专利名称:监控网站应用程序使用情境安全性的系统及方法
技术领域:
本发明涉及一种网络安全的系统。明确地说,本发明涉及一种监控网站应用程序使用情境安全性的系统、方法、程序产品及存储记录媒体。
背景技术:
随着因特网及电子商务技术的成熟发展,许许多多的网站应用程序提供各式各样方便且强大的功能(如网络购物,网络银行交易等等)供用户使用,当涉及到用户数据或者交易行为时,这些网站应用程序的安全性也变得格外重要。不论是网站应用程序用户或是网站应用程序服务的提供者都在意所提供的功能服务是否有足够的安全性考虑,这些常用的网站应用程序如果被黑客植入恶意程序,在用户执行的过程中,会盗取其隐私数据,将会造成用户及服务提供者的损失。另外,即使网站应用程序不幸被黑客植入恶意程序,网站应用程序服务的提供者仍然需要在第一时间获得通知,进而马上处理,以防客户受害和损及自己的商誉。
然而,虽然市面上已存在许多网站安全的监控方案,但是目前安全性测试服务厂商的作法是根据网站应用程序用户或网站应用程序服务提供者(后文中均统称为"订户")提供待监控的URL或URL列表进行监控的服务;这样的方法只做到了个别URL的监控,对于用户在使用这些网站应用程序的真正使用情境(如网络购物交易,网络银行转帐交易等等)未能做到安全性监控,因为真正的使用情境并非仅是URL列表,还包含了在浏览器与网站应用程序使用http通信协议沟通时的http标题、小型文字档(cookies)、会话、形式数据等等须用以判断的信息,这些都是订户无法输入提供的信息。如此一来,目前市面上的网站应用程序安全监控服务对于在网络上交换的所有信息无法全部进行监控,而造成了网络安全的一大漏洞。因此, 一个能够针对所有网络上的信息做监控的网络安全监控方法是必须且重要的。
发明内容
由于现有方法无法对订户真正想知道的网站应用程序使用情境安全性做监控,因此本发明的主要目的是提出一种监控网站应用程序使用情境安全性的方法,以网站应用程序使用情境脚本录制程序解决订户无法输入使用情境的问题,以监控代理程序执行订户使用情境并下载实际网站应用程序产生的网页及数据,建立虚拟受测网站。解决安全测试程序无法模拟使用情境中各功能涉及http标题、小型文字档、会话、形式数据等等处理的问题,再将使用情境转换对应于虚拟受测网站且符合安全测试程序能接受的输入格式,以达到监控网站应用程序使用情境的安全性。
本发明的一实施例揭示一种监控网站应用程序使用情境安全性的系统,其包含监控管理装置、监控代理装置及安全测试装置。所述监控管理装置用以存储至少一监控工作要求,所述至少一监控工作要求包含对应于网站应用程序的第一使用情境脚本;所述监控代理装置用以加载所述监控工作要求并产生第二使用情境脚本;以及所述安全测试装置,其用以接收所述第二使用情境脚本并对其进行安全测试。
本发明另一实施例揭示一种监控网站应用程序使用情境安全性的方法。首先,从监控管理装置加载监控工作要求,所述监控工作要求对应于第一使用情境脚本,所述第一使用情境脚本对应于网站应用程序。接着,依照所述第一使用情境脚本于所述网站应用程序执行使用情境,下载执行所述使用情境产生的网页及数据。根据所述网页及数据建立虚拟受测网站,并且根据所述第一使用情境脚本产生对应于所述虚拟受测网站的第二使用情境脚本。以及,将所述第二使用情境脚本提供给安全测试装置,以使得所述安全测试装置可依照所述第二使用情境脚本针对所述虚拟受测网站进行安全测试。
本发明另一实施例揭示一种计算机可读记录媒体,其用以存储执行先前所揭示的根据本发明的方法的计算机程序。此外,由于计算机程序经由网络传输应用的特性,本发明的另一实施例是根据先前所揭示的方法,揭示一种监控程序产品。
图1是本发明的监控网站应用程序使用情境安全性方法的架构的示意图。图2是本发明的监控网站应用程序使用情境安全性方法的流程图。
具体实施例方式
为让本发明的上述和其它目的、特征和优点能更明显易懂,下文特举出优选实施例,并配合所附图式,作详细说明如下。
图l是本发明的监控网站应用程序使用情境安全性方法的架构的示意图。监控管理服务器110包含有存储器11、 CPU 13、监控管理程序15、网络接口 17以及计算机可读记录媒体18。监控代理计算机120包含有存储器21、 CPU 23、监控代理程序25、网络接口 27以及虚拟受测网站29。客户端计算机130包含有存储器31、 CPU 33、录制程序35、网络接口 37以及计算机可读记录媒体38。安全测试服务器150包含有存储器51、 CPU 53、安全测试程序55以及网络接口57。被监控网站服务器170包含有存储器71、 CPU73、网站应用程序75以及网络接口 77。其中,网络接口 17、 27、 37、57、 77之间可以http或ftp等的任何通信协议沟通。首先,经由网络接口37与网络接口77,客户端计算机130使用录制程序35录制订户使用被监控网站服务器170的网站应用程序75过程中的所有信息以得到使用情境脚本,并将所述使用情境脚本存储于计算机可读记录媒体38中,其中所述使用情境脚本包含执行过程中URL、 http标题、小型文字档、会话、形式数据等等信息。通过客户端计算机130的网络接口 37和监控管理服务器110的网络接口 17连接,订户将所述使用情境脚本上传到监控管理服务器110,存储于计算机可读记录媒体18中。并且,订户可于监控管理服务器IIO上设定监控工作要求,以使得所述监控工作要求包含所述使用情境脚本与监控周期。
监控代理计算机120中的监控代理程序25会经由网络接口 27定期检测监控管理服务器110上是否有新的监控工作要求。如果有新的监控工作要求,那么监控代理计算机120下载所述监控工作要求,并且依照所述监控工作要求中的使用情境脚本,经由网络接口 27与被监控网站服务器170的网络接口 77,模拟订户使用所述网站应用程序75的过程,下载实际网站应用程序相关的网页,并根据所述网页建立虚拟受测网站29。接着,监控代理计算机120将所述使用情境脚本转换,以使其对应于虚拟受测网站29并且符合安全测试程序55的输入格式,经由网络接口 27与网络接口 57将所述转换后的使用情境脚本提供给安全测试服务器150,以使得安全测试程序55对接收到的使用情境脚本进行安全测试。其中,所述转换后的使用情境脚本可以是URL、URL列表、网页文件、或是任何符合所述安全测试程序55输入格式的数据格式。在另一实施例中,当所述上传到监控代理计算机120的使用情境脚本符合所述安全测试程序55的输入格式时,监控代理计算机120便不需建立虚拟受测网站29及转换所述使用情境脚本,而直接将所述使用情境脚本提供给安全测试服务器150以进行安全测试。
监控代理程序25会根据所述监控工作要求的所述监控周期重复监控所述网站应用程序。为真实反映被监控网站应用程序使用情境当下的安全性,监控代理程序25于每次周期性进行监控之前,重新产生新的虚拟受测网站内容以取代之前所建立的虚拟受测网站内容。
在一个实施例中,监控管理服务器110可经由网络接口 17与网络接口57从安全测试服务器150接收安全测试的结果,分析所述结果并产生报表,以存储于计算机可读记录媒体18中以供订户查询。当发现测试结果有危害订户安全的疑虑时,监控管理服务器IIO可以各种媒介(例如,电子邮件或短消息等等)实时通知订户进行后续处理。
在另一实施例中,监控代理程序25或虚拟受测网站29可经由网络接口 27与网络接口 57从安全测试服务器150接收安全测试的结果,监控代理程序25或虚拟受测网站29再将所述结果上传到监控管理服务器110。监控管理服务器110在根据所述结果进行分析并产生报表,以存储于计算机可读记录媒体18中以供订户查询。当发现测试结果有危害订户安全的疑虑时,监控管理服务器110可以各种媒介(例如,电子邮件或短消息等等)实时通知订户进行后续处理。在一个实施例中,监控代理计算机120可将所述转换后的使用情境脚本切割成多个分段使用情境脚本,以提供给安全测试装置
7150进行所述安全测试。而监控管理服务器110可接收安全测试装置150进行所述安全测试的多个测试结果,并整合所述测试结果以产生报表。
图2是本发明的监控网站应用程序使用情境安全性方法的流程图。首先,订户使用录制程序针对被监控网站应用程序录制待监控的使用情境脚本(S1),订户可用录制程序检查是否录制成功(S2)。如果录制失败,那么重新录制所述使用情境脚本(S1);如果录制成功,那么订户可用录制程序将录制成功的使甩情境脚本上传到监控管理服务器(S3),监控管理服务器会存储所述使用情境脚本并启动此项监控工作要求(S4)。接着,监控代理程序会从监控管理服务器下载所述监控工作要求及所述使用情境脚本,并且根据所述下载的使用情境脚本模拟订户使用被监控网站应用程序的过程并下载相关的网页(S5)。监控代理程序会根据下载的相关网页建立虚拟受测网站,并且转换所述使用情境脚本以使其对应于所述虚拟受测网站且符合安全测试程序的输入格式(S6)。最后,监控代理程序将转换后的使用情境脚本传给安全测试程序(S7)。在安全测试程序完成安全测试后,监控管理服务器可接收安全测试程序进行安全测试的结果,并根据所述结果进行分析,当发现测试结果有危害订户安全的疑虑时,以各种媒介(例如,电子邮件或短消息等等)实时通知订户进行后续处理,并且产生报表以供订户查询(S8)。
相比于常规方法受限于订户能输入的信息仅为URL或URL列表,而安全测试程序仅能接受URL, URL列表,或上传的网页文件,无法针对不仅包含URL,还需含http标题、小型文字档、会话、形式数据等等信息的网站应用程序使用情境(如网络购物交易,网络银行转帐交易等等)做安全性监控,本发明解决这些限制以做到监控网站应用程序使用情境的安全性。本发明的方法,以录制程序解决订户无法输入使用情境的问题,以监控代理程序执行订户使用情境并下载实际网站应用程序会产生的网页及数据建立虚拟受测网站解决安全测试程序无法模拟使用情境中各功能涉及http标题、小型文字档、会话、形式数据等等处理的问题,再将使用情境转换对应于虚拟受测网站且符合安全测试程序能接受的输入格式,以达到监控网站应用程序使用情境的安全性;其中在监控代理程序执行订户使用情境用以建立虚拟受测网站时,还可同时进行其它可执行的监控与测试功能,如性能监控,路径测试,元件测试,功能测试,内容正确性测试等等,如此一来,更可在对被监控网站影响最少,使用最少网络资源的情况下实现多项监控与测试的目的。
本发明虽以优选实施例揭示如上,但其并非用以限定本发明的范围,任何所属领域的技术人员可在不脱离本发明的精神和范围的情况下做许多的更改与修饰,因此本发明的保护范围当视所附的权利要求书所界定的为准。
权利要求
1、一种监控网站应用程序使用情境安全性的系统,其包含监控管理装置,其用以存储至少一监控工作要求,所述至少一监控工作要求包含对应于网站应用程序的第一使用情境脚本;监控代理装置,其用以加载所述监控工作要求并产生第二使用情境脚本;以及安全测试装置,其用以接收所述第二使用情境脚本并对其进行安全测试。
2、 如权利要求l所述的系统,其中所述监控工作要求包括根据所述第一使用情境脚本,于所述对应网站应用程序执行使用情境,并加载执行所述使用情境后所产生的至少一笔网页及数据;以及根据所述至少一笔网页及数据建立虚拟受测网站,其中所述第二使用情境脚本是根据所述第一使用情境脚本以及所述虚拟受测网站产生的。
3、 如权利要求l所述的系统:其中所述第二使用情境脚本可以是URL、 URL列表、网页文件、或是任何符合所述安全测试程序输入格式的数据格式。
4、 如权利要求1所述的系统,其中当所述第一使用情境脚本的数据格式符合所述安全测试程序输入格式时,所述第二使用情境脚本是所述第一使用情境脚本。
5、 如权利要求1所述的系统,其中所述监控管理装置进一步接收所述安全测试程序进行所述安全测试的测试结果,并根据所述测试结果产生报表。
6、 如权利要求1所述的系统,其中所述监控代理装置进一步定期检测所述监控管理装置是否有新的监控工作要求,当有所述新的监控工作要求时,所述监控代理装置加载所述新的监控工作。
7、 如权利要求1所述的系统,其中所述监控代理装置进一步定期重新建立所述虚拟受测网站及所述第二使用情境脚本。
8、 如权利要求7所述的系统,其中所述监控代理装置进一步以所述重新建立的所述虚拟受测网站及所述第二使用情境脚本取代原有的所述虚拟受测网站及所述第二使用情境脚本。
9、 如权利要求1所述的系统,其中所述监控代理装置可将所述第二使用情境脚本切割成多个分段使用情境脚本,以提供给所述安全测试装置进行所述安全测试。
10、 如权利要求9所述的系统,其中所述监控管理装置接收所述安全测试装置进行所述安全测试的多个测试结果,并整合所述测试结果以产生报表。
11、 如权利要求l所述的系统,其中所述监控管理装置提供录制程序,所述录制程序用以录制所述至少一第一使用情境脚本。
12、 一种监控网站应用程序使用情境安全性的方法,其包含-从监控管理装置加载监控工作要求,所述监控工作要求对应于第一使用情境脚本,所述第一使用情境脚本对应于网站应用程序;根据所述第一使用情境脚本产生第二使用情境脚本,以使得所述第二使用情境脚本符合安全测试装置的输入格式;以及将所述第二使用情境脚本提供给所述安全测试装置,以使得所述安全测试装置可根据所述第二使用情境脚本进行安全测试。
13、 如权利要求12所述的方法,其中所述第二使用情境脚本可以是URL、 URL列表、网页文件、或是任何符合所述安全测试程序输入格式的数据格式。
14、 如权利要求12所述的方法,其中当所述第一使用情境脚本的数据格式符合所述安全测试程序输入格式时,所述第二使用情境脚本是所述第一使用情境脚本。
15、 如权利要求12所述的方法,其中根据所述第一使用情境脚本产生第二使用情境脚本以使得所述第二使用情境脚本符合安全测试装置的输入格式的步骤进一步包含根据所述第一使用情境脚本于所述网站应用程序执行使用情境;下载执行所述使用情境所产生的网页及数据;根据所述网页及数据建立虚拟受测网站;以及根据所述第一使用情境脚本以及所述虚拟受测网站产生所述第二使用情境脚本。
16、 如权利要求12所述的方法,其进一步包含接收所述安全测试程序进行所述安全测试的测试结果;以及根据所述测试结果产生报表。
17、 如权利要求12所述的方法,其进一步包含定期检测所述监控管理装置是否有新的监控工作要求;以及当有所述新的监控工作要求时,加载所述新的监控工作要求。
18、 如权利要求15所述的方法,其进一步包含定期重新建立所述虚拟受测网站及所述第二使用情境脚本。
19、 如权利要求18所述的方法,其进一步包含以所述重新建立的所述虚拟受测网站及所述第二使用情境脚本取代原有的所述虚拟受测网站及所述第二使用情境脚本。
20、 如权利要求12所述的方法,其中所述将所述第二使用情境脚本提供给安全测试装置的步骤将所述第二使用情境脚本切割成多个分段使用情境脚本,以提供给所述安全测试装置进行所述安全测试。
21、 如权利要求20所述的方法,其进一步包含接收所述安全测试装置进行所述安全测试的多个测试结果,并整合所述测试结果以产生报表。
22、 如权利要求12所述的方法,其进一步包含提供录制程序,以用以录制所述使用情境得到所述至少一第一使用情境脚本。
全文摘要
本发明揭示一种监控网站应用程序使用情境安全性的系统、方法、程序产品及计算机可读记录媒体。根据本发明的实施例,所述系统包含监控管理装置、监控代理装置及安全测试装置。所述监控管理装置用以存储至少一监控工作要求,所述至少一监控工作要求包含对应于网站应用程序的第一使用情境脚本;所述监控代理装置用以加载所述监控工作要求并产生第二使用情境脚本;以及所述安全测试装置,其用以接收所述第二使用情境脚本并对其进行安全测试。
文档编号H04L12/24GK101674203SQ20081021576
公开日2010年3月17日 申请日期2008年9月8日 优先权日2008年9月8日
发明者刘志隆, 城翠莲, 邓杰文, 郑嘉仁 申请人:网星资讯股份有限公司;城翠莲