别系统行为很可能是攻击者对网站进行的攻击行为,因此,禁止目标网站执行该待识别系统行为,并继续接收其他的网站运行指令。
209、如果目标网站权限集包括待识别系统行为,则对待识别系统行为进行放行,允许目标网站执行待识别系统行为。
在本发明实施例中,如果目标网站权限集中包括待识别系统行为,则表示该待识别系统行为是允许该网站执行的,因此,允许该目标网站执行待识别系统行为,并基于接收其他的网站运行指令。
本发明实施例提供的方法,当接收到网站运行指令时,获取所述网站运行指令指示的目标网站的目标网站权限集,基于采集进程,采集所述目标网站在运行过程中的待识别系统行为,将所述待识别系统行为与所述目标网站权限集进行比对,如果所述目标网站权限集不包括所述待识别系统行为,则对所述待识别系统行为进行拦截,禁止所述目标网站执行所述待识别系统行为,使得为每一个网站均设置了一个根据其实际的系统行为生成的网站权限集,并采用该网站权限集对网站的系统行为进行限制,降低了网站被攻击的可能性,安全性较好。
进一步地,作为图1所述方法的具体实现,本发明实施例提供了一种针对网站的行为识别装置,如图3A所示,所述装置包括:获取模块301,比对模块302和拦截模块303。
该获取模块301,用于当接收到网站运行指令时,获取网站运行指令指示的目标网站的目标网站权限集,目标网站权限集包括了允许目标网站进行的至少一个目标系统行为;
该比对模块302,用于基于采集进程,采集目标网站的主进程在运行过程中的待识别系统行为,将待识别系统行为与目标网站权限集进行比对,采集进程至少为钩子Hook进程;
该拦截模块303,用于如果目标网站权限集不包括待识别系统行为,则对待识别系统行为进行拦截,禁止目标网站执行待识别系统行为。
在具体的应用场景中,如图3B所示,该装置还包括识别模块304,监控模块305,生成模块306和存储模块307。
该识别模块304,用于确定接入的多个网站,分别对多个网站中的每个网站进行识别,获取多个网站的多个网站信息,网站信息至少包括网站进程信息、网站端口信息以及网站路径信息;
该监控模块305,用于启动运行多个网站,监控多个网站中每个网站的主进程在运行过程中的至少一个系统行为;
该生成模块306,用于对于多个网站中的任一网站,基于网站的至少一个系统行为,生成网站的网站权限集;
该存储模块307,用于将网站的网站信息与网站权限集对应存储。
在具体的应用场景中,如图3C所示,该获取模块301,包括提取子模块3011,采集子模块3012和获取子模块3013。
该提取子模块3011,用于当接收到网站运行指令时,在网站运行指令中提取目标网站标识;
该采集子模块3012,用于根据目标网站标识,确定目标网站,采集目标网站的待识别网站信息;
该获取子模块3013,用于获取多个网站信息,确定多个网站信息中与待识别网站信息一致的网站信息对应的目标网站权限集,并获取目标网站权限集。
在具体的应用场景中,该比对模块302,用于启动采集进程,基于采集进程,对目标网站的运行过程进行监控,采集待识别系统行为;将待识别系统行为与目标网站权限集中的至少一个目标系统行为进行比对,确定至少一个目标系统行为中是否存在与待识别系统行为一致的目标系统行为;
相应地,该拦截模块303,用于当至少一个目标系统行为中不存在与待识别系统行为一致的目标系统行为时,确定目标网站权限集不包括待识别系统行为。
在具体的应用场景中,如图3D所示,该装置还包括放行模块308。
该放行模块308,用于如果目标网站权限集包括待识别系统行为,则对待识别系统行为进行放行,允许目标网站执行待识别系统行为。
本发明实施例提供的装置,当接收到网站运行指令时,获取网站运行指令指示的目标网站的目标网站权限集,基于采集进程,采集目标网站在运行过程中的待识别系统行为,将待识别系统行为与目标网站权限集进行比对,如果目标网站权限集不包括待识别系统行为,则对待识别系统行为进行拦截,禁止目标网站执行待识别系统行为,使得为每一个网站均设置了一个根据其实际的系统行为生成的网站权限集,并采用该网站权限集对网站的系统行为进行限制,降低了网站被攻击的可能性,安全性较好。
需要说明的是,本发明实施例提供的一种…装置所涉及各功能单元的其他相应描述,可以参考图1和图2A至图2B中的对应描述,在此不再赘述。
在示例性实施例中,参见图4,还提供了一种设备,该设备400包括通信总线、处理器、存储器和通信接口,还可以包括、输入输出接口和显示设备,其中,各个功能单元之间可以通过总线完成相互间的通信。该存储器存储有计算机程序,处理器,用于执行存储器上所存放的程序,执行上述实施例中的针对网站的行为识别方法。
一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述的针对网站的行为识别方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。