【技术实现步骤摘要】
一种自动化检测验证Webshell的方法及装置
本专利技术涉及数字信息的传输,例如电报通信的
,特别涉及一种自动化检测验证Webshell的方法及装置。
技术介绍
Webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,在云互联网时代通常被黑客用作入侵网站服务器的后门工具。黑客成功入侵服务器后,为了维持对服务器的控制或为了进行深度操作,通常会上传Webshell文件至后台,之后就可以通过访问该Webshell资源作为渗透的入口。通常来说,黑客进行网络攻击、上传Webshell后,为了隐藏,会进行混淆,使得真实的Webshell表现为如下特点:1、资源文件名进行伪装,尽量使其与正常网站资源相似,如index1.php、login.aspx等,防止被网站运维管理员发现及删除;2、部分Webshell资源无法通过直接访问得到,其会返回一些无意义的字符,只有使用特殊的请求方法才能利用;3、黑客完成某些攻击阶段后,会主动删除后门文件,以防后期被检测发现。因...
【技术保护点】
1.一种自动化检测验证Webshell的方法,其特征在于:所述方法包括以下步骤:/n步骤1:在用户端部署系统,开始检测;/n步骤2:原始安全事件筛选模块以预设条件进行查询,筛选得到需要进一步检测分析的内容输出并存储到本地;/n步骤3:保持网络可达,自动化爬虫验证模块对步骤2存储到本地的内容进行逐条检查、筛选,更新;/n步骤4:访问规律分析模块获得步骤3更新的结果,逐条进行查询和统计,筛选记录,将正常资源触发的误报筛除;/n步骤5:风险分值评估模块计算每条记录的风险分值,将分值自高至低排序;/n步骤6:结束模块输出分值高于阈值分值的记录,作为验证为可疑Webshell的结果。/n
【技术特征摘要】
1.一种自动化检测验证Webshell的方法,其特征在于:所述方法包括以下步骤:
步骤1:在用户端部署系统,开始检测;
步骤2:原始安全事件筛选模块以预设条件进行查询,筛选得到需要进一步检测分析的内容输出并存储到本地;
步骤3:保持网络可达,自动化爬虫验证模块对步骤2存储到本地的内容进行逐条检查、筛选,更新;
步骤4:访问规律分析模块获得步骤3更新的结果,逐条进行查询和统计,筛选记录,将正常资源触发的误报筛除;
步骤5:风险分值评估模块计算每条记录的风险分值,将分值自高至低排序;
步骤6:结束模块输出分值高于阈值分值的记录,作为验证为可疑Webshell的结果。
2.根据权利要求1所述的一种自动化检测验证Webshell的方法,其特征在于:所述步骤2包括以下步骤:
步骤2.1:所述原始安全事件筛选模块在安全设备产生的原始告警中以预设条件进行查询;
步骤2.2:对查询后的结果进行过滤,过滤掉Http头中包含referer或源地址为内网的记录,得到需要进一步检测分析的内容;
步骤2.3:对过滤后的内容以预设的格式存储至本地。
3.根据权利要求2所述的一种自动化检测验证Webshell的方法,其特征在于:所述步骤2.1中,预设条件为返回码为200且URL资源后缀名为服务器架构后缀名。
4.根据权利要求1所述的一种自动化检测验证Webshell的方法,其特征在于:所述步骤3中,自动化爬虫验证模块的工作包括以下步骤:
步骤3.1:读取步骤2输出的内容,采集并且拼接为合法URI;
步骤3.2:使用自动化爬虫请求验证,标记每一条记录的返回结果;
步骤3.3:筛去无法访问、过期的资源,保留URL可达的记录;
步骤3.4:更新结果。
5.根据权利要求4所述的一种自动化检测验...
【专利技术属性】
技术研发人员:李铭晖,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。