一种WEB后门攻击事件的确认方法技术

技术编号:19828763 阅读:24 留言:0更新日期:2018-12-19 17:01
本发明专利技术涉及网络安全防护技术,旨在提供一种WEB后门攻击事件的确认方法。本发明专利技术通过对防火墙、IDS、IPS及相关的WEB服务器日志进行解析,提取WEB后门攻击类型的日志记录,根据各告警日志中记载的攻击时间、攻击者IP、攻击者端口号、被攻击IP、被攻击域名、攻击请求头和攻击响应头,进一步判断WEB后门的攻击是否成功;将确认结果返回到相应的网络防护设备中,并将确认后的WEB后门攻击事件标记为成功的攻击事件展示给用户。本发明专利技术能够对WEB后门攻击事件提供更加科学的确认手段,提高网络安全防护设备对WEB后门攻击的识别率和准确率,降低了确认攻击成功的告警误报率。

【技术实现步骤摘要】
一种WEB后门攻击事件的确认方法
本专利技术涉及网络安全防护技术,特别涉及一种WEB后门攻击事件的确认方法。
技术介绍
WEB后门,英文称WebShell,指的是以网页代码实现的用于非法用途的网页木马。具体表现为:攻击者通过植入WEB后门,从而控制整个WEB服务器,操作文件上传下载、非法篡改文件等。随着网络攻击事件数量日益增加,网络黑客的攻击技术和手段越来越高明,网上流传的开源黑客工具降低了攻击的成本,因此每天都有数不尽的非法扫描、后门探测等攻击流量,公司的防火墙、IDS、IPS设备上的日志也是每天上千万条攻击数据的累加。而WEB后门攻击事件往往是网络告警日志分析的重中之重,一旦WEB后门攻击成功,对公司的业务和数据都可能造成无法挽回的损失。因此,对WEB后门攻击事件的进行确认是公司用户网络安全防护工作中是重点内容。因为只有对相关事件进行确认之后,才能确定攻击事件是否成功。如果不进行确认,将会导致一堆误报。目前常用的WEB后门攻击事件的确认手段主要包括:(1)分析人员发现网络安全防护设备上出现WEB后门攻击告警后,人工登录服务器,使用杀毒软件查杀是否存在后门文件。(2)分析人员依靠经验判断网络安全防护设备上出现的WEB后门攻击告警事件是否可能成功。但是,上述手段存在以下不足之处:(1)安全人员有可能不能及时处理网络安全防护设备上所有的WEB后门攻击事件。因为实际工作中信息安全相关的分析人员往往没有服务器运维的权限,没法及时登录服务器排查。(2)仅仅依靠分析人员自身的经验往往不能够准确的判断后门攻击是否成功,可能会存在误判的情况。(3)网络安全防护设备上误报的告警太多,导致安全人员分析告警记录时需要频繁翻页,容易忽视重要的攻击线索。
技术实现思路
本专利技术要解决的技术问题是,克服现有技术中的不足,提供一种WEB后门攻击事件的确认方法。为解决上述技术问题,本专利技术采用的解决方案是:提供一种WEB后门攻击事件的确认方法,包括以下步骤:(1)从网络安全防护设备获取告警日志,判断是否为WEB后门攻击事件告警,不是则丢弃;(2)从WEB后门攻击的告警日志中,逐条取出各告警日志中记载的攻击时间、攻击者IP、攻击者端口号、被攻击IP、被攻击域名、攻击请求头和攻击响应头;(3)根据攻击响应头提取攻击的目标域名或IP,对比预配置的服务器资产库获得被攻击目标的服务支持语言类型;(4)根据攻击请求头提取攻击者试图请求的URI,判断攻击者在攻击活动中使用的编程语言类型,如果攻击者所使用的后门语言与被攻击目标的服务端的编程语言不一致,则丢弃该条告警日志;(5)根据攻击响应头提取服务器返回的状态码,判断响应状态是否为200,不是则丢弃;(6)构造随机不存在文件名,就这个随机文件向被攻击的服务器发送请求,获取响应码;判断该响应码是否为200,是则丢弃;(7)从攻击告警的请求中获取请求参数或POST参数,解析请求,判断是否尝试在执行WEB语言命令,不是则丢弃;(8)确认WEB后门攻击事件成功,提取攻击事件的维度数据并写入mysql数据库,标记为成功的攻击事件返回给相应的网络安全防护设备。本专利技术中,所述网络安全防护设备是指防火墙或IDS设备。本专利技术中,在步骤(1)中,是根据日志的类型描述字段来判断告警日志的记载是否为WEB后门攻击事件。本专利技术中,在步骤(3)中,如果对比时发现没有提前配置好的服务器资产库进行配置,则向用户发送进行配置的提醒。本专利技术中,在步骤(3)中,在进行服务器资产库配置时,使用具有模板的表格文件导入资产库信息。本专利技术中,在步骤(8)中,攻击事件的维度数据是指攻击者IP、攻击者端口、事件和攻击目标。与现有技术相比,本专利技术的技术效果是:本专利技术能够对WEB后门攻击事件提供更加科学的确认手段,提高网络安全防护设备对WEB后门攻击的识别率和准确率,降低了确认攻击成功的告警误报率。附图说明图1为本专利技术具体实施例的操作流程图。具体实施方式下面结合附图,对本专利技术的具体实施方式进行详细描述。本专利技术所述WEB后门攻击事件的确认方法,包括以下步骤:(1)从网络安全防护设备获取告警日志,根据日志的类型描述字段来判断是否为WEB后门攻击事件告警,不是则丢弃;网络安全防护设备可以指防火墙或IDS设备(入侵检测系统,IntrusionDetectionSystems)。(2)从WEB后门攻击的告警日志中,逐条取出各告警日志中记载的攻击时间、攻击者IP、攻击者端口号、被攻击IP、被攻击域名、攻击请求头和攻击响应头;(3)根据攻击响应头提取攻击的目标域名或IP,对比预配置的服务器资产库获得被攻击目标的服务支持语言类型(PHP、JSP、ASP或其它);如果对比时发现没有提前配置好的服务器资产库进行配置,则向用户发送进行配置的提醒。在进行服务器资产库配置时,可以使用具有模板的表格文件导入资产库信息。(4)根据攻击请求头提取攻击者试图请求的URI,判断攻击者在攻击活动中使用的编程语言类型,如果攻击者所使用的后门语言与被攻击目标的服务端的编程语言不一致,则丢弃该条告警日志;编程语言不一致时,表明该告警日记记载的是探测事件而非成功的攻击事件,因而可以忽视。(5)根据攻击响应头提取服务器返回的状态码,判断响应状态是否为200,不是则丢弃;HTTP状态码(HTTPStatusCode)是用以表示网页服务器HTTP响应状态的3位数字代码。它由RFC2616规范定义的,并得到RFC2518、RFC2817、RFC2295、RFC2774、RFC4918等规范扩展。HTTP状态码为200时,表示请求已成功,请求所希望的响应头或数据体将随此响应返回。响应状态不是200时,可以忽视此类告警日志。(6)构造随机不存在文件名,就这个随机文件向被攻击的服务器发送请求,获取响应码;判断该响应码是否为200,是则丢弃。(不存在的路径返回200并不意味着访问成功,如果服务器端自定义了404页面,其返回状态码一样是200。)(7)从攻击告警的请求中获取请求参数或POST参数,解析请求,判断是否尝试在执行命令,不是则丢弃;(例如,Web攻击就是利用漏洞执行命令的一个过程)(8)确认WEB后门攻击事件成功,提取攻击事件的维度数据(包括攻击者IP、攻击者端口、事件和攻击目标)并写入mysql数据库,标记为成功的攻击事件返回给相应的网络安全防护设备。下面结合一个具体的实例,对本专利技术的具体操作进行说明:某日志中记录,IP地址A发起一条后门访问服务器B,日志中,是POST请求参数是z0=”whoami”,请求的路径后缀是test.php,响应码为200。经查询,发现被攻击目标为php语言实现的网站,后台是apache服务;然后伪造一个路径shdkjhsajkhdjksah.php访问发现响应码为404,进而判断“whoami”是系统提权的基本命令,也是黑客常用的命令,因此确认该Web后门攻击事件为成功的攻击事件。本文档来自技高网
...

【技术保护点】
1.一种WEB后门攻击事件的确认方法,其特征在于,包括以下步骤:(1)从网络安全防护设备获取告警日志,判断是否为WEB后门攻击事件告警,不是则丢弃;(2)从WEB后门攻击的告警日志中,逐条取出各告警日志中记载的攻击时间、攻击者IP、攻击者端口号、被攻击IP、被攻击域名、攻击请求头和攻击响应头;(3)根据攻击响应头提取攻击的目标域名或IP,对比预配置的服务器资产库获得被攻击目标的服务支持语言类型;(4)根据攻击请求头提取攻击者试图请求的URI,判断攻击者在攻击活动中使用的编程语言类型,如果攻击者所使用的后门语言与被攻击目标的服务端的编程语言不一致,则丢弃该条告警日志;(5)根据攻击响应头提取服务器返回的状态码,判断响应状态是否为200,不是则丢弃;(6)构造随机不存在文件名,就这个随机文件向被攻击的服务器发送请求,获取响应码;判断该响应码是否为200,是则丢弃;(7)从攻击告警的请求中获取请求参数或POST参数,解析请求,判断是否尝试在执行WEB语言命令,不是则丢弃;(8)确认WEB后门攻击事件成功,提取攻击事件的维度数据并写入mysql数据库,标记为成功的攻击事件返回给相应的网络安全防护设备。...

【技术特征摘要】
1.一种WEB后门攻击事件的确认方法,其特征在于,包括以下步骤:(1)从网络安全防护设备获取告警日志,判断是否为WEB后门攻击事件告警,不是则丢弃;(2)从WEB后门攻击的告警日志中,逐条取出各告警日志中记载的攻击时间、攻击者IP、攻击者端口号、被攻击IP、被攻击域名、攻击请求头和攻击响应头;(3)根据攻击响应头提取攻击的目标域名或IP,对比预配置的服务器资产库获得被攻击目标的服务支持语言类型;(4)根据攻击请求头提取攻击者试图请求的URI,判断攻击者在攻击活动中使用的编程语言类型,如果攻击者所使用的后门语言与被攻击目标的服务端的编程语言不一致,则丢弃该条告警日志;(5)根据攻击响应头提取服务器返回的状态码,判断响应状态是否为200,不是则丢弃;(6)构造随机不存在文件名,就这个随机文件向被攻击的服务器发送请求,获取响应码;判断该响应码是否为200,是则丢弃;(7)从攻击告警的请求中获取请...

【专利技术属性】
技术研发人员:王世晋范渊郝辰亮黄进
申请(专利权)人:杭州安恒信息技术股份有限公司
类型:发明
国别省市:浙江,33

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1