一种网站入侵检测方法与装置

1.本发明涉及安全检测领域，特别是涉及一种网站入侵检测方法与装置。


背景技术：

2.影响网站安全水平的因素是多方面的，因此，提高网站安全水平也需要从各个环节和各个方面进行加强，如加强网站的安全需求分析、网站的安全设计、网站编码安全技术和网站安全性能测试，同时还要提高网站上线后的安全运维技术，如对网站运维人员进行安全知识和技术的培训，建设和完善网站的安全管理制度，以及使用各类安全防护的软硬件设施设备，如软硬件防火墙、入侵检测系统、蜜罐系统、安全认证介质、网络行为分析、杀毒软件、https加密协议和信息系统安全等级保护认定等等，以上均是网站安全的事前防护，但很多网站都不能在各个环节和各个方面做到完美，以至于给了黑客入侵的机会。


技术实现要素：

3.为了解决现有技术存在的上述问题，本发明提供了一种网站入侵检测方法与装置。
4.为实现上述目的，本发明提供了如下方案：
5.一种网站入侵检测方法，包括：
6.获取配置参数；所述配置参数包括：基本信息、监控方案、短信服务、邮件服务和监控系统运行状态报告；
7.根据所述配置参数生成监控信息；
8.根据所述监控信息检测是否遭受入侵；所述监控信息包括监控日志信息、监控状态日志信息和监控事件信息；所述监控日志信息包括：报警日志、时间处理结果日志、发送短信日志和发送邮件日志；所述监控状态日志信息包括：启动工作日志、暂停工作日志、继续工作日志、停止工作日志和运行状态报告日志。
9.优选地，所述根据所述配置参数生成监控信息，具体包括：
10.对所述配置参数中的敏感数据进行加密；所述敏感数据包括密码、密钥和身份信息；
11.对所述配置参数中除敏感数据之外的参数和加密后的敏感数据进行数据格式化处理；
12.根据格式化处理后的数据生成监控信息，并存储所述监控信息。
13.优选地，所述根据所述监控信息检测是否遭受入侵，具体包括：
14.监控静态文件夹，当监控到所述静态文件夹下发生动态操作时，生成第一报警信号，并执行事件处理流程；所述静态文件夹为工作过程中不发生改变的文件夹；所述动态操作包括：创建操作、修改操作、删除操作和重命名操作；
15.监控允许用户上传的文件目录，当监控到除允许用户上传的文件目录外的其他文件格式时，生成第二报警信号，并执行事件处理流程；
16.监控用户预设文件操作动作，当监控到用户预设文件操作动作时，生成第三报警信号，并执行事件处理流程。
17.优选地，所述事件处理流程包括：
18.捕捉事件，并对捕捉的事件进行合法性判断，得到判断结果；
19.当所述判断结果为捕捉的事件合法时，返回执行“捕捉事件，并对捕捉的事件进行合法性判断，得到判断结果”；
20.当所述判断结果为捕捉的事件不合法时，发送提示信息和日志信息，关闭iis站点。
21.优选地，当捕捉的事件为对静态文件夹进行动态操作时，在关闭iis站点之前，还执行以下操作：
22.当动态操作为创建操作时，删除创建文件；
23.当动态操作为修改操作、删除操作或重命名操作时，对被修改的文件执行还原操作。
24.根据本发明提供的具体实施例，本发明公开了以下技术效果：
25.本发明提供的网站入侵检测方法，进行相关参数配置之后，依据配置的参数生成监控方案，然后，依据监控方案对iis站点下的目录和文件进行监控，生成监控日志信息和监控状态日志信息，并对监控到的异常进行日志报警和关闭iis站点等处理，以便在协助网站系统管理提高网站运维安全水平的同时，有效减少网络安全事故的发生，进而减轻网络安全事故的危害。
26.对应于上述提供的网站入侵检测方法，本发明还提供了一种网站入侵检测装置，该装置包括：
27.参数配置模块，用于为用户提供参数配置功能；所述参数配置功能包括：基本信息配置功能、监控方案配置功能、短信服务器配置功能、邮件服务器配置功能和监控系统运行状态报告配置功能；
28.监控系统，与所述参数配置模块连接，用于根据所述配置的参数生成监控信息，并用于根据所述监控信息检测是否遭受入侵；所述监控信息包括监控日志信息、监控状态日志信息和监控事件信息；
29.报警日志模块，与所述监控系统连接，用于显示所述监控日志信息；所述监控日志信息包括：报警日志、时间处理结果日志、发送短信日志和发送邮件日志；
30.状态日志模块，与所述监控系统连接，用于显示所述监控状态日志信息；所述监控状态日志信息包括：启动工作日志、暂停工作日志、继续工作日志、停止工作日志和运行状态报告日志。
31.优选地，所述监控系统包括：
32.加密单元，与所述参数配置模块连接，用于对用户所配置参数中的敏感数据进行加密；所述敏感数据包括密码、密钥和身份信息；
33.格式序列化单元，与所述加密单元连接，用于对用户所配置的除敏感数据之外的参数和加密后的敏感数据进行数据格式化处理；
34.监控信息生成单元，与所述格式序列化单元连接，用于根据格式化处理后的数据生成监控信息；
35.数据存储单元，与所述监控信息生成单元连接，用于存储所述监控信息；
36.实时监控单元，与所述数据存储单元连接，用于基于所述监控信息确定是否存在网络入侵。
37.优选地，所述格式序列化单元采用javascriptserializer对用户所配置的除敏感数据之外的参数和加密后的敏感数据进行数据格式化处理。
38.优选地，所述实时监控单元包括：
39.第一实时监控器，用于监控静态文件夹，并用于当监控结果存在异常时生成第一报警信号；所述静态文件夹为工作过程中不发生改变的文件夹；
40.第二实时监控器，用于监控允许用户上传的文件目录，并用于当监控结果存在异常时生成第二报警信号；
41.第三实时监控器，用于监控用户预设文件操作动作，并用于当监控结果存在异常时生成第三报警信号。
42.优选地，所述第一实时监控器、所述第二实时监控器和所述第三实时监控器均包括：处理器；
43.所述第一实时监控器中的处理器，用于当监控到所述静态文件夹下发生动态操作时，生成所述第一报警信号，并执行事件处理流程；所述动态操作包括：创建操作、修改操作、删除操作和重命名操作；
44.所述第二实时监控器中的处理器，用于当监控到除允许用户上传的文件目录外的其他文件格式时，生成所述第二报警信号，并执行事件处理流程；
45.所述第三实时监控器中的处理器，用于当监控到用户预设文件操作动作时，生成第三报警信号，并执行事件处理流程。
46.因本发明提供的网站入侵检测装置实现的技术效果与上述提供的网站入侵检测方法实现的技术效果相同，故在此不再进行赘述。
附图说明
47.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
48.图1为本发明提供的网站入侵检测方法的流程图；
49.图2为本发明提供的网站入侵检测装置的结构示意图；
50.图3为本发明实施例提供的事件处理流程图；
51.图4为本发明实施例提供的网站入侵检测装置的系统框架图；
52.图5为本发明实施例提供的网站入侵检测装置的系统界面图；
53.图6为本发明实施例提供的参数配置界面图；
54.图7为本发明实施例提供的报警日志显示界面图；
55.图8为本发明实施例提供的状态日志显示界面图。
具体实施方式
56.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
57.本发明的目的是提供一种网站入侵检测方法与装置，能够有效降低网络安全事故的发生概率。
58.为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。
59.如图1所示，本发明提供的一种网站入侵检测方法，包括：
60.步骤100：获取配置参数。配置参数包括：基本信息、监控方案、短信服务、邮件服务和监控系统运行状态报告。
61.步骤101：根据配置参数生成监控信息。
62.步骤102：根据监控信息检测是否遭受入侵。监控信息包括监控日志信息、监控状态日志信息和监控事件信息。监控日志信息包括：报警日志、时间处理结果日志、发送短信日志和发送邮件日志。监控状态日志信息包括：启动工作日志、暂停工作日志、继续工作日志、停止工作日志和运行状态报告日志。
63.进一步，为了提高检测的安全性，上述步骤101的具体实施过程可以为：
64.对配置参数中的敏感数据进行加密。敏感数据包括密码、密钥和身份信息。
65.对配置参数中除敏感数据之外的参数和加密后的敏感数据进行数据格式化处理。
66.根据格式化处理后的数据生成监控信息，并存储监控信息。
67.进一步，上述步骤102具体实施时，依据不同的监控对象，会对应生成不同的监控操作，例如：
68.监控静态文件夹，当监控到静态文件夹下发生动态操作时，生成第一报警信号，并执行事件处理流程。静态文件夹为工作过程中不发生改变的文件夹。动态操作包括：创建操作、修改操作、删除操作和重命名操作。
69.监控允许用户上传的文件目录，当监控到除允许用户上传的文件目录外的其他文件格式时，生成第二报警信号，并执行事件处理流程。
70.监控用户预设文件操作动作，当监控到用户预设文件操作动作时，生成第三报警信号，并执行事件处理流程。
71.其中，上述采用的事件处理流程包括：
72.捕捉事件，并对捕捉的事件进行合法性判断，得到判断结果。
73.当判断结果为捕捉的事件合法时，返回执行“捕捉事件，并对捕捉的事件进行合法性判断，得到判断结果”。
74.当判断结果为捕捉的事件不合法时，发送提示信息和日志信息，关闭iis站点。
75.进一步，当捕捉的事件为对静态文件夹进行动态操作时，在关闭iis站点之前，还执行以下操作：
76.当动态操作为创建操作时，删除创建文件。
77.当动态操作为修改操作、删除操作或重命名操作时，对被修改的文件执行还原操
作。
78.对应于上述提供的网站入侵检测方法，本发明还提供了一种网站入侵检测装置，如图2所示，该装置包括：参数配置模块1、监控系统2、报警日志模块3和状态日志模块4。
79.参数配置模块1用于为用户提供参数配置功能。参数配置功能包括：基本信息配置功能、监控方案配置功能、短信服务器配置功能、邮件服务器配置功能和监控系统运行状态报告配置功能。
80.监控系统2与参数配置模块1连接，用于根据配置的参数生成监控信息，并用于根据监控信息检测是否遭受入侵。监控信息包括监控日志信息、监控状态日志信息和监控事件信息。
81.报警日志模块3与监控系统2连接，用于显示监控日志信息。监控日志信息包括：报警日志、时间处理结果日志、发送短信日志和发送邮件日志。
82.状态日志模块4与监控系统2连接，用于显示监控状态日志信息。监控状态日志信息包括：启动工作日志、暂停工作日志、继续工作日志、停止工作日志和运行状态报告日志。
83.为了提高检测安全性，上述采用的监控系统2包括：加密单元、格式序列化单元、监控信息生成单元、数据存储单元和实时监控单元。
84.其中，加密单元与参数配置模块1连接，用于对用户所配置参数中的敏感数据进行加密。敏感数据包括密码、密钥和身份信息。
85.格式序列化单元与加密单元连接，用于对用户所配置的除敏感数据之外的参数和加密后的敏感数据进行数据格式化处理。例如，格式序列化单元采用javascriptserializer对用户所配置的除敏感数据之外的参数和加密后的敏感数据进行数据格式化处理。
86.监控信息生成单元与格式序列化单元连接，用于根据格式化处理后的数据生成监控信息。
87.数据存储单元与监控信息生成单元连接，用于存储监控信息。
88.实时监控单元与数据存储单元连接，用于基于监控信息确定是否存在网络入侵。
89.进一步，为了提高监控处理的实时性和精确性，上述采用的实时监控单元可以设置有：第一实时监控器、第二实时监控器和第三实时监控器。
90.第一实时监控器用于监控静态文件夹，并用于当监控结果存在异常时生成第一报警信号。静态文件夹为工作过程中不发生改变的文件夹。
91.第二实时监控器用于监控允许用户上传的文件目录，并用于当监控结果存在异常时生成第二报警信号。
92.第三实时监控器用于监控用户预设文件操作动作，并用于当监控结果存在异常时生成第三报警信号。
93.其中，在第一实时监控器、第二实时监控器和第三实时监控器中均设置有处理器。
94.第一实时监控器中的处理器，用于当监控到静态文件夹下发生动态操作时，生成第一报警信号，并执行事件处理流程。动态操作包括：创建操作、修改操作、删除操作和重命名操作。
95.第二实时监控器中的处理器，用于当监控到除允许用户上传的文件目录外的其他文件格式时，生成第二报警信号，并执行事件处理流程。
96.第三实时监控器中的处理器，用于当监控到用户预设文件操作动作时，生成第三报警信号，并执行事件处理流程。
97.其中，如图3所示，上述采用的事件处理流程包括：
98.捕捉事件，并对捕捉的事件进行合法性判断，得到判断结果。
99.当判断结果为捕捉的事件合法时，返回执行“捕捉事件，并对捕捉的事件进行合法性判断，得到判断结果”。
100.当判断结果为捕捉的事件不合法时，发送提示信息和日志信息，关闭iis站点。
101.当捕捉的事件为对静态文件夹进行动态操作时，在关闭iis站点之前，还执行以下操作：
102.当动态操作为创建操作时，删除创建文件。
103.当动态操作为修改操作、删除操作或重命名操作时，对被修改的文件执行还原操作。
104.下面基于如图4所示的系统框架结构，对上述提供的网站入侵检测装置的具体实施过程进行说明。
105.如图4所示，本实施例提供的网站入侵检测装置包括：
106.(1)启动/停止模块：该模块为网站系统管理员提供监控系统的启动监控和停止监控操作功能。
107.(2)参数配置模块：该模块为网站系统管理员提供参数配置功能，包括基本信息配置、监控方案配置、短信服务器配置、邮件服务器配置和监控系统运行状态报告配置，其中：
108.基本信息配置包括被监控的网站系统名称、管理员姓名、管理员手机、管理员邮箱和iis站点名称等信息。
109.监控方案配置包括三个互相独立的配置方案：方案一是需要监控网站的静态目录和文件，可配置多个监控目录，这些路径下的文件是静态的，该配置下的目录和文件发生任何创建、删除、修改和重命名事件时均会触发监控系统报警。方案二是需要监控用户上传的文件，可以配置多个用户上传文件的目录以及多种允许上传的文件格式，当该目录发生创建或重命名事件时触发监控进行合法性判断。方案三是网站系统管理员根据需要自定义文件监控，可配置多个任意目录并选择多种触发监控的事件，监控系统根据网站系统管理员配置的监控目录和触发事件进行工作。
110.短信服务器配置用于选择和配置监控系统发送短信提醒的服务商、uid和key。
111.邮件服务器配置用于选择和配置监控系统发送邮件提醒的服务商、邮箱账号和邮箱密码。
112.运行状态报告配置用于配置监控系统报告自身运行状态的时间和间隔天数，监控系统根据配置的时间和频率定期向网站系统管理员报告自身的运行状态，若网站系统管理员在预计的时间内未收到监控系统的运行状态报告说明监控系统的工作出现异常。
113.(3)报警日志模块：该模块主要显示监控系统的报警日志、事件处理结果日志以及发送短信和邮件的日志信息。
114.(4)状态日志模块：该模块主要显示监控系统的启动、暂停、继续、停止以及自身运行状态报告的日志信息。
115.在该实施例中，网站入侵检测装置能根据网站系统管理员配置的监控方案，实时
地对iis站点下的目录和文件进行监控，捕捉到目标事件后能进行合法性判断，并对异常事件进行处理，确保网站系统和服务器的安全稳定运行。监控系统还能实时地将监控信息、异常处理结果信息以及系统运行状态信息以短信和邮件的方式通知网站系统管理员，且对无法处理或处理失败的异常事件提供辅助关闭iis站点的功能。
116.网站系统管理员启动网站入侵检测装置前，需要配置或核对相关参数，配置参数界面如图6所示，配置完后点击“更新配置参数”完成配置，然后点击“监控操作”选项卡中的“启动”按钮即可启动监控系统，如下图5所示。
117.监控系统启动后，监控系统会根据网站系统管理员配置的监控方案进行工作，当监测到异常事件时，监控系统将异常事件信息在报警日志模块进行显示，并开始处理异常事件，处理完后亦将结果信息显示在报警日志模块，如图7所示。
118.状态日志模块主要用于显示监控系统的相关工作状态，如参数配置结果、监控器创建结果、监控启动与停止状态显示、监控系统运行状态报告等信息，如图8所示。
119.网站系统管理员在运行监控系统时，需要先填写或核对配置参数，然后点击“启动”按钮，监控系统开始执行工作，当监控系统捕捉到相关事件时，均需要根据不同的监控方案和不同的监控事件进行相应的合法性判断或事件处理。
120.其中，在该实施例中，监控方案有三种：第一种是对静态文件夹的监控，静态文件夹是指在网站运行过程中自始至终都不会发生变化的文件夹，因此当监控器监控到这类文件夹下发生创建、修改、删除和重命名等操作时立马触发报警，从而进入异常事件处理流程，处理流程见图2。第二方案是对网站用来存储用户上传的文件的目录进行监控，管理员需要设定这类目录下允许用户上传的文件格式，监控系统根据管理员的设定，当监控到这类目录下出现非预设的文件格式时触发报警，从而进入异常事件处理流程。第三种方案是管理员可以自定义某些文件夹下触发报警的文件操作动作，比如管理员可以指定某个文件夹当出现删除文件动作时触发报警。合法性判断主要是指当网站目录下文件发生变化时，这种变化是否符合管理员的设定，如果符合则不处理，如果不符合则是异常事件需要进行处理。
121.启动监控系统前，网站系统管理员首先需要配置或核对监控系统的相关参数。配置参数时需要将相关参数信息以json数据格式保存在应用程序目录下的monitorset.xml文件，监控系统先要将秘钥和密码等敏感数据加密，然后使用javascriptserializer进行数据格式序列化再进行保存。
122.需要使用或回显配置参数时，监控系统通过调用可自动解析json数据格式的monitorset函数即可快速实现获取或回显配置参数。
123.为了避免网站系统管理员反复配置参数，监控系统需要保存网站系统管理员配置的当前参数，同时还需要保存监控系统的历史日志信息以备检查，且为了提高监控系统的易用性，无需网站系统管理员安装和配置数据库软件。因此，在本系统的设计中，采用了文件存储的方式，将网站系统管理员配置的当前参数和监控系统的历史日志信息保存在应用程序目录下特定的文件和子目录中。其中当前配置参数以json数据格式进行保存，当前配置参数的短信秘钥和邮箱密码是敏感信息，因此需要先加密后存储。对于历史日志信息的存储则：每次打开监控系统时均自动生成一个以时间格式为文件名的日志文件，用于存储本次使用监控系统发生的日志信息。
124.监控系统的核心部件是实时监控器，本系统采用由filesystemwatcher提供的实时监控器，由于监控系统向网站系统管理员提供三种监控方案，三种监控方案单一使用或组合使用，且每种监控方案均支持同时监控多个网站目录，因此需要为每个监控方案的每个监控目录创建实时监控器，并设定各个监控目录的监听事件。
125.当监控系统捕捉到目标事件或对异常事件进行处理后，以及设定的监控系统运行状态报告时间到达时，监控系统均需要向网站系统管理员发送报告信息，发送报告信息时，监控系统通过调用封装好发送报告信息的sendmessage函数实现，该函数再根据网站系统管理员配置的服务商、用户名和密码等信息调用服务商提供的发送短信或邮件接口从而完成监控信息报告。其中，日志文件只是记录监控器运行状态和记录监控到的事件以及对事件处理的结果，起辅助作用。监控系统通过对管理员设定的监控目录和规则对文件夹进行监控，当监控到的事件与管理员设定不符合时则算上目标事件或异常事件，则需要进行相应的处理，避免产生不良后果和影响。
126.监控系统从启动到停止，期间所有的事件信息均通过日志形式在相应的模块进行显示，同时历史日志信息需要保存在应用程序目录下的特定子目录中。监控系统每次运行都会在特定的字目录下创建一个以时间格式为文件名的日志文件，如20220227190244.txt，本次运行的所有日志信息均以append的形式写入该日志文件。
127.基于上述描述，本发明能根据网站系统管理员配置的监控方案，实时地对iis站点下的目录和文件进行监控，捕捉到目标事件后能进行合法性判断，并对异常事件进行处理，确保网站系统和服务器的安全稳定运行。监控系统还能实时地将监控信息、异常处理结果信息以及系统运行状态信息以短信和邮件的方式通知网站系统管理员，且对无法处理或处理失败的异常事件提供辅助关闭iis站点的功能。系统配置简单使用便捷无需安装数据库，是一款通用型的iis站点入侵监控装置，能帮助网站系统管理员提高网站运维的安全水平，有效减少网络安全事故的发生和减轻网络安全事故造成的后果。
128.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。
129.本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。