本发明专利技术涉及互联网领域,公开了一种webshell检测取证方法及系统。该方法包括:在进行SQL注入和一句话木马上传攻击时,实时抓取网络攻击中的数据包信息;对抓取的数据包信息进行报文解析,并从解析后的信息中提取攻击相关特征;将提取的攻击相关特征与预设特征库中的攻击特征进行匹配,并在存在匹配的情况下判断抓取的数据包信息的IP是否与IP黑名单中的IP匹配;在抓取的数据包信息的IP与IP黑名单中的IP匹配的情况下,基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据;对所述安全日志数据进行采集,得到安全告警数据以实现对漏洞的取证。
【技术实现步骤摘要】
webshell检测取证方法及系统
本专利技术涉及互联网领域,尤其涉及一种webshell检测取证方法及系统。
技术介绍
文件上传漏洞起因源于服务器端或前端检测不严格或控制端存在诸多非限制条件,导致攻击者可以利用拦截工具,修改文件属性类型等操作,从而上传可以执行的脚本文件,以获取系统的WebShell,进而实现LocalSystem命令执行。其中文件上传漏洞产生的主要原因有:上传木马脚本文件、服务器端解析漏洞。webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。然而,关于互联网上存在的web安全漏洞的分析方面,目前尚无法实现自动获取漏洞的证据,只能通过代码分析或者人为判断,但这样的方式不仅存在误判的情况,且效率也较低。
技术实现思路
本专利技术提供了一种webshell检测取证方法及系统,能够解决上述现有技术中的问题。本专利技术提供了一种webshell检测取证方法,其中,该方法包括:在进行SQL注入和一句话木马上传攻击时,实时抓取网络攻击中的数据包信息;对抓取的数据包信息进行报文解析,并从解析后的信息中提取攻击相关特征;将提取的攻击相关特征与预设特征库中的攻击特征进行匹配,并在存在匹配的情况下判断抓取的数据包信息的IP是否与IP黑名单中的IP匹配;在抓取的数据包信息的IP与IP黑名单中的IP匹配的情况下,基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据;对所述安全日志数据进行采集,得到安全告警数据以实现对漏洞的取证。优选地,该方法还包括对所述安全告警数据进行显示。优选地,该方法还包括对抓取的数据包信息进行存储。优选地,所述安全告警数据包括时间、攻击描述、源IP、目的IP、木马链接和密码、以及WebShell链接URL和WebShell密码。优选地,抓取的数据包信息包括时间、数据包大小、IP地址和端口。本专利技术还提供了一种webshell检测取证系统,其中,该系统包括:抓取模块,用于在进行SQL注入和一句话木马上传攻击时,实时抓取网络攻击中的数据包信息;解析提取模块,用于对抓取的数据包信息进行报文解析,并从解析后的信息中提取攻击相关特征;匹配判断模块,用于将提取的攻击相关特征与预设特征库中的攻击特征进行匹配,并在存在匹配的情况下判断抓取的数据包信息的IP是否与IP黑名单中的IP匹配;生成模块,用于在抓取的数据包信息的IP与IP黑名单中的IP匹配的情况下,基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据;采集取证模块,用于对所述安全日志数据进行采集,得到安全告警数据以实现对漏洞的取证。优选地,该系统还包括显示模块,用于对所述安全告警数据进行显示。优选地,该系统还包括存储模块,用于对抓取的数据包信息进行存储。优选地,所述安全告警数据包括时间、攻击描述、源IP、目的IP、木马链接和密码、以及WebShell链接URL和WebShell密码。优选地,抓取的数据包信息包括时间、数据包大小、IP地址和端口。通过上述技术方案,可以对网络攻击中的数据包信息进行抓取捕获,然后可以对捕获的数据包信息进行解析,提取其中的攻击相关特征(例如,恶意网络攻击数据信息),利用预设特征库可以执行特征匹配操作,并在存在特征匹配的情况下可以利用IP黑名单执行IP匹配操作,且在IP匹配的情况下基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据,进而可以对所述安全日志数据进行采集,得到安全告警数据以实现对漏洞的取证。由此,可以实现取证功能,进而有效防范例如远控类木马的运行,阻断恶意流量的进出,保护用户计算机不被伤害,有助于提高网络安全性能。附图说明所包括的附图用来提供对本专利技术实施例的进一步的理解,其构成了说明书的一部分,用于例示本专利技术的实施例,并与文字描述一起来阐释本专利技术的原理。显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1示出了根据本专利技术一种实施例的一种webshell检测取证方法的流程图。具体实施方式需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本专利技术及其应用或使用的任何限制。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本专利技术的范围。同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。图1示出了根据本专利技术一种实施例的一种webshell检测取证方法的流程图。如图1所示,本专利技术实施例提供了一种webshell检测取证方法,其中,该方法可以包括:S100,在进行SQL注入和一句话木马上传攻击时,实时抓取网络攻击中的数据包信息;举例来讲,可以以脚本实现监控网络攻击中的数据包信息,即可以通过脚本抓取捕获网络攻击中的数据包信息。S102,对抓取的数据包信息进行报文解析,并从解析后的信息中提取攻击相关特征;S104,将提取的攻击相关特征与预设特征库中的攻击特征进行匹配,并在存在匹配的情况下判断抓取的数据包信息的IP是否与IP黑名单中的IP匹配;举例来讲,在提取的攻击相关特征与预设特征库中的攻击特征匹配的情况下,可以确定抓取的数据包信息为网络攻击数据包信本文档来自技高网...
【技术保护点】
1.一种webshell检测取证方法,其特征在于,该方法包括:/n在进行SQL注入和一句话木马上传攻击时,实时抓取网络攻击中的数据包信息;/n对抓取的数据包信息进行报文解析,并从解析后的信息中提取攻击相关特征;/n将提取的攻击相关特征与预设特征库中的攻击特征进行匹配,并在存在匹配的情况下判断抓取的数据包信息的IP是否与IP黑名单中的IP匹配;/n在抓取的数据包信息的IP与IP黑名单中的IP匹配的情况下,基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据;/n对所述安全日志数据进行采集,得到安全告警数据以实现对漏洞的取证。/n
【技术特征摘要】
1.一种webshell检测取证方法,其特征在于,该方法包括:
在进行SQL注入和一句话木马上传攻击时,实时抓取网络攻击中的数据包信息;
对抓取的数据包信息进行报文解析,并从解析后的信息中提取攻击相关特征;
将提取的攻击相关特征与预设特征库中的攻击特征进行匹配,并在存在匹配的情况下判断抓取的数据包信息的IP是否与IP黑名单中的IP匹配;
在抓取的数据包信息的IP与IP黑名单中的IP匹配的情况下,基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据;
对所述安全日志数据进行采集,得到安全告警数据以实现对漏洞的取证。
2.根据权利要求1所述的方法,其特征在于,该方法还包括对所述安全告警数据进行显示。
3.根据权利要求2所述的方法,其特征在于,该方法还包括对抓取的数据包信息进行存储。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述安全告警数据包括时间、攻击描述、源IP、目的IP、木马链接和密码、以及WebShell链接URL和WebShell密码。
5.根据权利要求1-3中任一项所述的方法,其特征在于,抓取的数据包信息包括时间、数据包大小、IP地址和端口。
6.一种webshell检测取证系统,其特征...
【专利技术属性】
技术研发人员:张永健,周琳娜,刘旭东,
申请(专利权)人:国际关系学院,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。