CN110493240A - 网站篡改的检测方法及装置、存储介质、电子装置 - Google Patents
网站篡改的检测方法及装置、存储介质、电子装置 Download PDFInfo
- Publication number
- CN110493240A CN110493240A CN201910791215.2A CN201910791215A CN110493240A CN 110493240 A CN110493240 A CN 110493240A CN 201910791215 A CN201910791215 A CN 201910791215A CN 110493240 A CN110493240 A CN 110493240A
- Authority
- CN
- China
- Prior art keywords
- intrusion behavior
- website
- detection
- information
- warning information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 73
- 238000011897 real-time detection Methods 0.000 claims abstract description 32
- 238000000034 method Methods 0.000 claims abstract description 31
- 230000006399 behavior Effects 0.000 claims description 109
- 238000004590 computer program Methods 0.000 claims description 16
- 230000015654 memory Effects 0.000 claims description 16
- 230000009545 invasion Effects 0.000 claims description 6
- 230000001960 triggered effect Effects 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 abstract description 8
- 230000009286 beneficial effect Effects 0.000 abstract description 3
- 238000007689 inspection Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000000737 periodic effect Effects 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000009193 crawling Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 235000013399 edible fruits Nutrition 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 239000011248 coating agent Substances 0.000 description 1
- 238000000576 coating method Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Burglar Alarm Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种网站篡改的检测方法及装置、存储介质、电子装置,其中,该方法包括:在实时检测到针对目标网站的入侵行为时,触发告警信息,其中,所述告警信息携带所述入侵行为的属性信息;根据所述属性信息计算所述入侵行为与预设篡改行为之间的相关度;在所述相关度大于或等于预设阈值时,对所述入侵行为进行篡改检测。通过本发明,解决了相关技术中的篡改检测方式存在的检测不及时或者对源站访问量高等技术问题,从而实现了在对源站影响较小的情况下达到及时检测网站篡改的有益效果。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种网站篡改的检测方法及装置、存储介质、电子装置。
背景技术
目前,网站篡改是互联网领域中屡禁不止的情况,对网站进行篡改有可能造成信息错误,资源浪费,非法传播,甚至携带病毒,对互联网环境具有极大的伤害。
相关技术中,网站篡改检测有的是定期检测方式,通过定期爬取页面进行比较检查的方法,该方法属于全面扫描检测,没有针对性,浪费时间,且增加了检查工作的负荷,浪费资源,对不同级别的页面采用不同的检查频度,这种检查频度相对固定。其他的检测方式,例如低频检测方法,该方法发现页面篡改比较晚,可能造成影响,而高频检查可能会对源站造成访问压力。
针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
发明内容
为了解决相关技术中存在的上述问题,本发明实施例提供了一种网站篡改的检测方法及装置、存储介质、电子装置。
根据本发明的一个实施例,提供了一种网站篡改的检测方法,包括:在实时检测到针对目标网站的入侵行为时,触发告警信息,其中,所述告警信息携带所述入侵行为的属性信息;根据所述属性信息计算所述入侵行为与预设篡改行为之间的相关度;在所述相关度大于或等于预设阈值时,对所述入侵行为进行篡改检测。
可选的,在实时检测到针对目标网站的入侵行为时,触发告警信息,包括:通过流量传感器实时检测针对所述目标网站的访问流量;解析所述访问流量的数据包,在所述数据包包括用于表征入侵行为的关键特征时,确定所述目标网站受到入侵行为,并触发告警信息。
可选的,根据所述属性信息计算所述入侵行为与预设篡改行为之间的相关度包括:从所述告警信息中解析得到属性信息;计算所述属性信息与预设指标信息的相识度,其中,所述预设指标信息用于表征所述预设篡改行为。
可选的,从所述告警信息中解析得到属性信息至少包括以下之一:从所述告警信息中解析得到所述入侵行为的类型信息;从所述告警信息中解析得到所述入侵行为的级别信息;从所述告警信息中解析得到所述入侵行为的来源信息;从所述告警信息中解析得到所述入侵行为对所述目标网站产生的入侵结果。
可选的,在所述相关度大于或等于预设阈值时,对所述入侵行为进行篡改检测,包括:在所述相关度大于或等于所述预设阈值时,根据所述目标网站的域名地址获取网站页面;爬取所述网站页面的页面内容,其中,所述页面内容包括所述网站页面的文字和图片;对所述网站页面的文字和图片进行检测,以确定所述网站页面是否发生篡改。
可选的,在实时检测到针对目标网站的入侵行为时,触发告警信息之后,所述方法还包括:根据所述告警信息预测所述入侵行为的第一位置信息;在检测到所述目标网站的页面内容没有出现篡改时,向上调整所述预设阈值;在检测到所述目标网站的页面内容出现篡改时,判断所述第一位置信息是否正确。
可选的,所述方法还包括:按照预设周期检测所述目标网站是否出现篡改;在检测到所述目标网站出现篡改,且实时检测到所述目标网站未出现篡改时,向下调整所述预设阈值。
根据本发明的又一个实施例,还提供了一种网站篡改的检测装置,包括:触发模块,用于在实时检测到针对目标网站的入侵行为时,触发告警信息,其中,所述告警信息携带所述入侵行为的属性信息;计算模块,用于根据所述属性信息计算所述入侵行为与预设篡改行为之间的相关度;第一检测模块,用于在所述相关度大于或等于预设阈值时,对所述入侵行为进行篡改检测。
可选的,所述触发模块包括:收集单元,用于通过流量传感器实时检测针对所述目标网站的访问流量;处理单元,用于解析所述访问流量的数据包,在所述数据包包括用于表征入侵行为的关键特征时,确定所述目标网站受到入侵行为,并触发告警信息。
可选的,所述计算模块包括:解析单元,用于从所述告警信息中解析得到属性信息;计算单元,用于计算所述属性信息与预设指标信息的相识度,其中,所述预设指标信息用于表征所述预设篡改行为。
可选的,所述解析单元至少包括以下之一:第一解析子单元,用于从所述告警信息中解析得到所述入侵行为的类型信息;第二解析子单元,用于从所述告警信息中解析得到所述入侵行为的级别信息;第三解析子单元,用于从所述告警信息中解析得到所述入侵行为的来源信息;第四解析子单元,用于从所述告警信息中解析得到所述入侵行为对所述目标网站产生的结果信息。
可选的,所述第一检测模块包括:获取单元,用于在所述相关度大于或等于所述预设阈值时,根据所述目标网站的域名地址获取网站页面;爬取单元,用于爬取所述网站页面的页面内容,其中,所述页面内容包括所述网站页面的文字和图片;确定单元,用于对所述网站页面的文字和图片进行检测,以确定所述网站页面是否发生篡改。
可选的,所述装置还包括:预测模块,用于所述触发模块在实时检测到针对目标网站的入侵行为时,触发告警信息之后,根据所述告警信息预测所述入侵行为的第一位置信息;处理模块,用于在检测到所述目标网站的页面内容没有出现篡改时,向上调整所述预设阈值;在检测到所述目标网站的页面内容出现篡改时,判断所述第一位置信息是否正确。
可选的,所述装置还包括:第二检测模块,用于按照预设周期检测所述目标网站是否出现篡改;调整模块,用于在检测到所述目标网站出现篡改,且实时检测到所述目标网站未出现篡改时,向下调整所述预设阈值。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,在实时检测到目标网站受到入侵行为时,发出告警信息,以缩小网站篡改的检测范围,进而通过检测入侵行为与预设篡改行为之间的相关度来确定所述入侵行为是否是篡改行为,解决了相关技术中的篡改检测方式存在的检测不及时或者对源站访问量高等技术问题,从而实现了在对源站影响较小的情况下达到及时检测网站篡改的有益效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种网站篡改的检测方法的服务器结构框图;
图2是根据本发明实施例的一种网站篡改的检测方法的流程图;
图3是根据本发明具体实施例的一种网站篡改检测方法的结构框图;
图4是本发明具体实施例提供的一种网站篡改检测的流程图;
图5是根据本发明实施例提供的一种网站篡改的检测装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例1
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的运算装置中执行。以运行在服务器上为例,图1是本发明实施例的一种网站篡改的检测方法的服务器结构框图。如图1所示,服务器可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述服务器还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述服务器的结构造成限定。例如,服务器还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种网站篡改的检测方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至服务器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种网站篡改的检测方法,图2是根据本发明实施例的一种网站篡改的检测方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,在实时检测到针对目标网站的入侵行为时,触发告警信息,其中,告警信息携带入侵行为的属性信息;
在本实施例中通过使用流量传感器发现入侵行为(即外来攻击行为)的能力,对目标网站进行流量检测,检测出是否有入侵行为以及入侵行为的类型,在发现有入侵行为时产生告警信息。
步骤S204,根据属性信息计算入侵行为与预设篡改行为之间的相关度;
在本实施例中,属性信息至少包括告警信息携带的入侵行为的分类、级别、来源、结果等属性,通过计算属性信息的相关度来评估发生篡改的可能性。
步骤S206,在相关度大于或等于预设阈值时,对入侵行为进行篡改检测。
通过本发明,在实时检测到目标网站受到入侵行为时,发出告警信息,以缩小网站篡改的检测范围,进而通过检测入侵行为与预设篡改行为之间的相关度来确定入侵行为是否是篡改行为,解决了相关技术中的篡改检测方式存在的检测不及时或者对源站访问量高等技术问题,从而实现了在对源站影响较小的情况下达到及时检测网站篡改的有益效果。
在一个可选的实施例中,在实时检测到针对目标网站的入侵行为时,触发告警信息,包括:通过流量传感器实时检测针对目标网站的访问流量;解析访问流量的数据包,在数据包包括用于表征入侵行为的关键特征时,确定目标网站受到入侵行为,并触发告警信息。
在上述实施例的一个示例中,预先收集入侵行为的关键特征,例如,关键特征有数据包被窃取,数据包被修改,以及数据包被删除等关键特征,构建数访问流量的黑名单;其次,通过流量传感器实时检测目标网站的访问流量,将解析得到的数据包的关键特征与黑名单中的关键特征进行匹配,若该数据包的关键特征中包括黑名单中任意关键特征,则确定目标网站受到攻击行为,流量传感器就会发生告警,表示目标网站受到了安全威胁,通过本发明实施例可以缩小相关技术中采用全面扫描方式检测网站篡改的扫描范围,节省时间,减少了检测工作量。
可选的,根据属性信息计算入侵行为与预设篡改行为之间的相关度包括:从告警信息中解析得到属性信息;计算属性信息与预设指标信息的相识度,其中,预设指标信息用于表征预设篡改行为。
根据上述实施例,采用一套算法计算入侵行为与预设篡改行为之间的相关度,该算法可以是规则、计算公式、机器学习模型等,基于多个维度的计算结果,加权平均后得到一个入侵目标网站的攻击行为是篡改行为的可能性,即该入侵行为与篡改行为的相关度,相关度越高,则篡改行为的可能性越大。如果这些可能性超过预先设定的阈值,生成检测请求,根据请求对该目标网站进行检测,以便确认相关度判断的准确性。本实施例的预设指标信息与所述属性信息对应,为预设篡改行为包括的多个篡改指标特征。
可选地,从告警信息中解析得到属性信息至少包括以下之一:从告警信息中解析得到入侵行为的类型信息;从告警信息中解析得到入侵行为的级别信息;从告警信息中解析得到入侵行为的来源信息;从告警信息中解析得到入侵行为对目标网站产生的入侵结果。
在上述实施例的一个方案中,根据属性信息(包括但不限于类型、级别、来源、结果等属性)评估发生篡改的可能性,其中,对于入侵行为的类型至少包括:主动攻击,被动攻击;入侵行为的来源至少包括以下几个方面:不可控制的自然灾害,恶意攻击,人为的误操作,计算机硬件系统的故障,软件漏洞等;入侵行为对网站产生的结果至少包括以下方面:篡改消息,伪造消息数据,拒绝服务等。
可选的,在相关度大于或等于预设阈值时,对入侵行为进行篡改检测,包括:在相关度大于或等于预设阈值时,根据目标网站的域名地址获取网站页面;爬取网站页面的页面内容,其中,页面内容包括网站页面的文字和图片;对网站页面的文字和图片进行检测,以确定网站页面是否发生篡改。
在一个可选的示例中,比较目标网站页面的页面内容与预设页面的页面内容是否一致,至少包括比较以下几个方面:页面的文字信息,页面的图片信息,页面的域名解析日志等,利用页面篡改检测技术对页面内容进行检测,以确定目标网站的网站页面是否出现篡改。
可选的,在实时检测到针对目标网站的入侵行为时,触发告警信息之后,还包括:根据告警信息预测入侵行为的第一位置信息;在检测到目标网站的页面内容没有出现篡改时,向上调整预设阈值;在检测到目标网站的页面内容出现篡改时,判断第一位置信息是否正确。
根据上述实施例,评估入侵行为与预设篡改行为之间的相关度时,也预测了该入侵行为发生的位置信息。另外,为了提高评估的准确性,根据检测结果不停地调整预设阈值,例如,假设预设阈值为50%,入侵行为与预设篡改行为的相关度为70%,显然相关度值大于预设阈值,因此进入篡改检测的过程;若检测到该入侵行为属于篡改行为,判断入侵行为是篡改行为的可能性仍较低,此时根据检测结果的反馈,将预设阈值调大,比如调整为75%,来不停的修正判断参数;另一方面,如果检测到该入侵行为是篡改行为,便能确认页面内容出现了篡改,进而就确认了是何种网站页面发生了篡改,根据发生篡改的网站页面判断之前预测的位置信息是否正确,进一步的提高预测的准确性。
可选的,按照预设周期检测目标网站是否出现篡改;在检测到目标网站出现篡改,且实时检测到目标网站未出现篡改时,向下调整预设阈值。在本实施例中,为了以防流量传感器存在误报或者漏报等行为,在预测篡改高危行为的同时设置定期检测各个网站,并且定期检测的结果也可以用来调整预测过程中的预设阈值。
下面结合一具体实施例对本发明提供的方案做进一步的说明:
图3是根据本发明具体实施例的一种网站篡改检测方法的结构框图,如图3所示,该结构包括以下几个方面:
1、流量传感器发现威胁(即上述入侵行为);
2、威胁评估系统评估威胁;
3、通知篡改检测系统进行检测;
4、篡改检测系统检查页面(即上述目标网站的网站页面)并反馈给威胁评估系统。
