[发明专利]一种追溯网页篡改行为源的方法

说明书

技术领域

本发明是关于网络信息安全领域，特别涉及一种追溯网页篡改行为源的方法。

背景技术

以计算机、信息技术与通讯技术、云技术为支撑的信息网络的高速发展，正在以前所未有的规模与速度改变着人类的生活。网络化给我们送来巨大利益的同时，也搭配了形形色色的网络安全问题。为了避免网络安全问题的侵扰，人们已经广泛地使用了杀毒软件、防火墙等网络安全措施。这使病毒、主机入侵等网络安全事件发生数量大幅度下降。然而，在我们自认为已经做了足够网络防护的同时，我们却发现网页篡改事件的发生数量正在迅速增长。为了防止网页被篡改，非常有必要部署网页防篡改保护系统。

目前网页防篡改保护系统基本采用两种模式：一种是通过配置规则文件，阻断篡改；另一种是被篡改后，用备份文件进行及时恢复。这两种方法虽然能够有效防止网页被篡改，保证网站网页安全，但并没有对篡改行为进行追踪。当篡改行为发生后，无法有效的追踪网页篡改的行为过程从而追溯到篡改行为源。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种高效、精准、智能追溯网页篡改行为源的方法。为解决上述技术问题，本发明的解决方案是：

提供一种追溯网页篡改行为源的方法，用于对待侦测的文件或目录受到篡改时的篡改行为源进行追溯，所述追溯网页篡改行为源的方法具体包括下述步骤：

(1)篡改进程侦测：在操作系统的文件系统驱动层添加钩子函数，在钩子函数中能配置待侦测的文件或目录；当待侦测的文件或目录有任何操作行为时，能够触发钩子函数，钩子函数能够获取到篡改进程；

(2)篡改行为关联：步骤(1)获取到篡改进程后，钩子函数能够进一步追查到调用篡改进程的所有进程，形成调用篡改进程行为的进程列表；

(3)进程PID对应：钩子函数能够进一步追查到步骤(1)中篡改进程的进程PID、步骤(2)中进程列表的进程PID(特别指出，步骤(1)的进程PID和步骤(2)的进程PID是同一个，对应一个用户请求)；

(4)进程行为分析：对步骤(3)得到的进程PID行为进行分析，得到进程分析结果；

所述进程分析结果包括但不限于：登陆用户、登陆IP、登陆时间、行为；

(5)篡改行为源追溯：总结步骤(1)至步骤(4)，追溯到篡改行为源：篡改用户、篡改页面；

所述篡改用户是指步骤(4)中的进程分析结果；

所述篡改页面是指步骤(1)中钩子函数监测到被篡改的文件。

在本发明中，所述钩子(HOOK)函数能对文件操作函数及由文件操作所触发的消息进行HOOK；钩子函数能实现：首先侦测篡改进程，再侦测调用篡改进程的进程列表，然后获取篡改进程PID及调用篡改进程的进程列表的进程PID，并对进程PID行为进行分析，完成对网页篡改行为源的精准追溯。

在本发明中，所述待侦测的文件或目录是指网页目录。

与现有技术相比，本发明的有益效果是：

本发明能够高效、精准、智能追溯网页篡改行为源，是在网络信息安全领域特别涉及网页防篡改技术方案中的创新，对于网络安全的意义很大，且市场前景看好。

附图说明

图1为本发明的网页篡改行为源追溯流程图。

具体实施方式

首先需要说明的是，本发明是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中，会涉及到多个软件功能模块的应用。申请人认为，如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后，在结合现有公知技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。

下面结合附图与具体实施方式对本发明作进一步详细描述：

如图1所示的一种追溯网页篡改行为源的方法，通过操作系统底层驱动技术侦测到篡改文件进程，对调用篡改进程的进程列表进行分析。该追溯网页篡改行为源的方法具体包括下述步骤：

步骤1：篡改进程侦测开启：首先在操作系统的文件系统的驱动层添加钩子函数，将web网页发布目录配置为侦测对象。当侦测目录中的文件有任何操作行为时触发钩子函数处理，获取到篡改进程。

步骤2：与篡改进程关联的进程列表获取：钩子函数得到篡改进程后，进一步处理，搜集与篡改进程关联的进程列表信息。

步骤3：进程PID对应：钩子函数对步骤1的篡改进程和步骤2的进程列表，进行进一步处理，得到对应的进程PID。

步骤4：进程列表行为分析：钩子函数对步骤3中的进程PID，进一步处理，追查和分析这些进程PID行为：登陆行为、登陆时间、登陆用户、登陆IP、篡改页面等。