專利名稱:監(jiān)控網(wǎng)站應用程序使用情境安全性的系統(tǒng)及方法
技術領域:
本發(fā)明涉及一種網(wǎng)絡安全的系統(tǒng)��。明確地說����,本發(fā)明涉及一種監(jiān)控網(wǎng)站應用程序使用情境安全性的系統(tǒng)、方法�����、程序產(chǎn)品及存儲記錄媒體���。
背景技術:
隨著因特網(wǎng)及電子商務技術的成熟發(fā)展����,許許多多的網(wǎng)站應用程序提供各式各樣方便且強大的功能(如網(wǎng)絡購物��,網(wǎng)絡銀行交易等等)供用戶使用��,當涉及到用戶數(shù)據(jù)或者交易行為時����,這些網(wǎng)站應用程序的安全性也變得格外重要�����。不論是網(wǎng)站應用程序用戶或是網(wǎng)站應用程序服務的提供者都在意所提供的功能服務是否有足夠的安全性考慮��,這些常用的網(wǎng)站應用程序如果被黑客植入惡意程序�,在用戶執(zhí)行的過程中,會盜取其隱私數(shù)據(jù),將會造成用戶及服務提供者的損失�。另外,即使網(wǎng)站應用程序不幸被黑客植入惡意程序��,網(wǎng)站應用程序服務的提供者仍然需要在第一時間獲得通知��,進而馬上處理����,以防客戶受害和損及自己的商譽。
然而���,雖然市面上已存在許多網(wǎng)站安全的監(jiān)控方案����,但是目前安全性測試服務廠商的作法是根據(jù)網(wǎng)站應用程序用戶或網(wǎng)站應用程序服務提供者(后文中均統(tǒng)稱為"訂戶")提供待監(jiān)控的URL或URL列表進行監(jiān)控的服務���;這樣的方法只做到了個別URL的監(jiān)控���,對于用戶在使用這些網(wǎng)站應用程序的真正使用情境(如網(wǎng)絡購物交易,網(wǎng)絡銀行轉(zhuǎn)帳交易等等)未能做到安全性監(jiān)控�,因為真正的使用情境并非僅是URL列表,還包含了在瀏覽器與網(wǎng)站應用程序使用http通信協(xié)議溝通時的http標題���、小型文字檔(cookies)����、會話、形式數(shù)據(jù)等等須用以判斷的信息���,這些都是訂戶無法輸入提供的信息����。如此一來�,目前市面上的網(wǎng)站應用程序安全監(jiān)控服務對于在網(wǎng)絡上交換的所有信息無法全部進行監(jiān)控,而造成了網(wǎng)絡安全的一大漏洞�。因此, 一個能夠針對所有網(wǎng)絡上的信息做監(jiān)控的網(wǎng)絡安全監(jiān)控方法是必須且重要的����。
發(fā)明內(nèi)容
由于現(xiàn)有方法無法對訂戶真正想知道的網(wǎng)站應用程序使用情境安全性做監(jiān)控,因此本發(fā)明的主要目的是提出一種監(jiān)控網(wǎng)站應用程序使用情境安全性的方法��,以網(wǎng)站應用程序使用情境腳本錄制程序解決訂戶無法輸入使用情境的問題�����,以監(jiān)控代理程序執(zhí)行訂戶使用情境并下載實際網(wǎng)站應用程序產(chǎn)生的網(wǎng)頁及數(shù)據(jù)��,建立虛擬受測網(wǎng)站�。解決安全測試程序無法模擬使用情境中各功能涉及http標題、小型文字檔�����、會話���、形式數(shù)據(jù)等等處理的問題�,再將使用情境轉(zhuǎn)換對應于虛擬受測網(wǎng)站且符合安全測試程序能接受的輸入格式�,以達到監(jiān)控網(wǎng)站應用程序使用情境的安全性。
本發(fā)明的一實施例揭示一種監(jiān)控網(wǎng)站應用程序使用情境安全性的系統(tǒng)���,其包含監(jiān)控管理裝置�、監(jiān)控代理裝置及安全測試裝置�。所述監(jiān)控管理裝置用以存儲至少一監(jiān)控工作要求,所述至少一監(jiān)控工作要求包含對應于網(wǎng)站應用程序的第一使用情境腳本�;所述監(jiān)控代理裝置用以加載所述監(jiān)控工作要求并產(chǎn)生第二使用情境腳本;以及所述安全測試裝置����,其用以接收所述第二使用情境腳本并對其進行安全測試。
本發(fā)明另一實施例揭示一種監(jiān)控網(wǎng)站應用程序使用情境安全性的方法�。首先���,從監(jiān)控管理裝置加載監(jiān)控工作要求,所述監(jiān)控工作要求對應于第一使用情境腳本���,所述第一使用情境腳本對應于網(wǎng)站應用程序�。接著���,依照所述第一使用情境腳本于所述網(wǎng)站應用程序執(zhí)行使用情境�,下載執(zhí)行所述使用情境產(chǎn)生的網(wǎng)頁及數(shù)據(jù)��。根據(jù)所述網(wǎng)頁及數(shù)據(jù)建立虛擬受測網(wǎng)站�����,并且根據(jù)所述第一使用情境腳本產(chǎn)生對應于所述虛擬受測網(wǎng)站的第二使用情境腳本�����。以及����,將所述第二使用情境腳本提供給安全測試裝置,以使得所述安全測試裝置可依照所述第二使用情境腳本針對所述虛擬受測網(wǎng)站進行安全測試�。
本發(fā)明另一實施例揭示一種計算機可讀記錄媒體,其用以存儲執(zhí)行先前所揭示的根據(jù)本發(fā)明的方法的計算機程序�����。此外��,由于計算機程序經(jīng)由網(wǎng)絡傳輸應用的特性���,本發(fā)明的另一實施例是根據(jù)先前所揭示的方法����,揭示一種監(jiān)控程序產(chǎn)品�����。
圖1是本發(fā)明的監(jiān)控網(wǎng)站應用程序使用情境安全性方法的架構的示意圖��。圖2是本發(fā)明的監(jiān)控網(wǎng)站應用程序使用情境安全性方法的流程圖�����。
具體實施例方式
為讓本發(fā)明的上述和其它目的�、特征和優(yōu)點能更明顯易懂,下文特舉出優(yōu)選實施例���,并配合所附圖式�,作詳細說明如下。
圖l是本發(fā)明的監(jiān)控網(wǎng)站應用程序使用情境安全性方法的架構的示意圖���。監(jiān)控管理服務器110包含有存儲器11�����、 CPU 13��、監(jiān)控管理程序15���、網(wǎng)絡接口 17以及計算機可讀記錄媒體18。監(jiān)控代理計算機120包含有存儲器21��、 CPU 23�、監(jiān)控代理程序25、網(wǎng)絡接口 27以及虛擬受測網(wǎng)站29��?���?蛻舳擞嬎銠C130包含有存儲器31、 CPU 33、錄制程序35�����、網(wǎng)絡接口 37以及計算機可讀記錄媒體38��。安全測試服務器150包含有存儲器51�、 CPU 53��、安全測試程序55以及網(wǎng)絡接口57����。被監(jiān)控網(wǎng)站服務器170包含有存儲器71、 CPU73�、網(wǎng)站應用程序75以及網(wǎng)絡接口 77。其中����,網(wǎng)絡接口 17、 27�、 37、57��、 77之間可以http或ftp等的任何通信協(xié)議溝通���。首先���,經(jīng)由網(wǎng)絡接口37與網(wǎng)絡接口77,客戶端計算機130使用錄制程序35錄制訂戶使用被監(jiān)控網(wǎng)站服務器170的網(wǎng)站應用程序75過程中的所有信息以得到使用情境腳本���,并將所述使用情境腳本存儲于計算機可讀記錄媒體38中,其中所述使用情境腳本包含執(zhí)行過程中URL��、 http標題�、小型文字檔、會話���、形式數(shù)據(jù)等等信息�。通過客戶端計算機130的網(wǎng)絡接口 37和監(jiān)控管理服務器110的網(wǎng)絡接口 17連接�,訂戶將所述使用情境腳本上傳到監(jiān)控管理服務器110,存儲于計算機可讀記錄媒體18中。并且����,訂戶可于監(jiān)控管理服務器IIO上設定監(jiān)控工作要求,以使得所述監(jiān)控工作要求包含所述使用情境腳本與監(jiān)控周期�����。
監(jiān)控代理計算機120中的監(jiān)控代理程序25會經(jīng)由網(wǎng)絡接口 27定期檢測監(jiān)控管理服務器110上是否有新的監(jiān)控工作要求�����。如果有新的監(jiān)控工作要求,那么監(jiān)控代理計算機120下載所述監(jiān)控工作要求�,并且依照所述監(jiān)控工作要求中的使用情境腳本,經(jīng)由網(wǎng)絡接口 27與被監(jiān)控網(wǎng)站服務器170的網(wǎng)絡接口 77�,模擬訂戶使用所述網(wǎng)站應用程序75的過程,下載實際網(wǎng)站應用程序相關的網(wǎng)頁��,并根據(jù)所述網(wǎng)頁建立虛擬受測網(wǎng)站29����。接著����,監(jiān)控代理計算機120將所述使用情境腳本轉(zhuǎn)換,以使其對應于虛擬受測網(wǎng)站29并且符合安全測試程序55的輸入格式��,經(jīng)由網(wǎng)絡接口 27與網(wǎng)絡接口 57將所述轉(zhuǎn)換后的使用情境腳本提供給安全測試服務器150����,以使得安全測試程序55對接收到的使用情境腳本進行安全測試。其中��,所述轉(zhuǎn)換后的使用情境腳本可以是URL���、URL列表���、網(wǎng)頁文件�����、或是任何符合所述安全測試程序55輸入格式的數(shù)據(jù)格式�。在另一實施例中��,當所述上傳到監(jiān)控代理計算機120的使用情境腳本符合所述安全測試程序55的輸入格式時����,監(jiān)控代理計算機120便不需建立虛擬受測網(wǎng)站29及轉(zhuǎn)換所述使用情境腳本,而直接將所述使用情境腳本提供給安全測試服務器150以進行安全測試���。
監(jiān)控代理程序25會根據(jù)所述監(jiān)控工作要求的所述監(jiān)控周期重復監(jiān)控所述網(wǎng)站應用程序�。為真實反映被監(jiān)控網(wǎng)站應用程序使用情境當下的安全性�,監(jiān)控代理程序25于每次周期性進行監(jiān)控之前,重新產(chǎn)生新的虛擬受測網(wǎng)站內(nèi)容以取代之前所建立的虛擬受測網(wǎng)站內(nèi)容���。
在一個實施例中����,監(jiān)控管理服務器110可經(jīng)由網(wǎng)絡接口 17與網(wǎng)絡接口57從安全測試服務器150接收安全測試的結(jié)果,分析所述結(jié)果并產(chǎn)生報表�,以存儲于計算機可讀記錄媒體18中以供訂戶查詢。當發(fā)現(xiàn)測試結(jié)果有危害訂戶安全的疑慮時���,監(jiān)控管理服務器IIO可以各種媒介(例如���,電子郵件或短消息等等)實時通知訂戶進行后續(xù)處理。
在另一實施例中����,監(jiān)控代理程序25或虛擬受測網(wǎng)站29可經(jīng)由網(wǎng)絡接口 27與網(wǎng)絡接口 57從安全測試服務器150接收安全測試的結(jié)果,監(jiān)控代理程序25或虛擬受測網(wǎng)站29再將所述結(jié)果上傳到監(jiān)控管理服務器110����。監(jiān)控管理服務器110在根據(jù)所述結(jié)果進行分析并產(chǎn)生報表����,以存儲于計算機可讀記錄媒體18中以供訂戶查詢。當發(fā)現(xiàn)測試結(jié)果有危害訂戶安全的疑慮時���,監(jiān)控管理服務器110可以各種媒介(例如�,電子郵件或短消息等等)實時通知訂戶進行后續(xù)處理���。在一個實施例中��,監(jiān)控代理計算機120可將所述轉(zhuǎn)換后的使用情境腳本切割成多個分段使用情境腳本�,以提供給安全測試裝置
7150進行所述安全測試。而監(jiān)控管理服務器110可接收安全測試裝置150進行所述安全測試的多個測試結(jié)果�����,并整合所述測試結(jié)果以產(chǎn)生報表��。
圖2是本發(fā)明的監(jiān)控網(wǎng)站應用程序使用情境安全性方法的流程圖����。首先,訂戶使用錄制程序針對被監(jiān)控網(wǎng)站應用程序錄制待監(jiān)控的使用情境腳本(S1)���,訂戶可用錄制程序檢查是否錄制成功(S2)��。如果錄制失敗�,那么重新錄制所述使用情境腳本(S1);如果錄制成功�,那么訂戶可用錄制程序?qū)浿瞥晒Φ氖顾η榫衬_本上傳到監(jiān)控管理服務器(S3),監(jiān)控管理服務器會存儲所述使用情境腳本并啟動此項監(jiān)控工作要求(S4)���。接著��,監(jiān)控代理程序會從監(jiān)控管理服務器下載所述監(jiān)控工作要求及所述使用情境腳本����,并且根據(jù)所述下載的使用情境腳本模擬訂戶使用被監(jiān)控網(wǎng)站應用程序的過程并下載相關的網(wǎng)頁(S5)。監(jiān)控代理程序會根據(jù)下載的相關網(wǎng)頁建立虛擬受測網(wǎng)站���,并且轉(zhuǎn)換所述使用情境腳本以使其對應于所述虛擬受測網(wǎng)站且符合安全測試程序的輸入格式(S6)��。最后���,監(jiān)控代理程序?qū)⑥D(zhuǎn)換后的使用情境腳本傳給安全測試程序(S7)。在安全測試程序完成安全測試后�����,監(jiān)控管理服務器可接收安全測試程序進行安全測試的結(jié)果����,并根據(jù)所述結(jié)果進行分析���,當發(fā)現(xiàn)測試結(jié)果有危害訂戶安全的疑慮時����,以各種媒介(例如,電子郵件或短消息等等)實時通知訂戶進行后續(xù)處理��,并且產(chǎn)生報表以供訂戶查詢(S8)����。
相比于常規(guī)方法受限于訂戶能輸入的信息僅為URL或URL列表,而安全測試程序僅能接受URL�, URL列表,或上傳的網(wǎng)頁文件���,無法針對不僅包含URL��,還需含http標題�����、小型文字檔����、會話�、形式數(shù)據(jù)等等信息的網(wǎng)站應用程序使用情境(如網(wǎng)絡購物交易,網(wǎng)絡銀行轉(zhuǎn)帳交易等等)做安全性監(jiān)控����,本發(fā)明解決這些限制以做到監(jiān)控網(wǎng)站應用程序使用情境的安全性��。本發(fā)明的方法�����,以錄制程序解決訂戶無法輸入使用情境的問題�,以監(jiān)控代理程序執(zhí)行訂戶使用情境并下載實際網(wǎng)站應用程序會產(chǎn)生的網(wǎng)頁及數(shù)據(jù)建立虛擬受測網(wǎng)站解決安全測試程序無法模擬使用情境中各功能涉及http標題����、小型文字檔、會話��、形式數(shù)據(jù)等等處理的問題��,再將使用情境轉(zhuǎn)換對應于虛擬受測網(wǎng)站且符合安全測試程序能接受的輸入格式����,以達到監(jiān)控網(wǎng)站應用程序使用情境的安全性;其中在監(jiān)控代理程序執(zhí)行訂戶使用情境用以建立虛擬受測網(wǎng)站時�����,還可同時進行其它可執(zhí)行的監(jiān)控與測試功能��,如性能監(jiān)控���,路徑測試����,元件測試��,功能測試���,內(nèi)容正確性測試等等����,如此一來����,更可在對被監(jiān)控網(wǎng)站影響最少,使用最少網(wǎng)絡資源的情況下實現(xiàn)多項監(jiān)控與測試的目的��。
本發(fā)明雖以優(yōu)選實施例揭示如上����,但其并非用以限定本發(fā)明的范圍,任何所屬領域的技術人員可在不脫離本發(fā)明的精神和范圍的情況下做許多的更改與修飾��,因此本發(fā)明的保護范圍當視所附的權利要求書所界定的為準。
權利要求
1����、一種監(jiān)控網(wǎng)站應用程序使用情境安全性的系統(tǒng),其包含監(jiān)控管理裝置��,其用以存儲至少一監(jiān)控工作要求��,所述至少一監(jiān)控工作要求包含對應于網(wǎng)站應用程序的第一使用情境腳本���;監(jiān)控代理裝置���,其用以加載所述監(jiān)控工作要求并產(chǎn)生第二使用情境腳本;以及安全測試裝置�,其用以接收所述第二使用情境腳本并對其進行安全測試。
2�、 如權利要求l所述的系統(tǒng),其中所述監(jiān)控工作要求包括根據(jù)所述第一使用情境腳本��,于所述對應網(wǎng)站應用程序執(zhí)行使用情境��,并加載執(zhí)行所述使用情境后所產(chǎn)生的至少一筆網(wǎng)頁及數(shù)據(jù)���;以及根據(jù)所述至少一筆網(wǎng)頁及數(shù)據(jù)建立虛擬受測網(wǎng)站��,其中所述第二使用情境腳本是根據(jù)所述第一使用情境腳本以及所述虛擬受測網(wǎng)站產(chǎn)生的��。
3��、 如權利要求l所述的系統(tǒng):其中所述第二使用情境腳本可以是URL��、 URL列表�����、網(wǎng)頁文件�����、或是任何符合所述安全測試程序輸入格式的數(shù)據(jù)格式��。
4���、 如權利要求1所述的系統(tǒng),其中當所述第一使用情境腳本的數(shù)據(jù)格式符合所述安全測試程序輸入格式時����,所述第二使用情境腳本是所述第一使用情境腳本。
5��、 如權利要求1所述的系統(tǒng),其中所述監(jiān)控管理裝置進一步接收所述安全測試程序進行所述安全測試的測試結(jié)果�����,并根據(jù)所述測試結(jié)果產(chǎn)生報表�。
6、 如權利要求1所述的系統(tǒng)����,其中所述監(jiān)控代理裝置進一步定期檢測所述監(jiān)控管理裝置是否有新的監(jiān)控工作要求,當有所述新的監(jiān)控工作要求時���,所述監(jiān)控代理裝置加載所述新的監(jiān)控工作�。
7��、 如權利要求1所述的系統(tǒng)�,其中所述監(jiān)控代理裝置進一步定期重新建立所述虛擬受測網(wǎng)站及所述第二使用情境腳本。
8����、 如權利要求7所述的系統(tǒng),其中所述監(jiān)控代理裝置進一步以所述重新建立的所述虛擬受測網(wǎng)站及所述第二使用情境腳本取代原有的所述虛擬受測網(wǎng)站及所述第二使用情境腳本��。
9����、 如權利要求1所述的系統(tǒng)���,其中所述監(jiān)控代理裝置可將所述第二使用情境腳本切割成多個分段使用情境腳本,以提供給所述安全測試裝置進行所述安全測試���。
10、 如權利要求9所述的系統(tǒng)�����,其中所述監(jiān)控管理裝置接收所述安全測試裝置進行所述安全測試的多個測試結(jié)果�����,并整合所述測試結(jié)果以產(chǎn)生報表��。
11�����、 如權利要求l所述的系統(tǒng)�,其中所述監(jiān)控管理裝置提供錄制程序,所述錄制程序用以錄制所述至少一第一使用情境腳本��。
12、 一種監(jiān)控網(wǎng)站應用程序使用情境安全性的方法�,其包含-從監(jiān)控管理裝置加載監(jiān)控工作要求,所述監(jiān)控工作要求對應于第一使用情境腳本��,所述第一使用情境腳本對應于網(wǎng)站應用程序����;根據(jù)所述第一使用情境腳本產(chǎn)生第二使用情境腳本,以使得所述第二使用情境腳本符合安全測試裝置的輸入格式�����;以及將所述第二使用情境腳本提供給所述安全測試裝置�����,以使得所述安全測試裝置可根據(jù)所述第二使用情境腳本進行安全測試���。
13�����、 如權利要求12所述的方法��,其中所述第二使用情境腳本可以是URL�����、 URL列表�����、網(wǎng)頁文件�、或是任何符合所述安全測試程序輸入格式的數(shù)據(jù)格式。
14���、 如權利要求12所述的方法,其中當所述第一使用情境腳本的數(shù)據(jù)格式符合所述安全測試程序輸入格式時�����,所述第二使用情境腳本是所述第一使用情境腳本�����。
15���、 如權利要求12所述的方法��,其中根據(jù)所述第一使用情境腳本產(chǎn)生第二使用情境腳本以使得所述第二使用情境腳本符合安全測試裝置的輸入格式的步驟進一步包含根據(jù)所述第一使用情境腳本于所述網(wǎng)站應用程序執(zhí)行使用情境�;下載執(zhí)行所述使用情境所產(chǎn)生的網(wǎng)頁及數(shù)據(jù);根據(jù)所述網(wǎng)頁及數(shù)據(jù)建立虛擬受測網(wǎng)站����;以及根據(jù)所述第一使用情境腳本以及所述虛擬受測網(wǎng)站產(chǎn)生所述第二使用情境腳本。
16�、 如權利要求12所述的方法,其進一步包含接收所述安全測試程序進行所述安全測試的測試結(jié)果�;以及根據(jù)所述測試結(jié)果產(chǎn)生報表。
17��、 如權利要求12所述的方法��,其進一步包含定期檢測所述監(jiān)控管理裝置是否有新的監(jiān)控工作要求�����;以及當有所述新的監(jiān)控工作要求時�,加載所述新的監(jiān)控工作要求。
18�����、 如權利要求15所述的方法�,其進一步包含定期重新建立所述虛擬受測網(wǎng)站及所述第二使用情境腳本。
19、 如權利要求18所述的方法����,其進一步包含以所述重新建立的所述虛擬受測網(wǎng)站及所述第二使用情境腳本取代原有的所述虛擬受測網(wǎng)站及所述第二使用情境腳本。
20��、 如權利要求12所述的方法�����,其中所述將所述第二使用情境腳本提供給安全測試裝置的步驟將所述第二使用情境腳本切割成多個分段使用情境腳本�����,以提供給所述安全測試裝置進行所述安全測試��。
21�、 如權利要求20所述的方法�,其進一步包含接收所述安全測試裝置進行所述安全測試的多個測試結(jié)果,并整合所述測試結(jié)果以產(chǎn)生報表�����。
22�����、 如權利要求12所述的方法,其進一步包含提供錄制程序�,以用以錄制所述使用情境得到所述至少一第一使用情境腳本。
全文摘要
本發(fā)明揭示一種監(jiān)控網(wǎng)站應用程序使用情境安全性的系統(tǒng)�、方法、程序產(chǎn)品及計算機可讀記錄媒體��。根據(jù)本發(fā)明的實施例��,所述系統(tǒng)包含監(jiān)控管理裝置����、監(jiān)控代理裝置及安全測試裝置。所述監(jiān)控管理裝置用以存儲至少一監(jiān)控工作要求��,所述至少一監(jiān)控工作要求包含對應于網(wǎng)站應用程序的第一使用情境腳本�����;所述監(jiān)控代理裝置用以加載所述監(jiān)控工作要求并產(chǎn)生第二使用情境腳本���;以及所述安全測試裝置,其用以接收所述第二使用情境腳本并對其進行安全測試���。
文檔編號H04L12/24GK101674203SQ20081021576
公開日2010年3月17日 申請日期2008年9月8日 優(yōu)先權日2008年9月8日
發(fā)明者劉志隆, 城翠蓮, 鄧杰文, 鄭嘉仁 申請人:網(wǎng)星資訊股份有限公司;城翠蓮