【技术实现步骤摘要】
WebShell检测装置、WebShell检测方法及计算机可读存储介质
[0001]本公开涉及WebShell检测装置、WebShell检测方法及计算机可读存储介质。更具体地,涉及基于日志分析而进行WebShell检测的技术。
技术介绍
[0002]Webshell是一种利用ASP(Active Server Pages:动态服务器页面)和PHP(Hypertext Preprocessor:超文本预处理器)等服务端编程语言开发的脚本程序,这种脚本文件具备一定的管理功能,能够用于对服务器上的文件进行一定权限范围内的操作,同时还具备执行一些操作系统指令、执行自定义的脚本代码等功能。另一方面,因为Webshell是通过HTTP协议进行访问的,相关的访问不会受到传统防火墙软件的拦截,因此,黑客在尝试入侵一个Web站点时,都会将对该网站植入Webshell作为渗透测试的关键目标。
技术实现思路
[0003]在现有的技术方案中,针对Webshell的检测主要包括基于文件内容的检测方式和基于全量日志分析的检测方式。其中,...
【技术保护点】
【技术特征摘要】
1.一种WebShell检测装置,其中,所述WebShell检测装置包括处理电路,所述处理电路被配置为:收集Web服务器的访问日志,对新增的访问日志进行数据预处理;从预处理后的所述访问日志中提取预定字段信息,并对提取出的字段信息进行存储;将提取出的所述预定字段信息与预先确定的阈值进行比较,判定可疑访问日志;对所述可疑访问日志中的可疑URL进行重放过滤,将结果存储为已检URL信息;以及将所述已检URL信息发送到核查装置,接收核查装置反馈的核查结果,根据核查结果更新所述已检URL信息。2.根据权利要求1所述的WebShell检测装置,其中,所述处理电路进一步被配置为:在对新收集到的访问日志进行数据预处理时,提取服务器的响应状态码,并且仅保留所述服务器的响应状态码为200或401的服务端脚本的访问日志。3.根据权利要求2所述的WebShell检测装置,其中,所述处理电路进一步被配置为:对保留下来的所述服务器的响应状态码为200或401的服务端脚本的访问日志的URL进行规范化,存储规范化后的所述URL的预定参数。4.根据权利要求1所述的WebShell检测装置,其中,所述处理电路进一步被配置为:从预处理后的所述访问日志提取的预定字段包括客户端IP和访问的URL,针对所述访问的URL统计客户端IP地址的数量,将统计出的IP地址的数量与预选设定的阈值进行比较,在统计出的所述IP地址的数量小于阈值的情况下,判定为所述访问日志为可疑访问日志。5.根据权利要求4所述的WebShell检测装置,其中,所述处理电路进一步被配置为:从预处理后的所述访问日志提取的预定字段还包括访问时间,针对所述访问的URL统计访问频率,将统计出的访问频率与预选设定的阈值进行比较,在统计出的所访问频率小于阈值的情况下,判定为所述访问日志为可疑访问日志。6.根据权利要求4或5所述的WebShell检测装置,其中,所述处理电路进一步被配置为:从预处理后的所述访问日志提取的预定字段还包括表示访问请求来源的referer字段,针对访问的URL,检查对应访问日志的所述referer字段,在所述referer字段中有且仅有自身的URL的情况下,判定为所述访问日志为可疑访问日志。7.根据权利要求1所述的WebShell检测装置,其中,所述处理电路进一步被配置为:在进行所述重放过滤时,针对所述可疑URL,发送重放请求;
在服务器的响应状态码为404的情况下,将该可疑访问日志从可疑访问日志中排除;在所述服务器的响应状态码为200或401时,获取所述可疑URL的页面及其所在网站的首页页面,比较两个页面meta标签中的属性值,在比较结果为两者的属性值相同的情况下,将该可疑访问日志从可疑访问日志中排除,在比较结果为两者的属性值不同的情况下,将所述可疑URL保存到所述已检URL信息。8.一种WebShell检测方法,其中,所述WebShell检测方法包括:收集Web服务器的访问日志...
【专利技术属性】
技术研发人员:吴森焱,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。