本发明专利技术公开了一种行业云Webshell安全防护方法,包括以下步骤:a.对服务器访问日志实时监控,进行特征码或关键字匹配,对Webshell进行检测;b.将可疑事件对象在系统中部署的轻量级agent进行本地化检测;c.对步骤b中的检测结果进行分析,并将分析结果和样本事件推送至安全管理系统中进行安全大数据态势分析;d.对检测出来的Webshell事件进行告警或应急处理。上述行业云Webshell安全防护方法将创新地通过实现特征库匹配和流量异常行为分析等检测方式来对webshell进行监测处置;并与现有云安全管理系统配合,将最终的分析结果、样本事件推送到云安全管理系统中实现安全的大数据态势分析。
【技术实现步骤摘要】
一种行业云Webshell安全防护方法
本专利技术涉及云安全产品/服务
,具体涉及一种行业云Webshell安全防护方法。
技术介绍
近年来,由webshell引发的客户网站被篡改、挂马、暗链问题频发,很多行业云客户提出webshell防护服务需求,但目前现有云安全产品大多并没有webshell处置功能,主流厂家WAF设备也不能全面地、可靠地应对webshell业务。WebShell能用来获取系统的控制权,并以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也称为一种网页后门。WebShell做为控制网站的利器,WebShell一旦上传成功,意味着网站已经搞定,然后就是尽量隐藏自己的身份别被发现,同时可以进行后续的破坏行为。2016年CNCERT监测发现来自境外(美国、香港)对境内网站进行webshell攻击,数量较2015年增长9.3%;2016年江苏省行业云发生的客户网站被webshell控制导致网站被篡改事件增长30%。很多客户比如省残联、常州财政局等先后遭受到webshell攻击;Webshell监测治理在业界属于难题,经过测试,主流厂家WAF设备功能主要是处置SQL注入、跨站、恶意扫描等,对webshell的误报率比较高,并不能全面地应对处置webshell。
技术实现思路
本专利技术要解决的技术问题是克服现有技术的不足,提供了一种行业云Webshell安全防护方法,将创新地通过实现特征库匹配和流量异常行为分析等检测方式来对webshell进行监测处置;并与现有云安全管理系统配合,将最终的分析结果、样本事件推送到云安全管理系统中实现安全的大数据态势分析。为达到上述目的,本专利技术采用的技术方案是:一种行业云Webshell安全防护方法,包括以下步骤:a.对服务器访问日志实时监控,进行特征码或关键字匹配,对Webshell进行检测,识别出可疑事件对象;b.将可疑事件对象在系统中部署的轻量级agent进行本地化检测;c.对步骤b中的检测结果进行分析,并将分析结果和样本事件推送至安全管理系统中进行安全大数据态势分析;d.对检测出来的Webshell事件进行告警或应急处理。作为本专利技术进一步改进的,所述步骤a中特征码或关键字匹配为系统主动监测过程,配合部署在终端的安全组件,对系统后台的非法操作、异常函数调用及异常指令执行进行监控判断,识别WebShell攻击。所述步骤a中特征码或关键字匹配为被动监测过程,通过对流量的分析,以及WebShell传输异常行为特征库,实现对WebShell的检测;记录攻击日志,包括成功和非成功(嗅探)攻击。所述步骤a中特征码或关键字匹配为人工监测过程,根据历史经验进行人工判断,对网站目录下的可以文件进行排查或检测,确认是否为WebShell文件。所述步骤b中的本地化检测包括进行文件状态对比,发现WebServer上增加修改文件。所述步骤b中的本地化检测包括进行异常行为检测,从反常的流量请求行为判断识别WebShell。所述步骤b中的本地化检测包括进行代码逻辑审核,通过人工或软件的方式对代码运行逻辑进行检查,严格审核代码的逻辑以精确发现WebShell。所述步骤c中的安全大数据态势分析包括建立一个Webshell样本库,保存每一个新的Webshell特征,将待分析的Webshell文件与所述特征库匹配,并确定Webshell文件与Webshell特征匹配率,则基于至少两个Webshell特征中可信度最高的Webshell特征确定相应的入侵原因。由于上述技术方案的运用,本专利技术与现有技术相比具有下列优点:将创新地通过实现特征库匹配和流量异常行为分析等检测方式来对webshell进行监测处置;并与现有云安全管理系统配合,将最终的分析结果、样本事件推送到云安全管理系统中实现安全的大数据态势分析。。附图说明下面结合附图对本专利技术技术方案作进一步说明:图1为本专利技术安全防护方法流程图。具体实施方式下面结合具体实施例对本专利技术作进一步的详细说明。如图1所示的一种行业云Webshell安全防护方法,为了提高Webshell入侵原因的分析效率以及提高分析准确度,本申请实施例中,在确定待分析的Webshell文件后,基于与该Webshell文件关联的服务器的访问日志(如,http访问日志),分析造成Webshell入侵的原因,从而可迅速、准确地定位入侵原因,并且可以对特征库中记录的入侵原因进行及时补充。用于解析Webshell文件的解析装置位于服务器侧,与保存有待分析的Webshell文件的装置相连接,与保存有访问日志的装置相连接,以及与特征库相连接,其中,特征库中记录有各个Webshell特征与入侵原因之间的关联关系。获取待分析的Webshell文件。本申请实施例中,所谓的Webshell文件是指已确定包含Webshell的文件。通常,一份Webshell文件中记录有多个字段(又称字段信息),这些字段可以包含但不限于:文件名称、文件路径、文件内容中的任意一种或任意组合等等。将上述Webshell文件与预设的特征库进行匹配,判断是否匹配成功。特征库用于记录Webshell特征与入侵原因之间的关联系统,进一步地,对应每一个Webshell特征分别记录有相应的可信度,所谓的可信度,即是Webshell特征在历史记录中的被命中概率。每一条记录由三个主要字段组成:入侵原因、特征表达式和可信度;其中,入侵原因,用于描述存在某一个Webshell特征时,系统是由什么原因入侵成功的;特征表达式:用于描述某一Webshell特征符合的格式;如,一个特征表达式为:eq(“file_path”,”aaa”)&&in(“content”,”bbb”),该特征表达式表示,Webshell文件的文件路径为”aaa”,并且文件内容包含”bbb”。可信度,用于描述某一Webshell特征在历史记录中的被命中概率。具体的,本申请实施例中,将上述Webshell文件与预设的特征库进行匹配时,需要基于Webshell文件包含的各个字段,在预设的特征库中查找相匹配的特征表达式,若查找到,则确定匹配成功,若未查找到,则确定匹配失败。进一步地,若待分析的Webshell文件与至少两个特征表达式匹配成功,则选取其中可信度取值最大的特征表达式作为匹配成功对象。获取与上述Webshell文件关联的服务器的登录日志。通常,Webshell文件是设置在某一服务器上的后门文件,便于黑客随时对服务器进行攻击,因此,所有的Webshell文件均存在相关联的服务器,进一步地,需要在与Webshell文件相关联的服务器上获取登录日志,可以以Webshell文件的创建时间为基准点,在基准点之前的第一时长或/和基准点之后的第二时长所对应的时间范围内,获取相应的登录日志。判断是否存在非法登录行为。由于服务器仅能由管理人员进行登录,因此,一旦发现存在非管理人员的登录行为,即可以判定为非法登录行为。判断是否与上述Webshell文件相同的已分析成功案例。在某些情况下,管理人员可能未及时将已分析成功的案例录入特征库,因此,可以在分析记录中,查找是否存在与上述Webshell文件相同的已分析成功安例。确定入侵原因。若Webshell文本文档来自技高网...
【技术保护点】
一种行业云Webshell安全防护方法,其特征在于,包括以下步骤:对服务器访问日志实时监控,进行特征码或关键字匹配,对Webshell进行检测,识别出可疑事件对象;将可疑事件对象在系统中部署的轻量级agent进行本地化检测;对步骤b中的检测结果进行分析,并将分析结果和样本事件推送至安全管理系统中进行安全大数据态势分析;对检测出来的Webshell事件进行告警或应急处理。
【技术特征摘要】
1.一种行业云Webshell安全防护方法,其特征在于,包括以下步骤:对服务器访问日志实时监控,进行特征码或关键字匹配,对Webshell进行检测,识别出可疑事件对象;将可疑事件对象在系统中部署的轻量级agent进行本地化检测;对步骤b中的检测结果进行分析,并将分析结果和样本事件推送至安全管理系统中进行安全大数据态势分析;对检测出来的Webshell事件进行告警或应急处理。2.根据权利要求1所述的行业云Webshell安全防护方法,其特征在于:所述步骤a中特征码或关键字匹配为系统主动监测过程,配合部署在终端的安全组件,对系统后台的非法操作、异常函数调用及异常指令执行进行监控判断,识别WebShell攻击。3.根据权利要求1所述的行业云Webshell安全防护方法,其特征在于:所述步骤a中特征码或关键字匹配为被动监测过程,通过对流量的分析,以及WebShell传输异常行为特征库,实现对WebShell的检测;记录攻击日志,包括成功和非成功(嗅探)攻击。4.根据权利要求1所述的行业云Webshell安全防护方法,其特征在于:所述步骤a中特征码或关键字匹配为人工监测过程,根据历...
【专利技术属性】
技术研发人员:叶俊,王秋月,许玲玲,
申请(专利权)人:江苏翼企云通信科技有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。