基于web業(yè)務(wù)的多維度安全監(jiān)測方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
:
[0001]本發(fā)明涉及網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)安全領(lǐng)域��,特別涉及工控網(wǎng)絡(luò)環(huán)境下業(yè)務(wù)節(jié)點(diǎn)的安全監(jiān)測����,具體是一種基于WEB業(yè)務(wù)的多維度安全監(jiān)測方法和系統(tǒng)。
【背景技術(shù)】
:
[0002]隨著Internet的不斷發(fā)展和普及�����,互聯(lián)網(wǎng)已成為人們不可或缺的溝通平臺(tái)�。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC) 2014年7月發(fā)布的《第31次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示,截至2014年6月底中國網(wǎng)民數(shù)量達(dá)到6.32億�����,互聯(lián)網(wǎng)普及率為46.9%�����。根據(jù)國際電信聯(lián)盟(ITU) 2014年5月發(fā)布的《2014年信息與通信技術(shù)》報(bào)告稱����,到2014年底全球互聯(lián)網(wǎng)用戶數(shù)量將達(dá)到約30億,互聯(lián)網(wǎng)普及率約達(dá)40% ο作為互聯(lián)網(wǎng)中數(shù)據(jù)交換及信息傳遞的主流平臺(tái),網(wǎng)站在優(yōu)化服務(wù)���、提升業(yè)務(wù)效率����、進(jìn)行產(chǎn)品/服務(wù)展示和發(fā)布信息等方面發(fā)揮著重要作用�����。越來越多的政府部門����、企業(yè)����、公司、學(xué)校等機(jī)構(gòu)設(shè)立自己的網(wǎng)站���。
[0003]目前�,主流的網(wǎng)站安全監(jiān)測工具主要分為Web防篡改系統(tǒng)����、Web防火墻、Web應(yīng)用層掃描器等��,雖然在一定程度上解決了網(wǎng)站安全態(tài)勢感知的問題,但存在如下問題:(I)監(jiān)測速度慢�����,監(jiān)測效率低��,無法做到實(shí)時(shí)監(jiān)測��;(2)系統(tǒng)資源利用率低���,監(jiān)測覆蓋面小�����,并發(fā)監(jiān)測效率低����,無法適應(yīng)大規(guī)模網(wǎng)站監(jiān)測需求�����;(3)監(jiān)測結(jié)果獨(dú)立��,缺乏相互的關(guān)聯(lián)數(shù)據(jù)分析。
[0004]如中國專利申請?zhí)?01010226471�����,名稱為“一種基于表單特征的Web安全漏洞動(dòng)態(tài)檢測方法”�����,是通過對(duì)Web表單進(jìn)行特征分析���,運(yùn)用領(lǐng)域知識(shí)有針對(duì)性的為表單域賦予安全漏洞檢測值�����,并與Web服務(wù)器進(jìn)行交互獲取服務(wù)器響應(yīng),根據(jù)響應(yīng)結(jié)果自動(dòng)檢測Web應(yīng)用中潛在的安全漏洞�。
[0005]該方法雖然可以監(jiān)測Web應(yīng)用中潛在的安全漏洞,但是監(jiān)測方法單一����,監(jiān)測結(jié)果缺乏關(guān)聯(lián)數(shù)據(jù)分析,且監(jiān)測效率較低����。
[0006]另有中國專利申請?zhí)?01010613751,名稱為“網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)”,是通過對(duì)IT資源及其安全防御設(shè)施運(yùn)行過程中不斷產(chǎn)生的各類安全日志和事件進(jìn)行統(tǒng)一采集��,然后對(duì)各種不同的采集設(shè)備采集的日志進(jìn)行日志串前導(dǎo)匹配快速動(dòng)態(tài)解析����,然后對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析并進(jìn)行管理和展現(xiàn)。
[0007]該方法雖然實(shí)現(xiàn)了關(guān)聯(lián)分析��,但是監(jiān)測信息只限于各類安全日志和事件信息����,信息獲取方式仍然比較單一且缺乏動(dòng)態(tài)性,同時(shí)對(duì)于存儲(chǔ)和探測引擎沒有采用分布式架構(gòu)�,效率較低。
[0008]綜上��,現(xiàn)有的WEB業(yè)務(wù)相關(guān)的安全監(jiān)測方法����,多手段單一、效率地缺乏動(dòng)態(tài)性展現(xiàn)��。
【發(fā)明內(nèi)容】
:
[0009]針對(duì)以上問題�����,本發(fā)明提出一種基于WEB業(yè)務(wù)的多維度安全監(jiān)測方法和系統(tǒng),從可用性���、安全事件和Web漏洞三個(gè)維度對(duì)網(wǎng)站安全進(jìn)行全面監(jiān)測�����,對(duì)監(jiān)測數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析�,同時(shí)通過分布式存儲(chǔ)系統(tǒng)����,大大提高了監(jiān)測效率和系統(tǒng)穩(wěn)定性,實(shí)現(xiàn)對(duì)網(wǎng)站安全的全面��、實(shí)時(shí)����、精確監(jiān)測���。
[0010]本發(fā)明的技術(shù)方案如下:
[0011]一種基于WEB業(yè)務(wù)的多維度安全監(jiān)測系統(tǒng)����,其特點(diǎn)在于�����,包括安全監(jiān)測模塊、數(shù)據(jù)模塊及管理模塊����;
[0012]所述的安全監(jiān)測模塊,利用端口探測引擎���,從可用性�����、安全事件和WEB漏洞三個(gè)維度對(duì)網(wǎng)站安全進(jìn)行全面監(jiān)測�,對(duì)目標(biāo)網(wǎng)站進(jìn)行數(shù)據(jù)監(jiān)測����,并將監(jiān)測數(shù)據(jù)傳輸給數(shù)據(jù)模塊;
[0013]所述的數(shù)據(jù)模塊���,對(duì)上述三個(gè)維度的監(jiān)測數(shù)據(jù)進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析��,并采用SVM(支持向量機(jī))方法對(duì)網(wǎng)站安全情況進(jìn)行評(píng)估�,并分為高危網(wǎng)站��、中危網(wǎng)站、低危網(wǎng)站和安全網(wǎng)站����;
[0014]所述的管理模塊,通過界面控制實(shí)現(xiàn)對(duì)監(jiān)測目標(biāo)的選擇�、監(jiān)測數(shù)據(jù)的管理及任務(wù)管理,實(shí)現(xiàn)系統(tǒng)的正常運(yùn)轉(zhuǎn)�。
[0015]三大模塊的具體功能和實(shí)現(xiàn)方式如下:
[0016]安全監(jiān)測模塊通過利用端口探測引擎,對(duì)目標(biāo)網(wǎng)站進(jìn)行數(shù)據(jù)探測�����,經(jīng)分布式調(diào)度將數(shù)據(jù)傳遞到數(shù)據(jù)中心��。
[0017]數(shù)據(jù)中心基于云端動(dòng)態(tài)行為檢測技術(shù)及智能自動(dòng)分類識(shí)別算法��,識(shí)別網(wǎng)頁掛馬事件�����、暗鏈�����、安全漏洞���。
[0018]監(jiān)測結(jié)果存儲(chǔ)在分布式監(jiān)測結(jié)果數(shù)據(jù)庫中��,通過數(shù)據(jù)展示模塊對(duì)數(shù)據(jù)進(jìn)行處理����,可以實(shí)現(xiàn)數(shù)據(jù)查詢�、數(shù)據(jù)統(tǒng)計(jì)和數(shù)據(jù)導(dǎo)出。
[0019]管理員通過管理模塊界面對(duì)數(shù)據(jù)進(jìn)行查看�����、批量處理�����。
[0020]安全監(jiān)測模塊的子模塊包含如下具體功能模塊:
[0021]I)可用性探測模塊�,主要通過以下途徑來進(jìn)行監(jiān)測:
[0022]a.域名解析檢測,計(jì)算域名解析所花費(fèi)的時(shí)間和速度��;
[0023]b.域名劫持檢測�,判斷域名是否被解析到不正確的IP ;
[0024]c.域名PING探測,使用PING命令探測網(wǎng)站可用性����;
[0025]c.域名HTTP探測�����,使用HTTP協(xié)議模擬用戶訪問��,探測網(wǎng)站可用性���;
[0026]d.GET請求撿測,計(jì)算GET請求讀取HTTP協(xié)議下完整頁面所需的時(shí)間�����。
[0027]2)站點(diǎn)信息獲取模塊��,用于獲取網(wǎng)站標(biāo)題�、開放端口等信息。
[0028]3)網(wǎng)頁變更檢測模塊���,作為安全事件的輔助檢測功能�����,主要目標(biāo)是監(jiān)測目標(biāo)網(wǎng)站的網(wǎng)頁變更情況�����,以防出現(xiàn)遺漏的網(wǎng)頁篡改事件�。
[0029]4)安全事件及漏洞檢測模塊��,包括網(wǎng)頁掛馬檢測��、暗鏈檢測及漏洞檢測�����,其中漏洞檢測包括且不限于SQL注入漏洞和XSS攻擊漏洞檢測�����。
[0030]安全監(jiān)測系統(tǒng)的暗鏈檢測模塊��,主要通過接收爬蟲傳入的URL及HTML信息���,經(jīng)過HTML解析�����、靜態(tài)特征檢測����、黑名單匹配及白名單過濾,來判斷目標(biāo)網(wǎng)頁是否有被植入惡意的隱藏鏈接���。具體流程如下:
[0031]腳本代碼處理�,將一些利用js腳本動(dòng)態(tài)輸出的HTML�����,歸并到HTML代碼中�����。
[0032]查找隱藏標(biāo)簽����。
[0033]a.查找?guī)в须[藏特征的標(biāo)簽,隱藏特征包括但不限于style屬性值����;
[0034]b.查找 width/height 小于 10 的 marquee 標(biāo)簽;
[0035]c.查找?guī)в须[藏特征的腳本���,并根據(jù)id/class反查標(biāo)簽�;
[0036]d.查找?guī)в须[藏特征的CSS,并根據(jù)id/class反查標(biāo)簽�����。
[0037]根據(jù)隱藏標(biāo)簽查找閉合的標(biāo)簽���,獲取隱藏的區(qū)域,并對(duì)隱藏區(qū)域進(jìn)行檢查�。
[0038]a.外域鏈接檢查,獲取區(qū)域內(nèi)所有鏈接���,并解析出根域名�����,判斷根域名是否與所要檢查的站點(diǎn)一致�����,不一致則判定為外域鏈接��,若該區(qū)域存在外域鏈接則進(jìn)入下一步檢查���,否則拋棄;
[0039]b.外域鏈接比例檢查,如果外域鏈接比例超過60%����,則判定該區(qū)域可疑,進(jìn)行下一步檢測�,否則拋棄;
[0040]c.區(qū)域結(jié)構(gòu)檢查�,獲取區(qū)域內(nèi)所有標(biāo)簽的數(shù)目,獲取區(qū)域內(nèi)所有超鏈接數(shù)目����,若鏈接數(shù)目占所有標(biāo)簽數(shù)目的45%以上,則區(qū)域被判定為暗鏈區(qū)域��,否則為可疑�����;
[0041]d.基于樸素貝葉斯算法特征檢查��,根據(jù)暗鏈特征庫(關(guān)鍵詞���、鏈接)進(jìn)行貝葉斯分類計(jì)算����,根據(jù)分類結(jié)果判定所檢查網(wǎng)站是否存在暗鏈。
[0042]安全監(jiān)測系統(tǒng)的SQL注入漏洞檢測是基于盲注檢測的頁面相似度算法���,對(duì)有漏洞的參數(shù)進(jìn)行檢測��,通過向爬蟲傳遞的參數(shù)插入測試代碼�,嘗試根據(jù)頁面響應(yīng)判斷注入是否存在或者繼續(xù)嘗試其他的測試代碼����,具體流程如下:
[0043]a.檢測開始,檢測模塊會(huì)先對(duì)頁面請求2次�,判斷頁面是否有動(dòng)態(tài)變化部分�����。若有動(dòng)態(tài)變化�����,則會(huì)設(shè)置基準(zhǔn)HTMLHTML (影響后續(xù)檢測對(duì)比算法)����。
[0044]b.檢測參數(shù)是否動(dòng)態(tài)可變,嘗試輸入其他值��,查看頁面響應(yīng)判斷參數(shù)是否可變。若參數(shù)不可變則直接退出檢測�。
[0045]c.嘗試注入特殊符號(hào)使數(shù)據(jù)庫報(bào)錯(cuò),根據(jù)后臺(tái)規(guī)則依照報(bào)錯(cuò)信息對(duì)數(shù)據(jù)庫類型/版本進(jìn)行識(shí)別����。若識(shí)別成