服务器攻击的检测方法和装置制造方法及图纸
【技术实现步骤摘要】
服务器攻击的检测方法和装置
本专利技术涉及信息安全
,特别是涉及一种服务器攻击的检测方法和装置。
技术介绍
webshell指的是以asp(ActiveServerPages,动态服务器页面)、php(HypertextPreprocessor,超文本预处理器)、jsp(JavaServerPages,java服务器页面)或者cgi(CommonGatewayInterface,公共网关接口)等网页文件形式存在的一种命令执行环境,也可以将其称作为一种网页后门。入侵者在入侵了一个网站后,通常会将asp或php后门文件与网站服务器的目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,通过webshell取得对网站服务器在某种程度上的操作权限,从而达到控制网站服务器的目的。在传统的网络安全防御技术中,对webshell的检测主要是通过分析大量的webshell文件及原理建立特征库,通过特征库中的特征码判断一个网页文件是否为webshell文件,若一个网页文件中的代码包含特征库中的特征码,即判定其为webshell文件...
【技术保护点】
一种服务器攻击的检测方法,包括:通过实时应用程序自我保护系统RASP实时监听网页中的操作行为;当所述RASP检测到操作行为中包含预定义的风险行为特征时,记录所述操作行为的行为数据,并将所述行为数据发送至风险评估模型;通过所述风险评估模型对所述行为数据进行分析,得到分析结果;若根据所述分析结果判定所述操作行为为攻击行为,则将所述网页标记为webshell文件。
【技术特征摘要】
1.一种服务器攻击的检测方法,包括:通过实时应用程序自我保护系统RASP实时监听网页中的操作行为;当所述RASP检测到操作行为中包含预定义的风险行为特征时,记录所述操作行为的行为数据,并将所述行为数据发送至风险评估模型;通过所述风险评估模型对所述行为数据进行分析,得到分析结果;若根据所述分析结果判定所述操作行为为攻击行为,则将所述网页标记为webshell文件。2.根据权利要求1所述的方法,其特征在于,所述通过实时应用程序自我保护系统RASP实时监听网页中的操作行为,包括:执行钩子函数调用RASP提供的保护程序,并通过所述RASP的保护程序实时监听网页中的操作行为。3.根据权利要求1所述的方法,其特征在于,所述当所述RASP检测到操作行为中包含预定义的风险行为特征时,记录所述操作行为的行为数据,并将所述行为数据发送至风险评估模型,包括:通过所述RASP分析所述操作行为中的执行函数;当检测到所述执行函数中包含预定义的加密特征时,记录所述操作行为的行为数据,并将所述行为数据发送至风险评估模型。4.根据权利要求3所述的方法,其特征在于,所述通过所述风险评估模型对所述行为数据进行分析,得到分析结果,包括:通过所述风险评估模型获取所述行为数据中的执行函数;对所述执行函数的参数进行字符串匹配或正则匹配运算,判断所述参数是否进行编码;若所述参数进行编码,则获取所述执行函数的执行体特征,并根据所述执行体特征判断所述执行函数的执行体是否为陌生执行体,若所述执行体为陌生执行体,则所述操作行为为攻击行为,所述陌生执行体为不存在于数据库白名单中的执行体。5.根据权利要求1所述的方法,其特征在于,所述通过所述风险评估模型对所述行为数据进行分析,得到分析结果,包括:根据所述行为数据中的代码行号及执行时间获取所述操作行为在所述网页中的上下文内容;通过所述风险评估模型对所述行为数据及所述上下文内容进行分析,得到分析结果。6.根据权利要求5所述的方法,其特征在于,所述通过所述风险评估模型对所述行为数据及所述上下文内容进行分析,得到分析结果,包括:通过所述风险评估模型提取所述行为数据及所述上下文内容中的事件标识;根据所述事件标识确定所述操作行为的执行轨迹;计算所述执行轨迹的轨迹比率,若所述轨迹比率小于预设阈值,则所述操作行为为攻击行为。7.根据权利要求5所述的方法,其特征在于,所述通过所述风险评估模型对所述行为数据及所述上下文内容进行分析,得到分析结果,包括:将所述行为数据及所述上下文内容导入所述风险评估模型中预先建立的监督学习模型;根据所述监督学习模型分析所述行为数据及所述上下文内容,得到所述监督学习模型输出的预测结果,若所述预测结果为异常,则所述操作行为为攻击行为。8.根据权利要求1至7任一所述的方法,其特征在于,在所述若根据分析结果判定所述操作行为为攻...
【专利技术属性】
技术研发人员:朱海星,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。