具体的检测流程包括以下步骤:
如图4所示,图4是本发明具体实施例提供的一种网站篡改检测的流程图,具体包括以下步骤:
S402:流量传感器发现可能的威胁,将威胁及相关的属性(即上述属性信息)送到威胁评估系统;
S404:威胁评估系统接收流量传感器提供的威胁告警(即上述告警信息),并根据告警的各种属性来评估发生篡改的可能性,同时预测可能的篡改位置等信息,如果这些可能性超过系统设定的阈值(即上述预设阈值),威胁评估系统确定威胁是否有可能是篡改高危行为,针对高危行为通知篡改检测系统进行相关页面的检查,及时发现可能的篡改行为。
S406:篡改检测系统检查后反馈给威胁评估系统。篡改检测系统的日常检测任务与通知发起的实时检测任务独立进行,由于有了实时检测,日常检测频度可以降低篡改检测系统本身还会进行定期检测,定期检测期间发现的篡改也需要反馈给评估系统,如果这些篡改行为属于威胁评估系统没有发出正确通知的,则也要基于这些反馈对评估系统的算法进行。
实施例2
在本实施例中还提供了一种网站篡改的检测装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本发明实施例提供的一种网站篡改的检测装置的结构示意图,如图5所示,该装置包括:
触发模块502,用于在实时检测到针对目标网站的入侵行为时,触发告警信息,其中,告警信息携带入侵行为的属性信息;
计算模块504,连接至上述触发模块502,用于根据属性信息计算入侵行为与预设篡改行为之间的相关度;
第一检测模块506,连接至上述计算模块504,用于在相关度大于或等于预设阈值时,对入侵行为进行篡改检测。
可选的,触发模块502包括:收集单元,用于通过流量传感器实时检测针对目标网站的访问流量;处理单元,用于解析访问流量的数据包,在数据包包括用于表征入侵行为的关键特征时,确定目标网站受到入侵行为,并触发告警信息。
可选的,计算模块504包括:解析单元,用于从告警信息中解析得到属性信息;计算单元,用于计算属性信息与预设指标信息的相识度,其中,预设指标信息用于表征预设篡改行为。
可选的,解析单元至少包括以下之一:第一解析子单元,用于从告警信息中解析得到入侵行为的类型信息;第二解析子单元,用于从告警信息中解析得到入侵行为的级别信息;第三解析子单元,用于从告警信息中解析得到入侵行为的来源信息;第四解析子单元,用于从告警信息中解析得到入侵行为对目标网站产生的结果信息。
可选的,第一检测模块506包括:获取单元,用于在相关度大于或等于预设阈值时,根据目标网站的域名地址获取网站页面;爬取单元,用于爬取网站页面的页面内容,其中,页面内容包括网站页面的文字和图片;确定单元,用于对网站页面的文字和图片进行检测,以确定网站页面是否发生篡改。
可选的,上述装置还包括:预测模块,用于触发模块在实时检测到针对目标网站的入侵行为时,触发告警信息之后,根据告警信息预测入侵行为的第一位置信息;处理模块,用于在检测到目标网站的页面内容没有出现篡改时,向上调整预设阈值;在检测到目标网站的页面内容出现篡改时,判断第一位置信息是否正确。
可选的,上述装置还包括:第二检测模块,用于按照预设周期检测目标网站是否出现篡改;调整模块,用于在检测到目标网站出现篡改,且实时检测到目标网站未出现篡改时,向下调整预设阈值。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例的一个方面中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,在实时检测到针对目标网站的入侵行为时,触发告警信息,其中,所述告警信息携带所述入侵行为的属性信息;
S2,根据所述属性信息计算所述入侵行为与预设篡改行为之间的相关度;
S3,在所述相关度大于或等于预设阈值时,对所述入侵行为进行篡改检测。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例的一个方面中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,在实时检测到针对目标网站的入侵行为时,触发告警信息,其中,所述告警信息携带所述入侵行为的属性信息;
S2,根据所述属性信息计算所述入侵行为与预设篡改行为之间的相关度;
S3,在所述相关度大于或等于预设阈值时,对所述入侵行为进行篡改检测。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网站篡改的检测方法,其特征在于,包括:
在实时检测到针对目标网站的入侵行为时,触发告警信息,其中,所述告警信息携带所述入侵行为的属性信息;
根据所述属性信息计算所述入侵行为与预设篡改行为之间的相关度;
在所述相关度大于或等于预设阈值时,对所述入侵行为进行篡改检测。
2.根据权利要求1所述的方法,其特征在于,在实时检测到针对目标网站的入侵行为时,触发告警信息,包括:
通过流量传感器实时检测针对所述目标网站的访问流量;
解析所述访问流量的数据包,在所述数据包包括用于表征入侵行为的关键特征时,确定所述目标网站受到入侵行为,并触发告警信息。
3.根据权利要求1所述的方法,其特征在于,根据所述属性信息计算所述入侵行为与预设篡改行为之间的相关度包括:
从所述告警信息中解析得到属性信息;
计算所述属性信息与预设指标信息的相关度,其中,所述预设指标信息用于表征所述预设篡改行为。
4.根据权利要求3所述的方法,其特征在于,从所述告警信息中解析得到属性信息至少包括以下之一:
从所述告警信息中解析得到所述入侵行为的类型信息;
从所述告警信息中解析得到所述入侵行为的级别信息;
从所述告警信息中解析得到所述入侵行为的来源信息;
从所述告警信息中解析得到所述入侵行为对所述目标网站产生的入侵结果。
5.根据权利要求1所述的方法,其特征在于,在所述相关度大于或等于预设阈值时,对所述入侵行为进行篡改检测,包括:
在所述相关度大于或等于所述预设阈值时,根据所述目标网站的域名地址获取网站页面;
爬取所述网站页面的页面内容,其中,所述页面内容包括所述网站页面的文字和图片;
对所述网站页面的文字和图片进行检测,以确定所述网站页面是否发生篡改。
6.根据权利要求1所述的方法,其特征在于,在实时检测到针对目标网站的入侵行为时,触发告警信息之后,所述方法还包括:
根据所述告警信息预测所述入侵行为的第一位置信息;
在检测到所述目标网站的页面内容没有出现篡改时,向上调整所述预设阈值;在检测到所述目标网站的页面内容出现篡改时,判断所述第一位置信息是否正确。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
按照预设周期检测所述目标网站是否出现篡改;
在检测到所述目标网站出现篡改,且实时检测到所述目标网站未出现篡改时,向下调整所述预设阈值。
8.一种网站篡改的检测装置,其特征在于,包括:
触发模块,用于在实时检测到针对目标网站的入侵行为时,触发告警信息,其中,所述告警信息携带所述入侵行为的属性信息;
计算模块,用于根据所述属性信息计算所述入侵行为与预设篡改行为之间的相关度;
第一检测模块,用于在所述相关度大于或等于预设阈值时,对所述入侵行为进行篡改检测。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至7任一项中所述的方法。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至7任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910791215.2A CN110493240B (zh) | 2019-08-26 | 2019-08-26 | 网站篡改的检测方法及装置、存储介质、电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910791215.2A CN110493240B (zh) | 2019-08-26 | 2019-08-26 | 网站篡改的检测方法及装置、存储介质、电子装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110493240A true CN110493240A (zh) | 2019-11-22 |
| CN110493240B CN110493240B (zh) | 2022-09-13 |
Family
ID=68553397
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910791215.2A Active CN110493240B (zh) | 2019-08-26 | 2019-08-26 | 网站篡改的检测方法及装置、存储介质、电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110493240B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116821705A (zh) * | 2023-06-12 | 2023-09-29 | 国网浙江电动汽车服务有限公司 | 一种基于充电站与充电桩功率的仪表数据篡改检测方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102902928A (zh) * | 2012-09-21 | 2013-01-30 | 杭州迪普科技有限公司 | 一种网页防篡改方法及装置 |
| CN103605926A (zh) * | 2013-11-29 | 2014-02-26 | 北京奇虎科技有限公司 | 一种网页篡改的检测方法及装置 |
| CN105354494A (zh) * | 2015-10-30 | 2016-02-24 | 北京奇虎科技有限公司 | 网页数据篡改的检测方法及装置 |
| US20180139222A1 (en) * | 2015-04-28 | 2018-05-17 | Beijing Hansight Tech Co., Ltd | Method and device for detecting website attack |
| CN109472163A (zh) * | 2018-09-03 | 2019-03-15 | 中新网络信息安全股份有限公司 | 一种Linux下基于Inotify的网页篡改事件的检测方法 |
-
2019
- 2019-08-26 CN CN201910791215.2A patent/CN110493240B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102902928A (zh) * | 2012-09-21 | 2013-01-30 | 杭州迪普科技有限公司 | 一种网页防篡改方法及装置 |
| CN103605926A (zh) * | 2013-11-29 | 2014-02-26 | 北京奇虎科技有限公司 | 一种网页篡改的检测方法及装置 |
| US20180139222A1 (en) * | 2015-04-28 | 2018-05-17 | Beijing Hansight Tech Co., Ltd | Method and device for detecting website attack |
| CN105354494A (zh) * | 2015-10-30 | 2016-02-24 | 北京奇虎科技有限公司 | 网页数据篡改的检测方法及装置 |
| CN109472163A (zh) * | 2018-09-03 | 2019-03-15 | 中新网络信息安全股份有限公司 | 一种Linux下基于Inotify的网页篡改事件的检测方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116821705A (zh) * | 2023-06-12 | 2023-09-29 | 国网浙江电动汽车服务有限公司 | 一种基于充电站与充电桩功率的仪表数据篡改检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110493240B (zh) | 2022-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2543291C (en) | Method and system for addressing intrusion attacks on a computer system | |
| Giraldo et al. | A survey of physics-based attack detection in cyber-physical systems | |
| Schmittner et al. | Security application of failure mode and effect analysis (FMEA) | |
| CN110249603B (zh) | 用于检测无线网络中的分布式攻击的方法和装置 | |
| CN110445770A (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
| CN107046518A (zh) | 网络攻击的检测方法及装置 | |
| CN106716953A (zh) | 控制系统中的网络安全风险的动态量化 | |
| CN113162953B (zh) | 网络威胁报文检测及溯源取证方法和装置 | |
| CN110460481B (zh) | 一种网络关键资产的识别方法 | |
| Lin et al. | Timing patterns and correlations in spontaneous {SCADA} traffic for anomaly detection | |
| CN114006723A (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
| CN110839025A (zh) | 中心化web渗透检测蜜罐方法、装置、系统及电子设备 | |
| Fadhlillah et al. | IDS performance analysis using anomaly-based detection method for DOS attack | |
| CN110493240A (zh) | 网站篡改的检测方法及装置、存储介质、电子装置 | |
| Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
| CN114189361A (zh) | 防御威胁的态势感知方法、装置及系统 | |
| JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
| CN114301796B (zh) | 预测态势感知的验证方法、装置及系统 | |
| CN114866338A (zh) | 网络安全检测方法、装置及电子设备 | |
| Kerschbaum et al. | Using internal sensors and embedded detectors for intrusion detection | |
| EP4027583A2 (en) | Method and apparatus for maintaining web application firewall based on non-face-to-face authentication | |
| Shyu et al. | A multiagent-based intrusion detection system with the support of multi-class supervised classification | |
| Otrok et al. | Testing intrusion detection systems in MANET: A comprehensive study | |
| Roy et al. | A Taxonomy of state of the art in Intrusion Response System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100032 NO.332, 3rd floor, Building 102, 28 xinjiekouwai street, Xicheng District, Beijing Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: 100032 NO.332, 3rd floor, Building 102, 28 xinjiekouwai street, Xicheng District, Beijing Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |