一种基于信息安全自动索引网站监测方法及装置

摘要

本发明涉及网络安全领域，尤其涉及一种基于信息安全自动索引网站监测方法及装置，方法为：添加网站地址；选择Automatic engine节点；设置安全策略；根据安全策略获取网站内容的初次数据并存储；根据安全策略，开始轮询网站内容数据，将网站内容数据与初次数据进行比对，判断网站内容是否发生篡改，当发生篡改时，触发安全策略审核行为；推送告警信息。本发明在无需网站部署架构的情况下，实现了对于网站的监测保护。

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种基于信息安全自动索引网站监测方法及装置。

背景技术

随着互联网的迅速发展，网站安全问题越发凸显，网站应用程序往往承载了各大行业的主要业务功能，并且存储着大量的有价值数据。在传统技术中，对于网站防护采用防火墙来实现，无法防御未知威胁；而针对网站服务器的攻击、针对数据攻击与日俱增，由于网站的多样性与复杂性，人工的方式无法全面学到网站的内容。

黑客入侵网站后一般都会写入脚本后面Webshell，窃取服务、破坏系统与网站、下载数据库等，现有的网站保护软件只拦截API，不能了解是哪个脚本产生的行为；最直接的问题是追查困难，无法找到隐藏很深的后门；如果网站被黑客入侵，其写入后门隐藏性极高的文件很难通过现有技术查杀。

发明内容

本发明的目的是为了提供一种基于信息安全自动索引网站监测方法及装置，在无需网站部署架构的情况下，实现了对于网站的监测保护。

为解决以上技术问题，本发明的技术方案为：一种基于信息安全自动索引网站监测方法，包括如下步骤：

步骤1：添加需监测的网站地址；

步骤2：选择Automatic engine节点；

步骤3：设置安全策略：根据用户指定的安全策略名称获取对应的目标存储策略，设定安全风险等级、设定暗链及敏感词库；

步骤4：根据安全策略获取网站内容的初次数据并存储；

步骤5：根据安全策略，开始轮询网站内容数据，将网站内容数据与初次数据进行比对，判断网站内容是否发生篡改，当发生篡改时，触发安全策略审核行为；

步骤6：推送告警信息。

进一步的，所述步骤3还包括设置内容要求的步骤，具体为：设置监听时间周期；设定网站的域名或者IP用于捕获网站内容数据；设置告警推送联系人以及推送形式。

进一步的，所述步骤5中，安全策略审核的方法为：

分析源码；

对源码进行检测获取告警事件；告警事件包括风险暗链、敏感词和/或挂马事件。

进一步的，所述步骤4前还包括以下步骤：检测网站的可用性。

进一步的，所述步骤6具体为：根据安全策略进行网站内容数据分析后捕获告警事件，生成安全风险报表，生成告警信息，完成网站危险等级评估，推送告警信息给用户。

进一步的，所述推送形式为：发送邮件或短信信息。

一种基于信息安全自动索引网站监测装置，包括：

数据获取模块，用于获取网站地址，用于获取间断性网站内容数据，用于获取安全策略名称；

存储模块，用于根据安全策略存储网站内容数据及数据类型，用于存储安全策略及对应的安全策略名称；用于存储暗链及敏感词库；

监测模块，用于根据安全策略匹配到的当前网站内容数据与网站内容初次数据进行比对，判断网站内容是否发生篡改，当发生篡改时，触发安全策略审核行为；

数据审阅模块，用于根据安全策略推送相应的告警信息。

进一步的，所述数据获取模块还用于获取内容要求，内容要求包括：监听时间周期、网站的域名或者IP、告警推送联系人以及推送形式。

进一步的，所述数据审阅模块具体为：根据安全策略进行网站内容数据分析后捕获告警事件，生成安全风险报表，生成告警信息，完成网站危险等级评估，推送告警信息给用户。

本发明具有如下有益效果：本发明根据安全策略使用某一个Automatic engine获取数据的自动化技术，在入库新数据时，包含旧数据被保留着，提供了一个可以被保留的数据副本，由于在读写操作中已经存储了网站所有的内容数据，所以在监测过程中校验数据的过程非常快，再根据安全策略进行数据的快速分析生成危险告警信息以及报表，这个过程节省了大量的人为操作时间，快速生成网站危险等级评估，解决了网站存在风险。

附图说明

图1为本发明实施例中监测方法流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，下面结合附图和具体实施例对本发明作进一步详细说明。

请参考图1，本发明为一种基于信息安全自动索引网站监测方法，包括如下步骤：

步骤1：添加需监测的网站地址；

步骤2：选择Automatic engine节点，给指定客户端增加保护网站监听引擎；

步骤3：设置安全策略和内容要求；

设置安全策略具体为：根据用户指定的安全策略名称获取对应的目标存储策略，设定安全风险等级、设定暗链及敏感词库；

设置内容要求具体为：设置监听时间周期；设定网站的域名或者IP用于捕获网站内容数据；设置告警推送联系人以及推送形式；本实施例中，推送形式为发送邮件或短信信息。

通过用户设定的安全策略和内容要求用于后续监测域名是否可信，解析后IP是否合法，资源是否被篡改；

步骤4：检测网站的可用性；本实施例中，采用现有的用于检测网站可用性的常规方法；

根据安全策略，开始自动获取网站内容数据，获取的初次数据存储入库，根据用户设定安全策略，并且审阅相关告警事件后进行固化；至此下一步开始监听目标网址情况；

步骤5：根据安全策略，开始轮询网站内容数据，将网站内容数据与初次数据进行比对，判断网站内容是否发生篡改，当发生篡改时，触发安全策略审核行为；当数据每发生一次变化都会触发安全策略审核行为；安全策略审核的方法为：分析源码；对源码进行检测获取告警事件；告警事件包括风险暗链、敏感词和/或挂马事件。

步骤6：根据安全策略进行网站内容数据分析后捕获告警事件，生成安全风险报表，生成告警信息，完成网站危险等级评估，推送告警信息给用户；用户审阅告警信息并进行网站安全升级和相关维护。

本发明提供一种基于信息安全自动索引网站监测装置，包括：

数据获取模块，用于获取网站地址，用于获取间断性网站内容数据，用于获取安全策略名称；用于获取内容要求，内容要求包括：监听时间周期、网站的域名或者IP、告警推送联系人以及推送形式；

存储模块，用于根据安全策略存储网站内容数据及数据类型，用于存储安全策略及对应的安全策略名称到对应的存储数据库和存储介质；用于存储暗链及敏感词库；

监测模块，用于根据安全策略匹配到的当前网站内容数据与网站内容初次数据进行比对，判断网站内容是否发生篡改，当发生篡改时，触发安全策略审核行为；

数据审阅模块，用于根据安全策略推送相应的告警信息。

本发明的监测装置中，数据获取模块获取网站内容数据和数据类型以及对应的安全策略名称，首先初始获取的数据入库后，根据用户设定安全策略等级，并且审阅相关告警事件后进行固化；再轮询中每次获取新的数据，然后通过监测模块判断获知安全策略中指定存储的网站内容数据是否发生变化，若判断出网站内容被篡改，则根据对应的安全策略进行相应的逻辑判断，根据对应的安全策略名称触发相应的告警事件，其触发其中审计要求暗链、敏感词、挂马事件，并且把告警信息推送给用户以及生成危险等级报表作为评审依据。

本发明基于主流linux系统，如deb系列的debian/ubuntu或rpm系列的redhat/centos等等，使用了部分第三方开源软件来构建或简化方案架构，本发明的应用系统中涉及到了一个计算机可以模拟人行为操作的浏览器操作装置，其行为安全策略通过网络请求来完成网站内容的获取，客户端可反复调用执行步骤4和步骤5。

本发明Automatic engine技术是自动化模拟浏览器操作引擎以便使用所有情况下网站；本发明通过在多节点装置中同时配置Automatic engine，通过根据用户指定的安全策略名称获取匹配的目标保护策略，合理分配资源。本发明能够及时检测出网站中恶意程序和非法资源，可对其进行有效的处理，不仅减少了给网站带来的危害的几率，同时提高了网站的安全等级。

本发明未涉及部分均与现有技术相同或采用现有技术加以实现。

以上内容是结合具体的实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。