[发明专利]基于WEB业务的多维度安全监测方法和系统

权利要求书

1.一种基于WEB业务的多维度安全监测系统，其特征在于，包括安全监测模块、数据模块及管理模块；

所述的安全监测模块，利用端口探测引擎，对目标网站进行数据监测，并将监测数据传输给数据模块；

所述的数据模块，对汇总的监测数据进行数据关联分析，并采用SVM方法对网站安全情况进行评估；

所述的管理模块，通过界面控制实现对监测目标的选择、监测数据的管理及任务管理；

所述的安全监测模块包括可用性监测模块、安全事件及漏洞检测模块、网页变更检测模块和站点信息获取模块；

所述的可用性监测模块，用于监测目标网站是否存活、响应时间、域名是否被劫持；

所述的安全事件及漏洞检测模块，包括网页挂马检测、暗链检测及漏洞检测，其中，漏洞检测包括SQL注入漏洞和XSS攻击漏洞检测，用以监测网站是否存在可能受到SQL攻击和XSS攻击的安全漏洞；

所述的网页变更检测模块，用于监测目标网站的网页变化情况；

所述的站点信息获取模块，用于探测网站标题、Web容器、站点地址及文档描述信息。

2.根据权利要求1所述的基于WEB业务的多维度安全监测系统，其特征在于，所述的网页挂马检测由外部特征提取模块、解码模块、源代码抓取模块、内部特征提取模块及综合分析模块构成；

所述的外部特征提取模块提取网站文件中与已有外部特征库中相匹配的外部特征作为是否挂马的评判标准之一；

所述的解码模块对网站文件进行解码处理，通过源代码抓取模块对源代码进一步解析，将解析出来的源代码交由内部特征提取模块进行特征匹配；

基于源代码的特征分析依赖于从已知挂马网页提炼的经验特征库，特征库中包含了历史上对挂马行为模式代码特征、挂马漏洞特征、挂马加密特征、挂马常见可疑代码特征4个分类的特征描述信息；

所述的综合分析模块综合内部和外部匹配结果，对网站命中特征进行加权计算，并根据源代码进行综合分析，从而进一步判定该网站是否存在挂马行为。

3.根据权利要求1所述的基于WEB业务的多维度安全监测系统，其特征在于，所述的站点信息获取模块用于获取网站标题、开放端口信息，其中开放端口及服务采用了NMAP的检测规则；一个任务被添加后，系统会立即获取任务组网站的站点信息，系统设置为每天获取一次站点信息。

4.根据权利要求1所述的基于WEB业务的多维度安全监测系统，其特征在于，所述的数据模块，包括数据中心模块和数据展示模块，其中，数据中心模块首先将历史网站数据作为训练数据，进行特征提取，将训练得到训练模型通过SVM分类器进行分类；对于被监测网站，在特征提取后，将特征值赋予SVM分类器中；分类器中进行比对，得到分类结果，即安全级别；数据展示模块进行数据查询、数据统计和数据导出。

5.根据权利要求1所述的基于WEB业务的多维度安全监测系统，其特征在于，所述的管理模块包括权限管理子系统、日志管理子系统和审计管理子系统；

所述的权限管理子系统，通过提供用户认证和IP白名单绑定的方法，使用户正常接入系统；

所述的日志管理子系统，记录了登录日志、操作日志、节点日志的详细信息，并可由超级管理员和审计员进行查看；

所述的审计管理子系统，记录各用户的登录情况、操作情况、各节点的状态信息等，由审计员进行审计查看，在出现故障时，帮助维护节点的技术人员迅速排查问题所在。

6.根据权利要求1-5任一所述的基于WEB业务的多维度安全监测系统进行多维度安全监测方法，其特征在于，该方法包括如下步骤：

①安全监测模块利用端口探测引擎，对目标网站进行数据监测，并经分布式调度将监测数据传输给数据模块；

②数据模块进行数据存储、数据分析、数据查询、数据统计和数据导出处理；

③管理模块对于监测目标和监测任务进行管理审计，并监测数据。