The invention discloses a method, a device and a system for detecting an intrusion script file. Among them, the method includes: detecting the intercept file, the file to be detected include any one or more types of files to be written to the file and read to the network terminal from the network terminal file; be detected file read and write parameters can meet the blocking conditions; to be detected in the file read and write the parameters meet the blocking conditions, block read and write file to be detected. The invention solves the technical problems that the technique adopts a passive protection mode to detect the intrusion script files embedded by the network server, and leads to the inaccurate detection result.
【技术实现步骤摘要】
检测入侵脚本文件的方法、装置及系统
本专利技术涉及互联网领域,具体而言,涉及一种检测入侵脚本文件的方法、装置及系统。
技术介绍
随着互联网技术的快速发展,网络安全成为当今最主要的问题。威胁网络安全的网络攻击手段较多,常见的有Webshell攻击,其中,Webshell为黑客进行网络入侵的脚本攻击工具。利用网络站点的漏洞向被攻击站点植入php、asp或者jsp等程序后门文件,然后通过正常的网络访问方式访问这些后门文件,从而控制网络服务器,执行恶意攻击操作,比如查看数据库,执行任意程序命令等。Webshell攻击危害巨大,因此,阻止植入Webshell和快速查杀Webshell对于网络安全防护具有非常重要的意义。为了提高网络安全,相关技术采用定时全盘扫描查杀机制,即定时扫描全盘文件,对每个文件依次进行内容特征比对,从而发现并移除Webshell文件。但是,采用定时全盘扫描查杀这种被动防护方式来检测网路服务器植入的入侵脚本文件(比如Webshell文件),将会导致检测结果不准确,具体表现在:1、时效性差。黑客可以利用两次扫描之间的时间进行恶意攻击,在Webshell文件被扫描到之前控制网络站点和网络服务器,执行恶意操作。2、漏杀新型Webshell文件。由于新型Webshell文件内容特征未知,采用内容特征比对的方式将不能发现Webshell文件,造成漏杀Webshell文件。3、无主动防护能力。采用完全被动防护,进队已经存在于磁盘中的文件进行扫描,无法在Webshell文件的写入过程主动分析和防御。而且,缺乏主动触发机制,不能及时发现可疑文件并启动扫描程序。4 ...
【技术保护点】
一种检测入侵脚本文件的方法,其特征在于,包括:拦截待检测文件,其中,所述待检测文件包括如下任意一种或多种类型的文件:待写入网络终端的文件和从所述网络终端中待读取的文件;检测所述待检测文件的读写参数是否满足阻断条件;在所述待检测文件的读写参数满足所述阻断条件的情况下,阻断读写所述待检测文件。
【技术特征摘要】
1.一种检测入侵脚本文件的方法,其特征在于,包括:拦截待检测文件,其中,所述待检测文件包括如下任意一种或多种类型的文件:待写入网络终端的文件和从所述网络终端中待读取的文件;检测所述待检测文件的读写参数是否满足阻断条件;在所述待检测文件的读写参数满足所述阻断条件的情况下,阻断读写所述待检测文件。2.根据权利要求1所述的方法,其特征在于,在拦截待检测文件之前,所述方法还包括:监控所述网络终端中的网络服务进程的进程空间,获取所述进程空间中记录的文件读写函数的位置;将所述文件读写函数的位置进行重定向,以拦截所述读写函数;其中,当所述网络终端中的所述网络服务进程监测到允许读写所述待检测文件时,调用拦截到的所述读写函数来读写所述待检测文件。3.根据权利要求1或2所述的方法,其特征在于,当所述待检测文件为所述待写入所述网络终端的文件时,所述读写参数包括如下写入参数:待写入的文件位置和待写入文件名;其中,在所述待检测文件的读写参数满足所述阻断条件的情况下,阻断读写所述待检测文件的步骤包括:在所述待写入的文件位置为非法文件目录的情况下,确定所述待写入所述网络终端的文件为所述入侵脚本文件,并阻断所述待检测文件写入;或在所述待写入文件名包括非法文件名的情况下,确定所述待写入所述网络终端的文件为所述入侵脚本文件,并阻断所述待检测文件写入;或在所述待写入的文件位置为所述非法文件目录,且所述待写入文件名包括所述非法文件名的情况下,确定所述待写入所述网络终端的文件为所述入侵脚本文件,并阻断所述待检测文件写入。4.根据权利要求1或2所述的方法,其特征在于,当所述待检测文件为从所述网络终端中待读取的文件时,所述读写参数包括如下读取参数:待访问的文件位置和待访问文件名;其中,在所述待检测文件的读写参数满足所述阻断条件的情况下,阻断读写所述待检测文件的步骤包括:在所述待访问的文件位置为非法文件目录的情况下,阻断读取所述待检测文件;或在所述待访问文件名包括非法文件名的情况下,阻断读取所述待检测文件;或在所述待访问的文件置为所述非法文件目录,且所述待访问文件名包括所述非法扩展名的情况下,阻断读取所述待检测文件。5.根据权利要求4所述的方法,其特征在于,在阻断读取所述待检测文件之后,所述方法还包括:扫描保存所述待读取的文件的文件目录,查找所述文件目录下包含的入侵脚本文件。6.根据权利要求1或2所述的方法,其特征在于,在所述待检测文件的读写参数不满足所述阻断条件的情况下,所述网络终端允许读写所述待检测文件,且在所述网络终端允许读写所述待检测文件之后,所述方法还包括:调用拦截到的写函数将所述待检测文件的字节流写入本地磁盘;在所述待检测文件的字节流写入所述本地磁盘的同时,将所述待检测文件的字节流与预设的任意一个或多个关键特征字符进行字符匹配;在所述待检测文件的字节流与所述预设的任意一个或多个关键特征字符匹配成功的情况下,在所述待检测文件写入完成之后即时启动对所述待检测文件进行入侵文件扫描,或确定所述待检测文件为所述入侵脚本文件。7.根据权利要求6所述的方法,其特征在于,对所述待检测文件进行入侵文件扫描包括:将所述待检测文件的文件内容与入侵文件特征数据中的特征数据进行匹配;在所述待检测文件的文件内容与所述入侵文件特征数据中的任意一个或多个特征数据匹配成功的情况下,确定所述待检测文件为所述入侵脚本文件。8.根据权利要求2所述的方法,其特征在于,所述网络终端的进程至少包括如下任意一个或多个信息:进程名、进程数、进程启动参数以及进程绑定端口号,其中,根据所述网络终端的所有进程的进程名、进程数、进程启动参数以及进程绑定端口号,查找所述网络服务的所有进程和/或子进程作为所述网络服务进程。9.一种检测入侵脚本文件的装置,其特征在于,包括:第一拦截模块,用于拦截待检测文件,其中,所述待检测文件包括如下任意一种或多种类型的文件:待写入网络终端的文件和从所述网络终...
【专利技术属性】
技术研发人员:耿浩洋,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。