CN111193617A - 网页篡改识别方法、装置、电子设备及存储介质 - Google Patents

网页篡改识别方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN111193617A
CN111193617A CN201911302614.4A CN201911302614A CN111193617A CN 111193617 A CN111193617 A CN 111193617A CN 201911302614 A CN201911302614 A CN 201911302614A CN 111193617 A CN111193617 A CN 111193617A
Authority
CN
China
Prior art keywords
xpath
probability
website
monitored
threshold value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911302614.4A
Other languages
English (en)
Other versions
CN111193617B (zh
Inventor
池伟
苏杭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Hangzhou Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201911302614.4A priority Critical patent/CN111193617B/zh
Publication of CN111193617A publication Critical patent/CN111193617A/zh
Application granted granted Critical
Publication of CN111193617B publication Critical patent/CN111193617B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例涉及IT应用技术领域,公开了一种网页篡改识别方法、装置、电子设备及存储介质。该方法获取待监测网站的所有XPath的信息;基于所有XPath的信息,初始化泊松分布概率预测模型中的多个参数值;基于初始化的多个参数值,计算在监测时间段内所述待监测网站发生变动的第一概率,及每条XPath发生变动的第二概率;将所述第一概率与第一阈值比较,每条XPath发生变动的第二概率与第二阈值比较,确定每条XPath对应的告警信息。本发明能够将网页篡改信息安全事件与泊松分布模型有效的结合对网页的变动准确预测,从而降低了整个系统的误报率。

Description

网页篡改识别方法、装置、电子设备及存储介质
技术领域
本发明实施例涉及IT应用技术领域,特别涉及一种网页篡改识别的方法、装置、电子设备及存储介质。
背景技术
目前针对网页篡改的检测方法大多是基于整个网页源代码的哈希水印对比技术,哈希对比不同后循环递归到具体发生变化的文档对象模型DOM(Document Object Model)节点XPATH(XML Path Language,XML路径语言)路径下,然后输出该XPATH的一个告警信息,现有方案只是单纯的通过网页源代码的哈希比对判断当前DOM节点XPath路径的信息是否发生变化,有变化则输出告警,无论该告警是否有效、恶意等,只要发生变化则告警。然而,发明人发现对于动态更新比较频繁的网页,误报率就会很高。
发明内容
本发明实施方式的目的在于提供一种网页篡改识别方法、电子设备、装置及计算机可读存储介质,能够将网页篡改信息安全事件与泊松分布模型有效的结合,通过概率模型预测来降低网页篡改告警的输出量,从而降低误报率。
为解决上述技术问题,本发明的实施方式提供了一种网页篡改识别方法,所述方法包括:
获取待监测网站的所有XPath的信息;
基于所有XPath的信息,初始化泊松分布概率预测模型中的多个参数值;
基于初始化的多个参数值,计算在监测时间段内所述待监测网站发生变动的第一概率,及每条XPath发生变动的第二概率;
将所述第一概率与第一阈值比较,每条XPath发生变动的第二概率与第二阈值比较,确定每条XPath对应的告警信息。
优选地,所述多个参数值包括:所述待监测网站在单位时间内平均发生变动的次数及每条XPath在单位时间内平均发生变动的次数。
优选地,所述基于所有XPath的信息,初始化泊松分布概率预测模型中的多个参数值包括:
在固定时间段内对所述待监测网站的所有XPath的信息执行N次监测;
获取在N次检测中每条XPath的信息发生变动的次数;
根据在N次检测中每条XPath的信息发生变动的次数,获取在N次检测中所述待监测网站发生变动的次数;
根据在N次检测中所述待监测网站发生变动的次数确定所述待监测网站在单位时间内平均发生变动的次数;
根据在N次检测中每条XPath的信息发生变动的次数确定每条XPath在单位时间内平均发生变动的次数。
优选地,所述第一概率为1-1/en1,其中n1表示所述待监测网站在单位时间内平均发生变动的次数;
每条XPath发生变动的第二概率为1-1/en2,其中n2表示每条XPath在单位时间内平均发生变动的次数。
优选地,所述将所述第一概率与第一阈值比较,每条XPath发生变动的第二概率与第二阈值比较,确定每条XPath对应的告警信息包括:
对于任意一条XPath,在所述第一概率大于第一阈值,且所述任意一条XPath的第二概率大于第二阈值时,不输出所述任意一条XPath发生变动的告警提示。
优选地,所述将所述第一概率与第一阈值比较,每条XPath发生变动的第二概率与第二阈值比较,确定每条XPath对应的告警信息包括:
对于任意一条XPath,在所述第一概率小于第一阈值,且所述任意一条XPath的第二概率小于第二阈值时,输出所述任意一条XPath发生变动的告警提示。
优选地,所述方法还包括:
获取误报告警提示的目标XPath;
将所述目标XPath的变动更新为正常变动;
增加所述目标XPath发生变动的第二概率。
为了解决上述问题,本发明还提供一种网页篡改识别装置,其特征在于,所述装置包括:
信息获取模块,用于获取待监测网站的所有XPath的信息;
初始化模块,用于基于所有XPath的信息,初始化泊松分布概率预测模型中的多个参数值;
计算模块,用于基于初始化的多个参数值,计算在监测时间段内所述待监测网站发生变动的第一概率,及每条XPath发生变动的第二概率;
告警确定模块,用于将所述第一概率与第一阈值比较,每条XPath发生变动的第二概率与第二阈值比较,确定每条XPath对应的告警信息。
为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:
存储器,存储至少一个指令;及
处理器,执行所述存储器中存储的指令以实现上述所述的网页篡改识别方法。
为了解决上述问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个指令,所述至少一个指令被电子设备中的处理器执行以实现上述所述的网页篡改识别方法。
本发明实施例利用泊松分布概率预测模型在监测时间段内对待监测网站的XPath发生变动的概率进行预测,能够将将泊松分布应用到网页篡改此类信息安全事件中,通过概率模型准确预测发生变动的概率,并根据在监测时间段内所述待监测网站发生变动的概率及每条XPath发生变动的概率确定每条XPath对应的告警信息。因此本发明通过概率预测的方式来减少告警输出量,从而整体降低误报率,同时也减少了告警检测的资源消耗。
进一步地本发明实施例获取误报XPath;并增加该条XPath在单位时间内发生变动的概率,因此随着样本的不断追加,该条XPath单位时间发生变动的概率大于阈值,就不再进行告警,从而XPath单位时间发生变动的概率是持续动态更新的过程,因此能提高系统准确性。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1为本发明实施例提供的网页篡改识别方法的第一较佳实施例的流程示意图;
图2为本发明实施例提供的网页篡改识别方法中S2的详细实施流程示意图。
图3为本发明实施例提供的网页篡改识别方法的第二较佳实施例的流程示意图;
图4为本发明实施例提供的网页篡改识别装置的模块示意图;
图5为本发明实施例提供的实现网页篡改识别方法的电子设备的内部结构示意图;
本发明目的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。
本发明的实施方式涉及一种网页篡改识别方法,本实施方式的核心在于利用泊松分布概率预测模型在监测时间段内对待监测网站的XPath(XML Path Language,XML路径语言)发生变动的概率进行预测,能够将将泊松分布应用到网页篡改此类信息安全事件中,通过概率模型准确预测发生变动的概率,并根据在监测时间段内所述待监测网站发生变动的概率及每条XPath发生变动的概率确定每条XPath对应的告警信息。因此本发明通过概率模型预测网页发生变动的概率以来降低网页篡改告警的输出量,从而整体降低误报率。下面对本实施方式的网页篡改识别实现细节进行具体的说明,以下内容仅为方便理解提供的实现细节,并非实施本方案的必须。
参阅图1所示,图1是本发明为本发明实施例提供的网页篡改识别方法的第一较佳实施例的流程示意图,根据不同的需求,该流程图中步骤的顺序可以改变,某些步骤可以省略。
以下结合图2,详细阐述所述网页篡改识别方法,包括:
S1、获取待监测网站的所有XPath的信息。
在本发明实施例中,在待监测网站中多个DOM节点,每个DOM节点下对应有一条XPath的信息。
进一步地,所述XPath的信息包括,但不限于:节点对应的内容和该内容的位置信息。
S2、基于所有XPath的信息,初始化泊松分布概率预测模型中的多个参数值。
在本发明实施例中,一个网站的一条XPath在某个检测轮次或者某个特定时间段内,它的结果只有两种:篡改或未篡改两个结果;同时每一次发生的篡改是相互独立的事件。假定一条XPath在随机一次发生篡改的概率为p,在当前的网络形式下,总体来看,一个网站的具体一条XPath发生篡改的概率相对较小,那么基于以上特征,网站篡改符合二项分布的离散模型,那么当检测轮次或者时间无限延长的情况下,二项分布则可以近似为泊松分布。因此,网站篡改类型的信息安全事件符合泊松分布的离散分布模型。
泊松分布概率预测模型为:
Figure BDA0002322244540000061
P表示概率,N表示某种函数关系,t表示时间,n表示数量,泊松分布的参数λ是单位时间(或单位面积)内随机事件的平均发生次数。泊松分布适合于描述单位时间内随机事件发生的次数。在将上述泊松分布的概率函数应用于,网站篡改类型的信息安全事件中时,参数λ是单位时间内网页/XPath事件的发生变动的平均次数。
在本发明实施例中,泊松分布概率预测模型多个参数值包括:所述待监测网站在单位时间内平均发生变动的次数n1及每条XPath在单位时间内平均发生变动的次数n2。
详细地,如图2所示,为本发明实施例提供的网页篡改识别方法中S2的详细实施流程示意图,S2包括:
S21、在固定时间段内对所述待监测网站的所有XPath的信息执行N次监测。
在本发明实施例中,在固定时间段内对待测网站的所有XPath信息递归遍历N次以获取待监测网站的变动情况。可以理解的时,固定时间段可以是一天中的设定的一个时间段,例如上午8点到9点。
S22、获取在N次检测中每条XPath的信息发生变动的次数。
S23、根据在N次检测中每条XPath的信息发生变动的次数,获取在N次检测中所述待监测网站发生变动的次数。
在发明实施例中,所述待监测网站发生变动的次数等于所有XPath的信息发生变动的次数之和。
S24、根据在N次检测中所述待监测网站发生变动的次数确定所述待监测网站在单位时间内平均发生变动的次数。
在发明实施例中,所述待监测网站在单位时间内平均发生变动的次数等于在N次检测中所述待监测网站发生变动的次数/NT,其中T表示固定时间段的时长。
S25、根据在N次检测中每条XPath的信息发生变动的次数确定每条XPath在单位时间内平均发生变动的次数。
在发明实施例中,所述待监测网站在单位时间内平均发生变动的次数等于在N次检测中每条XPath的信息发生变动的次数/NT,其中T表示固定时间段的时长。
经过以上初始化过程后,能够获取到应用于网站篡改事件中的泊松分布概率预测模型的参数值,即所述待监测网站在单位时间内平均发生变动的次数n1及每条XPath在单位时间内平均发生变动的次数n2。在后续利用泊松分布概率预测模型的参数值对待监测网站进入正式的监测过程,预测待监测网站在下一个时间段内发生变动概率。
S3、基于初始化的多个参数值,计算在监测时间段内所述待监测网站发生变动的第一概率,及每条XPath发生变动的第二概率。
在本发明实施例中,所述第一概率为1-1/en1,其中n1表示所述待监测网站在单位时间内平均发生变动的次数。
具体地,待监测网站在下一个t时间段内发生变动概率p1为:
p1=P(N(t)>0)=1-P(N(t)=0)=1-1/en1
假设n1=0.8,则p1=0.55067;
在本发明实施例中,每条XPath发生变动的第二概率为1-1/en2,其中n2表示每条XPath在单位时间内平均发生变动的次数。其中每条XPath在单位时间内平均发生变动的次数可能相同或者不同。
具体地,待监测网站的一条XPath在下一个t时间段内发生变动的概率为
p2=P(N(t)>0)=1-P(N(t)=0)=1-1-1/en2
假设一条XPath对应的n2=0.7,则该条XPath发生变动的第二概率p2=0.50341。
S4、将所述第一概率与第一阈值比较,每条XPath发生变动的第二概率与第二阈值比较,确定每条XPath对应的告警信息。
在本发明实施例中,所述将所述第一概率与第一阈值比较,每条XPath发生变动的第二概率与第二阈值比较,确定每条XPath对应的告警信息包括:
对于任意一条XPath,在所述第一概率大于第一阈值,且所述任意一条XPath的第二概率大于第二阈值时,不输出所述任意一条XPath发生变动的告警提示。
对于一条XPath,在所述第一概率大于第一阈值,且该条XPath的第二概率大于第二阈值时,表示该条XPath属于待监测网页中经常变动的区域,即动态区域,该条XPath的变动则不会输出为告警。
在本发明实施例中,所述将所述第一概率与第一阈值比较,每条XPath发生变动的第二概率与第二阈值比较,确定每条XPath对应的告警信息包括:
对于任意一条XPath,在所述第一概率小于第一阈值,且所述任意一条XPath的第二概率小于第二阈值时,输出所述任意一条XPath发生变动的告警提示。
对于一条XPath,在所述第一概率小于第一阈值,且所述该条XPath的第二概率小于第二阈值时,表示该条XPath属于待监测网页中很少变动的区域,即静态区域。静态区域中检测出了变动,则有较大可能是被篡改了,需要进行相应危的告警。本发明实施例通过概率性的预测判断,减少了系统资源的消耗,同时结合了泊松分布的概率模型降低了系统的告警误报。
由于网站动态更新的多样性、不确定性,系统还是会出现一些误报。在确认是误报后,可以采用追加样本的方式,将该条XPath的这次变动判定为一次正常变动,并增加该条XPath的发生变动的第二概率。如图3所示,图3为本发明实施例提供的网页篡改识别方法的第二较佳实施例的流程示意图;在S4之后,所述方法还包括:
S5、获取误报告警提示的目标XPath。
在本发明实施例中,输出目标XPath的告警提示后,用户会对告警提示进行确认,在用户确认目标XPath的告警提示属于误报时,并上传电子设备,又电子设备自动获取误报的目标XPath。
S6、将所述目标XPath的变动更新为正常变动。
S7、增加所述目标XPath发生变动的第二概率。
在可以采用追加样本的方式,随着样本的不断追加,目标XPath单位时间发生变动的概率会不断增加,最终会大于第二阈值,这样则会被判断为动态区域,不再进行告警。因此,可随着系统运行时间的延长,对泊松分布概率预测模型的参数做适当调整,以使泊松分布概率预测模型的参数动态变化,提高预测的准确性。
如图4所示,是本发明网页篡改识别装置的功能模块图。
本发明所述网页篡改识别装置100可以安装于电子设备中。根据实现的功能,所述网页篡改识别装置可以包括信息获取模块101、初始化模块102、计算模块103、告警确定模块104。本发所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
信息获取模块101,用于获取待监测网站的所有XPath的信息;
初始化模块102,用于基于所有XPath的信息,初始化泊松分布概率预测模型中的多个参数值;
计算模块103,用于基于初始化的多个参数值,计算在监测时间段内所述待监测网站发生变动的第一概率,及每条XPath发生变动的第二概率;
告警确定模块104,用于将所述第一概率与第一阈值比较,每条XPath发生变动的第二概率与第二阈值比较,确定每条XPath对应的告警信息。
本申请所提供的装置中的模块能够在使用时基于与上述的网页篡改识别方法,在于本发明实施例利用泊松分布概率预测模型在监测时间段内对待监测网站的XPath发生变动的概率进行预测,能够将将泊松分布应用到网页篡改此类信息安全事件中,通过概率模型准确预测发生变动的概率,并根据在监测时间段内所述待监测网站发生变动的概率及每条XPath发生变动的概率确定每条XPath对应的告警信息。因此本发明通过概率预测的方式来减少告警输出量,从而整体降低误报率,同时也减少了告警检测的资源消耗。其在具体运行时可以取得上述的方法实施例一样的技术效果。
如图5所示,是本发明实现网页篡改识别方法的电子设备的结构示意图。
所述电子设备1可以包括处理器12、存储器11和总线,还可以包括存储在所述存储器11中并可在所述处理器12上运行的计算机程序。所述电子设备1中的Web应用安装有Web防火墙。
其中,所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备1的内部存储单元,例如该电子设备1的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备1的外部存储设备,例如电子设备1上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(SecureDigital,SD)卡、闪存卡(Flash Card)等。进一步地,所述存储器11还可以既包括电子设备1的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备1的应用软件及各类数据,例如网页篡改识别程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述处理器12在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器12是所述电子设备的控制核心(Control Unit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如执行网页篡改识别程序等),以及调用存储在所述存储器11内的数据,以执行电子设备1的各种功能和处理数据。
所述总线可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器12等之间的连接通信。
图5仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图5示出的结构并不构成对所述电子设备1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备1还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器10逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备1还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
进一步地,所述电子设备1还可以包括网络接口,可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备1与其他电子设备之间建立通信连接。
可选地,该电子设备1还可以包括用户接口,用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备1中处理的信息以及用于显示可视化的用户界面。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
所述电子设备1中的所述存储器11存储的请求网页篡改识别程序12是多个指令的组合,在所述处理器10中运行时,可以实现:
获取待监测网站的所有XPath的信息;
基于所有XPath的信息,初始化泊松分布概率预测模型中的多个参数值;
基于初始化的多个参数值,计算在监测时间段内所述待监测网站发生变动的第一概率,及每条XPath发生变动的第二概率;
将所述第一概率与第一阈值比较,每条XPath发生变动的第二概率与第二阈值比较,确定每条XPath对应的告警信息。
具体地,所述处理器11对上述指令的具体实现方法可参考图2、图3、图4及图5对应实施例中相关步骤的描述,在此不赘述。
进一步地,所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
所述计算机可读存储介质上存储有权限控制程序,所述权限控制程序可被一个或多个处理器执行,以实现如下操作:
获取待监测网站的所有XPath的信息;
基于所有XPath的信息,初始化泊松分布概率预测模型中的多个参数值;
基于初始化的多个参数值,计算在监测时间段内所述待监测网站发生变动的第一概率,及每条XPath发生变动的第二概率;
将所述第一概率与第一阈值比较,每条XPath发生变动的第二概率与第二阈值比较,确定每条XPath对应的告警信息。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。

Claims (10)

1.一种网页篡改识别方法,其特征在于,所述方法包括:
获取待监测网站的所有XPath的信息;
基于所述所有XPath的信息,初始化泊松分布概率预测模型中的多个参数值;
基于初始化的所述多个参数值,计算在监测时间段内所述待监测网站发生变动的第一概率,及每条XPath发生变动的第二概率;
将所述第一概率与第一阈值比较,每条XPath发生变动的第二概率与第二阈值比较,确定每条XPath对应的告警信息。
2.根据权利要求1所述的网页篡改识别方法,其特征在于,所述多个参数值包括:所述待监测网站在单位时间内平均发生变动的次数及每条XPath在单位时间内平均发生变动的次数。
3.根据权利要求2所述的网页篡改识别方法,其特征在于,所述基于所述所有XPath的信息,初始化泊松分布概率预测模型中的多个参数值包括:
在固定时间段内对所述待监测网站的所有XPath的信息执行N次监测;
获取在N次检测中每条XPath的信息发生变动的次数;
根据在N次检测中每条XPath的信息发生变动的次数,获取在N次检测中所述待监测网站发生变动的次数;
根据在N次检测中所述待监测网站发生变动的次数确定所述待监测网站在单位时间内平均发生变动的次数;
根据在N次检测中每条XPath的信息发生变动的次数确定每条XPath在单位时间内平均发生变动的次数。
4.根据权利要求2所述的网页篡改识别方法,其特征在于,所述第一概率为1-1/en1,其中n1表示所述待监测网站在单位时间内平均发生变动的次数;
每条XPath发生变动的第二概率为1-1/en2,其中n2表示每条XPath在单位时间内平均发生变动的次数。
5.根据权利要求2所述的网页篡改识别方法,其特征在于,所述将所述第一概率与第一阈值比较,每条XPath发生变动的第二概率与第二阈值比较,确定每条XPath对应的告警信息包括:
对于任意一条XPath,在所述第一概率大于第一阈值,且所述任意一条XPath的第二概率大于第二阈值时,不输出所述任意一条XPath发生变动的告警提示。
6.根据权利要求2所述的网页篡改识别方法,其特征在于,所述将所述第一概率与第一阈值比较,每条XPath发生变动的第二概率与第二阈值比较,确定每条XPath对应的告警信息包括:
对于任意一条XPath,在所述第一概率小于第一阈值,且所述任意一条XPath的第二概率小于第二阈值时,输出所述任意一条XPath发生变动的告警提示。
7.根据权利要求1至6中任一项所述的网页篡改识别方法,其特征在于,所述方法还包括:
获取误报告警提示的目标XPath;
将所述目标XPath的变动更新为正常变动;
增加所述目标XPath发生变动的第二概率。
8.一种网页篡改识别装置,其特征在于,所述装置包括:
信息获取模块,用于获取待监测网站的所有XPath的信息;
初始化模块,用于基于所述所有XPath的信息,初始化泊松分布概率预测模型中的多个参数值;
计算模块,用于基于初始化的所述多个参数值,计算在监测时间段内所述待监测网站发生变动的第一概率,及每条XPath发生变动的第二概率;
告警确定模块,用于将所述第一概率与第一阈值比较,每条XPath发生变动的第二概率与第二阈值比较,确定每条XPath对应的告警信息。
9.一种电子设备,其特征在于,所述电子设备包括:
存储器,存储至少一个指令;及
处理器,执行所述存储器中存储的指令以实现如权利要求1至7中任意一项所述的网页篡改识别方法。
10.一种计算机可读存储介质,其特征在于:所述计算机可读存储介质中存储有至少一个指令,所述至少一个指令被电子设备中的处理器执行以实现如权利要求1至7中任意一项所述的网页篡改识别方法。
CN201911302614.4A 2019-12-17 2019-12-17 网页篡改识别方法、装置、电子设备及存储介质 Active CN111193617B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911302614.4A CN111193617B (zh) 2019-12-17 2019-12-17 网页篡改识别方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911302614.4A CN111193617B (zh) 2019-12-17 2019-12-17 网页篡改识别方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN111193617A true CN111193617A (zh) 2020-05-22
CN111193617B CN111193617B (zh) 2022-10-18

Family

ID=70709823

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911302614.4A Active CN111193617B (zh) 2019-12-17 2019-12-17 网页篡改识别方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN111193617B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116821705A (zh) * 2023-06-12 2023-09-29 国网浙江电动汽车服务有限公司 一种基于充电站与充电桩功率的仪表数据篡改检测方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103368976A (zh) * 2013-07-31 2013-10-23 电子科技大学 一种基于攻击图邻接矩阵的网络安全评估装置
CN103984898A (zh) * 2014-05-29 2014-08-13 北京神州绿盟信息安全科技股份有限公司 一种喷射模式攻击的检测方法和装置
US20170063909A1 (en) * 2015-08-31 2017-03-02 Splunk Inc. Detection of Clustering in Graphs in Network Security Analysis
CN107301355A (zh) * 2017-06-20 2017-10-27 深信服科技股份有限公司 一种网页篡改监测方法及装置
CN107306259A (zh) * 2016-04-22 2017-10-31 腾讯科技(深圳)有限公司 网页页面访问中的攻击检测方法和装置
CN110276200A (zh) * 2019-06-27 2019-09-24 南京邮电大学 一种电力信息系统状态转移概率的确定方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103368976A (zh) * 2013-07-31 2013-10-23 电子科技大学 一种基于攻击图邻接矩阵的网络安全评估装置
CN103984898A (zh) * 2014-05-29 2014-08-13 北京神州绿盟信息安全科技股份有限公司 一种喷射模式攻击的检测方法和装置
US20170063909A1 (en) * 2015-08-31 2017-03-02 Splunk Inc. Detection of Clustering in Graphs in Network Security Analysis
CN107306259A (zh) * 2016-04-22 2017-10-31 腾讯科技(深圳)有限公司 网页页面访问中的攻击检测方法和装置
CN107301355A (zh) * 2017-06-20 2017-10-27 深信服科技股份有限公司 一种网页篡改监测方法及装置
CN110276200A (zh) * 2019-06-27 2019-09-24 南京邮电大学 一种电力信息系统状态转移概率的确定方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
XIAOLING CUI.ET AL.: "《A Novel SOAP Attachment-Oriented Security Model》", 《2006 17TH INTERNATIONAL SYMPOSIUM ON SOFTWARE RELIABILITY ENGINEERING》 *
王辉等: "一种基于ATI的网络攻击路径预测方法", 《计算机工程》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116821705A (zh) * 2023-06-12 2023-09-29 国网浙江电动汽车服务有限公司 一种基于充电站与充电桩功率的仪表数据篡改检测方法
CN116821705B (zh) * 2023-06-12 2024-06-14 国网浙江电动汽车服务有限公司 一种基于充电站与充电桩功率的仪表数据篡改检测方法

Also Published As

Publication number Publication date
CN111193617B (zh) 2022-10-18

Similar Documents

Publication Publication Date Title
CN112148577A (zh) 数据异常检测方法、装置、电子设备及存储介质
CN108985066B (zh) 一种智能合约安全漏洞检测方法、装置、终端及存储介质
CN112137591B (zh) 基于视频流的目标物位置检测方法、装置、设备及介质
CN111159775A (zh) 网页篡改检测方法、系统、装置及计算机可读存储介质
CN112434308B (zh) 应用漏洞检测方法、装置、电子设备及计算机存储介质
CN111950621A (zh) 基于人工智能的目标数据检测方法、装置、设备及介质
CN111783982A (zh) 攻击样本的获取方法、装置、设备及介质
CN113918361A (zh) 基于物联网规则引擎的终端控制方法、装置、设备及介质
CN111143165A (zh) 一种监控方法及装置
CN113327136A (zh) 归因分析方法、装置、电子设备及存储介质
CN111694844A (zh) 基于配置算法的企业运行数据分析方法、装置及电子设备
CN113868528A (zh) 资讯推荐方法、装置、电子设备及可读存储介质
CN111985545A (zh) 基于人工智能的目标数据检测方法、装置、设备及介质
CN111193617B (zh) 网页篡改识别方法、装置、电子设备及存储介质
CN111858604B (zh) 数据存储方法、装置、电子设备及存储介质
CN112396547A (zh) 基于无监督学习的课程推荐方法、装置、设备及介质
CN112700261A (zh) 基于可疑社团的刷单行为检测方法、装置、设备及介质
CN112069782A (zh) 文档模板生成方法、装置、电子设备及存储介质
CN111522707A (zh) 大数据平台调度预警方法、装置及计算机可读存储介质
CN115221171A (zh) 异常数据智能监控方法、装置、电子设备及存储介质
CN113766312A (zh) 设备间的响应延迟计算方法、装置、设备及存储介质
CN113918296A (zh) 模型训练任务调度执行方法、装置、电子设备及存储介质
CN114201466A (zh) 防缓存击穿方法、装置、设备及可读存储介质
CN111190980A (zh) 迟到预警方法、装置、电子设备及存储介质
CN115442310B (zh) 基于物联网卡的应用程序流量消耗级别划分方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant