一种网页篡改监测的方法

一种网页篡改监测的方法
【专利摘要】本发明涉及信息安全【技术领域】，旨在提供一种网页篡改监测的方法。该种网页篡改监测的方法包括步骤：过滤标签项配置、敏感字项配置、定级项配置、文件变更配置、模板套用、爬取网页、形成基准、对比改动页面、网页截取、形成报告、产生告警。本发明通过策略配置进行篡改监测，可过滤了一些特殊网页标签，可临时针对特殊项目或者活动进行自定义过滤或自定义策略编辑，使得篡改监测更加精准更加灵活，让工作人员可以轻松地得到更加可信的篡改监测告警。
【专利说明】一种网页篡改监测的方法

【技术领域】
[0001] 本发明是关于信息安全【技术领域】，特别涉及一种网页篡改监测的方法。

【背景技术】
[0002] 随着互联网的发展，各种技术架构层出不穷，极大程度地满足了用户的各种需求。 但是，现有的技术架构下网站漏洞却长期存在：
[0003] 1、操作系统复杂性：已经公布超过1万多个系统漏洞；
[0004] 2、漏洞与补丁：系统漏洞从发现到被利用为5天，补丁发布时间为47天；
[0005] 3、应用系统漏洞：各种注入式攻击，多个应用系统不同的开发者。
[0006] 主观原因而言，过于苛刻的安全管理要求，通常网络管理员难以完全实现：
[0007] 1、密码管理：合格密码需要8位以上复杂字符并定期改变；
[0008] 2、漏洞补丁：操作系统、中间件、应用系统的定期更新；
[0009] 3、上网控制：钓鱼、木马、间谍软件。
[0010] 这些原因导致网站网页极容易被篡改，防不胜防。传统的篡改监测，覆盖范围不 全，且容易产生误报。例如网站正常的维护，进行图片链接的修改，传统监测方法，会当作是 被篡改告警给网站负责人，实际不存在篡改情况，照成网站维护人员时间和精力上的浪费。 这些因素还包括：1)很多网页的动态性，造成篡改监测系统的判断错误；2)篡改监测系统 本身的判断逻辑不完善；3)目前的应用环境非常复杂，篡改监测系统判断逻辑往往无法覆 盖所有可能出现的情况。


