一种混合环境下静态对象篡改的监测方法技术

本发明专利技术公开了一种混合环境下静态对象篡改的监测方法，包括：监测静态对象是否被篡改，其所述静态对象被依次监测是否被篡改，记录被篡改次数，并判断被篡改次数是否达到预设次数t1，当是，则进一步监测中间件是否被篡改；当判断中间件被篡改，则执行监测操作系统是否被篡改。通过本发明专利技术中提供的技术方案，在针对静态对象的篡改监测过程中，不仅仅能够快速监测静态对象是否被篡改，更进一步的挖掘静态对象被篡改原因，并且各个检测步骤可以并行或串行运行，部署灵活和运行高效。

A Method for Monitoring Tampering of Static Objects in Hybrid Environment

The invention discloses a monitoring method for tampering with static objects in a mixed environment, which includes: monitoring whether the static objects are tampered with, monitoring whether the static objects are tampered with in turn, recording the times of tampering, and judging whether the times of tampering reach the preset times t1, further monitoring whether the middleware is tampered with; executing monitoring when judging whether the middleware is tampered with, then executing monitoring. Test whether the operating system has been tampered with. Through the technical scheme provided in the present invention, in the process of tampering monitoring for static objects, it can not only quickly monitor whether static objects are tampered with, but also further mine the causes of tampering for static objects, and each detection step can run in parallel or in series, deploying flexibly and running efficiently.

【技术实现步骤摘要】
一种混合环境下静态对象篡改的监测方法
本专利技术涉及计算机安全领域，更具体的涉及一种混合环境下静态对象篡改的监测方法。
技术介绍
随着互联网日益深入人们的日常生活，人们通过网站资源获得大量信息，尤其是浏览政府官方网站以及各大门户网站，这些站点发布的信息往往具有政策性和时事性，因而也容易成为黑客攻击的首要目标，网络攻击现象尤为普遍。一旦网页被攻击者所篡改，往往会引起恶劣的社会影响，尤其是含有政治攻击色彩的篡改，会对政府形象造成严重损害。在互联网占统治地位的Web服务器，如Apache、IIS等，对用户请求的页面缺乏完整性保护机制，无法有效防止页面被篡改。近年来，大型企业的信息化基础设施发生了巨大变化，特别是互联网+（云计算、物联网、大数据、移动计算）的关键技术对信息基础设施部署架构和技术架构产生了深远影响。这些基础设施主要面临集中、移动、共享等趋势，对静态对象保护技术提出新的挑战。针对静态对象的保护技术也经过了技术的升级迭代。其中：第一代防篡改技术为时间轮训技术，也称外挂轮巡技术，其核心思想是利用网页监测程序，以轮巡方式读取要监控的目标网页与用户浏览到的网页作比较来判断网页内容的完整性，对别篡改页面文件进行恢复和报警。第二代防篡改技术为时间触发&核心内嵌技术，其核心思想是先将网页文件采取非对称加密存放，在接受外来访问请求时将经过加密访问过的页面文件解密后对外发布，若未通过验证，则拒绝对外发布，调用备份文件验证过解密后对外发布。第三代防篡改技术是文件过滤驱动+事件触发相结合的技术，其核心思想是将篡改监测的核心程序通过文件底层驱动技术应用到Web服务器中，通过事件触发进行自动监测，将目标文件下的所有文件，对照其底层文件属性，采用内置散列快速算法计算数字指纹进行实时监测，若发现属性变更，通过非协议纯文本安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应位置，使用底层文件驱动技术，整个文件复制过程毫秒级，使公众无法看到被篡改页面。经过多个监测篡改技术迭代发展，现有的针对静态对象防篡改的监测方法已经非常成熟，不过上述的三代防篡改技术都存在一个问题：现有防篡改监测方法中都只能是针对网页中的静态对象进行监测，而且监测之后仅仅能发现对应的静态文件被篡改，然后进行修复。这种方法是头痛医头，脚痛医脚。不能从深层次发现静态对象被篡改的原因，也就不能很好的针对篡改做出有效的反应。例如，现有监测技术发现某个网页被篡改，然后针对被篡改的文件进行修复或者查找相关的病毒。但是，如果是系统的中间件被篡改或者，修复后的网页会再次被篡改，这样就导致静态文件的反复被篡改。这样的修复就没有效果，并且不能统计被篡改频次等。
技术实现思路
本专利技术的目的在于克服以上所述的缺点，提供一种混合环境下静态对象篡改的监测方法。在监测到静态文件被篡改之后，进一步统计被篡改情况，更进一步监测中间件和操作系统是否被篡改，从而为后续的查找缘由和修复做出准备。一种混合环境下静态对象篡改的监测方法，可以在监测到静态对象是否被篡改的同时找出其被篡改的更深层次原因。为实现上述目的，本专利技术的具体方案如下：一种混合环境下的静态对象的监测方法，包括以下监测流程：S1、监测静态对象是否被篡改，具体为，所述静态对象被依次监测是否被篡改，记录被篡改次数，判断被篡改次数是否超过预定次数t1，当是，则执行步骤S2；S2、监测中间件是否被篡改；S3、监测操作系统是否被篡改。优选的，上述判断被篡改次数是否达到预定次数t1，其在依次监测各个静态对象的过程中，判断有任一静态对象被篡改的累计次数是否达到预定次数t1。优选的，上述步骤S2和S3可以同步进行，其进一步包括：S51、判断任一中间件和任一系统文件被篡改次数是否都达到预定次数t1，如果否，则执行步骤S52和/或S53；S52、判断是否有任一中间件被篡改次数≥t2；S53、判断是否有任一操作系统文件被篡改次数≥t2，。S54、反馈被篡改结果。优选的，上述判断被篡改次数是否达到预设次数t1，进一步包括，判断所有静态对象中累计被篡改是达到预设次数T1。优选的，步骤S2和S3可以同步进行，进一步包括：S61、为判断中间件累计被篡改次数和系统文件被篡改次数是否都达到预设次数T1，如果否，则执行步骤S62和/或S63，S62、判断中间件累计被篡改次数是否≥t；S63、判断系统文件累计被篡改次数是否≥t，；S64、反馈被篡改结果。优选地，所述步骤S62和S63是两个并行步骤，不限定先后顺序；优选的，本专利技术的方法还包括：S4、监测种子文件是否被篡改。优选的，步骤S4包括：S41、判断静态对象种子文件、中间件种子文件，以及操作系统种子文件是否都被篡改，如果否，则逐项监测静态对象的各个种子文件、逐项监测中间件的各个种子文件，以及逐项监测操作系统的各个种子文件，监测后记录各类型种子文件被篡改次数。优选地，所述逐项监测静态对象的各个种子文件、逐项监测中间件的各个种子文件，以及逐项监测操作系统的各个种子文件，监测后记录各类型种子文件被篡改次数，进一步包括S42、判断静态对象种子文件和中间件种子文件是否都被篡改，如果否，则执行步骤S45；S43、判断静态对象种子文件和操作系统种子文件是否都被篡改，如果否，则执行步骤S45；S44、判断中间件种子文件和操作系统种子文件是否都被篡改，如果否，则执行步骤S45；S45、判断静态对象种子文件是否被篡改，如果否，则执行步骤S46,；S46、判断中间件种子文件是否被篡改，如果否，则执行步骤S47；S47、判断操作系统种子文件是否被篡改，如果否，则结束。优选的，如果监测到中间件被篡改和/或检测到操作系统文件被篡改时，才执行所述S4监测种子文件是否被篡改的步骤。。通过本方案的实施，检测的对象是所有静态对象，并实时统计静态对象被篡改的情况。在发现静态对象被篡改后，更进一步查找中间件、操作系统和种子文件的检测，并且根据不同的等级要求，提供灵活的监测方案。通过将静态对象、中间件和系统文件分层检测，更加具有针对性和效率；通过本方案中的方法，用户可以找到静态对象被篡改的原因，为下一步工作做好预判工作。附图说明图1是本专利技术一种混合环境下静态对象篡改的监测方法中监测流程图；图2是本专利技术一种混合环境下静态对象篡改的监测方法中步骤S2的具体实施流程图；图3是本专利技术一种混合环境下静态对象篡改的监测方法中步骤S3的具体实施流程图；图4是本专利技术一种混合环境下静态对象篡改的监测方法中步骤S4的具体实施流程图；图5是本专利技术一种混合环境下静态对象篡改的监测方法中步骤S5的具体实施流程图；图6是本专利技术一种混合环境下静态对象篡改的监测方法中另一实施例流程图。具体实施方式下面结合附图和具体实施例对本专利技术作进一步详细的说明，并不是把本专利技术的实施范围局限于此。本专利技术提供混合环境下静态对象篡改的监测方法。本专利技术中涉及的专用名词描述如下：混合环境：云计算环境和传统IT架构为主的物理计算环境并行存在的数据中心IT基础设施。静态对象：是指以文档、设计图纸、视频、图像等计算机内存储的不在发生改变的电子文件。种子文件：针对云计算环境下的存储方式，所有当地数据使用和系统都是从云平台调取的，我们将静态对象、中间件和操作系统在云平台的存储内容叫做种子文件。如图1所示，本专利技术中的本文档来自技高网...

【技术保护点】
1.一种混合环境下静态对象篡改的监测方法，包括：S1、监测静态对象是否被篡改，其所述静态对象被依次监测是否被篡改，并记录被篡改次数，并判断被篡改次数是否达到预设次数t1，当是，则执行步骤S2；S2、监测中间件是否被篡改。

【技术特征摘要】
1.一种混合环境下静态对象篡改的监测方法，包括：S1、监测静态对象是否被篡改，其所述静态对象被依次监测是否被篡改，并记录被篡改次数，并判断被篡改次数是否达到预设次数t1，当是，则执行步骤S2；S2、监测中间件是否被篡改。2.如权利要求1所述的方法，还包括：S3、监测操作系统文件是否被篡改。3.如权利要求1所述的方法，其特征在于,所述判断被篡改次数是否达到预设次数t1，进一步为，在逐项监测静态对象的过程中，判断是否有任一静态对象被篡改次数≥t1。4.如权利要求3所述的方法，其特征在于,所述权利要求1中的步骤S2和S3同步进行，其进一步包括：S51、判断任一中间件和任一操作系统文件被篡改次数是否都≥t2，如果否，则执行步骤S52和/或S53；S52、判断是否有任一中间件被篡改次数≥t2；S53、判断是否有任一操作系统文件被篡改次数≥t2，；S54、反馈被篡改结果。5.如权利要求1所述的方法，其特征在于,所述判断被篡改次数是否达到预设次数t1，进一步包括，判断所有静态对象中累计被篡改是否达到预设次数T1。6.如权利要求5所述的一种混合环境下的静态对象的监测方法，其特征在于,所述权利要求1中的步骤S2和S3同步进行，其进一步包括：S61、判断中间件累计被篡改次数和系统文件被篡改次数是否都达到预设次数T1，如果否，则执行步骤S62和/或S63，S62、判断中间件累计被篡改次数是否≥t；S63、判断系...

【专利技术属性】
技术研发人员：赵宏斌，白开峰，张根周，朱朝阳，周亮，王明文，李妍，马勇，
申请(专利权)人：国网陕西省电力公司，国网陕西省电力公司西安供电公司，中国电力科学研究院有限公司，
类型：发明
国别省市：陕西,61