网页监控方法和装置、基线数据构建方法和装置

技术领域

本申请涉及计算机网络安全技术领域，尤其涉及网页监控方法和装置、基线数据构建方法和装置。

背景技术

随着互联网和网络应用的普及与发展，大量的黑客攻击随之而来，特别是针对网站的攻击。其中，篡改网页内容是黑客攻击的普遍手法。

因此如何对网站的网页是否被篡改进行监控成为技术人员亟待解决的技术问题。相关技术中，是通过检测网站的网页内容变化来达到检测的目的，在检测网页内容变化时，需要周期性的向网站发起请求以获取网页内容，增加了网页的业务访问量。

发明内容

为克服相关技术中存在的问题，本申请提供网页监控方法和装置、基线数据构建方法和装置，以在不增加网页的业务访问量的基础上实现对网页的监控。

本申请第一方面提供网页监控方法，包括：

当获取到针对目标网站的一条网页操作日志时，基于构建的基线数据集合判断所述网页操作日志是否满足告警条件；其中，所述基线数据集合是根据网页操作日志构建的；

在确定满足所述告警条件的情况下，生成针对所述目标网站的告警信息。

可选地，还包括：

判断所述网页操作日志是否属于基线数据，若是，按照预设的写入方式将所述网页操作日志写入基线数据集合；

若否，执行所述基于构建的基线数据集合判断所述网页操作日志是否满足告警条件的步骤及后续所有步骤。

可选地，所述判断所述网页操作日志是否属于基线数据，包括：

判断所述网页操作日志是否包含基线数据集合中的索引数据，若否，确定所述网页操作日志属于基线数据；

若是，确定所述基线数据集合中所述网页操作日志包含的索引数据为目标索引数据，判断所述网页操作日志中的操作时间是否在所述目标索引数据对应的基线时间范围内，若在所述基线时间范围内，确定所述网页操作日志属于基线数据，若不在所述基线时间范围内，确定所述网页操作日志不属于基线数据。

可选地，所述基于所述基线数据集合判断所述网页操作日志是否满足告警条件，包括：

判断所述网页操作日志中的特征数据与所述基线数据集合中的所述目标索引数据对应的目标特征数据是否一致，若不一致，确定满足告警条件；

若一致，判断所述网页操作日志的特征数据在所述基线数据集合中是否属于周期性数据，其中，所述周期性数据指代为所述目标特征数据在所述目标索引数据对应的操作时间范围内周期性重复；

若不属于所述周期性数据，确定满足所述告警条件。

可选地，所述按照预设的写入方式将所述网页操作日志写入所述基线数据集合，包括：

将所述网页操作日志按照以索引数据为索引建立对应的操作时间和特征数据的方式写入到所述基线数据集合中。

本申请第二方面提供一种基线数据构建方法，包括：

在获取到针对目标网站的一条网页操作日志的情况下，判断所述网页操作日志是否包含基线数据集合中的索引数据，若否，确定所述网页操作日志属于基线数据；

若是，确定所述基线数据集合中所述网页操作日志包含的索引数据为目标索引数据，判断所述网页操作日志中的操作时间是否在所述目标索引数据对应的基线时间范围内，若在所述基线时间范围内，确定所述网页操作日志属于基线数据，若不在所述基线时间范围内，确定所述网页操作日志不属于基线数据；

将属于所述基线数据的网页操作日志按照预设的写入方式写入基线数据集合中。

本申请第三方面提供网页监控装置，包括：

告警判断单元，当获取到针对目标网站的一条网页操作日志时，基于构建的基线数据集合判断所述网页操作日志是否满足告警条件；其中，所述基线数据集合是根据网页操作日志构建的；

第一生成单元，用于在确定满足所述告警条件的情况下，生成针对所述目标网站的告警信息。

本申请第四方面提供一种基线数据构建装置，包括：

数据判断单元，用于在获取到针对目标网站的一条网页操作日志的情况下，判断所述网页操作日志是否包含基线数据集合中的索引数据；

第一确定单元，用于在所述网页操作日志不包含所述基线数据集合中的索引数据时，确定所述网页操作日志属于基线数据；

第二确定单元，用于在所述网页操作日志包含所述基线数据集合中的索引数据时，确定所述基线数据集合中所述网页操作日志包含的索引数据为目标索引数据；

范围判断单元，用于判断所述网页操作日志中的操作时间是否在所述目标索引数据对应的基线时间范围内；

第三确定单元，用于在所述网页操作日志中的操作时间在所述目标索引数据对应的基线时间范围内，确定所述网页操作日志属于基线数据；

第四确定单元，用于在所述网页操作日志中的操作时间不在所述目标索引数据对应的基线时间范围内，确定所述网页操作日志不属于基线数据；

写入数据单元，用于将属于所述基线数据的网页操作日志按照预设的写入方式写入基线数据集合中。

本申请第五方面提供一种电子设备，包括：

处理器；以及

存储器，其上存储有可执行代码，当所述可执行代码被所述处理器执行时，使所述处理器执行如上所述的方法。

本申请第六方面提供一种非暂时性机器可读存储介质，其上存储有可执行代码，当所述可执行代码被电子设备的处理器执行时，使所述处理器执行如上所述的方法。

由此可见，本申请提供了网页监控方法，在获取到针对目标网站的一条网页操作日志时，基于构建的基线数据集合判断所述网页操作日志是否满足告警条件，在确定满足所述告警条件的情况下，生成针对所述目标网站的告警信息，由此可见，本申请能够通过网页操作日志与基线数据集合来实现对目标网站的网页的监控，无需关注网页内容的变化，减少了网页的业务访问量；

进一步的，使用网页操作日志对网页进行监控，能够确保网页中正在发生的篡改行为或已经发生的篡改行为，提高了确定篡改行为的准确性。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

通过结合附图对本申请示例性实施方式进行更详细的描述，本申请的上述以及其它目的、特征和优势将变得更加明显，其中，在本申请示例性实施方式中，相同的参考标号通常代表相同部件。

图1是本申请一个方法实施例示出的网页监控方法的流程示意图；

图2是本申请另一方法实施例示出的网页监控方法的流程示意图；

图3是本申请一个方法实施例示出的一种基线数据构建方法的流程示意图；

图4是本申请一个装置实施例示出的网页监控装置的结构示意图；

图5是本申请另一装置实施例示出的网页监控装置的结构示意图；

图6是本申请一个装置实施例示出的一种基线数据构建装置的结构示意图；

图7是本申请一个装置实施例示出的电子设备的结构示意图。

具体实施方式

下面将参照附图更详细地描述本申请的优选实施方式。虽然附图中显示了本申请的优选实施方式，然而应该理解，可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了使本申请更加透彻和完整，并且能够将本申请的范围完整地传达给本领域的技术人员。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语“第一”、“第二”、“第三”等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

本申请一个方法实施例提供了网页监控方法，该方法可以应用于与目标网站的服务器进行通信的终端中，也可以应用于目标网站的服务器中。该目标网站为需要监控其网页是否被篡改的网站。

该方法可以包括如下步骤：

步骤101：当获取到针对目标网站的一条网页操作日志时，基于构建的基线数据集合判断所述网页操作日志是否满足告警条件，若是，进入步骤102，若否，结束针对当前的所述网页操作日志的监控；

本申请中，一条网页操作日志记录了某个主机对目标网站的一次操作行为，包含文件路径、文件操作方式、进程路径、操作时间、主机标识等各种数据。

文件路径包括文件目录以及文件名称，用于表征操作的文件信息。

文件操作方式用于表征对文件进行的操作方式，例如，删除、创建、修改、重命名等。

进程路径用于表征操作使用的进程。

操作时间用于表征操作的时间。

主机标识用于表征操作的主机ID和/或主机IP。

可选的，网页操作日志还可以包含服务器标识，该服务器标识可以为技术人员对服务器自定义的标识，用于表征网页操作日志的服务器来源。

本申请构建有基线数据集合，基线数据集合是基于网页操作日志构建的，设置有索引数据的类型和索引数据下的特征数据的类型，从而基于网页操作日志来生成基线数据，并能够写入到基线数据集合中。因此可以基于构建的基线数据集合来判断当前获取到的网页操作日志是否满足告警条件，在否的情况下，结束针对当前网页操作日志的监控，当再次获取到新的一条网页操作日志时，针对新获取的一条网页操作日志再执行上述方法；在是的情况下，进入步骤102。

步骤102：生成针对所述目标网站的告警信息。

该告警信息可以为针对网页操作日志中的主机标识，如主机ID和/或主机地址的告警信息，以使得能够快速定位到发生篡改的主机，提高篡改发生后的响应处置速度。

本申请实施例中，在获取到针对目标网站的一条网页操作日志时，基于构建的基线数据集合判断所述网页操作日志是否满足告警条件，在确定满足所述告警条件的情况下，生成针对所述目标网站的告警信息，由此可见，本申请能够通过网页操作日志与基线数据集合来实现对目标网站的网页的监控，无需关注网页内容的变化，减少了网页的业务访问量；

进一步的，使用网页操作日志对网页进行监控，能够确保网页中正在发生的篡改行为或已经发生的篡改行为，提高了确定篡改行为的准确性。

本申请另一方法实施例提供了网页监控方法，如图2所示，该方法包括如下过程：

步骤201：当获取到针对目标网站的一条网页操作日志时，判断所述网页操作日志是否属于基线数据，若是，进入步骤202；若否，进入步骤203；

本申请中，一条网页操作日志记录了某个主机对目标网站的一次操作行为，包含文件路径、文件操作方式、进程路径、操作时间、主机标识等各种数据。

文件路径包括文件目录以及文件名称，用于表征操作的文件信息。

文件操作方式用于表征对文件进行的操作方式，例如，删除、创建、修改、重命名等。

进程路径用于表征操作使用的进程。

操作时间用于表征操作的时间。

主机标识用于表征操作的主机ID和/或主机IP。

可选的，网页操作日志还可以包含服务器标识，该服务器标识可以为技术人员对服务器自定义的标识，用于表征网页操作日志的服务器来源。

本申请中，判断所述网页操作日志是否属于基线数据，可以包括如下过程：

(1.1)判断所述网页操作日志是否包含基线数据集合中的索引数据，若否，确定所述网页操作日志属于基线数据；

本申请中的基线数据集合是基于网页操作日志生成的，可以预先设定索引数据的类型和索引数据下的特征数据的类型，从而基于网页操作日志来生成基线数据，并能够写入到基线数据集合中。

