本发明专利技术涉及一种基于全量访问日志分析的网站后门检测方法及装置,其中,方法包括:获得网站的全量访问日志;对所述全量访问日志进行行为特征分析,将所述全量访问日志中请求的各个参数、消息头以及返回的数据内容与网站后门的行为特征库进行正则匹配,将匹配成功的全量访问日志中对应的后门文件判定为可疑后门文件。将所述可疑后门文件的网站后门行为类型、名称以及对应的全量访问日志发送至日志服务器,并进行告警。适用于检测黑客正在控制直接上传的后门变形文件、加密文件、嵌入到正常文件的后门实施攻击的场景等,弥补了文件hash比对、常用函数比对等网站后门检测方法的不足。
【技术实现步骤摘要】
本专利技术涉及网络安全
,特别涉及一种基于全量访问日志分析的网站后门检测方法及装置。
技术介绍
网站后门(也称作网页后门、WEB后门、WEBSHELL)是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境。黑客在入侵了一个网站后,通常会将网站后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器或者专用客户端软件来访问后门,得到一个命令执行环境,以达到控制网站服务器的目的。申请号为:201310423483.1公开了一种WebShell的检测方法及系统,该技术方案通过以下思路进行检测:收集服务器访问日志、分析并提取具有可疑访问行为的URL;结合WebShell特征库,对具有可疑访问行为的URL进行本地检测和远程检测;根据检测结果,若发现WebShell则上报WebShell路径,同时将识别出的WebShell路径补充到WebShell路径库。该方案的核心内容是日志分析和特征库比对。该方案存在一定的技术缺陷:1)远程检测方法中,获取的服务器访问日志不包含POST参数(攻击payload),因为如果攻击者通过POST方法来提交payload(比如,控制服务器执行的命令),则该方案不能发现异常;2)该方案的本地检测方法完全依赖于收集的WebShell特征库,故无法有效地检测出变形或加密的WebShell文件。另外,由于目前WebShell的代码变换、加密技术日益丰富,经过对WebShell文件内容进行调整,就能轻易地绕过MD5特征库或内容特征库比对的检测方法。申请号为201310691213.9公开了一种本地模拟请求辅助查找WebShell的方法及系统,该技术方案读取web服务器配置文件,获取web服务器相关信息(包括站点个数、路径、域名或者端口号);依次遍历站点下所有文件,筛选出网页文件,并保存网页文件的路径信息;本地模拟请求,依次访问上述网页文件,获取返回数据;对返回数据进行特征扫描,并根据扫描结果生成检测报告。该方案存在较大缺陷:如果WebShell并不是单一的文件,而是嵌入在其他WEB文件中,通过GET(或POST)参数、HTTP消息头的方式来触发执行WebShell中相关代码,该方法则无法进行检测。综上,现有技术手段分析的日志经过WEB Server加工,不包含全量访问日志,若网站后门通过其他字段触发,则无法通过现有手段进行检测;此外现有技术并没有提出通过网站后门的行为特征(黑客通过网站后门进行文件操作、执行命令、数据库管理等行为)分析,在检测正在实施攻击的网站后门存在不足。
技术实现思路
为解决现有技术的问题,本专利技术提出一种基于全量访问日志分析的网站后门检测方法及装置,该技术方案通过对网站后门行为特征进行提取和分析,适用于检测黑客直接上传的后门变形文件、加密文件、嵌入到正常文件的后门文件等,弥补了文件hash比对、常用函数比对等网站后门检测方法的不足。为实现上述目的,本专利技术提供了一种基于全量访问日志分析的网站后门检测方法,包括:获得网站的全量访问日志;对所述全量访问日志进行行为特征分析,将所述全量访问日志中请求的各个参数、消息头以及返回的数据内容与网站行为特征库进行正则匹配,将匹配成功的全量访问日志对应的后门文件判定为可疑后门文件。优选地,还包括:将所述可疑后门文件的网站后门行为类型、名称以及对应的全量访问日志发送至日志服务器,并进行告警。优选地,所述获得全量访问日志的步骤:通过网络流镜像技术将网络设备上的进出流量复制一份到目标镜像端口,实现对访问网站的网络流量进行监控;将所述镜像端口监控到的网络流量导入至所述镜像服务器;对所述网络流量进行解析,获得网络流量中HTTP协议的全量请求和返回内容;将所述HTTP协议请求和返回内容进行存储;按照规定的生成频率生成日志文件,该日志文件为全量访问日志,区别于Web Server只记录HTTP协议中的部分内容。优选地,所述行为特征库的建立步骤包括:将已知的网站后门作为提取对象,对攻击端与网站后门之间的通讯数据内容进行特征提取,获取网站后门攻击时对应地行为特征;利用所述网站后门攻击时对应地行为特征组合成行为特征库。优选地,所述全量访问日志包括:HTTP消息头、POST参数内容和WEB Server返回消息头与内容。优选地,所述行为特征包括:命令执行特征、文件操作特征和数据库操作特征。优选地,还包括:在行为特征分析之前,对获取的全量访问日志的具体请求进行解码。对应地,为实现上述目的,本专利技术还提供了一种基于全量访问日志分析的网站后门检测装置,包括:全量访问日志获取单元,用于获得网站的全量访问日志;检测单元,用于对所述全量访问日志进行行为特征分析,将所述全量访问日志中请求的各个参数、消息头以及返回内容与行为特征库进行正则匹配,将匹配成功的全量访问日志对应的后门文件判定为可疑后门文件。优选地,还包括:告警单元,用于将所述可疑后门文件的网站后门行为类型、名称以及对应的全量访问日志发送至日志服务器,并进行告警。优选地,所述全量访问日志获取单元包括:监控模块,用于通过镜像端口对网络流量进行监控;导入模块,用于将所述镜像端口监控到的网络流量导入至所述镜像服务器;解析模块,用于对所述网络流量进行解析,获得HTTP协议请求和返回内容;存储模块,用于将所述HTTP协议请求和返回内容进行存储;全量访问日志生成模块,用于按照规定的生成频率生成日志文件,该日志文件为全量访问日志。优选地,所述全量访问日志获取单元获取的全量访问日志包括:HTTP消息头、POST参数内容和WEB Server返回消息头、内容。优选地,所述行为特征库的行为特征包括:命令执行特征、文件操作特征和数据库操作特征。上述技术方案具有如下有益效果:1、在保障Web Server正常对外服务、无需对Web Server做任何改动的情况下,获取网络的全量访问日志,实现网站后门的检测。弥补了现有技术利用Web Server自身记录的访问日志来分析检测网站后门所存在的不足。2、将全量访问日志中请求的各个参数、消息头以及日志内容与行为特征库进行正则
匹配,该检测技术也同样依赖于行为特征库比对技术。黑客在上传网站后门时通常会对已知网站后门程序进行修改,例如修改title、后门展示内容等将该后门打上标签,对后门文件特征进行修改绕过杀毒软件检测,已知的基于文件内容特征、敏感函数使用、文件MD5检测等手段则无法进行有效检测,而本技术方案仍然能够检测黑客修改文件特征后的网站后门程序。3、本技术方案在对行为特征分析时,除保存全量访问日志外,会对全量访问日志进行解码工作,将得到的访问日志的密文、明文分别进行行为特征检测,降低了漏报情况。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术提出的一种基于全量访问日志分析的网站后门检测方法流程图;图2为镜像服务器的部署拓扑图;图3为网络流量解析结果示意图;图4为行为特征库的样例示意图;图5为本专利技术提出的一种基于全量本文档来自技高网...
【技术保护点】
一种基于全量访问日志分析的网站后门检测方法,其特征在于,包括:获得网站的全量访问日志;对所述全量访问日志进行行为特征分析,将所述全量访问日志中请求的各个参数、消息头以及返回的数据内容与网站行为特征库进行正则匹配,将匹配成功的全量访问日志对应的后门文件判定为可疑后门文件。
【技术特征摘要】
1.一种基于全量访问日志分析的网站后门检测方法,其特征在于,包括:获得网站的全量访问日志;对所述全量访问日志进行行为特征分析,将所述全量访问日志中请求的各个参数、消息头以及返回的数据内容与网站行为特征库进行正则匹配,将匹配成功的全量访问日志对应的后门文件判定为可疑后门文件。2.如权利要求1所述的方法,其特征在于,还包括:将所述可疑后门文件的网站后门行为类型、名称以及对应的全量访问日志发送至日志服务器,并进行告警。3.如权利要求1或2所述的方法,其特征在于,所述获得全量访问日志的步骤:通过网络流镜像技术将网络设备上的进出流量复制一份到目标镜像端口,实现对访问网站的网络流量进行监控;将所述镜像端口监控到的网络流量导入至所述镜像服务器;对所述网络流量进行解析,获得网络流量中HTTP协议的全量请求和返回内容;将所述HTTP协议请求和返回内容进行存储;按照规定的生成频率生成日志文件,该日志文件为全量访问日志,区别于Web Server只记录HTTP协议中的部分内容。4.如权利要求1或2所述的方法,其特征在于,所述行为特征库的建立步骤包括:将已知的网站后门作为提取对象,对攻击端与网站后门之间的通讯数据内容进行特征提取,获取网站后门攻击时对应地行为特征;利用所述网站后门攻击时对应地行为特征组合成行为特征库。5.如权利要求1或2所述的方法,其特征在于,所述全量访问日志包括:HTTP消息头、POST参数内容和WEB Server返回消息头与内容。6.如权利要求4所述的方法,其特征在于,所述行为特征包括:...
【专利技术属性】
技术研发人员:丁玲明,周恒磊,邓乐,孙会林,
申请(专利权)人:中国银联股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。