检测入侵脚本文件的方法、装置及系统制造方法及图纸

本发明专利技术公开了一种检测入侵脚本文件的方法、装置及系统。其中，该方法包括：拦截待检测文件，其中，待检测文件包括如下任意一种或多种类型的文件：待写入网络终端的文件和从网络终端中待读取的文件；检测待检测文件的读写参数是否满足阻断条件；在待检测文件的读写参数满足阻断条件的情况下，阻断读写待检测文件。本发明专利技术解决了有技术采用被动防护方式来检测网络服务器植入的入侵脚本文件，导致检测结果不准的技术问题。

Method, device and system for detecting intrusion script file

The invention discloses a method, a device and a system for detecting an intrusion script file. Among them, the method includes: detecting the intercept file, the file to be detected include any one or more types of files to be written to the file and read to the network terminal from the network terminal file; be detected file read and write parameters can meet the blocking conditions; to be detected in the file read and write the parameters meet the blocking conditions, block read and write file to be detected. The invention solves the technical problems that the technique adopts a passive protection mode to detect the intrusion script files embedded by the network server, and leads to the inaccurate detection result.

【技术实现步骤摘要】
检测入侵脚本文件的方法、装置及系统
本专利技术涉及互联网领域，具体而言，涉及一种检测入侵脚本文件的方法、装置及系统。
技术介绍
随着互联网技术的快速发展，网络安全成为当今最主要的问题。威胁网络安全的网络攻击手段较多，常见的有Webshell攻击，其中，Webshell为黑客进行网络入侵的脚本攻击工具。利用网络站点的漏洞向被攻击站点植入php、asp或者jsp等程序后门文件，然后通过正常的网络访问方式访问这些后门文件，从而控制网络服务器，执行恶意攻击操作，比如查看数据库，执行任意程序命令等。Webshell攻击危害巨大，因此，阻止植入Webshell和快速查杀Webshell对于网络安全防护具有非常重要的意义。为了提高网络安全，相关技术采用定时全盘扫描查杀机制，即定时扫描全盘文件，对每个文件依次进行内容特征比对，从而发现并移除Webshell文件。但是，采用定时全盘扫描查杀这种被动防护方式来检测网路服务器植入的入侵脚本文件(比如Webshell文件)，将会导致检测结果不准确，具体表现在：1、时效性差。黑客可以利用两次扫描之间的时间进行恶意攻击，在Webshell文件被扫描到之前控制网络站点和网络服务器，执行恶意操作。2、漏杀新型Webshell文件。由于新型Webshell文件内容特征未知，采用内容特征比对的方式将不能发现Webshell文件，造成漏杀Webshell文件。3、无主动防护能力。采用完全被动防护，进队已经存在于磁盘中的文件进行扫描，无法在Webshell文件的写入过程主动分析和防御。而且，缺乏主动触发机制，不能及时发现可疑文件并启动扫描程序。4、灵活性差。缺乏业务定制能力，无法根据业务合法性直接识别Webshell文件。针对有技术采用被动防护方式来检测网络服务器植入的入侵脚本文件，导致检测结果不准的问题，目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种检测入侵脚本文件的方法、装置及系统，以至少解决有技术采用被动防护方式来检测网络服务器植入的入侵脚本文件，导致检测结果不准的技术问题。根据本专利技术实施例的一个方面，提供了一种检测入侵脚本文件的方法，包括：拦截待检测文件，其中，待检测文件包括如下任意一种或多种类型的文件：待写入网络终端的文件和从网络终端中待读取的文件；检测待检测文件的读写参数是否满足阻断条件；在待检测文件的读写参数满足阻断条件的情况下，阻断读写待检测文件。根据本专利技术实施例的另一方面，还提供了一种检测入侵脚本文件的装置，包括：第一拦截模块，用于拦截待检测文件，其中，待检测文件包括如下任意一种或多种类型的文件：待写入网络终端的文件和从网络终端中待读取的文件；检测模块，用于检测待检测文件的读写参数是否满足阻断条件；阻断模块，用于在待检测文件的读写参数满足阻断条件的情况下，阻断读写待检测文件。根据本专利技术实施例的另一方面，还提供了一种检测入侵脚本文件的系统，包括：后台服务器，用于存储用于检测入侵脚本文件的防护程序；以及网络终端，用于启动防护程序，执行以下步骤：拦截待检测文件，其中，待检测文件包括如下任意一种或多种类型的文件：待写入网络终端的文件和从网络终端中待读取的文件；检测待检测文件的读写参数是否满足阻断条件；在待检测文件的读写参数满足阻断条件的情况下，阻断读写待检测文件。在本专利技术实施例中，采用拦截待检测文件，其中，待检测文件包括如下任意一种或多种类型的文件：待写入网络终端的文件和从网络终端中待读取的文件；检测待检测文件的读写参数是否满足阻断条件；在待检测文件的读写参数满足阻断条件的情况下，阻断读写待检测文件，通过在文件读写过程中主动检测文件的读写参数是否满足阻断条件，在满足阻断条件的情况下及时阻断读写该文件，以达到了及时准确地检测入侵脚本文件的目的，从而实现了提高入侵脚本文件的检测准确性，提高网络安全的技术效果，进而解决了有技术采用被动防护方式来检测网络服务器植入的入侵脚本文件，导致检测结果不准的技术问题。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本申请的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1是本专利技术实施例的一种检测入侵脚本文件的方法的计算机终端的硬件结构框图；图2是根据本专利技术实施例的检测入侵脚本文件的方法的流程图；图3是根据本专利技术实施例的一种可选地检测入侵脚本文件的方法的流程图；图4是根据本专利技术实施例的另一种可选地检测入侵脚本文件的方法的流程图；图5是根据本专利技术实施例的另一种可选地检测入侵脚本文件的方法的流程图；图6是根据本专利技术实施例的入侵脚本文件的检测和处理的逻辑示意图；图7是根据本专利技术实施例的检测入侵脚本文件的装置的示意图；图8是根据本专利技术实施例的一种可选地检测入侵脚本文件的装置的示意图；图9是根据本专利技术实施例的另一种可选地检测入侵脚本文件的装置的示意图；图10是根据本专利技术实施例的另一种可选地检测入侵脚本文件的装置的示意图；图11是根据本专利技术实施例的另一种可选地检测入侵脚本文件的装置的示意图；图12是根据本专利技术实施例的另一种可选地检测入侵脚本文件的装置的示意图；图13是根据本专利技术实施例的另一种可选地检测入侵脚本文件的装置的示意图；图14是根据本专利技术实施例的检测入侵脚本文件的系统的示意图；以及图15是根据本专利技术实施例的一种计算机终端的结构框图。具体实施方式为了使本
的人员更好地理解本专利技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分的实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本专利技术保护的范围。需要说明的是，本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。在对本专利技术实施例进行描述的过程中出现的部分名词或术语适用于如下解释：云主机：为电商云Linux操作系统服务器。防护程序：为后台服务器存储的、用于检测入侵脚本文件的程序。读写函数：包括读函数和写函数。网络服务器：可以向发出请求的浏览器提供文档的程序。内容特征：文件内容经过某种算法构造出的特征模块，多种Webshell文件的内容特征可以构建特征库，文件建模后与特征库比对可实现Webshell文件识别。实施例1根据本专利技术实施例，还提供了一种检测入侵脚本文件的方法的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执本文档来自技高网...

【技术保护点】
一种检测入侵脚本文件的方法，其特征在于，包括：拦截待检测文件，其中，所述待检测文件包括如下任意一种或多种类型的文件：待写入网络终端的文件和从所述网络终端中待读取的文件；检测所述待检测文件的读写参数是否满足阻断条件；在所述待检测文件的读写参数满足所述阻断条件的情况下，阻断读写所述待检测文件。

【技术特征摘要】
1.一种检测入侵脚本文件的方法，其特征在于，包括：拦截待检测文件，其中，所述待检测文件包括如下任意一种或多种类型的文件：待写入网络终端的文件和从所述网络终端中待读取的文件；检测所述待检测文件的读写参数是否满足阻断条件；在所述待检测文件的读写参数满足所述阻断条件的情况下，阻断读写所述待检测文件。2.根据权利要求1所述的方法，其特征在于，在拦截待检测文件之前，所述方法还包括：监控所述网络终端中的网络服务进程的进程空间，获取所述进程空间中记录的文件读写函数的位置；将所述文件读写函数的位置进行重定向，以拦截所述读写函数；其中，当所述网络终端中的所述网络服务进程监测到允许读写所述待检测文件时，调用拦截到的所述读写函数来读写所述待检测文件。3.根据权利要求1或2所述的方法，其特征在于，当所述待检测文件为所述待写入所述网络终端的文件时，所述读写参数包括如下写入参数：待写入的文件位置和待写入文件名；其中，在所述待检测文件的读写参数满足所述阻断条件的情况下，阻断读写所述待检测文件的步骤包括：在所述待写入的文件位置为非法文件目录的情况下，确定所述待写入所述网络终端的文件为所述入侵脚本文件，并阻断所述待检测文件写入；或在所述待写入文件名包括非法文件名的情况下，确定所述待写入所述网络终端的文件为所述入侵脚本文件，并阻断所述待检测文件写入；或在所述待写入的文件位置为所述非法文件目录，且所述待写入文件名包括所述非法文件名的情况下，确定所述待写入所述网络终端的文件为所述入侵脚本文件，并阻断所述待检测文件写入。4.根据权利要求1或2所述的方法，其特征在于，当所述待检测文件为从所述网络终端中待读取的文件时，所述读写参数包括如下读取参数：待访问的文件位置和待访问文件名；其中，在所述待检测文件的读写参数满足所述阻断条件的情况下，阻断读写所述待检测文件的步骤包括：在所述待访问的文件位置为非法文件目录的情况下，阻断读取所述待检测文件；或在所述待访问文件名包括非法文件名的情况下，阻断读取所述待检测文件；或在所述待访问的文件置为所述非法文件目录，且所述待访问文件名包括所述非法扩展名的情况下，阻断读取所述待检测文件。5.根据权利要求4所述的方法，其特征在于，在阻断读取所述待检测文件之后，所述方法还包括：扫描保存所述待读取的文件的文件目录，查找所述文件目录下包含的入侵脚本文件。6.根据权利要求1或2所述的方法，其特征在于，在所述待检测文件的读写参数不满足所述阻断条件的情况下，所述网络终端允许读写所述待检测文件，且在所述网络终端允许读写所述待检测文件之后，所述方法还包括：调用拦截到的写函数将所述待检测文件的字节流写入本地磁盘；在所述待检测文件的字节流写入所述本地磁盘的同时，将所述待检测文件的字节流与预设的任意一个或多个关键特征字符进行字符匹配；在所述待检测文件的字节流与所述预设的任意一个或多个关键特征字符匹配成功的情况下，在所述待检测文件写入完成之后即时启动对所述待检测文件进行入侵文件扫描，或确定所述待检测文件为所述入侵脚本文件。7.根据权利要求6所述的方法，其特征在于，对所述待检测文件进行入侵文件扫描包括：将所述待检测文件的文件内容与入侵文件特征数据中的特征数据进行匹配；在所述待检测文件的文件内容与所述入侵文件特征数据中的任意一个或多个特征数据匹配成功的情况下，确定所述待检测文件为所述入侵脚本文件。8.根据权利要求2所述的方法，其特征在于，所述网络终端的进程至少包括如下任意一个或多个信息：进程名、进程数、进程启动参数以及进程绑定端口号，其中，根据所述网络终端的所有进程的进程名、进程数、进程启动参数以及进程绑定端口号，查找所述网络服务的所有进程和/或子进程作为所述网络服务进程。9.一种检测入侵脚本文件的装置，其特征在于，包括：第一拦截模块，用于拦截待检测文件，其中，所述待检测文件包括如下任意一种或多种类型的文件：待写入网络终端的文件和从所述网络终...

【专利技术属性】
技术研发人员：耿浩洋，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY