一种混合环境下静态对象篡改的监测方法与流程

本发明涉及计算机安全领域，更具体的涉及一种混合环境下静态对象篡改的监测方法。

背景技术：

随着互联网日益深入人们的日常生活，人们通过网站资源获得大量信息，尤其是浏览政府官方网站以及各大门户网站，这些站点发布的信息往往具有政策性和时事性，因而也容易成为黑客攻击的首要目标，网络攻击现象尤为普遍。一旦网页被攻击者所篡改，往往会引起恶劣的社会影响，尤其是含有政治攻击色彩的篡改，会对政府形象造成严重损害。在互联网占统治地位的web服务器，如apache、iis等，对用户请求的页面缺乏完整性保护机制，无法有效防止页面被篡改。近年来，大型企业的信息化基础设施发生了巨大变化，特别是互联网+（云计算、物联网、大数据、移动计算）的关键技术对信息基础设施部署架构和技术架构产生了深远影响。这些基础设施主要面临集中、移动、共享等趋势，对静态对象保护技术提出新的挑战。

针对静态对象的保护技术也经过了技术的升级迭代。其中：第一代防篡改技术为时间轮训技术，也称外挂轮巡技术，其核心思想是利用网页监测程序，以轮巡方式读取要监控的目标网页与用户浏览到的网页作比较来判断网页内容的完整性，对别篡改页面文件进行恢复和报警。第二代防篡改技术为时间触发&核心内嵌技术，其核心思想是先将网页文件采取非对称加密存放，在接受外来访问请求时将经过加密访问过的页面文件解密后对外发布，若未通过验证，则拒绝对外发布，调用备份文件验证过解密后对外发布。第三代防篡改技术是文件过滤驱动+事件触发相结合的技术，其核心思想是将篡改监测的核心程序通过文件底层驱动技术应用到web服务器中，通过事件触发进行自动监测，将目标文件下的所有文件，对照其底层文件属性，采用内置散列快速算法计算数字指纹进行实时监测，若发现属性变更，通过非协议纯文本安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应位置，使用底层文件驱动技术，整个文件复制过程毫秒级，使公众无法看到被篡改页面。

经过多个监测篡改技术迭代发展，现有的针对静态对象防篡改的监测方法已经非常成熟，不过上述的三代防篡改技术都存在一个问题：现有防篡改监测方法中都只能是针对网页中的静态对象进行监测，而且监测之后仅仅能发现对应的静态文件被篡改，然后进行修复。这种方法是头痛医头，脚痛医脚。不能从深层次发现静态对象被篡改的原因，也就不能很好的针对篡改做出有效的反应。例如，现有监测技术发现某个网页被篡改，然后针对被篡改的文件进行修复或者查找相关的病毒。但是，如果是系统的中间件被篡改或者，修复后的网页会再次被篡改，这样就导致静态文件的反复被篡改。这样的修复就没有效果，并且不能统计被篡改频次等。

技术实现要素：

本发明的目的在于克服以上所述的缺点，提供一种混合环境下静态对象篡改的监测方法。在监测到静态文件被篡改之后，进一步统计被篡改情况，更进一步监测中间件和操作系统是否被篡改，从而为后续的查找缘由和修复做出准备。

一种混合环境下静态对象篡改的监测方法，可以在监测到静态对象是否被篡改的同时找出其被篡改的更深层次原因。

为实现上述目的，本发明的具体方案如下：

一种混合环境下的静态对象的监测方法，包括以下监测流程：

s1、监测静态对象是否被篡改，具体为，所述静态对象被依次监测是否被篡改，记录被篡改次数，判断被篡改次数是否超过预定次数t1，当是，则执行步骤s2；

s2、监测中间件是否被篡改；

s3、监测操作系统是否被篡改。

优选的，上述判断被篡改次数是否达到预定次数t1，其在依次监测各个静态对象的过程中，判断有任一静态对象被篡改的累计次数是否达到预定次数t1。

优选的，上述步骤s2和s3可以同步进行，其进一步包括：

s51、判断任一中间件和任一系统文件被篡改次数是否都达到预定次数t1，如果否，则执行步骤s52和/或s53；

s52、判断是否有任一中间件被篡改次数≥t2；

s53、判断是否有任一操作系统文件被篡改次数≥t2，。

s54、反馈被篡改结果。

优选的，上述判断被篡改次数是否达到预设次数t1，进一步包括，判断所有静态对象中累计被篡改是达到预设次数t1。

优选的，步骤s2和s3可以同步进行，进一步包括：

s61、为判断中间件累计被篡改次数和系统文件被篡改次数是否都达到预设次数t1，如果否，则执行步骤s62和/或s63，

s62、判断中间件累计被篡改次数是否≥t；

s63、判断系统文件累计被篡改次数是否≥t，；

s64、反馈被篡改结果。

优选地，所述步骤s62和s63是两个并行步骤，不限定先后顺序；

优选的，本发明的方法还包括：

s4、监测种子文件是否被篡改。

优选的，步骤s4包括：

s41、判断静态对象种子文件、中间件种子文件，以及操作系统种子文件是否都被篡改，如果否，则逐项监测静态对象的各个种子文件、逐项监测中间件的各个种子文件，以及逐项监测操作系统的各个种子文件，监测后记录各类型种子文件被篡改次数。

优选地，所述逐项监测静态对象的各个种子文件、逐项监测中间件的各个种子文件，以及逐项监测操作系统的各个种子文件，监测后记录各类型种子文件被篡改次数，进一步包括

s42、判断静态对象种子文件和中间件种子文件是否都被篡改，如果否，则执行步骤s45；

s43、判断静态对象种子文件和操作系统种子文件是否都被篡改，如果否，则执行步骤s45；

s44、判断中间件种子文件和操作系统种子文件是否都被篡改，如果否，则执行步骤s45；

s45、判断静态对象种子文件是否被篡改，如果否，则执行步骤s46,；

s46、判断中间件种子文件是否被篡改，如果否，则执行步骤s47；

s47、判断操作系统种子文件是否被篡改，如果否，则结束。

优选的，如果监测到中间件被篡改和/或检测到操作系统文件被篡改时，才执行所述s4监测种子文件是否被篡改的步骤。。

通过本方案的实施，检测的对象是所有静态对象，并实时统计静态对象被篡改的情况。在发现静态对象被篡改后，更进一步查找中间件、操作系统和种子文件的检测，并且根据不同的等级要求，提供灵活的监测方案。通过将静态对象、中间件和系统文件分层检测，更加具有针对性和效率；通过本方案中的方法，用户可以找到静态对象被篡改的原因，为下一步工作做好预判工作。

附图说明

图1是本发明一种混合环境下静态对象篡改的监测方法中监测流程图；

图2是本发明一种混合环境下静态对象篡改的监测方法中步骤s2的具体实施流程图；

图3是本发明一种混合环境下静态对象篡改的监测方法中步骤s3的具体实施流程图；

图4是本发明一种混合环境下静态对象篡改的监测方法中步骤s4的具体实施流程图；

图5是本发明一种混合环境下静态对象篡改的监测方法中步骤s5的具体实施流程图；

图6是本发明一种混合环境下静态对象篡改的监测方法中另一实施例流程图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步详细的说明，并不是把本发明的实施范围局限于此。

本发明提供混合环境下静态对象篡改的监测方法。本发明中涉及的专用名词描述如下：

混合环境：云计算环境和传统it架构为主的物理计算环境并行存在的数据中心it基础设施。

静态对象：是指以文档、设计图纸、视频、图像等计算机内存储的不在发生改变的电子文件。

种子文件：针对云计算环境下的存储方式，所有当地数据使用和系统都是从云平台调取的，我们将静态对象、中间件和操作系统在云平台的存储内容叫做种子文件。

如图1所示，本发明中的一种混合环境下静态对象篡改的监测方法包括：

s1：监测静态对象是否被篡改，如果是，则执行步骤s2；本步骤中，监测程序实时监测静态对象是否被篡改，当发现静态对象被篡改后则会执行步骤s2。在具体实施的过程中，监测软件可以采用哈希运算验证的方式判断静态对象是否被篡改，来逐一监测并记录被篡改次数和被篡改静态对象。

s2：监测中间件是否被篡改，如果是，则进行步骤s3。在监测到静态对象被篡改后，为了进一步判断其被篡改原因是由于其静态对象本身被非法程序篡改，还是由于中间件被篡改而导致的静态对象被篡改，因此在执行步骤s1后，发现有静态对象被篡改的情况时，需进一步监测中间件是否出现被篡改的情况。

s3：监测操作系统是否被篡改，如果是，则执行步骤s4。特别地，当上述步骤s2中监测到存储系统的中间件被篡改，为了判断其原因，本监测方法中进一步需监测操作系统是否被篡改。

s4：监测种子文件是否被篡改。进一步地，针对混合环境下云平台存储的方式，本地的静态对象、中间件和/或操作系统被篡改，也可能是因为其各自对应的来源已经被篡改了。由此，针对本地虚化的云计算混合环境下的系统，进一步提供种子文件的监测，从而找到被篡改的根本原因，为下一步修复提供基础。

s100，记录被篡改结果。在上述步骤判断完成后，记录所有被篡改结果，并反馈为下一步的处理提供参考。

在其他实施例中，步骤s2、s3和s4之间不是递进关系，也可以是并行关系。

如图2-4所示，更进一步的，

在步骤s1中的静态对象监测中，因为服务器中的静态对象包括若干个，在监测的过程中逐个逐项进行监测。假设静态对象数量为n，服务器内的静态对象依次为静态对象1、静态对象2…静态对象n-1、静态对象n。

s11，判断静态对象1被篡改次数是否达到预定次数t1，如果是，则执行步骤s2，如果否，则执行步骤s12。在实际监测的过程中，可以根据使用环境的安全等级，来预先设定t1的值。例如，在安全等级要求比较高的政府单位的服务器内，可以设定t1的值为1，也就是只要发现静态对象1被篡改，即需要进行步骤s2。在一些安全等级要求一般的使用环境下，可以设定t1的值为2，也即是，当静态对象1被篡改达到2次时，执行步骤s2。否则，执行步骤s12。

s12，判断静态对象2被篡改次数是否达到预定次数t1，如果是，则执行步骤s2，当否，则执行步骤s13。总的来说，当监测到某个静态对象被篡改次数≥t1次，执行步骤s2。如没有，则依次执行步骤s13、s14、s15，直到s1n，如果在执行步骤s1n后，还是否，则执行步骤s100。

在另一实施例中，在静态对象1-n的具体依次监测过程中，判断所有静态对象中的被篡改的累计次数是否达到预定次数t1，如若是，则执行步骤s2，如若否，则结束。在具体的判断过程中，例如，静态对象1被篡改次数为1次，静态对象2和静态对象3的被篡改次数均为为0次，静态对象4被篡改次数为2次，则统计累计被篡改次数为3次。

在步骤s2中的中间件的监测中，因为中间件包括若干个，在具体的监测过程中需要一个一个的监测。设定中间件数量为w，分别为中间件1、中间件2…中间件w。在步骤s2中，具体的为执行步骤s21、s22、…、s2w。

进一步地，通过哈希值校验的方式，监测所述各个中间件是否被篡改。

s21，判断中间件1被篡改次数是否达到预定次数t2，如果是，则执行步骤s3，当否，则执行步骤s22，在实际监测的过程中，可以根据使用环境的安全等级，设定t2的值。例如，在安全等级要求比较高的政府单位的服务器内，可以设定t2的值为1，也就是只要发现中间件1被篡改，即需进行步骤s3。在一些安全等级要求一般的使用环境下，可以设定t2的值为2，也即是，当中间件1被篡改达到2次时，执行步骤s3。否则，执行步骤s22。

s22，判断中间件2被篡改次数是否≥t2次，当是，则执行步骤s3，当否，则执行步骤s23，步骤s23的执行如s22，并依次执行到s2w，如若在执行s21到s2w的过程中都没有发现有某个静态对象被篡改次数超过t2次的，则执行步骤。如若执行s21到s2w的过程中发现任意一个静态对象被篡改次数超过t2次的，则执行步骤s3。

在另一实施例中，在中间件1-w的具体依次监测过程中，判断w个中间件中的被篡改的中间件次数累计是否≥t2次。若是，则执行步骤s3，如若否，则结束。在步骤s2中的监测过程中，一些规则如步骤s1。

步骤s3对操作系统的监测过程中，依次通过监测操作系统内的系统文件是否被篡改来监测。进一步地，所述监测可以通过对操作系统文件进行哈希校验的方式，其监测逻辑可以如步骤s1和s2。另一方面，因为操作系统被篡改对静态对象和整个系统运行有较大影响，故，通常是只要操作系统被篡改了，即进行步骤s4。

在其他实施例中，因为针对静态对象的监测是周期性的，例如，1小时内进行一次静态对象的监测，监测周期为1分钟，如果在一个监测周期内发现有多个静态对象被篡改，或者有任意一个静态对象被篡改多次，则判断被篡改现象严重，针对这种严重的情景下，我们可以跳过中间件的监测步骤，直接监测系统文件是否被篡改。又或是直接监测种子文件。总的来说，在进行步骤s1后，步骤s2、s3和s4之间的顺序可以不做限定。在监测的过程中可以设定不同的条件来设定进行监测的顺序。

如图5所示，下面具体描述步骤s4的执行过程：

s41，静态对象种子文件、中间件种子文件、操作系统种子文件是否都被篡改，如果是，则执行步骤s100；如果否，则进行步骤s42、s43和s44，其中步骤s42、s43和s44是并行处理关系。其中，步骤s41中，依次监测静态对象的种子文件、依次监测中间件的种子文件和依次监测操作系统的种子文件，监测后并记录被篡改次数,并判断是否被篡改，作为一个优选实施例，上述方法包括：

s42，判断静态对象种子文件和中间件种子文件是否都被篡改，如果是，执行步骤s100。如果否，执行步骤s45。

s43，判断静态对象种子文件和操作系统种子文件是否都被篡改，如果是，则执行步骤s100，如果否，则执行步骤s45。

s44，判断中间件种子文件和操作系统种子文件是否都被篡改，如果是，则执行步骤s100，如果否，则执行步骤s45。

s45，判断静态对象种子文件是否被篡改。如果是，则执行步骤s100，如果否，则执行步骤s46。

s46，判断中间件种子文件是否被篡改。如果是，则执行步骤s100，，如果否，则执行步骤s47。

s47，判断操作系统种子文件是否被篡改，步骤s47后执行步骤s100。。

需要说明的是，因为步骤s42、s43、s44可以是并行处理的步骤，所以，步骤s45、s46和s47也可以为并行处理的步骤，也即是在分别进行或者并行进行s45、s46和s47后，流程结束。另一个角度看，如果有顺序，s45、s46和s47是可以随意调换的。本发明针对云计算混合环境下的防篡改技术，提供本地文件的种子文件检测，更深入的寻找静态对象被篡改的原因。

在其他实施例中，针对被篡改严重的情景下，也可以根据系统安全等级要求，在发现静态对象有被篡改情况下，立即同步进行中间件和操作系统的监测工作。如图6所示：

s51，判断任一中间件和任一系统文件被篡改次数是否都达到预定次数t3，当是，则结束。当否，则同时执行步骤s52和s53。在本步骤进行过程中，依次监测完成中间件和系统文件的监测工作。

s52，判断是否有任一中间件被篡改次数≥t3，；

s53，判断是否有任一系统文件被篡改次数≥t3；。

s54，反馈被篡改结果。

上述步骤s51其实已经完成步骤s2和s3的中间件和系统文件依次监测过程，步骤s52和s53仅仅是对最后篡改次数和t3值之间的判断。故，实际上可以看做为步骤s51、s52和步骤s53为步骤s2和步骤s3的更具体的分解步骤。

在另一实施例中，s51为判断中间件累计被篡改次数和系统文件被篡改次数是否都≥t3，s52，判断系统文件累计被篡改次数是否≥t3，s53，判断中间件累计被篡改次数是否≥t3。

通过本发明中的具体实施案例，在针对静态对象的监测过程中，可以监测到静态对象被篡改的更深层次的原因，通过本发明中的方法，可以为监测后的修复等工作做好准备。另外，本方案中针对静态对象重新定义，本方案中针对的静态对象是指以文档、设计图纸、视频、图像等计算机内存储的不在发生改变的电子文件，可以理解的，这个电子文件只有人为操作才可以被修改。本发明很好的覆盖了网页检测和病毒检测针对的检测对象的缺漏--导致检测不全面。另外，本发明中的方案将静态对象与中间件和操作系统及种子文件之间的检测分离，有效的提升监测有效性和效率。并通过针对静态对象的检测分析被篡改情况来决定是否进行其他对象的检测。

本具体实施方式仅仅是具体的阐述了本发明的技术方案，描述的比较详细具体，但不能将我们的保护范围仅仅限定在本发明的具体实施方式中，对于本领域技术人员，从本具体实施方式中简单的置换或者显而易见的改变都应该属于本发明的保护范围。