【发明内容】

[0011] 本发明的主要目的在于克服现有技术中的不足，提供一种准确率更高、灵活度更 高的篡改监测方法和系统。为解决上述技术问题，本发明的解决方案是：
[0012] 提供一种网页篡改监测的方法，用于监测所需监测网站的网页篡改，具体包括下 述步骤：
[0013] (1)过滤标签项配置：通过配置需要过滤的标签项，过滤网页中特定的标签，用于 避免网页动态性标签所引起的篡改误报；
[0014] 所述标签是指网页浏览器识别符（网页程序中不同的标签有着不同的意义，也代 表不同功能和样式，如div标签定义HTML文档中的分隔（division)或部分（section)等）， 过滤标签包括div标签计数器、选择器、Div名称属性、Div临时属性；
[0015] (2)敏感字项配置：通过增加敏感字的字库或使用内置敏感字库，实现敏感字的 监测，用于控制篡改监测范围；
[0016] 所述敏感字是指系统禁止发表的词语，包括黄色、政治、暴力、辱骂方面的词汇；
[0017] (3)定级项配置：通过将篡改内容进行分级分类，用于按照所需进行分级告警，满 足用户特殊需求；定级是指对篡改检测内容进行分级分类；
[0018] (4)文件变更配置：用于避免网站正常维护而产生篡改误报；文件变更包括Js文 件变更、Css文件变更；
[0019] (5)模板套用：根据不同篡改监测需求，通过上述步骤，配置任意组合形成不同的 策略模板，在进行篡改监测网站时，选择相应的策略模板名称进行模板套用，形成网站对应 一个策略模板的形式，进行篡改监测；
[0020] (6)爬取网页：抓取所需监测网站的所有页面，抓取方式采用网络爬虫、正则表达 式、模拟解析中的任意一种或至少两种方式相结合的方法，或者现有开源的网络爬虫；
[0021] (7)形成基准：将步骤￠)中抓取的网页进行保存，形成基准（通过网络爬虫抓取 的网站网页会保存在指定文件夹下，形成基准文件），即为标注，用于作为下一次爬取网页 结果的对比对象；
[0022] (8)对比改动页面：通过再一次进行步骤（6)抓取的网页结果进行保存，与步骤 (7)形成的基准进行对比；再将对比结果根据步骤（5)中选择套用的策略模板来进行处理： 根据套用的策略模板中的配置内容，过滤掉对比结果的过滤标签项，筛选出对比结果的敏 感关键字，对对比结果的定级项进行结果定级，再进行对比结果的文件变更调整，形成最终 的比对结果；
[0023] (9)网页截取：根据步骤（8)中检测出的比对结果，截取篡改前和篡改后的网页， 并通过界面直观展现；
[0024] (10)形成报告：根据步骤⑶中检测出的比对结果、步骤（9)中获得的截图，（通 过velocity组件）形成网站安全报告；
[0025] (11)产生告警：将步骤（10)中形成的网站安全报告发送给用户，用于反馈篡改信 肩、。
[0026] 本发明的工作原理：在对一个网站进行篡改监测之前，利用已知的策略进行配置， 排除因网站正常维护或计数器类网页动态性因素产生的篡改告警，定级别定分类进行告 警，能够很大程度上降低误报给工作人员带来的困惑。
[0027] 与现有技术相比，本发明的有益效果是：
[0028] 通过策略配置进行篡改监测，可过滤了一些特殊网页标签，可临时针对特殊项目 或者活动进行自定义过滤或自定义策略编辑，使得篡改监测更加精准更加灵活，让工作人 员可以轻松地得到更加可信的篡改监测告警。

【专利附图】

【附图说明】
[0029] 图1为本发明的网页篡改监测的方法流程图。

【具体实施方式】
[0030] 下面结合附图与【具体实施方式】对本发明作进一步详细描述：
[0031] 如图1所示，一种网页篡改监测的方法，用于监测所需监测网站的网页篡改，采用 人工干预策略配置方法，提高篡改监测的准确率，产生更加准确可信的篡改告警结果，具体 包括下述步骤：
[0032] (1)过滤标签项配置：标签即为网页浏览器识别符，网页程序中不同的标签有着 不同的意义，也代表不同功能和样式，如div标签定义HTML文档中的分隔（division)或部 分（section)等。过滤标签项是指通过人工配置需要过滤的标签项，从而达到过滤网页中 特定的标签的目的，如div标签计数器、选择器、Div名称属性、Div临时属性。进行过滤标 签项配置，用于避免网页动态性标签所引起的篡改误报；
[0033] (2)敏感字项配置：敏感字是指一般系统禁止发表的词语，一般包括黄色，政治， 暴力，辱骂方面的词汇。通过手工配置增加敏感字项的字库或使用内置敏感字库，达到敏感 字检测的目的。通过敏感字项，控制篡改监测范围；
[0034] (3)定级项配置：定级是指对篡改检测内容进行分级分类，通过定级项的配置可 达到篡改分级告警的目的，满足用户特殊需求；
[0035] (4)文件变更配置：文件变更包括Js文件变更、Css文件变更，通过对文件变更项 的配置，可达到避免网站正常维护而产生篡改误报的目的；
[0036] (5)模板套用：根据不同篡改监测需求，通过上述步骤，配置形成不同策略的模 板。在进行下达篡改监测任务时，选择相应的模板名称进行模板套用，形成网站对应一个策 略模板的形式，快速进行篡改监测。
[0037] (6)爬取网页：抓取所需监测网站的所有页面，抓取方式采用网络爬虫、正则表达 式、模拟解析中的任意一种或至少两种方式相结合的方法，或者现有开源的网络爬虫；
[0038] (7)形成基准：用于通过步骤（6)的抓取的网页进行保存，形成基准。基准即为标 注，通过网络爬虫抓取的网站网页会保存在指定文件夹下，形成基准文件，作为下一次爬取 网页结果的对比对象。
[0039] (8)对比改动页面：目的是进行与步骤（7)形成的基准进行对比。篡改监测通过 再一次进行步骤（6)抓取的网页结果进行保存，与步骤（7)形成的基准进行对比；再将对 比结果根据步骤（5)中选择套用的策略模板来进行处理：根据套用的策略模板中的配置内 容，过滤掉对比结果的过滤标签项，筛选出对比结果的敏感关键字，对对比结果的定级项进 行结果定级，再进行对比结果的文件变更调整，形成最终的比对结果。
[0040] (9)网页截取：通过步骤（8)中的对比改动处，截取篡改前和篡改后的网页，并通 过界面直观展现；
[0041] (10)形成报告：通过步骤（8)中获得的对比改动处、步骤（9)中获得的截图，通过 velocity组件形成网站安全报告；
[0042] (11)产生告警：将步骤（10)中形成的网站安全报告发送给用户，用于反馈篡改信 肩、。
[0043] 最后，需要注意的是，以上列举的仅是本发明的具体实施例。显然，本发明不限于 以上实施例，还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导 出或联想到的所有变形，均应认为是本发明的保护范围。
【权利要求】
1. 一种网页篡改监测的方法，用于监测所需监测网站的网页篡改，其特征在于，具体包 括下述步骤： (1) 过滤标签项配置：通过配置需要过滤的标签项，过滤网页中特定的标签，用于避免 网页动态性标签所引起的篡改误报； 所述标签是指网页浏览器识别符，过滤标签包括div标签计数器、选择器、Div名称属 性、Div临时属性； (2) 敏感字项配置：通过增加敏感字的字库或使用内置敏感字库，实现敏感字的监测， 用于控制篡改监测范围； 所述敏感字是指系统禁止发表的词语，包括黄色、政治、暴力、辱骂方面的词汇； (3) 定级项配置：通过将篡改内容进行分级分类，用于按照所需进行分级告警，满足用 户特殊需求；定级是指对篡改检测内容进行分级分类； (4) 文件变更配置：用于避免网站正常维护而产生篡改误报；文件变更包括Js文件变 更、Css文件变更； (5) 模板套用：根据不同篡改监测需求，通过上述步骤，配置任意组合形成不同的策略 模板，在进行篡改监测网站时，选择相应的策略模板名称进行模板套用，形成网站对应一个 策略模板的形式，进行篡改监测； (6) 爬取网页：抓取所需监测网站的所有页面，抓取方式采用网络爬虫、正则表达式、 模拟解析中的任意一种或至少两种方式相结合的方法，或者现有开源的网络爬虫； (7) 形成基准：将步骤（6)中抓取的网页进行保存，形成基准，即为标注，用于作为下一 次爬取网页结果的对比对象； (8) 对比改动页面：通过再一次进行步骤（6)抓取的网页结果进行保存，与步骤（7)形 成的基准进行对比；再将对比结果根据步骤（5)中选择套用的策略模板来进行处理：根据 套用的策略模板中的配置内容，过滤掉对比结果的过滤标签项，筛选出对比结果的敏感关 键字，对对比结果的定级项进行结果定级，再进行对比结果的文件变更调整，形成最终的比 对结果； (9) 网页截取：根据步骤（8)中检测出的比对结果，截取篡改前和篡改后的网页，并通 过界面直观展现； (10) 形成报告：根据步骤（8)中检测出的比对结果、步骤（9)中获得的截图，形成网站 安全报告； (11) 产生告警：将步骤（10)中形成的网站安全报告发送给用户，用于反馈篡改信息。
【文档编号】G06F21/56GK104156665SQ201410350025
【公开日】2014年11月19日 申请日期:2014年7月22日 优先权日:2014年7月22日
【发明者】葛菲菲, 范渊, 杨永清, 莫金友 申请人:杭州安恒信息技术有限公司