基于知识图谱的数字营销广告页防篡改方法、装置及设备

摘要

本申请公开了基于知识图谱的数字营销广告页防篡改方法，首先进行身份校验，当身份校验通过后，判断是否具备防篡改策略配置权限，如果具备则进行防篡改策略配置生成防篡改策略，将防篡改策略应用至相应的设置有防篡改Agent的Web服务器；管理控制端发送对站点文件的相关访问操作信息至发布Agent，在经过防篡改Agent以防篡改策略进行文件过滤后，对于通过防篡改策略的相关访问操作信息予以通过，进而上传经过相关访问操作后的网页信息并对网页信息进行备份，对于未通过防篡改策略的相关访问信息予以驳回。本发明能确保防护功能不被恶意攻击或者非法终止。本申请还提供了基于知识图谱的数字营销广告页防篡改设备，用以保证方法在实际中的应用及实现。

说明书

技术领域

本申请涉及网络安全技术领域，更具体地说，涉及基于知识图谱的数字营销广告页防篡改方法、装置及设备。

背景技术

国内网页防篡改的技术标准大多是“页面恢复”为主，这其实并不是真正的网页防篡改，严格意义上可以称之为网页恢复系统，也就是发现篡改问题了将原先的备份页面内容去覆盖被篡改后的页面内容。这个发现的过程是采用文件比对方式，为了提高检测效率，通过采集“网页指纹”，即网页的水印值。通过对比水印值发现网页是否被篡改，并提供自动恢复的功能。这类技术在早期网站访问量不大的前提下是可行的。但这个技术有非常重要的缺陷，这种发现篡改的操作是当页面被外部访问时才触发比对这个操作，可以说是严重滞后的。这种工作机制是工作在应用层，效率是比较低的，且对系统资源的消耗巨大，通常超过系统资源的20％以上，尤其是当页面同一时间集中被访问时常常出现网页无法正常访问的状况。

发明内容

本申请的目的是提供基于知识图谱的数字营销广告页防篡改方法，旨在至少解决现有技术中存在的问题之一。本申请还提供了基于知识图谱的数字营销广告页防篡改装置、设备及计算机可读存储介质。

为了实现上述目的，本申请提供如下技术方案：

提出基于知识图谱的数字营销广告页防篡改方法，应用于管理控制端，所述管理控制端设置于第一服务器，所述方法包括：

获取身份验证信息，判断是否通过身份验证；

在通过身份验证后，

获取防篡改策略配置信息，并判断是否具备配置权限，当具备配置权限时根据防篡改策略配置信息生成防篡改策略；

将生成的防篡改策略应用至目标防篡改Agent；

所述防篡改策略包括扫描服务器的配置信息以及网站资源文件的读写权限的配置信息；

发送对站点文件的相关访问操作信息至发布Agent。

还提出基于知识图谱的数字营销广告页防篡改方法，应用于防篡改Agent，所述防篡改Agent设置于Web服务器，所述方法包括：

接收来自管理控制端的防篡改策略；

捕获Web连接请求，根据所述防篡改策略对所述Web连接请求中附带的数据内容以及访问请求进行合法性检测；

将Web站点存在的安全风险以及新增的安全事件数据上报至所述Web服务器；

通过事件触发的方式进行自动监测，所述自动监测具体包括：

对所述Web服务器的文件夹的所有内容，对照所有所述内容的底层文件属性，通过内置散列快速算法，实时监控所有所述内容的属性，

当出现属性变更的情况时，以纯文件安全拷贝方式将发布Agent中的备份路径文件夹内容拷贝到监测文件夹相应文件位置。

还提出基于知识图谱的数字营销广告页防篡改方法，应用于发布Agent，所述发布Agent设置于更新服务器，所述方法包括：

接收来自管理控制端的对站点文件的相关访问操作信息；

根据所述相关访问操作信息，对合法网页执行相应的变更操作；

检查自身文件系统的变化，自动将自身文件系统的变化内容同步至一台或多台安装了所述防篡改Agent的Web服务器；

获取来自防篡改Agent的文件拷贝请求，根据所述文件拷贝请求将备份路径文件夹内容发送至所述防篡改Agent。

进一步，上述自动将自身文件系统的变化内容同步至一台或多台安装了所述防篡改Agent的Web服务器的同步过程通过SSL安全协议进行信息交互。

进一步，上述自身文件系统具体包括FAT文件系统、NTFS文件系统、CDFS文件系统、ETC文件系统中的一种或多种组合。

还提出基于知识图谱的数字营销广告页防篡改方法，其特征在于，所述方法包括，

于管理控制端进行身份校验，当身份校验通过后，判断是否具备防篡改策略配置权限，如果具备则进行防篡改策略配置生成防篡改策略，将所述防篡改策略应用至相应的设置有防篡改Agent的Web服务器；

管理控制端发送对站点文件的相关访问操作信息至发布Agent，在经过防篡改Agent以防篡改策略进行文件过滤后，对于通过防篡改策略的相关访问操作信息予以通过，进而上传经过相关访问操作后的网页信息并对所述网页信息进行备份，对于未通过防篡改策略的相关访问信息予以驳回。

进一步，所述防篡改策略配置具体包括扫描服务器的配置信息以及网站资源文件的读写权限的配置信息。

本发明还提出基于知识图谱的数字营销广告页防篡改装置，包括：

第一服务器，设置有管理控制端，用于获取身份验证信息，判断是否通过身份验证，在通过身份验证后，获取防篡改策略配置信息，并判断是否具备配置权限，当具备配置权限时根据防篡改策略配置信息生成防篡改策略，将生成的防篡改策略应用至目标防篡改Agent，所述防篡改策略包括扫描服务器的配置信息以及网站资源文件的读写权限的配置信息，发送对站点文件的相关访问操作信息至发布Agent；

Web服务器，设置有防篡改Agent，用于接收来自管理控制端的防篡改策略，捕获Web连接请求，根据所述防篡改策略对所述Web连接请求中附带的数据内容以及访问请求进行合法性检测，将Web站点存在的安全风险以及新增的安全事件数据上报至所述Web服务器，通过事件触发的方式进行自动监测，所述自动监测具体包括，对所述Web服务器的文件夹的所有内容，对照所有所述内容的底层文件属性，通过内置散列快速算法，实时监控所有所述内容的属性，当出现属性变更的情况时，以纯文件安全拷贝方式将发布Agent中的备份路径文件夹内容拷贝到监测文件夹相应文件位置；

更新服务器，设置有发布Agent，用于接收来自管理控制端的对站点文件的相关访问操作信息，根据所述相关访问操作信息，对合法网页执行相应的变更操作，检查自身文件系统的变化，自动将自身文件系统的变化内容同步至一台或多台安装了所述防篡改Agent的Web服务器，获取来自防篡改Agent的文件拷贝请求，根据所述文件拷贝请求将备份路径文件夹内容发送至所述防篡改Agent。

本发明还提出基于知识图谱的数字营销广告页防篡改设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至7中任一项所述的基于知识图谱的数字营销广告页防篡改方法的步骤。

本发明还提出一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的基于知识图谱的数字营销广告页防篡改方法的步骤。

有益效果：

本申请提供的基于知识图谱的数字营销广告页防篡改方法，通过设置防篡改Agent以及发布Agent对网站文件内容的改动进行监测，在网站文件面临访问提交数据时，首先由防篡改Agent根据配置好的防篡改策略对相关访问提交数据进行合法性检测，对于通过的数据再由发布Agent进行内容发布，并将发布的内容进行备份作为恢复的依据，本发明不同于传统的防篡改软件，网页防篡改系统不仅重视对网站文件内容的保护，同时极大的增强了对访问提交数据的审计功能能够较好的应对目前威胁较大的SQL注入攻击、XSS跨站攻击等均属于利用提交数据进行的攻击。另外，网页防篡改系统使用了全新的触发式同步引擎，能够更好的完成实时增量同步，保证了网站系统发布更新的稳定。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例1提供的基于知识图谱的数字营销广告页防篡改方法的第一流程图；

图2为本申请实施例2提供的基于知识图谱的数字营销广告页防篡改方法的第二流程图；

图3为本申请实施例3提供的基于知识图谱的数字营销广告页防篡改方法的第三流程图；

图4为本申请实施例提供的基于知识图谱的数字营销广告页防篡改装置的结构示意图；

图5为本申请实施例提供的基于知识图谱的数字营销广告页防篡改设备的结构示意图；

图6为本申请实施例4提供的基于知识图谱的数字营销广告页防篡改方法的第四流程图；

图7为本申请基于知识图谱的数字营销广告页防篡改方法的实施原理图；

图8为本申请基于知识图谱的数字营销广告页防篡改方法的作用关系图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

请参阅图1，图1为本申请实施例提供的基于知识图谱的数字营销广告页防篡改方法的第一流程图。

本申请实施例提供的提出基于知识图谱的数字营销广告页防篡改方法，应用于管理控制端，所述管理控制端设置于第一服务器100，所述方法包括：

步骤110、获取身份验证信息，判断是否通过身份验证；

在通过身份验证后，

步骤120、获取防篡改策略配置信息，并判断是否具备配置权限，当具备配置权限时根据防篡改策略配置信息生成防篡改策略；

步骤130、将生成的防篡改策略应用至目标防篡改Agent；

所述防篡改策略包括扫描服务器的配置信息以及网站资源文件的读写权限的配置信息；

步骤140、发送对站点文件的相关访问操作信息至发布Agent。

实施例1，通过设置防篡改Agent以及发布Agent对网站文件内容的改动进行监测，在网站文件面临访问提交数据时，首先由防篡改Agent根据配置好的防篡改策略对相关访问提交数据进行合法性检测，对于通过的数据再由发布Agent进行内容发布，并将发布的内容进行备份作为恢复的依据，本发明不同于传统的防篡改软件，网页防篡改系统不仅重视对网站文件内容的保护，同时极大的增强了对访问提交数据的审计功能能够较好的应对目前威胁较大的SQL注入攻击、XSS跨站攻击等均属于利用提交数据进行的攻击。另外，网页防篡改系统使用了全新的触发式同步引擎，能够更好的完成实时增量同步，保证了网站系统发布更新的稳定。

管理控制端主要是用于配置、管理和查看监控端各种信息，并下发站点安全规则到防篡改Agent；管理控制端才是整个系统的中枢大脑，管理整个系统的运行、日志记录及防御措施。可自定义设置网站目录、文件的读写权限，限制文件目录的增、删、改等操作行为，确保网页文件不被非法篡改；

主要是提供一个统一管理各个广告站点的安全防护、监控告警的系统模块。单独部署一台服务器，不依赖于web站点，对防篡改Agent模块的防篡改策略和发布Agent模块进行统一管理。管理员通过管理控制端配置广告站点的资源文件的读写权限，只允许通过发布Agent进程对广告资源文件进行更新。对于其他想要修改的进程一律监控，检测到非法修改就进行拦截。设置广告文件的备份目录、监控策略等各种信息，并将安全策略下发到各个站点的防篡改Agent。

参照图2，实施例2，还提出基于知识图谱的数字营销广告页防篡改方法，应用于防篡改Agent，所述防篡改Agent设置于Web服务器200，所述方法包括：

步骤210、接收来自管理控制端的防篡改策略；

步骤220、捕获Web连接请求，根据所述防篡改策略对所述Web连接请求中附带的数据内容以及访问请求进行合法性检测；

步骤230、将Web站点存在的安全风险以及新增的安全事件数据上报至所述Web服务器200；

步骤240、通过事件触发的方式进行自动监测，所述自动监测具体包括：

对所述Web服务器200的文件夹的所有内容，对照所有所述内容的底层文件属性，通过内置散列快速算法，实时监控所有所述内容的属性，

步骤250、当出现属性变更的情况时，以纯文件安全拷贝方式将发布Agent中的备份路径文件夹内容拷贝到监测文件夹相应文件位置。

在实施例2中，防篡改Agent程序是安装在Web服务器200上的，主要是对站点进行保护备份和监测。与Web服务(IIS、Tomcat、Apache等)紧密结合，能够捕获所有的Web连接请求，可以对用户提交的数据内容及访问请求进行合法性检测，根据系统管理员或运维人员在管理控制程序配置的安全策略，根据安全策略对web站点存在的安全风险和新增的安全事件数据上报服务器。同时响应系统管理员在管理控制端的指令，通过事件触发方式进行自动监测，对文件夹的所有内容对照其底层文件属性，通过内置散列快速算法，实时进行监控。若发现属性变更，通过非协议方式，纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置，实现对web站上的安全威胁清除和恶意攻击拦截。支持对请求进行合法性检测，对非法请求进行屏蔽。支持防SQL注入攻击，安全特征库及时升级，保障强大的检测和防御能力。

防篡改Agent是安装在Web服务器200上的，主要根据管理控制端下发的防窜改策略，针对web站点的资源文件进行保护备份和监测。对网页的篡改及删除等操作进行拦截，并且产生日志及报警。合法的请求被通过后，最终返回给用户。

参照图3，实施例3，还提出基于知识图谱的数字营销广告页防篡改方法，应用于发布Agent，所述发布Agent设置于更新服务器300，所述方法包括：

步骤310、接收来自管理控制端的对站点文件的相关访问操作信息；

步骤320、根据所述相关访问操作信息，对合法网页执行相应的变更操作；

步骤330、检查自身文件系统的变化，自动将自身文件系统的变化内容同步至一台或多台安装了所述防篡改Agent的Web服务器200；

步骤340、获取来自防篡改Agent的文件拷贝请求，根据所述文件拷贝请求将备份路径文件夹内容发送至所述防篡改Agent。

在实施例3中，发布Agent模块是安装在更新服务器300上，一般只有系统管理员才能对站点资源文件进行操作访问，所有对站点文件发布、更新等操作都必须通过发布Agent操作，否则可能触发防篡改策略发出告警或更新被回滚。发布过程都是通过SSL安全协议进行通信和文件传输，保证通信过程的安全性。发布失败后自动重新发布，可以通过管理控制模块设置网站监测变更后自动更新；

发布Agent程序安装在更新服务器300上，主要对站点文件进行发布、实时更新等操作。采用先进的算法检查本身文件系统的变化，自动将其同步到一台或多台安装了防篡改模块的目标Web服务器200上，同时也能作为网页恢复时的基准内容，减少人工干预，支持主备目录或主备服务器的数据同步；各种发布功能或发布方式的CMS系统无缝对接；作为实施例3的优选实施方式，通过SSL安全协议进行通信和文件传输，保证通信过程的安全性；发布失败后自动重新发布，所有合法网页的增加、修改和删除都通过发布Agent程序进行。

作为实施例3的优选实施方式，上述自身文件系统具体包括FAT文件系统、NTFS文件系统、CDFS文件系统、ETC文件系统中的一种或多种组合。

参照图6，实施例4，还提出基于知识图谱的数字营销广告页防篡改方法，其特征在于，所述方法包括，

于管理控制端进行身份校验，当身份校验通过后，判断是否具备防篡改策略配置权限，如果具备则进行防篡改策略配置生成防篡改策略，将所述防篡改策略应用至相应的设置有防篡改Agent的Web服务器200；

管理控制端发送对站点文件的相关访问操作信息至发布Agent，在经过防篡改Agent以防篡改策略进行文件过滤后，对于通过防篡改策略的相关访问操作信息予以通过，进而上传经过相关访问操作后的网页信息并对所述网页信息进行备份，对于未通过防篡改策略的相关访问信息予以驳回。

作为实施例4的优选实施方式，所述防篡改策略配置具体包括扫描服务器的配置信息以及网站资源文件的读写权限的配置信息。

参照图4，本发明还提出基于知识图谱的数字营销广告页防篡改装置，包括：

第一服务器100，设置有管理控制端，用于获取身份验证信息，判断是否通过身份验证，在通过身份验证后，获取防篡改策略配置信息，并判断是否具备配置权限，当具备配置权限时根据防篡改策略配置信息生成防篡改策略，将生成的防篡改策略应用至目标防篡改Agent，所述防篡改策略包括扫描服务器的配置信息以及网站资源文件的读写权限的配置信息，发送对站点文件的相关访问操作信息至发布Agent；

Web服务器200，设置有防篡改Agent，用于接收来自管理控制端的防篡改策略，捕获Web连接请求，根据所述防篡改策略对所述Web连接请求中附带的数据内容以及访问请求进行合法性检测，将Web站点存在的安全风险以及新增的安全事件数据上报至所述Web服务器200，通过事件触发的方式进行自动监测，所述自动监测具体包括，对所述Web服务器200的文件夹的所有内容，对照所有所述内容的底层文件属性，通过内置散列快速算法，实时监控所有所述内容的属性，当出现属性变更的情况时，以纯文件安全拷贝方式将发布Agent中的备份路径文件夹内容拷贝到监测文件夹相应文件位置；

更新服务器300，设置有发布Agent，用于接收来自管理控制端的对站点文件的相关访问操作信息，根据所述相关访问操作信息，对合法网页执行相应的变更操作，检查自身文件系统的变化，自动将自身文件系统的变化内容同步至一台或多台安装了所述防篡改Agent的Web服务器200，获取来自防篡改Agent的文件拷贝请求，根据所述文件拷贝请求将备份路径文件夹内容发送至所述防篡改Agent。

整个装置采用系统驱动级文件保护技术(第三代防篡改技术)，基于事件触发式监测机制，有效的解决了被动防御，资源消耗等问题。防篡改系统分为两大模块：静态防护模块及动态防护模块。静态防护模块负责对网站服务器上的文件内容部分进行防护，而动态防护模块负责对访问提交数据进行防护。不同于传统的防篡改软件，网页防篡改系统不仅重视对网站文件内容的保护，同时极大的增强了对访问提交数据的审计功能(目前威胁较大的SQL注入攻击、XSS跨站攻击等均属于利用提交数据进行的攻击)。另外，网页防篡改系统使用了全新的触发式同步引擎，能够更好的完成实时增量同步，保证了网站系统发布更新的稳定。

本发明还提出基于知识图谱的数字营销广告页防篡改设备，包括：

存储器400，用于存储计算机程序；

处理器500，用于执行所述计算机程序时实现如权利要求1至7中任一项所述的基于知识图谱的数字营销广告页防篡改方法的步骤。

参照图5，本发明还提出一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的基于知识图谱的数字营销广告页防篡改方法的步骤。

以上的技术方案能够使本发明具备如下优势：

1.技术先进

采用先进的文件驱动防篡改技术，稳定、可靠、高效、兼容性高。新一代内核驱动及文件保护，确保防护功能不被恶意攻击或者非法终止。支持大规模连续篡改攻击保护。

2.彻底阻断篡改

采用文件驱动技术及事件触发机制，能够彻底阻断篡改攻击而不是等待网站文件内容被篡改后再恢复。该机制在暴力篡改(利用脚本或者程序对多个文件连续反复篡改)情况下能够更完善的保障系统安全。

3.实时增量更新

同步也采用触发机制，能够实时响应增量更新。相比同类产品的轮询式更新检测方式，触发式的增量更新系统资源占用更小，更新速度更快，效率更高。

4.Web发布安全

一般的网站更新发布，会直接发布到Web路径，具备可写权限的Web路径常常是导致安全风险的薄弱环节。假如使用网页防篡改系统提供的同步方式，可以有效避免Web路径开放不必要的可写权限，保证原有文件内容的安全，同时也保证不会被写入恶意文件脚本。

5.保护全面

实时动态攻击防护相结合，全面保护各类网页和网站数据安全。支持继线/连线状态下篡改检测。支持多服务器、多站点、各种文件类型的防护。

参照图7，本发明的硬件原理如下，

用户态的应用程序发出网页请求，经I/O管理器处的基于知识图谱的数字营销广告页防篡改装置进行监测稽查后在经过内核文件访问过滤驱动处进行访问控制/操作审计/read后途径文件系统包括FAT文件系统、NTFS文件系统、CDFS文件系统、ETC文件系统中的一种或多种组合，之后经由存储设备驱动程序存储于存储设备中。

参照图8，以下具体的应用情形中的一些实例，广东移动APP渠道日活用户超过1000万，支持以APP首页弹窗、首页、签到页广告位、生活频道、页面Banner区等形式为用户提供精准营销信息推送。其中蜂巢精销是以蜂巢大数据DMP平台为能力基础，汇聚多维度互联网渠道，打通流量从广告主-渠道-用户的精准广告+权益投放的全流程，实现目标客户快速定位及触达，提高营销成功率。通过接口从广告平台获取广告资源文件等信息进行动态展示到广东移动APP中。通过安装网页防篡改Agent来保证广告内容不被篡改并正常展示。

本申请所涉及的计算机可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。

本申请实施例提供的基于知识图谱的数字营销广告页防篡改装置、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的基于知识图谱的数字营销广告页防篡改方法中对应部分的详细说明，在此不再赘述。另外，本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明，以免过多赘述。

还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。