基线数据集合还用于对网页操作日志是否满足告警条件进行判断，因此，当获取到一条网页操作日志时，需先判断该网页操作日志是用于生成基线数据的日志还是用于判断是否满足告警条件的日志。

若网页操作日志不包含基线数据集合中的索引数据，确定基线数据集合中未记载关于该条网页操作日志的索引数据，因此该条网页操作日志属于基线数据，参照本实施例的后续步骤，是将其按照预设的写入方式写入基线数据集合。

可以理解的是，如果基线数据集合中没有记录任何基线数据，说明需要先将网页操作日志写入到基线数据集合中，即确定网页操作日志属于基线数据。或者，如果基线数据集合中虽然记录了基线数据，但是索引数据中并没有关于网页操作日志的数据，那么也需要将网页操作日志写入到基线数据集合中，即也能确定网页操作日志属于基线数据。例如，索引数据类型为主机标识，基线数据集合中的主机标识为主机A，而网页操作日志中的主机标识为主机B，那么确定网页操作日志不包含基线数据集合中的索引数据，确定该网页操作日志属于基线数据。

(1.2)若所述网页操作日志包含基线数据集合中的索引数据，确定所述基线数据集合中所述网页操作日志包含的索引数据为目标索引数据，判断所述网页操作日志中的操作时间是否在所述目标索引数据对应的操作时间范围内；

基线数据集合中，每一索引数据对应一基线时间范围，该基线时间范围可以以首条写入的索引数据的操作时间为基准，并延长指定的时间长度下确定的范围。例如，索引数据为主机A，首条写入时对应的操作时间为2022－11－15 20：00：00，以该时间往后延长两周的时间范围为基线时间范围，也就是基线时间范围为2022－11－1520：00：00至2022－11－29 20：00：00。

可以理解的是，两周仅是指定的时间长度的一个具体示例，并不构成限定，本申请可以基于实际情况对指定的时间长度进行设定。

(1.3)若在所述操作时间范围内，确定所述网页操作日志属于基线数据，若不在所述操作时间范围内，确定所述网页操作日志不属于基线数据。

步骤202：按照预设的写入方式将所述网页操作日志写入基线数据集合；

预先设定网页操作日志的写入方式，一种方式下，可以直接将网页操作日志作为基线数据写入到基线数据集合中。而为了便于管理和数据定位，另一种方式下，按照预设的写入方式将所述网页操作日志写入所述基线数据集合，可以包括：将所述网页操作日志按照以索引数据为索引建立对应的操作时间和特征数据的方式写入到所述基线数据集合中。

索引数据的类型和特征数据的类型均可以预先指定，例如，索引数据可以为主机标识、服务器标识、文件标识、进程路径中的一个或多个，特征数据可以包括：文件路径、进程路径、文件操作方式中的一个或多个。其中，文件路径包括文件目录和文件名称。

需说明的是，索引数据和特征数据不重复。例如，索引数据中包括进程路径，那么对应的特征数据则不包含进程路径。

其中，每一索引数据还对应有操作时间，在将网页操作日志写入基线数据集合中，也需要将网页操作日志的操作时间与索引数据建立对应关系写入。可选，基线数据集合可以具有索引区和数据区，索引区中用于写入索引数据和与索引数据对应的时间信息，该时间信息为操作时间；当确定了索引数据的基线时间范围，也可以将该基线时间范围对应写入，以避免后续获取到网页操作日志还需要对基线时间范围进行计算。

数据区用于写入与索引数据对应的特征数据。因此，在将网页操作日志写入时，具体可以将网页操作日志按照在索引区写入索引数据和对应的操作时间，在特征区写入与所述索引数据对应的特征数据的方式写入基线数据集合中。

步骤203：基于所述基线数据集合判断所述网页操作日志是否满足告警条件，若是，进入步骤204，若否，结束针对当前的所述网页操作日志的监控；

结束针对当前的网页操作日志的监控后，当再次获取到新的一条网页操作日志时，针对新获取的一条网页操作日志再执行上述方法。

可选的，基于所述基线数据集合判断所述网页操作日志是否满足告警条件，可以包括如下过程：

(2.1)判断所述网页操作日志中的特征数据与所述基线数据集合中的所述目标索引数据对应的目标特征数据是否一致，若不一致，确定满足告警条件；

基线数据集合中，索引数据与特征数据具有对应关系，当确定网页操作日志具有基线数据集合中的目标索引数据后，可以判断网页操作日志中的特征数据与目标索引数据对应的目标特征数据是否一致，可以理解的是，目标特征数据在进行比对时需要进行同类型比对。

例如，目标特征数据包括进程路径、文件路径以及文件操作方式，那么需要将网页操作日志中的进程路径与目标特征数据中的进程路径进行比对，将网页操作日志中的文件路径与目标特征数据中的文件路径进行比对，将网页操作日志中的文件操作方式与目标特征数据中的文件操作方式进行比对，如有任意一项不一致，则确定满足告警条件。

(2.2)若一致，判断所述网页操作日志的特征数据在所述基线数据集合中是否属于周期性数据；

其中，所述周期性数据指代为所述目标特征数据在所述目标索引数据对应的操作时间范围内周期性重复。该周期性重复的时间和次数本申请不做限定，例如，每隔2天重复一次。

当然，在本实施例中，作为另一种方式，在一致的情况下，也可以直接结束针对当前的所述网页操作日志的判断。而对网页操作日志进行周期性数据的判断能够进一步提高针对网页监控的准确性。

(2.3)若不属于所述周期性数据，确定满足告警条件。

步骤204：生成针对所述目标网站的告警信息。

该告警信息具体可以为针对网页操作日志中的主机标识，如主机ID和/或主机地址的告警信息，以使得能够快速定位到发生篡改的主机，提高篡改发生后的响应处置速度。

本实施例中，在获取到针对目标网站的一条网页操作日志时，判断所述网页操作日志是否属于基线数据，若是，按照预设的写入方式将所述网页操作日志写入基线数据集合，若否，基于基线数据集合判断所述网页操作日志是否满足告警条件，在确定满足所述告警条件的情况下，生成针对所述目标网站的告警信息，由此可见，本申请能够通过网页操作日志与基线数据集合来实现对目标网站的网页的监控，无需关注网页内容的变化，减少了网页的业务访问量；

进一步的，使用网页操作日志对网页进行监控，能够确保网页中正在发生的篡改行为或已经发生的篡改行为，提高了确定篡改行为的准确性；

此外，通过网页操作日志能够快速定位到发生篡改的主机，提高篡改发生后的响应处置速度。

本申请又一方法实施例提供了网页监控方法，在本实施例中，在获取到针对目标网站的一条网页操作日志之前，还包括：采集针对目标网站的日志，若所述日志中的进程路径符合指定进程路径，且所述日志中的操作文件具有指定属性，将所述日志确定为网页操作日志；

其中，上述日志可以为文件进程操作日志或网页应用日志。

具体的，可以通过API HOOK技术采集关于进程、文件、网络行为的文件进程操作日志。

为了便于对网页操作日志进行识别，可选的，所述将日志确定为网页操作日志，可以包括：按照预设的格式将所述日志转换为标准日志，将所述标准日志确定为网页操作日志。

指定进程路径用于表征启动网页业务的进程，可以包括用于表征Java、wpw3、httpd、nginx、php－cgi、Tomcat等中的一种或多种进程的进程路径。

指定属性用于表征网页资源文件，如用于表征图片资源、静态htm资源、web脚本资源等中的一种或多种的属性。而操作文件是否具有指定属性可以基于操作文件的文件名的后缀来确定其是否具有指定属性，例如后缀为jpg则确定其具有图片资源的属性。

可选地，本实施例中，采集针对所述目标网站的日志之前，还可以包括：

设定采集所述目标网站的文件进程操作日志，对应的，可以设定基线数据集合中的索引数据的类型包括主机标识和服务器标识；

或者，设定采集所述目标网站的文件进程操作日志，对应的，可以设定基线数据集合中的索引数据包括主机标识和文件路径；

或者，设定采集所述目标网站的网页应用日志，对应的，可以设定基线数据集合中的索引数据包括主机标识和进程路径。

在设定索引数据的类型包含主机标识和服务器标识时，对应索引数据的特征数据可以包括：文件路径、进程路径以及文件操作方式。

在设定索引数据的类型包含主机标识和文件路径时，对应索引数据的特征数据可以包括：进程路径；

在设定索引数据的类型包含主机标识和进程路径时，对应索引数据的特征数据可以包括：文件路径以及文件操作方式。

可选的，基线数据集合可以包括索引区和数据区，索引数据的类型下的索引数据写入索引区，上述特征数据下的特征数据写入数据区，且与索引数据对应。索引区还用于写入与索引数据对应的时间信息，而当确定了索引数据的基线时间范围后，也可以将基线时间范围对应写入。

基线时间范围可以在首条索引数据写入时基于索引数据对应的操作时间和指定的时间长度确定；当然也可以再后续对网页操作日志确定时需要使用基线时间范围时确定，并写入，这均是可以实现的。

本申请又一方法实施例以网页应用日志为例，提供网页监控方法，需说明的是，本实施例仅是提供针对网页应用日志的一个具体示例，并不构成对其他实现方式的限定，具体过程如下：

(3.1)设定采集目标网站的网页应用日志，并设定基线数据集合包括索引区和数据区，索引区用于写入索引数据和与索引数据对应的时间信息，索引数据包括主机标识和进程路径，数据区用于写入与索引数据对应的特征数据，包括文件路径和文件操作方式。

由于网页应用日志中记载的均是关于同一进程针对目标网站的操作，因此，本实施例的基线数据集合中记录的是不同主机使用同一进程针对目标网站的操作。

(3.2)采集针对目标网站的网页应用日志，若所述网页应用日志中的进程路径符合指定进程路径，且所述网页应用日志中的操作文件具有指定属性，将所述日志确定为网页操作日志；

(3.3)将首次获取的网页操作日志作为基线数据按照基线数据集合设定的索引区和数据区，将作为索引数据的主机标识和进程路径，以及作为时间信息的操作时间写入索引区，将作为特征数据的文件路径、文件操作方式写入与索引数据对应的数据区。

(3.4)再次获取到网页操作日志时，判断网页操作日志中是否包含基线数据集合中的主机标识和进程路径，如不包含，则仍按上述步骤(3.3)中的写入方式将网页操作日志写入到基线数据集合中。若包含，确定基线数据集合中网页操作日志包含的主机标识和进程路径对应的操作时间，基于该操作时间以及指定的时间长度确定一基线时间范围，该基线时间范围也可以写入到索引区。

(3.5)判断网页操作日志中的操作时间是否在该基线时间范围内，若在，仍按照上述步骤(3.3)中的写入方式将网页操作日志写入到基线数据集合中。若不在，则判断网页操作日志中的文件路径与基线数据集合中相应的文件路径是否一致、文件操作方式是否一致，若有一项不一致，则满足告警条件，直接输出告警信息。若一致，则判断网页操作日志的特征数据在基线数据集合中是否属于周期性数据，若不是周期性数据，则确定满足告警条件，直接输出告警信息，若是周期性数据，则结束针对当前网页操作日志的判断。

在具体应用场景中，例如，主机A使用进程B操作了文件C，对应该操作的数据写入到了基线数据集合中；而后续主机A使用进程B操作了文件D，基于上述方法可以确定操作的文件发生了改变，那么则确定出现了网页篡改情况，因此可以通过输出告警信息来提示用户网页发生了篡改，可见，本实施例能够通过监控操作文件的变化实现针对网页的监控。

本申请又一方法实施例以监控异常进程的方式实现对网页的监控，需说明的是，本实施例仅是提供监控异常进程的一个具体示例，并不构成对其他实现方式的限定，具体过程如下：：

(4.1)设定采集所述目标网站的文件进程操作日志，并设定基线数据集合包括索引区和数据区，索引区用于写入索引数据和与索引数据对应的时间信息，索引数据包括主机标识和文件路径，数据区用于写入与索引数据对应的特征数据，包括进程路径。

(4.2)采集针对目标网站的文件进程操作日志，若所述文件进程操作日志中的进程路径符合指定进程路径，且所述网页应用日志中的操作文件具有指定属性，将所述操作日志确定为网页操作日志；

(4.3)将首次获取的网页操作日志作为基线数据按照基线数据集合设定的索引区和数据区，将作为索引数据的主机标识和文件路径，以及作为时间信息的操作时间写入索引区，将作为特征数据的进程路径写入与索引数据对应的数据区。

(4.4)再次获取到网页操作日志时，判断网页操作日志中是否包含基线数据集合中的主机标识和文件路径，如不包含，则仍按上述步骤(4.3)中的写入方式将网页操作日志写入到基线数据集合中。若包含，确定基线数据集合中网页操作日志包含的主机标识和文件路径对应的操作时间，基于该操作时间以及指定的时间长度确定一基线时间范围，该基线时间范围也可以写入到索引区。

(4.5)判断网页操作日志中的操作时间是否在该基线时间范围内，若在，仍按照上述步骤(4.3)中的写入方式将网页操作日志写入到基线数据集合中。若不在，则判断网页操作日志中的进程路径与基线数据集合中相应的进程路径是否一致，确定不一致，则满足告警条件，直接输出告警信息。若一致，则判断网页操作日志的特征数据在基线数据集合中是否属于周期性数据，若不是周期性数据，则确定满足告警条件，直接输出告警信息，若是周期性，结束针对当前网页操作日志的操作。

在具体应用场景中，例如，主机A在操作文件B时使用的是进程C，，对应该操作的数据写入到了基线数据集合中；而后续主机A在操作文件B时又使用了进程D，基于上述方法可以确定进程发生了改变，那么则确定出现了网页篡改情况，因此可以通过输出告警信息来提示用户网页发生了篡改，可见，本实施例能够通过监控操作进程的变化实现针对网页的监控。

本申请一个方法实施例提供了一种基线数据构建方法，如图3所示，该方法可以包括如下步骤：

步骤301：当获取到针对目标网站的一条网页操作日志时，判断所述网页操作日志是否包含基线数据集合中的索引数据，若否，进入步骤304，若是，进入步骤302；

本申请中，一条网页操作日志记录了某个主机对目标网站的一次操作行为，包含文件路径、文件操作方式、进程路径、操作时间、主机标识等各种数据。

文件路径包括文件目录以及文件名称，用于表征操作的文件信息。

文件操作方式用于表征对文件进行的操作方式，例如，删除、创建、修改、重命名等。

进程路径用于表征操作使用的进程。

操作时间用于表征操作的时间。

主机标识用于表征操作的主机ID和/或主机IP。

可选的，网页操作日志还可以包含服务器标识，该服务器标识可以为技术人员对服务器自定义的标识，用于表征网页操作日志的服务器来源。

本申请中的基线数据集合是基于网页操作日志生成的，可以预先设定索引数据的类型和索引数据下的特征数据的类型，从而基于网页操作日志来生成基线数据，并能够写入到基线数据集合中。

若网页操作日志不包含基线数据集合中的索引数据，确定基线数据集合中未记载关于该条网页操作日志的索引数据，因此该条网页操作日志属于基线数据，参照本实施例的后续步骤，是将其按照预设的写入方式写入基线数据集合。

可以理解的是，如果基线数据集合中没有记录任何基线数据，说明需要先将网页操作日志写入到基线数据集合中，即确定网页操作日志属于基线数据。或者，如果基线数据集合中虽然记录了基线数据，但是索引数据中并没有关于网页操作日志的数据，那么也需要将网页操作日志写入到基线数据集合中，即也能确定网页操作日志属于基线数据。例如，索引数据类型为主机标识，基线数据集合中的主机标识为主机A，而网页操作日志中的主机标识为主机B，那么确定网页操作日志不包含基线数据集合中的索引数据，确定该网页操作日志属于基线数据。

步骤302：确定所述基线数据集合中所述网页操作日志包含的索引数据为目标索引数据；

步骤303：判断所述网页操作日志中的操作时间是否在所述目标索引数据对应的基线时间范围内，若是，进入步骤304，若否，进入步骤305；

基线数据集合中，每一索引数据对应一基线时间范围，该基线时间范围可以以首条写入的索引数据的操作时间为基准，并延长指定的时间长度下确定的范围。例如，索引数据为主机A，首条写入时对应的操作时间为2022－11－15 20：00：00，以该时间往后延长两周的时间范围为基线时间范围，也就是基线时间范围为2022－11－1520：00：00至2022－11－29 20：00：00。

可以理解的是，两周仅是指定的时间长度的一个具体示例，并不构成限定，本申请可以基于实际情况对指定的时间长度进行设定。

步骤304：确定所述网页操作日志属于基线数据，将属于所述基线数据的网页操作日志按照预设的写入方式写入基线数据集合中；

预先设定网页操作日志的写入方式，一种方式下，可以直接将网页操作日志作为基线数据写入到基线数据集合中。而为了便于管理和数据定位，另一种方式下，按照预设的写入方式将所述网页操作日志写入所述基线数据集合，可以包括：将所述网页操作日志按照以索引数据为索引建立对应的操作时间和特征数据的方式写入到所述基线数据集合中。

索引数据的类型和特征数据的类型均可以预先指定，例如，索引数据可以为主机标识、服务器标识、文件标识、进程路径中的一个或多个，特征数据可以包括：文件路径、进程路径、文件操作方式中的一个或多个。其中，文件路径包括文件目录和文件名称。

需说明的是，索引数据和特征数据不重复。例如，索引数据中包括进程路径，那么对应的特征数据则不包含进程路径。

其中，每一索引数据还对应有操作时间，在将网页操作日志写入基线数据集合中，也需要将网页操作日志的操作时间与索引数据建立对应关系写入。可选，基线数据集合可以具有索引区和数据区，索引区中用于写入索引数据和与索引数据对应的时间信息，该时间信息为操作时间；当确定了索引数据的基线时间范围，也可以将该基线时间范围对应写入，以避免后续获取到网页操作日志还需要对基线时间范围进行计算。

数据区用于写入与索引数据对应的特征数据。因此，在将网页操作日志写入时，具体可以将网页操作日志按照在索引区写入索引数据和对应的操作时间，在特征区写入与所述索引数据对应的特征数据的方式写入基线数据集合中。

步骤305：确定所述网页操作日志不属于基线数据。

不属于基线数据的网页操作日志不会写入基线数据集合中，可选地，可以基于基线数据集合对不属于基线数据的网页操作日志进行监控，如基于基线数据集合判断其是否满足告警条件。

本实施例中，在获取到针对目标网站的一条网页操作日志时，判断所述网页操作日志是否包含基线数据集合中的索引数据，若否，确定所述网页操作日志属于基线数据；若是，确定所述基线数据集合中所述网页操作日志包含的索引数据为目标索引数据，判断所述网页操作日志中的操作时间是否在所述目标索引数据对应的基线时间范围内，若在所述基线时间范围内，确定所述网页操作日志属于基线数据，若不在所述基线时间范围内，确定所述网页操作日志不属于基线数据；将属于所述基线数据的网页操作日志按照预设的写入方式写入基线数据集合中，由此可见，本申请能够通过网页操作日志实现基线数据集合的构建，从而用于后续网页的监控。

与前述应用功能实现方法实施例相对应，本申请还提供了网页监控装置、一种基线数据构建装置、电子设备及相应的实施例。

图4是本申请一个装置实施例示出的网页监控装置的结构示意图。

参见图4，该装置可以包括：告警判断单元110以及第一生成单元120；

告警判断单元110，当获取到针对目标网站的一条网页操作日志时，基于构建的基线数据集合判断所述网页操作日志是否满足告警条件；其中，所述基线数据集合是根据网页操作日志构建的；

第一生成单元120，用于在确定满足所述告警条件的情况下，生成针对所述目标网站的告警信息。

本申请另一装置实施例提供了网页监控装置，如图5所示，该装置包括：第一判断单元130、第一写入单元140、告警判断单元110以及第一生成单元120；其中：

第一判断单元130，当获取到针对目标网站的一条网页操作日志时，判断所述网页操作日志是否属于基线数据；

第一写入单元140，用于在确定所述网页操作日志属于所述基线数据下，按照预设的写入方式将所述网页操作日志写入基线数据集合；

告警判断单元110，用于在确定所述网页操作日志不属于所述基线数据下，基于所述基线数据集合判断所述网页操作日志是否满足告警条件；

第一生成单元120，用于在确定满足所述告警条件的情况下，生成针对所述目标网站的告警信息。

该告警信息具体可以为针对网页操作日志中的主机标识，如主机ID和/或主机地址的告警信息，以使得能够快速定位到发生篡改的主机，提高篡改发生后的响应处置速度。

其中，第一判断单元130，包括：第一判断模块、第一确定模块、第二确定模块、第二判断模块、第三确定模块以及第四确定模块；具体的：

第一判断模块，用于当获取到针对目标网站的一条网页操作日志时，判断所述网页操作日志是否包含基线数据集合中的索引数据；

第一确定模块，用于在确定所述网页操作日志不包含所述基线数据集合中的索引数据时，确定所述网页操作日志属于基线数据；

第二确定模块，用于在确定所述网页操作日志包含所述基线数据集合中的索引数据时，确定所述基线数据集合中所述网页操作日志包含的索引数据为目标索引数据；

第二判断模块，用于判断所述网页操作日志中的操作时间是否在所述目标索引数据对应的基线时间范围内；

第三确定模块，用于确定在所述基线时间范围内，确定所述网页操作日志属于基线数据；

第四确定模块，用于确定不在所述基线时间范围内，确定所述网页操作日志不属于基线数据。

其中，告警判断单元110，可以包括：第三判断模块、第五确定模块、第四判断模块以及第六确定模块；具体的：

第三判断模块，用于在确定所述网页操作日志不属于所述基线数据下，判断所述网页操作日志中的特征数据与所述基线数据集合中的所述目标索引数据对应的目标特征数据是否一致；

第五确定模块，用于在不一致的情况下，确定满足告警条件；

第四判断模块，用于在一致的情况下，判断所述网页操作日志的特征数据在所述基线数据集合中是否属于周期性数据，其中，所述周期性数据指代为所述目标特征数据在所述目标索引数据对应的操作时间范围内周期性重复；

第六确定模块，用于在不属于所述周期性数据下，确定满足所述告警条件。

可选的，第一写入单元140具体用于在确定所述网页操作日志属于所述基线数据下，将所述网页操作日志按照以索引数据为索引建立对应的操作时间和特征数据的方式写入到所述基线数据集合中。

作为另一种实现方式，第一写入单元140具体可以用于直接将网页操作日志作为基线数据写入到基线数据集合中。

本实施例能够通过网页操作日志与基线数据集合来实现对目标网站的网页的监控，无需关注网页内容的变化，减少了网页的业务访问量；

进一步的，使用网页操作日志对网页进行监控，能够确保网页中正在发生的篡改行为或已经发生的篡改行为，提高了确定篡改行为的准确性；

此外，通过网页操作日志能够快速定位到发生篡改的主机，提高篡改发生后的响应处置速度。

本申请又一装置实施例提供了网页监控装置，在本实施例中，该装置可以包括：采集确定单元；其中：

采集确定单元，用于采集针对所述目标网站的日志，若所述日志中的进程路径符合指定进程路径，且所述日志中的操作文件具有指定属性，将所述日志确定为网页操作日志；

其中，所述日志为文件进程操作日志或网页应用日志。

为了便于对网页操作日志进行识别，可选地，所述采集确定单元将日志确定为网页操作日志，具体可以为：按照预设的格式将所述日志转换为标准日志，将所述标准日志确定为网页操作日志。

可选地，该装置还可以包括：

第一设定单元，用于预先设定采集所述目标网站的文件进程操作日志，还可以用于设定基线数据集合中的索引数据包括主机标识和服务器标识；

或者，第二设定单元，用于预先设定采集所述目标网站的文件进程操作日志，还可以用于设定基线数据集合中的索引数据包括主机标识和文件路径；

或者，第三设定单元，用于预先设定采集所述目标网站的网页应用日志，还可以设定基线数据集合中的索引数据包括主机标识和进程路径。

在设定索引数据包含主机标识和服务器标识时，对应索引数据的特征数据可以包括：文件路径、进程路径以及文件操作方式。

在设定索引数据包含主机标识和文件路径时，对应索引数据的特征数据可以包括：进程路径；

在设定索引数据包含主机标识和进程路径时，对应索引数据的特征数据可以包括：文件路径以及文件操作方式。

由此可见，本实施例中，可以使用文件进程操作日志或网页操作日志，并从其中来筛选出网页操作日志，由于使用的日志为底层数据，因此使得本申请针对网页的监控方法识别通用性更强；并且通过筛选的方式能够减少后续数据处理的信息量，进一步提高监控效率。

本申请一个装置实施例还提供了一种基线数据构建装置，如图6所示，该装置包括：数据判断单元210、第一确定单元220、第二确定单元230、范围判断单元240、第三确定单元250、第四确定单元260以及写入数据单元270；其中：

数据判断单元210，用于当获取到针对目标网站的一条网页操作日志时，判断所述网页操作日志是否包含基线数据集合中的索引数据；

第一确定单元220，用于在所述网页操作日志不包含基线数据集合中的索引数据时，确定所述网页操作日志属于基线数据；

第二确定单元230，用于在所述网页操作日志包含基线数据集合中的索引数据时，确定所述基线数据集合中所述网页操作日志包含的索引数据为目标索引数据；

范围判断单元240，用于判断所述网页操作日志中的操作时间是否在所述目标索引数据对应的基线时间范围内；

第三确定单元250，用于在所述网页操作日志中的操作时间在所述目标索引数据对应的基线时间范围内，确定所述网页操作日志属于基线数据；

第四确定单元260，用于在所述网页操作日志中的操作时间不在所述目标索引数据对应的基线时间范围内，确定所述网页操作日志不属于基线数据；

写入数据单元270，用于将属于所述基线数据的网页操作日志按照预设的写入方式写入基线数据集合中。

可选的，写入数据单元270具体用于将属于所述基线数据的网页操作日志按照以索引数据为索引建立对应的操作时间和特征数据的方式写入到所述基线数据集合中。

作为另一种实现方式，写入数据单元270具体可以用于直接将网页操作日志作为基线数据写入到基线数据集合中。

本实施例中，在获取到针对目标网站的一条网页操作日志时，判断所述网页操作日志是否包含基线数据集合中的索引数据，若否，确定所述网页操作日志属于基线数据；若是，确定所述基线数据集合中所述网页操作日志包含的索引数据为目标索引数据，判断所述网页操作日志中的操作时间是否在所述目标索引数据对应的基线时间范围内，若在所述基线时间范围内，确定所述网页操作日志属于基线数据，若不在所述基线时间范围内，确定所述网页操作日志不属于基线数据；将属于所述基线数据的网页操作日志按照预设的写入方式写入基线数据集合中，由此可见，本申请能够通过网页操作日志实现基线数据集合的构建，从而用于后续网页的监控。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不再做详细阐述说明。

图7是本申请一个装置实施例示出的电子设备的结构示意图。

参见图7，电子设备1000包括存储器1010和处理器1020。

处理器1020可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

存储器1010可以包括各种类型的存储单元，例如系统内存、只读存储器(ROM)，和永久存储装置。其中，ROM可以存储处理器1020或者计算机的其他模块需要的静态数据或者指令。永久存储装置可以是可读写的存储装置。永久存储装置可以是即使计算机断电后也不会失去存储的指令和数据的非易失性存储设备。在一些实施方式中，永久性存储装置采用大容量存储装置(例如磁或光盘、闪存)作为永久存储装置。另外一些实施方式中，永久性存储装置可以是可移除的存储设备(例如软盘、光驱)。系统内存可以是可读写存储设备或者易失性可读写存储设备，例如动态随机访问内存。系统内存可以存储一些或者所有处理器在运行时需要的指令和数据。此外，存储器1010可以包括任意计算机可读存储媒介的组合，包括各种类型的半导体存储芯片(DRAM，SRAM，SDRAM，闪存，可编程只读存储器)，磁盘和/或光盘也可以采用。在一些实施方式中，存储器1010可以包括可读和/或写的可移除的存储设备，例如激光唱片(CD)、只读数字多功能光盘(例如DVD－ROM，双层DVD－ROM)、只读蓝光光盘、超密度光盘、闪存卡(例如SD卡、min SD卡、Micro－SD卡等等)、磁性软盘等等。计算机可读存储媒介不包含载波和通过无线或有线传输的瞬间电子信号。

存储器1010上存储有可执行代码，当可执行代码被处理器1020处理时，可以使处理器1020执行上文述及的方法中的部分或全部。

上文中已经参考附图详细描述了本申请的方案。在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其他实施例的相关描述。本领域技术人员也应该知悉，说明书中所涉及的动作和模块并不一定是本申请所必须的。另外，可以理解，本申请实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减，本申请实施例装置中的模块可以根据实际需要进行合并、划分和删减。

此外，根据本申请的方法还可以实现为一种计算机程序或计算机程序产品，该计算机程序或计算机程序产品包括用于执行本申请的上述方法中部分或全部步骤的计算机程序代码指令。

或者，本申请还可以实施为一种非暂时性机器可读存储介质(或计算机可读存储介质、或机器可读存储介质)，其上存储有可执行代码(或计算机程序、或计算机指令代码)，当所述可执行代码(或计算机程序、或计算机指令代码)被电子设备(或电子设备、服务器等)的处理器执行时，使所述处理器执行根据本申请的上述方法的各个步骤的部分或全部。

本领域技术人员还将明白的是，结合这里的申请所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。

附图中的流程图和框图显示了根据本申请的多个实施例的系统和方法的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标记的功能也可以以不同于附图中所标记的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

以上已经描述了本申请的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。