WebShell检测方法及装置制造方法及图纸
WebShell detection method and device
The invention discloses a method for the detection of WebShell, including: flow detection data between the server and the client, in the presence of suspicious data, with the characteristics of WebShell or WebShell to judge the behavior of traffic data which, if suspicious data with WebShell characteristics of the flow in the data, then determine the presence of the WebShell flow in the data; if suspicious data has WebShell behavior characteristics of the flow of data, analysis of the behavior characteristic of WebShell corresponding to the suspicious data, and according to the analysis results, to determine whether the presence of the traffic data in WebShell. The invention also discloses a WebShell detection device. The invention is based on flow detection and operation behavior analysis to realize the detection of WebShell so as to prevent the server from being invaded and ensure the security of data on the server.
【技术实现步骤摘要】
WebShell检测方法及装置
本专利技术涉及信息安全
,尤其涉及WebShell检测方法及装置。
技术介绍
WebShell是网站被成功入侵后被安装的后门程序,从而可以方便入侵者控制被入侵的主机(或服务器)以盗取敏感数据或凭据或者作为攻击内网主机的跳板。WebShell常常被伪装成正常的网站程序,如果不能发现已经安装的WebShell,那么即使修复了网站的漏洞,入侵者仍然可以利用隐藏在网站程序中的WebShell来继续控制被入侵的主机。因此,检测发现已经安装的WebShell具有非常重要的意义。目前现有技术主要通过如下几种方式来检测或防御WebShell:1、直接对WebShell文件的源代码进行检测,但由于WebShell大多是用动态语言编写,非常容易进行变形或混淆,同时还有一些web服务器的接口,如CGI或JavaServlet可以运行编译后二进制程序,因而难以进行检测。2、通过修改web服务器以及hookWebShell使用的关键API函数进行检测,但由于WebShell使用的多数API也会在正常的网站程序中使用,只收集到API调用的数据可能不足以分辨WebShell。3、根据web服务器的访问日志进行检测从web服务器记录的访问日志中发现WebShell,但由于访问日志一般只记录了URL、IP地址等少量信息,因而也不足以用来分辨WebShell,因此该方法一般是和其它方法结合使用。
技术实现思路
本专利技术的主要目的在于提供一种WebShell检测方法及装置,旨在通过新的WebShell检测方式以解决现有WebShell检测技术中的不足的技术问...
【技术保护点】
一种WebShell检测方法,其特征在于,所述WebShell检测方法包括:检测服务器与客户端之间的流量数据,以判断所述流量数据中是否存在具有WebShell特征或WebShell行为特征的可疑数据,其中,若所述流量数据中存在具有WebShell特征的可疑数据,则确定所述流量数据中存在WebShell;若所述流量数据中存在具有WebShell行为特征的可疑数据,则分析该可疑数据所对应的WebShell行为特征,并根据分析结果,判断所述流量数据中是否存在WebShell。
【技术特征摘要】
1.一种WebShell检测方法,其特征在于,所述WebShell检测方法包括:检测服务器与客户端之间的流量数据,以判断所述流量数据中是否存在具有WebShell特征或WebShell行为特征的可疑数据,其中,若所述流量数据中存在具有WebShell特征的可疑数据,则确定所述流量数据中存在WebShell;若所述流量数据中存在具有WebShell行为特征的可疑数据,则分析该可疑数据所对应的WebShell行为特征,并根据分析结果,判断所述流量数据中是否存在WebShell。2.如权利要求1所述的WebShell检测方法,其特征在于,所述检测服务器与客户端之间的流量数据,以判断所述流量数据中是否存在具有WebShell特征或WebShell行为特征的可疑数据包括:读取所述服务器与所述客户端之间的数据包并进行数据流重组,得到所述数据包重组后所对应的流量数据;对所述流量数据进行解析,得到对应的解析数据,所述解析数据至少包括URL数据、表单数据、所述服务器反馈给所述客户端的数据中的一种或多种;将所述解析数据与预置WebShell特征库中数据进行比对,并根据比对结果判断所述流量数据中是否存在具有WebShell特征或WebShell行为特征的可疑数据。3.如权利要求2所述的WebShell检测方法,其特征在于,所述将所述解析数据与预置WebShell特征库中数据进行比对,并根据比对结果判断所述流量数据中是否存在具有WebShell特征或WebShell行为特征的可疑数据包括:根据所述解析数据,判断所述流量数据是否为所述客户端向所述服务器所发送的访问请求;若为所述访问请求,则将所述解析数据与所述WebShell特征库中数据进行比对,所述WebShell特征库中包括若干WebShell特征与WebShell行为特征;若所述解析数据中存在符合所述WebShell特征的数据,则确定所述流量数据中存在具有所述WebShell特征的可疑数据,若所述解析数据中存在符合所述WebShell行为特征的数据,则确定所述流量数据中存在具有所述WebShell行为特征的可疑数据。4.如权利要求2所述的WebShell检测方法,其特征在于,所述将所述解析数据与预置WebShell特征库中数据进行比对,并根据比对结果判断所述流量数据中是否存在具有WebShell特征或WebShell行为特征的可疑数据包括:根据所述解析数据,判断所述流量数据是否为所述服务器向所述客户端所返回的反馈响应;若为所述反馈响应,则判断是否已缓存所述反馈响应所对应的访问请求;若未缓存所述反馈响应所对应的访问请求,则将所述解析数据与所述WebShell特征库中数据进行比对;若所述解析数据中存在符合所述WebShell特征的数据,则确定所述流量数据中存在具有所述WebShell特征的可疑数据,若所述解析数据中存在符合所述WebShell行为特征的数据,则确定所述流量数据中存在具有所述WebShell行为特征的可疑数据;或若已缓存所述反馈响应所对应的访问请求,则读取缓存的所述反馈响应所对应的访问请求,并将所述解析数据与该访问请求所具有的WebShell行为特征进行比对;若所述解析数据中存在符合该访问请求所具有的WebShell行为特征的数据,则确定所述流量数据中存在具有所述WebShell行为特征的可疑数据。5.如权利要求1至4中任一项所述的WebShell检测方法,其特征在于,所述若所述流量数据中存在具有WebShell行为特征的可疑数据,则分析该可疑数据所对应的WebShell行为特征,并根据分析结果,判断所述流量数据中是否存在WebShell包括:若所述流量数据中存在具有WebShell行为特征的可疑数据,则将该流量数据中的WebShell行为特征进行分类记录;根据对WebShell行为特征所进行的一次或多次的所述分类记录,判断记录的WebShell行为特征所对应的操作行为是否为异常行为,若记录的WebShell行为特征所对应的操作行为是异常行为,则确定所述流量数据中存在WebShell;其中,所述WebShell行为特征至少包括列出目录及文件、上传文件、下载敏感数据、查询数据库、...
【专利技术属性】
技术研发人员:杨力,
申请(专利权)人:深圳市深信服电子科技有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。